1 juni 2005

Ongestructureerde informatie
‘Fixed content’ vormt een groot deel van de informatie die dagelijks binnen organisaties wordt ontvangen, verwerkt, gegenereerd en verzonden. ‘Een groot deel’ is, als recent onderzoek uit de Verenigde Staten als leidraad mag worden gebruikt, ongeveer 75 % van alle binnen een organisatie aanwezige informatie. Dat percentage is in de afgelopen jaren, als ik onderzoeksresultaten uit de jaren 1990-1995 erbij betrekt, nauwelijks veranderd. Dat is gezien de enorme toename van de informatiemassa opmerkelijk.

‘Fixed content’ is datgene wat vroeger ongestructureerde informatie werd genoemd, in een als negatief ervaren tegenstelling tot de data die in databases waren opgenomen en die als gestructureerd werd beschouwd. Uiteraard was ongestructureerde informatie helemaal niet ongestructureerd, het was voor de automatiseerders alleen moeilijk om er greep op te krijgen. Daarbij: documenten waren papier-gebaseerd en eigenlijk geen aandacht waard, aangezien ze ‘ouderwets’ waren en met de toename van de automatisering zouden verdwijnen. Niets bleek minder waar te zijn; met de toename van de digitalisering van informatie nam ook de hoeveelheid ‘fixed content’ toe. Op ‘fixed content’, documenten, richtte zich binnen alle organisaties al jarenlang de documentaire informatievoorziening. Het dedain waarmee de automatiseerders ‘fixed content’ benaderden straalde ook af op de onderdelen van organisaties die zich met het beheer van documenten bezig hielden.

De losse data die in databases waren opgenomen zijn op vele verschillende manieren te bewerken en te relateren. In databases is het losse gegeven het object. Bij ongestructureerde informatie was dat niet het geval. Daar was het samenstel van de gegevens in een vaststaande eenheid van vorm, structuur en inhoud het object. Die vaststaande eenheid maakte manipulatie van de losse gegevens moeilijk, zo niet (uiteraard afhankelijk van de technologische middelen) zo goed als onmogelijk. Het beheren van ‘fixed content’ was een vak apart, omdat daarin de representatie en retrieval voorop stond van die verschillende samenstellen van gegevens (de documenten), die vaak intergerelateerd waren en in allerlei verbanden tot elkaar stonden. Dat vereiste niet alleen kennis van de inhoud van de verschillende documenten, maar ook en vooral kennis van de omgeving waarin deze documenten waren ontstaan, de ‘context’.

Contextlagen
Context is een moeilijk begrip als het om ‘fixed content’ gaat. Het bestaat uit veel verschillende lagen en het is sterk afhankelijk van het gezichtspunt waarmee men naar de documenten kijkt. Voorop staat dat het mogelijk moet zijn om te bepalen met welke documenten verbanden bestaan, waar in de organisatie ze zijn ontstaan, in het kader van welk werkproces ze zijn gegenereerd, welke rol ze spelen (of gespeeld hebben) in dat werkproces en wie ermee heeft gewerkt. Er zijn allerlei redenen waarom het nodig is dat die gegevens bekend zijn. De belangrijkste is dat iedere organisatie aan moet kunnen geven op welke wijze haar produkten tot stand zijn gekomen. Iedere organisatie moet zich kunnen verantwoorden voor wat ze doet of gedaan heeft bij de uitvoering van haar werkprocessen om aan te kunnen geven dat er rechtmatig is gewerkt. Rechtmatigheid impliceert compliance aan interne en externe regels en wetten. Al is een produkt van nog zo’n hoge kwaliteit, als het tot stand gekomen is met ongeoorloofde middelen bestaat er een maatschappelijk en juridisch probleem. Een organisatie dient in haar verantwoording aan te kunnen tonen dat de tot stand koming van al haar produkten in overeenstemming is geweest met de wetten en regels die op haar van toepassing zijn. Rechtmatigheid impliceert dus het vastleggen van de wijze waarop werkprocessen zijn uitgevoerd in relatie met de regelgeving die er op toepassing is, zodat kan worden aangetoond dat er ‘juist’ en ‘compliant’ gewerkt is. Deze context-laag kunnen we de ‘proces-laag’ noemen.

Een volgende laag heeft te maken met het produkt zelf, in het geval van informatieverwerkende organisaties de ‘fixed context’, documenten. Het produkt dient zelf aan kwaleitscriteria te voldoen die het mogelijk maken om het document als ‘bewijs’ te gebruiken. Om dat te kunnen doen dienen de documenten authenticiteit, integriteit, controleerbaarheid en historiciteit te vertonen. Dat komt er op neer dat de documenten zijn ‘wat ze zeggen te zijn’, dat ze dezelfde vorm, structuur en inhoud vertonen gedurende de tijd van hun bestaan en dat ze (in geval sprake is van kopieën) aantoonbaar wezensgelijk zijn aan het origineel. Dat betekent nogal wat. Om als bewijs te kunnen dienen is dus de ‘proces-laag’ nodig, maar ook de contextlaag die samenhangt met het document zelf. In die laag zitten gegevens over de handelingen die met een specifiek document zijn uitgevoerd, om aan te geven dat het document dat wordt overlegd nog steeds is, zoals het is gemaakt. Dat het het document is dat de authenticiteit bezit die noodzakelijk is om als ‘origineel’ te dienen. Of dat het ontbrekende document terecht ontbreekt doordat het namelijk volgens de vaststaande procedures van selectie en vernietiging en op basis van vaststaande selectielijsten is verwijderd.

