Точный
Статус документа
Статус документа

ГОСТ Р 57551-2017/ISO/TR 18128:2014 Информация и документация. Оценка рисков для документных процессов и систем

     5.1 Общие положения


Идентификация риска проводится по следующим направлениям: анализируются контекст деятельности, системы, а также процессы, используемые при создании и управлении документами организации.

Под внешним контекстом деятельности организации понимается совокупность неподконтрольных ей общественно-политических, макроэкономических, технологических, а также физических и экологических факторов, оказывающих влияние на ее деятельность и учитываемых при определении связанных с документами требований и потребностей организации. Частью внешнего контекста являются внешние заинтересованные стороны, имеющие конкретные интересы, связанные с деятельностью организации.

Существует также внутренний контекст деятельности организации, под которым понимается совокупность внутренних факторов, неподконтрольных ответственным за документные процессы и системы специалистам по управлению документами. Внутренний контекст включает в себя такие факторы, как структура и финансы организации, применяемые ею технологии, ресурсное обеспечение деятельности (кадры и бюджеты), а также культура организации, которые влияют на политики и практику управления документами.

Потенциально возможные события с не вполне предсказуемыми последствиями могут быть как внешними, так и внутренними по отношению к организации.

Различные подразделения организации могут иметь разные точки зрения на неопределенности, связанные с последствиями изменений внешнего контекста (см. рисунок 2). Кроме того, следует иметь в виду, что любые изменения открывают новые возможности, последствия которых могут быть и положительными.



Рисунок 2 - Множественность слоев контекста для документов и документных процессов организации


Цель идентификации риска заключается в выяснении того, что может произойти и какие ситуации могут возникнуть, чтобы это в итоге повлияло на способность документов удовлетворять потребности организации.

Процесс идентификации риска включает в себя выявление причин и источников риска, событий, ситуаций или обстоятельств, способных существенно повлиять на достижение организацией своих целей, а также выяснение природы такого влияния. Сопоставление основных методов дано в приложении В к МЭК 31010.

Выявленные риски должны быть задокументированы в реестре рисков. Это может быть как специальный реестр рисков для документов, так и общий реестр рисков организации. Соответствующий пример приведен в приложении A.

Примечание - В приложении В к настоящему стандарту приведен пример построенного в соответствии со структурой раздела 5 списка контрольных вопросов (контрольного списка), который организация может использовать для систематической идентификации рисков для документных процессов и систем.