какие риски должны быть задокументированы

Какие риски должны быть задокументированы

ГОСТ Р 57551-2017/ISO/TR 18128:2014

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информация и документация

ОЦЕНКА РИСКОВ ДЛЯ ДОКУМЕНТНЫХ ПРОЦЕССОВ И СИСТЕМ

Information and documentation. Risk assessment for records processes and systems

Дата введения 2019-07-01

Предисловие

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «ЭОС Тех» на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 459 «Информационная поддержка жизненного цикла изделий»

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

Вступление

Все встречающиеся в данном документе торговые наименования представляют собой сведения, включенные для удобства пользователей, и их упоминание не означает официальной поддержки соответствующих продуктов со стороны ИСО.

Разъяснения принятых в ИСО трактовок специфических терминов и выражений, относящихся к оценке соответствия, а также информацию о приверженности ИСО принципам ВТО в части борьбы с техническими барьерами для торговли (Technical Barriers to Trade, ТВТ) можно найти на веб-сайте ИСО по адресу http://www.iso.org/iso/home/standards_development/resources-for-technical-work/foreword.htm.

Технический отчет ИСО/ТО 18128:2014 был разработан Техническим подкомитетом ПК 11 «Управление документами и архивами» Технического комитета ИСО/ТК 46 «Информация и документация» (ISO/ТС 46/SC 11 «Archives/records management», ISO/TC 46 «Information and documentation»).

Введение

Все организации идентифицируют угрожающие их успешному функционированию риски и управляют ими. Специалисты организации по управлению документами несут ответственность за идентификацию и управление рисками, относящимися к документным процессам и системам.

Настоящий стандарт должен помочь специалистам по управлению документами и ответственным за документы в своих организациях сотрудникам оценивать риски, связанные с документными процессами и системами.

Данная задача отличается от более общей задачи идентификации и оценки деловых рисков организации, где создание и хранение адекватных документов является одним из стратегических способов реагирования. Решения о необходимости создания документов в качестве реакции на риски для основной деятельности являются деловыми решениями, которые должны приниматься с учетом результатов анализа требований и потребностей организации в документах, проводимого совместно специалистами по управлению документами и представителями деловых подразделений. Настоящий стандарт исходит из того, что организация создала отражающие ее деловую деятельность документы с тем, чтобы удовлетворить потребности оперативной деятельности и иные нужды, и, по крайней мере, внедрила минимальный набор мер, обеспечивающих систематическое управление документами и контроль над ними.

1 Область применения

Настоящий стандарт должен помочь организациям в оценке рисков для документных процессов и систем, для обеспечения того, чтобы документы удовлетворяли выявленным потребностям деятельности до тех пор, пока в этом сохраняется необходимость.

a) устанавливает метод анализа, проводимого с целью идентификации (выявления) рисков, связанных с документными процессами и системами;

b) описывает метод анализа потенциальных последствий неблагоприятных событий для документных процессов и систем;

c) содержит рекомендации по проведению оценки рисков, связанных с документными процессами и системами, а также

d) содержит рекомендации по документированию выявленных и оцененных рисков, в рамках подготовки к смягчению или устранению этих рисков.

В настоящем стандарте не рассматриваются риски для деятельности организации общего характера, которые могут быть смягчены, в том числе, путем создания документов.

Настоящий стандарт может быть использован любыми организациями, вне зависимости от их размера, характера деятельности и сложности их функций и структуры. Перечисленные факторы, а также предписывающий создание документов и контроль над ними режим законодательно-нормативного регулирования, в условиях которого организация осуществляет свою деятельность, принимаются во внимание при идентификации и оценке рисков, связанных с документами и документными системами.

При установлении границ ответственности организации следует учитывать сложную систему взаимоотношений с другими организациями и внешними и внутренними заинтересованными сторонами, в том числе партнерские отношения и договорные обязательства, касающиеся цепочек поставок и передачи на аутсорсинг ряда функций, которые являются характерной особенностью деятельности современных государственных и коммерческих организаций. Установление границ ответственности организации является первым шагом в определении объема и содержания проекта оценки связанных с документами рисков.

В настоящем стандарте вопрос воздействия на риски (смягчения рисков) непосредственно не рассматривается, поскольку соответствующие методы являются специфическими для каждой организации.

Стандарт может быть использован специалистами по управлению документами, лицами, несущими в своих организациях ответственность за документы, а также аудиторами и руководителями, отвечающими в организациях за программы менеджмента риска.

2 Нормативные ссылки

Настоящий стандарт содержит ссылки нормативного характера на перечисленные ниже документы*, которые (полностью или частично) необходимы для его применения. Для датированных ссылок применима только та версия, которая упомянута в тексте. В случае недатированных ссылок необходимо использовать последнюю редакцию документа (включая опубликованные поправки).

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 Термины, относящиеся к риску

3.1.1 риск (risk): Следствие влияния неопределенности на достижение поставленных целей.

[Руководство ИСО 73:2009, 1.1]

3.2 Термины, относящиеся к документам

3.2.1 документная система, система управления документами (records system): Информационная система, обеспечивающая захват документов, а также управление документами и доступ к ним во времени.

3.2.2 документные процессы, процессы управления документами (records processes): Совокупности взаимосвязанных или взаимодействующих видов деятельности, с использованием которых организация создает, контролирует, использует, уничтожает либо передает на архивное хранение свои документы.

4 Критерии оценки риска для организации

4.1 Оценка риска

Оценка рисков для документных процессов и систем должна включаться в общий процесс управления рисками организации, где таковой существует. В этом случае специалисты по управлению документами должны учитывать внешние и внутренние обстоятельства и условия, в которых организация осуществляет свою деятельность (контекст), а также контекст самого процесса менеджмента риска, в том числе следующие факторы:

a) роли и обязанности: Должна быть определена роль специалистов по управлению документами в оценке рисков, связанных с документными процессами и системами;

b) охват и масштабы деятельности по оценке рисков: Во избежание избыточности и конфликтов, а также для создания условий для применения комплексного подхода к оценке рисков, связанных, в том числе, с документами, следует явным образом определить взаимоотношения с другими областями оценки риска, такими как информационная безопасность;

c) методология: При использовании имеющихся инструментов для оценки рисков и при подготовке отчетов перед уполномоченным лицом или службой следует использовать стандартную методологию оценки риска;

d) критерии риска: В случае, когда в организации используются общие критерии риска, следует оценивать связанные с документными процессами и системами риски на основе этих критериев.

Если в организации отсутствует общий процесс управления рисками, то специалистам по управлению документами до начала процесса оценки следует установить критерии риска, применимые к документным процессам и системам.

4.2 Критерии риска

Критерии должны быть основаны на нормативно-правовых требованиях юрисдикции, в рамках которой действует организация, и включать в себя следующее:

a) природу и типы принимаемых во внимание последствий и способы их измерения;

b) способы отражения вероятности событий;

c) подход к определению уровня риска;

d) критерии, на основе которых будет приниматься решение о необходимости воздействия на риск (т.е. об устранении или снижении риска);

e) критерии для принятия решения о приемлемости и/или допустимости риска;

f) будут ли учитываться возможные комбинации рисков, и если да, то каким образом.

