какие риски должны быть задокументированы
Какие риски должны быть задокументированы
ГОСТ Р 57551-2017/ISO/TR 18128:2014
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информация и документация
ОЦЕНКА РИСКОВ ДЛЯ ДОКУМЕНТНЫХ ПРОЦЕССОВ И СИСТЕМ
Information and documentation. Risk assessment for records processes and systems
Дата введения 2019-07-01
Предисловие
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «ЭОС Тех» на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 459 «Информационная поддержка жизненного цикла изделий»
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
Вступление
Все встречающиеся в данном документе торговые наименования представляют собой сведения, включенные для удобства пользователей, и их упоминание не означает официальной поддержки соответствующих продуктов со стороны ИСО.
Разъяснения принятых в ИСО трактовок специфических терминов и выражений, относящихся к оценке соответствия, а также информацию о приверженности ИСО принципам ВТО в части борьбы с техническими барьерами для торговли (Technical Barriers to Trade, ТВТ) можно найти на веб-сайте ИСО по адресу http://www.iso.org/iso/home/standards_development/resources-for-technical-work/foreword.htm.
Технический отчет ИСО/ТО 18128:2014 был разработан Техническим подкомитетом ПК 11 «Управление документами и архивами» Технического комитета ИСО/ТК 46 «Информация и документация» (ISO/ТС 46/SC 11 «Archives/records management», ISO/TC 46 «Information and documentation»).
Введение
Все организации идентифицируют угрожающие их успешному функционированию риски и управляют ими. Специалисты организации по управлению документами несут ответственность за идентификацию и управление рисками, относящимися к документным процессам и системам.
Настоящий стандарт должен помочь специалистам по управлению документами и ответственным за документы в своих организациях сотрудникам оценивать риски, связанные с документными процессами и системами.
Данная задача отличается от более общей задачи идентификации и оценки деловых рисков организации, где создание и хранение адекватных документов является одним из стратегических способов реагирования. Решения о необходимости создания документов в качестве реакции на риски для основной деятельности являются деловыми решениями, которые должны приниматься с учетом результатов анализа требований и потребностей организации в документах, проводимого совместно специалистами по управлению документами и представителями деловых подразделений. Настоящий стандарт исходит из того, что организация создала отражающие ее деловую деятельность документы с тем, чтобы удовлетворить потребности оперативной деятельности и иные нужды, и, по крайней мере, внедрила минимальный набор мер, обеспечивающих систематическое управление документами и контроль над ними.
1 Область применения
Настоящий стандарт должен помочь организациям в оценке рисков для документных процессов и систем, для обеспечения того, чтобы документы удовлетворяли выявленным потребностям деятельности до тех пор, пока в этом сохраняется необходимость.
a) устанавливает метод анализа, проводимого с целью идентификации (выявления) рисков, связанных с документными процессами и системами;
b) описывает метод анализа потенциальных последствий неблагоприятных событий для документных процессов и систем;
c) содержит рекомендации по проведению оценки рисков, связанных с документными процессами и системами, а также
d) содержит рекомендации по документированию выявленных и оцененных рисков, в рамках подготовки к смягчению или устранению этих рисков.
В настоящем стандарте не рассматриваются риски для деятельности организации общего характера, которые могут быть смягчены, в том числе, путем создания документов.
Настоящий стандарт может быть использован любыми организациями, вне зависимости от их размера, характера деятельности и сложности их функций и структуры. Перечисленные факторы, а также предписывающий создание документов и контроль над ними режим законодательно-нормативного регулирования, в условиях которого организация осуществляет свою деятельность, принимаются во внимание при идентификации и оценке рисков, связанных с документами и документными системами.
При установлении границ ответственности организации следует учитывать сложную систему взаимоотношений с другими организациями и внешними и внутренними заинтересованными сторонами, в том числе партнерские отношения и договорные обязательства, касающиеся цепочек поставок и передачи на аутсорсинг ряда функций, которые являются характерной особенностью деятельности современных государственных и коммерческих организаций. Установление границ ответственности организации является первым шагом в определении объема и содержания проекта оценки связанных с документами рисков.
В настоящем стандарте вопрос воздействия на риски (смягчения рисков) непосредственно не рассматривается, поскольку соответствующие методы являются специфическими для каждой организации.
Стандарт может быть использован специалистами по управлению документами, лицами, несущими в своих организациях ответственность за документы, а также аудиторами и руководителями, отвечающими в организациях за программы менеджмента риска.
2 Нормативные ссылки
Настоящий стандарт содержит ссылки нормативного характера на перечисленные ниже документы*, которые (полностью или частично) необходимы для его применения. Для датированных ссылок применима только та версия, которая упомянута в тексте. В случае недатированных ссылок необходимо использовать последнюю редакцию документа (включая опубликованные поправки).
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 Термины, относящиеся к риску
3.1.1 риск (risk): Следствие влияния неопределенности на достижение поставленных целей.
[Руководство ИСО 73:2009, 1.1]
3.2 Термины, относящиеся к документам
3.2.1 документная система, система управления документами (records system): Информационная система, обеспечивающая захват документов, а также управление документами и доступ к ним во времени.
3.2.2 документные процессы, процессы управления документами (records processes): Совокупности взаимосвязанных или взаимодействующих видов деятельности, с использованием которых организация создает, контролирует, использует, уничтожает либо передает на архивное хранение свои документы.
4 Критерии оценки риска для организации
4.1 Оценка риска
Оценка рисков для документных процессов и систем должна включаться в общий процесс управления рисками организации, где таковой существует. В этом случае специалисты по управлению документами должны учитывать внешние и внутренние обстоятельства и условия, в которых организация осуществляет свою деятельность (контекст), а также контекст самого процесса менеджмента риска, в том числе следующие факторы:
a) роли и обязанности: Должна быть определена роль специалистов по управлению документами в оценке рисков, связанных с документными процессами и системами;
b) охват и масштабы деятельности по оценке рисков: Во избежание избыточности и конфликтов, а также для создания условий для применения комплексного подхода к оценке рисков, связанных, в том числе, с документами, следует явным образом определить взаимоотношения с другими областями оценки риска, такими как информационная безопасность;
c) методология: При использовании имеющихся инструментов для оценки рисков и при подготовке отчетов перед уполномоченным лицом или службой следует использовать стандартную методологию оценки риска;
d) критерии риска: В случае, когда в организации используются общие критерии риска, следует оценивать связанные с документными процессами и системами риски на основе этих критериев.
Если в организации отсутствует общий процесс управления рисками, то специалистам по управлению документами до начала процесса оценки следует установить критерии риска, применимые к документным процессам и системам.
4.2 Критерии риска
Критерии должны быть основаны на нормативно-правовых требованиях юрисдикции, в рамках которой действует организация, и включать в себя следующее:
a) природу и типы принимаемых во внимание последствий и способы их измерения;
b) способы отражения вероятности событий;
c) подход к определению уровня риска;
d) критерии, на основе которых будет приниматься решение о необходимости воздействия на риск (т.е. об устранении или снижении риска);
e) критерии для принятия решения о приемлемости и/или допустимости риска;
f) будут ли учитываться возможные комбинации рисков, и если да, то каким образом.
Что касается природы и типов последствий, которые должны быть охвачены при оценке риска для документных процессов и систем, то существует общая отправная точка, применимая во всех организациях. Аутентичные, надежные, целостные документы, пригодные к использованию в течение всего периода времени, пока в них сохраняется необходимость, будут способны удовлетворить потребности организации. Риски идентифицируются, исходя из их возможности нанести ущерб этим общим свойствам документов, в результате чего документы могут уже не соответствовать тем целям, ради которых они были созданы.
