Организации с разным уровнем зрелости процессов юридической опеки информации платят в десять раз больше организаций со зрелой стратегией управления информацией
Москва, 10 сентября 2008 г. – Организация IT Policy Compliance Group (ITPCG) выпустила отчет «Улучшение результатов юридической опеки информации», основанный на интервью с представителями 235 фирм. Оказалось, что расходы, связанные с юридической опекой информации, значительно варьируются в зависимости от размера организации и зрелости ее стратегии юридической опеки информации. Юридическая опека начинается тогда, когда организация узнает о судебном расследовании или ревизии регулирующих органов, либо ожидает подобное мероприятие.
Если расходы по юридической опеке данных крупных предприятий, соблюдающих нормативные требования, составляют в среднем от $500 тыс. до $9 млн в год, то организации с минимальным опытом в этой области расходуют от $1,5 млн до более чем $28 млн. Напротив, наиболее опытные в отношении юридической опеки данных предприятия позволяют крупным организациям расходовать всего от $120 тыс. до $2,6 млн в год. Для организаций всех размеров исследование ITPCG показывает, что наименее опытные компании несут расходы, более чем десятикратно превышающие расходы аналогичных компаний с более совершенной практикой юридической опеки информации.
«Интересно и, пожалуй, логично, что те же организации, которые быстрее реагируют на юридические запросы информации, применяют наиболее зрелые, комплексные процессы и процедуры для постоянного соблюдения нормативных требований и защиты конфиденциальной информации клиентов», — говорит управляющий директор ITPCG и главный менеджер по исследованиям Symantec Джим Херли (Jim Hurley).
Исследование показало также, какое количество подлежащей юридическим запросам информации хранится в электронной форме (ESI). Среди крупных предприятий на долю ESI приходится 50-70% всех данных, среди фирм среднего размера — 35-50%, а среди малых предприятий — 20-35%. Более высокий уровень ESI означает повышенную уверенность в доступности, соответствии нормативным требованиям и точности данных, но для ответа на юридические запросы это преимущество можно использовать только в том случае, если данные индексированы в целях быстрого поиска, безопасности и повышения производительности труда.
Юристы, опрошенные в ходе этого исследования, говорят, что настоящие судебные расследования составляют лишь малую часть от общего числа судбных запросов данных, которые могут привести к юридической опеке. Исследование ITPCG, дополненное многочисленными углубленными интервью с юристами, содержит интереснейшие ответы по поводу стратегических мер, которые предприятиям следует принимать для повышения результатов, снижения судебных издержек и расходов и сокращения внутренних затрат на поиск, создание и защиту информации в связи с юридическими запросами.
В число конкретных мер в области ИТ, которые приводят к улучшению результатов и сокращению расходов, входят:
- выявление пробелов в процедурных и технических методах контроля
- преобразование информации в электронные форматы
- инвентаризация и индексация данных для быстрого поиска
- повышенная частота операций мониторинга и измерений
- устранение пробелов в процедурных и технических методах контроля
- модернизированные политики и процедуры
Для улучшения результатов при минимальных затратах рекомендуются следующие технологии:
- резервное копирование и архивация
- инструменты ввода и преобразования данных
- инструменты индексации данных и записей
- инструменты хранения и распространения записей
- инструменты обучения и тренинга сотрудников.
Цитаты представителей организаций-членов ITPCG
«Как показал отчет, правильное руководство ИТ — включая управление данными и современные правила и процедуры — помогают предприятию в полной мере и эффективно выполнять свои юридические обязательства, — говорит бывший международный президент ISACA, дипломированный бухгалтер Эверетт Джонсон (Everett Johnson). — Строгие меры по руководству ИТ помогают руководителям ориентировать свои ИТ-подразделения на оптимальное использование преимуществ, снижение связанных с ИТ рисков и укрепление уверенности в предоставляемой ИТ информации. Значение всего этого повышается, так как отчет показывает: сегодня ИТ-подразделения тратят значительное время на составление ответов по юридическим запросам».
«Правильный сбор и последующая организация юридических данных помогает компаниям не только избежать обвинений и сэкономить значительное количество денег, но и защитить себя, своих сотрудников и клиентов, — говорит директор по технологическим практикам Международного института аудиторов, дипломированный бухгалтер, аудитор информационных систем Лили Би (Lily Bi). — Стратегические меры, вытекающие из результатов этого исследования, представляют собой ценный ресурс для международных аудиторов, которые ищут способы снизить риск и помочь организациям повысить качество своих мероприятий в этой области».
«Количество судебных разбирательств растет, и методы сбора данных при судебных расследованиях становятся все сложнее. Эти усугубляющиеся трудности вынуждают организации мобилизовать свои внутренние силы и ресурсы на решение задачи снижения рисков и расходов, связанных с юридическими расследованиями, — говорит Рокко Грилло (Rocco Grillo), управляющий директор Protiviti Inc. — Отчет IT Policy Compliance Group наглядно демонстрирует необходимость совместной работы ИТ- и юридических подразделений. Экономия и потери, связанные с несоблюдением нормативных требований, слишком велики, чтобы их игнорировать».
Информация об исследовании
Вопросы, на которые отвечает исследование IT Policy Compliance Group, входят в текущий план научной работы, составленный по рекомендациям членов организации и результатам предыдущих исследований. В число недавних исследований, включенных в этот отчет, входят опросы, проведенные в октябре-ноябре 2007 года с участием 235 отдельных организаций, удовлетворяющих квалификационным требованиям. Большинство организаций (90%), участвовавших в этом исследовании, находятся в США, а остальные 10% — в других странах, в число которых входят Австралия, Бразилия, Великобритания, Германия, Ирландия, Испания, Канада, Нидерланды, ОАЭ, Польша, Сингапур, Франция и Япония.
Информация об IT Policy Compliance Group
IT Policy Compliance Group занимается пропагандой развития научных исследований и распространения сведений, которые помогают организациям достигать своих целей в области соблюдения законодательных и нормативных требований. Задачей IT Policy Compliance Group является оказание помощи членам организации в улучшении экономических показателей, качества руководства, управления риском и соблюдения нормативных требований с использованием оценок, основанных на фактах. В число участников организации входят такие ведущие учреждения, как Институт компьютерной безопасности, Международный институт аудиторов, Protiviti, ISACA, IT Governance Institute и Symantec Corporation (NASDAQ: SYMC). Более подробные сведения можно получить на веб-сайте www.ITPolicyCompliance.com
###
ПРИМЕЧАНИЕ ДЛЯ РЕДАКТОРОВ: За дополнительной информацией об IT Policy Compliance Group обращайтесь, пожалуйста, к разделу About Us веб-сайта http://www.itpolicycompliance.com/about%5Fus/.
О корпорации Symantec
Корпорация Symantec — мировой лидер области решений для обеспечения безопасности, хранения данных и системного управления, которые помогают предприятиям и индивидуальным пользователям управлять своей информацией. Штаб-квартира Symantec расположена в Купертино, штат Калифорния, США. Корпорация имеет представительства более чем в 40 странах. За более подробной информацией обращайтесь, пожалуйста, на веб-сайт www.symantec.com