Bases para integrar los documentos en los sistemas de información empresariales

Los documentos son “información creada, recibida y conservada como evidencia y como activo por una organización o individuo, en el desarrollo de sus actividades o en virtud de sus obligaciones legales” (UNE-ISO 15489-1), es decir, se producen y utilizan para llevar a cabo las actividades de negocio, garantizando además que estas se han efectuado realmente. Esto implica que, para acreditar de modo adecuado las acciones realizadas por la empresa y demostrar el cumplimiento de las normas legales y las políticas internas, debería tenerse en cuenta la creación y control de documentos en la planificación y diseño de los sistemas de información empresariales.

Se evitarían así situaciones que suelen producirse cuando no se integran los requisitos de los documentos en el diseño de estos sistemas: dificultades para manejar los documentos, falta de garantías para mantener documentos completos e inalterados, necesidad de utilizar información fidedigna que no se encuentra disponible, aumento de los riesgos de incumplimiento, pérdida de eficiencia, etc.

Un enfoque que nos ayuda a alinear los sistemas de información empresariales y la gestión de documentos es el que ofrece la arquitectura de empresa, que busca integrar los procesos de negocio, los datos, las aplicaciones y la infraestructura tecnológica. Así lo plantea la norma Records management in enterprise architecture (ISO/TR 21965), al proponer una serie de “principios de arquitectura” (directrices o líneas de acción de alto nivel que guían el desarrollo de los sistemas de información) orientados a incorporar los requisitos de los documentos en la práctica empresarial habitual y en las soluciones que se diseñarán.

Principios de arquitectura para la gestión de documentos

Estos principios también sirven de base para diseñar modelos de gestión documental ya que proporcionan una perspectiva global que permite abordar varias cuestiones fundamentales:

• Evidencia. Los documentos, para ser considerados evidencias y respaldar las actividades de negocio, tienen que presentar ciertas características (autenticidad, fiabilidad, integridad y usabilidad) desde el momento de su creación, manteniéndolas durante todo el tiempo que han de conservarse. En tal sentido, los sistemas de información empresariales deberían facilitar que los documentos están disponibles cuando se necesitan, que se protegen contra el uso inadecuado o la pérdida de integridad y que se preservan a lo largo del tiempo resguardando su contenido, su estructura y sus metadatos.
• Ubicuidad. La gestión de documentos es parte integral del negocio. Esto implica que todos los documentos que reflejan las actividades de negocio deberían ser incorporados a los sistemas de información empresariales. Esto supone tener en cuenta cualquier información que se crea, se recibe y se mantiene como evidencia: los documentos electrónicos (incluyendo los documentos digitalizados o los mensajes de correo electrónico), la información registrada en aplicaciones de negocio y los contenidos web (por ejemplo, páginas web o comunicaciones en redes sociales), con independencia del espacio en que estén almacenados (servidores corporativos, servidores en la nube, dispositivos móviles).
• Conciencia del riesgo. La gestión de los documentos comprende la gestión de los riesgos para los documentos. Estos riesgos están vinculados no solo a la seguridad de la información y a los cambios en la tecnología sino también a otras fuentes de riesgo que pueden afectar a las actividades de negocio: cumplimiento de los requisitos legales, normativos y contractuales, rendición de cuentas a las partes interesadas, toma de decisiones basada en información fidedigna, disponibilidad de evidencias en caso de reclamaciones, conflictos o litigios, etc.
• Metadatos. La gestión de documentos requiere metadatos que describan el contexto, el contenido y la estructura de los documentos. Estos metadatos también se deben gestionar como evidencias ya que, entre otras cuestiones, garantizan la autenticidad, fiabilidad e integridad de los documentos.
• Identificación y valoración. Para gestionar adecuadamente los documentos primero hay que identificarlos y valorarlos, es decir, determinar los documentos que es necesario crear en cada actividad de negocio y establecer sus plazos de conservación. Esta acción de identificar las evidencias que se deben crear y mantener está estrechamente ligada a la evaluación de los riesgos de la organización (conciencia del riesgo) y ha de enfocarse, por tanto, a analizar los requisitos de evidencia de cada actividad de negocio a fin de prevenir o reducir efectos no deseados: qué documentos se crean y capturan, cómo se incorporan y protegen en los sistemas de información empresariales y durante cuánto tiempo se han de mantener.
• Disposición. La disposición de los documentos (conservación, eliminación o migración a otro sistema) debe planificarse y llevarse a cabo como una actividad habitual de la gestión de documentos, de acuerdo al marco legal y normativo y a las políticas de la organización. Definir criterios para la disposición de los documentos y aplicarlos regularmente ayuda a disminuir los riesgos que pueden derivarse, por ejemplo, de la destrucción no autorizada de los documentos o de la conservación de aquellos que contienen datos personales más allá del tiempo prescrito.

En conclusión, las empresas deberían asegurar que sus sistemas de información facilitan la gestión de documentos y dan respuesta a riesgos como la no disponibilidad de evidencias de las actividades, la falta de garantías de integridad de los documentos o las dificultades para localizar o acceder a los documentos. Estos sistemas se tendrían que diseñar y desarrollar teniendo en cuenta aspectos como la identificación y descripción de los documentos, el uso de formatos admitidos, la revisión y aprobación de los documentos, los controles de acceso, el almacenamiento, la preservación de la legibilidad o la aplicación de criterios apropiados de conservación y disposición.