ГОСТ Р ИСО 30302-2022

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ГОСТР

ИСО 30302—

2022

Система стандартов по информации, библиотечному и издательскому делу

СИСТЕМЫ УПРАВЛЕНИЯ ДОКУМЕНТАМИ

Руководство по внедрению

(ISO 30302:2015, Information and documentation — Management systems for records — Guidelines for implementation, IDT)

Издание официальное

Москва Российский институт стандартизации 2022

Предисловие

• 1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением «Российский институт стандартизации» (ФГБУ «РСТ») и Федеральным бюджетным учреждением «Всероссийский институт документоведения и архивного дела» (ВНИИДАД) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

• 2 ВНЕСЕН Техническим комитетом по стандартизации ТК 191 «Научно-техническая информация, библиотечное и издательское дело»

• 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 12 мая 2022 г. № 287-ст

• 4 Настоящий стандарт идентичен международному стандарту ИСО 30302:2015 «Информация и документация. Системы управления документами. Руководство по внедрению (ISO 30302:2015 «Information and documentation — Management systems for records — Guidelines for implementation», IDT).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5—2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

• 5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

© ISO, 2015

© Оформление. ФГБУ «РСТ», 2022

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Содержание

• 1 Область применения

• 2 Нормативные ссылки

• 3 Термины и определения

• 4 Организационная среда

• 4.1 Понимание организации и ее среда

• 4.2 Деловые, правовые и иные требования

• 4.3 Определение области применения СУД

• 5 Руководство

• 5.1 Обязательства руководства

• 5.2 Политика

• 5.3 Организационные функции, ответственность и полномочия

• 6 Планирование

• 6.1 Действия в отношении рисков и возможностей

• 6.2 Основные задачи управления документами и планирование их выполнения

• 7 Обеспечение

• 7.1 Ресурсы

• 7.2 Компетентность

• 7.3 Ознакомление и обучение

• 7.4 Обмен информацией

• 7.5 Документация

• 8 Оперативная деятельность

• 8.1 Оперативное планирование и контроль

• 8.2 Проектирование документных процессов

• 8.3 Внедрение документных систем

• 9 Оценка производительности

• 9.1 Мониторинг, измерение, анализ и оценка

• 9.2 Внутренний аудит системы

• 9.3 Анализ со стороны высшего руководства

• 10 Совершенствование

• 10.1 Контроль несоответствий и корректирующие действия

• 10.2 Непрерывное совершенствование

Приложение А (справочное) Примеры источников информации и требований к проведению анализа организационной среды

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам

Библиография

Введение

ИСО 30302 является частью серии стандартов под общим названием «Информация и документация. Системы управления документами»:

• - ИСО 30300, Информация и документация. Системы управления документами. Основные положения и словарь;

• - ИСО 30301, Информация и документация. Системы управления документами. Требования;

• - ИСО 30302, Информация и документация. Системы управления документами. Руководство по внедрению.

ИСО 30300 определяет терминологию серии стандартов на системы управления документами (СУД), цели и преимущества СУД; ИСО 30301 определяет требования к СУД для организации, которой необходимо продемонстрировать способность надлежащим образом создавать образующиеся в процессе ее деловой деятельности документы и управлять ими в течение необходимого периода времени. ИСО 30302 содержит руководство по внедрению СУД.

Цель настоящего стандарта — предоставить практическое руководство по внедрению СУД в организации в соответствии с ИСО 30301. Стандарт охватывает все необходимые аспекты для внедрения и поддержания работы СУД.

Внедрение СУД, как правило, представляет отдельно взятый проект. Внедрение СУД может рассматриваться в рамках как организаций, уже имеющих документные системы или программы, в целях анализа и улучшения процесса управления ими, так и в организациях, планирующих впервые внедрить систематический и прослеживаемый подход к созданию и средствам управления документами. Руководство, приведенное в настоящем стандарте, может быть использовано в обоих случаях.

Предполагается, что организации, принявшие решение о внедрении СУД, провели предварительную оценку существующих документов и документных систем, а также определили риски и возможности улучшений. Например, решение о внедрении СУД может быть принято в целях снижения рисков при переходе на новую информационно-техническую платформу или при реализации аутсорсинга деловых процессов с высокими уровнями риска. Помимо этого, СУД может обеспечить стандартизированный механизм управления ключевыми изменениями в процессах организации, таких как интеграция документных процессов с конкретными деловыми процессами, усиление контроля в области управления документами при совершении онлайн-транзакций или использование социальных средств массовой информации в деловых целях.

Данное руководство может быть адаптировано к потребностям конкретной организации. Особенности применения данного руководства зависят от размера организации, направления деятельности и сложности структуры, а также от наличия опыта применения СУД. Так как вышеуказанные характеристики уникальны для каждой организации, к процессу внедрения СУД будут предъявляться различные требования. Мероприятия, описанные в данном стандарте, могут быть упрощены для небольших организаций. В отношении же крупных организаций, имеющих сложную структуру, для эффективного выполнения требований, описанных в данном международном стандарте, может потребоваться внедрение многоуровневой системы управления.

Руководство, приведенное в настоящем стандарте, соответствует структуре ИСО 30301 и описывает необходимые действия для соответствия требованиям ИСО 30301, а также порядок документирования этих действий.

Раздел 4 содержит руководство по проведению анализа, необходимого для внедрения СУД. Исходя из результатов этого анализа определяются рамки проекта внедрения СУД, а также взаимосвязь внедрения СУД и других систем управления (менеджмента).

Раздел 5 содержит информацию о роли высшего руководства в процессе внедрения СУД, которая выражается в формировании политики управления документами, распределении обязанностей, планировании внедрения СУД и реализации поставленных задач.

Раздел 6 посвящен планированию, основанному на анализе рисков, анализе среды организации (см. раздел 4), а также выявлении доступных ресурсов (см. раздел 7). Раздел 7 определяет основные аспекты поддержки функциональности СУД, такие как необходимые ресурсы, компетенции, обучение, обмен информацией и документация.

Раздел 8 посвящен определению, обзору и планированию внедрения документных процессов. Он учитывает контекстные требования среды и область применения (см. раздел 4), а также политику управления документами (см. 5.2), анализ рисков (см. 6.1) и необходимые ресурсы (см. 7.1) для достижения целей (см. 6.2) планируемого внедрения. Раздел 8 отражает документные процессы и системы, необходимые для внедрения СУД.

Разделы 9 и 10 касаются оценки эффективности и улучшений в соответствии с планированием, задачами и требованиями, определенными в ИСО 30301.

Для каждого из разделов 4—10 ИСО 30301:2011 настоящий стандарт определяет следующее:

• а) действия, необходимые для выполнения требований ИСО 30301, могут осуществляться последовательно, или некоторые необходимо выполнять одновременно с проведением единого контекстуального анализа,

• Ь) исходные данные — отправные точки, которые могут являться итогами предшествующих действий,

• с) итоги деятельности — это фактические или ожидаемые результаты по завершении деятельности.

Настоящий стандарт предназначен для использования лицами, ответственными за внедрение СУД и поддержание ее работы. Для высшего руководства он также является полезным инструментом в принятии решений о создании, области применения и внедрения систем управления (менеджмента) в организации. Он должен быть использован лицами, ответственными за внедрение СУД и поддержание ее работы. Концепции разработки оперативных документных процессов основаны на принципах, установленных ИСО 15489-1. Другие международные стандарты и технические отчеты, разработанные ИСО/ТК 46/ПК 11, являются основными инструментами для разработки, внедрения, мониторинга и совершенствования документных процессов, систем и средств управления документами, а также могут использоваться в сочетании с настоящим стандартом для внедрения отдельных элементов СУД.

Организации, которые руководствуются ИСО 15489-1, могут использовать настоящий стандарт для разработки организационной инфраструктуры управления документами в рамках систематического и прослеживаемого подхода СУД.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Система стандартов по информации, библиотечному и издательскому делу

СИСТЕМЫ УПРАВЛЕНИЯ ДОКУМЕНТАМИ

Руководство по внедрению

System of standards on information, librarianship and publishing.

Management systems for records. Guidelines for implementation

Дата введения — 2022—06—01

• 1 Область применения

Настоящий стандарт содержит руководство по внедрению СУД в соответствии с ИСО 30301. Он предназначен для использования совместно с ИСО 30300 и ИСО 30301. Данный стандарт не изменяет и (или) не ограничивает требования, указанные в ИСО 30301. В нем описываются действия, необходимые для разработки и внедрения СУД.

Настоящий стандарт предназначен для использования любой организацией, осуществляющей внедрение СУД. Он применим ко всем типам организаций (например, коммерческие и некоммерческие организации, государственные учреждения) вне зависимости от их размера.

• 2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание, для недатированных — последнее издание ссылочного стандарта (включая все изменения)]:

ISO 30300, Information and documentation — Management systems for records — Fundamentals and vocabulary (Информация и документация. Системы управления документами. Основные положения и словарь)

ISO 30301:20111 \ Information and documentation — Management systems for records — Requirements (Информация и документация. Системы управления документами. Требования)

• 3 Термины и определения

В настоящем стандарте применены термины и определения по ИСО 30300.

• 4 Организационная среда

  • 4.1 Понимание организации и ее среда

Особенности внедрения и совершенствования СУД зависят от организационной среды. Требования раздела 4 предписывают организациям рассматривать организационную среду и ее потребности в

• 1) Заменен на ISO 30301:2019. Однако для однозначного соблюдения требования настоящего стандарта, выраженного в датированной ссылке, рекомендуется использовать только указанное в этой ссылке издание.

Издание официальное рамках внедрения СУД. Данные требования могут быть выполнены посредством проведения анализа организационной среды. Анализ должен быть выполнен на первом этапе внедрения СУД, чтобы:

• а) определить внутренние и внешние факторы (см. 4.1);

• Ь) определить деловые, правовые и иные требования (см. 4.2);

• с) установить область применения СУД (см. 4.3) и определить риски (см. раздел 6).

Примечания

• 1 На начальном этапе, до выявления факторов и потребности в документах, масштаб анализа организационной среды будет зависеть от утвержденной высшим руководством области применения.

