Управление рисками для архивов, часть 2-1

(Продолжение, начало см. http://rusrim.blogspot.com/2026/01/1_0909454409.html )

Данная заметка известного румынского архивиста Богдана-Флорина Поповичи (Bogdan-Florin Popovici, на фото) была опубликована 21 декабря 2025 года на его блоге «Bogdan's Archival Blog - Blog de arhivist».

Во второй части поста речь пойдёт о ряде общих идей, касающихся управления рисками, в том виде, как они сформулированы в Румынии для государственных органов.

Определение понятия «риск»

В сфере управлении рисками (менеджмента риска) понятие «риск» определяется следующим образом: «возможность того, что событие, ситуация или действие негативно повлияют на достижение целей.»

Мой комментарий: Следует отметить, что такое толкование было общераспространённым 10-15 лет назад, однако впоследствии Международная организация по стандартизации (ИСО) стала активно продвигать видение, согласно которому риск – это неопределённость, которая может повлечь за собой как негативные, так и положительные последствия.

Таким образом,

• риски не являются чем-то универсальным, они адаптированы к конкретным масштабу, сложности и среде;
  
  
• риск не является «проблемой» сам по себе; это неопределенность, связанная с чем-то, что может произойти и что может повлиять на результаты;
  
  
• риск - это потенциальная возможность, а не уверенность; не конечные последствия, а событие, которое может их породить;
  
  
• риск – не препятствие на пути к цели как таковое, а нечто конкретное, что может повлиять на достижение цели.

Компоненты риска следующие:

• Событие — то, что может произойти;
  
  
• Причины — почему это может произойти;
  
  
• Последствия — какое влияние это окажет на достижение цели.

Правильное описание «риска» выглядит следующим образом: 

«Существует риск того, что [событие], вызванное [причиной], может привести к [последствиям]».

Риски, как следует из определения, связаны с конкретными целями организации (субъекта), поэтому в первую очередь должны быть определены эти цели.

Вот правила, которым нужно следовать при выявлении рисков:

• Риски выявляются на любом уровне, где замечено, что возможны последствия для достижения целей, и где могут быть предприняты конкретные меры для их смягчения;
  
  
• Недостижение целей не является риском (оно является результатом);
  
  
• В число рисков включаются сложные проблемы, которые могут стать рисками в определенных ситуациях;
  
  
• Ситуации или события, которые либо никогда не произойдут, либо произойдут обязательно, не являются рисками;
  
  
• Риски, которые не влияют на достижение конкретных целей (на конкретные виды деятельности), не рассматриваются.

Управление рисками

Согласно Стандарту 8, касающегося вопросов внутреннего управленческого контроля, «руководитель государственного органа (учреждения) организует и внедряет процесс управления рисками, который способствует достижению его целей экономным, эффективным и результативным образом».

Мой комментарий: Выше речь идёт о приказе Генерального секретариата правительства (Secretariatul general al guvernului, SGG) № 600 от 20 апреля 2018 года об утверждении Кодекса внутреннего управленческого контроля государственных организаций (Ordin nr. 600 din 20 aprilie 2018 privind aprobarea Codului controlului intern managerial al entităților publice, https://legislatie.just.ro/Public/DetaliiDocument/200317 ). Стандарт 8 «Управление рисками» (Managementul riscului, https://e-scim.ro/standard/standardul-8-managementul-riscului/ ) упоминается в ст. 4 Кодекса «Перечень стандартов внутреннего управленческого контроля в государственных организациях» (Lista standardelor de control intern managerial la entitățile publice).

Здесь я бы выделил 3 параметра, которым может негативно повлиять реализация различных рисков: экономность (минимизация затрат), эффективность (соотношение результатов и усилий/затрат) и результативность (достижение желаемых результатов).

Рассмотрим пример, связанного с архивами: Предположим, у меня есть дело о строительстве моста на главной магистрали.

