CPG 235. Австралийское управление пруденциального регулирования (The Australian Prudential Regulation Authority, APRA) осуществляет надзор за банковской и страховой дея тельностью. Оно публикует стандарты и руководства по выполнению требований этих стан дартов. Среди них стандарт CPG 235, регламентирующий вопросы управления рисками, свя занными с данными. Основное внимание в стандарте уделяется источникам риска и управле нию данными на протяжении всего их жизненного цикла.

PCI-DSS — стандарты защиты информации в индустрии платежных карт (The Payment Card Industry Data Security Standards).

Solvency II — регламент ЕС для отрасли страхования, в целом воспроизводящий требования соглашения «Базель II».

Законы о конфиденциальности. Должно обеспечиваться соблюдение всех местных, нацио нальных и международных законов в этой сфере.

Органы руководства данными совместно с руководством бизнеса и технического блока проводят работу по оценке влияния действующих регулирующих документов на организацию. Они долж ны, например, ответить на следующие вопросы.

Каким образом требования документа затрагивают организацию?

Что понимается под соответствием требованиям? Какие правила и процедуры необходимы для обеспечения соответствия?

Когда требуется соответствие? Как и когда отслеживается соблюдение соответствия?

Если организация начнет применять отраслевые стандарты, достаточно ли этого для обеспе чения соответствия требованиям?

Как можно продемонстрировать соответствие?

Какие риски и штрафные санкции влечет за собой несоответствие?

Каким образом можно выявить несоответствие и сообщить о нем? Как осуществляется управ ление несоответствием и его устранение?

В рамках DG должен быть обеспечен контроль реагирования организации на нормативно-пра вовые требования или результаты проверок данных и действующих практик работы с данными (например, с помощью сертификации качества данных, включаемых в отчетность для регулирующего органа) (см. главу 6).

2.12 Внедрение руководства данными

Руководство данными не может быть внедрено моментально. Требуется тщательное планирова ние его внедрения — и не только из-за необходимости учесть все необходимые организационные изменения, но и просто из-за многогранности и сложности комплекса проводимых работ, кото рые должны быть скоординированы. Лучше всего создать дорожную карту внедрения с указани ем сроков и взаимосвязей между работами по разным направлениям. Например, если в центре

внимания программы DG находятся вопросы обеспечения нормативно-правового соответствия, определяющее влияние на расстановку приоритетов должны оказывать требования регулирую щих органов. При федеративной операционной модели DG (см. рис. 17) внедрение по различным направлениям бизнеса может проходить по разным графикам, которые зависят от уровней их вовлеченности и зрелости, а также от выделения средств.

Часть работ по внедрению закладывает фундамент руководства данными. От них зависят остальные внедренческие мероприятия. Эти работы выполняются в первую очередь и требуют постоянной поддержки и развития. На начальных стадиях приоритетными являются следующие направления деятельности.

Определение процедур руководства данными, необходимых для достижения наиболее прио ритетных целей.

Выработка, согласование и ввод в действие бизнес-глоссария, а также документирование тер минологии и стандартов.

Согласование с корпоративной архитектурой и архитектурой данных для обеспечения луч шего понимания данных и систем.

Финансовая оценка информационных ресурсов в целях оптимизации принятия решений и улучшения понимания роли данных в обеспечении успешной работы организации.

2.13 Поддержка стандартов и процедур

Стандарт определяется как «некоторая вещь, которая является очень хорошей и используется для вынесения суждений о качестве других вещей» или как «устанавливаемое полномочным органом правило измерения количества, веса, габаритов, ценности или качества»1 Стандарты помогают определять само понятие качества и судить о качестве вещей, выступая базой для сравнения. Они также предоставляют возможности для упрощения процессов. Утверждая стандарт, организа ция единожды принимает взвешенное решение и кодифицирует его в виде набора формальных утверждений (стандарта). Это избавляет от необходимости всякий раз заново обсуждать и при нимать решение по тому же вопросу в рамках каждого нового проекта. Обеспечение соблюдения стандартов способствует получению согласующихся результатов от процессов, в которых эти стандарты применяются.

Ксожалению, процесс разработки или принятия стандартов зачастую политизируется —

исформулированные выше цели забываются. Что касается стандартов в области данных руковод ства данными, то у большинства организаций просто нет достаточного опыта их разработки и вне дрения. В некоторых случаях отсутствует понимание выгод от этой деятельности и, следовательно, ей не уделяют времени. В результате то, что называют «стандартами», очень широко варьируется не только от организации к организации, но и в пределах каждой из них; то же самое касается и ожида ний в отношении их соблюдения. Между тем стандарты DG должны быть обязательными для всех.