Как провести анализ рисков бизнеса?
Каждый бизнес встречается с рисками, которые иногда приводят к серьезным потерям. Все предусмотреть нельзя, но большинство угроз реально спрогнозировать и подготовить способы решения. Мы узнали у предпринимателей, как анализ рисков помогает остаться на плаву.
Содержание статьи
Что такое анализ рисков бизнеса
Если говорить просто, то это план действий для кризисных моментов. Риски прописывают на этапе запуска в бизнес-плане или инвестиционном проекте. На основе анализа рассчитывают финансовую модель, потому что угрозы влияют на окупаемость.
Риски учитывают и в работающем бизнесе. Например, предприниматель открыл ларек с шаурмой в марте 2020 года, а уже в апреле произошел локдаун. Кухню не подготовили к работе на доставку, посетителей принимать нельзя, и бизнес встал. По идее даже такую ситуацию нужно предвидеть, чтобы избежать проблем.
Аналитик компании 3DAnalytics Денис Загребиль считает, что в пандемию обострились регуляторные риски:
«Сегодня актуальны регуляторные риски. Как пример — введение штрафов за несоблюдение требований карантина; открытие/закрытие туристических направлений. Конечно, риски зависят от вида деятельности. В моей практике риски часто встречаются в финансовой деятельности (банки, страхование, инвестиции), информационной безопасности, экологической безопасности»
В риск-анализе прописывают 4 основных параметра:
Какие риски бывают в бизнесе
У каждого бизнеса свой круг рисков, поэтому лучше открывать дело в сфере, в которой разбираетесь. Так проще определить круг потенциальных угроз. Но обычно выделяют 6 типов рисков.
Внутренние
Эти угрозы появляются от действий руководства или сотрудников. Например, компания дала таргетированную рекламу в соцсетях. Клиенты начали задавать вопросы в личных сообщениях, а менеджер односложно отвечает, не выводит на диалог, не задает вопросы. В итоге реклама привела потенциальных покупателей, но по вине сотрудника продажи не состоялись.
Производственные
На производстве происходит брак из-за человеческого фактора или некачественного сырья. Или завод встал из-за аварии на подстанции, а оборудование вышло из строя.
Финансовые
Это все, что связано с деньгами. Например, компания отправила продукты в розничные магазины, а те не расплатились в срок. Или предприниматель потратил деньги поставщиков на покупку машины, а у него не осталось средств, чтобы расплатиться по обязательствам.
Страховые
Есть случаи, которые можно заранее предусмотреть и застраховать: пожар или воровство оборудования. Бизнес несет затраты на страховку, но если риски произойдут, то предприниматели получат компенсацию.
Коммерческие
Эти угрозы влияют на реализацию товаров или услуг. Например, магазин одежды столкнулся с тем, что клиенты предпочитают покупать в интернете. Или веб-студия не находит клиентов, потому что конкуренты делают сайты дешевле.
Внешние
На эти условия предприниматель не может повлиять: изменения в законодательстве, пандемия или нововведения в налоговой системе. На последнем стоит остановиться чуть подробнее. В 2021 году предприниматели столкнулись с тем, что государство отменило режим ЕНВД, а взамен предложило измененный патент. Но, как правило, патент в регионах обходится дороже, чем «вмененка». И это несмотря на то что власти разрешили уменьшать стоимость на сумму страховых взносов.
В ФНС стали строже следить за предпринимателями и обоснованностью сделок. С 2021 года налоговики изменили алгоритмы проверки 6-НДФЛ, чтобы видеть предпринимателей, которые платят меньше средней зарплаты по отрасли. То есть если сотрудники получают небольшую официальную зарплату, то ФНС может прислать требование с просьбой указать причины.
Основатель «Школы Профессионального Владельца бизнеса» Оксана Дажун считает, что предприниматели должны обращать пристальное внимание на налоговые риски:
«Важно отслеживать в налоговом контроле результаты и планы ФНС. Изучите, как выбирают компании для плановой проверки, как проводить оптимизацию налогов, как работают суды и чего ждать бизнесу от налогового администрирования. Для этого хотя бы раз в год полезно посещать тренинги, семинары, где расскажут о нововведениях и о судебной практике.
По результатам СВОТ-анализа составить список рисков, угроз, возможностей и сильных сторон бизнеса:
Денис Загребиль считает, что риски у каждого бизнеса разные, но некоторые встречаются чаще:
«Риски зависят от этапа развития бизнеса или компании. Но основными я считаю некачественное оказание услуг, недобросовестных поставщиков и сотрудников, переоценку рыночных возможностей. В целом, на мой взгляд, управленческие решения часто принимаются без тщательного анализа рисков бизнеса, ситуационно или на основании опыта»
Как оценивать риски в бизнесе?
Для этого нужно погрузиться в бизнес-процессы и понять слабые места. Учебники по бизнесу выделяют 5 основных методов проведения риск-анализа.
Качественная оценка
Это таблица, где риски распределяют по степени возникновения:
После этого прописывают, как компания реагирует на каждый из рисков. Например, предприниматели заранее знали про отмену ЕНВД. Соответственно, за год до этого продумывали действия для бизнеса: выбор системы налогообложения, сокращение издержек, смена торговых точек.
Руководитель компании «Понимай Франчайзинг» Олег Шатилов проводит качественную оценку перед каждым запуском франшизы:
«Компания предлагает партнерам известность бренда, которая создает поток входящих клиентов. Но это касается первичного привлечения, а должны работать и процессы, направленные на сопровождение и удержание (crm и технологии обучения). И если эти процессы не работают, то франшиза не привлечет новых партнеров. Они узнают, что работа плохо выстроена, и пройдут мимо»
Метод аналогий
Это сравнение рисков на базе реализованных проектов такой же тематики. Пилорама запускает производство пеллетов, а коммерческий директор работал на таком заводе в прошлом. Он расскажет, с какими рисками столкнется пилорама и как их избежать. Для этого метода пригодятся сторонние эксперты, которые запускали такие проекты и знают подводные камни.
Коммерческий директор предприятия «Люкшудьинский леспромхоз» Александр Труфанов считает, что общение с конкурентами помогает понять будущие проблемы:
«Мы решили запустить производство фанеры. Мы всегда в диалоге с другими предприятиями и знаем, что главная трудность — поиск сырья. Но у нас собственное сырье, и риски другие. Например, трудно найти работников. В нашей местности просто некому работать. Но скоро рядом построят жилой комплекс, и мы планируем привлекать персонал из этих домов. Поэтому новое производство запустим после окончания стройки»
Контрольные списки источников рисков
Когда компания развивается, она накапливает опыт ошибок и проблем. Руководители заранее знают, с чем столкнутся на определенных этапах масштабирования. Например, пиццерия продает франшизу в разные города, и контрольный список поможет заранее понять опасности. Составляйте чек-лист проблем, который пополняется с каждым новым проектом.
Метод рейтинговых оценок
Это способ, когда ставят рискам оценки по пятибалльной или десятибалльной системе. Если государство собирается ужесточить наказание в области налогов, то риску ставят оценку 5. Значит, в ближайшее время придется вместе с бухгалтером оптимизировать налоги и учет, чтобы не привлекать внимание ФНС. Если у производства 3 постоянных поставщика и 2 в запасе, то угроза остановки не грозит. Этому риску ставят оценку 1 и не принимают срочных решений.
