Top.Mail.Ru

Управление рисками и документами: новый ГОСТ Р 57551-2017

ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем», подготовленный на базе международного отчета ISO/TR 18128:2014, вступит в силу 1 июля 2019 года – времени на его изучение достаточно. Предлагаем разобраться, какие выгоды служба делопроизводства и ее руководитель лично могут извлечь из внедрения нового ГОСТ в организации (путем участия в риск-ориентированном подходе к управлению). Прокомментируем основные положения нового ГОСТ. Особую практическую ценность представляет длинный список вопросов в Приложении В, который удобно использовать как готовый опросник для выявления проблем в сфере делопроизводства и работы СЭД в конкретной организации.

Приказом Федерального агентства по техническому регулированию от 20.07.2017 № 731-ст утвержден национальный стандарт ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем»1, подготовленный на базе технического отчета ISO/TR 18128:2014 «Information and documentation – Risk assessment for records processes and systems». Данные документы содержат обобщение опыта лучших практик, примеры и рекомендации, одобренные экспертами и комитетами Международной организации по стандартизации (International Organization for Standardization, ISO).

Дата введения в действие нового российского Стандарта – 1 июля 2019 г. Как видите, времени достаточно для его изучения, осмысления и проведения необходимых организационных мероприятий.

Службам делопроизводства стандарт поможет занять достойное место в системе управления рисками, а также с новыми аргументами и теперь уже с позиций управления рисками отвечать на извечные «отмахивающиеся» вопросы представителей других подразделений о правилах делопроизводства и оформления документов «да зачем это нужно?» и «где это написано?».

Мнение эксперта

Переходу из обслуживающего персонала (в области делопроизводства) в состав топ-менеджеров в качестве управляющего документами поспособствует освоение новомодного инструмента под названием «управление рисками». Именно к нему сейчас перешла пальма первенства от менеджмента качества, возможно, в силу существенного повышения нестабильности среды в эпоху перемен. Она ощущается все большим числом людей и все более остро.

Многие владельцы бизнесов больше не хотят быть только «мальчиками для битья» для участившихся непредвиденных обстоятельств – они хотят научиться управлять ими, по крайней мере, там, где это возможно: начинается это с выявления существующих рисков и продумывания заранее, где можно сработать на опережение и как. Это целенаправленный переход от способа жизни, когда организация реагирует на уже свершившиеся обстоятельства, к способу жизни, когда она работает на опережение. То есть это попытка научиться жить (а не выживать) в эпоху перемен.

И те, кто сможет помочь высшему руководству в достижении такой концептуальной цели, окажутся в фаворе. У нас с вами сейчас появился для этого замечательный повод – выход в свет ГОСТ Р 57551-2017, который прямо говорит, что риск-ориентированный подход к управлению опирается на документы!

Но читать новый Стандарт трудно, т.к. он сделан методом «прямого перевода». Надеемся, что данная статья поможет вам в его понимании.

Область применения и структура

Требования ГОСТ Р 57551-2017 могут применяться в любой организации, т.к. внешние и внутренние риски есть у каждой. Для коммерческой организации само упоминание о соблюдении ею стандартов по управлению рисками (как и ссылка на стандарты системы менеджмента качества) имеет важное репутационное значение.

ГОСТ Р 57551-2017 можно отнести к организационно-методическим стандартам высокого уровня, которые предназначены прежде всего для руководителей организаций, служб управления рисками, информационной безопасности, внутреннего контроля и ИТ-подразделений, а также для аудиторских компаний.

Риск-ориентированный подход в настоящее время внедряется в любые сферы управления – в идентификации и документировании любых рисков специалисты ДОУ могут участвовать. А вот однозначно они несут ответственность, по мнению Стандарта, только «за идентификацию и управление рисками, относящимися к документным процессам и системам», т.е. фактически за риски, возникающие в делопроизводстве традиционном и автоматизированном с применением информационных систем.

Фрагмент документа

ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем»

...Настоящий стандарт должен помочь специалистам по управлению документами и ответственным за документы в своих организациях сотрудникам оценивать риски, связанные с документными процессами и системами 2.

Данная задача отличается от более общей задачи идентификации и оценки деловых рисков организации, где создание и хранение адекватных документов является одним из стратегических способов реагирования. Решения о необходимости создания документов в качестве реакции на риски для основной деловой деятельности являются деловыми решениями, которые должны приниматься с учетом результатов анализа требований и потребностей организации в документах, проводимого совместно специалистами по управлению документами и представителями деловых подразделений. Настоящий стандарт исходит из того, что организация создала отражающие ее деловую деятельность документы с тем, чтобы удовлетворить потребности оперативной деятельности и иные нужды, и, по крайней мере, внедрила минимальный набор мер, обеспечивающих систематическое управление документами и контроль над ними.