1 http://bit.ly/2sTfugb

сывают: правила заполнения полей, правила, определяющие связи между полями, допустимые

инедопустимые значения, форматы и т. д. Проект стандарта обычно создается профессионалами в области управления данными. Затем он должен быть рассмотрен, одобрен и принят DGC или специально созданной рабочей группой — например, Управляющим комитетом по стандартам данных. Уровень детализации стандартов при их документальном оформлении зависит отчасти от организационной культуры. Важно помнить, что документирование дает возможность зафик сировать детальную информацию или знания, которые без такой фиксации могут быть потеря ны. Воссоздание или реверс-инжиниринг c целью получения доступа к этим знаниям являются очень затратными по сравнению с документированием в самом начале их выявления.

Стандарты данных должны оперативно доводиться до сведения заинтересованных лиц, кон тролироваться, а также периодически пересматриваться и обновляться. Но главное — преду смотреть средства обеспечения их соблюдения. Данные можно оценить путем сравнения со стан дартами. Проверки работ по управлению данными могут проводиться DGC или Управляющим комитетом по стандартам данных либо по установленному графику, либо как часть процессов согласования в рамках цикла SDLC.

Процедуры управления данными — это документированные методы, технические приемы

ишаги, которых необходимо придерживаться при выполнении определенных видов работ, обес печивающих получение конкретных результатов, подкрепленных соответствующими артефак тами. Процедуры — так же как политики и стандарты — сильно варьируются от организации к организации. И, как и в случае со стандартами данных, документы, описывающие процедуры, в явном виде фиксируют знания организации. Проекты документов, описывающих процедуры, обычно составляются профессионалами в области управления данными.

Примеры объектов стандартизации, которые можно выделить в рамках отдельных областей знаний по управлению данными, включают следующее.

Архитектура данных. Корпоративные модели данных, стандарты на инструменты, соглаше ния об именовании систем.

Моделирование и проектирование данных. Процедуры управления моделями данных, со глашения об именовании при моделировании, стандарты описаний, стандартные области и стандартные сокращения.

Хранение и операции с данными. Стандарты на инструменты, стандарты в отношении вос становления баз данных и обеспечения непрерывности бизнеса, производительности баз дан ных, сохранения данных, сбора данных.

Безопасность данных. Стандарты безопасности в отношении доступа к данным, процедуры мониторинга и аудита, стандарты по безопасности хранилищ данных, требования к подготов ке персонала.

Интеграция и интероперабельность данных. Стандартные методы и инструменты, исполь зуемые для обеспечения интеграции и интероперабельности данных.

Документы и контент. Стандарты и процедуры в области управления контентом, включая использование корпоративных таксономий, поддержку раскрытия информации по запросам уполномоченных органов, сроки хранения документов и электронной почты, электронные подписи, порядок рассылки отчетов.

Справочные и основные данные. Процедуры контроля в области управления справочными данными, системы записи данных, правила добавления записей и обеспечения обязательно сти их использования, стандарты по разрешению сущностей.

Ведение хранилищ данных и бизнес-аналитика. Стандарты на инструменты, стандарты и процедуры обработки, стандарты форматирования отчетов и визуальных представлений, стандарты обработки больших данных.

Метаданные. Стандартные бизнес- и технические метаданные, подлежащие сбору, а также процедуры интеграции и практики использования метаданных.

Качество данных. Правила качества данных, стандартные методологии измерения показате лей качества данных, стандарты и процедуры исправления данных.

Большие данные и наука о данных. Идентификация источника, основания для сбора и поря док получения, система записи, распространение и обновление данных.

2.14 Разработка бизнес-глоссария

За содержание бизнес-глоссария обычно отвечают распорядители данных. Глоссарий необходим по той причине, что люди по-разному используют одни и те же слова. Особенно важно иметь чет кие определения для данных, поскольку данные представляют не сами себя, а другие предметы (Chisholm, 2010). Кроме того, многие организации разрабатывают свой собственный внутрен ний словарь терминов, и глоссарий служит средством совместного использования этого словаря внутри организации. Разработка и документирование стандартных определений данных снижа ет неопределенность и улучшает коммуникации. Определения терминов должны быть четкими и ясными, строго и точно сформулированными, а также объяснять все исключения, синонимы или варианты использования. В состав сотрудников, участвующих в согласовании терминологии, должны входить представители ключевых групп пользователей. Архитектура данных часто мо жет предоставить первоначальные варианты определений и разбивок терминов по типам и кате гориям из моделей предметных областей.

Основные задачи бизнес-глоссариев включают:

обеспечение единого общего понимания основных понятий и терминов;

снижение риска неправильного использования данных из-за неверного понимания связан ных с бизнесом понятий и концепций;

повышение терминологической согласованности между подразделениями, отвечающими за технологические ресурсы (с собственными соглашениями об именовании), и подразделения ми, отвечающими за организацию и ведение бизнеса;