Метод экспертных оценок
Для этого метода привлекают сторонних экспертов: аналитиков, юристов, технологов. Выбор зависит от направления бизнеса. Каждый эксперт делает анализ рисков бизнеса по своей деятельности и определяет влияние на развитие проекта.
Если говорить про малый бизнес, то не всегда предприниматели проводят риск-анализ по методикам. Часто это происходит по наитию и на основе опыта. Денис Загребиль считает, что этот подход не совсем верен:
«Сложность использования метода в необходимости привлекать нескольких экспертов из разных областей или одного, но с широкой экспертизой.
Для оценки рисков в связи с выходом на новые рынки необходимо знать требования местного законодательства к качеству продукции (юристы), конкурентную среду, каналы продвижения, ценообразование (маркетолог, аналитик), квалификацию персонала в стране. Неоспоримый плюс привлечения экспертов — возможность комплексной оценки рисков. Минус же в том, что зачастую требуется участие нескольких экспертов по одинаковым вопросам»
А эксперт по франчайзингу Евгений Талдыкин считает, что с риск-анализом справится руководитель и сотрудники:
«Я был директором по франчайзингу сети парикмахерских. Обедал с сотрудниками и задавал вопросы: что будет, если завтра упадут продажи в 10 раз? Или из-за чего от нас отвернутся потенциальные партнеры? Сотрудникам нравилось доверие, и они активно отвечали на вопросы. А уже из ответов рождались решения. Например, в один момент мы поняли, что у нас много партнеров, менеджеры не в состоянии каждый день поддерживать общение со всеми. В чатах повисли десятки неотвеченных сообщений, а это угроза, что люди откажутся от сотрудничества и расскажут другим. А что будет, когда количество партнеров еще увеличится? Стали работать над проблемой и внедрили чат-бота, который отслеживал чаты с неотвеченными сообщениями, чтобы менеджеры в Отделе сопровождения вовремя отвечали. В целом сессии по анализу рисков бизнеса давали идеи для автоматизации, изменения процессов, увольнения или приема персонала»
Как запустить процесс анализа бизнес-рисков
Определить риски для бизнеса не так сложно. Не стоит бояться научных названий и думать, что без специалистов не обойтись. Конечно, в некоторых случаях нужны эксперты, но основную работу проводят руководители и сотрудники компании.
Пример таблицы для контроля бизнес-рисков
Оксана Дажун считает, что эффективный анализ рисков бизнеса прежде всего зависит от руководителя:
«Управлять умеют все, вплоть до кухарок, но по факту мало кто этому учится. Сейчас MBI подтягивают понимание и учат, как управлять, но, к сожалению, я до сих пор встречаю огромное количество директоров, которые используют интуитивный подходит в управлении. А интуитивных подход — это, как правило, реактивный подход: есть проблема — есть реакция, нет проблемы — нет реакции. В таких случаях риски всегда наступают и бьют очень больно. Главная задача — перейти с реактивного управления на системный подход. Это значит, что нужно научиться предугадывать наступление рисков и выстроить хорошую систему мониторинга»
Анализ рисков бизнеса помогает предпринимателям подготовиться к возникновению проблем. Если подходить к этому системно, то у бизнеса появится защита от неожиданных потерь.
ГОСТ Р 57551-2017
Информация и документация. Оценка рисков для документных процессов и систем
Купить ГОСТ Р 57551-2017 — бумажный документ с голограммой и синими печатями. подробнее
Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО «ЦНТИ Нормоконтроль»
Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.
Способы доставки
Должен помочь организациям в оценке рисков для документных процессов и систем, для обеспечения того, чтобы документы удовлетворяли выявленным потребностям деятельности до тех пор, пока в этом сохраняется необходимость. Стандарт: a) устанавливает метод анализа, проводимого с целью идентификации (выявления) рисков, связанных с документными процессами и системами; b) описывает метод анализа потенциальных последствий неблагоприятных событий для документных процессов и систем; c) содержит рекомендации по проведению оценки рисков, связанных с документными процессами и системами, а также d) содержит рекомендации по документированию выявленных и оцененных рисков, в рамках подготовки к смягчению или устранению этих рисков. В стандарте не рассматриваются риски для деятельности организации общего характера, которые могут быть смягчены, в том числе, путем создания документов. Стандарт может быть использован любыми организациями, вне зависимости от их размера, характера деятельности и сложности их функций и структуры. Перечисленные факторы, а также предписывающий создание документов и контроль над ними режим законодательно-нормативного регулирования, в условиях которого организация осуществляет свою деятельность, принимаются во внимание при идентификации и оценке рисков, связанных с документами и документными системами.
Идентичен ISO/TR 18128:2014
Оглавление
1 Область применения
2 Нормативные ссылки
3 Термины и определения
3.1 Термины, относящиеся к риску
3.2 Термины, относящиеся к документам
4 Критерии оценки риска для организации
4.3 Определение приоритетов
5 Идентификация риска
5.1 Общие положения
5.2 Контекст деятельности организации: внешние факторы
5.3 Контекст деятельности организации: внутренние факторы
5.4 Документные системы
5.5 Документные процессы
6 Анализ выявленных рисков
6.1 Общие положения
6.2 Анализ возможности и количественная оценка вероятности реализации рисков
7 Сравнительная оценка рисков
7.1 Общие положения
7.2 Оценка воздействия неблагоприятных событий
7.3 Сравнительная оценка риска
8 Распространение информации о выявленных рисках
Приложение А (справочное) Пример записи о документированном риске в реестре рисков
Приложение В (справочное) Контрольные вопросы для выявления областей неопределенности
Приложение С (справочное) Руководство по использованию мер и средств из приложения А «Цели и меры управления» ИСО/МЭК 27001
Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации
| Дата введения | 01.07.2019 |
|---|---|
| Добавлен в базу | 01.01.2018 |
| Актуализация | 01.01.2021 |
Этот ГОСТ находится в:
Организации:
Information and documentation. Risk assessment for records processes and systems
Чтобы бесплатно скачать этот документ в формате PDF, поддержите наш сайт и нажмите кнопку:
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
ГОСТР
57551—
Информация и документация
ОЦЕНКА РИСКОВ ДЛЯ ДОКУМЕНТНЫХ ПРОЦЕССОВ И СИСТЕМ
(ISO/TR 18128:2014, ЮТ)
Предисловие
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «ЭОС Тех» на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 459 «Информационная поддержка жизненного цикла изделий»
4 Настоящий стандарт идентичен международному стандарту ISO/TR 18128:2014 «Информация и документация. Оценка рисков для документных процессов и систем» (ISOTTR 18128:2014 «Information and documentation — Risk assessment for records processes and systems». IDT).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по сослюянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты» В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соотвепктвующая информация, уведомление и тексты размещаются также в информационной сислюме общего пользования — на официальном сайте Федерального агенглства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
5.2.3 Области неопределенности: физическая среда и инфраструктура
Возможность крупномасштабных природных и техногенных катастроф, способных повлиять на деятельность организации в целом, является одной из главных областей неопределенности, требующей идентификации и оценки. Потенциальный ущерб от таких катастроф включает как непосредственное воздействие на документы и их хранилища, так и менее прямолинейное влияние вследствие утраты услуг, от которых организация зависит, таких как водо- и электроснабжение и ряд других. В число областей неопределенности входят следующие:
a) региональные или местные разрушительные или нарушающие нормальную деятельность природные явления, такие как землетрясения, ураганы/циклоны. цунами, наводнения, пожары, мощные штормы и длительная засуха:
b) возможность серьезных структурных повреждений и перебоев с оказанием услуг в помещениях или в непосредственной близости от местоположения организации вследствие военных действий или террористических актов;
c) различные перебои в организации с энергоснабжением, подачей воды, вывозом отходов, с информационными технологиями, оказанием транспортных услуг и иных основных коммунальных услуг и сервисов.
