Både Coronakrisen og Danske Banks fejl i sager om gældsinddrivelser viser, at Records Management stadig ikke tages alvorligt nok som forretningskritisk område.
Tekst Anette Lerche
Da Danmark lukkede ned i marts på grund af Corona, tog mange medarbejdere deres laptops med hjem og koblede sig på usikre netværk for at fortsætte arbejdet hjemmefra. At forestille sig, at man som virksomhed og samfund kunne blive ramt af en pandemi, der fra den ene dag til den anden ændrede alt, havde ikke været en del af virksomheders katastrofe- og beredskabsplaner.
Kort sagt var alle uforberedte på det, der ramte, og manglede procedurer for, hvordan arbejdet omkring records eksempelvis skulle foregå på sikker vis.
- Virksomhedernes beredskabsplaner er bygget op omkring trusler, vi regnede for realistiske før Corona – såsom brand eller terror. Men ingen havde en plan for, hvordan man greb en situation an, hvor alle skulle hjemsendes i længere perioder på grund af en pandemi, siger Tine Weirsøe, underviser på Forbundet Kultur og Informations miniuddannelse i Records Management og dirktør i Scandinavian Information Audit.
Hun kan konstatere, at der i kølvandet på Corona er et øget behov for digitalisering og et større fokus på de sikkerhedsmæssige aspekter, og det giver opgaver i hendes forretning.
- Medarbejderne blev jo sendt hjem og håndterede måske kritiske records uden for virksomhedernes firewalls, hvilket udgør en sikkerhedsmæssig risiko for virksomhederne, hvis hackere eller andre it-kriminelle udnytter det, siger Tine Weirsøe.
Derfor kontaktes hun nu af virksomheder, der ønsker at have planerne klar for, hvordan lignende situationer kan håndteres.
- Jeg har fået en del opgaver med at lave beredskabs- og katastrofeplaner på Records Managementområdet. Hvad gør vi, når alle skal hjem at arbejde? Må vi tage fysiske dokumenter med hjem? Hvad er vores krav til netværket, hvordan må vi agere, hvad hvis ægtefællen er i et konkurrerende firma og så videre? Det er blevet meget relevant at få beskrevet, hvem der er ansvarlig for hvad, og hvad lederen skal sørge for – udover at medarbejderne har vpn-adgang og en bærbar computer.
Udfordringer med fysiske arkiver er også blevet ekstra tydelige, og flere virksomheder har nu fokus på at få dem gjort digitale.
Rent faktisk er alle de vigtige principper inden for Records Management blevet brudt - overblik, transparens, sporbarhed og integritet.Tine Weirsøe, underviser på KI's Records Management-miniuddannlse og direktør i Scandinavian Information Audit
Det er først, når det går rigtig galt, at værdien af Records Management står tydeligt frem. Det er administrative processer, der berører stort set alle virksomhedernes processer. Men det er ikke hovedproduktet nogen steder, og derfor bliver det let usynligt. Sådan et eksempel er den nuværende skandalesag i Danske Bank, der har fejl i gældsinddrivelserne, så kunder pludselig bliver opkrævet gammel gæld, de måske har betalt. Denne sag har Tine Weirsøe kommenteret på sin LinkedInprofil, fordi den er et godt eksempel på, hvor vigtigt det er at have en plan for håndteringen af records i hele deres livscyklus.
- Når man i en bank opretter en lånesag (dokumenter i systemet, red.), skal man tænke mange år frem, hvis alle transaktioner skal bevares i hele lånets livstid. Lån kan jo have en løbetid på tyve eller tredive år, samt en ekstra periode, hvis der kommer klagesager. Men det har man helt klart ikke gjort i Danske Bank, siger Tine Weirsøe, der peger på, at nogle af lånene, der nu er omfattet af fejlene, er helt tilbage fra slutningen af 1970’erne.
Ud over at lånene i sig selv har en livscyklus, så giver en gældsinddrivelsessag det en ekstra periode, hvor der fortsat er brug for al dokumentation i sagen. Så problemerne opstår for eksempel, når man skifter it-system, som Danske Bank gjorde i 2004.
- Så skal man sørge for, at data bliver migreret korrekt, og man skal sikre, at beregningsmodellerne fortsat fungerer. Men i dette tilfælde er der blevet byttet rundt på tal og formler, så det nye system regner forkert. Det nødvendige tjek af kvalitet i migreringen har ikke været foretaget korrekt, og dataintegriteten er blevet brudt, siger Tine Weirsøe.
Et andet krav, der heller ikke er overholdt i Danske Bank efter Tine Weirsøes vurdering, er dokumenternes sporbarhed. Man skal kunne finde ud af, hvad der er af dokumenter og transaktioner helt tilbage til den dag, kontrakten om lånet blev skrevet under.
