Управление рисками для архивов, часть 2-2

(Продолжение, предыдущую часть см. http://rusrim.blogspot.com/2026/02/2-1.html )

Этапы управления рисками

А. Выявление существующих в рамках определённого вида деятельности уязвимостей / угроз

Данный этап позволяет определить, что может пойти не так, почему, и где именно находятся слабые места. Процесс выявления уязвимостей и рисков выполняется последовательно, в несколько шагов:

• Проводится пошаговый анализ направления деятельности / процесса: Что делается? Кто это делает? С использованием каких ресурсов? В какой последовательности? Какие документы, системы, потоки задействованы?
  
  
• Выявляются уязвимости (внутренние слабости), т.е. те элементы в ходе процесса деловой деятельности, которые могут привести к реализации риска. Возможные типы уязвимостей:
  
  
• Процедурные: отсутствие процедур; либо нечёткие, устаревшие процедуры;
  
  
• Организационные: нехватка персонала, перегруженность, отсутствие разделения обязанностей;
  
  
• Технические: нестабильные ИТ-системы, отсутствие резервного копирования, устаревшее оборудование;
  
  
• Кадровые: недостаточное обучение, частые ошибки, текучесть кадров;
  
  
• Документационные: отсутствие документов, неполная документация, недостаток данных, отсутствие прослеживаемости;
  
  
• Недостаточный внутренний контроль: отсутствие проверок, согласований / утверждений, мониторинга.
  
  
• Выявляются угрозы (внешние факторы или возможные события). Угроза — это нечто внешнее, что может спровоцировать реализацию риска. Возможные типы угроз:
  
  
• Операционные: отключения электроэнергии, сбои в работе ИТ-систем, задержки из-за поставщиков;
  
  
• Нормативно-правовые: изменения в законах, появление новых требований;
  
  
• Социально-экономические: увеличение рабочей нагрузки, давление со стороны общественности;
  
  
• Природные: стихийные бедствия, экстремальные погодные условия;
  
  
• Технологические: кибератаки, вирусы, сбои оборудования;
  
  
• Межведомственные: зависимость от других учреждений, деятельность которых может быть не синхронизирована должным образом.
  
  
• Устанавливается связь уязвимостей с угрозами. Риск возникает там, где внутренняя уязвимость сталкивается с внешней угрозой.

В числе эффективных методов выполнения этой работы можно назвать:

• Собеседования с сотрудниками,
  
  
• Проведение семинаров,
  
  
• Анализ прошлых инцидентов,
  
  
• Анализ документов (процедур, отчетов, итогов аудита),
  
  
• Составление диаграмм (блок-схем) процессов, 
  
  
• Причинно-следственный анализ (метод Исикавы),
  
  
• Структурированный «мозговой штурм».

Пример:

B. Оценка уровня риска проводится путем оценки вероятности возникновения риска и воздействия риска. Формула для вычислений: оценка вероятности × оценка воздействия

• Степень воздействия на достижение целей:
  
  
• Уровень 1: Незначительное воздействие
  
  
• Уровень 2: Умеренное воздействие
  
  
• Уровень 3: Значительное воздействие
  
  
• Вероятность реализации риска
  
  
• Уровень 1: маловероятно
  
  
• Уровень 2: вероятно
  
  
• Уровень 3: очень вероятно
  
  
• Уровень риска = Воздействие × Вероятность

C. Стратегия управления рисками определяется на основе иерархии рисков (по их уровню) в сопоставлении с допустимым уровнем риска (максимально допустимый уровень риска для достижения цели, при превышении которого требуется принятие дополнительных меры контроля и управления). Допустимый уровень риска устанавливается руководством организации (например, при использовании указанных выше уровней может быть установлен допустимый уровень риска ниже 9).

D. Определение наиболее подходящих способов обработки риска. Под обработкой риска понимается выбор и реализация мер, которые снижают уровень риск до приемлемого (в пределах допустимого уровня риска). 

Шаги этой работы следующие:

• Анализ причин риска — Эффективное управление риском основано на понимании причин, а не на последствиях. Полезные вопросы:
  
  
• Что порождает риск?
  
  
• Какие внутренние уязвимости способствуют его проявлению?
  
  
• Какие внешние угрозы провоцируют реализацию риска?
  
  
• Выбор правильной стратегии обработки риска. Существует четыре типичных способа обработки рисков:
  
  
• Избегать риска — исключить деятельность, порождающую риск;
  
  
• Снижать риск — уменьшить вероятность или последствия риска;
  
  
• Передать риск — перенести ответственность риск и его последствия на другую сторону;
  
  
• Принять риск — не предпринимать дальнейших действий, поскольку риск является допустимым.
  
  
• Для каждого варианта анализируются:
  
  
• эффективность (действительно ли он снижает риск?);
  
  
• затраты (финансовые, трудовые, ресурсные);
  
  
• осуществимость (возможно ли реализовать данный вариант?);
  
  
• влияние на другие процессы;
  
  
• производные риски (не приведёт ли данная мера к появлению других рисков?)
  
  
• Меры должны быть:
  
  
• конкретными,
  
  
• реалистичными,
  
  
• измеримыми,
  
  
• непосредственно связанными с причинами.

E. Мониторинг реализации мер контроля и управления, и их анализ в соответствии с эффективностью их результатов.

В следующий раз, когда пострадают архивные документы организации, проблему следует рассмотреть с точки зрения уровня допустимого риска, установленного руководством организации. И чтобы решить её, нам следует показать, что этот риск является неприемлемым… :)

(Продолжение следует, см. http://rusrim.blogspot.com/2026/02/3-1_12.html )

Богдан-Флорин Поповичи (Bogdan-Florin Popovici)

Источник: блог Богдана-Флорина Поповичи
https://bogdanpopovici2008.wordpress.com/2025/12/21/managementul-riscurilor-pentru-arhive-2/