5.2.4 Области неопределенности: внешние угрозы безопасности
Идентификация риска должна охватывать враждебные внешние угрозы безопасности, потенциальное воздействие которых может варьироваться от повреждения помещений и помех оказанию услуг до несанкционированного доступа к системам, в том числе документным. Примерами внешних угроз могут быть:
a) несанкционированное внешнее вторжение/достул в документные системы и внесение несанкционированных изменений в документы;
b) оставшаяся незамеченной компрометация системы безопасности или использование неконтролируемой уязвимости, приводящее к деградации информации;
Пример — Атака с использованием шпионского или вредоносного программного обеспечения либо уязвимостей, связанных с неисправленными слабыми сторонами и нарушениями защиты программного обеспечения.
c) физическое вторжение в хранилище документов или в зону размещения ИТ-оборудования;
d) атака «отказ в обслуживании» (DDOS-атака) и иные преднамеренные атаки на интернет-услуги;
e) физический вандализм;
О утрата услуг третьих сторон, от которых зависят документные системы.
Примечание — Оценка риска является неотъемлемым элементом внедрения международных стандартов серии ИСО/МЭК 27000 в области информационной безопасности В этих стандартах подробно рассматриваются области неопределенности, связанные с информационной безопасностью
5.3 Контекст деятельности организации: внутренние факторы
5.3.1 Области неопределенности: организационные изменения
Влияющие на организацию управленческие решения, такие как решения о слиянии компаний, о поглощении другой компании, о прочих приобретениях, реструктуризациях, сокращениях, передаче функций на аутсорсинг либо переводе в оффшоры представляют собой значительную область неопределенности во внутреннем контексте организации. Подобные решения будут влиять на документные процессы и системы, например:
a) изменение прав собственности на документы и документные системы, и последующая передача документов в организацию и из нее:
b) изменение прав собственности на документы и документные системы, приводящее к вынужденной миграции документов или к объединению систем;
c) соглашения о доступе к документным системам, обеспечивающие право непрерывного доступа к документам после их передачи и миграции;
d) наследование ответственности за документы и документные системы в отсутствие адекватной документации;
e) утрата персонала или корпоративной памяти, отражающиеся на имеющихся у организации знаниях о текущих документах и системах, в том числе о процедурах извлечения и использования документов. и на знаниях о более старых документах, унаследованных через организационные изменения;
0 прекращение использования документов и документных систем, особенно унаследованных систем. за которые никто не несет ответственность:
д) изменение условий в договорах с третьими сторонами об оказании услуг;
h) введение новых или модификация существующих внутренних политик организации, влияющих на документные системы и процессы;
i) наличие политик и процедур, которые не были своевременно пересмотрены и обновлены и стали неприменимыми либо стали несогласованными или противоречивыми в результате организационных изменений;
j) изменения в кадровом составе организации, которые могут повлиять на распределение ответственности за документы;
k) изменения в кадровой политике, в финансировании и возможностях для подготовки персонала и повышения его квалификации, которые влияют на компетенцию отвечающих за документы специалистов. а также
l) отказ от проведения тестирования и актуализации плана действий в случае катастроф и в ходе последующего восстановления деятельности организации, что может повлиять на судьбу документов в случае стихийного бедствия.
5.3.2 Области неопределенности: технологические изменения
Внедрение новых технологий и систем создает возможности для совершенствования деловой деятельности. но при этом является областью неопределенности, где потенциально возможны негативные последствия. К числу областей неопределенности относятся:
a) технологические изменения, которые влияют на совместимость (интероперабельность) создающих или контролирующих документы систем;
b) совместимость с существующими платформами и системами;
c) планирование и осуществление миграции документов;
d) перераспределение ответственности и контроля над документными процессами;
е) эффективность внедрения изменений;
Пример — Адекватность планирования и управления проектом по внедрению новой платформы или программного обеспечения.
f) степень, в которой существующие политики охватывают внедренные организацией новые технологии;
Пример — Использование облачных сервисов, социальных сетей. RFID-радиометок, систем глобального позиционирования GPS/ГЛОНАСС.
д) способность внедряющих новые технологии системных администраторов и разработчиков осознавать влияние этих технологий на требования к документам — как на стадии проектирования, так и на этапе практической реализации;
Пример — Использование для разработки новых систем приложений для поддержки коллективной работы или вики-сред, не способных адекватным образом захватывать проектные документы и системную документацию.
h) способность существующей технической инфраструктуры удовлетворять новые требования, появившиеся в результате технологического развития организации или ее документных систем.
5.3.3 Области неопределенности: ресурсы — люди и компетенции
Выполнение организацией всех ее операций, включая документные процессы и эксплуатацию документных систем, зависит от наличия компетентного персонала. Специалисты по управлению документами или ответственные за документы лица проводят оценку областей неопределенности, включая следующие:
a) численность персонала, занятого созданием документов, контролем над ними, а также разработкой и поддержкой документных систем;
b) осведомленность о документных политиках и процессах:
c) поддержка высшим руководством деятельности по управлению документами;
d) осведомленность о связанных с документными процессами и системами рисках, и способность высшего руководства принимать решения по смягчению этих рисков;
е) управление взаимоотношениями между ответственными за документные системы лицами и пользователями;
0 адекватность компетенций персонала для создания документов и контроля над ними;
g) потеря ключевых специалистов, обладающих важнейшими навыками и глубокими знаниями организации и ее истории;
h) снижение со временем уровня квалификации персонала;
О адекватность используемых средств оценки эффективности и пригодности персонала
5.3.4 Области неопределенности: ресурсы — финансовые и материальные ресурсы
На финансовые и материальные ресурсы, доступные для адекватного управления документными процессами и системами, оказывают влияние как внешняя экономическая ситуация и деловая среда, так и уровень поддержки управления документами в организации. Области неопределенности включают в себя следующее:
a) достаточность финансовых ресурсов для исполнения обязательств и достижения целей управления документами;
b) достаточность финансовых ресурсов для закупки, обновления и поддержки адекватных систем.
5.4 Документные системы
При оценке воздействия риска на системы, используемые для создания документов и/или контроля над ними, следует принять во внимание архитектуру таких систем, вопросы обеспечения поддержки. жизнеспособности, непрерывности функционирования, интероперабельности и безопасности. Используемые организацией системы стечением времени сменяются в зависимости от экономических обстоятельств, перемен в характере деятельности и кадровом составе, а также в связи с изменениями размера и структуры организации. Критически важно, чтобы высшее руководство было надлежащим образом информировано о риске для документных систем и приняло на себя ответственность за предпринимаемые организацией меры реагирования
Примечание 1 — В рамках настоящего подраздела термин «системы» следует понимать как «документные системы» в смысле определения, данного в 3 2.1
Примечание 2 — Специалисты по управлению документами при проведении идентификации связанных с документными системами рисков в организациях, внедривших у себя меры и средства контроля и управления, предусмотренные стандартом системы менеджмента информационной безопасности ИСО/МЭК 27001. должны принять во внимание возможность снижения рисков в некоторых областях благодаря этим мерам В не внедривших ИСО/МЭК 27001 организациях, этот стандарт может быть использован как источник для выбора действий по смягчению риска из числа перечисленных в нем мер Приложение С содержит таблицу, устанавливающую соответствие между относящимися к документным системам областями неопределенности и мерами контроля и управления, описанными в ИСО/МЭК 27001
5.4.1 Области неопределенности: архитектура систем
Архитектура и конфигурация систем имеют ключевое значение для создания документов и обеспечения их долговечности Данная область пересекается с идентификацией рисков для документных процессов. Адекватная документация по конфигурации системы является основой для решения вопросов. связанных как с другими областями риска на системном уровне, так и с процессами в системе.