Что касается природы и типов последствий, которые должны быть охвачены при оценке риска для документных процессов и систем, то существует общая отправная точка, применимая во всех организациях. Аутентичные, надежные, целостные документы, пригодные к использованию в течение всего периода времени, пока в них сохраняется необходимость, будут способны удовлетворить потребности организации. Риски идентифицируются, исходя из их возможности нанести ущерб этим общим свойствам документов, в результате чего документы могут уже не соответствовать тем целям, ради которых они были созданы.

Источник

Как провести анализ рисков бизнеса?

Каждый бизнес встречается с рисками, которые иногда приводят к серьезным потерям. Все предусмотреть нельзя, но большинство угроз реально спрогнозировать и подготовить способы решения. Мы узнали у предпринимателей, как анализ рисков помогает остаться на плаву.

Содержание статьи

Что такое анализ рисков бизнеса

Если говорить просто, то это план действий для кризисных моментов. Риски прописывают на этапе запуска в бизнес-плане или инвестиционном проекте. На основе анализа рассчитывают финансовую модель, потому что угрозы влияют на окупаемость.

Риски учитывают и в работающем бизнесе. Например, предприниматель открыл ларек с шаурмой в марте 2020 года, а уже в апреле произошел локдаун. Кухню не подготовили к работе на доставку, посетителей принимать нельзя, и бизнес встал. По идее даже такую ситуацию нужно предвидеть, чтобы избежать проблем.

Аналитик компании 3DAnalytics Денис Загребиль считает, что в пандемию обострились регуляторные риски:

«Сегодня актуальны регуляторные риски. Как пример — введение штрафов за несоблюдение требований карантина; открытие/закрытие туристических направлений. Конечно, риски зависят от вида деятельности. В моей практике риски часто встречаются в финансовой деятельности (банки, страхование, инвестиции), информационной безопасности, экологической безопасности»

В риск-анализе прописывают 4 основных параметра:

Какие риски бывают в бизнесе

У каждого бизнеса свой круг рисков, поэтому лучше открывать дело в сфере, в которой разбираетесь. Так проще определить круг потенциальных угроз. Но обычно выделяют 6 типов рисков.

Внутренние

Эти угрозы появляются от действий руководства или сотрудников. Например, компания дала таргетированную рекламу в соцсетях. Клиенты начали задавать вопросы в личных сообщениях, а менеджер односложно отвечает, не выводит на диалог, не задает вопросы. В итоге реклама привела потенциальных покупателей, но по вине сотрудника продажи не состоялись.

Производственные

На производстве происходит брак из-за человеческого фактора или некачественного сырья. Или завод встал из-за аварии на подстанции, а оборудование вышло из строя.

Финансовые

Это все, что связано с деньгами. Например, компания отправила продукты в розничные магазины, а те не расплатились в срок. Или предприниматель потратил деньги поставщиков на покупку машины, а у него не осталось средств, чтобы расплатиться по обязательствам.

Страховые

Есть случаи, которые можно заранее предусмотреть и застраховать: пожар или воровство оборудования. Бизнес несет затраты на страховку, но если риски произойдут, то предприниматели получат компенсацию.

Коммерческие

Эти угрозы влияют на реализацию товаров или услуг. Например, магазин одежды столкнулся с тем, что клиенты предпочитают покупать в интернете. Или веб-студия не находит клиентов, потому что конкуренты делают сайты дешевле.

Внешние

На эти условия предприниматель не может повлиять: изменения в законодательстве, пандемия или нововведения в налоговой системе. На последнем стоит остановиться чуть подробнее. В 2021 году предприниматели столкнулись с тем, что государство отменило режим ЕНВД, а взамен предложило измененный патент. Но, как правило, патент в регионах обходится дороже, чем «вмененка». И это несмотря на то что власти разрешили уменьшать стоимость на сумму страховых взносов.

В ФНС стали строже следить за предпринимателями и обоснованностью сделок. С 2021 года налоговики изменили алгоритмы проверки 6-НДФЛ, чтобы видеть предпринимателей, которые платят меньше средней зарплаты по отрасли. То есть если сотрудники получают небольшую официальную зарплату, то ФНС может прислать требование с просьбой указать причины.

Основатель «Школы Профессионального Владельца бизнеса» Оксана Дажун считает, что предприниматели должны обращать пристальное внимание на налоговые риски:

«Важно отслеживать в налоговом контроле результаты и планы ФНС. Изучите, как выбирают компании для плановой проверки, как проводить оптимизацию налогов, как работают суды и чего ждать бизнесу от налогового администрирования. Для этого хотя бы раз в год полезно посещать тренинги, семинары, где расскажут о нововведениях и о судебной практике.

По результатам СВОТ-анализа составить список рисков, угроз, возможностей и сильных сторон бизнеса:

Денис Загребиль считает, что риски у каждого бизнеса разные, но некоторые встречаются чаще:

«Риски зависят от этапа развития бизнеса или компании. Но основными я считаю некачественное оказание услуг, недобросовестных поставщиков и сотрудников, переоценку рыночных возможностей. В целом, на мой взгляд, управленческие решения часто принимаются без тщательного анализа рисков бизнеса, ситуационно или на основании опыта»

Как оценивать риски в бизнесе?

Для этого нужно погрузиться в бизнес-процессы и понять слабые места. Учебники по бизнесу выделяют 5 основных методов проведения риск-анализа.

Качественная оценка

Это таблица, где риски распределяют по степени возникновения:

После этого прописывают, как компания реагирует на каждый из рисков. Например, предприниматели заранее знали про отмену ЕНВД. Соответственно, за год до этого продумывали действия для бизнеса: выбор системы налогообложения, сокращение издержек, смена торговых точек.

Руководитель компании «Понимай Франчайзинг» Олег Шатилов проводит качественную оценку перед каждым запуском франшизы:

«Компания предлагает партнерам известность бренда, которая создает поток входящих клиентов. Но это касается первичного привлечения, а должны работать и процессы, направленные на сопровождение и удержание (crm и технологии обучения). И если эти процессы не работают, то франшиза не привлечет новых партнеров. Они узнают, что работа плохо выстроена, и пройдут мимо»

Метод аналогий

Это сравнение рисков на базе реализованных проектов такой же тематики. Пилорама запускает производство пеллетов, а коммерческий директор работал на таком заводе в прошлом. Он расскажет, с какими рисками столкнется пилорама и как их избежать. Для этого метода пригодятся сторонние эксперты, которые запускали такие проекты и знают подводные камни.