• Как сократить расходы - сохраняя дело в архиве, освобождая место или проводя экспертизу [как я понимаю, речь идёт о технической экспертизе моста :) – Н.Х.], когда в этом возникнет необходимость?
  
  
• Как добиться оптимального соотношения затрат и результатов — Как соотносятся усилия и затраты по извлечению дела из архива по сравнению с заключением контракта/ изучением/ подготовкой экспертизы?
  
  
• Как достичь желаемых мною результатов - с использованием оригинальной документации или же посредством проведения экспертизы впоследствии?

Цели управления рисками следующие:

• выявление всех возможных источников риска;
  
  
• снижение или устранение вероятности и/или последствий рисков.

(Окончание следует)

Богдан-Флорин Поповичи (Bogdan-Florin Popovici)

Источник: блог Богдана-Флорина Поповичи
https://bogdanpopovici2008.wordpress.com/2025/12/21/managementul-riscurilor-pentru-arhive-2/ 

Программа профилактики рисков причинения вреда (ущерба) в сфере электронной подписи на 2026 год

Минцифры России приказом от 19 декабря 2025 года №1219 утвердило «Программу профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи на 2026 год».

Содержание программы следующее:

I. Анализ текущего состояния осуществления вида контроля, описание текущего развития профилактической деятельности контрольного (надзорного) органа, характеристика проблем, на решение которых направлена Программа профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи на 2026 год

II. Цели и задачи реализации Программы профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи на 2026 год

III. Перечень профилактических мероприятий, сроки (периодичность) их проведения

IV. Показатели результативности и эффективности Программы профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи на 2026 год

В Российской Федерации в настоящее время подлежат федеральному государственному контролю (надзору) в сфере электронной подписи 46 контролируемых лиц, являющихся аккредитованными удостоверяющими центрами (УЦ). В настоящее время на территории Российской Федерации аккредитованные доверенные третьи стороны отсутствуют.

В соответствии с частью 5 статьи 16.1 Федерального закона № 63-ФЗ при осуществлении федерального государственного контроля в сфере электронной подписи плановые надзорные мероприятия не проводятся. В течение 2025 года обязательные профилактические визиты, с учетом категории риска, к которым отнесены объекты контроля, не проводились.

Основными проблемами, на решение которых направлена настоящая Программа, являются:

• Недостаточный уровень правовой грамотности контролируемых лиц в вопросах соблюдения требований законодательства Российской Федерации в сфере электронной подписи (ЭП);
  
  
• Потребность контролируемых лиц в информированности по вопросам соблюдения требований действующего законодательства Российской Федерации в сфере ЭП.

Основными целями настоящей Программы при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи являются:

• Предупреждение нарушения контролируемыми лицами обязательных требований в сфере ЭП посредством их информирования и консультирования;
  
  
• Повышение уровня правовой грамотности контролируемых лиц в вопросах соблюдения требований законодательства Российской Федерации в сфере ЭП;
  
  
• Совершенствование риск-ориентированного подхода.

Приоритетными задачами настоящей Программы являются:

• Формирование единообразного понимания обязательных требований в сфере электронной подписи;
  
  
• Выявление причин, факторов и условий, влекущих за собой нарушение требований законодательства Российской Федерации в сфере ЭП, определение способов их устранения и снижения рисков их возникновения.

При осуществлении федерального государственного контроля (надзора) в сфере ЭП проводятся следующие профилактические мероприятия:

• Информирование;
  
  
• Обобщение правоприменительной практики;
  
  
• Объявление предостережения;
  
  
• Консультирование;
  
  
• Профилактический визит.

Доклад о правоприменительной практике утверждается приказом руководителя контролирующего органа и не позднее 1 марта года, следующего за отчетным, размещается на официальном сайте органа государственного контроля в информационно-телекоммуникационной сети «Интернет». Контролирующий орган обеспечивает публичное обсуждение проекта такого доклада.