Примечание — О документных процессах в системах см 5.5.
Исходя из современного опыта, идентификация связанных с архитектурой систем рисков, особенно в контексте электронных документов, включает в себя следующее:
a) определение того, что является документом в системе, с тем чтобы система адекватно своим целям создавала документы и управляла ими;
Пример — В транзакционной безо данных следует выявить все необходимые злемонты документа и обеспечить управление ими, с тем чтобы сведения о транзакции могли быть извлечены или воссозданы.
b) адекватное выявление требований в отношении сроков хранения;
Пример — В элементах (метаданных) документов должны быть указаны сами сроки хранения и события-»триггеры», запускающие отсчет сроков хранения и выполнение действий по уничтожению документов либо их породачо на архивное храноние.
c) выявление и документирование всех необходимых документных процессов, которыми должна управлять система;
d) эффективность архитектуры документных систем, соответствующая потребностям сотрудников организации и используемым организацией технологиям;
е) управление степенью зависимости от поддержки со стороны производителя системы;
0 доступ к документации производителя системы.
5.4.2 Области неопределенности; техническое обслуживание и поддержка
Техническое обслуживание документных систем в первую очередь относится к тем аспектам технологической платформы и поддержки систем, на которые влияют структурные изменения в организации, внедрение новых систем, изменения технологий, а также компетентность и надежность технической поддержки.
Области неопределенности включают в себя следующее:
a) изменения в деятельности и деловых системах, влияющие на документные системы;
b) уровень квалификации системных администраторов и понимание ими требований к управлению документами в системах;
c) надежность поставщиков систем и их способность обеспечить техническое обслуживание систем и их постоянное соответствие текущему уровню развития технологий;
d) адекватность документации по процедурам оперативного технического обслуживания;
e) адекватность технической документации на системы;
0 адекватность документированных процедур резервного копирования и восстановления для документных систем;
д) адекватность процесса восстановления с резервных копий.
5.4.3 Области неопределенности: жизнестойкость и непрерывность функционирования
Жизнестойкость документных систем зависит от отслеживания перемен во внешнем и внутреннем контексте организации, с тем чтобы эти системы обновлялись, реагируя на изменяющиеся потребности.
При планировании действий по обеспечению непрерывного функционирования документных систем следует учитывать планы организации по обеспечению непрерывности деятельности. При отсутствии у организации плана по обеспечению непрерывности ее деятельности специалисты по управлению документами проводят анализ и оценку документных систем с целью установления приоритетов и процедур восстановления их работоспособности после перерывов в обслуживании.
Области неопределенности включают в себя следующее:
a) изменения во внешнем и внутреннем контексте, затрагивающие требования и потребности организации в отношении документов;
b) адекватность мониторинга качества документов и работы с ними, проводимого с целью выявления изменений в требованиях к документам;
c) адекватность оценки фактических затрат на внедрение и поддержание документных систем, включая затраты на оплату труда;
d) адекватность действий по выявлению и документированию документных систем;
е) поддержание и обеспечение доступности спецификаций и документации на документные системы;
0 адекватность документирования решений, принятых в ходе внедрения документных систем, и доступность этих документов всем нуждающимся в них пользователям;
д) способность документных систем поддерживать пригодность документов к использованию;
h) способность импортировать документы из унаследованных документных систем и прочих деловых систем;
i) проведение миграции документов в новую документную систему по причине изменения требований к документам либо изменений в технологиях;
j) изменения в других системах, от которых зависит данная документная система;
k) способность облачных систем экспортировать документы, когда это необходимо, для их включения в собственные системы организации;
l) адекватность протоколирования истории событий в документной системе, включая обеспечение ее сохранности в течение срока службы системы; а также управление зависимостью от других систем с целью поддержания во времени осмысленности содержащейся в истории событий информации;
Пример — Ведение документации на уникальные идентификаторы, используемые в истории событий для обозначения пользооателей и деловых подразделений.
т) способность документных систем поддерживать усилия по обеспечению непрерывности деятельности посредством предоставления доступа к необходимым документам в случае стихийного бедствия;
п) планирование действий на случай перебоев в обслуживании при возникновении нештатных ситуаций.
5.4.4 Области неопределенности: интероперабельность
Имеющиеся у документных систем зависимости и взаимосвязи с другими системами могут оказаться уязвимым местом.
Области неопределенности включают в себя следующее:
a) адекватность действий по выявлению и специфицированию необходимой интероперабельности между документными системами и иными деловыми системами;
b) зависимость документных систем от внешних по отношению к ним источников данных и способность обмениваться данными с этими системами, подключаться к ним либо ссылаться на их данные (примером могут служить облачные системы и другие внешние услуги по хранению данных);
c) совместимость стандартов и спецификаций, касающихся обмена документами и интероперабельности систем;
d) эффективность межсистемного взаимодействия (интероперабельности) после внесения изменений или проведения технологических обновлений одной или обеих взаимодействующих систем;
e) управление метаданными, относящимися к управлению документами, при перемещении документов между системами с тем, чтобы сохранить пригодность к использованию и смысл документов.
5.4.5 Области неопределенности: безопасность
Оценка риска, связанного с безопасностью документных систем, может проводиться с использованием серии стандартов ИСО/МЭК 27000 и использоваться в качестве элемента системы менеджмента информационной безопасности организации, если таковая имеется. Национальные стандарты и требования к информационной безопасности систем также могут быть применимы в отношении документных систем.
Приложения В—D в ИСО/МЭК 27005 содержат примеры областей неопределенности, применимые в отношении любой информационной системы. Более специфические для документных систем области неопределенности также включают следующее:
a) адекватность политики безопасности организации в отношении документов, документных процессов и систем;
b) способность обеспечивать соблюдение и защиту правил и привилегий доступа, связанных с документами, документными процессами и системами;
c) политика и меры контроля в отношении действующих по поручению организации третьих сторон, влияющие на хранение, доступ и контроль над документами и документными системами.
5.5 Документные процессы
При идентификации риска основное внимание обращается на используемые при управлении документами и документными системами процессы создания документов (или их элементов) и контроля над ними.
Примечание — Предполагается, что специалисты по управлению документами при проектировании документов и документных процессов используют в качестве руководства стандарты и технические отчеты ИСО 15489-1, ИСО 23081-1, ИСО 23081-2 и ИСОЯО 23081-3
5.5.1 Области неопределенности: проектирование документов
Области неопределенности в процессах проектирования документов следующие:
a) адекватное проведение анализа видов деятельности с целью выявления требований к документам;
b) всесторонний характер сбора требований к документам для каждого делового процесса, когда, в том числе, учитываются потребности всех заинтересованных сторон;
c) адекватность проектирования документов (например, установления содержания и определения метаданных, необходимых для идентификации, описания, использования, сохранения истории событий, а также для планирования событий), соответствующая требованиям к документам;
d) адекватность схем наименования и классификации поставленным целям.