Коммерческий директор предприятия «Люкшудьинский леспромхоз» Александр Труфанов считает, что общение с конкурентами помогает понять будущие проблемы:

«Мы решили запустить производство фанеры. Мы всегда в диалоге с другими предприятиями и знаем, что главная трудность — поиск сырья. Но у нас собственное сырье, и риски другие. Например, трудно найти работников. В нашей местности просто некому работать. Но скоро рядом построят жилой комплекс, и мы планируем привлекать персонал из этих домов. Поэтому новое производство запустим после окончания стройки»

Контрольные списки источников рисков

Когда компания развивается, она накапливает опыт ошибок и проблем. Руководители заранее знают, с чем столкнутся на определенных этапах масштабирования. Например, пиццерия продает франшизу в разные города, и контрольный список поможет заранее понять опасности. Составляйте чек-лист проблем, который пополняется с каждым новым проектом.

Метод рейтинговых оценок

Это способ, когда ставят рискам оценки по пятибалльной или десятибалльной системе. Если государство собирается ужесточить наказание в области налогов, то риску ставят оценку 5. Значит, в ближайшее время придется вместе с бухгалтером оптимизировать налоги и учет, чтобы не привлекать внимание ФНС. Если у производства 3 постоянных поставщика и 2 в запасе, то угроза остановки не грозит. Этому риску ставят оценку 1 и не принимают срочных решений.

Метод экспертных оценок

Для этого метода привлекают сторонних экспертов: аналитиков, юристов, технологов. Выбор зависит от направления бизнеса. Каждый эксперт делает анализ рисков бизнеса по своей деятельности и определяет влияние на развитие проекта.

Если говорить про малый бизнес, то не всегда предприниматели проводят риск-анализ по методикам. Часто это происходит по наитию и на основе опыта. Денис Загребиль считает, что этот подход не совсем верен:

«Сложность использования метода в необходимости привлекать нескольких экспертов из разных областей или одного, но с широкой экспертизой.
Для оценки рисков в связи с выходом на новые рынки необходимо знать требования местного законодательства к качеству продукции (юристы), конкурентную среду, каналы продвижения, ценообразование (маркетолог, аналитик), квалификацию персонала в стране. Неоспоримый плюс привлечения экспертов — возможность комплексной оценки рисков. Минус же в том, что зачастую требуется участие нескольких экспертов по одинаковым вопросам»

А эксперт по франчайзингу Евгений Талдыкин считает, что с риск-анализом справится руководитель и сотрудники:

«Я был директором по франчайзингу сети парикмахерских. Обедал с сотрудниками и задавал вопросы: что будет, если завтра упадут продажи в 10 раз? Или из-за чего от нас отвернутся потенциальные партнеры? Сотрудникам нравилось доверие, и они активно отвечали на вопросы. А уже из ответов рождались решения. Например, в один момент мы поняли, что у нас много партнеров, менеджеры не в состоянии каждый день поддерживать общение со всеми. В чатах повисли десятки неотвеченных сообщений, а это угроза, что люди откажутся от сотрудничества и расскажут другим. А что будет, когда количество партнеров еще увеличится? Стали работать над проблемой и внедрили чат-бота, который отслеживал чаты с неотвеченными сообщениями, чтобы менеджеры в Отделе сопровождения вовремя отвечали. В целом сессии по анализу рисков бизнеса давали идеи для автоматизации, изменения процессов, увольнения или приема персонала»

Как запустить процесс анализа бизнес-рисков

Определить риски для бизнеса не так сложно. Не стоит бояться научных названий и думать, что без специалистов не обойтись. Конечно, в некоторых случаях нужны эксперты, но основную работу проводят руководители и сотрудники компании.

Пример таблицы для контроля бизнес-рисков

Оксана Дажун считает, что эффективный анализ рисков бизнеса прежде всего зависит от руководителя:

«Управлять умеют все, вплоть до кухарок, но по факту мало кто этому учится. Сейчас MBI подтягивают понимание и учат, как управлять, но, к сожалению, я до сих пор встречаю огромное количество директоров, которые используют интуитивный подходит в управлении. А интуитивных подход — это, как правило, реактивный подход: есть проблема — есть реакция, нет проблемы — нет реакции. В таких случаях риски всегда наступают и бьют очень больно. Главная задача — перейти с реактивного управления на системный подход. Это значит, что нужно научиться предугадывать наступление рисков и выстроить хорошую систему мониторинга»

Анализ рисков бизнеса помогает предпринимателям подготовиться к возникновению проблем. Если подходить к этому системно, то у бизнеса появится защита от неожиданных потерь.

Источник

ГОСТ Р 57551-2017
Информация и документация. Оценка рисков для документных процессов и систем

Купить ГОСТ Р 57551-2017 — бумажный документ с голограммой и синими печатями. подробнее

Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО «ЦНТИ Нормоконтроль»

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

Должен помочь организациям в оценке рисков для документных процессов и систем, для обеспечения того, чтобы документы удовлетворяли выявленным потребностям деятельности до тех пор, пока в этом сохраняется необходимость. Стандарт: a) устанавливает метод анализа, проводимого с целью идентификации (выявления) рисков, связанных с документными процессами и системами; b) описывает метод анализа потенциальных последствий неблагоприятных событий для документных процессов и систем; c) содержит рекомендации по проведению оценки рисков, связанных с документными процессами и системами, а также d) содержит рекомендации по документированию выявленных и оцененных рисков, в рамках подготовки к смягчению или устранению этих рисков. В стандарте не рассматриваются риски для деятельности организации общего характера, которые могут быть смягчены, в том числе, путем создания документов. Стандарт может быть использован любыми организациями, вне зависимости от их размера, характера деятельности и сложности их функций и структуры. Перечисленные факторы, а также предписывающий создание документов и контроль над ними режим законодательно-нормативного регулирования, в условиях которого организация осуществляет свою деятельность, принимаются во внимание при идентификации и оценке рисков, связанных с документами и документными системами.

Идентичен ISO/TR 18128:2014

Дата введения	01.07.2019
Добавлен в базу	01.01.2018
Актуализация	01.01.2021

ГОСТР

57551—

Информация и документация

ОЦЕНКА РИСКОВ ДЛЯ ДОКУМЕНТНЫХ ПРОЦЕССОВ И СИСТЕМ

(ISO/TR 18128:2014, ЮТ)

Предисловие

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 459 «Информационная поддержка жизненного цикла изделий»

4 Настоящий стандарт идентичен международному стандарту ISO/TR 18128:2014 «Информация и документация. Оценка рисков для документных процессов и систем» (ISOTTR 18128:2014 «Information and documentation — Risk assessment for records processes and systems». IDT).

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по сослюянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты» В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соотвепктвующая информация, уведомление и тексты размещаются также в информационной сислюме общего пользования — на официальном сайте Федерального агенглства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

5.2.3 Области неопределенности: физическая среда и инфраструктура

Возможность крупномасштабных природных и техногенных катастроф, способных повлиять на деятельность организации в целом, является одной из главных областей неопределенности, требующей идентификации и оценки. Потенциальный ущерб от таких катастроф включает как непосредственное воздействие на документы и их хранилища, так и менее прямолинейное влияние вследствие утраты услуг, от которых организация зависит, таких как водо- и электроснабжение и ряд других. В число областей неопределенности входят следующие:

a) региональные или местные разрушительные или нарушающие нормальную деятельность природные явления, такие как землетрясения, ураганы/циклоны. цунами, наводнения, пожары, мощные штормы и длительная засуха:

b) возможность серьезных структурных повреждений и перебоев с оказанием услуг в помещениях или в непосредственной близости от местоположения организации вследствие военных действий или террористических актов;

c) различные перебои в организации с энергоснабжением, подачей воды, вывозом отходов, с информационными технологиями, оказанием транспортных услуг и иных основных коммунальных услуг и сервисов.