Мой комментарий: Пункт Программы о докладе о правоприменительной практике является, как мне кажется, наиболее важным и конструктивным элементом всего документа. 

Удостоверяющие центры могут получить обобщенный опыт надзорной деятельности: какие нарушения выявлялись чаще всего, как они трактовались, какие рекомендации давались. 

Механизм публичного обсуждения проекта может позволить УЦ и экспертам влиять на позицию регулятора до утверждения доклада. В процессе обсуждения можно уточнить спорные трактовки, указать на неоднозначные моменты, предложить свои формулировки.

Несмотря на высокую потенциальную пользу, эффективность механизма будет зависеть от качества его исполнения.

Контролирующий орган объявляет контролируемому лицу предостережение о недопустимости нарушения обязательных требований и предлагает принять меры по обеспечению соблюдения обязательных требований в сфере электронной подписи в случае наличия у контролирующего органа сведений о готовящихся нарушениях таких обязательных требований или признаках нарушений таких обязательных требований и/или в случае отсутствия подтвержденных данных о том, что нарушение таких обязательных требований причинило вред (ущерб) охраняемым законом ценностям либо создало угрозу причинения вреда (ущерба) охраняемым законом ценностям.

Отчетными показателями эффективности и результативности профилактических мероприятий, предусмотренных настоящей Программой в сфере ЭП на 2026 год являются:

• Количество объявленных предостережений о недопустимости нарушения обязательных требований в сфере ЭП (в случае их объявления);
  
  
• Количество проведенных обязательных профилактических визитов (в случае их проведения);
  
  
• Количество осуществленных консультирований;
  
  
• Снижение числа нарушений требований законодательства в сфере ЭП доверенными третьими сторонами и аккредитованными удостоверяющими центрами, являющимися контролируемыми лицами;
  
  
• Повышение уровня правовой грамотности и информированности контролируемых лиц;
  
  
• Предупреждение нарушений контролируемыми лицами обязательных требований, включая устранение причин, факторов и условий, способствующих возможному нарушению обязательных требований;
  
  
• Мотивация к добросовестному поведению и, как следствие, снижение уровня ущерба охраняемым законом ценностям;
  
  
• Количество объектов контроля, отнесенных к категории низкого риска на конец отчетного года (в случае их наличия).

Мой комментарий: Документ является частью реализации реформы контрольной и надзорной деятельности, закрепленной Федеральным законом №248-ФЗ. Его заявленная цель - переход от «карательного» надзора к профилактическому, что соответствует современным подходам регуляторной политики (помощь бизнесу в соблюдении требований).

Объектами контроля являются 46 аккредитованных удостоверяющих центров. Это узкая, высокотехнологичная и достаточно юридически подкованная аудитория. Поэтому заявления о ее «недостаточной правовой грамотности» и «потребности в информированности» выглядят достаточно спорно и не подкреплены конкретными данными.

«Профилактический визит» как ключевое контрольное мероприятие несет наибольшие риски, по факту это внеплановая проверка под другим названием. 

Объявление предостережения на основе «сведений о готовящихся нарушениях» или «признаков нарушений» - это презумпция виновности. Контролируемый объект должен доказывать, что нарушения нет, либо немедленно «принимать меры» под угрозой дальнейших санкций.

Для УЦ, с моей точки зрения, это означает увеличение административной нагрузки, поскольку необходимость реагировать на предостережения, участвовать в визитах и консультированиях потребует привлечения дополнительных ресурсов.

Страх перед профилактическими визитами и предостережениями может заставить УЦ избегать любых действий, которые могут быть истолкованы как «рисковые», даже если они законны.

Показатели эффективности вроде «количество объявленных предостережений» или «количество проведенных визитов», с моей точки зрения, провокационные. Они прямо стимулируют чиновников выдавать предостережения и проводить визиты, чтобы отчитаться об эффективности программы. 