Последствием рисковых событий для документных процессов и систем является утрата или повреждение документов, которые в результате становятся непригодными для использования, утрачивают надежность, аутентичность, полноту и/или неизменность, и могут поэтому не удовлетворять потребностям организации...

Процитированный выше фрагмент как раз и говорит о том, что с позиций риск-ориентированного подхода управление документами рассматривается как управленческая функция.

Текст Стандарта состоит:

  • из 3 обязательных разделов (область применения, нормативные ссылки, термины и определения),
  • 5 тематических разделов и 
  • 4 справочных приложений, которые занимают половину текста документа. Они представляют особый интерес, т.к. наглядно показывают обобщенный международный опыт лучших практик. С ними стоит познакомиться внимательно.

В Стандарте рассматриваются лучшие практики и рекомендации по основным этапам процесса управления рисками:

  • идентификация,
  • анализ,
  • сравнительная оценка риска.

Терминология

Стандарт дает определения всего трем терминам.

Фрагмент документа

ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем»

3.1.1. риск (risk): Следствие влияния неопределенности на достижение поставленных целей.

В примечаниях к определению данного термина даются пояснения, что:

  • неопределенность влияет на отклонение (позитивное и/или негативное) от ожидаемого результата или события;
  • неопределенность может означать состояние полной или частичной нехватки информации, знаний и понимания события и его последствий (сюда как раз относятся риски руководителей, которые не понимают своей ответственности за организацию работы с документами и документальный фонд);
  • риски часто характеризуются (именуются) как:
    • возможное событие и его последствие или
    • сочетание событие + последствие, а также
    • в виде комбинации последствий возможного события и вероятности его наступления.

Пример 1

Электроэнергия может отсутствовать в течение 8 часов (всего рабочего дня), что влечет последствия, оцененные как серьезные риски, поскольку все транзакции / документы одного дня могут быть потеряны во всех информационных системах. Несмотря на низкую вероятность данного события риска (1 раз в 3 года), в крупных организациях всегда предусматривается резервная система энергоснабжения.

Фрагмент документа

ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем»

3.2.1. документная система, система управления документами (records system): Информационная система, обеспечивающая захват документов, а также управление документами и доступ к ним во времени.

О создании документов в статусе электронных оригиналов непосредственно в системе управления документами в данном определении не говорится. Это можно считать недостатком метода «прямого перевода» без необходимой адаптации и гармонизации терминов нового Стандарта с терминологией, уже применяющейся в нормативных правовых актах и уже действующих стандартах России.

Далее в тексте статьи будем использовать сокращения следующих терминов: СЭД – для систем электронного документооборота, СУД – для систем управления документами и ИС – для информационных систем.

Фрагмент документа

ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем»

3.2.2. документные процессы, процессы управления документами (records processes): Совокупности взаимосвязанных или взаимодействующих видов деятельности, с использованием которых организация создает, контролирует, использует, уничтожает либо передает на архивное хранение свои документы.

В данном определении чувствуется тонкий намек на значение терминов «делопроизводство» и «управление документами», т.к. упоминается и создание документов, и организация работы с ними.

Критерии оценки риска

Стандарт помогает службе делопроизводства «вписаться» в процесс управления рисками:

Фрагмент документа

ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем»

Оценка рисков для документных процессов и систем должна включаться в общий процесс управления рисками организации, где таковой существует. В этом случае специалисты по управлению документами должны учитывать... следующие факторы:

a) роли и обязанности: Должна быть определена роль специалистов по управлению документами в оценке рисков, связанных с документными процессами и системами;

b) охват и масштабы деятельности по оценке рисков: Во избежание избыточности и конфликтов, а также для создания условий для применения комплексного подхода к оценке рисков, связанных, в том числе, с документами, следует явным образом определить взаимоотношения с другими областями оценки риска, такими как информационная безопасность;

c) методология: При использовании имеющихся инструментов для оценки рисков и при подготовке отчетов перед уполномоченным лицом или службой следует использовать стандартную методологию оценки риска;

d) критерии риска: В случае, когда в организации используются общие критерии риска, следует оценивать связанные с документными процессами и системами риски на основе этих критериев.

К процитированному выше фрагменту добавим, что упомянутая в нем стандартная методика оценки рисков базируется на требованиях семейства стандартов ИСО 31300.

Представляет интерес одно из положений Стандарта, которое предполагает, что при отсутствии политики и процедур управления рисками в организации специалистам по управлению документами следует самостоятельно разрабатывать и устанавливать критерии риска по отношению к документным процессам и системам. Современные службы делопроизводства уже давно этим занимаются, осуществляя нормоконтроль качества проектов документов, правильности выполнения делопроизводственных операций в подразделениях, давая указания...

