Законодательная база Российской Федерации

"РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА. ГОСТ Р ИСО 19011-2012" (утв. Приказом Ростехрегулирования от 19.07.2012 N 196-ст)

В настоящем приложении приведены наиболее характерные примеры специальных знаний и навыков для аудиторов систем менеджмента в области отдельных дисциплин менеджмента, предназначенные для того, чтобы помочь лицу, ответственному за управление программой аудита, отобрать или произвести оценку аудиторов.

Другие примеры специальных знаний и навыков для аудиторов, характерные для дисциплин менеджмента, могут также быть разработаны применительно к системам менеджмента. Предполагается, что там, где это возможно, такие примеры будут приведены в той же общей структуре для обеспечения возможности их сравнения.

Знания и навыки, относящиеся к менеджменту безопасности при транспортировании и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- терминологию менеджмента безопасности;

- понимание системного подхода, относящегося к обеспечению безопасности;

- оценку рисков и их уменьшение;

- анализ факторов, связанных с деятельностью человека, относящихся к менеджменту безопасности при транспортировании;

- поведение и взаимодействие людей;

- взаимодействие и взаимное влияние факторов, относящихся к людям, машинам, процессам и производственной среде;

- потенциальные опасности и другие факторы на рабочих местах, влияющие на безопасность;

- методы и практики по расследованию происшествий и мониторинг показателей деятельности в области безопасности;

- оценку происшествий и несчастных случаев на производстве;

- разработку показателей деятельности и соответствующих метрик в области профилактических мер и мер по своевременному реагированию.

Примечание - Дополнительную информацию см. в ИСО 39001 (на стадии подготовки) по системам менеджмента безопасности дорожного движения, разработанном ИСО/ПК 241.

Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- терминологию в области охраны окружающей среды;

- экологические метрики и статистические методы;

- методологию измерений и мониторинга;

- взаимодействие экосистем и их биологическое разнообразие;

- экологические среды и их носители (например, воздух, вода, земля, растительный и животный мир);

- технические приемы для определения рисков (например, оценку экологических аспектов/воздействий, включая методы для оценки их значительности);

- оценку жизненного цикла;

- оценивание экологических показателей;

- предотвращение и контроль загрязнения окружающей среды (например, наилучшие из имеющихся технических приемов для контроля загрязнения или в области энерго-эффективности);

- снижение потребления сырьевых источников, уменьшение образования и повторное использование отходов (практики и процессы переработки и повторных циклов);

- использование опасных веществ;

- расчет и управление выбросами в атмосферу парниковых газов;

- менеджмент природных ресурсов (например, природное топливо, вода, флора и фауна, земля);

- экологическое проектирование;

- экологическую отчетность и оглашение экологических данных;

- эффективное управление ресурсами при реализации процессов жизненного цикла продукции;

- технологии с применением возобновляемых ресурсов и пониженным образованием углекислого газа.

Примечание - Дополнительную информацию см. в соответствующих стандартах в области экологического менеджмента, разработанных ИСО/ТК 207.

Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- терминологию, относящуюся к качеству, менеджменту, организации, процессам и продукции, характеристикам, соответствию, документации, аудиту и процессам, связанным с проведением измерений;

- подходы, ориентированные на потребителя; процессы, связанные с потребителями, мониторинг и измерение удовлетворенности потребителей, обращение с жалобами, правила поведения и разрешение разногласий;

- лидерство, роль высшего руководства, управление устойчивым успехом организации, подход менеджмента качества, реализующий финансовые и экономические преимущества через управление качеством, системы менеджмента качества и модели совершенства в области управления качеством;

- вовлечение персонала, факторы, связанные с деятельностью персонала, компетентность, подготовку и осведомленность персонала;

- процессный подход, технические приемы для анализа процессов, возможностей и управления процессами, методы работы с рисками;

- системный подход к менеджменту (логическое обоснование систем менеджмента качества, основные ориентиры систем менеджмента качества и других систем менеджмента, документация систем менеджмента качества), виды и стоимость, проекты, планы в области качества, управление конфигурацией;

- постоянное улучшение, инновации и обучение;

- подход по принятию решений, основанный на фактах, технические приемы по оценке рисков (идентификация, анализ и оценивание рисков), деятельность по оцениванию менеджмента качества (аудит, анализ и самооценка), техника проведения измерений и мониторинга, требования к процессам проведения измерений и к измерительному оборудованию, анализ корневых причин, статистические методы;

- характеристики процессов и продукции, включая услуги;

- взаимовыгодные отношения с поставщиками, требования к системам менеджмента качества и требования к продукции, специальные требования к менеджменту качества в различных отраслях экономики.

Примечание - Дополнительную информацию см. в соответствующих стандартах в области менеджмента качества, разработанных ИСО/ТК 176.

Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- записи, процессы управления записями и терминологию систем менеджмента для записей;

- разработку показателей деятельности и метрик в этой области;

- проведение исследования и оценку практик по ведению записей посредством проведения опросов, наблюдения и валидации;

- анализ выборок записей, созданных в бизнес-процессах, ключевые характеристики записей, систем записей, процессов и средств управления записями;

- оценку рисков (например, оценка рисков при неудачных действиях по созданию адекватных записей, а также по поддержанию и управлению этими записями, относящимися к бизнес-процессам организации);

- продуктивность и адекватность соответствующих процессов для создания, сохранения и управления записями;

- оценку адекватности и результативности систем записей (включая бизнес-системы для создания и управления записями), пригодность используемых технологических средств, технических приспособлений и оборудования;

- различные уровни компетентности в области управления записями на всех уровнях организации и проведение оценки данной компетентности;

- значение содержания, рассматриваемого контекста, структуры, представления и управления информацией (обмена данных) для определения и управления записями и системами записей;

- методы для разработки специальных инструментов для ведения и поддержания записей;

- технологии, используемые для создания, сохранения, преобразования и передачи, а также для обеспечения долгосрочной сохранности электронных/цифровых записей;

- идентификацию и значение документации, связанной с авторизацией, для процессов, связанных с записями.