Удостоверяющим центрам нужно подумать о том, как будет организована работа по любым обращениям Минцифры в рамках этой программы. Любой запрос, предостережение или визит должны анализироваться юристами. Целесообразно фиксировать все взаимодействия, формализовывать запросы и ответы в письменном виде, чтобы создать доказательственную базу на случай возможных споров.

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=522774

Становой хребет подотчётности: Обеспечение долговременной сохранности алгоритмов в автоматизированном обществе. Часть 3: Закон Евросоюза об ИИ: Слегка закамуфлированный свод требований к документированию и архивированию (2)

(Окончание, предыдущую часть см. https://rusrim.blogspot.com/2026/02/3-1.html )

Обязательное протоколирование и необходимость иметь возможность реконструкции поведения

Наиболее показательные положения Закона содержатся не в разделах, непосредственно посвященных документированию, а статьях о протоколировании (журналировании). Системы ИИ высокого риска должны генерировать журналы аудита (логи), захватывающие достаточно подробностей для целей мониторинга функционирования, выявления аномалий, поддержки постпродажного мониторинга, реконструкции решений и расследования инцидентов.

Это больше, чем просто оперативная телеметрия. Закон рассматривает журналы аудита как инструменты свидетельствования / доказывания. Они должны быть достаточно надёжными, чтобы можно было воссоздать сложное поведение системы постфактум, спустя долгое время после того, как изменились уже лежащие в основе системы ИИ модели и/или произошла замена оборудования.

Журналы аудита становятся «следами» автоматизированных действий. Это те следы, что остаются после принятия и исполнения решений.

То, чего Закон требует на самом деле – это определенная форма воспроизводимости (реконструируемости), а реконструируемость возможна только в случае сохранения документов.

Два требуемых слоя памяти: память поставщиков и внедривших сторон

Ещё одной показательной особенностью является двухслойная структура документации. Поставщики (providers) должны предоставлять внедряющим системы ИИ сторонам (deployers) подробные инструкции по использованию, описывающие ожидаемую точность, ограничения, требования к входным данным, эксплуатационные ограничения и обязанности в плане надзора и контроля. Эта информация должна предоставляться в долговечном формате и обновляться при изменении условий.

У внедряющих системы ИИ сторон есть свои обязанности: сохранять свои журналы аудита, вести надзорную документацию, документировать существенные изменения и поддерживать постпродажный мониторинг.

Согласно Закону об ИИ, обязанности по сохранению памяти разделены между исполнителями этих ролей:

• Поставщики хранят документы о создании системы ИИ,
  
  
• Внедряющие стороны хранят документы об эксплуатации системы ИИ.

Совместно они формируют полный жизненный цикл свидетельств / доказательств.

Более глубокая идея, однако, заключается в следующем: Закон ожидает от организаций проектирования таких сред, в которых системы ИИ создают и поддерживают собственную память в процессе своего функционирования.

Появление слоя публичных метаданных

Одной из более удивительных особенностей Закона об ИИ является требование о создании общедоступной базы данных Евросоюза по системам ИИ высокого риска. Каждая запись в такой базе должна включать в себя следующие сведения:

• поставщик,
  
  
• тип системы,
  
  
• целевое назначение,
  
  
• сведения об оценке соответствия.

Мой комментарий: Создание подобного централизованного реестра, возможно, удивительно для американца, но совершенно естественно для европейцев (включая нас, россиян) – это часть давней европейской традиции государственного управления и поддерживающего его документирования.

Это не что иное, как стратегическое управление посредством метаданных. Сама запись в базе данных становится документом - стабильной «точкой отсчёта», связывающей идентичность системы с её статусом с точки зрения регуляторов. Эта запись содержит не слишком много информации, но достаточно того, чтобы общественность и органы власти, могли находить, классифицировать и вести мониторинг этих систем по всей Европе.

Это своего рода способ каталогизации.