5.2.4 Области неопределенности: внешние угрозы безопасности

Идентификация риска должна охватывать враждебные внешние угрозы безопасности, потенциальное воздействие которых может варьироваться от повреждения помещений и помех оказанию услуг до несанкционированного доступа к системам, в том числе документным. Примерами внешних угроз могут быть:

a) несанкционированное внешнее вторжение/достул в документные системы и внесение несанкционированных изменений в документы;

b) оставшаяся незамеченной компрометация системы безопасности или использование неконтролируемой уязвимости, приводящее к деградации информации;

Пример — Атака с использованием шпионского или вредоносного программного обеспечения либо уязвимостей, связанных с неисправленными слабыми сторонами и нарушениями защиты программного обеспечения.

c) физическое вторжение в хранилище документов или в зону размещения ИТ-оборудования;

d) атака «отказ в обслуживании» (DDOS-атака) и иные преднамеренные атаки на интернет-услуги;

e) физический вандализм;

О утрата услуг третьих сторон, от которых зависят документные системы.

Примечание — Оценка риска является неотъемлемым элементом внедрения международных стандартов серии ИСО/МЭК 27000 в области информационной безопасности В этих стандартах подробно рассматриваются области неопределенности, связанные с информационной безопасностью

5.3 Контекст деятельности организации: внутренние факторы

5.3.1 Области неопределенности: организационные изменения

Влияющие на организацию управленческие решения, такие как решения о слиянии компаний, о поглощении другой компании, о прочих приобретениях, реструктуризациях, сокращениях, передаче функций на аутсорсинг либо переводе в оффшоры представляют собой значительную область неопределенности во внутреннем контексте организации. Подобные решения будут влиять на документные процессы и системы, например:

a) изменение прав собственности на документы и документные системы, и последующая передача документов в организацию и из нее:

b) изменение прав собственности на документы и документные системы, приводящее к вынужденной миграции документов или к объединению систем;

c) соглашения о доступе к документным системам, обеспечивающие право непрерывного доступа к документам после их передачи и миграции;

d) наследование ответственности за документы и документные системы в отсутствие адекватной документации;

e) утрата персонала или корпоративной памяти, отражающиеся на имеющихся у организации знаниях о текущих документах и системах, в том числе о процедурах извлечения и использования документов. и на знаниях о более старых документах, унаследованных через организационные изменения;

0 прекращение использования документов и документных систем, особенно унаследованных систем. за которые никто не несет ответственность:

д) изменение условий в договорах с третьими сторонами об оказании услуг;

h) введение новых или модификация существующих внутренних политик организации, влияющих на документные системы и процессы;

i) наличие политик и процедур, которые не были своевременно пересмотрены и обновлены и стали неприменимыми либо стали несогласованными или противоречивыми в результате организационных изменений;

j) изменения в кадровом составе организации, которые могут повлиять на распределение ответственности за документы;

k) изменения в кадровой политике, в финансировании и возможностях для подготовки персонала и повышения его квалификации, которые влияют на компетенцию отвечающих за документы специалистов. а также

l) отказ от проведения тестирования и актуализации плана действий в случае катастроф и в ходе последующего восстановления деятельности организации, что может повлиять на судьбу документов в случае стихийного бедствия.

5.3.2 Области неопределенности: технологические изменения

Внедрение новых технологий и систем создает возможности для совершенствования деловой деятельности. но при этом является областью неопределенности, где потенциально возможны негативные последствия. К числу областей неопределенности относятся:

a) технологические изменения, которые влияют на совместимость (интероперабельность) создающих или контролирующих документы систем;

b) совместимость с существующими платформами и системами;

c) планирование и осуществление миграции документов;

d) перераспределение ответственности и контроля над документными процессами;

е) эффективность внедрения изменений;

Пример — Адекватность планирования и управления проектом по внедрению новой платформы или программного обеспечения.

f) степень, в которой существующие политики охватывают внедренные организацией новые технологии;

Пример — Использование облачных сервисов, социальных сетей. RFID-радиометок, систем глобального позиционирования GPS/ГЛОНАСС.

д) способность внедряющих новые технологии системных администраторов и разработчиков осознавать влияние этих технологий на требования к документам — как на стадии проектирования, так и на этапе практической реализации;

Пример — Использование для разработки новых систем приложений для поддержки коллективной работы или вики-сред, не способных адекватным образом захватывать проектные документы и системную документацию.

h) способность существующей технической инфраструктуры удовлетворять новые требования, появившиеся в результате технологического развития организации или ее документных систем.

5.3.3 Области неопределенности: ресурсы — люди и компетенции

Выполнение организацией всех ее операций, включая документные процессы и эксплуатацию документных систем, зависит от наличия компетентного персонала. Специалисты по управлению документами или ответственные за документы лица проводят оценку областей неопределенности, включая следующие:

a) численность персонала, занятого созданием документов, контролем над ними, а также разработкой и поддержкой документных систем;

b) осведомленность о документных политиках и процессах:

c) поддержка высшим руководством деятельности по управлению документами;

d) осведомленность о связанных с документными процессами и системами рисках, и способность высшего руководства принимать решения по смягчению этих рисков;

е) управление взаимоотношениями между ответственными за документные системы лицами и пользователями;

0 адекватность компетенций персонала для создания документов и контроля над ними;

g) потеря ключевых специалистов, обладающих важнейшими навыками и глубокими знаниями организации и ее истории;

h) снижение со временем уровня квалификации персонала;

О адекватность используемых средств оценки эффективности и пригодности персонала

5.3.4 Области неопределенности: ресурсы — финансовые и материальные ресурсы

На финансовые и материальные ресурсы, доступные для адекватного управления документными процессами и системами, оказывают влияние как внешняя экономическая ситуация и деловая среда, так и уровень поддержки управления документами в организации. Области неопределенности включают в себя следующее:

a) достаточность финансовых ресурсов для исполнения обязательств и достижения целей управления документами;

b) достаточность финансовых ресурсов для закупки, обновления и поддержки адекватных систем.