- Men som jeg hører det, er det nu blevet nødvendigt med et manuelt detektivarbejde. Man skal i arkiverne og finde gamle mikrofilm. Det er både dyrt og tidskrævende at få rekonstrueret hver enkelt sag, der er ingen transparens, der gør, at man nemt kan finde al dokumentation i en sag. Rent faktisk er alle de vigtige principper inden for Records Management blevet brudt - overblik, transparens, sporbarhed og integritet.
Men som kunde i en bank må man vel forvente, at lige som et forsikringsselskab har overblik over dine forsikringer i den tid, de løber, og lægen har overblik over din patientjournal, så har banken styr på dit lån, siger Tine Weirsøe.
Man kan undre sig over, at store virksomheder ikke har indset værdien af Records Management, men først opdager det for sent, som de manglende beredskabsplaner i forbindelse med Corona og fejlene i gældsinddrivelsen viser. Udover det usynlige i arbejdet, fordi det som sagt ikke er et hovedprodukt, så går det ifølge Tine Weirsøe også langsomt med at blive klogere.
- Desværre tror mange, at fejlene bare handler om et it-system, der ikke virkede. Men reelt set handler sagerne jo om, at man ikke tænker i livscyklus, dataintegritet og datamanagement, når man bygger systemerne. Det kan vi også se i sagerne om momsinddrivelse og skattegæld. Vi får fejl, fordi vi ikke bygger dokumenternes livscyklus tilstrækkeligt ind i systemerne og ikke bruger ressourcer på at migrere korrekt. Det handler om at bruge mere tid og flere ressourcer på forarbejdet og have medarbejdere, der har fokus på det.
Desværre tror mange, at fejlene bare handler om et it-system, der ikke virkede. Men reelt set handler sagerne jo om, at man ikke tænker i livscyklus, dataintegritet og datamanagement, når man bygger systemerne.Tine Weirsøe
Redaktionen har bedt Dansk Bank om en kommentar til kritikken af mangelfuld Records Management. Banken svarer:
”De systematiske fejl opstod i 2004, da bankens it-systemer blev centraliseret, data migreret og processerne it-baserede, og på trods af forsøg på at afhjælpe problemerne, blev der aldrig taget ordentlig hånd om de underliggende fejl, hvorfor problemerne desværre fik lov til at eksistere gennem mange år. Det er dybt beklageligt og noget, vi ser på med den allerstørste alvor. Man skal kunne stole på de beregninger, der foretages af en bank.”
”Vi er meget omhyggelige i vores undersøgelser, hvor vi gennemgår alle sagerne enkeltvis. Det er et omfattende arbejde og tager lang tid, men det er vigtigt for os at gøre det rigtigt, så kunderne får en korrekt og fair behandling. Vi har derudover forbedret vores processer og implementerer et nyt gældsinddrivelses-system for at undgå, at dette sker igen.”
”Som vi har set med andre sager, så har vi haft utilstrækkelige processer og en ledelseskultur, hvor vi ikke har været gode nok til at få de ting frem i lyset. Vi har forbedret vores procedurer med henblik på at sikre, at sker der fejl, så tager vi ansvar for dem og retter dem. Vi kan ikke lave om på tidligere tiders fejltagelser og heller ikke garantere, at der ikke vil ske fejl, men vi kan garantere, at vi sørger for at rydde op og rette fejlene, når vi finder dem, ligesom vi gør i denne sag.”
Danske Bank har i 2020 fået kritik og fire påbud af Finanstilsynet efter fejlagtig inddrivelse af kunders gæld, hvor banken siden 2004 og muligvis i længere tid har haft fejl i data og systemer, så den år efter år har indkrævet for høje beløb fra inkassokunder. Fejlene udspringer primært fra to af bankens it-systemer, og problemet har været rapporteret internt i Danske Bank, ifølge Berlingske, der har dækket sagen tæt. Cirka 400 kunder er blevet kontaktet omkring tilbagebetaling, men op mod 100.000 sager skal gennemgås, og Danske Bank anslår selv, at op mod 15.000 bankkunder skal kompenseres.
Som en reaktion på Finanstilsynets kritik og de fire påbud tager Danske Bank, ifølge koncerndirektør og risikochef Carsten Egeriis, tilsynets påbud til efterretning:
»Vi har iværksat en række initiativer forud for tilsynets afgørelse, der tager hånd om de fleste af påbuddene, ligesom vi hurtigst muligt vil tage de nødvendige tiltag for at sikre, at alle tilsynets påbud bliver efterlevet. Vi kan desværre ikke lave om på de fejl, der er begået, og som ikke tidligere er blevet håndteret ordentligt. Men vi kan - og det er det, vi er i fuld gang med - sørge for, at vi undersøger problemerne til bunds, retter fejlene og kompenserer kunderne fuldt ud. Vi beklager dybt situationen og den usikkerhed, som vores fejl og de fejlbehæftede data i bankens inkassosystem har skabt hos både kunder, medarbejdere og andre interessenter.«