• 2 Данный подход стандартов систем управления к проведению анализа организационной среды и определению требований соотносится с проведением анализа (оценкой), предложенным в ИСО 15489-1, который также включает элементы планирования (см. раздел 6) и определение потребностей в документах (см. раздел 8).

Точная, актуальная и полная информация должна быть получена из надежного источника. Регулярный анализ источников обеспечивает точность и надежность проведения анализа организационной среды.

• В разделе А.1 приложения А приведены примеры источников информации о внутренней и внешней среде организации, а также о потенциальных заинтересованных сторонах.

В качестве примеров факторов, отражающих влияние организационной среды на СУД, можно привести:

• 1) влияние конкурентного рынка на необходимость демонстрации эффективности работы организации;

• 2) влияние ценностей или восприятия заинтересованных сторон на решения, принимаемые в отношении сроков хранения документов, или решения о доступе к информации;

• 3) влияние информационно-технологической инфраструктуры и информационной архитектуры на доступность документных систем или документов;

• 4) влияние уровня квалификации и компетенций сотрудников организации на потребность в обучении или внешней помощи;

• 5) влияние правовых инструментов, политик, стандартов и кодексов на проектирование документных процессов и средства управления документами;

• 6) влияние организационной культуры на соответствие требованиям СУД;

• 7) влияние уровня сложности структуры организации, деловой и правовой среды на документную политику, процессы и средства управления документами (например, в межведомственной среде).

В зависимости от организации выявление внутренних и внешних факторов может быть проведено для иных целей, в том числе для внедрения других стандартов на системы управления (менеджмента). В таких случаях не требуется проведение нового анализа. Этап проведения анализа может быть ограничен рассмотрением результатов предыдущего анализа.

Анализ организационной среды является непрерывным процессом. Он обеспечивает реализацию и систематическую оценку СУД (см. раздел 9) и поддерживает цикл непрерывного совершенствования (см. раздел 10).

Итоговая документация

Одним из требований ИСО 30301 является документальное подтверждение проведенного анализа. Примеры документов:

• - перечень внутренних и внешних факторов деловой деятельности, которые должны быть учтены при проектировании СУД;

• - раздел в руководстве или в проектном плане внедрения СУД;

• - официальный отчет по анализу внутренней и внешней организационной среды, их взаимное влияние;

• - группа документов, описывающих организационную среду.

• 4.2 Деловые, правовые и иные требования

Результаты анализа, приведенные в 4.1, используются в качестве основы для проведения оценки правовых, организационных и иных требований в соответствии со сферой деятельности организации, ее результаты документируются. Деятельность организации является первостепенным элементом для анализа и определения требований, которые влияют на создание документов и средства управления документами.

При определении деловых требований организации следует учитывать:

• а) характер деятельности организации (например, горнодобывающая промышленность, финансовый консалтинг, предоставление государственных услуг, производство, фармацевтика, бытовые услуги, некоммерческие организации, общественные работы);

• Ь) особый вид или форма собственности организации (например, доверительная собственность, частная или государственная организация);

• с) конкретный сектор, к которому принадлежит организация (то есть государственный или частный сектор, некоммерческие организации);

• d) юрисдикция, в рамках которой организация ведет свою деятельность.

Требования к деловой деятельности должны быть сформулированы на основе текущих деловых процессов, а также с учетом перспективы будущего планирования и развития организации. Особое внимание к ним необходимо при разработке организацией автоматизированных или цифровых деловых процессов. В таком случае требования могут измениться в ходе обсуждения с лицами, ответственными за разработку и реализацию предлагаемых новых процессов.

Действия, предпринимаемые для определения всех нормативных правовых требований, относящихся к организации, включают:

• 1) анализ требований отраслевого законодательства;

• 2) анализ требований законодательства в сфере защиты персональных данных и управления документами и (или) данными.

Раздел А.2 приложения А содержит примеры деловых, правовых и других требований, касающихся создания документов и средств управления ими, а также источники экспертной помощи при составлении деловых, правовых и иных требований.

Итоговая документация

Оформление документации по формулированию деловых, правовых и иных требований является обязательным условием соответствия ИСО 30301. Требования могут быть отражены в одном или нескольких документах в зависимости от типа требований. Примерами подобной документации могут являться:

• - перечень требований, определенных по типу (например, деловые, правовые);

• - раздел в руководстве или в проектном плане внедрения СУД;

• - официальный отчет об определении требований к СУД;

• - перечень применяемых в организации законодательных и других кодифицированных нормативных правовых актов в отношении создания документов и управления ими;

• - обзор практики правоприменения (совокупность практики применения правовых норм по определенному вопросу, относящемуся к организации).

• 4.3 Определение области применения СУД

Область применения СУД устанавливается высшим руководством и четко обозначает рамки внедрения СУД, подлежащие включению и исключению компоненты СУД, их роли и взаимосвязи.

Область применения может быть определена в результате проведения анализа организационной среды с учетом выявленных факторов (см. 4.1) и требований (см. 4.2), а также может быть установлена высшим руководством до выявления таких факторов и требований.

Определение области применения включает:

• а) определение охватываемых СУД подразделений и функций организации. Это может быть организация в целом, департамент или отдел, отдельная функция, один или несколько деловых процессов;

• Ь) определение подразделений или функции других (смежных) организаций, охватываемых СУД, и их взаимосвязи;

• с) описание процесса интеграции СУД с общей системой управления и с другими системами управления (менеджмента), реализованными в организации (например, ИСО 9000, ИСО 14000 и ИСО/МЭК 27000);

• d) определение любых процессов, влияющих на СУД, выполняемых другими организациями (аутсорсинг), и меры и средства контроля над субъектами, которые несут ответственность за их выполнение.

Итоговая документация

Наличие документального подтверждения области применения СУД является обязательным требованием СУД. Область применения СУД может быть изложена в отдельном документе либо включена в другие документы, относящиеся к СУД, такие как политика управления документами (см. 5.2), руководства или проектные планы внедрения СУД.

• 5 Руководство

• 5.1 Обязательства руководства

Обязательства высшего руководства по внедрению СУД устанавливаются также четко и на том же уровне детализации, как и для других систем управления (менеджмента), внедренных в организации, и также как для других ее активов, например человеческих ресурсов, финансов и инфраструктуры. Обязательства руководства не подразумевают выполнение каких-либо конкретных действий, но открытая демонстрация участия руководства является неотъемлемым фактором успеха внедрения СУД. Под обязательствами также подразумеваются требования ИСО 30301:2011, относящиеся к ресурсам (см. 7.1), обмену информацией (см. 7.4), а также анализу управления (см. 9.3).

Итоговая документация

Документальное закрепление обязательств руководства в отношении СУД не является обязательным требованием. Такие обязательства могут быть установлены в политике управления документами (см. 5.2). Обязательства также могут быть отражены в руководствах либо посредством выполнения каких-либо действий и в зависимости от характера деятельности организации и уровня сложности ее структуры, их подтверждение должно быть закреплено в качестве дополнения к политике управления документами. В качестве примеров можно привести:

• - протокол совета директоров или совета правления;

• - положения стратегических и бизнес-планов;

• - резолюции и указания;

• - бюджет, технико-экономическое обоснование;

• - план взаимодействия.

• 5.2 Политика

Стратегические направления деятельности организации, определенные высшим руководством, являются основой политики управления документами. Она устанавливается руководством в качестве основы для внедрения и совершенствования СУД организации, а также в качестве эталона для оценки качества СУД.

Указания высшего руководства организации должны быть изложены в официальном документе. Проект такого рода документа обычно готовится не самими представителями высшего руководства, однако документ должен быть официально утвержден высшим руководством вне зависимости от того, кто его подготовил. В зависимости от конкретной организации к числу высшего руководства могут относиться различные должности, однако желательно, чтобы политика управления документами была утверждена наиболее высокопоставленным должностным лицом организации.

Политика управления документами содержит общие указания о том, как обеспечивается соответствие целям организации процессов создания документов и управления ими; а также принципы организации работы с документами. В случае интеграции политики работы с документами в общую политику управления, в которой применяются стандарты систем управления (менеджмента), она не требует отдельного утверждения руководством.

Разработка политики управления документами включает:

• а) анализ организационной среды и определение требований (см. 4.1,4.2);

• Ь) организационные цели и стратегии;

• с) ее влияние на другие политики организации и их взаимосвязь;

• d) область применения СУД (см. 4.3);

• е) организационная структура и полномочия.

Политика управления документами отражает намерения организации и может включать:

• 1) цель;

• 2) указания высшего руководства о создании документов и об управлении ими;

• 3) ответственность и обязательства высшего руководства в отношении создания документов и средств управления ими;

• 4) определение порядка внедрения установленной политики;

• 5) термины и определения.

Проект политики управления документами должен быть представлен в форме, понятной для всех сотрудников, имеющих отношение к работе СУД. Следует иметь в виду, что в рамках внедрения документных процессов и систем «политиками» также могут называться некоторые технические документы, в том числе решения. При внедрении ИСО 30301 политика управления документами должна быть представлена в форме самостоятельного, небольшого по объему документа, утвержденного высшим руководством. Она не должна содержать описание задач, действий или документных процессов.

В целях распространения политики управления документами в организации возможно применение методов, описанных в 7.4.

Итоговая документация

При внедрении СУД утвержденная политика управления документами является официальным документом. Положения этого документа следует соблюдать и контролировать в организации, с ним должен быть ознакомлен каждый сотрудник организации. Все документы по внедрению СУД, разработанные впоследствии, не должны противоречить установленной политике управления документами.

• 5.3 Организационные функции, ответственность и полномочия
  
  5.3.1 Общие положения

  Ответственность и полномочия в рамках СУД определяются и соотносятся с конкретными ролями. Они взаимосвязаны на всех уровнях организации, что позволяет легко определить лицо, ответственное за принятие необходимых мер для разработки, внедрения и поддержки СУД. Помимо формального установления представителя управления и оперативного руководителя, как указано в нижеследующих разделах, для внедрения СУД высшее руководство должно распределить обязанности и ответственность:

• а) за разработку и утверждение политики;

• Ь) за распределение ресурсов;

• с) за разработку процедур и процессов и их утверждение;

• d) за разработку информационных систем;

• е) за обучение и консультации;

• f) за внедрение политики, процедур и процессов и управление ими;

• д) за аудит/мониторинг соответствия;

• h) за управление качеством работ.

