Интервью с автором: Уильям Саффади об исполнении установленных требований, связанных с информацией

Данная заметка доцента Университета центрального Миссури (University of Central Missouri) д-ра Лорен Хейс (Lauren Hays – на фото) была опубликована 6 июня 2023 года на сайте компании Lucidea.

Уильям Саффади (William Saffady) - независимый консультант и исследователь в области управления документами и стратегического управления информацией (information governance). Он является автором более трёх дюжин книг и множества статей по вопросам управления документами, хранения документов в течение установленных сроков, технологий хранения и извлечения документов и по другим темам управления информацией.

Мой комментарий: На блоге в свое время были выложены переводы двух статей Уильяма Саффади, см. http://rusrim.blogspot.com/2019/02/1_26.html и http://rusrim.blogspot.com/2019/12/1.html

Последняя из написанных им книг называется «Исполнение установленных требований, связанных с информацией: Фундаментальные концепции и передовые практики» (Information Compliance: Fundamental Concepts and Best Practices). Она выйдет в издательстве Rowman & Littlefield в июне 2023 года (см.  https://rowman.com/ISBN/9781538167663/Information-Compliance-Fundamental-Concepts-and-Best-Practices - для доступа может потребоваться VPN/анонимайзер – Н.Х.). Ниже приводится взятое мной у Уильяма Саффади интервью по поводу этой книги.

1. Не могли бы Вы кратко резюмировать содержание книги «Исполнение установленных требований, связанных с информацией: Фундаментальные концепции и передовые практики»?

В книге дан обзор и объяснение нормативно-правовых и иных подлежащих исполнению требований в отношении создания, сбора, хранения, отслеживания сроков хранения, поиска и извлечения, раскрытия, защиты и владения информацией.

В то время как тема исполнения требований (соответствия) в целом обсуждается в тысячах книг, журнальных статей, докладов на конференциях, на многочисленных веб-сайтах и в других источниках, - лишь немногие публикации рассматривают именно специфические требования, относящиеся к информации; а те, которые это делают, как правило, рассматривают только нормативно-правовые требования.

В данной книге используется более широкий подход, признающий всю сложность вопроса о соблюдении установленных требований к информации. В книге обсуждаются обязательные для исполнения требования, которые установлены в законах, в нормативных актах, в контрактах, стандартах, отраслевых нормах, а также в кодексе поведения организации и иных внутренних политиках. Также рассматривается принятие организацией во внимание   социальных и экологических проблемных вопросов, на которые влияют имеющие отношение к информации политики и практики организации.

2. Почему Вы решили написать эту книгу?

Когда я впервые начал работать в сфере управления документами в начале 1970-х годов, в профессиональной практике упор делался на сокращение объёмов устаревшей информации с тем, чтобы сократить количество занимаемых неактивными документами ценных офисных площадей. Именно благодаря этому в 1950-х годах управление документами приобрело известность как профессиональная дисциплина.

Переход на электронные документы в практически положил конец этому образу мыслей. В настоящее время проявляется намного меньший интерес к отслеживанию сроков хранения документов и выполнении по их истечении установленных действий как к методологии экономии места. За последние несколько десятилетий акцент сместился на обеспечение того, чтобы информация сохранялась в течение времени, необходимого для исполнения законодательно-нормативных требований.

Эту тенденцию я наблюдаю каждый день в своей консультационной практике. Законодательно-нормативные требования к хранению и уничтожению информации являются наиболее широко обсуждаемыми проблемами исполнения установленных требований, - но они не единственные.

Организация может быть обязана по контракту хранить или уничтожать информацию в определенных ситуациях. Стандарты и нормы содержат указания по соблюдению требований в отношении информации, поддерживаемой определенными отраслями и профессиями. Во многих организациях кодексы поведения требуют соблюдения внутренних политик хранения и уничтожения информации. И, наконец, внутренние политики организации могут принимать во внимание требования, на соблюдении которых настаивает общество. Это соответствует идеям так называемому «движения ESG», которое призывает организации учитывать экологические, социальные и управленческие соображения (отсюда сокращение ESG – Н.Х.) в своих деловых инициативах.

3. Как связаны управление информационными рисками и исполнение установленных требований в отношении информации?

Исполнение установленных требований (комплаенс) является одним из компонентов так называемой GRC-структуры (сокращение от governance, risk, compliance – Н.Х.), которая объединяет три широко обсуждаемых элемента организационной стратегии, а двумя другими являются стратегическое управление и риск.

Обязанности служб комплаенса и управления рисками тесно взаимосвязаны. Комплаенс касается приверженности организации исполнению как законодательно-нормативных, так и иных обязательных требований. Управление рисками имеет дело с неблагоприятными последствиями неисполнения требований. Неисполнение установленных требований подвергает организацию риску штрафов, взысканий и иных дисциплинарных мер, которые обходятся организации дорого и нарушают нормальный ход определенных деловых операций. Несоблюдение законодательно-нормативных требований может также привести к усилению контроля со стороны государственных органов и, в самых крайних случаях, к уголовному преследованию.

Следует отметить, что данная книга написана в качестве дополнения к моей книге «Управление информационными рисками: Угрозы, уязвимости и реагирование» (Managing Information Risks: Threats, Vulnerabilities, and Responses), которая была опубликована издательством Rowman and Littlefield в 2020 году.

4. Кто является целевой аудиторией книги?

Книга предназначена для специалистов по комплаенсу, стратегическому управлению информацией, управлению (менеджменту) рисками; для юристов, специалистов по управлению документами, ИТ-руководителей и других принимающих решения лиц; и для аналитиков, которым необходимо понимать и соблюдать законодательно-нормативные и иные требования, применимые к информационным активам организации. .

Книгу также можно использовать в качестве учебника в колледжах и университетах, которые предлагают курсы по комплаенсу, управлению рисками, стратегическому управлению информацией, управлению документами и смежным темам на уровне магистратуры или продвинутого бакалавриата.

В частности, книга может быть полезна для учебной программы, которая сочетает тему исполнения требований с вопросами стратегического управления информацией, информационных рисков, управления документами, информатики, медицинской информатики и других связанных с информацией дисциплин.

5. Что, по-Вашему мнению, читатели смогут вынести из этой книги?

Исполнение законодательно-нормативных и иных установленных требований (комплаенс) — это многогранное понятие, которая затрагивает все аспекты обработки информации и управления ею: создание и сбор информации; установление сроков хранения, хранение информации в течение этих сроков и её последующее уничтожение либо передача в другую организацию или на архивное хранение; хранение и обеспечение долговременной сохранности информации; доступ к информации и её раскрытие; обеспечение безопасности и защиты информации; а также права собственности на информацию.

6. Какие Вы ожидаете в будущем изменения в сфере исполнения требований, установленных в отношении информации?

Изменения в законодательстве влекут за собой появление новых требований, которые необходимо соблюдать. Растёт интерес к экологическим и социальным вопросам, которые влияют на связанные с информацией операции и виды деятельности. По большей части эти соображения связаны с вопросами этики и устойчивого развития.

Лорен Хейс (Lauren Hays)

Источник: сайт компании Lucidea
https://lucidea.com/blog/interview-with-the-author-william-saffady-on-information-compliance/