5.5.2 Области неопределенности: создание документов и внедрение документных систем
Области неопределенности в процессах создания документов и внедрения документных систем
а) для всех документов выбраны подходящие для соответствующих деловых процессов и документных систем точки их создания или захвата (обеспечиваются своевременность, комппексность и полнота создания/захвата);
b) эффективность интеграции, где это уместно, деловых процессов с процессами создания документов и контроля над ними;
c) адекватное распределение и документирование обязанностей и ответственности создателей документов и участвующих в деловых транзакциях агентов (там. где это разные лица);
d) распределение обязанностей и ответственности по захвату документов организации из внешних сред соответствует требованиям;
e) спецификации метаданных ведутся и документируются надлежащим образом;
0 надлежащим образом документируются и контролируются процессы управления и протоколирования доступа к документам.
5.5.3 Области неопределенности: метаданные
Области неопределенности в процессах управления метаданными следующие;
a) имеются и доступны технические спецификации метаданных, используемых в документах, документных процессах и системах;
b) обеспечивается управление спецификациями метаданных, дающее возможность проводить по мере необходимости их обновление.
5.5.4 Области неопределенности: использование документов и документных систем
Области неопределенности в процессах доступа и использования следующие:
a) соответствующие требованиям стабильность и своевременность извлечения или получения доступа к документам;
b) адекватность управления правами доступа пользователей во всех документных процессах;
c) управление инцидентами безопасности и случаями взлома других мер и средств контроля доступа;
d) ведение документации, показывающей, кто во времени получал доступ к документам и вносил в них изменения;
e) адекватность подготовки использующего процессы персонала;
f) соблюдение установленных процедур.
5.5.4.1 Области неопределенности: поддержание пригодности к использованию
Области неопределенности в процессах поддержания пригодности к использованию следующие:
a) сохранение осмысленности метаданных документов во времени, особенно при наличии зависимости от данных из внешних систем или связей с ними;
b) адекватность документных процессов в плане сохранения аутентичности и надежности документов во времени;
c) поддержание доступности документов во времени;
d) управление применением шифрования документов в случае их передачи по каналам связи;
e) адекватность управления версиями документов во времени;
0 адекватность усилий по сохранению истории событий с документами с целью сохранения осмысленности документов во времени;
д) проблемы, связанные с устареванием оборудования и программного обеспечения (в том числе форматов), затрагивающие как документные процессы, так и документные системы.
Пример — Более старые версии электронных документов могут оказаться недоступными с использованием современных программных приложений (версий приложений).
5.5.5 Области неопределенности: уничтожение документов либо их передача на архивное хранение
Области неопределенности в процессах окончательного решения судьбы документов (их уничтожения либо передачи на архивное хранение) следующие:
a) уничтожение документов либо их передача на архивное хранение проводятся так. как это было запланировано и авторизовано;
b) процедуры окончательного решения судьбы документов предусматривают, в случае необходимости, возможность продолжения хранения документов после истечения срока их хранения;
Пример — Документы, необходимые в рамках судебного разбирательства либо запрошенные о соответствии с законодательством о свободе доступа к государственной информации, сроки хранения копюрых истекли.
c) документируются все действия, связанные с уничтожением либо передачей документов;
d) уничтожение документов надлежащим образом авторизовано и задокументировано;
Содержание
1 Область применения. 1
2 Нормативные ссылки. 2
3 Термины и определения. 2
3.1 Термины, относящиеся к риску. 2
3.2 Термины, относящиеся к документам. 2
4 Критерии оценки риска для организации. 2
4.2 Критерии риска. 3
4.3 Определение приоритетов. 3
5 Идентификация риска. 4
5.1 Общие положения. 4
5.2 Контекст деятельности организации: внешние факторы. 5
5.3 Контекст деятельности организации: внутренние факторы. 6
5.4 Документные системы. 8
5.5 Документные процессы. 10
6.1 Общие положения. 12
6.2 Анализ возможности и количественная оценка вероятности реализации рисков. 12
7 Сравнительная оценка рисков. 14
7.1 Общие положения. 14
7.2 Оценка воздействия неблагоприятных событий. 15
7.3 Сравнительная оценка риска. 16
Приложение А (справочное) Пример записи о документированном риске в реестре рисков. 18
Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов
национальным стандартам Российской Федерации. 34
Вступление
Международная организация по стандартизации ИСО (International Organization for Standardization, ISO) явпяется всемирным объединением национапьных органов по стандартизации — чпенов ИСО, Работа по подготовке международных стандартов обычно проводится техническими комитетами ИСО. Каждый чпен ИСО. заинтересованный в вопросе, дпя проработки которого бып создан технический комитет, имеет право быть представленным в этом комитете. Международные правительственные и неправительственные организации, имеющие партнерские связи с ИСО. также принимают участие в этой работе. ИСО тесно сотрудничает с Международной электротехнической комиссией МЭК (International Electrotechnical Commission, IEC) no всем вопросам стандартизации в обпасти эпектротехники.
Международные стандарты разрабатываются и в дапьнейшем поддерживаются в соответствии с правилами, установленными в части 1 директив ИСО/МЭК. Следует, в частности, иметь в виду различные критерии, соответствие которым необходимо для утверждения документов ИСО разных типов. Технический отчет ИСО/ТО 18128:2014 был разработан в соответствии с правилами редакционной работы. установленными частью 2 директив ИСО/МЭК 1 ).
Следует принять во внимание, что некоторые элементы данного документа могут подпадать под действие патентного права. ИСО и МЭК не несут ответственность за идентификацию соответствующих патентных прав. Сведения о выявпенных в ходе разработки технического отчета ИСО/ТО 18128:2014 патентных правах содержатся во введении и/или в перечне ИСО полученных патентных деклараций 2 ).
Все встречающиеся в данном документе торговые наименования представляют собой сведения, включенные для удобства пользователей, и их упоминание не означает официапьной поддержки соответствующих продуктов со стороны ИСО.
Разъяснения принятых в ИСО трактовок специфических терминов и выражений, относящихся к оценке соответствия, а также информацию о приверженности ИСО принципам ВТО в части борьбы с техническими барьерами для торговли (Technical Barriers to Trade. TBT) можно найти на веб-сайте ИСО по адресу http://www.iso.org/iso/home/standards_development/resources-for-technical-work/foreword.htm.
Технический отчет ИСО/ТО 18128:2014 бып разработан Техническим подкомитетом ПК 11 «Управление документами и архивами» Технического комитета ИСО/ТК 46 «Информация и документация» (ISO/ТС 46/SC 11 «Archives/records management». ISO/ТС 46 «Information and documentation»).
Введение
Все организации идентифицируют угрожающие их успешному функционированию риски и управляют ими. Специалисты организации по управлению документами несут ответственность за идентификацию и управление рисками, относящимися к документным процессам и системам.
Настоящий стандарт должен помочь специалистам по управлению документами и ответственным за документы в своих организациях сотрудникам оценивать риски, связанные с документными процессами и системами.