Ответственность может быть соотнесена с различными ролями. Следующие положения могут быть использованы в качестве основных принципов для распределения ответственности:

• 1) высшее руководство несет ответственность за утверждение и поддержку политики управления документами в организации;

• 2) определен конкретный представитель высшего руководства, на которого возложены ответственность и подотчетность за СУД (конкретная роль);

• 3) руководители структурных подразделений несут ответственность за обеспечение надлежащего создания документов и управление ими сотрудниками их подразделений в соответствии с установленной политикой управления документами;

• 4) специалисты в области управления документами несут ответственность за разработку процессов и средств управления документами, внедрение и эксплуатацию документных систем, а также за обучение лиц, участвующих в документных процессах и использующих документные системы;

• 5) системные администраторы несут ответственность за обеспечение надежности, безопасности, совместимости документных систем, включая системное управление процессами миграции и внесение изменений;

• 6) сотрудники отдела ИТ несут ответственность за внедрение и поддержку технологических аспектов, необходимых для непрерывного и надежного управления документами, в том числе за миграцию систем в случае необходимости;

• 7) все сотрудники несут ответственность за создание документов и управление ими в их сфере деятельности в соответствии с установленной политикой управления документами путем использования документных систем организации, ее процессов и средств управления документами.

Требования, перечисленные в этом разделе, связаны с требованиями 7.2 и 7.3 и должны быть реализованы одновременно.

Итоговая документация

Распределение обязанностей является обязательной частью документированной информации, необходимой при внедрении СУД. Она может быть представлена в различных формах.

Например:

• - обязанности высшего руководства, отраженные в политике управления документами (см. 5.2);

• - документация о назначении должностного лица (уполномоченного представителя) и оперативного руководителя;

• - должностные инструкции или аналогичные руководства;

• - делегирование полномочий в установленном порядке;

• - раздел в руководстве или в проектном плане, касающийся ответственности за внедрение СУД.

• 5.3.2 Ответственность руководства

Роль и обязанности представителя управления должны быть четко определены. Указанная роль предполагает полную ответственность за внедрение и поддержание функционирования СУД. Представитель управления является частью высшего руководства организации. В зависимости от сложности структуры организации и внедряемой СУД руководство должно быть дополнено оперативным руководителем (как определено в 5.3.3).

В обязанности представителя высшего руководства входит:

• а) утверждение официальной документации по планированию, разработке, обслуживанию и оценке СУД и проектов СУД при необходимости;

• Ь) утверждение способа распределения ресурсов, необходимых для внедрения и поддержания работы СУД;

• с) утверждение назначения одной или нескольких ролей по внедрению и поддержанию работы СУД. Эти функции могут возлагаться на конкретное должностное лицо или группу лиц в зависимости от сложности структуры и размера организации;

• d) содействие обеспечению совместимости СУД за счет: обмена информацией (см. 7.4), привлечения сотрудников, расширения прав, мотивации, системы вознаграждений;

• е) определение компетенции лиц (сотрудников или работников, оказывающих услуги по договору (контракту) выполнения работ или услуг), задействованных во внедрении и в поддержании функционирования СУД.

Объем, характер и способ закрепления обязанностей изложены в 5.3.1.

Итоговая документация

Соответствует итоговой документации, указанной в 5.3.1.

• 5.3.3 Оперативное управление

Ответственность по разработке и выполнению необходимых работ по непосредственному внедрению СУД и подготовке отчетов высшему руководству должна быть возложена на оперативного руководителя. Он может быть как сотрудником организации, так и работником, с которым заключен договор (контракт) на выполнение работ или услуг.

Оперативный руководитель должен обладать соответствующими профессиональными умениями, описанными в 7.2.

Описание области применения, характера ответственности, необходимой документации изложены в 5.3.1.

Задачи, выполняемые под руководством оперативного руководителя, основаны главным образом на задачах, указанных в разделе 8 и приложении А ИСО 30301:2011.

Оперативный руководитель может координировать деятельность одной или нескольких групп по внедрению и поддержанию функционирования СУД на оперативном уровне, а также осуществлять действия по совершенствованию СУД.

Оперативный руководитель должен предоставлять высшему руководству либо ответственному представителю по внедрению и оценке эффективности СУД отчеты с необходимой сопровождающей документацией и рекомендации по усовершенствованию процессов СУД. Отчеты могут предоставляться регулярно, с установленной периодичностью, поэтапно, в соответствии с требованиями организации. Отчеты — это документы, которыми необходимо управлять в соответствии с документными процессами и средствами управления, установленными в приложении А ИСО 30301:2011.

Взаимодействие с внешними сторонами по вопросам СУД также является обязанностью оперативного руководителя. Оно может включать (но не ограничиваться) следующее:

• а) консультации с экспертами в области нормативно-правовой базы (юристами);

• Ь) соблюдение требований или руководств специалистов в области аудита и контроля качества;

• с) организацию и ведение переговоров с поставщиками товаров или услуг (например, поставщиками программного обеспечения, консультантами по внедрению);

• d) приобретение дополнительных навыков за счет человеческих или информационных ресурсов подрядчиков.

Роль ответственного представителя и оперативного руководителя может быть реализована одним лицом или группой лиц в зависимости от сложности и размера организации и области применения СУД.

Итоговая документация

Соответствует итоговой документации, указанной в 5.3.1.

• 6 Планирование

• 6.1 Действия в отношении рисков и возможностей

В данном разделе основное внимание уделяется прогнозированию стратегических рисков, связанных с обеспечением достижения СУД плановых показателей, и планированию действий по их предотвращению. Успешное внедрение СУД требует выявления, анализа и оценки рисков как части планирования внедрения СУД. Анализ факторов (см. 4.1) и требований (см. 4.2) следует проводить вместе с оценкой рисков. Это необходимо для определения задач управления документами (см. 6.2) и действий, необходимых для их достижения. Данные действия включены в процессы СУД (см. раздел 8).

Создание СУД помогает организациям управлять фактором неопределенности, который влияет на достижение деловых задач. Необеспеченность процессов создания и хранения документов, отвечающих требованиям, может привести к неопределенности в деловой деятельности и негативно повлиять на способность достижения организацией поставленных целей. Создание СУД помогает организациям управлять подобной неопределенностью и ее негативным влиянием. В данном случае СУД представляет средство обработки рисков. Стратегические возможности, связанные с СУД, можно рассматривать в качестве положительных сторон реализации системы управления. Также это может влиять на прозрачность и подотчетность организации, совершенствование деловых процессов, экономическую эффективность и производительность, а также укрепление отношений с клиентами и заинтересованными сторонами. СУД может предоставить возможность исправить недостатки в работе и защитить от угроз, вызванных изменениями внешней среды или связанных с ее особенностями, посредством анализа и оценки такого рода рисков и возможностей. Как правило, делается это до того, как решение о внедрении СУД становится частью общей системы управления рисками.

При внедрении СУД неопределенности в отношении выполнения задач должны быть идентифицированы как риски. Такая оценка рисков также может предоставить возможность улучшения деловых процессов и оказать положительное влияние на постановку и достижение деловых задач. Цель требований, указанных в данном разделе, — рассмотрение оценки рисков и возможностей, в соответствии с задачами СУД. Это является частью планирования СУД. Организации могут решить, какую методологию управления рисками они собираются использовать и как действия по устранению рисков определены и реализованы.

Кроме того, существуют риски, связанные с самими документами и документными системами, в которых они находятся. Такие операционные риски должны быть выявлены в ходе оперативного планирования (см. 8.1).

В зависимости от характера рисков и возможностей необходимо применение процедур и действий различных типов и уровней. Основным определяющим фактором является наличие оперативного характера у рисков и возможностей, связанных с задачами СУД. В то время как требования к рискам и возможностям изложены в разных разделах ИСО 30301, они могут рассматриваться в качестве единого вида деятельности.

При создании организацией формальной системы управления рисками планирование СУД должно быть включено в процесс выявления рисков, анализа и оценки данной структуры.

Области неопределенности, которые могут содержать риски, необходимо учитывать при стратегическом планировании СУД. Они могут включать:

• а) изменения внешней и внутренней среды организации, такие как нормативно-правовые изменения, изменения экономической и политической среды, структурные изменения;

• Ь) системы и процессы, задействованные в создании доказательств и управлении ими для исполнения организацией миссии и выполнения задач;

• с) человеческие ресурсы и навыки, необходимые для внедрения и обеспечения поддержки СУД; d) бюджетные или финансовые последствия и изменения;

• е) измерение и оценку выполнения обозначенных задач, политики и стратегий;

• f) реализацию взаимосвязей с другими системами управления (менеджмента), внедренными в организации.

Определение стратегических рисков и возможностей и формулировка задач управления документами могут оказывать влияние друг на друга. Поэтому данные действия не следует рассматривать в линейной последовательности.

Выявление рисков на этом уровне должно быть связано либо с СУД в целом, либо с конкретной задачей. Например, риски, связанные с «человеческими ресурсами и навыками», упомянутые выше, как область неопределенности, могут быть связаны как с СУД в целом, так и с отдельной задачей управления документами.

В первом случае риск может заключаться в непонимании руководителями цели системы управления и ее потенциального влияния на деловые процессы и задачи, вследствие чего они сосредотачиваются на процессах сертификации, связанных с внедрением СУД.

Например, если одной из задач управления документами для конкретной системы определена необходимость фиксации ввода электронных документов в ходе выполнения процессов, связанных с клиентами, возникает риск того, что сотрудники будут сопротивляться нововведениям и использовать альтернативные технологии (например, хранить документы по деловым вопросам, используя электронную почту вместо указанной системы для хранения документов).

Действия по управлению рисками и возможностями специфичны для каждой организации. В зависимости от свойств каждого отдельного риска или возможности действия по их устранению также меняются. Они должны быть включены в процесс выполнения задач и разработки документных процессов.

