SOX compliance som argument med bind for øjnene

Da jeg for snart længe siden - ultimo 2004 i think - deltog jeg i en del seminarer omkring e-mail arkiveringsløsninger, som blev præsenteret som den evige løsning på compliance problematikker.

Jeg har sikkert nævnt det i en tidligere artikel, men nu får du historien igen. Dinosaurer har ret til at gentage sig selv. Jeg har personligt arbejdet med e-mail arkivering i en menneskealder. Vel at mærke en menneskealder i IT-verdenen, som er det omvendte af hundealderen. En menneskealder i IT-verdenen er kun 5 år. Hvis du ikke har fornyet dig indenfor de 5 år, så er du død og borte. I bedste fald reinkarneret som hundehandler.

E-mail arkivering blev indtil primo 2005 markedsført som løsningen på server-forstoppelse, hvilket absolut var og stadig er et godt argument for implementering af en løsning til arkivering.

Men på et tidspunkt fik konsulenterne nogle flere argumenter at spille på. De amerikanske myndigheder havde vedtaget SOX, Sarbanes Oxley regulativet. Så kunne man pludselig høre nye argumenter på seminarerne. I henhold til SOX, Sarbox eller Public Company Accounting Reform and Investor Protection Act of 2002, som den rettelig hedder officielt, skulle man altså pludselig sikre sine e-mails ved hjælp af emailarkivering. Vel at mærke på grund af SOX. Også i Danmark.

Nu er jeg jo nysgerrig af natur, så jeg måtte se dette SOX regulativ og fandt det ved hjælp af Google - selvfølgelig. Downloadede det og læste det. Har du prøvet at læse 66 siders amerikansk lovgivning? Jeg har. Og det var altså svært at finde et sted, som nævnte noget som helst om e-mail arkivering.

Men det man trods alt kunne læse sig til, var at hvis man ikke overholdt Sarbanes-Oxley lovgivningen, kunne man risikere 25 års fængsel. Typisk amerikanerne. Du kan få 25 år hvis du stjæler en sandwich for tredje gang, du kan ende i Guantanamo, hvis du befinder dig det forkerte sted på det forkerte tidspunkt, og du kan altså risikere 25 år hvis du ikke har arkiveret og sikret dine e-mails.

Jeg kan godt forstå at det føg hen over hovedet på mange deltagere på disse seminarer.

Det som foredragsholderne typisk glemte var at tage bindet fra øjnene. Vi taler altså om danske forhold og man risikerer ikke noget som helst i Danmark for ikke at sikre sine data. Selv persondataloven overtrædes dagligt, uden at nogen som helst bliver tiltalt. Det er aldrig sket.

MEN på den anden side. Det som man kan uddrage af Sarbanes Oxley regulativet er, at en e-mail ER og SKAL betragtes som et forretningsdokument. Det skal behandles som et fortroligt dokument på lige fod med trykte aftaler, ordrer og klausuler. Forretningsdokumenter på papir bliver sikret og arkiveret i alle virksomheder. Og man ville ALDRIG tillade at en enkeltperson havde vigtige aftaler liggende i skrivebordsskuffen og kalde det arkivet.

Hvis en e-mail betragtes som et forretningsdokument, hvorfor lader man så medarbejdere selv stå for arkivering af e-mails? For det er jo netop hvad der sker mange steder. Medarbejdere bliver pålagt selv at finde ud af hvilke e-mails der er vigtige nok til at gemme (i deres skrivebordsskuffe eller lokalt på deres arbejdsstation) og hvilke der decideret kan slettes. Ofte med undskyldning i, at mailserverens kapacitet er ved at nå grænsen, så medarbejderen skal reducere indholdet af mailboksen.

Hvad gør en travl salgskonsulent. Han arkiverer og sletter hvad han selv anser for vigtigt og uvigtigt. Og bruger tid på det. Værdifuld tid for konsulenten og virksomheden. Med bind for øjnene. Det er da muligt at en mail bliver vigtig engang, men det bliver efter min tid.

Ingen kritik til salgskonsulenten - helt ærligt.

Men absolut kritik til virksomheden, som ikke sørger for at sikre sine forretningsdokumenter af hensyn til SOX, EuroSox, compliance, Corporate Governance, eftermælet, god forretningsskik, regulativer, lovgivning, MiFid, 3. hvidvask direktiv samt de økonomiske argumenter.

Hvis du vil have flere argumenter, så deltag i DocTech’s seminar: Sikker e-mail arkivering. Til forskel fra usikker arkivering, er det helt gratis.

På gensyn d. 5. eller 7. november.