Участие в идущем сейчас голосовании и в подготовке замечаний и предложений к первой редакции проекта Технического отчета ИСО ISO/PDTR 18128 «Информация и документация – Выявление и оценка риска для документных систем» (Information and documentation — Risk identification and assessment for records systems), стало поводом для переосмысления этого вопроса.
Практика управления рисками и управление документами до сих пор были совершенно отдельными областями, как в плане проведения научных исследований и обучения, так и в деловой практике, хотя между ними существует очень сильная связь:
- Главным обоснованием для создания организацией документов и контроля над ними является желание избежать всех рисков, связанных с утратой доказательств деловой деятельности.
- Многие из мер, предлагаемых для снижения существующих в организациях рисков, основываются на создании документов и контроле над информацией, благодаря чему можно внедрить системы предупреждения и оповещения и документировать предпринимаемые действия.
В настоящее время, однако, нет четкой методологии включения управления рисками в документные процессы и меры контроля при осуществлении на практике управления рисками в сфере управления документами. Различные известные подходы главным образом сосредотачивают внимание на электронных документах и рисках для управляющих ими информационных систем. Примером может служить методология DRAMBORA ( http://www.repositoryaudit.eu/ ) оценки рисков для электронных хранилищ.
В разрабатываемом Техническом отчете ИСО предполагается рассмотреть не только информационные технологии, применяемые для управления электронными документами, хотя неизбежно это очень важный вопрос. Откладывая в сторону общие риски несоздания надлежащих документов, которые предполагается рассмотреть отдельно, Технический отчет посвящен выявлению рисков, которые потенциально способны нанести ущерб аутентичности, надежности, полноте документов и возможности их использования до тех пор, пока в них сохраняется потребность.
Идея заключается в применении хорошо известных и опробованных в области менеджмента процессов управления рисками для выявления и оценки рисков, связанных с управлением документами и информацией. В проекте Технического отчета предлагается точка зрения, согласно которой выявление и оценка рисков для документов являются задачей специалистов по управлению документами. Полученные результаты должны передаваться лицам, ответственным за управление рисками, которые будет отвечать за включение соответствующих видов риска в общую программу управления рисками.
При таком подходе, который может быть эффективным для многих организаций, можно было бы обсудить, по крайней мере, два важных момента:
В разрабатываемом Техническом отчете ИСО предполагается рассмотреть не только информационные технологии, применяемые для управления электронными документами, хотя неизбежно это очень важный вопрос. Откладывая в сторону общие риски несоздания надлежащих документов, которые предполагается рассмотреть отдельно, Технический отчет посвящен выявлению рисков, которые потенциально способны нанести ущерб аутентичности, надежности, полноте документов и возможности их использования до тех пор, пока в них сохраняется потребность.
Идея заключается в применении хорошо известных и опробованных в области менеджмента процессов управления рисками для выявления и оценки рисков, связанных с управлением документами и информацией. В проекте Технического отчета предлагается точка зрения, согласно которой выявление и оценка рисков для документов являются задачей специалистов по управлению документами. Полученные результаты должны передаваться лицам, ответственным за управление рисками, которые будет отвечать за включение соответствующих видов риска в общую программу управления рисками.
При таком подходе, который может быть эффективным для многих организаций, можно было бы обсудить, по крайней мере, два важных момента:
- На каком этапе следует проводить выявление и оценку рисков, и как включить оценку рисков в процессы управления документами и увязать с мерами контроля? Нужно ли это делать до осуществления на практике программы или системы управления документами? Нужно ли это делать в ходе аудита существующей программы или системы управления документами? Является ли выявление и оценка рисков регулярно выполняемым процессом, который должен быть частью процессов управления документами?
- Как сделать процесс выявления и оценки связанных с документами рисков полезным и практичным в случае, когда у организация нет налаженной программы управления рисками? Если у организации нет общей программы управления рисками, имеет ли смысл выявлять и оценивать риски, связанные с документами? Может ли выявление и оценка рисков помочь нам в проектировании процессов управления документами?
