Регулирование, управление, информационные технологии. Эти три понятия стали предметами особого внимания организаций. Почему так получилось, и можно ли успешно справиться с проблемами, которые они вызвали? В нашей статье описаны одиннадцать шагов, которые помогут понять взаимосвязь между тремя указанными составляющими, а также даны рекомендации по улучшению комлпленса.

Понять суть

В числе 30 прав человека, обозначенных Организацией Объединенных Наций есть «право на свободу мысли…» и «… мнения и выражения». Попытки применить эти красивые формулировки на практике приводят к возникновению проблем – можно ли реализовать своё право на свободу мысли и выражения, не ущемляя права других людей?
Ответ – невозможно, но изначально принятые нормы менялись с течением времени, формируя поведение, приемлемое для общества: на этот процесс влияют регулирование и управление. Новые технологии расширяют возможности общества, но одновременно эксплуатируют его: сегодня информационные технологии «наделены полномочиями».

Понять взаимосвязь между управлением и регулированием

Отправной точкой является  управление. Управление определяет поведение и отношения.
Если бы у всех людей были одинаковые ожидания, амбиции и опыт, хорошее управление появилось бы естественным путём. Но все мы разные, поэтому неизбежно возникают этические проблемы, которые могут быть решены только путём установления консенсуса в отношении того, что следует считать беспристрастным и справедливым.
На этой основе происходит разработка официального регулирования, кодексов корпоративного управления, этической политики и таких структур, как COBIT (Control Objectives for Information and Related Technologies), которые кодифицируют то, как мы должны себя вести, и устанавливают ожидания в отношении полезности для общества в результате такого поведения.

Понять сильные и слабые стороны информационных технологий

Информационные технологии преобразили нашу жизнь. Они позволили людям в богатых и бедных странах делать то, о чём они даже не мечтали 30 лет назад. Давайте рассмотрим два аспекта —  интернет и бизнес-системы — чтобы понять всё могущество и слабость ИТ.
Интернет объединяет миллионы людей, но одновременно затрудняет идентификацию того, с кем мы общаемся и почему. Это заставляет отдельных людей и общество в целом задуматься о том, насколько полезна неуправляемая всемирная сеть. Каждый из нас ищет подходящий рычаг управления для сети, начиная от «без ограничений» до различных степеней ограничений. Мы все хотим иметь технологии, которые приносят пользу, не причиняя вреда, но интерпретация понятий проблематична на национальном, культурном и личном уровнях. Что мы подразумеваем под «вредом», например? Недостатком сети является то, что мы не можем руководить ею, но местные законодательства устанавливают свои границы допустимого использования и поведения.
Бизнес-системы, независимо от того, предлагают ли они клиентские услуги или предназначены исключительно для внутреннего использования, имеют свои собственные особенности управления. Это даёт огромные преимущества для быстрого анализа данных и обработки больших объёмов транзакций на всех этапах их проведения. Это исключает человеческие ошибки, но также и снижает знания.
Базовые допущения и зависимости со временем забываются, поэтому расширение одной области системы может иметь непредвиденные последствия для других частей. Вспомните, как часто в новых компьютерных программах появляются новые ошибки. Сказать, что это происходит из-за недостаточного тестирования, слишком просто: чтобы понять, что нужно тестировать, следует для начала узнать, как все аспекты системы и службы будут реагировать на изменения.

Сосредоточиться на интеграции бизнеса и ИТ-дизайна

Приложения становятся более простыми, поэтому нам необходим более простой подход к созданию систем и приложений. Бизнес по-прежнему должен задавать направление, а ИТ — помогать ему, но это должно быть содружество равных, которое осуществляется на основе регулярного и частого общения для улучшения взаимопонимания.

Понять, что влияет на управление вашей организацией

Любой бизнес подчиняется законодательству, которое распространяется на деятельность компании. Многочисленные корпорации должны следовать кодексам корпоративного управления, а отдельные сектора — иметь конкретные правила. Только по вопросам управления имеется огромный список нормативных документов.
Вам необходимо иметь общее представление о том, что влияет на управление в вашей компании, и иметь доступ к экспертам вашей организации, как правило, к специалистам по правовым вопросам и нормативным требованиям, для проверки деталей. Изменения в информационных технологиях работают в двух направлениях: изменение процесса необходимо проверять на соответствие нормативным требованиям, а изменения нормативных требований следует оценивать на соответствие ИТ-процессам.

Знать, кто является основными заинтересованными сторонами и лицами, принимающими решения

Могут существовать конкурирующие требования у  сотрудников, которые управляют сервисом (поддержка), пользователями сервиса (применимость), менеджерами по рискам (безопасность и контроль) и менеджерами комплаенса (соответствие).
Например, повышенная безопасность может сделать систему более сложной в использовании или для соблюдения требований может понадобиться больше информации, чем фактически нужно компании.

Проверить соответствие стратегиям или бизнес-целям

Проверьте концепцию на соответствие стратегии и целям. Имеет смысл проверить, соответствуют ли изменения целям высшего руководства, прежде чем их применять. Слишком часто стратегия, принятая на уровне Совета директоров, отличается от того, что на самом деле происходит в области оперативной деятельности.

Получить доступ к специалистам

Если вы не можете получить доступ к бизнес-экспертам, то есть риск, что ваш проект станет для вас невыгодным. В худшем случае ваша организация больше не сможет подтвердить соответствии требованиям и лишится лицензии.

Убедиться, что применяются правильные основы руководства ИТ

Правильная документация должна включать первоначальный проект с указанием имён всех его участников, их должностей и отдела, а также дату, что очень важно, поскольку она обеспечивает контекст, в котором были приняты решения.
Документация должна поддерживаться в актуальном состоянии и проверяться на предмет её актуальности так же часто, как и тестирование реальной системы. Таким образом, снижается потеря знаний, и документация становится полезным активом, связывающим бизнес-требования с ИТ-решениями.
Чётко определите полномочия, обязанности и порядок отчётности. Уточните уровень автономии для принятия решений.

Расширить зону оценки риска

Ошибки управления часто являются следствиями ошибок в суждениях, потому что риски оцениваются слишком узко, как правило, на уровне бизнес-единицы. В области информационных технологий многие оценки рисков сосредоточены только на проектном процессе.
Расширьте оценку за пределы проекта — оцените корпоративные, деловые, проектные и товарные риски для всех ИТ-разработок, чтобы получить более чёткую картину причин и следствий для всего бизнеса.
Структуры управления, такие как COBIT, могут указать вам верное направление.

Пересмотреть способы управления данными

Это область, которая часто упускается из виду, как показало обсуждение больших данных: управление данными занимает много времени. Данные — это жизненная сила бизнеса. Если данные используются не по назначению, они не возвращают средства, затраченные на их сбор и хранение. Нормативные документы по защите данных, хотя и сфокусированы на личных данных, содержат некоторые рациональные принципы, которые применяются ко всем данным.

Информационные технологии расширяют возможности организаций и частных лиц. Данные предоставляют информацию и знания. Под управлением бизнес-профессионалов и ИТ-специалистов они становятся автоматизированными системами и процессами, которые производят товары и услуги, а также являются доказательством того, что эти товары и услуги были получены способами, соответствующими сектору бизнеса.
Чтобы обеспечить одинаковое отношение к поставщикам, клиентам и обществу, наши организации должны работать в рамках культуры правильного руководства и демонстрировать управление через соблюдение нормативных требований.