воскресенье, 19 августа 2018 г.

ИСО: Технический комитет TC 292 «Безопасность и жизнестойкость» (Security and resilience) никогда не стоит на месте!


Данная заметка Адальберто Бьязиотти (Adalberto Biasiotti – на фото) была опубликована 16 мая 2018 года на итальянском сайте PuntoSicuro.

Адальберто Бьязиотти

Профессионалы в области безопасности знают, когда нам приходится сталкиваться с проблемой безопасности товаров и решать её, первым шагом является проведение анализа рисков, выявление всех рисков, которые следует взять под контроль, после чего можно затем перейти к реализации мер по предотвращению или смягчению рисков.

Эту деятельность регламентирует широко ныне известный международный стандарта ISO 31000 «Менеджмент риска - Руководство» (Risk management – Guidelines), предлагающий путь, который, однако, очевидно должен быть адаптирован к конкретным ситуациям.

Именно по этой причине данный стандарт используется в сочетании с другими стандартами, в которых рассматриваются более конкретные темы, такие, как менеджмент непрерывности деловой деятельности (Business Continuity Management System, BCMS), который обеспечивает надлежащую доступность сырья и полуфабрикатов для производственной деятельности.

Я хотел бы в качестве примера привести два предложения по разработке новых стандартов, которые, несомненно, привлекут внимание специалистов по менеджменту безопасности, поскольку они помогут нам брать под контроль и решать очень конкретные проблемы.

ISO 31050 «Руководство по менеджменту появляющимися новыми рисками с целью усиления жизнестойкости» (Guidance for managing emerging risks to enhance resilience)

Мой комментарий: см. также сайт ИСО, https://www.iso.org/standard/54224.html

Жизнестойкость (resilience) - один из фундаментальных аспектов безопасности, позволяющий организации справляться с кризисными ситуациями посредством своевременной разработки процедур и создания структур, которые дают возможность, например, в кратчайшие сроки возобновить производственную деятельность.

Чтобы гарантировать удовлетворительный уровень жизнестойкости, необходимо провести анализ риска, в рамках которого также могут быть приняты во внимание нетрадиционные, только появляющиеся риски - в тех случаях, когда высок уровень неопределенности и имеется большой потенциал для причинения ущерба производственной деятельности.

Предполагается, что данный стандарт должен стать неотъемлемой частью подхода организации к менеджменту риска.

Данный стандарт, таким образом, позволит уменьшить вероятность реализации этих специфических рисков и контролировать негативные последствия, непосредственно связанные с наступлением соответствующих событий, а именно:
  • Обеспечит наличие у организации способности реагировать на неожиданные, быстро меняющиеся ситуации,

  • Позволит в максимальной степени использовать каждую положительную возможность, которая может быть связана с наступлением события;

  • Обеспечит большую уверенность в способности организации справиться с дополнительными рисками,

  • Предоставит ряд адресованных высшему руководству предложений, касающихся внедрения стандарт ISO 31000 для менеджмента появляющихся новых рисков.
Совершенно очевидно, что менеджмент такого рода рисков требует глубоких знаний того, как функционирует организация, и её целей, в контексте условий её работы и оперативной деятельности.

По этой причине целью стандарта является формулирование согласованных на международном уровне подходов, которые позволят взять под контроль эти возникающие и потенциально катастрофические риски, тем самым расширяя круг рассматриваемых рисков и охватывая те из них, которые в настоящее время не охватываются существующими стандартами ИСО.

Таким образом, данный стандарт будет частью семейства стандартов ISO 31000. Он будет включать концепции, принципы и методологии, которые помогут организации в достижении её целей.

Содержание стандарта, помимо обязательных разделов, такой как «Область применения», «Нормативные ссылки», «Термины и определения», «Символы и сокращения», должно включать несколько тем, которые могут быть дополнительно проиллюстрированы материалами в соответствующих приложениях.

В этой связи следует отметить, что события, которые нарушают нормальный ход деловой деятельности, не всегда происходят внезапно и драматично; они могут возникнуть в результате постепенно накопивших последствий небольших изменений.

Причины, которые могут привести к серьезным нарушениям деловой деятельности, могут возникнуть, например, в связи с ожиданиями акционеров, в связи с новыми стратегиями конкурентов, новыми технологиями, вследствие изменений в расстановке кадров, в связи с наличием финансовых ресурсов, из-за требований, предъявляемых новыми положениями законов, вследствие преступных действий, совершаемых третьими лицами, а также вследствие воздействия природных событий.