Итоговая документация

Особых требований к документированию данного аспекта процесса планирования не предъявляется. Выявление рисков может быть включено в планы по выполнению задач (см. 6.2) или документироваться в виде отдельной части планирования.

Примерами могут служить:

любое применение инструментов оценки риска (приложение В МЭК 31010 включает ряд таких инструментов, а также ISO/TR 18128 содержит несколько примеров);

документирование действий, которые должны быть предприняты в отношении рисков и для реализации возможностей.

• 6.2 Основные задачи управления документами и планирование их выполнения

Задачи внедрения СУД или задачи управления документами определяются в соответствии с организационной средой, требованиями и приоритетами организации. Действия по их выполнению документируются, а задачи и план по их выполнению распространяются во всей организации для ознакомления в соответствии с областью применения СУД.

Исходная информация для определения задач управления документами включает:

• а) анализ организационной среды и выявление потребностей организации (см. раздел 4);

• Ь) политику управления документами (см. 5.2);

• с) анализ рисков, а также действия и приоритетные области, нацеленные на устранение этих рисков (см. 6.1);

• d) обзор существующих документных процессов.

Задачи управления документами различны в каждой организации [они основаны на анализе организационной среды (см. раздел 4) и анализе рисков (см. 6.1)], соответствуют стратегиям и целям и могут быть определены.

При определении задач управления документами организация должна учитывать уже существующие документы и документные системы, выявленные для устранения рисков, а также основные области для улучшения, за счет которых организация может получить максимальную выгоду.

Изменения в организационной среде (например, нормативные изменения), в политике управления документами, в процессе оценки рисков или в результатах оценки эффективности, требуют пересмотра задач управления документами для их обновления или изменения при необходимости. Задачи управления документами должны быть взаимосвязаны посредством использования методов, указанных в 7.4.

Действия по выполнению задач управления документами должны быть определены. Каждая задача может быть связана с одним или несколькими действиями. К конкретным планируемым действиям относятся:

• 1) определение ожидаемых результатов;

• 2) определение места, времени, способа выполнения данных действий и их исполнителя;

• 3) в зависимости от потребностей организации, организационной среды, ее размеров, сложности и характера действий, которые необходимо предпринять, меры по выполнению данных задач управления документами могут быть спланированы с применением официальной методологии управления проектами или менее формальных проектных планов или планов действий. В зависимости от объема и сложности действий может быть составлен один или несколько проектных планов.

Контроль планируемых изменений может осуществляться посредством представления официальной отчетности по проектам, составления запроса при планировании и мониторинге либо изменения процедур.

Процесс планирования может быть сформулирован в бизнес-кейсе, который включает приоритеты и цели внедрения СУД. Он может содержать:

• i) область применения СУД (см. 4.3);

• ii) риски, связанные с СУД;

• iii) задачи и планы;

• iv) приоритеты и сроки выполнения конкретных задач;

• v) обязанности отдельных лиц;

• vi) рассмотрение проекта;

• vii) необходимость привлечения дополнительных человеческих ресурсов и навыков;

• viii) необходимость привлечения иных ресурсов;

• ix) методы оценки результатов предпринятых действий.

Этап планирования позволяет организации оценить значимость СУД, а также установить роли и обязанности в рамках организации, необходимые для реализации проекта СУД.

Итоговая документация

Документирование задач управления документами является требованием СУД, однако создание нормативного или официального документа необязательно.

Примерами документирования являются:

• - документирование основных задач управления документами;

• - утверждение руководством действий и обязательств по внедрению СУД;

• - издание бизнес-кейса или его эквивалента;

• - один или несколько проектных планов СУД с указанием основных этапов.

• 7 Обеспечение

• 7.1 Ресурсы

Планирование внедрения и поддержки СУД (см. раздел 6) включает оценку вида и количества необходимых ресурсов с последующим решением руководства о распределении этих ресурсов в течение необходимого времени.

Ресурсы могут быть выделены на разные периоды времени в зависимости от сферы деятельности, а также для обеспечения поддержания СУД на регулярной основе. Ресурсы могут быть временными или постоянными, внешними или внутренними.

Ресурсы, необходимые для разработки, внедрения и поддержания работы СУД могут включать:

• а) человеческие ресурсы — необходимое число сотрудников, имеющих соответствующий уровень квалификации и умений;

• Ь) информационно-коммуникационную среду в соответствии с потребностями организации в документных процессах и средствах управления;

• с) финансовые ресурсы;

• d) оборудование и логистику, например, для размещения дополнительных сотрудников (при необходимости).

С физическими и юридическими лицами, которые обеспечивают и предоставляют услуги организации в связи с разработкой, внедрением и поддержкой СУД, должны быть заключены официальные договоры (контракты). Такие договоры (контракты) могут включать:

• - распределение обязанностей;

• - требования к определенным профессиональным знаниям;

• - стабильное предоставление услуг;

• - наличие возможности пролонгации договора (контракта).

Итоговая документация

Распределение ресурсов является частью обязанностей высшего руководства, в то же время не существует конкретных требований к документированной информации по этому вопросу. Типовые документы, в которых может быть прописано распределение ресурсов: бюджеты; организационные диаграммы; положение о разграничении обязанностей; перечни систем, оборудования и других объектов инфраструктуры, необходимой для СУД, и договоры (контракты) (например, на оказание услуг, предоставляемых сторонними организациями).

• 7.2 Компетентность

Сотрудники должны обладать определенными компетенциями при выполнении возложенных на них задач (ролей) в СУД. Следует определить необходимый состав компетенций, нанять дополнительных штатных сотрудников либо заключить договоры на выполнение работ или услуг с работниками, имеющими соответствующие профессиональные умения, обеспечить соответствие их функциям в СУД и распределить их обязанности в СУД.

Определенные компетенции и профессиональные умения, необходимые для выполнения оперативной роли, будут варьироваться в зависимости от размера и сложности структуры организации, особенностей осуществляемых конкретных действий.

Компетенции оперативного руководителя могут включать в себя следующее:

• а) наличие квалификации в области управления информацией;

• Ь) опыт управления проектами, включая планирование проекта, мониторинг и отчетность;

• с) опыт управления сотрудниками организации, работниками, выполняющими работу по договорам выполнения работ или оказания услуг, и временными творческими коллективами;

• d) знание методов взаимодействия с заинтересованными сторонами;

• е) знание принципов оценки эффективности работы организации в конкретной области и умение разработки рекомендаций по внесению изменений или улучшений.

Требования к профессиональному уровню лиц, ответственных за разработку и внедрение документных процессов и средств управления документами, определяются в зависимости от их ролей. Как правило, они включают:

• 1) умение проводить контекстуальный анализ и анализ требований;

• 2) знание установления процедур, инструментов и методов контроля и поддержки документов;

• 3) знание методики и умение разработки и внедрения правил предоставления доступа;

• 4) знание методики и умение разработки и внедрения систем для поддержки документных процессов;

• 5) знание порядка и правил отбора и передачи документов на хранение или уничтожение;

• 6) умение поддержания работы документных систем.

Квалификационные требования к профессиональному уровню применимы в отношении любых работников организации, как работающих на постоянной основе, так и работников, с которыми заключены договоры на выполнение работ и оказание услуг.

После определения необходимых компетенций для внедрения СУД, документных процессов и систем могут быть разработаны положение о распределении обязанностей и должностные инструкции (регламенты), включающие описание компетенций (квалификационных требований). Сравнение опыта, квалификации, знаний и умений сотрудников организации с положениями о распределении обязанностей и должностными инструкциями (регламентами) позволяет выявить пробелы и принять соответствующие меры, необходимые для приобретения сотрудниками организации компетенций, отвечающих предъявляемым требованиям.

Это должно учитываться:

• i) при организации дополнительного профессионального обучения сотрудников или наставничества;

• ii) при решении вопросов профессионального роста сотрудников;

• iii) при найме (приеме) новых сотрудников;

• iv) при заключении с работниками договоров на выполнение работ или услуг.

Действенность мер, принятых для приобретения необходимых компетенций, станет показательна:

• - при индивидуальной оценке эффективности в соответствии с установленными критериями оценки эффективности;

• - по результатам оценки эффективности функционирования СУД (см. раздел 9).

Итоговая документация

Подтверждение компетентности лиц, исполняющих определенные должностные обязанности, является требованием ИСО 30301. Обязательным результатом данного этапа является наличие у сотрудников документов, подтверждающих профессиональные знания и умения, уровень образования или получение дополнительного профессионального образования, а также определение квалификационных требований к уровню образования, профессиональным знаниям и умениям для каждой отдельной должности.

• 7.3 Ознакомление и обучение

Стратегии необходимы для формирования осведомленности о политике, целях и требованиях СУД, а также понимания сотрудниками их функций и обязанностей для достижения соответствия требованиям СУД. Это достигается посредством разработки различных программ и методов обучения и ознакомления, которые могут включаться в уже существующие программы.

Стратегии обучения и ознакомления могут включать:

• а) вводные программы для сотрудников;

• Ь) специализированные программы профессиональной подготовки;

• с) брифинги руководства и сотрудников, например, в рамках регулярных собраний;

• d) финансовое, материальное поощрение или награды;

• е) повышение квалификации по отдельным аспектам работы СУД и документных процессов и средств управления документами;

• f) методы коммуникации, перечисленные в 7.4.

Для удовлетворения потребностей организации формы обучения могут быть различными:

• 1) очное обучение;

• 2) дистанционное обучение;

• 3) индивидуальное обучение, например, для руководства.

Итоговая документация

Не предъявляется требований к составлению конкретной документации о выполнении условий, описанных в данном разделе. Реализация программы обучения может осуществляться в различных направлениях. Ниже приведены примеры документов, составленных в ходе выполнения данного этапа. Они могут варьироваться в зависимости от размера и сложности структуры организации, а также тематики программы обучения:

• - концепция разработки программы;

• - план инструктажа;

• - административный план;

• - схема оценки программы;

• - содержание программы;

• - учебные материалы, включая конспекты лекций преподавателя и материалы обучающихся;

• - порядок оценки по результатам обучения;

• - отчеты о посещаемости.