Мы постараемся ответить на некоторые из этих вопросов во время подготовки замечаний и предложений по проекту технического отчета, и при подготовке его окончательной редакции.
Карлота Бустело (Carlota Bustelo)
Мой комментарий: С моей точки зрения, уже прошли (по крайней мере, в России) те времена, когда организации, налаживая работу с документами, действительно могли идти по пути полного исключения рисков, связанных с документами. Сейчас – особенно для коммерческих организаций – это часто или невозможно, или требует чрезмерных расходов. Умение оценивать риски и, что особенно важно, доносить результаты такой оценки до высшего руководства, с тем, чтобы добиться выделения кадров, средств и ресурсов, необходимых для снижения данных рисков, становится необходимым для современного специалиста в области управления документами или архивного дела.
Упомянутый Технический отчет ИСО, к которому я тоже готовлю замечания, содержит достаточно интересный и полезный каталог возможных рисков. В нем предлагаются вопросы, отвечая на которые можно провести самооценку наличия конкретных рисков.
В то же время Технический отчет страдает общим недостатком практически всех известных стандартов по управлению рисками – он ничего не говорит о том, как специалисту конкретной организации рассчитать эти риски, с тем, чтобы придти к руководству не с общими словами, а с цифрами. Я по опыту знаю, что руководство плохо воспринимает неконкретные душеспасительные беседы, однако хорошо умеет считать рубли и доллары. Да, я понимаю, что такого рода руководство написать на порядок труднее, чем просто составить перечень рисков; и оно может оказаться просто сводом отдельных практических приёмов, не имеющим налёта высоконаучности – но оно было бы куда полезней для практиков, чем тысячи страниц, написанных о полезности анализа рисков.
Источник: блог Карлоты Бустело
http://www.carlotabustelo.com/index.php?option=com_content&view=article&id=142:el-nexo-entre-la-gestion-de-riesgos-y-documentos-icomo-enfocarlo-en-la-practica&catid=48:noticias-blog&lang=en
Карлота Бустело (Carlota Bustelo)
Мой комментарий: С моей точки зрения, уже прошли (по крайней мере, в России) те времена, когда организации, налаживая работу с документами, действительно могли идти по пути полного исключения рисков, связанных с документами. Сейчас – особенно для коммерческих организаций – это часто или невозможно, или требует чрезмерных расходов. Умение оценивать риски и, что особенно важно, доносить результаты такой оценки до высшего руководства, с тем, чтобы добиться выделения кадров, средств и ресурсов, необходимых для снижения данных рисков, становится необходимым для современного специалиста в области управления документами или архивного дела.
Упомянутый Технический отчет ИСО, к которому я тоже готовлю замечания, содержит достаточно интересный и полезный каталог возможных рисков. В нем предлагаются вопросы, отвечая на которые можно провести самооценку наличия конкретных рисков.
В то же время Технический отчет страдает общим недостатком практически всех известных стандартов по управлению рисками – он ничего не говорит о том, как специалисту конкретной организации рассчитать эти риски, с тем, чтобы придти к руководству не с общими словами, а с цифрами. Я по опыту знаю, что руководство плохо воспринимает неконкретные душеспасительные беседы, однако хорошо умеет считать рубли и доллары. Да, я понимаю, что такого рода руководство написать на порядок труднее, чем просто составить перечень рисков; и оно может оказаться просто сводом отдельных практических приёмов, не имеющим налёта высоконаучности – но оно было бы куда полезней для практиков, чем тысячи страниц, написанных о полезности анализа рисков.
Источник: блог Карлоты Бустело
http://www.carlotabustelo.com/index.php?option=com_content&view=article&id=142:el-nexo-entre-la-gestion-de-riesgos-y-documentos-icomo-enfocarlo-en-la-practica&catid=48:noticias-blog&lang=en
Комментариев нет:
Отправить комментарий