Примечание — Под «системой» понимается любое деловое программное приложение, в котором создаются и хранятся документы
Данная задача отличается от более общей задачи идентификации и оценки деловых рисков организации, где создание и хранение адекватных документов является одним из стратегических способов реагирования. Решения о необходимости создания документов в качестве реакции на риски для основной деятельности являются деловыми решениями, которые должны приниматься с учетом результатов анализа требований и потребностей организации в документах, проводимого совместно специалистами по управлению документами и представителями деловых подразделений. Настоящий стандарт исходит из того, что организация создала отражающие ее деловую деятельность документы с тем. чтобы удовлетворить потребности оперативной деятельности и иные нужды, и. по крайней мере, внедрила минимальный набор мер. обеспечивающих систематическое управление документами и контроль над ними.
h См www iso org/directives 21 См www iso org/patents
Последствием рисковых событий для документных процессов и систем является утрата или повреждение документов, которые в результате становятся непригодными для использования, утрачивают надежность, аутентичность, полноту и/или неизменность, и могут поэтому не удовлетворять потребностям организации.
Настоящий стандарт содержит рекомендации и примеры, основанные на общих принципах менеджмента риска, установленных ИСО 31000 (см. рисунок 1). которые применены в отношении рисков, связанных с документными процессами и системами. Стандарт охватывает следующие вопросы:
a) идентификация рисков.
c) сравнительная оценка риска.
Результаты анализа риска для документных процессов и систем следует включать в общую систему управления рисками организации. В результате организация будет лучше контролировать свои документы и их качество в плане использования в деловых целях.
Раздел 5 содержит всесторонний перечень областей неопределенности, связанных с документными процессами и системами, предназначенный для идентификации рисков.
Раздел 6 содержит руководство по определению последствий и вероятностей идентифицированных рисковых событий с учетом наличия (или отсутствия) и эффективности применяемых мер и средств контроля и управления.
Раздел 7 содержит руководство по определению значимости уровня и типа идентифицированных рисков.
Стандарт не затрагивает вопросы воздействия на риски. По завершении оценки рисков, связанных с документными процессами и системами, эти риски документируются и соответствующие сведения передаются в подразделение (службу) организации, занимающееся менеджментом риска. Реагирование на оцененные риски осуществляется в рамках общей программы управления рисками организации. Приоритет, установленный оцененным рискам специалистом по управлению документами, впоследствии учитывается при принятии организацией решений об управлении этими рисками.
Рисунок 1 — Процесс менеджмента риска
Примечание — Рисунок 1 взят из ИСО 31000 2009 Приведенная на нем нумерация разделов относится к тексту указанного стандарта
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информация и документация ОЦЕНКА РИСКОВ ДЛЯ ДОКУМЕНТНЫХ ПРОЦЕССОВ И СИСТЕМ
Information and documentation Risk assessment for records processes and systems
Дата введения — 2019—07—01
1 Область применения
Настоящий стандарт должен помочь организациям в оценке рисков для документных процессов и систем, для обеспечения того, чтобы документы удовлетворяли выявленным потребностям деятельности до тех пор, пока в этом сохраняется необходимость.
a) устанавливает метод анализа, проводимого с целью идентификации (выявления) рисков, связанных с документными процессами и системами:
b) описывает метод анализа потенциальных последствий неблагоприятных событий для документных процессов и систем:
c) содержит рекомендации по проведению оценки рисков, связанных с документными процессами и системами, а также
d) содержит рекомендации по документированию выявленных и оцененных рисков, в рамках подготовки к смягчению или устранению этих рисков.
В настоящем стандарте не рассматриваются риски для деятельности организации общего характера. которые могут быть смягчены, в том числе, путем создания документов.
Настоящий стандарт может быть использован любыми организациями, вне зависимости от их размера, характера деятельности и сложности их функций и структуры. Перечисленные факторы, а также предписывающий создание документов и контроль над ними режим законодательно-нормативного регулирования, в условиях которого организация осуществляет свою деятельность, принимаются во внимание при идентификации и оценке рисков, связанных с документами и документными системами.
При установлении границ ответственности организации следует учитывать сложную систему взаимоотношений с другими организациями и внешними и внутренними заинтересованными сторонами. в том числе партнерские отношения и договорные обязательства, касающиеся цепочек поставок и передачи на аутсорсинг ряда функций, которые являются характерной особенностью деятельности современных государственных и коммерческих организаций. Установление границ ответственности организации является первым шагом в определении объема и содержания проекта оценки связанных с документами рисков.
В настоящем стандарте вопрос воздействия на риски (смягчения рисков) непосредственно не рассматривается. поскольку соответствующие методы являются специфическими для каждой организации.
Стандарт может быть использован специалистами по управлению документами, лицами, несущими в своих организациях ответственность за документы, а также аудиторами и руководителями, отвечающими в организациях за программы менеджмента риска.
2 Нормативные ссылки
Настоящий стандарт содержит ссылки нормативного характера на перечисленные ниже документы. которые (полностью или частично) необходимы для его применения Для датированных ссылок применима только та версия, которая упомянута в тексте В случае недатированных ссылок необходимо использовать последнюю редакцию документа (включая опубликованные поправки).
ISO 30300:2011 Information and documentation — Management systems for records — Fundamentals and vocabulary (Система стандартов no информации, библиотечному и издательскому делу. Информация и документация. Системы управления документами. Основные положения и словарь)
ISO Guide 73:2009 Risk management — Vocabulary (Менеджмент риска. Термины и определения)
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 Термины, относящиеся к риску
3.1.1 риск (risk): Следствие влияния неопределенности на достижение поставленных целей.
Примечание 1 — Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).
Примечание 2 — Неопределенность — это состояние полной или частичной нехватки информации, знаний и понимания события, его последствий и/или их вероятности
Примечание 3 — Риск часто характеризуют путем описания возможного события (Руководство ИСО 73:2009. 3.5.1.3) и его последствий (Руководство ИСО 73:2009. 3 6 1 3) или их сочетания
Примечание 4 — Риск часто описывают в виде комбинации последствий возможного события (в том числе изменения обстоятельств) и соответствующей вероятности наступления этого события (Руководство ИСО 73 2009. 36.1.1).
(Руководство ИСО 73:2009. 1.1)
3.2 Термины, относящиеся к документам
3.2.1 документная система, система управления документами (records system): Информационная система, обеспечивающая захват документов, а также управление документами и доступ к ним во времени.
Примечание 1 — К числу документных систем могут быть отнесены создающие и хранящие документы деловые приложения и системы
(ИСО 30300—2011. 3 4 4)
3.2.2 документные процессы, процессы управления документами (records processes): Совокупности взаимосвязанных или взаимодействующих видов деятельности, с использованием которых организация создает, контролирует, использует, уничтожает либо передает на архивное хранение свои документы.
4 Критерии оценки риска для организации
Оценка рисков для документных процессов и систем должна включаться в общий процесс управления рисками организации, где таковой существует. В этом случае специалисты по управлению документами должны учитывать внешние и внутренние обстоятельства и условия, в которых организация осуществляет свою деятельность (контекст), а также контекст самого процесса менеджмента риска, в том числе следующие факторы:
a) роли и обязанности: Должна быть определена роль специалистов по управлению документами в оценке рисков, связанных с документными процессами и системами;
b) охват и масштабы деятельности по оценке рисков: Во избежание избыточности и конфликтов, а также для создания условий для применения комплексного подхода к оценке рисков, связанных, в
том числе, с документами, следует явным образом определить взаимоотношения с другими областями оценки риска, такими как информационная безопасность;
c) методология; При использовании имеющихся инструментов для оценки рисков и при подготовке отчетов перед уполномоченным лицом или службой следует использовать стандартную методологию оценки риска;
d) критерии риска; В случае, когда в организации используются общие критерии риска, следует оценивать связанные с документными процессами и системами риски на основе этих критериев.