5.4 Документные системы

При оценке воздействия риска на системы, используемые для создания документов и/или контроля над ними, следует принять во внимание архитектуру таких систем, вопросы обеспечения поддержки. жизнеспособности, непрерывности функционирования, интероперабельности и безопасности. Используемые организацией системы стечением времени сменяются в зависимости от экономических обстоятельств, перемен в характере деятельности и кадровом составе, а также в связи с изменениями размера и структуры организации. Критически важно, чтобы высшее руководство было надлежащим образом информировано о риске для документных систем и приняло на себя ответственность за предпринимаемые организацией меры реагирования

Примечание 1 — В рамках настоящего подраздела термин «системы» следует понимать как «документные системы» в смысле определения, данного в 3 2.1

Примечание 2 — Специалисты по управлению документами при проведении идентификации связанных с документными системами рисков в организациях, внедривших у себя меры и средства контроля и управления, предусмотренные стандартом системы менеджмента информационной безопасности ИСО/МЭК 27001. должны принять во внимание возможность снижения рисков в некоторых областях благодаря этим мерам В не внедривших ИСО/МЭК 27001 организациях, этот стандарт может быть использован как источник для выбора действий по смягчению риска из числа перечисленных в нем мер Приложение С содержит таблицу, устанавливающую соответствие между относящимися к документным системам областями неопределенности и мерами контроля и управления, описанными в ИСО/МЭК 27001

5.4.1 Области неопределенности: архитектура систем

Архитектура и конфигурация систем имеют ключевое значение для создания документов и обеспечения их долговечности Данная область пересекается с идентификацией рисков для документных процессов. Адекватная документация по конфигурации системы является основой для решения вопросов. связанных как с другими областями риска на системном уровне, так и с процессами в системе.

Примечание — О документных процессах в системах см 5.5.

Исходя из современного опыта, идентификация связанных с архитектурой систем рисков, особенно в контексте электронных документов, включает в себя следующее:

a) определение того, что является документом в системе, с тем чтобы система адекватно своим целям создавала документы и управляла ими;

Пример — В транзакционной безо данных следует выявить все необходимые злемонты документа и обеспечить управление ими, с тем чтобы сведения о транзакции могли быть извлечены или воссозданы.

b) адекватное выявление требований в отношении сроков хранения;

Пример — В элементах (метаданных) документов должны быть указаны сами сроки хранения и события-»триггеры», запускающие отсчет сроков хранения и выполнение действий по уничтожению документов либо их породачо на архивное храноние.

c) выявление и документирование всех необходимых документных процессов, которыми должна управлять система;

d) эффективность архитектуры документных систем, соответствующая потребностям сотрудников организации и используемым организацией технологиям;

е) управление степенью зависимости от поддержки со стороны производителя системы;

0 доступ к документации производителя системы.

5.4.2 Области неопределенности; техническое обслуживание и поддержка

Техническое обслуживание документных систем в первую очередь относится к тем аспектам технологической платформы и поддержки систем, на которые влияют структурные изменения в организации, внедрение новых систем, изменения технологий, а также компетентность и надежность технической поддержки.

Области неопределенности включают в себя следующее:

a) изменения в деятельности и деловых системах, влияющие на документные системы;

b) уровень квалификации системных администраторов и понимание ими требований к управлению документами в системах;

c) надежность поставщиков систем и их способность обеспечить техническое обслуживание систем и их постоянное соответствие текущему уровню развития технологий;

d) адекватность документации по процедурам оперативного технического обслуживания;

e) адекватность технической документации на системы;

0 адекватность документированных процедур резервного копирования и восстановления для документных систем;

д) адекватность процесса восстановления с резервных копий.

5.4.3 Области неопределенности: жизнестойкость и непрерывность функционирования

Жизнестойкость документных систем зависит от отслеживания перемен во внешнем и внутреннем контексте организации, с тем чтобы эти системы обновлялись, реагируя на изменяющиеся потребности.

При планировании действий по обеспечению непрерывного функционирования документных систем следует учитывать планы организации по обеспечению непрерывности деятельности. При отсутствии у организации плана по обеспечению непрерывности ее деятельности специалисты по управлению документами проводят анализ и оценку документных систем с целью установления приоритетов и процедур восстановления их работоспособности после перерывов в обслуживании.

Области неопределенности включают в себя следующее:

a) изменения во внешнем и внутреннем контексте, затрагивающие требования и потребности организации в отношении документов;

b) адекватность мониторинга качества документов и работы с ними, проводимого с целью выявления изменений в требованиях к документам;

c) адекватность оценки фактических затрат на внедрение и поддержание документных систем, включая затраты на оплату труда;

d) адекватность действий по выявлению и документированию документных систем;

е) поддержание и обеспечение доступности спецификаций и документации на документные системы;

0 адекватность документирования решений, принятых в ходе внедрения документных систем, и доступность этих документов всем нуждающимся в них пользователям;

д) способность документных систем поддерживать пригодность документов к использованию;

h) способность импортировать документы из унаследованных документных систем и прочих деловых систем;

i) проведение миграции документов в новую документную систему по причине изменения требований к документам либо изменений в технологиях;

j) изменения в других системах, от которых зависит данная документная система;

k) способность облачных систем экспортировать документы, когда это необходимо, для их включения в собственные системы организации;

l) адекватность протоколирования истории событий в документной системе, включая обеспечение ее сохранности в течение срока службы системы; а также управление зависимостью от других систем с целью поддержания во времени осмысленности содержащейся в истории событий информации;

Пример — Ведение документации на уникальные идентификаторы, используемые в истории событий для обозначения пользооателей и деловых подразделений.

т) способность документных систем поддерживать усилия по обеспечению непрерывности деятельности посредством предоставления доступа к необходимым документам в случае стихийного бедствия;

п) планирование действий на случай перебоев в обслуживании при возникновении нештатных ситуаций.

5.4.4 Области неопределенности: интероперабельность

Имеющиеся у документных систем зависимости и взаимосвязи с другими системами могут оказаться уязвимым местом.

Области неопределенности включают в себя следующее:

a) адекватность действий по выявлению и специфицированию необходимой интероперабельности между документными системами и иными деловыми системами;

b) зависимость документных систем от внешних по отношению к ним источников данных и способность обмениваться данными с этими системами, подключаться к ним либо ссылаться на их данные (примером могут служить облачные системы и другие внешние услуги по хранению данных);

c) совместимость стандартов и спецификаций, касающихся обмена документами и интероперабельности систем;

d) эффективность межсистемного взаимодействия (интероперабельности) после внесения изменений или проведения технологических обновлений одной или обеих взаимодействующих систем;

e) управление метаданными, относящимися к управлению документами, при перемещении документов между системами с тем, чтобы сохранить пригодность к использованию и смысл документов.

5.4.5 Области неопределенности: безопасность

Оценка риска, связанного с безопасностью документных систем, может проводиться с использованием серии стандартов ИСО/МЭК 27000 и использоваться в качестве элемента системы менеджмента информационной безопасности организации, если таковая имеется. Национальные стандарты и требования к информационной безопасности систем также могут быть применимы в отношении документных систем.

