Top.Mail.Ru

Управление рисками и документами: новый ГОСТ Р 57551-2017

ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем», подготовленный на базе международного отчета ISO/TR 18128:2014, вступит в силу 1 июля 2019 года – времени на его изучение достаточно. Предлагаем разобраться, какие выгоды служба делопроизводства и ее руководитель лично могут извлечь из внедрения нового ГОСТ в организации (путем участия в риск-ориентированном подходе к управлению). Прокомментируем основные положения нового ГОСТ. Особую практическую ценность представляет длинный список вопросов в Приложении В, который удобно использовать как готовый опросник для выявления проблем в сфере делопроизводства и работы СЭД в конкретной организации.

Приказом Федерального агентства по техническому регулированию от 20.07.2017 № 731-ст утвержден национальный стандарт ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем»1, подготовленный на базе технического отчета ISO/TR 18128:2014 «Information and documentation – Risk assessment for records processes and systems». Данные документы содержат обобщение опыта лучших практик, примеры и рекомендации, одобренные экспертами и комитетами Международной организации по стандартизации (International Organization for Standardization, ISO).

Дата введения в действие нового российского Стандарта – 1 июля 2019 г. Как видите, времени достаточно для его изучения, осмысления и проведения необходимых организационных мероприятий.

Службам делопроизводства стандарт поможет занять достойное место в системе управления рисками, а также с новыми аргументами и теперь уже с позиций управления рисками отвечать на извечные «отмахивающиеся» вопросы представителей других подразделений о правилах делопроизводства и оформления документов «да зачем это нужно?» и «где это написано?».

Мнение эксперта

Переходу из обслуживающего персонала (в области делопроизводства) в состав топ-менеджеров в качестве управляющего документами поспособствует освоение новомодного инструмента под названием «управление рисками». Именно к нему сейчас перешла пальма первенства от менеджмента качества, возможно, в силу существенного повышения нестабильности среды в эпоху перемен. Она ощущается все большим числом людей и все более остро.

Многие владельцы бизнесов больше не хотят быть только «мальчиками для битья» для участившихся непредвиденных обстоятельств – они хотят научиться управлять ими, по крайней мере, там, где это возможно: начинается это с выявления существующих рисков и продумывания заранее, где можно сработать на опережение и как. Это целенаправленный переход от способа жизни, когда организация реагирует на уже свершившиеся обстоятельства, к способу жизни, когда она работает на опережение. То есть это попытка научиться жить (а не выживать) в эпоху перемен.

И те, кто сможет помочь высшему руководству в достижении такой концептуальной цели, окажутся в фаворе. У нас с вами сейчас появился для этого замечательный повод – выход в свет ГОСТ Р 57551-2017, который прямо говорит, что риск-ориентированный подход к управлению опирается на документы!

Но читать новый Стандарт трудно, т.к. он сделан методом «прямого перевода». Надеемся, что данная статья поможет вам в его понимании.

Область применения и структура

Требования ГОСТ Р 57551-2017 могут применяться в любой организации, т.к. внешние и внутренние риски есть у каждой. Для коммерческой организации само упоминание о соблюдении ею стандартов по управлению рисками (как и ссылка на стандарты системы менеджмента качества) имеет важное репутационное значение.

ГОСТ Р 57551-2017 можно отнести к организационно-методическим стандартам высокого уровня, которые предназначены прежде всего для руководителей организаций, служб управления рисками, информационной безопасности, внутреннего контроля и ИТ-подразделений, а также для аудиторских компаний.

Риск-ориентированный подход в настоящее время внедряется в любые сферы управления – в идентификации и документировании любых рисков специалисты ДОУ могут участвовать. А вот однозначно они несут ответственность, по мнению Стандарта, только «за идентификацию и управление рисками, относящимися к документным процессам и системам», т.е. фактически за риски, возникающие в делопроизводстве традиционном и автоматизированном с применением информационных систем.

Фрагмент документа

ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем»

...Настоящий стандарт должен помочь специалистам по управлению документами и ответственным за документы в своих организациях сотрудникам оценивать риски, связанные с документными процессами и системами 2.

Данная задача отличается от более общей задачи идентификации и оценки деловых рисков организации, где создание и хранение адекватных документов является одним из стратегических способов реагирования. Решения о необходимости создания документов в качестве реакции на риски для основной деловой деятельности являются деловыми решениями, которые должны приниматься с учетом результатов анализа требований и потребностей организации в документах, проводимого совместно специалистами по управлению документами и представителями деловых подразделений. Настоящий стандарт исходит из того, что организация создала отражающие ее деловую деятельность документы с тем, чтобы удовлетворить потребности оперативной деятельности и иные нужды, и, по крайней мере, внедрила минимальный набор мер, обеспечивающих систематическое управление документами и контроль над ними.

Последствием рисковых событий для документных процессов и систем является утрата или повреждение документов, которые в результате становятся непригодными для использования, утрачивают надежность, аутентичность, полноту и/или неизменность, и могут поэтому не удовлетворять потребностям организации...

