Når compliance reduceres til dokumentation
Når organisationer etablerer en compliance- eller styringsmodel, begynder arbejdet næsten altid med dokumentation. Politikker skal formuleres, procedurer beskrives, og ansvar og arbejdsgange skal gøres tydelige. Det er en nødvendig og vigtig del af at skabe et fælles grundlag for styring.
Når politikker er skrevet, procedurer publiceret, dokumenter placeret i et system, og relevante medarbejdere er informeret og trænet, er etableringsfasen i vidt omfang gennemført. Organisationen har fået formuleret sine regler og gjort dem tilgængelige.
Men dokumentationen er kun udgangspunktet. Regulatoriske krav retter sig i sidste ende ikke mod dokumenterne i sig selv, men mod organisationens faktiske handlinger – og mod evnen til at dokumentere, at disse handlinger er udført kontrolleret.
Der ligger derfor en væsentlig forskel mellem dokumentation og dokumenteret adfærd. Dokumenter kan beskrive, hvordan noget bør foregå. Compliance opstår først, når organisationens handlinger følger de fastlagte retningslinjer, og når disse handlinger efterlader sporbar evidens.
Dokumenterne etablerer altså rammen. Evidensen opstår først i de handlinger og registreringer, som viser, at retningslinjerne faktisk er fulgt i praksis.
Når styringen flytter sig fra dokumenter til handlinger
Når den grundlæggende dokumentation er etableret, begynder det egentlige arbejde. Fokus flytter sig fra at beskrive reglerne til at sikre, at de bliver fulgt i praksis.
Her bliver det tydeligt, at compliance ikke først og fremmest dokumenteres gennem politikker og procedurer, men gennem de spor organisationens handlinger efterlader. Det gælder eksempelvis registreringer af godkendelser, ændringer i systemer, adgangstildelinger eller håndteringen af hændelser.
En procedure for ændringskontrol skaber ikke i sig selv kontrol over ændringer. En politik for adgangsstyring sikrer ikke i sig selv korrekt adgang. Og en hændelsesprocedure håndterer ikke i sig selv en sikkerhedshændelse.
Dokumenterne beskriver den forventede adfærd. Compliance kan først dokumenteres, når organisationens systemer og processer understøtter, at denne adfærd faktisk finder sted – og når de samtidig registrerer, hvad der er gjort, af hvem og hvornår.
Det er i denne registrerede adfærd, at den egentlige evidens for compliance opstår.
Dokumenter beskriver – systemer dokumenterer
Hvis compliance ikke først og fremmest handler om dokumenter, hvad handler det så om? Det handler om dokumenteret kontrol.
Kontrol betyder i denne sammenhæng, at organisationen udfører bestemte handlinger under bestemte betingelser som en del af sine processer. Ordet bruges her i den faglige betydning af en kontrolmekanisme – ikke i hverdagens betydning af at tjekke noget (eller nogen). Dokumenteret kontrol betyder, at disse handlinger kan dokumenteres efterfølgende.
Dokumenter spiller stadig en vigtig rolle i denne sammenhæng, men i en anden funktion end man ofte forestiller sig. De beskriver kontrollerne og fastlægger rammerne for arbejdet. Selve evidensen opstår i registreringen af de handlinger, der udføres.
Når en leder godkender et dokument i et system, er evidensen derfor ikke selve dokumentet. Evidensen er registreringen af godkendelsen: hvem godkendte, hvornår og hvilken version der blev godkendt. På samme måde er det i ændringsstyring ikke proceduren, der dokumenterer compliance, men historikken over vurderinger, beslutninger og implementerede ændringer.
Dokumenter etablerer rammen for adfærden. Evidensen opstår i de sporbare registreringer af, at kontrollerne faktisk er udført.
Kontroller i praksis
Når man ser på organisationers kontrolmiljøer, er dette princip tydeligt i en række velkendte mekanismer.
Godkendelser er et oplagt eksempel. Når en kontrakt, en rapport eller en ændring godkendes, registrerer systemet typisk hvem der har godkendt, tidspunktet for godkendelsen og hvilken version der blev godkendt. Disse registreringer udgør den sporbare evidens.
Det samme gælder ændringskontrol. Når ændringer registreres, vurderes og implementeres gennem en kontrolleret proces, opstår en historik over beslutninger og handlinger, som gør det muligt efterfølgende at dokumentere, hvordan ændringen er håndteret.
Adgangsstyring og hændelseshåndtering fungerer på tilsvarende måde. Compliance dokumenteres ikke gennem politikken for adgang eller proceduren for incident management, men gennem registreringerne af hvem der fik adgang, hvilke hændelser der opstod, og hvordan de blev håndteret.
Det fælles træk er, at evidensen opstår i registreringen af handlinger.
Systemernes rolle
Når compliance forstås som dokumenteret adfærd, bliver systemernes rolle central.
Digitale systemer gør det muligt at registrere handlinger konsekvent og ensartet. De kan sikre, at godkendelser registreres med identitet og tidspunkt, at ændringer ikke implementeres uden en dokumenteret beslutning, og at historik bevares gennem audit trails.
Dermed bliver systemerne den ramme, hvor organisationens kontroller både udføres og dokumenteres. Det er denne sporbarhed, der gør det muligt efterfølgende at efterprøve, hvad der er sket.
Compliance opstår derfor ikke i dokumentbiblioteket alene, men i samspillet mellem dokumenter, systemer og de handlinger organisationens medarbejdere udfører.
Fra dokumentstyring til dokumenteret kontrol
Dokumentstyring er en vigtig disciplin, fordi den sikrer, at organisationens politikker, procedurer og instruktioner er entydige, tilgængelige og versionsstyrede.
Men compliance vurderes i sidste ende ikke på dokumenternes struktur. Den vurderes på, om organisationens kontroller faktisk udføres – og om de kan dokumenteres.
Det er derfor dokumenteret adfærd, der udgør kernen i et velfungerende kontrolmiljø. Dokumenterne beskriver, hvordan arbejdet skal udføres. Systemer og processer skaber evidensen for, at det faktisk sker.