Приложения В—D в ИСО/МЭК 27005 содержат примеры областей неопределенности, применимые в отношении любой информационной системы. Более специфические для документных систем области неопределенности также включают следующее:

a) адекватность политики безопасности организации в отношении документов, документных процессов и систем;

b) способность обеспечивать соблюдение и защиту правил и привилегий доступа, связанных с документами, документными процессами и системами;

c) политика и меры контроля в отношении действующих по поручению организации третьих сторон, влияющие на хранение, доступ и контроль над документами и документными системами.

5.5 Документные процессы

При идентификации риска основное внимание обращается на используемые при управлении документами и документными системами процессы создания документов (или их элементов) и контроля над ними.

Примечание — Предполагается, что специалисты по управлению документами при проектировании документов и документных процессов используют в качестве руководства стандарты и технические отчеты ИСО 15489-1, ИСО 23081-1, ИСО 23081-2 и ИСОЯО 23081-3

5.5.1 Области неопределенности: проектирование документов

Области неопределенности в процессах проектирования документов следующие:

a) адекватное проведение анализа видов деятельности с целью выявления требований к документам;

b) всесторонний характер сбора требований к документам для каждого делового процесса, когда, в том числе, учитываются потребности всех заинтересованных сторон;

c) адекватность проектирования документов (например, установления содержания и определения метаданных, необходимых для идентификации, описания, использования, сохранения истории событий, а также для планирования событий), соответствующая требованиям к документам;

d) адекватность схем наименования и классификации поставленным целям.

5.5.2 Области неопределенности: создание документов и внедрение документных систем

Области неопределенности в процессах создания документов и внедрения документных систем

а) для всех документов выбраны подходящие для соответствующих деловых процессов и документных систем точки их создания или захвата (обеспечиваются своевременность, комппексность и полнота создания/захвата);

b) эффективность интеграции, где это уместно, деловых процессов с процессами создания документов и контроля над ними;

c) адекватное распределение и документирование обязанностей и ответственности создателей документов и участвующих в деловых транзакциях агентов (там. где это разные лица);

d) распределение обязанностей и ответственности по захвату документов организации из внешних сред соответствует требованиям;

e) спецификации метаданных ведутся и документируются надлежащим образом;

0 надлежащим образом документируются и контролируются процессы управления и протоколирования доступа к документам.

5.5.3 Области неопределенности: метаданные

Области неопределенности в процессах управления метаданными следующие;

a) имеются и доступны технические спецификации метаданных, используемых в документах, документных процессах и системах;

b) обеспечивается управление спецификациями метаданных, дающее возможность проводить по мере необходимости их обновление.

5.5.4 Области неопределенности: использование документов и документных систем

Области неопределенности в процессах доступа и использования следующие:

a) соответствующие требованиям стабильность и своевременность извлечения или получения доступа к документам;

b) адекватность управления правами доступа пользователей во всех документных процессах;

c) управление инцидентами безопасности и случаями взлома других мер и средств контроля доступа;

d) ведение документации, показывающей, кто во времени получал доступ к документам и вносил в них изменения;

e) адекватность подготовки использующего процессы персонала;

f) соблюдение установленных процедур.

5.5.4.1 Области неопределенности: поддержание пригодности к использованию

Области неопределенности в процессах поддержания пригодности к использованию следующие:

a) сохранение осмысленности метаданных документов во времени, особенно при наличии зависимости от данных из внешних систем или связей с ними;

b) адекватность документных процессов в плане сохранения аутентичности и надежности документов во времени;

c) поддержание доступности документов во времени;

d) управление применением шифрования документов в случае их передачи по каналам связи;

e) адекватность управления версиями документов во времени;

0 адекватность усилий по сохранению истории событий с документами с целью сохранения осмысленности документов во времени;

д) проблемы, связанные с устареванием оборудования и программного обеспечения (в том числе форматов), затрагивающие как документные процессы, так и документные системы.

Пример — Более старые версии электронных документов могут оказаться недоступными с использованием современных программных приложений (версий приложений).

5.5.5 Области неопределенности: уничтожение документов либо их передача на архивное хранение

Области неопределенности в процессах окончательного решения судьбы документов (их уничтожения либо передачи на архивное хранение) следующие:

a) уничтожение документов либо их передача на архивное хранение проводятся так. как это было запланировано и авторизовано;

b) процедуры окончательного решения судьбы документов предусматривают, в случае необходимости, возможность продолжения хранения документов после истечения срока их хранения;

Пример — Документы, необходимые в рамках судебного разбирательства либо запрошенные о соответствии с законодательством о свободе доступа к государственной информации, сроки хранения копюрых истекли.

c) документируются все действия, связанные с уничтожением либо передачей документов;

d) уничтожение документов надлежащим образом авторизовано и задокументировано;

Содержание

1 Область применения. 1

2 Нормативные ссылки. 2

3 Термины и определения. 2

3.1 Термины, относящиеся к риску. 2

3.2 Термины, относящиеся к документам. 2

4 Критерии оценки риска для организации. 2

4.2 Критерии риска. 3

4.3 Определение приоритетов. 3

5 Идентификация риска. 4

5.1 Общие положения. 4

5.2 Контекст деятельности организации: внешние факторы. 5

5.3 Контекст деятельности организации: внутренние факторы. 6

5.4 Документные системы. 8

5.5 Документные процессы. 10

6.1 Общие положения. 12

6.2 Анализ возможности и количественная оценка вероятности реализации рисков. 12

7 Сравнительная оценка рисков. 14

7.1 Общие положения. 14

7.2 Оценка воздействия неблагоприятных событий. 15

7.3 Сравнительная оценка риска. 16

Приложение А (справочное) Пример записи о документированном риске в реестре рисков. 18

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам Российской Федерации. 34

Вступление

Международная организация по стандартизации ИСО (International Organization for Standardization, ISO) явпяется всемирным объединением национапьных органов по стандартизации — чпенов ИСО, Работа по подготовке международных стандартов обычно проводится техническими комитетами ИСО. Каждый чпен ИСО. заинтересованный в вопросе, дпя проработки которого бып создан технический комитет, имеет право быть представленным в этом комитете. Международные правительственные и неправительственные организации, имеющие партнерские связи с ИСО. также принимают участие в этой работе. ИСО тесно сотрудничает с Международной электротехнической комиссией МЭК (International Electrotechnical Commission, IEC) no всем вопросам стандартизации в обпасти эпектротехники.

Международные стандарты разрабатываются и в дапьнейшем поддерживаются в соответствии с правилами, установленными в части 1 директив ИСО/МЭК. Следует, в частности, иметь в виду различные критерии, соответствие которым необходимо для утверждения документов ИСО разных типов. Технический отчет ИСО/ТО 18128:2014 был разработан в соответствии с правилами редакционной работы. установленными частью 2 директив ИСО/МЭК 1 ).

Следует принять во внимание, что некоторые элементы данного документа могут подпадать под действие патентного права. ИСО и МЭК не несут ответственность за идентификацию соответствующих патентных прав. Сведения о выявпенных в ходе разработки технического отчета ИСО/ТО 18128:2014 патентных правах содержатся во введении и/или в перечне ИСО полученных патентных деклараций 2 ).