Процитированный выше фрагмент как раз и говорит о том, что с позиций риск-ориентированного подхода управление документами рассматривается как управленческая функция.

Текст Стандарта состоит:

  • из 3 обязательных разделов (область применения, нормативные ссылки, термины и определения),
  • 5 тематических разделов и 
  • 4 справочных приложений, которые занимают половину текста документа. Они представляют особый интерес, т.к. наглядно показывают обобщенный международный опыт лучших практик. С ними стоит познакомиться внимательно.

В Стандарте рассматриваются лучшие практики и рекомендации по основным этапам процесса управления рисками:

  • идентификация,
  • анализ,
  • сравнительная оценка риска.

Терминология

Стандарт дает определения всего трем терминам.

Фрагмент документа

ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем»

3.1.1. риск (risk): Следствие влияния неопределенности на достижение поставленных целей.

В примечаниях к определению данного термина даются пояснения, что:

  • неопределенность влияет на отклонение (позитивное и/или негативное) от ожидаемого результата или события;
  • неопределенность может означать состояние полной или частичной нехватки информации, знаний и понимания события и его последствий (сюда как раз относятся риски руководителей, которые не понимают своей ответственности за организацию работы с документами и документальный фонд);
  • риски часто характеризуются (именуются) как:
    • возможное событие и его последствие или
    • сочетание событие + последствие, а также
    • в виде комбинации последствий возможного события и вероятности его наступления.

Пример 1

Электроэнергия может отсутствовать в течение 8 часов (всего рабочего дня), что влечет последствия, оцененные как серьезные риски, поскольку все транзакции / документы одного дня могут быть потеряны во всех информационных системах. Несмотря на низкую вероятность данного события риска (1 раз в 3 года), в крупных организациях всегда предусматривается резервная система энергоснабжения.

Фрагмент документа

ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем»

3.2.1. документная система, система управления документами (records system): Информационная система, обеспечивающая захват документов, а также управление документами и доступ к ним во времени.

О создании документов в статусе электронных оригиналов непосредственно в системе управления документами в данном определении не говорится. Это можно считать недостатком метода «прямого перевода» без необходимой адаптации и гармонизации терминов нового Стандарта с терминологией, уже применяющейся в нормативных правовых актах и уже действующих стандартах России.

Далее в тексте статьи будем использовать сокращения следующих терминов: СЭД – для систем электронного документооборота, СУД – для систем управления документами и ИС – для информационных систем.

Фрагмент документа

ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем»

3.2.2. документные процессы, процессы управления документами (records processes): Совокупности взаимосвязанных или взаимодействующих видов деятельности, с использованием которых организация создает, контролирует, использует, уничтожает либо передает на архивное хранение свои документы.

В данном определении чувствуется тонкий намек на значение терминов «делопроизводство» и «управление документами», т.к. упоминается и создание документов, и организация работы с ними.

Критерии оценки риска

Стандарт помогает службе делопроизводства «вписаться» в процесс управления рисками:

Фрагмент документа

ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем»

Оценка рисков для документных процессов и систем должна включаться в общий процесс управления рисками организации, где таковой существует. В этом случае специалисты по управлению документами должны учитывать... следующие факторы:

a) роли и обязанности: Должна быть определена роль специалистов по управлению документами в оценке рисков, связанных с документными процессами и системами;

b) охват и масштабы деятельности по оценке рисков: Во избежание избыточности и конфликтов, а также для создания условий для применения комплексного подхода к оценке рисков, связанных, в том числе, с документами, следует явным образом определить взаимоотношения с другими областями оценки риска, такими как информационная безопасность;

c) методология: При использовании имеющихся инструментов для оценки рисков и при подготовке отчетов перед уполномоченным лицом или службой следует использовать стандартную методологию оценки риска;

d) критерии риска: В случае, когда в организации используются общие критерии риска, следует оценивать связанные с документными процессами и системами риски на основе этих критериев.

К процитированному выше фрагменту добавим, что упомянутая в нем стандартная методика оценки рисков базируется на требованиях семейства стандартов ИСО 31300.

Представляет интерес одно из положений Стандарта, которое предполагает, что при отсутствии политики и процедур управления рисками в организации специалистам по управлению документами следует самостоятельно разрабатывать и устанавливать критерии риска по отношению к документным процессам и системам. Современные службы делопроизводства уже давно этим занимаются, осуществляя нормоконтроль качества проектов документов, правильности выполнения делопроизводственных операций в подразделениях, давая указания...

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 500 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Комментарий специалиста к нововведениям Правил для архивов организаций 2023 года (часть 2)

Продолжаем комментировать отдельные положения «Правил организации хранения, комплектования, учета и использования... архивных документов... в... организациях», утвержденных Росархивом в 2023 г. Разбираемся в сложных и неоднозначных положениях правил – предупреждаем, где применять их надо особенно внимательно. Из второй части статьи, которая публикуется в этом номере журнала, вы узнаете об изменениях в расчете площади архивохранилища, необходимой для размещения архивных документов; о разрешенных к использованию лампах; об упущениях в назначении периодичности проверок наличия и состояния документов с ограниченным доступом; об изменении состава обязательных и вспомогательных учетных документов архива; почему формы документов имеют статус «рекомендуемый образец» и как это сказывается на их применении; о нелогичности формы описи электронных документов; о «частичном отказе» новых Правил от понятия «контейнер электронных документов»; о гибридных делах.