• 7.4 Обмен информацией

Процедуры и методы обмена информацией разрабатываются для обеспечения эффективной реализации требований СУД и соответствия им. При разработке таких процедур и методов важно выявить целевые группы или аудитории. Для различных адресатов могут потребоваться различные установки и методы взаимодействия. Обмен информацией в отношении СУД может быть интегрирован в уже существующие коммуникационные стратегии.

Процедуры обмена информацией, относящейся к СУД, должны включать:

• а) область обмена информацией и краткое описание содержания;

• Ь) способы обмена информацией;

• с) ответственность за обмен информацией;

• d) методы оценки эффективности обмена информацией.

Содержание информации о СУД должно включать:

• 1) цель СУД;

• 2) преимущества внедрения СУД;

• 3) роли и обязанности;

• 4) местонахождение, а также доступ к документации по СУД, включая операционные элементы;

• 5) содержание текущих процедур, связанных с документными процессами, системами и средствами управления документами;

• 6) источники помощи при реализации политики управления документами, выполнении задач и использовании оперативных элементов (например, техническая поддержка документной системы).

Примеры способов внутреннего информирования:

• - рекламные мероприятия, такие как внутрисетевые уведомления, постеры, конкурсы и призы;

• - кураторы, то есть передовые сотрудники, продвигающие СУД организации;

• - брифинги на регулярных собраниях отделов;

• - информационные бюллетени и доски объявлений.

Руководство организации должно решить, информировать ли внешние заинтересованные стороны по вопросам СУД, о политике управления документами и задачах. Это требует знания особенностей внешних заинтересованных сторон, понимания характера их заинтересованности, а также возможности фактического или потенциального воздействия на внедрение и стабильную работу СУД (см. 4.1).

Например, обмен информацией с юридическими или физическими лицами, которые являются частью цепочки поставщиков организации, может быть важен для обеспечения получения последовательных и стабильных результатов при выполнении документных процессов и использовании средств управления в рамках СУД; при наличии общих деловых процессов другая сторона или стороны могут потребовать прямой доступ к некоторым документным системам организации.

Организация может выбрать способ документирования информационного обмена с другими организациями по вопросам политики управления документами, задач и текущих процедур, в зависимости от взаимосвязей и влияния этих организаций на особенности функционирования СУД. Тем не менее, если внешние стороны задействованы в повседневных деловых процессах организации, обмен информацией должен охватывать соответствующие роли, права и условия, установленные для задействованных документных процессов и средств управления документами, а также использование документных систем.

Итоговая документация

Процедура документирования внутреннего информирования является обязательной при внедрении ИСО 30301. Если организация принимает решение взаимодействовать с другими организациями по вопросам СУД, то возникает необходимость в регламентации процедуры внешнего информационного обмена или включении внутренних и внешних связей в общую процедуру взаимодействия.

Дополнительными результатами реализации этого требования являются сообщения или документально подтвержденное решение руководства организации об информировании внешних заинтересованных сторон по вопросам создания СУД.

• 7.5 Документация
  
  7.5.1 Общие положения

  Документация создается и ведется с целью описания основных элементов СУД и их взаимосвязей. Она содержит определение структуры, формата, состава элементов и информационных(ой) систем(ы) управления для документации, описывающей СУД, и относящиеся к ней процессы и средства управления.

Документация по планированию, оперативной работе и контролю процессов СУД зависит от размера организации и области применения СУД. ИСО 30301 устанавливает минимальный объем документации, необходимой для внедрения СУД, но организации вправе создавать дополнительную документацию, если это необходимо для обеспечения эффективного планирования, функционирования СУД и управления ею.

Состав необходимой для реализации ИСО 30301 документации указывается в каждом разделе. Составление конкретных документов, таких как политики или процедуры, является обязательным. Иные требования к документированию указаны без определения конкретного вида документа, вследствие чего могут быть удовлетворены посредством создания различных видов документации.

Пункт 7.5.1 ИСО 30301:2011 может быть использован при проверке требований к документации, указанных в других разделах. В таблице 1 представлены документы, требования к которым описаны в других разделах.

Таблица 1 — Требования к составу документации

Окончание таблицы 1

• 7.5.2 Средства управления документацией

Процедуру устанавливают и поддерживают для управления документацией СУД.

Процедура должна установить различные уровни документации, единый порядок составления заголовков и кодирования документации, а также роли и обязанности в отношении разработки, рассмотрения и утверждения документации. Формы или шаблоны могут создаваться для любого вида документации.

Документация, требуемая СУД (см. 7.5.1) и создающаяся в процессе разработки, внедрения и поддержания документных процессов и средств управления документами, управляется с помощью документных процессов и средств управления документами, установленных в приложении А ИСО 30301.

В дополнение к средствам управления документация обновляется в соответствии с управлением версиями и должна следовать процедурам обмена информацией и распространения, установленным в 7.4.

Международные стандарты и технические отчеты ИСО/ТК 46/ПК 11 содержат дополнительные руководства по разработке и внедрению ряда документных процессов и средств управления документами.

В случае если организация внедрила другие стандарты систем управления (менеджмента) (ССУ), документация и документационные процедуры должны быть общими для двух или более ССУ.

Итоговая документация

Управление процедурой документирования.

• 8 Оперативная деятельность

• 8.1 Оперативное планирование и контроль

Организации определяют, планируют и внедряют оперативные документные процессы и системы для достижения задач управления документами (см. 6.2), которые включают возможности и меры по устранению рисков, определенных в 6.1.

В большинстве организаций, внедряющих СУД, существуют документы, документные процессы и документные системы, которые в будущем потребуют пересмотра с использованием процедур СУД, описанных ниже, а также оценки на соответствие документным процессам и средствам управления, описанным в приложении А ИСО 30301. Пересмотр существующих документов, документных процессов и документных систем также влияет на формулирование задач управления документами, оперативное планирование и контроль.

Оперативные документные процессы и системы должны быть определены и запланированы. Планирование работы СУД в организации осуществляется посредством определения документных процессов и систем, которые будут внедрены, выявления критериев для осуществления этих процессов и описания (с необходимой степенью детализации) различных видов деятельности, ее результатов, задействованных сотрудников и систем. При определении документных процессов целесообразно указать, какие виды контроля необходимы для того, чтобы показать, что каждый процесс внедряется в соответствии с планом. Исходными данными для оперативного планирования и контроля являются результаты анализа рисков, возможностей и действий, которые необходимо предпринять для управления этими рисками и возможностями (см. 6.1).

Оперативные процессы создания документов и средства управления ими, соотнесенные с конкретными потребностями организации, внедряются в соответствии с требованиями, указанными в приложении А ИСО 30301. Соответствующие международные стандарты и технические отчеты ИСО/ТК 46/ ПК 11 могут использоваться в качестве руководств для разработки и внедрения этих процессов. Требования этого раздела следует рассматривать в совокупности с требованиями, указанными в 8.2 и 8.3.

В случае если деловые или документные процессы осуществляются другими организациями, ИСО 30301 четко устанавливает требование контроля подобных процессов. Такие механизмы должны быть определены и задокументированы в договорах со сторонними организациями.

Процессы, осуществляемые поставщиками на договорной основе, подлежат той же оценке эффективности, как и любые другие процессы СУД в соответствии с разделом 9.

Итоговая документация

Не предъявляется конкретных требований к контрольной документации для данного раздела. Результаты включены в итоговую документацию, указанную в 8.2.

• 8.2 Проектирование документных процессов

Проектирование документных процессов и средств управления включает пересмотр существующих документных процессов либо разработку новых. Как пересмотр, так и разработка новых процессов основаны на анализе рабочих процессов организации и предназначены для выполнения задач управления документами. Масштаб и сложность проектирования документных процессов и технологий, предназначенных для дальнейшего применения, могут меняться в зависимости от результатов контекстуального анализа, оценки рисков, требований к деловым процессам, размера и характера деятельности организации (см. 4.1 и 4.2) и значимости деловых мероприятий, которые они поддерживают.

Кроме того, в анализ, проводимый для проектирования новых или усовершенствования существующих документных процессов, должен быть включен анализ рисков и возможностей, выявленных на уровне СУД, а также оценка и разработка мер по устранению рисков в отношении документных процессов.

В дополнение к требованиям 8.1 ИСО 30301 для проектирования документных процессов устанавливается процесс проектирования, который включает:

• а) анализ процессов работы в качестве основы для разработки документных процессов. Анализ рабочих процессов проводится в целях определения потребности в документах (ИСО 30301, приложение А), понимания реализации требований к созданию и контролю документов, которые определены в приложении A ISO/TR 26122, где содержится руководство по проведению анализа рабочих процессов;

• Ь) оценку рисков, возникающих в документных процессах, а также их влияние на создание аутентичных, достоверных и пригодных для использования документов в процессе осуществления деловых процессов организации. ISO/TR 18128 содержит руководство по оценке рисков, связанных с документными процессами.

Требования, предъявляемые к проектированию и внедрению документных процессов, установлены ИСО 30301 и перечислены в приложении А. ИСО 15489-1 содержит дополнительные руководящие принципы по характеристикам документных процессов, а также основные понятия для их внедрения.

Средства управления, указанные в приложении А ИСО 30301, следует использовать для того, чтобы показать соответствие разработанных документных процессов существующим деловым процессам.

Соблюдение требований приложения А ИСО 30301 не подразумевает однотипное внедрение документных процессов в каждой организации.

В случае если документные процессы, связанные с конкретными требованиями, установленными в приложении А ИСО 30301, не подходят какой-либо организации, их внедрение и соблюдение предъявляемых к ним требований не являются обязательными. Однако причины, служащие основанием для принятия данного решения, должны быть сформулированы и задокументированы в ходе проектирования документных процессов.

Для документных процессов, выполняемых по договорам на выполнение работ или услуг или договорам с третьим лицом (находящихся на аутсорсинге), должны быть установлены средства управления, отраженные в договорах, соглашениях об уровне обслуживания, требованиях к документации и отчетности.

При проектировании документных процессов, соответствующих требованиям ИСО 30301, для определения выполнения этих требований могут быть использованы следующие показатели. Пункты 1—4 являются показателями, касающимися создания и ввода документов. Пункты 5—8 являются показателями, относящимися к процессам управления, как указано в приложении А ИСО 30301. Ссылки в скобках относятся к приложению А ИСО 30301.