Все встречающиеся в данном документе торговые наименования представляют собой сведения, включенные для удобства пользователей, и их упоминание не означает официапьной поддержки соответствующих продуктов со стороны ИСО.

Разъяснения принятых в ИСО трактовок специфических терминов и выражений, относящихся к оценке соответствия, а также информацию о приверженности ИСО принципам ВТО в части борьбы с техническими барьерами для торговли (Technical Barriers to Trade. TBT) можно найти на веб-сайте ИСО по адресу http://www.iso.org/iso/home/standards_development/resources-for-technical-work/foreword.htm.

Технический отчет ИСО/ТО 18128:2014 бып разработан Техническим подкомитетом ПК 11 «Управление документами и архивами» Технического комитета ИСО/ТК 46 «Информация и документация» (ISO/ТС 46/SC 11 «Archives/records management». ISO/ТС 46 «Information and documentation»).

Введение

Примечание — Под «системой» понимается любое деловое программное приложение, в котором создаются и хранятся документы

Данная задача отличается от более общей задачи идентификации и оценки деловых рисков организации, где создание и хранение адекватных документов является одним из стратегических способов реагирования. Решения о необходимости создания документов в качестве реакции на риски для основной деятельности являются деловыми решениями, которые должны приниматься с учетом результатов анализа требований и потребностей организации в документах, проводимого совместно специалистами по управлению документами и представителями деловых подразделений. Настоящий стандарт исходит из того, что организация создала отражающие ее деловую деятельность документы с тем. чтобы удовлетворить потребности оперативной деятельности и иные нужды, и. по крайней мере, внедрила минимальный набор мер. обеспечивающих систематическое управление документами и контроль над ними.

h См www iso org/directives 21 См www iso org/patents

Последствием рисковых событий для документных процессов и систем является утрата или повреждение документов, которые в результате становятся непригодными для использования, утрачивают надежность, аутентичность, полноту и/или неизменность, и могут поэтому не удовлетворять потребностям организации.

Настоящий стандарт содержит рекомендации и примеры, основанные на общих принципах менеджмента риска, установленных ИСО 31000 (см. рисунок 1). которые применены в отношении рисков, связанных с документными процессами и системами. Стандарт охватывает следующие вопросы:

a) идентификация рисков.

c) сравнительная оценка риска.

Результаты анализа риска для документных процессов и систем следует включать в общую систему управления рисками организации. В результате организация будет лучше контролировать свои документы и их качество в плане использования в деловых целях.

Раздел 5 содержит всесторонний перечень областей неопределенности, связанных с документными процессами и системами, предназначенный для идентификации рисков.

Раздел 6 содержит руководство по определению последствий и вероятностей идентифицированных рисковых событий с учетом наличия (или отсутствия) и эффективности применяемых мер и средств контроля и управления.

Раздел 7 содержит руководство по определению значимости уровня и типа идентифицированных рисков.

Стандарт не затрагивает вопросы воздействия на риски. По завершении оценки рисков, связанных с документными процессами и системами, эти риски документируются и соответствующие сведения передаются в подразделение (службу) организации, занимающееся менеджментом риска. Реагирование на оцененные риски осуществляется в рамках общей программы управления рисками организации. Приоритет, установленный оцененным рискам специалистом по управлению документами, впоследствии учитывается при принятии организацией решений об управлении этими рисками.

Рисунок 1 — Процесс менеджмента риска

Примечание — Рисунок 1 взят из ИСО 31000 2009 Приведенная на нем нумерация разделов относится к тексту указанного стандарта

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информация и документация ОЦЕНКА РИСКОВ ДЛЯ ДОКУМЕНТНЫХ ПРОЦЕССОВ И СИСТЕМ

Information and documentation Risk assessment for records processes and systems

Дата введения — 2019—07—01

1 Область применения

a) устанавливает метод анализа, проводимого с целью идентификации (выявления) рисков, связанных с документными процессами и системами:

b) описывает метод анализа потенциальных последствий неблагоприятных событий для документных процессов и систем:

В настоящем стандарте не рассматриваются риски для деятельности организации общего характера. которые могут быть смягчены, в том числе, путем создания документов.

При установлении границ ответственности организации следует учитывать сложную систему взаимоотношений с другими организациями и внешними и внутренними заинтересованными сторонами. в том числе партнерские отношения и договорные обязательства, касающиеся цепочек поставок и передачи на аутсорсинг ряда функций, которые являются характерной особенностью деятельности современных государственных и коммерческих организаций. Установление границ ответственности организации является первым шагом в определении объема и содержания проекта оценки связанных с документами рисков.

В настоящем стандарте вопрос воздействия на риски (смягчения рисков) непосредственно не рассматривается. поскольку соответствующие методы являются специфическими для каждой организации.

2 Нормативные ссылки

Настоящий стандарт содержит ссылки нормативного характера на перечисленные ниже документы. которые (полностью или частично) необходимы для его применения Для датированных ссылок применима только та версия, которая упомянута в тексте В случае недатированных ссылок необходимо использовать последнюю редакцию документа (включая опубликованные поправки).

ISO 30300:2011 Information and documentation — Management systems for records — Fundamentals and vocabulary (Система стандартов no информации, библиотечному и издательскому делу. Информация и документация. Системы управления документами. Основные положения и словарь)

ISO Guide 73:2009 Risk management — Vocabulary (Менеджмент риска. Термины и определения)

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 Термины, относящиеся к риску

3.1.1 риск (risk): Следствие влияния неопределенности на достижение поставленных целей.

Примечание 1 — Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).

Примечание 2 — Неопределенность — это состояние полной или частичной нехватки информации, знаний и понимания события, его последствий и/или их вероятности

Примечание 3 — Риск часто характеризуют путем описания возможного события (Руководство ИСО 73:2009. 3.5.1.3) и его последствий (Руководство ИСО 73:2009. 3 6 1 3) или их сочетания

Примечание 4 — Риск часто описывают в виде комбинации последствий возможного события (в том числе изменения обстоятельств) и соответствующей вероятности наступления этого события (Руководство ИСО 73 2009. 36.1.1).

(Руководство ИСО 73:2009. 1.1)

3.2 Термины, относящиеся к документам

3.2.1 документная система, система управления документами (records system): Информационная система, обеспечивающая захват документов, а также управление документами и доступ к ним во времени.

Примечание 1 — К числу документных систем могут быть отнесены создающие и хранящие документы деловые приложения и системы

(ИСО 30300—2011. 3 4 4)

3.2.2 документные процессы, процессы управления документами (records processes): Совокупности взаимосвязанных или взаимодействующих видов деятельности, с использованием которых организация создает, контролирует, использует, уничтожает либо передает на архивное хранение свои документы.

