Что такое контекст организации и управления рисками

Всем хорошо известно, что в 2015 году появилась новая версия стандарта ISO 9001 и началась революция! В стандарте появились два загадочных термина:

  • контекст организации,
  • управление рисками,

и несмотря на то, что от сентября 2015 (когда был выпущен стандарт) прошло практически 4 года, контекст организации и управление рисками не дают спокойно спать многим людям, занимающимся системами управления!
Что хуже – ISO 9001, как вирус начал заражать другие системные стандарты тем же контекстом организации, а также управлением рисками. От 2015 каждое появившееся обновление стандарта содержит эти элементы, например:

  • AQAP 2110
  • ISO 13485
  • ISO 14001
  • ISO 45001 (вместо OHSAS 18001)
  • IATF 16949
  • ISO/IEC 20000-1
  • ISO/IEC 17025
  • и другие.

Следует ожидать, что каждая новая редакция стандарта будет содержать требование по определению контекста организации и управлению рисками связанными с контекстом и относящимся к целям организации.
Постараемся объяснить вам о чем идет речь в контексте организации и управлении рисками.

Zobacz podobne  Инструменты, помогающие аудиторам проводить внутренние аудиты

Что такое контекст организации?

Каждая организация работает в среде, состоящей из поставщиков (компаний, людей), клиентов (фирм, организаций, людей), поставщиков, финансирующих нашу деятельность (банки, арендодатели), страховщиков, государственных учреждений (налоговая, министерства, центральные госучреждения), органы местного самоуправления (областные, городские, районные), правоохранительные органы (полиция, пограничники, военные и т.д.), владельцы фирмы или акционеры компании, управленческий персонал и сотрудники.
Члены среды называются (в соответствии с ISO 9001) заинтересованными сторонами (интересантами), поскольку каждый из них имеет ожидания относительно нашей организации (интересы). Они хотят что-то от нас.
Наша задача:

  • Определить что заинтересованая сторона хочет от нас?
  • Определить, представляют ли ее потребности угрозу/-ы для нас? Если да, то какие?
  • Определить, являются ли их потребности возможностью (шансом) для нас? Можем ли мы что-то получить? Если да, то что?
Zobacz podobne  Аудит системы менеджмета информационной безопасности. Cтандарт ISO/IEC 27007: 2020_RU

Когда запишем наши заинтересованные стороны, мы определим их потребности по отношению к нам; угрозы, которые они создают для нас; и возможности, которые они создают для нас, то мы получим конкретный и удокументированный контекст организации!
Сохраняем его и готово!

Что такое управление рисками?

Когда мы уже знаем угрозы, которые создает для нас среда (заинтересованные стороны), мы переходим к управлению рисками.
Чтобы управлять рисками, мы должны ответить на следующие вопросы:

  • Что мы хотим получить?

Ответ: операционная прибыль на уровне 10%

  • Что нам нужно, чтобы это получить?

Ответ: процессы, ресурсы, знания (тоесть активы).

  • Что мы хотим или нужно защитить, чтобы это получить?

Ответ: процессы, ресурсы, знания.
Когда мы знаем, чего хотим достичь и что мы должны защищать, необходимо определить:

  • Что грозит нашим активам? Описываем все известные нам угрозы.
  • Что может создать угрозу (вызвать ее возникновение)? Описываем все слабые места, которые мы знаем.
  • Что произойдет, когда возникнет угроза?
Zobacz podobne  Стандарт ISO 29993: 2017

Делаем список всех известных нам потерь/ убытков, которые могут возникнуть.
Затем определяем вероятность подобного события. Если вероятность высока, мы должны подготовиться к угрозе!
Подготовку делим на три этапа:

  • Что делать, чтобы предотвратить угрозу?
  • Что делать, когда возникает угроза?
  • Что делать, чтобы устранить последствия угрозы и восстановить исходное состояние?

Когда мы имеем всю эту информацию и все это реализуем, тогда мы управляем рисками!

 

Прокрутить вверх