e proces- en document-laag van context moeten worden aangevuld met de derde laag van context, namelijk de beheerslaag. Hier gaat het om de systeemomgeving waarbinnen het document is beheerd, zodat kan worden aangetoond dat er binnen het beheerssysteem van de organisatie sprake is van ‘unbroken custody’ waarin geen lacunes zijn te bespeuren inzake het beheer. In dit beheerssysteem moet sprake zijn van een ‘gecontroleerde omgeving’ waarin alle beheersaspecten aantoonbaar zijn geprotocolleerd, beschreven en periodiek getoetst. Alleen daardoor ontstaat de zekerheid dat er ‘niets’ met de in het systeem opgenomen documenten heeft kunnen gebeuren. Alle documenten die binnen het systeem zijn opgenomen worden voortdurend gecontroleerd. De context van het beheerssysteem dient om de archiveringsomgeving te valideren. De ‘fixed content’ vormt samen met de drie lagen van context de ‘locus credibilis’, de plek die als een ‘geloofwaardige plek’ optreedt. Alle documenten die in een dergelijke omgeving worden beheerd kunnen worden vertrouwd. En uiteraard zal iedere organisatie moeten aantonen dat een dergelijke ‘geloofwaardigheid’ inzake al haar ‘fixed content’ bestaat.

Sarbanes Oxley
Wat heeft SOX hiermee te maken ? SOX is de gebruikelijke afkorting voor de Amerikaanse Sarbannes Oxley Act. Deze wet is ingevoerd naar aanleiding van de Enron-affaire, waarbij gedurende een lange periode een bedrijf zonder ingrijpen van de haar controlerende accountantsorganisatie (Arthur Anderson) onjuiste en frauduleuze verantwoordingsverslagen heeft kunnen uitbrengen en boekhoudingen heeft kunnen voeren. Enron bleek uit de verantwoordingsverslagen een redelijk gezonde organisatie met een hoge beurswaarde. In werkelijkheid dreef de organisatie op lucht, werd het ene gat met het andere gevuld en bleken de top-bestuurders zelf niet slechter te worden van de gang van zaken. In het geval van Enron was zowel de content als de context niet gewaarborgd. De toezichthoudende accountant had dit moeten constateren, maar heeft dit niet gedaan. Naar aanleiding van dit schandaal, wat de ondergang van beide bedrijven ten gevolge had en die talloze beleggers veel geld heeft gekost, hebben twee leden van het Huis van Afgevaardigden (Sarbannes en Oxley) de Sarbannes Oxley Act tot stand gebracht.

Deze wet eist van elke onderneming dat alle financiële verantwoordingsverslagen gebaseerd zijn op uitgebreide vastleggingen van de proces-, document- en beheerslaag van context. SOX richt zich op een aantoonbare gecontroleerde omgeving, die ieder (in ieder geval ieder beursgenoteerd) bedrijf dient te realiseren en aan te tonen. Die aantoonbaarheid, de contextuele vastleggingen, dient plaats te vinden bij de goedkeuring van de jaarrekeningen en andere benodigde verantwoordingsverslagen. Accountants dienen hierop strikt toe te zien. In principe is de invloed van SOX beperkt tot die organisaties die in de Verenigde Staten actief zijn en tot de financiële verantwoordingsverslagen. De impact ervan is echter zeer groot. Leveranciers van software vermelden graag dat hun software SOX-compliant is en wijzen erop dat in Europa en Nederland een zelfde controlestructuur ontstaat. Dat is zeker niet ondenkbaar. SOX kan in Nederland als katalysator dienen om rechtmatigheid van handelen toetsbaar te maken. Er zijn veel organisaties in Nederland die zeer waarschijnlijk rechtmatig handelen, maar dit niet of nauwelijks kunnen aantonen. De rapporten die de Algemene Rekenkamer regelmatig publiceert lijken daar, in ieder geval voor wat de overheid betreft, op te wijzen. De Nederlandse stokpaardjes ‘transparantie van handelen’ en ‘openbaarheid van bestuur’ zijn er maar al te zeer bij gebaat als ‘unbroken custody’ en ‘gecontroleerde omgeving’ gemeengoed worden. Veel voorvallen de afgelopen jaren die problemen met de ‘handhaving’ blootlegden, hebben voor een groot deel te maken met het feit dat ‘gecontroleerde omgevingen’ niet aan de orde van de dag zijn. Argumenten daartegen dat dergelijke contextvastleggingen niet bijdragen aan het primaire proces dienen te worden afgewezen. Uiteraard is de uitvoering van het primaire proces van groot belang. De verantwoording daarover aan maatschappij, rechter, aandeelhouders en overheid is echter net zo primair als de procesuitvoering zelf. Geen enkele maatschappij kan het zich immers veroorloven als vastgestelde wet- en regelgeving niet toetsbaar is, vooral niet in de procesuitvoering waarop die regelgeving vaak is gericht. In die zin kan SOX een katalysator zijn, als lijkt de interpretatie daarvan in zijn beperking tot de financiele omgeving wellicht te beperkt.