Если в организации отсутствует общий процесс управления рисками, то специалистам по управлению документами до начала процесса оценки следует установить критерии риска, применимые к документным процессам и системам.
Критерии должны быть основаны на нормативно-правовых требованиях юрисдикции, в рамках которой действует организация, и включать в себя следующее:
a) природу и типы принимаемых во внимание последствий и способы их измерения;
b) способы отражения вероятности событий;
c) подход к определению уровня риска;
d) критерии, на основе которых будет приниматься решение о необходимости воздействия на риск (т. е. об устранении или снижении риска);
e) критерии для принятия решения о приемлемости и/или допустимости риска;
0 будут ли учитываться возможные комбинации рисков, и если да. то каким образом.
Что касается природы и типов последствий, которые должны быть охвачены при оценке риска для документных процессов и систем, то существует общая отправная точка, применимая во всех организациях. Аутентичные, надежные, целостные документы, пригодные к использованию в течение всего периода времени, пока в них сохраняется необходимость, будут способны удовлетворить потребности организации. Риски идентифицируются, исходя из их возможности нанести ущерб этим общим свойствам документов, в результате чего документы могут уже не соответствовать тем целям, ради которых они были созданы.
Вопросы анализа вероятности и частоты событий в рамках оценки рисхов обсуждаются в 6.2.
Критерии количественной оценки рисков, в том числе критерии, на основе которых будут приниматься решения о приемлемости риска или необходимости его снижения, включают размер и охват документных систем организации, количество пользователей этих систем, а также способ применения таких систем в оперативной деятельности организации.
Аналогичным образом критерии количественной оценки рисков для документных процессов должны включать частоту выполнения процесса, количество систем в которых он выполняется, его относительную важность для создания и управления документами, возможности для мониторинга процессов. а также потенциальные возможности для полного устранения или смягчения неблагоприятных последствий.
4.3 Определение приоритетов
Как правило, организация должна определить, какие документы являются ключевыми для ее деятельности, а также придаваемый им уровень значимости. Это деловые решения, основанные на рекомендациях как специалистов по управлению документами, так и представителей деловых подразделений.
Приоритет, установленный для отдельных документов, их массивов, для документных процессов или конкретных документных систем, также может приниматься во внимание в связи с реагированием на крупные чрезвычайные происшествия, затрагивающие все или многие деловые операции. Например. определенные документы могут потребоваться сразу же после стихийного бедствия, такие как адреса и телефоны экстренных служб, сведения о проходе лиц на территорию объекта, контактные данные групп реагирования на чрезвычайные ситуации, контактные данные страховых компаний и конкретные условия страхования. Кроме того, при планировании мер по обеспечению непрерывности своей деятельности организациям следует определить, какие деловые функции должны быть восстановлены в первую очередь и какие документы для этого понадобятся.
Особое внимание следует уделить ситуациям, в которых документы, отнесенные к числу ключевых для оперативной деятельности, подвергаются комбинации рисков.
5 Идентификация риска
5.1 Общие положения
Идентификация риска проводится по следующим направлениям: анализируются контекст деятельности. системы, а также процессы, используемые при создании и управлении документами организации.
Под внешним контекстом деятельности организации понимается совокупность неподконтрольных ей общественно-политических, макроэкономических, технологических, а также физических и экологических факторов, оказывающих влияние на ее деятельность и учитываемых при определении связанных с документами требований и потребностей организации. Частью внешнего контекста являются внешние заинтересованные стороны, имеющие конкретные интересы, связанные с деятельностью организации.
Существует также внутренний контекст деятельности организации, под которым понимается совокупность внутренних факторов, неподконтрольных ответственным за документные процессы и системы специалистам по управлению документами. Внутренний контекст включает в себя такие факторы, как структура и финансы организации, применяемые ею технологии, ресурсное обеспечение деятельности (кадры и бюджеты), а также культура организации, которые влияют на политики и практику управления документами.
Потенциально возможные события с не вполне предсказуемыми последствиями могут быть как внешними, так и внутренними по отношению к организации.
Различные подразделения организации могут иметь разные точки зрения на неопределенности, связанные с последствиями изменений внешнего контекста (см. рисунок 2). Кроме того, следует иметь в виду, что любые изменения открывают новые возможности, последствия которых могут быть и положительными.
Рисунок 2 — Множественность слоев контекста для документов и документных процессов организации
Цель идентификации риска заключается в выяснении того, что может произойти и какие ситуации могут возникнуть, чтобы это в итоге повлияло на способность документов удовлетворять потребности организации.
Процесс идентификации риска включает в себя выявление причин и источников риска, событий, ситуаций или обстоятельств, способных существенно повлиять на достижение организацией своих целей. а также выяснение природы такого влияния. Сопоставление основных методов дано в приложении В к МЭК 31010.
Выявленные риски должны быть задокументированы в реестре рисков. Это может быть как специальный реестр рисков для документов, так и общий реестр рисков организации. Соответствующий пример приведен в приложении А.
Примечание —В приложении В к настоящему стандарту приведен пример построенного в соответствии со структурой раздела 5 списка контрольных вопросов (контрольного списка), который организация может использовать для систематической идентификации рисков для документных процессов и систем
5.2 Контекст деятельности организации: внешние факторы
5.2.1 Области неопределенности: изменения в общественно-политическом контексте
Изменения в политическом и общественном климате, как на национальном, так и на международном уровне, могут повлиять на отношение общества к поведению государственных органов и коммерческих организаций. Это может привести к изменениям в законодательстве и нормативной базе, которые повлияют на деятельность организаций и, как следствие, на их требования к документам.
Примерами областей, в которых изменение общественного отношения может повлиять на требования к документам, являются обеспечение национальной безопасности, доступ к государственной и корпоративной информации, неприкосновенность частной жизни и защита персональных данных, права интеллектуальной собственности, а также обязанности корпораций по раскрытию информации об их деятельности. В более общем плане примерами областей неопределенности являются:
a) законодательно-нормативные изменения, влияющие на требования организаций к документам;
b) изменения в государственной политике, влияющие на документы, документные процессы и системы организации;
c) новые стандарты и кодексы практики, влияющие на документы, документные процессы и системы организации;
d) изменение спроса на услуги в области управления документами.
e) изменение ожиданий заинтересованных сторон;
0 изменение репутации либо доверия к способности организации предоставлять свои услуги.
5.2.2 Области неопределенности: макроэкономическая и технологическая среда
Изменения в макроэкономической, деловой и производственной средах, а также в информационных технологиях сильно влияют на конкуренцию и потребительский спрос. Изменения могут проходить постепенно и непрерывно, но могут быть и результатом кризисов. Они также представляют собой области неопределенности, с которыми могут быть связаны, в том числе и позитивные возможности.
Примеры областей неопределенности, вытекающих из подобных изменений в макроэкономической и деловой среде, включают в себя следующее:
a) изменения в собственности и/или выручке организации, влияющие на приоритеты в сфере управления, включая управление документами;
b) изменения в целях, функциях и оперативной деятельности организации, приводящие к изменению требований к документам;
c) повышение активности регулирующих органов, приводящее к росту числа внешних запросов на представление документов;
d) увеличение числа судебных разбирательств, приводящее к росту числа запросов на представление документов;
e) внедрение и широкое распространение новых технологий в масштабах всего общества;
Пример — Использование социальных сетей и мобильных компьютерных устройств для ведения деятельности.
0 изменения на рынке или в клиентской базе организации.
Эти изменения находят свое отражение в организационных переменах, которые рассматриваются ниже (см. 5.3.1).