Архивно-документационная служба австралийского штата Новый Южный Уэльс (State Archives and Records NSW) советует (см. https://www.records.nsw.gov.au/recordkeeping/advice/identifying-high-risk-business-impacts ), рассматривать направления деловой деятельности с высоким уровнем риска в любой организации как приоритетные с точки зрения управления информацией. Определив направления деловой деятельности с высоким уровнем риска, организация может выявить и смягчить связанные с информацией риски, с которыми эти направления могут сталкиваться.
На прошедшей на прошлой неделе встрече членов группы по внедрению электронных технологий (Digital Implementers Group), её участники рассказали о том, как они выявляют, оценивают и смягчают информационные риски. Дискуссия позволила увидеть практические способы рассмотрения организациями вопросов управления документами сквозь призму менеджмента риска.
Один из участников дискуссии рассказал о планах его организации мигрировать документы из существующих деловых и документных систем во вводимую в ближайшее время в эксплуатацию новую систему управления документами. В рамках этой работы они идентифицировали типы документов, которые по разным причинам очень трудно успешно извлечь из существующих систем.
Их ИТ-специалисты сказали, что они могут продолжить разработку и совершенствование решений для извлечения документов этих типов и уверены в конечном успехе. Это, однако, неизбежно оттянет ресурсы от других работ, выполняемых в рамках проекта. Организация тогда решила принимать решения о том, какие из документов требуют принятия подобных «героических мер» на основе результатов оценки риска и ценности.
В отношении некоторых типов документов, организация сочла подобные меры неоправданными. Вместо этого решено поддерживать такие документы в унаследованной системе до истечения срока их хранения.
Выявление направлений деловой деятельности с высоким уровнем риска, в качестве приоритетных для принятия мер в плане управления документами
Ещё один коллега рассказал о работе, которую их организация выполняет с целью выявления направлений деловой деятельности с высоким уровнем риска. Идея заключается в том, чтобы установить все подобные виды деятельности в масштабе организации, а затем выявить все связанные с ними информационные риски (например, риски того, что документы отсутствуют или недоступны, не подходят для выполнения поставленных задач, хранятся дольше, чем требуется и т.д.).
Результаты этой работы будут затем использованы при разработке новых и совершенствовании существующих систем. Например, планируется выявить SharePoint-сайты, которые используются для ведения деловой деятельности с высоким уровнем риска, и связать их с системой управления документами организации – с тем, чтобы всё, что было создано на этих сайтах и управлялось ими, было захвачено в качестве документов.
Управление унаследованной электронной почтой на основе подхода, опирающегося на оценку риска
Ряд членов группы рассказал о том, как их организации используют подход на основе оценки риска для управления унаследованной электронной почтой. Многие организации используют хранилища электронной почты, но при этом они могут не иметь политик в отношении сроков хранения сообщений электронной почты в хранилище. Неопределенно длительное хранение сообщений создает для организации ряд рисков (например, с точки зрения исполнения законодательно-нормативных требований в отношении персональных данных, согласно которым хранить информацию следует не дольше, чем в ней сохраняется потребность; а также с точки зрения способности отыскать нужную информацию при исполнении запросов на доступ к ней, таким, как GIPA-запросы на основании закона о свободе доступа к государственной информации штата).
Один из коллег описал ориентированный на оценку риска подход, который его организация использует для управления сообщениями в своем хранилище электронной почты. Политика организации предусматривает, что все связанные с деловой деятельностью сообщения должны захватываться в систему управления документами. Тем временем все сообщения сохраняются в хранилище электронной почты. Через определенный промежуток времени сообщения, поступившие из оперативных почтовых ящиков входящей почты сотрудников, удаляются, в то время, как переписка руководителей и ряда других высокопоставленных должностных лиц будет храниться постоянно (по сути, это американский подход Capstone, разработанный Национальными Архивами США – Н.Х.). Это решение основывалось на оценке риска, которая показала, что рядовые сотрудники лучше справляются с вводом сообщений электронной почты в систему управления документами, в то время, как у руководителей старшего и высшего звена с большой вероятностью в почтовых ящиках будут лежать важные деловые документы.
Риски бывают разными по виду и величине
Очень активно обсуждалась важность принятия во внимание репутационного риска. На него не всегда обращают внимание, однако для определенных видов организаций с высоким общественным статусом, которые очень активно взаимодействуют с общественностью, такой риск имеет критически-важное значение.
Оценивать информационные риски сложно!
Участники встречи рассказали о том, как трудно специалистам по управлению документами оценивать риски, связанные с конкретным видом деловой деятельности, если они не принимают непосредственного участия в этой деятельности. Сложно точно оценить соответствующие риски в отсутствие практических, прикладных знаний о том, что из себя представляет и что включает конкретный вид деловой деятельности.
Некоторые коллеги столкнулись с тем, что многие сотрудники в их организациях рассматривают практически каждый вид деятельности как связанный с высоким риском. Один из участников встречи отметил, что отвечающий за менеджмент риска сотрудник их организации очень ловко разбирается с подобными заявлениями, оспаривая те предположения, на которых они строятся.
Что дальше?
В настоящее время архивно-документационная служба готовит для государственных органов штата семинар по оценке информационных рисков. Если такой семинар мог бы быть полезен для Вас и Вашей команды, следите за объявлениями о времени его проведения, которые появятся на данном сайте и в нашем новостном бюллетене «Задокументировать для памяти» (For the Record, https://www.records.nsw.gov.au/recordkeeping/for-the-record ).
Группа по внедрению электронных технологий (Digital Implementers Group) проводит встречи несколько раз в год. Если данная дискуссия об информационном риске Вас заинтересовала, и Вы хотели бы присоединиться к этой группе, пожалуйста, свяжитесь с нами по адресу govrec@recordkeeping.nsw.gov.au .
Эмма Харрис (Emma Harris)
Источник: сайт архивно-документационной службы штата Новый Южный Уэльс, Австралия
https://futureproof.records.nsw.gov.au/taking-a-risk-based-approach-to-recordkeeping/
Комментариев нет:
Отправить комментарий