Вы видите 20% этой статьи. Выберите свой вариант доступа

Купить эту статью
за 500 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Внимание! Стартовала скидка
на 1-е полугодие 2023 г.

Успейте воспользоваться!

Рекомендовано для вас

Утвержден новый Перечень документов со сроками хранения для кредитных организаций

30 июля 2022 г. вступил в силу новый Перечень документов со сроками хранения для кредитных организаций. Обращаем ваше внимание на несколько важных аспектов в его содержании: фиксированные и условные сроки хранения, бумажные и электронные документы, сроки хранения для документов по валютному контролю.

ГОСТ Р ИСО 30302-2022: организационные аспекты

1 июня 2022 года начал действовать новый стандарт серии ИСО 30300 о внедрении системы управления документами (как системы менеджмента, для которой СЭД или другая ИС – лишь один из инструментов). Мы даем рекомендации по использованию нового ГОСТ. Для кого он предназначен. Как понимать основную терминологию. Какие несовершенства стандарта стоит учитывать. И главное – что полезного из него можно взять! Например: перечни документов, которые подтвердят факт внедрения в организации того или иного положения стандарта; что из него должно почерпнуть руководство организации, служба делопроизводства и ИТ-подразделение; как разработать Политику управления документами (регламентирующий документ более высокого уровня, чем Инструкция по делопроизводству).

Ведомственные перечни документов со сроками хранения: что уже сделано и где проблемы

До апреля 2022 года все новые ведомственные перечни документов со сроками хранения уже должны были быть разработаны, но процесс идет с задержкой. Сориентируем вас, какие актуальные ведомственные перечни уже готовы и какие ожидаем в ближайшем будущем. Автор дает практические рекомендации по разработке структуры ведомственного перечня (восполняя упущения соответствующих Методических рекомендаций Росархива). Они пригодятся как разработчикам, так и будущим пользователям этих перечней.

Новый Перечень НТД со сроками хранения

Новый Перечень НТД вступил в силу 13.02.2022. Кому и к каким документам его надо применять. Описали кардинальные изменения нового Перечня НТД по сравнению с предыдущим: видовой состав документов, за счет чего количество статей сократилось с 1990 до 1065, структура. Все разделы и подразделы нового Перечня со своими звеньями, отражающими процесс прохождения НТД, даны схематически – это позволит вам быстро понять его сферу охвата.

К документам какого года применять новый Перечень со сроками хранения

18.02.2020 вступил в силу новый Перечень документов со сроками хранения. Что нужно сделать с номенклатурой дел на 2020 год до конца текущего года? По какому Перечню (новому или старому) определять сроки хранения документов, созданных до вступления в силу нового Перечня, но включаемых в опись на передачу в архив либо в акт о выделении к уничтожению сейчас – после 18.02.2020? Ответы на эти вопросы даны со ссылками на нормативные документы

ГОСТ Р ИСО 30302-2022: организационные аспекты

1 июня 2022 года начал действовать новый стандарт серии ИСО 30300 о внедрении системы управления документами (как системы менеджмента, для которой СЭД или другая ИС – лишь один из инструментов). Мы даем рекомендации по использованию нового ГОСТ. Для кого он предназначен. Как понимать основную терминологию. Какие несовершенства стандарта стоит учитывать. И главное – что полезного из него можно взять! Например: перечни документов, которые подтвердят факт внедрения в организации того или иного положения стандарта; что из него должно почерпнуть руководство организации, служба делопроизводства и ИТ-подразделение; как разработать Политику управления документами (регламентирующий документ более высокого уровня, чем Инструкция по делопроизводству).

Анализ нового Перечня документов со сроками хранения и сравнение с Перечнем 2010 г.

Состав статей в новом Перечне существенно сократился. Объясняем, как действовать, если в Перечне 2010 г. была статья, по которой вы определяли срок хранения дела в своей номенклатуре дел, а в новом Перечне аналогичной статьи не оказалось. Отмечаем, что еще изменилось в новом Перечне 2019 г. по сравнению с предыдущим Перечнем 2010 г. Анализируем изменения состава категорий документов и сроков хранения. Рассказываем вам о наиболее значимых документах, которые актуальны для любой организации: по кадровому обеспечению (в т.ч. в связи с вводом «электронной трудовой книжки»), по документационному обеспечению управления и по договорной работе. В ряде случаев даем рекомендации по формулированию статей в номенклатуре дел.

Новый Перечень НТД со сроками хранения

Новый Перечень НТД вступил в силу 13.02.2022. Кому и к каким документам его надо применять. Описали кардинальные изменения нового Перечня НТД по сравнению с предыдущим: видовой состав документов, за счет чего количество статей сократилось с 1990 до 1065, структура. Все разделы и подразделы нового Перечня со своими звеньями, отражающими процесс прохождения НТД, даны схематически – это позволит вам быстро понять его сферу охвата.