понедельник, 29 августа 2022 г.

ИСО: Начинается процесс переработки в стандарт технического отчёта ISO/TR 18128-2014 по оценке рисков в контексте управления документами

В 2014 году Международная организация по стандартизации (ИСО) опубликовала подготовленный техническим подкомитетом TC46/SC11 «Управление документами» технический отчёт ISO/TR 18128:2014 «Информация и документация – Оценка рисков для документных процессов и систем» (Information and documentation - Risk assessment for records processes and systems) объёмом 44 страницы, см. https://www.iso.org/standard/61521.html и https://www.iso.org/obp/ui/#!iso:std:61521:en , а также пост на блоге http://rusrim.blogspot.com/2014/03/iso-tr-18128-2014.html .

Этот документ был адаптирован в России как ГОСТ Р 57551-2017 / ISO/TR 18128:2014 «Информация и документация. Оценка рисков для документных процессов и систем»  объёмом 42 страницы, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=210200 .

Когда спустя пять лет пришло время для регулярного пересмотра технического отчёта, было принято решение переработать документ в стандарт, поскольку он в любом случае содержит требования и рекомендации и, согласно обновлённым правилам ИСО, не может поэтому считаться техническим отчётом. Окончательное решение об этом было принято на пленарном заседании подкомитета TC46/SC11 в ноябре 2021 года.

В начале июля было открыто голосование по открытию нового проекта ISO/NP 18617 «Информация и документация – Риски для документов – Оценка риска в контексте управления документами» (Information and documentation - Records risks - Risk assessment for records management). Итоги голосования станут известны в начале октября 2022 года. В случае положительного результата, работать над стандартом будет существующая рабочая группа WG19 «Оценка рисков для документных процессов и систем» (Risk assessment for records processes and systems).

Поскольку речь идёт о сравнительно небольшой переделке уже существующего документа, на голосование сразу представлен готовый DIS-проект международного стандарта объёмом 38 страниц. Это означает, что в отсутствие серьёзных замечаний документ может быть утверждён в ускоренном режиме.

Во вводной части проекта документа, в частности, отмечается:

«Успешные организации идентифицируют все свои деловые риски и управляют ими. Специалисты организации по управлению документами несут ответственность за идентификацию и управление рисками, относящимися к документным процессам, к мерам и средствам контроля и управления и к системам (records risks - риски для документов).

Настоящий Международный стандарт должен помочь специалистам по управлению документами и ответственным за документы в своих организациях сотрудникам оценивать риски для документов.

Данная задача отличается от задачи идентификации и оценки деловых рисков организации, где создание и хранение адекватных документов является одним из стратегических способов реагирования. Решения о создании или несоздании документов в качестве реакции на риски для основной деловой деятельности являются деловыми решениями, которые должны приниматься с учетом результатов анализа требований и потребностей организации в документах, проводимого совместно специалистами по управлению документами и представителями деловых подразделений. Настоящий Международный стандарт исходит из того, что организация создала отражающие её деловую деятельность документы с тем, чтобы удовлетворить потребности оперативной деятельности и иные нужды, и, по крайней мере, внедрила минимальный набор мер, обеспечивающих систематическое управление документами.

Последствием рисковых событий может быть утрата или повреждение документов, которые в результате становятся непригодными для использования, утрачивают надежность, аутентичность, полноту и/или неизменность, и могут поэтому не удовлетворять потребностям организации.

… Результаты оценки рисков для документов следует включать в общую систему менеджмента риска организации. В результате организация будет лучше контролировать свои документы и их качество в плане использования в деловых целях.»


Процесс менеджмента риска

 «… Настоящий Международный стандарт должен помочь организациям в оценке рисков для документов, с тем, чтобы организации могли обеспечить непрерывное удовлетворение документов выявленным потребностям деловой деятельности до тех пор, пока это в этом сохраняется необходимость.

Данный Международный стандарт:

a)    Определяет методы выявления и документирования рисков, связанных с документами, документными процессами, мерами контроля и управления и системами;

b) Определяет методы анализа рисков для документов;

c) Содержит рекомендации по проведению оценки рисков для документов.

Данный Международный стандарт может быть использован любыми организациями, вне зависимости от их размера, характера деятельности и сложности их функций и структуры. Перечисленные факторы, а также предписывающий создание документов и контроль над ними режим законодательно-нормативного регулирования, в условиях которого организация осуществляет свою деятельность, принимаются во внимание при выявлении и оценке рисков для документов.

При установлении границ ответственности организации следует учитывать сложную структуру взаимоотношений, партнёрств и договорных обязательств с цепочками поставок и поставщиками услуг аутсорсинга, что является характерной особенностью деятельности современных государственных и коммерческих организаций. Установление границ ответственности организации является первым шагом в определении объёма и содержания проекта оценки связанных с документами рисков.

В настоящем Международном стандарте вопрос воздействия на риски (смягчения рисков) непосредственно не рассматривается, поскольку соответствующие методы являются специфическими для каждой организации.

Стандарт может быть использован специалистами по управлению документами, лицами, несущими в своих организациях ответственность за документы, а также аудиторами и руководителями, отвечающими в организациях за программы менеджмента риска.»

Содержание проекта стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Основные понятия
5. Определение сферы охвата, контекста и критериев
6. Применение методов оценки риска
7. Идентификация рисков
8. Анализ рисков
9. Оценка рисков
Приложение A:
•    A.1. Введение в категоризацию методов согласно стандарту IEC 31010:2019
•    A.2. Применение категоризации методов согласно стандарту IEC 31010:2019
Приложение B:
•    B.1. Контрольный список неопределённостей
10. Библиография

Мой комментарий: Выше упомянут стандарт Международной электротехнической комиссии (МЭК) IEC 31010:2019 «Управление рисками – Методы оценки рисков» (Risk management - Risk assessment techniques) общим объёмом 268 страниц (стандарт двуязычный, содержит тексты на английском и французском языках; объём англоязычной части составляет 127 страниц), см. https://webstore.iec.ch/publication/59809 , https://www.iso.org/standard/72140.html и https://www.iso.org/obp/ui/#iso:std:iec:31010:ed-2:v1:en,fr . См. также мой пост об этом стандарте здесь: http://rusrim.blogspot.com/2019/07/iec-31010.html .

В России стандарт был адаптирован дважды (!) – как идентичный ГОСТ Р МЭК 31010-2021 «Надежность в технике. Методы оценки риска», см. https://protect.gost.ru/v.aspx?control=8&baseC=6&page=0&id=231059 и как неидентичный ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=226788 и мой пост http://rusrim.blogspot.com/2020/03/58771-2019.html ; кроме того, более ранняя редакция стандарта ISO/IEC 31010:2009 была адаптирована как ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=171417 .

Источник: сайт ИСО
https://isotc.iso.org/livelink/eb3/part/cib/ballotAction.do?method=doView&id=470756

Комментариев нет:

Отправить комментарий