Следует помнить, что ни один из перечисленных выше вопросов явно не охватывается существующими стандартами ИСО, разработанными как техническим комитетом TC 262 «менеджмент риска», так и техническим комитетом TC 292, - и именно поэтому считается целесообразным начать разработку стандарта с предлагаемым содержанием.

ISO 31022 «Менеджмент риска - Руководство по управлению правовыми рисками» (Risk Management – Guidelines for the Management of Legal Risk)

Мой комментарий: см. также сайт ИСО, https://www.iso.org/standard/69295.html

Перейдём теперь ко второму представителю семейства стандартов, разрабатываемого техническим комитетом TC 262.

Во многих случаях организациям приходится действовать в очень сложных деловых и общественных условиях, поэтому сфера охвата анализа рисков, проводимого в соответствии со стандартом ISO 31000, должна постоянно расширяться, а сам анализ – выходить на новые уровни, затрагивая вопросы, которые до сих пор не принимались во внимание.

Международный стандарт ISO 31000, безусловно, является законченным документов, позволяющим управлять большим количеством видов деятельности, однако нет сомнений в том, что в некоторых областях требуется более подробное руководство; и управление правовыми рисками, безусловно, является одной из этих областей.

Сегодня организации действуют в условиях, когда они должны строго соответствовать законам и правилам во всех странах, в которых они ведут свою деловую деятельность. К сожалению, эти законы и правила могут варьироваться от страны к стране, и необходимо, чтобы организация хорошо знала «правила игры», а также способы обеспечить их соблюдение.

Законы и нормативные акты также могут со временем меняться, и руководство организации должно принимать это во внимание при подготовке и проведении анализа рисков.

Если эти факторы не будут контролироваться, возможны немедленные и существенные негативные последствия, которые могут повлиять на финансовые аспекты деятельности организации и даже привести к возможной уголовной ответственности для представителей высшего руководства.

Цель настоящего стандарта - показать, как можно использовать принципы, изложенные в стандарте ISO 31000, для того, чтобы обеспечить лучшее понимание и более эффективное управление нормативно-правовыми и другими аналогичными обязательствами, исполнение которых обязательно для организации.

Данные рекомендации призваны помочь высшему руководству организации в следующем:
  • Способствовать достижению организацией своих основных целей;

  • Способствовать внедрению более структурированного и согласованного подхода к управлению правовыми рисками, предусматривающего, в частности, принятие упреждающих мер, использование адекватных ресурсов и привлечение соответствующих экспертов;

  • Лучше понять и осознать масштабы и последствия правовых рисков, и затем принять на себя обязательство внедрить процедуры, обеспечивающие должную осмотрительность при ведении деловой деятельности;

  • Выявлять и анализировать большее количество сценариев, что в конечном итоге может способствовать принятию адекватных решений;

  • Совершенствовать и поощрять усилия по выявлению возможностей для непрерывного совершенствования, которые могут иметь место в контексте оперативной деловой деятельности.
Следует также подчеркнуть, что термин «правовой риск» (legal risk), который используется в стандарте, интерпретируется в очень широком смысле и не ограничивается вопросами соблюдения положений контрактов.

Ввиду этого в число рисков такого рода мы должны также включать те, которые могут возникнуть в рамках взаимоотношений с третьими сторонами, даже при отсутствии договорных отношений, но где есть возможности для юридических споров. Например, выделение вредных газов при производстве продукции может привести к распространению этих газов в близлежащих жилых районах, необходимости эвакуации людей из близлежащих домов - и, следовательно, возможна подача судебного иска против компании теми людьми, которым пришлось покинуть свои дома.

Адальберто Бьязиотти (Adalberto Biasiotti)

Мой комментарий: Думаю, для работы ИСО на современном этапе очень характерно обращать пристальное внимание на новые технологии, новые риски, и особенно – на правовые вопросы. Обычно получается так, что чисто технические вопросы во всем мире трактуются более-менее одинаково, и их решать гораздо проще, чем вопросы правового характера, особенно если речь идёт об одновременном соответствии законодательно-нормативным требованиям сразу нескольких юрисдикций.

Источник: сайт PuntoSicuro.it
https://www.puntosicuro.it/security-C-124/security-C-125/il-comitato-tecnico-292-non-sta-mai-fermo!-AR-18068/

Комментариев нет:

Отправить комментарий