Примечание — Международные стандарты и технические отчеты, разработанные ИСО/ТК 46/ПК 11 (ISO/TC46/SC 11), содержат подробные рекомендации по проведению анализа и проектированию документных процессов и средств управления.

• 1) Организация определила объект, время и способ создания и ввода документов для каждого делового процесса (А. 1.1).

В соответствии с областью применения СУД, задачами управления документами и планом внедрения организация провела систематический анализ требований к созданию и средствам управления документами по каждому деловому процессу. Особенности проведения анализа устанавливаются организацией самостоятельно, но его результаты обязательно должны быть задокументированы. Примерами выполнения и документирования анализа являются:

• i) диаграммы потоков деловых процессов с указанием точек создания документов;

• ii) перечень документов для любого делового процесса;

• iii) полное описание документов, связанных с деловыми процессами, задокументированных в процедурах каждого делового процесса.

Исходя из результатов вышеупомянутого анализа организация установила сроки хранения документов. Это отражается в определенной процедуре, в которой описывается, как выполнялся данный анализ. Процедура анализа процесса передачи документов на хранение или уничтожение гарантирует, что все правовые, деловые и другие требования выполняются и все решения приняты соответствующими лицами. Результаты анализа оформляют в виде графиков передачи на хранение или уничтожение документов, связанных с конкретным деловым процессом или группой процессов.

Процессы создания документов могут быть разработаны организацией с использованием различных подходов. Требования ИСО 30301 устанавливают необходимость наличия процессов создания документов соответствующим лицом либо инструментом в момент проведения документируемой операции/транзакции, а также ввода документов в систему наиболее приемлемым способом. Способы ввода документов в систему должны быть задокументированы.

• 2) Организация определила содержание, среду и контрольную информацию (метаданные), которые должны являться частью документов (А.1.2).

Документы введены в систему вместе с описательной и контекстной информацией, которая позволяет их идентифицировать и понимать не только автору документа, но и другим людям, находящимся вне делового процесса. ИСО 30301 не определяет необходимую для ввода в систему информацию, за исключением наименования подразделения организации, ответственного за документы. Тем не менее документирование фактов ввода данной описательной информации в систему является обязательным требованием для каждого рабочего процесса. Эта информация может быть включена в результаты анализа каждого делового процесса (А.1.1).

В зависимости от отрасли экономики, размера и сложности структуры организации предназначенная для ввода в систему информация может быть заранее определена в схемах метаданных. ИСО 23081-2 содержит руководство по схемам метаданных для документов.

При наличии схем метаданных в них включается контрольная информация согласно А.2.1 приложения А ИСО 30301.

• 3) Организация приняла решение в отношении формы и структуры документов, которые должны быть созданы и введены в систему (А. 1.3).

При определении состава документов, которые должны быть созданы (А.1.1), устанавливаются формы и структуры документов. Это должно быть задокументировано для каждого делового процесса.

• 4) Организация определила соответствующие технологии для создания и ввода документов в систему (А.1.4).

Определение состава документов, которые должны быть созданы (А. 1.1), включает принятие решений о выборе технологий, которые будут использоваться для создания и ввода документов в систему. Это должно быть задокументировано для каждого делового процесса. В небольших организациях с одной функцией и небольшим числом сотрудников данное требование может быть удовлетворено путем документирования решения о создании документов на бумажном носителе либо в компьютерной системе, а также выбором программного обеспечения, которое будет использоваться.

• 5) Организация установила состав контрольной информации (метаданных), которая должна быть создана в рамках осуществления документных процессов, а также порядок установления ее связи с документами и способ управления ею в течение времени (А.2.1).

Проектирование документных процессов, необходимых для контроля документов и управления ими в течение сроков их хранения, включает группировку документов в соответствии с процессом работы, к которому они относятся. Для этого организация имеет официальную, документированную схему группировки, так называемую схему классификации. Любое изменение деловых процессов должно быть отражено в схеме.

При необходимости для каждого отдельного документа разрабатывается процесс уникальной идентификации и процедура документирования.

Информация, созданная в ходе осуществления конкретных документных процессов, является контрольной. Организация самостоятельно решает, как управлять данной контрольной информацией, например, с помощью заранее определенной схемы метаданных.

В небольших организациях это требование может быть удовлетворено путем документирования решения о создании и хранении определенной совокупности документов в соответствии с различными направлениями деловой деятельности с использованием выбранного программного обеспечения либо средств хранения бумажных носителей и путем документирования соответствующих инструкций, предназначенных для сотрудников.

• 6) Организация установила правила и условия для использования документов в течение времени (А.2.2).

Установление процессов предоставления доступа к документам требует проведения анализа использования документов и определения прав доступа либо разрешений на использование. Правила доступа, включая любые обязательные к применению правила, должны быть четко сформулированы и задокументированы.

Реализация правил осуществляется посредством установления круга сотрудников и их прав на просмотр либо использование документов, а также внедрения этих правил в системы хранения документов.

• 7) Организация определила, как обеспечить сохранность документов, пригодных для использования в течение времени (А.2.3).

Пригодность документов для использования в течение времени особенно важна в отношении электронных документов. Разработка и внедрение данного процесса (для документов всех форм) должны охватывать вопросы безопасности, такие как предотвращение несанкционированного доступа, модификации, удаления, сокрытия и (или) уничтожения информации. Для организаций, внедряющих ИСО/МЭК 27001, эти требования к безопасности могут быть уже учтены.

ИСО 30301 устанавливает требования к процессу обеспечения сохранности документов. Это включает использование соответствующих стандартов в отношении медиа и технологий, а также процедуры по периодической проверке пригодности для использования. При применении технологий шифрования для обеспечения безопасности срок ограничения доступа и методы дешифровки должны быть определены и задокументированы.

• 8) Организация установила правила отбора и передачи документов на хранение или уничтожение (А.2.4).

Разработка процессов по отбору и передаче документов на хранение или уничтожение соответствует ИСО 30301 и включает установление процедур по отбору и передаче документов на хранение или уничтожение, включая установление сроков хранения документов, утверждение решений по передаче документов на хранение и уничтожение. Отбор и передача документов на хранение или уничтожение может включать, при необходимости, их передачу другим организациям, изменение места хранения и уничтожение. Уничтожение документов подлежит контролю и документированию, и при необходимости контрольная информация об уничтоженных документах сохраняется.

Итоговая документация:

• - проект(ы) документных процессов;

• - процедуры деловых процессов, включающих документные процессы;

• - средства управления документами и вспомогательный анализ, например процедуры, схема(ы) классификации, схемы метаданных, правила предоставления доступа, модель системы безопасности, политики или правила отбора и передачи документов на хранение или уничтожение;

• - системные требования и спецификации (для технологий);

• - документация по выбору и приобретению технологий;

• - документация по проектированию и конфигурации системы;

• - аналитические обзоры процессов, процедур и систем;

• - учебные материалы.

• 8.3 Внедрение документных систем

Требования к процессу внедрения документных систем, указанные в 8.3 ИСО 30301, дополнены требованиями А.2.5 приложения А ИСО 30301. И те и другие требования должны рассматриваться в совокупности.

Документные системы, соответствующие требованиям ИСО 30301, могут быть представлены в различных формах. Например:

• а) программное обеспечение для деловых процессов или системы, которые сохраняют и управляют документами по транзакциям;

• Ь) базы данных, с помощью которых можно при необходимости восстановить документы;

• с) специализированное программное обеспечение, используемое для автоматизации ввода документов и управления ими.

Эти системы могут управляться как самой организацией, так и внешним поставщиком. В любом случае они должны предоставлять возможность ввода документов, управления ими, а также обеспечивать доступ к ним в течение необходимого времени. Они также должны иметь функцию экспорта документов и метаданных с сохранением доступа, аутентичности, достоверности и пригодности для использования даже в случае изменений в системе.

ИСО 15489-1 устанавливает общие характеристики документных систем и основные понятия для их внедрения. ИСО 16175-1, ИСО 16175-2 и ИСО 16175-3 содержат принципы и функциональные требования к документам в электронной офисной среде и могут быть использованы в качестве основы для формирования требований и выбора соответствующего программного обеспечения. Другие международные стандарты и технические отчеты, разработанные ИСО/ТК 46/ПК 11, должны быть использованы при проектировании и техническом обслуживании систем хранения документов.

В организации может функционировать более одной системы хранения документов, но при этом требуется идентифицировать все системы хранения документов и лиц, ответственных за них.

В ходе проводимого на регулярной основе мониторинга производительности документных систем, вне зависимости от требований деловой среды и задач управления документами, должны проверяться их следующие характеристики:

• 1) обеспечение функциональных возможностей, необходимых для выполнения организацией функций в соответствии с ее направлениями деятельности;

• 2) функционирование в соответствии с техническими спецификациями;

• 3) своевременная доступность системы сотрудникам организации;

• 4) документные системы функционируют на постоянной и надежной основе, и запланированные действия могут быть осуществлены даже в случае отказа системы;

• 5) непрерывность рабочего процесса и наличие возможности аварийного восстановления.

Управление функционированием документных систем заключается в обеспечении беспрерывной, надежной, безопасной работы на совместимой основе, охватывающей весь спектр деятельности организации. Это может быть осуществлено посредством:

• i) документирования и внедрения процедур управления системой и поддержания ее работы;

• ii) систематического тестирования системы на соответствие проектным спецификациям;

• iii) анализа и принятия решений по исправлению возникающих системных сбоев, разрешению проблем и жалоб пользователей;

• iv) оценки уровня и причин использования сотрудниками других (недокументных) систем;

• v) регулярной проверки доступности и пригодности системы для использования;

• vi) тестирования системы безопасности;

• vii) оценки возможностей внесения изменений в систему в соответствии с потребностями деловой среды организации, заинтересованных сторон или требованиями законодательства;

• viii) принятия необходимых мер для обеспечения процесса управления документами в случае возникновения новой функции или делового процесса в организации.