Мониторинг после выхода продукта на рынок и бремя сохранения памяти

Требования Закона к мониторингу после выхода на рынок (постпродажному мониторингу) ещё раз подчёркивают центральную роль документирования. Организации должны выявлять отклонения, аномалии, снижение показателей производительности и инциденты безопасности; они обязаны уведомлять о серьёзных инцидентах в определённые сроки - и они должны иметь достаточно документов для того, чтобы реконструировать ситуацию на момент возникновения проблемы.

Именно здесь Закон об ИИ приобретает ярко выраженный повествовательный характер.

Система ИИ не статична, она эволюционирует и из меняется. Она может взаимодействовать с данными реального мира не предполагавшимся заранее образом. В отсутствие документации и журналов аудита эти изменения невозможно увидеть. Память растворяется в шуме оперативной деятельности, а реконструкция становится невозможной.

Закон настаивает на том, что свидетельства / доказательства прошлых событий должны быть достаточно основательными, чтобы в будущем можно было понять, что именно происходило в прошлом.

Это не что иное, как точка зрения управления документами, «упакованная» внутри нормативно-правовой базы.

Ответственное хранение документов в случае прекращения деятельности поставщиков

Одним из самых поразительных положений является требование о том, чтобы государства-члены Евросоюза принимали на себя ответственное хранение документации в случае прекращения деятельности поставщика. Это признание очень важного аспекта жизненного цикла документов: они могут пережить ту организацию, которая их создала. Исполнение требований законодательства, однако, не может зависеть от выживания [негосударственных – Н.Х.] организаций.

Европа понимает, что необходимые для регуляторов доказательства должны оставаться стабильными, даже если субъекты рынка стабильными не будут.

Это неброское, но глубокое признание роли цепочки ответственного хранения (chain of custody).

Баланс между обеспечением сохранности и минимизацией объёмов и затрат

Ничто не иллюстрирует сложность Закона об ИИ лучше, чем его пересечение с европейским законодательством о защите персональных данных (GDPR). Ведущаяся в сфере ИИ документация часто включает персональные данные, и закон GDPR требует от организаций хранить только то, что необходимо, и соразмерно потребностям. Закон об ИИ, в свою очередь, требует сохранения данных с целью обеспечения воспроизводимости, надзора и контроля.

Организации приходится осторожно искать баланс:

• сохранять достаточно данных для объяснения и расследования,
  
  
• сохранять только необходимые данные,
  
  
• обосновывать выбор сроков хранения,
  
  
• по возможности, использовать анонимизацию или псевдонимизацию.

Этот баланс сам по себе является функцией управления документами. Для его отыскания от организаций требуется четко сформулировать, почему и в течение каких сроков необходимы хранящиеся у них свидетельства / доказательства, а также задокументировать соответствующее обоснование.

Закон также вынуждает организации принимать во внимание этические нормы и право помнить (либо быть забытым).

Более глубокий смысл: Стратегическое управление полагается на документы

Чем внимательнее я изучал положения закона, тем больше убеждался в том, что Закон Евросоюза об ИИ, хотя он формально и не является «архивным» нормативно-правовым актом, однако, несомненно, включает в себя целый свод требований к управлению документами, которые исходят из предположения о том, что для обеспечения ответственного использования ИИ необходима документированная память.

Закон требует:

• Документации, охватывающей жизненный цикл,
  
  
• Параданных,
  
  
• Ведение журнала аудита операций,
  
  
• Наборов инструкций,
  
  
• Осуществления мониторинга поведения систем ИИ,
  
  
• Истории инцидентов,
  
  
• Установления и отслеживания сроков хранения, ответственного хранения,
  
  
• Долговечных свидетельств / доказательств.

Это всё инструменты, посредством которым прозрачность становится реальностью, справедливость - проверяемой, а подотчетность - реализуемой.

Закон не использует нашу терминологию [управления документами и архивного дела – Н.Х.], но применяет нашу логику. Он не говорит на языке архивов, но опирается на наличие документов.