Комментарий специалиста к нововведениям Правил для архивов организаций 2023 года (часть 1)

Комментируем отдельные положения «Правил организации хранения, комплектования, учета и использования... архивных документов...» в организациях, утвержденных Росархивом в 2023 г. Разбираемся в сложных и неоднозначных положениях правил – предупреждаем, где применять их надо особенно внимательно. Из первой части статьи, которая публикуется в этом номере журнала, вы узнаете: какие организации обязаны создавать архив как структурное подразделение, а какие нет; какими документами должна регулироваться деятельность архива; чем регламентируется работа с научно-техническими документами; когда надо передавать документы из подразделений в архив организации, когда они становятся архивными; кому оформлять и подписывать опись дел структурного подразделения и архивную опись, являющуюся годовым разделом описи дел (почему изменения в этом вопросе могут не понравиться руководителю архива организации и как можно исправить ситуацию).

Ассортимент действующих стандартов по управлению электронными документами

Предлагаем вам справочный материал по действующим отечественным стандартам. Вы увидите, какие ГОСТы можно использовать уже сейчас: для обеспечения долговременной сохранности электронных документов в информационной системе; для конвертации документов из одного формата в другой и для миграции из одной программно-аппаратной среды в другую; для обмена электронными сообщениями между разными СЭД; для цензурирования информации при ее раскрытии, чтобы соблюсти конфиденциальность и др. Все 8 описываемых ГОСТов являются адаптированным переводом международных разработок и содержат лучший мировой опыт.

Что изменилось в Правилах работы архивов организаций по сравнению с Правилами 2015 года

Росархив утвердил новые «Правила организации хранения, комплектования, учета и использования документов...», которые вступили в силу 17 сентября 2023 г. Разработчики новых Правил объясняют, чем они отличаются от аналогичных Правил 2015 года – что изменилось в регламентировании порядка работы с аудиовизуальными документами, документами ограниченного распространения (в т.ч. по оформлению итогов рассекречивания архивных документов с гостайной), с электронными документами, в учете архивных документов (какие новые формы утверждены и др.), раскрываются особенности работы с гибридными делами.

Что изменилось в Правилах работы архивов организаций по сравнению с Правилами 2015 года

Росархив утвердил новые «Правила организации хранения, комплектования, учета и использования документов...», которые вступили в силу 17 сентября 2023 г. Разработчики новых Правил объясняют, чем они отличаются от аналогичных Правил 2015 года – что изменилось в регламентировании порядка работы с аудиовизуальными документами, документами ограниченного распространения (в т.ч. по оформлению итогов рассекречивания архивных документов с гостайной), с электронными документами, в учете архивных документов (какие новые формы утверждены и др.), раскрываются особенности работы с гибридными делами.

Что препятствует массовому переходу организаций к безбумажной модели документооборота

Приведен список из более 60 действующих нормативных правовых и методических документов в сфере управления документами, которые мы систематизировали по 6 разделам: требования к документированию деятельности, автоматизации, работе с документами и данными, их хранению, работе с электронными документами и подписями и др. Авторы статьи рассматривают причины, по которым данная система регламентации и существующие подходы в СЭД пока не позволяют массово внедрить безбумажную модель документооборота. Предложено сформировать эталонную модель цифрового документооборота электронных подлинников документов (с готовыми решениями вместо перечня правил) в виде отечественного стандарта. Его разработкой уже занимается экспертная компания «ДокМенеджмент Консалт», рассказываем, какие пробелы он призван восполнить, какие конкретные методики работы воплотить.

К документам какого года применять новый Перечень со сроками хранения

18.02.2020 вступил в силу новый Перечень документов со сроками хранения. Что нужно сделать с номенклатурой дел на 2020 год до конца текущего года? По какому Перечню (новому или старому) определять сроки хранения документов, созданных до вступления в силу нового Перечня, но включаемых в опись на передачу в архив либо в акт о выделении к уничтожению сейчас – после 18.02.2020? Ответы на эти вопросы даны со ссылками на нормативные документы

Анализ нового Перечня документов со сроками хранения и сравнение с Перечнем 2010 г.

Состав статей в новом Перечне существенно сократился. Объясняем, как действовать, если в Перечне 2010 г. была статья, по которой вы определяли срок хранения дела в своей номенклатуре дел, а в новом Перечне аналогичной статьи не оказалось. Отмечаем, что еще изменилось в новом Перечне 2019 г. по сравнению с предыдущим Перечнем 2010 г. Анализируем изменения состава категорий документов и сроков хранения. Рассказываем вам о наиболее значимых документах, которые актуальны для любой организации: по кадровому обеспечению (в т.ч. в связи с вводом «электронной трудовой книжки»), по документационному обеспечению управления и по договорной работе. В ряде случаев даем рекомендации по формулированию статей в номенклатуре дел.