Итоговая документация

Документация, создаваемая по результатам проверки, включает:

• - перечни систем управления документами;

• - документацию и изменения к ней по внедрению информационных систем;

• - процедуры технического обслуживания информационных систем;

• - правила доступа к информационным системам;

• - документацию, подтверждающую тестирование информационной системы.

В организациях, внедривших программу обеспечения защиты информации, которая может быть основана на требованиях ИСО 27001, к документным системам предъявляются те же требования по обеспечению безопасности.

• 9 Оценка производительности

• 9.1 Мониторинг, измерение, анализ и оценка

  • 9.1.1 Определение объектов и способов проведения мониторинга, измерения, анализа и оценки

Для предоставления информации для обеспечения непрерывного развития и определения необходимости применения корректирующих мер (см. 10.1) проводится мониторинг эффективности работы СУД, документных процессов, средств управления документами и документных систем.

При определении объекта мониторинга и измерения организации следует рассмотреть:

• а) уровень деловых рисков, возникающих из-за несоответствия требованиям документов или документных систем в различных подразделениях организации;

• Ь) применение других стандартов систем управления (менеджмента);

• с) требования заинтересованных сторон (в качестве примера см. приложение А);

• d) правовые и нормативные требования;

• е) способ реализации в деловой сфере новых процессов, средств управления документами или документных систем.

Критерии мониторинга и проведения измерений следует регулярно пересматривать и обновлять в соответствии с изменениями организационной среды (см. раздел 4).

Методы мониторинга, проведения измерений, анализа и оценки документных процессов, средств управления документами и документных систем будут зависеть от объекта мониторинга. Эти методы могут быть количественными или качественными и включать:

• 1) опросы пользователей;

• 2) контрольные перечни вопросов;

• 3) наблюдения;

• 4) сбор и анализ статистики использования системы;

• 5) анализ данных операционной системы, например, простои, аварии, потери данных.

Частота проведения мониторингов и измерений также будет варьироваться в зависимости от того, что подлежит оценке. Например:

• i) крупная организация оценивает конкретные деловые функции попеременно;

• ii) небольшая организация проводит ежегодную оценку всей организации;

• iii) организация проводит внеплановую оценку существующей СУД по причине невыполнения правовых или нормативных требований либо по результатам оценки риска;

• iv) оценку проводят по завершении конкретных этапов внедрения СУД.

Итоговая документация

Составление результирующей документации не является обязательным требованием, однако примерами таких документов могут являться:

• - критерии для проведения мониторинга и измерений;

• - методы проведения мониторинга, измерения, анализа и оценки;

• - инструменты проведения мониторинга и измерений, такие как контрольные перечни вопросов и анкеты;

• - результаты проведения мониторинга и измерений, такие как статистика, результаты интервьюирования, результаты наблюдений, системные отчеты, результаты тестирований, опросов;

• - график(и) проведения мониторинга и измерений.

• 9.1.2 Оценка производительности документных систем, процессов и эффективности функционирования СУД

Результаты мониторинга и измерений оценивают для того, чтобы гарантировать эффективность интеграции и реализации мероприятий в процессах СУД организации (см. 8.1). Организация гарантирует соответствие уровня производительности СУД деловым потребностям организации, требованиям законодательства, а также повышение степени удовлетворенности клиентов и заинтересованных сторон. Анализ и оценку результатов проведения мониторинга и измерений следует проводить после каждой проверки уровня производительности. Однако анализ тенденций изменений или анализ, проводимый для целей управленческой отчетности, в котором представлена информация о полученных результатах, может выполняться с учетом текущих потребностей, например, ежеквартально, ежегодно. Исходными данными при проведении анализа и оценки будут являться результаты мониторинга и измерений (см. 9.1.1), внутренней проверки системы (см. 9.2) и анализа, проводимого руководством (см. 9.3), а также любые установленные требования в отношении регулярной или проектной отчетности. Организация использует данные, собранные для измерения степени целесообразности и эффективности СУД, а также для оценки возможности улучшения.

Организация должна разработать, внедрить и поддерживать процедуры по оценке эффективности работы СУД, в том числе по оценке эффективности документных процессов, средств управления документами и систем. Мониторинг и оценка документных процессов или систем входят в перечень основных принципов, изложенных в ИСО 15489-1. При применении в организации ИСО 15489-1 процедуры мониторинга и оценки обычно могут быть адаптированы к требованиям ИСО 30301.

Оценку эффективности следует проводить на регулярной основе с целью обеспечения функционирования СУД в соответствии с политикой и требованиями в сфере управления документами, а также в целях удовлетворения потребностей пользователей.

При выявлении низкого уровня результативности СУД, документных процессов и средств управления документами должны быть приняты меры по совершенствованию СУД. Следует заблаговременно принять меры по устранению неблагоприятных тенденций и последствий. См. 10.1.

Итоговая документация

Отчеты о проведении оценки.

• 9.1.3 Оценка эффективности

Мониторинг и измерение СУД проводят с целью оценки степени ее эффективности соответствия требованиям политики управления документами, выполнения задач управления документами и удовлетворения деловых потребностей организации и ожиданий заинтересованных сторон.

Исходные данные для оценки эффективности СУД включают результаты проведенной оценки производительности документных процессов и систем (см. 9.1.2), внутренний аудит системы (см. 9.2) и анализ со стороны высшего руководства (см. 9.3).

Эффективность СУД определяется такими факторами, как:

• а) текущая политика управления документами, отвечающая соответствующим требованиям (см. 5.2);

• Ь) текущие задачи управления документами, соответствующие имеющимся и возможным деловым потребностям (см. 6.2);

• с) политика управления документами, задачи, документные процессы и средства управления документами, которые были пересмотрены в результате изменений в деловой сфере, в правовых и иных требованиях (см. 4.2);

• d) соответствующий уровень ресурсов, выделяемых для поддержания работы СУД (см. 7.1);

• е) верное распределение ролей, обязанностей и полномочий (см. 5.3), соизмеримых с размером и характером деятельности организации и областью применения СУД, а также назначение компетентных лиц на данные роли (см. 7.2);

• f) результаты оценки эффективности работы сотрудника в соответствии с четко установленными обязанностями по внедрению СУД, предоставлению отчетности и повышению осведомленности о ее функционировании (см. 7.2);

д) результаты функционирования документных процессов и систем (см. 9.1.2);

• h) наличие полного состава документации по СУД и контроль процедур управления документами по месту эксплуатации (см. 7.5);

• i) документные системы, обеспечивающие достижение стратегических, управленческих и финансовых целей организации (см. 8.3);

• j) обучение по программе повышения осведомленности, а также текущая стратегия взаимодействия в отношении СУД, постоянно внедряемая и обновляемая в соответствии с изменениями в политике управления документами, задачах управления документами, документных процессах и средствах управления документами (см. 7.3 и 7.4);

• к) результаты оценки удовлетворенности пользователей и заинтересованных сторон (см. 9.1.2).

Итоговая документация

Данные и документация по оценке работы СУД должны храниться в качестве подтверждения проведения оценки эффективности.

Примерами могут служить:

• - заключение по оценке эффективности СУД;

• - программа или план оценки работы;

• - процедуры оценки работы;

• - критерии и показатели оценки работы;

• - результаты оценки работы;

• - диагностический аудит, в том числе перечень мероприятий по устранению проблем;

• - текущие данные мониторинга;

• - отчеты по мониторингу.

• 9.2 Внутренний аудит системы

Организация определяет частоту проведения внутреннего аудита системы и проводит его для оценки соответствия СУД требованиям, изменениям в политике и задачах управления документами, а также эффективности ее внедрения. Руководство по проведению внутреннего аудита, характеристики аудиторов, планы и программы по аудиту и отчеты приведены в ИСО 19011.

Внутренний аудит должен осуществляться лицами, которые не принимали участия во внедрении СУД. Программа аудита должна быть составлена в соответствии с требованиями ИСО 30301. При внедрении различных ССУ организация может осуществлять комбинированный внутренний аудит.

Для того, чтобы определить эффективность внедрения и поддержки СУД, оценивают следующие аспекты:

• а) соответствие документации по СУД требованиям, а также степень ее соответствия практике;

• Ь) значимость политики и задач управления документами;

• с) периодичность проведения анализа организационной среды и предпринимаемые ответные действия;

• d) понимание сотрудниками их ролей и обязанностей;

• е) надлежащий уровень поддержки функционирования СУД;

• f) возможность внедрения и поддержания документных процессов и средств управления документами в соответствии с заявленным проектом.

Итоговая документация:

• - программа аудита;

• - отчет по внутреннему аудиту и сопроводительная документация.

Некоторые организации могут найти процедуру документирования внутреннего аудита полезной, особенно при интеграции различных систем управления (менеджмента).

• 9.3 Анализ со стороны высшего руководства

Высшее руководство проводит анализ СУД и оценку ее текущего функционирования в целях обеспечения ее постоянной пригодности, соответствия установленным требованиям и эффективности, а также для улучшения или изменения по мере необходимости. Анализ со стороны высшего руководства представляет собой комплексную оценку СУД, а не оценку отдельно взятой области. Тем не менее особое внимание может быть уделено областям выявления риска.

Исходными данными для анализа со стороны высшего руководства будут:

• а) результаты предыдущих анализов со стороны высшего руководства;

• Ь) организационная среда (см. раздел 4);

• с) результаты мониторинга, измерений, анализа и оценки (см. 9.1);

• d) результаты предыдущего внутреннего аудита системы (см. 9.2).

Частота проведения руководством анализа зависит от потребностей организации и ее среды. На периодичность в свою очередь влияют:

• 1) период функционирования СУД (новая СУД или уже функционирующая в течение какого-то времени);

• 2) результаты предыдущих анализов и принятых мер;

• 3) результаты предыдущих аудитов;

• 4) ожидания заинтересованных сторон;

• 5) принятие новых или изменение действующих нормативных правовых актов.

Анализ СУД со стороны высшего руководства может осуществляться путем рассмотрения:

• i) предыдущих оценок и принятых мер;

• ii) любых изменений во внутренней и внешней среде, которые могли повлиять на область применения СУД или на уровни организационного риска;

• iii) предыдущих результатов мониторинга и измерений;

• iv) предыдущих результатов внутреннего аудита;

• v) корректирующих действий, предпринятых вследствие мониторинга, измерения и аудита;

• vi) документации о возможностях постоянного улучшения и действий по ним.

