Что такое контекст организации и управления рисками

Всем хорошо известно, что в 2015 году появилась новая версия стандарта ISO 9001 и началась революция! В стандарте появились два загадочных термина:

контекст организации,
управление рисками,

и несмотря на то, что от сентября 2015 (когда был выпущен стандарт) прошло практически 4 года, контекст организации и управление рисками не дают спокойно спать многим людям, занимающимся системами управления!
Что хуже – ISO 9001, как вирус начал заражать другие системные стандарты тем же контекстом организации, а также управлением рисками. От 2015 каждое появившееся обновление стандарта содержит эти элементы, например:

AQAP 2110
ISO 13485
ISO 14001
ISO 45001 (вместо OHSAS 18001)
IATF 16949
ISO/IEC 20000-1
ISO/IEC 17025
и другие.

Следует ожидать, что каждая новая редакция стандарта будет содержать требование по определению контекста организации и управлению рисками связанными с контекстом и относящимся к целям организации.
Постараемся объяснить вам о чем идет речь в контексте организации и управлении рисками.

Zobacz podobne Электронная медицинская документация и ее передача, серия стандартов ISO 13606. Информатизации в здравоохранении

Что такое контекст организации?

Каждая организация работает в среде, состоящей из поставщиков (компаний, людей), клиентов (фирм, организаций, людей), поставщиков, финансирующих нашу деятельность (банки, арендодатели), страховщиков, государственных учреждений (налоговая, министерства, центральные госучреждения), органы местного самоуправления (областные, городские, районные), правоохранительные органы (полиция, пограничники, военные и т.д.), владельцы фирмы или акционеры компании, управленческий персонал и сотрудники.
Члены среды называются (в соответствии с ISO 9001) заинтересованными сторонами (интересантами), поскольку каждый из них имеет ожидания относительно нашей организации (интересы). Они хотят что-то от нас.
Наша задача:

Определить что заинтересованая сторона хочет от нас?
Определить, представляют ли ее потребности угрозу/-ы для нас? Если да, то какие?
Определить, являются ли их потребности возможностью (шансом) для нас? Можем ли мы что-то получить? Если да, то что?

Zobacz podobne Сколько стоит сертификат ISO - что влияет на цену ISO

Когда запишем наши заинтересованные стороны, мы определим их потребности по отношению к нам; угрозы, которые они создают для нас; и возможности, которые они создают для нас, то мы получим конкретный и удокументированный контекст организации!
Сохраняем его и готово!

Что такое управление рисками?

Когда мы уже знаем угрозы, которые создает для нас среда (заинтересованные стороны), мы переходим к управлению рисками.
Чтобы управлять рисками, мы должны ответить на следующие вопросы:

Что мы хотим получить?

Ответ: операционная прибыль на уровне 10%

Что нам нужно, чтобы это получить?

Ответ: процессы, ресурсы, знания (тоесть активы).

Что мы хотим или нужно защитить, чтобы это получить?

Ответ: процессы, ресурсы, знания.
Когда мы знаем, чего хотим достичь и что мы должны защищать, необходимо определить:

Что грозит нашим активам? Описываем все известные нам угрозы.
Что может создать угрозу (вызвать ее возникновение)? Описываем все слабые места, которые мы знаем.
Что произойдет, когда возникнет угроза?

Zobacz podobne Новый стандарт ISO/IEC 27001:2022

Делаем список всех известных нам потерь/ убытков, которые могут возникнуть.
Затем определяем вероятность подобного события. Если вероятность высока, мы должны подготовиться к угрозе!
Подготовку делим на три этапа:

Что делать, чтобы предотвратить угрозу?
Что делать, когда возникает угроза?
Что делать, чтобы устранить последствия угрозы и восстановить исходное состояние?

Когда мы имеем всю эту информацию и все это реализуем, тогда мы управляем рисками!