4 Критерии оценки риска для организации

том числе, с документами, следует явным образом определить взаимоотношения с другими областями оценки риска, такими как информационная безопасность;

c) методология; При использовании имеющихся инструментов для оценки рисков и при подготовке отчетов перед уполномоченным лицом или службой следует использовать стандартную методологию оценки риска;

d) критерии риска; В случае, когда в организации используются общие критерии риска, следует оценивать связанные с документными процессами и системами риски на основе этих критериев.

a) природу и типы принимаемых во внимание последствий и способы их измерения;

b) способы отражения вероятности событий;

c) подход к определению уровня риска;

d) критерии, на основе которых будет приниматься решение о необходимости воздействия на риск (т. е. об устранении или снижении риска);

e) критерии для принятия решения о приемлемости и/или допустимости риска;

0 будут ли учитываться возможные комбинации рисков, и если да. то каким образом.

Вопросы анализа вероятности и частоты событий в рамках оценки рисхов обсуждаются в 6.2.

Критерии количественной оценки рисков, в том числе критерии, на основе которых будут приниматься решения о приемлемости риска или необходимости его снижения, включают размер и охват документных систем организации, количество пользователей этих систем, а также способ применения таких систем в оперативной деятельности организации.

Аналогичным образом критерии количественной оценки рисков для документных процессов должны включать частоту выполнения процесса, количество систем в которых он выполняется, его относительную важность для создания и управления документами, возможности для мониторинга процессов. а также потенциальные возможности для полного устранения или смягчения неблагоприятных последствий.

4.3 Определение приоритетов

Как правило, организация должна определить, какие документы являются ключевыми для ее деятельности, а также придаваемый им уровень значимости. Это деловые решения, основанные на рекомендациях как специалистов по управлению документами, так и представителей деловых подразделений.

Приоритет, установленный для отдельных документов, их массивов, для документных процессов или конкретных документных систем, также может приниматься во внимание в связи с реагированием на крупные чрезвычайные происшествия, затрагивающие все или многие деловые операции. Например. определенные документы могут потребоваться сразу же после стихийного бедствия, такие как адреса и телефоны экстренных служб, сведения о проходе лиц на территорию объекта, контактные данные групп реагирования на чрезвычайные ситуации, контактные данные страховых компаний и конкретные условия страхования. Кроме того, при планировании мер по обеспечению непрерывности своей деятельности организациям следует определить, какие деловые функции должны быть восстановлены в первую очередь и какие документы для этого понадобятся.

Особое внимание следует уделить ситуациям, в которых документы, отнесенные к числу ключевых для оперативной деятельности, подвергаются комбинации рисков.

5 Идентификация риска

5.1 Общие положения

Идентификация риска проводится по следующим направлениям: анализируются контекст деятельности. системы, а также процессы, используемые при создании и управлении документами организации.

Под внешним контекстом деятельности организации понимается совокупность неподконтрольных ей общественно-политических, макроэкономических, технологических, а также физических и экологических факторов, оказывающих влияние на ее деятельность и учитываемых при определении связанных с документами требований и потребностей организации. Частью внешнего контекста являются внешние заинтересованные стороны, имеющие конкретные интересы, связанные с деятельностью организации.

Существует также внутренний контекст деятельности организации, под которым понимается совокупность внутренних факторов, неподконтрольных ответственным за документные процессы и системы специалистам по управлению документами. Внутренний контекст включает в себя такие факторы, как структура и финансы организации, применяемые ею технологии, ресурсное обеспечение деятельности (кадры и бюджеты), а также культура организации, которые влияют на политики и практику управления документами.

Потенциально возможные события с не вполне предсказуемыми последствиями могут быть как внешними, так и внутренними по отношению к организации.

Различные подразделения организации могут иметь разные точки зрения на неопределенности, связанные с последствиями изменений внешнего контекста (см. рисунок 2). Кроме того, следует иметь в виду, что любые изменения открывают новые возможности, последствия которых могут быть и положительными.

Рисунок 2 — Множественность слоев контекста для документов и документных процессов организации

Цель идентификации риска заключается в выяснении того, что может произойти и какие ситуации могут возникнуть, чтобы это в итоге повлияло на способность документов удовлетворять потребности организации.

Процесс идентификации риска включает в себя выявление причин и источников риска, событий, ситуаций или обстоятельств, способных существенно повлиять на достижение организацией своих целей. а также выяснение природы такого влияния. Сопоставление основных методов дано в приложении В к МЭК 31010.

Выявленные риски должны быть задокументированы в реестре рисков. Это может быть как специальный реестр рисков для документов, так и общий реестр рисков организации. Соответствующий пример приведен в приложении А.

Примечание —В приложении В к настоящему стандарту приведен пример построенного в соответствии со структурой раздела 5 списка контрольных вопросов (контрольного списка), который организация может использовать для систематической идентификации рисков для документных процессов и систем

5.2 Контекст деятельности организации: внешние факторы

5.2.1 Области неопределенности: изменения в общественно-политическом контексте

Изменения в политическом и общественном климате, как на национальном, так и на международном уровне, могут повлиять на отношение общества к поведению государственных органов и коммерческих организаций. Это может привести к изменениям в законодательстве и нормативной базе, которые повлияют на деятельность организаций и, как следствие, на их требования к документам.

Примерами областей, в которых изменение общественного отношения может повлиять на требования к документам, являются обеспечение национальной безопасности, доступ к государственной и корпоративной информации, неприкосновенность частной жизни и защита персональных данных, права интеллектуальной собственности, а также обязанности корпораций по раскрытию информации об их деятельности. В более общем плане примерами областей неопределенности являются:

a) законодательно-нормативные изменения, влияющие на требования организаций к документам;

b) изменения в государственной политике, влияющие на документы, документные процессы и системы организации;

c) новые стандарты и кодексы практики, влияющие на документы, документные процессы и системы организации;

d) изменение спроса на услуги в области управления документами.

e) изменение ожиданий заинтересованных сторон;

0 изменение репутации либо доверия к способности организации предоставлять свои услуги.

5.2.2 Области неопределенности: макроэкономическая и технологическая среда

Изменения в макроэкономической, деловой и производственной средах, а также в информационных технологиях сильно влияют на конкуренцию и потребительский спрос. Изменения могут проходить постепенно и непрерывно, но могут быть и результатом кризисов. Они также представляют собой области неопределенности, с которыми могут быть связаны, в том числе и позитивные возможности.

Примеры областей неопределенности, вытекающих из подобных изменений в макроэкономической и деловой среде, включают в себя следующее:

a) изменения в собственности и/или выручке организации, влияющие на приоритеты в сфере управления, включая управление документами;

b) изменения в целях, функциях и оперативной деятельности организации, приводящие к изменению требований к документам;

c) повышение активности регулирующих органов, приводящее к росту числа внешних запросов на представление документов;

d) увеличение числа судебных разбирательств, приводящее к росту числа запросов на представление документов;

e) внедрение и широкое распространение новых технологий в масштабах всего общества;

Пример — Использование социальных сетей и мобильных компьютерных устройств для ведения деятельности.

0 изменения на рынке или в клиентской базе организации.

Эти изменения находят свое отражение в организационных переменах, которые рассматриваются ниже (см. 5.3.1).

Источник

какие риски должны быть задокументированы