При проведении анализа СУД и поиску возможностей постоянного совершенствования руководству следует рассмотреть следующие вопросы:

• - дальнейшее приведение СУД в соответствие со стратегическими направлениями деятельности организации, которые могут повлиять на СУД;

• - соответствие масштабов и области применения СУД деловым процессам организации;

• - изменения организационной среды, которые могут повлиять на СУД, такие как: изменения в нормативно-правовой базе, влияние заинтересованных сторон, изменение организационных функций вследствие структурных изменений;

• - необходимость пересмотра политики управления документами и (или) задач управления документами;

• - достаточность объема ресурсов и навыков для текущего поддержания и совершенствования СУД;

• - уровень информированности о СУД и ее понимания сотрудниками и контрагентами, а также понимание требований соответствия установленной политике и задачам управления документами;

• - возможность достижения СУД плановых результатов.

Итоговая документация

Документирование результатов анализа со стороны высшего руководства является требованием ИСО 30301.

Результатом анализа будут являться документированные решения руководства и действия, связанные с совершенствованием процессов или общим улучшением эффективности работы СУД, а также с изменениями в ней. Данные изменения могут повлиять на политику и задачи управления документами и ресурсы.

• 10 Совершенствование

• 10.1 Контроль несоответствий и корректирующие действия

При выявлении несоответствий требованиям СУД принимаются необходимые меры. Причины несоответствий оцениваются и, в случае необходимости, принимаются меры для устранения этих причин в будущем. Несоответствия выявляются в результате:

• а) мониторинга и оценки (см. 9.1);

• Ь) внутреннего аудита (см. 9.2);

• с) анализа со стороны высшего руководства (см. 9.3);

• d) специальной отчетности.

Любые несоответствия требуют анализа причин, вследствие которых они возникают. При необходимости должны быть приняты корректирующие меры. Меры по контролю, смягчению или урегулированию несоответствий будут зависеть:

• 1) от уровня риска;

• 2) от степени влияния несоответствий;

• 3) от доступности ресурсов для принятия необходимых мер.

Планирование, необходимое для принятия корректирующих действий, может включать:

• i) распределение ролей и обязанностей;

• ii) определение конкретных действий, которые необходимо предпринять;

• iii) в случае необходимости выделение дополнительных ресурсов;

• iv) установление графиков и определение ожидаемых результатов;

• v) составление отчетов о принятых мерах.

При оценке необходимости принятия соответствующих мер или действий с целью устранения причин несоответствий должны быть рассмотрены следующие вопросы:

• - уровень риска по отношению к организации;

• - уровень риска для СУД;

• - уровень риска для нормального функционирования документных процессов, систем и средств управления документами;

• - вероятность возникновения несоответствий;

• - ресурсы, необходимые для принятия корректирующих действий.

Оценка корректирующих действий должна быть выполнена уполномоченными сотрудниками или подрядчиками в соответствии с их ролями, как это определено в 5.3. В рамках процесса постоянного совершенствования в отчетах по данной оценке представлены исходные данные для проведения регулярного мониторинга и измерений, внутренних аудитов системы, а также проведения анализа со стороны высшего руководства как части процесса постоянного совершенствования СУД.

Итоговая документация

Документирование полученных в ходе контроля несоответствий и принятия корректирующих действий результатов является требованием ИСО 30301. В качестве примеров можно привести следующее:

• - документация по несоответствиям;

• - описание корректирующих мер, которые необходимо принять;

• - документирование решений о непринятии корректирующих мер в соответствующих случаях;

• - проектная документация по принятию корректирующих мер;

• - документы (доказательства), подтверждающие принятие корректирующих мер;

• - аналитические обзоры корректирующих действий;

• - оценка необходимости принятия мер по устранению причин несоответствий;

• - плановая документация по принятию упреждающих действий;

• - документы (доказательства), подтверждающие принятие упреждающих действий;

• - аналитические обзоры упреждающих действий.

• 10.2 Непрерывное совершенствование

Организация способствует повышению эффективности СУД посредством соблюдения цикла планирования, поддержки, эксплуатации и оценки эффективности под непосредственным контролем высшего руководства. Это также повышает способность организации грамотно вести документацию в течение длительного времени, а также способность удовлетворять требованиям к отчетности и поддержанию деловых потребностей. Организация демонстрирует, что непрерывное улучшение цикла происходит посредством обеспечения соответствия политики работы с документами и задач управления документами целям организации и ее стратегическому направлению и это отражается в изменении документных процессов, систем и средств управления документами.

Цикл непрерывного совершенствования может быть отражен:

• а) в результатах текущей оценки эффективности;

• Ь) в предпринятых корректирующих действиях;

• с) в предпринятых мерах по совершенствованию;

• d) в пересмотренной политике и задачах управления документами;

• е) в пересмотренной инфраструктуре поддержки СУД в результате изменений потребностей;

• д) в текущем анализе организационной среды и рисков.

Итоговая документация

Результатом цикла непрерывного совершенствования является документирование указанных выше показателей.

Приложение А

(справочное)

Примеры источников информации и требований к проведению анализа организационной среды

А.1 Источники информации

Источники информации о внешней организационной среде могут включать:

• - информацию от и в отношении заинтересованных сторон;

• - законы, правила, стандарты, своды правил, отраслевые своды правил, правила корпоративного управления, указания;

• - обзор судебных разбирательств организации и принятые меры в отношении организации со стороны контролирующих органов;

• - аналитику (по вопросам экономики, финансов, окружающей среды) государственных или отраслевых специалистов;

• - сообщения средств массовой информации.

Источники информации о внутренней организационной среде могут включать:

• - основные корпоративные документы, такие как: политики, стратегии, бизнес-планы, годовые отчеты;

• - аудиторские отчеты;

• - организационную структуру, положения о распределении ролей, ответственности и обязанностей;

• - корпоративные стандарты, руководства, кодексы;

• - карты или описания бизнес-процессов;

• - оценку навыков;

• - перечни информационных систем;

• - информационные модели или модели данных;

• - анализ заинтересованных сторон;

• - анализ рисков;

• - политику информационной безопасности;

• - контекстуальный анализ внедрения других стандартов систем менеджмента;

• - методологию управления проектами;

• - модели закупок и заключения контрактов;

• - понимание организационной культуры (может быть не задокументировано).

Заинтересованными сторонами могут являться:

• - сотрудники и внештатные работники, работающие от имени организации;

• - сотрудники, на которых возложена ведущая роль в управлении документами, например аудит, оценка рисков, правовые вопросы, проверка соответствия, информационные технологии;

• - деловые партнеры, например научно-исследовательские сотрудники, торговые партнеры;

• - акционеры, владельцы, попечители, директора;

• - поставщики товаров и услуг;

• - клиенты;

• - граждане, неправительственные организации и другие общественные группы, заинтересованные в организации и ее деятельности;

• - надзорные/регулирующие органы, объектом регулирования которых может являться деятельность организации;

• - органы управления, в том числе органы управления нескольких организаций, действующих в различных юрисдикциях.

А.2 Примеры требований

Примерами деловых требований, касающихся создания документов и средств управления ими, являются:

• - требования к созданию документов с целью выполнения или завершения отдельных деловых процессов (в том числе веб-транзакций, а также деловых операций с использованием новых технологий, таких как социальные сети, мобильные и облачные технологии);

• - требования к созданию документов по финансовой/оперативной отчетности и контролю;

• - требования к созданию документов по внутренней и внешней отчетности;

• - требования к созданию документов по контролю и мониторингу внешних услуг или процессов (аутсорсинга);

• - требования к созданию документов по анализу и планированию;

• - требования к осуществлению контроля запрашиваемых в разных местах и в течение определенных периодов времени документов и предоставлению доступа к ним;

• - требования к данным, необходимым для получения доступа к документам и их использования (например, к персональным данным);

• - требования к обмену информацией, содержащейся в документах, и ее повторному использованию.

Примерами правовых требований, касающихся создания документов и средств управления ими, являются:

• - требования к созданию конкретных документов;

• - требования к предоставлению информации о деятельности организации конкретным заинтересованным сторонам, таким как акционеры или клиенты;

• - требования к хранению документов (например, конкретные сроки хранения, потенциально связанные с фиксированной или переменной датой или событиями);

• - требования к хранению документов в определенных форматах;

• - требования к хранению документов в определенных местах;

• - требования и порядок предоставления доступа к документам;

• - требования к передаче документов в другую организацию или под другую юрисдикцию.

Примерами других требований, касающихся создания документов и средств управления ими, являются:

• - требования к документам, установленные отдельными сводами правил, включая применение других стандартов систем управления (менеджмента);

• - требования к обеспечению доступа к конкретным документам для удовлетворения ожиданий внешних заинтересованных сторон.

Помощь в формировании деловых, правовых и других требований может исходить от целого ряда внутренних и внешних заинтересованных сторон, например:

• - юристов со знанием гражданского и общего права и взаимодействия между ними (это особенно важно, когда организации действуют в нескольких юрисдикциях);

• - оперативных работников с широким пониманием деловой среды;

• - специалистов в области управления документами, информационных технологий и систем;

• - аудиторов, специалистов в области оценки рисков и соответствия;

• - документоведческих/архивных учреждений или регулирующих органов, которые заинтересованы во внедрении СУД в организации.

Приложение ДА (справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам

Таблица ДА.1

УДК 005.5:005.92:006.354

ОКС 01.140.20

Ключевые слова: управление документами, система управления документами, документная система, процессы управления документами

Редактор Л.В. Каретникова Технический редактор И.Е. Черепкова Корректор М.И. Першина Компьютерная верстка Е.А. Кондрашовой

Сдано в набор 13.05.2022. Подписано в печать 16.05.2022. Формат 60x84%. Гарнитура Ариал. Усл. печ. л. 4,18. Уч.-изд. л. 3,76.

Подготовлено на основе электронной версии, предоставленной разработчиком стандарта

Создано в единичном исполнении в ФГБУ «РСТ» , 117418 Москва, Нахимовский пр-т, д. 31, к. 2.