В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Для того чтобы внедрить систему электронного документооборота и при этом избежать излишних издержек, необходимо особое внимание уделить следующим вопросам:
Системы электронного документооборота (СЭД) могут внедряться практически в любой организации независимо от сферы деятельности, будь то банки, проектные и строительные компании, государственные учреждения, фармацевтические, нефтегазодобывающие компании и так далее.
Автоматизируя процессы движения данных и документов, руководители стремятся к достижению вполне конкретных показателей. Зачастую целями внедрения СЭД являются:
• Прозрачность бизнеса – контроль исполнительской дисциплины и оперативное отслеживание своевременного выполнения задач.
• Сокращение временных и непроизводственных затрат на движение и согласование документов – автоматизация наиболее проблемных бизнес-процессов с точки зрения временных затрат и излишнего размножения бумажных документов. Серьезным шагом вперед является переход на согласование документов в электронном виде посредством использования ЭЦП.
• Сокращение временных затрат на поиск документов. Требуется структуризация всех данных, регламентирование правил именования документов и определение всех реквизитов документов, по которым производится поиск. Использование полнотекстового поиска.
• Информационная безопасность. Задача обеспечения информационной безопасности в рамках внедрения СЭД решается на нескольких уровнях: первый – это авторизация и аутентификация в системе, определяющие дальнейший доступ к ресурсам системы в соответствии с определенной ролью; второй – защита передаваемых данных путем их шифрования; третий – поставка дополнительных программно-аппаратных средств для контроля и мониторинга доступа к конфиденциальным сведениям.
• Организация совместной работы территориально распределенных пользователей. Данный вопрос актуален в случае, если организация имеет филиалы, удаленные подразделения либо необходимо предоставить доступ к документам командированным сотрудникам или контрагентам.
Отсутствие четких зафиксированных в техническом задании границ проекта влечет за собой массу бед. Одна из них – неправильная оценка сроков выполнения проекта, что грозит их срывом, а соответственно влечет убытки как для исполнителя, так и для заказчика.
Необходимо с большой ответственностью подойти к контролю промежуточных результатов создания системы, это позволит своевременно оказать влияние на ход дальнейшей разработки. Даже такие тонкости, как неудобство интерфейса, лишние действия при выполнении бизнес-процессов и т.д., могут оказаться камнем преткновения и вызвать негатив у пользователей на более поздних этапах внедрения. Корректировка решения на ранних этапах значительно эффективнее и гораздо менее затратна.
Из-за размытых границ возникает неправильная оценка бюджета проекта, что может повлечь либо излишние расходы, либо в принципе поставит под сомнение возможность реализации решения в целом.
Возможна ситуация, когда возникает разное понимание границ работы между исполнителем и заказчиком. Эта ситуация грозит возникновением конфликтных ситуаций на этапе сдачи работы, а соответственно, смещением сроков.
Перед тем как детализировать цели и обозначить границы выполняемых работ, необходимо определить узкие места и те сферы в работе компании, в которых использование систем ЭДО будет наиболее эффективным. Действенным методом определения таких узких мест является аудит или предпроектное обследование компании бизнес-аналитиками и экспертами в области ЭДО. Формулируя рамки работ с учетом полученных рекомендаций, можно быть уверенным, что построенное решение является достаточным и при этом не избыточно.
При планировании работ, а также на этапе реализации проекта очень важно учитывать все ограничения и возможные риски:
Среди всех рисков отдельное место занимает человеческий фактор. Дело в том, что использование новой информационной системы (а СЭД особенно) влечет за собой изменение привычных бизнес-процессов каждого пользователя. Приходится осваивать новые интерфейсы, новые функции, кроме того, вводится автоматическое ведение журналов учета всех пользовательских операций, что влечет за собой повышение ответственности. Часто конечные пользователи не поддерживают внедрение информационных систем и могут саботировать процесс.
Чтобы снизить влияние данного фактора, необходимо очень активно задействовать административный ресурс, проводить агитацию, привлекать сотрудников к постановке задач и тестированию, информировать о ходе выполнения проекта. Очень важно закрепить использование системы, разработав необходимые регламенты работы и издав необходимые приказы и распоряжения.
Проект внедрения информационных систем может осуществляться как компанией – системным интегратором, так и силами сотрудников организации. В качестве исполнителя необходимо выбирать компанию, обладающую опытом адаптации платформы СЭД для задач заказчика и внедрения решения.
Независимо от того, кто будет реализовывать проект, большое внимание следует уделить созданию команды проекта на стороне заказчика. От этого может сильно зависеть результат проекта в целом, поскольку команда проекта участвует в формулировании технических требований, согласовании технического задания, промежуточном контроле результатов, а также в окончательной приемке работ. Поэтому в команду проекта должны входить люди, обладающие достаточным опытом и владеющие полной информацией о бизнес-процессах внутри компании.
Рекомендуется, чтобы команду проекта составляли:
Количество человек, которые должны войти в команду, определяется объемом поставленной задачи.
Смета затрат на программное обеспечение будет состоять из следующих позиций:
На сегодняшний день на рынке представлено большое количество систем электронного документооборота: DocsVi-sion, Documentum, Lotus Notes/Domino и так далее, – большая часть информационных систем построена на платформе Microsoft SharePoint. Выбирая платформу, каждый заказчик ищет для себя компромисс между гибкостью системы (возможностью реализовать задачи без разработки новых модулей), ее сложностью и ценой. Чем более гибкую систему выбирает заказчик, тем выше цена платформы.
В некоторых случаях по соотношению "цена/качество" оптимальным может стать решение, в состав которого входят разные программные платформы, решающие узкоспециализированные задачи, но имеющие общие интерфейсы передачи данных между собой.
Учитывая все ограничения и риски, необходимо детально спланировать процесс внедрения системы.
Четко зная цели проекта, границы решения и ограничения проекта, необходимо сформировать план его внедрения. Необходимо четко определить этапы внедрения проекта и их последовательность. Как правило, этапы внедрения системы определяются по следующим принципам:
Имея в распоряжении согласованный план внедрения системы, можно снизить риски невыполнения проекта, связанные с загрузкой специалистов, вовлеченных в процесс внедрения, и периодами отпусков. Кроме того, наличие детального плана внедрения информационной системы в любом случае является одним из ключевых принципов внедрения!
Автоматизация любых процессов, помимо снижения издержек, порождает дополнительные риски для бизнеса, которые должны быть извеcтны.
К таким дополнительным рискам, помимо НСД к информации, можно отнести модификацию и подмену электронного документа, а также подмену авторства сообщения. Только представьте, какую опасность может таить изменение всего нескольких цифр в финансовом документе или очередное распоряжение от "лжегенерального" директора.
Таким образом, руководство компании при переходе на ЭДО должно быть уведомлено о наличии проблемы ИБ, для успешного разрешения которой необходимо знать:
То есть для эффективной защиты необходимо определить зону риска, чтобы "не стрелять из пушки по воробьям и не бежать с пистолетом на танк". Информационная безопасность прежде всего должна способствовать бизнесу, и все расходы на ее обеспечение должны быть обоснованными.
Помимо упомянутых в статье целей СЭД по информационной безопасности я бы также упомянул необходимость соответствия требованиям законодательства, в том числе требованиям Федерального закона № 152-ФЗ "О персональных данных". Минимизация издержек по достижению соответствия требованиям законодательства также возможна. Для кредитных организаций, например, это принятие стандарта Банка России СТО БР ИББС-1.0-2010. Но это уже тема отдельной статьи.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2011