Европа осознала нечто фундаментально важное: Стратегическое управление ИИ невозможно в отсутствие памяти.

На этом заканчивается часть 3. Далее мы переходим к той сфере деятельности, которая осознала эту истину раньше всех: к финансовым рынкам, где реконструкция автоматизированного поведения стала необходимостью задолго до того, как ИИ стал предметом ключевых политик.

Эндрю Поттер (Andrew Potter)

Источник: сайт Substack
https://metaarchivist.substack.com/p/bones-of-accountability-preserving-8f7 

Выложены презентации докладов Лоры Миллар на семинарах в Румынии в октябре-ноябре 2025 года

Начиная с 24 октября 2025 года, Национальные Архивы Румынии (Arhivele Naționale ale României) организовали в нескольких городах страны ряд семинаров известного канадского специалиста Лоры Миллар (Laura Millar).

Лора Миллар – автор, редактор, архивист и преподаватель, работающая в архивной сфере более 40 лет (см. также https://www.linkedin.com/in/laura-millar-3a685b84/ ). Она является консультантом по управлению документами и архивами, а также независимым исследователем. В 1984 году она получила степень магистра архивоведения в Университете Британской Колумбии (Канада), а в 1996 году - степень доктора философии в области архивоведения в Университетском колледже Лондона (Англия). Лора Миллар консультировала правительства, университеты, религиозные учреждения, общины коренных народов и иные организации в таких странах, как Канада, США, Гонконг и другие. Лора Миллар является почётным членом Международного совета архивов и почётным научным сотрудником Университетского колледжа Лондона.

Среди публикаций Лоры Миллар можно выделить книги «Архивы: Принципы и практика» (Archives: Principles and Practices, к настоящему времени вышла уже в третьем издании) и «Вопрос фактов: Ценность доказательств в информационную эпоху» (A Matter of Facts: The Value of Evidence in an Information Age, опубликована в 2019 году, скоро будет доступна на румынском языке). Эта книга получила высокую оценку за «убедительные аргументы в пользу фундаментальной важности доказательств».

Известный румынский архивист Богдан-Флорин Поповичи (Bogdan-Florin Popovici) 29 января 2026 выложил в своём блоге «Bogdan's Archival Blog - Blog de arhivist» презентации трёх выступлений Лоры Миллар (тексты на английском языке, слайды на английском и румынском языках):

• «Строительство и защита: Чествование Национальных Архивов Румынии» (Building and Bulwark: Celebrating The National Archives of Romania), см. https://bogdanpopovici2008.wordpress.com/wp-content/uploads/2026/01/2025-laura-millar-romania-speech-no.-1-bucharest.pdf (семинар прошёл 24 октября 2025 года в Бухаресте).
  
  
• «Эволюция архивов и архивистов в цифровую эпоху» (The Evolution of Archives and Archivists in a Digital World), см. https://bogdanpopovici2008.wordpress.com/wp-content/uploads/2026/01/2025-laura-millar-romania-speech-no.-2-craiova.pdf (семинар прошёл 10 ноября 2025 года в г. Крайова (Craiova)).
  
  
• «Почему архивы имеют значение: Использование свидетельств и доказательств в борьбе с дезинформацией» (Why Archives Matter: Fighting Disinformation with Evidence), https://bogdanpopovici2008.wordpress.com/wp-content/uploads/2026/01/2025-laura-millar-romania-speech-no.-3-timisoara.pdf (семинар прошёл 13 ноября 2025 года в г. Тимишоара (Timişoara)).

Источники: блог Богдана-Флорина Поповичи / сайт Национальных Архивов Румынии
https://bogdanpopovici2008.wordpress.com/2026/01/29/laura-millar-in-romania-2025/ 
https://arhivelenationale.ro/site/2025/10/17/conferinta-building-and-bulwark-celebrating-the-national-archives-of-romania-sustinuta-de-laura-millar/