Примечание - Дополнительную информацию см. в соответствующих стандартах в области управления записями, разработанных ИСО/ТК 46/ПК 11.

Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- процессы, научные подходы и практические приемы, лежащие в основе менеджмента обеспечения безопасности, постоянной готовности, устойчивого и непрерывного организационного управления;

- методы разведывательного характера по сбору информации и мониторингу в области безопасности;

- управление рисками, связанными с чрезвычайными и аварийными ситуациями (прогнозирование, предотвращение, защита и уменьшение негативных последствий, принятие мер оперативного реагирования и устранение последствий чрезвычайной ситуации);

- оценку рисков (идентификацию и оценку стоимости имущества, идентификацию, анализ и оценку рисков) и анализ негативного воздействия (на людей, материальные и нематериальные активы, а также на окружающую среду);

- принятие мер по рискам (адаптивного, упреждающего и противодействующего характера);

- методы и практики по обеспечению сохранения целостности информации и по ее защите в случае несанкционированных попыток внести изменения;

- методы для обеспечения безопасности и защиты людей;

- методы и практики для защиты имущества и физической безопасности;

- методы и практики по управлению деятельностью в области профилактики, предупреждения и обеспечения мер безопасности;

- методы и практики по управлению в кризисных ситуациях, по адекватному реагированию и минимизации последствий происшествий;

- методы и практики по управлению действиями в чрезвычайных и аварийных ситуациях, по поддержанию непрерывности организационного управления и по восстановлению нормального режима работы;

- методы и практики по мониторингу, измерению и регистрации показателей деятельности (включая методологии в области исследований и тестирования).

Примечание - Дополнительную информацию см. в соответствующих стандартах в области менеджмента обеспечения безопасности, постоянной готовности, устойчивого и непрерывного организационного управления, разработанных ИСО/ТК 8, ИСО/ТК 223 и ИСО/ТК 247.

Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- руководящие указания стандартов, таких как ИСО/МЭК 27000, ИСО/МЭК 27001, ИСО/МЭК 27002, ИСО/МЭК 27003, ИСО/МЭК 27004 и ИСО/МЭК 27005;

- идентификацию и оценку требований потребителей и других заинтересованных сторон;

- законы и правила, касающиеся информационной безопасности (например, интеллектуальная собственность; содержание, защита и сохранение организационных записей; защита и конфиденциальность данных, применение средств в области шифрования, антитеррористические меры, электронная коммерция, электронные и

цифровые подписи, надзор рабочих мест, эргономика рабочих мест, контроль телекоммуникационной связи и мониторинг данных (например, электронной почты), работа с компьютером, сбор свидетельств в электронном виде, тестирование на проникновение для оценки безопасности компьютерных систем или сетей от атак или попыток проникновения и т. д.);

- процессы, научные подходы и практические приемы, лежащие в основе менеджмента информационной безопасности;

- оценку рисков (идентификация, анализ и проведение оценки) и тенденций в технике, угроз и уязвимых мест;

- управление рисками в области информационной безопасности;

- методы и практики, касающиеся средств управления в области информационной безопасности (электронные и физические);

- методы и практики по обеспечению сохранения целостности информации и по ее защите в случае несанкционированных попыток внести изменения;

- методы и практики для измерения и оценки эффективности системы менеджмента информационной безопасности и связанных с ней мер в области управления;

- методы и практики для измерения, мониторинга и регистрации показателей деятельности (включая тестирование, аудиты и анализы).

Примечание - Дополнительную информацию см. в соответствующих стандартах в области менеджмента информационной безопасности, разработанных объединенным техническим комитетом ИСО/МЭК ОТК 1/ПК 27.

Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- идентификацию опасностей, включая факторы, влияющие на работу персонала на рабочем месте, и другие факторы (такие как физические, химические и биологические факторы, а также пол, возраст, физические ограничения, влияющие на трудоспособность, или другие физиологические, психологические факторы или факторы, относящиеся к охране здоровья);

- оценку рисков, определение мер по управлению, передачу сведений о рисках [определение мер в области управления должно основываться на "иерархии мер по управлению" (см. OHSAS 18001:2007, пункт 4.3.1)];

- оценивание здоровья и факторов, связанных с деятельностью человека (включая физиологические и психологические факторы), и принципы для проведения их оценки;

- метод для мониторинга воздействий на персонал вредных или опасных факторов и для оценки рисков в области профессиональной безопасности и охраны здоровья персонала (включая риски, возникающие вследствие указанных выше факторов, связанных с деятельностью персонала, или имеющие отношение к производственной гигиене), и связанные с этим стратегии по устранению или минимизации таких воздействий;

- особенности поведения людей, взаимодействие между людьми, между людьми и машинами, процессами и производственной средой (включая рабочие места, принципы организации рабочих мест с учетом эргономических факторов и техники безопасности, информационные и коммуникационные технологии);

- оценивание различных типов и уровней компетентности в области профессиональной безопасности и охраны здоровья, требуемых на всех уровнях организации, и проведение оценки данной компетентности;

- методы по стимулированию участия и вовлечению работников в деятельность в данной области менеджмента;

- методы поощрения правильного или образцового поведения персонала и личной ответственности работников (в отношении курения, потребления веществ с наркотическими свойствами, алкоголя, проблем, связанных с избыточным весом, стрессами, агрессивным поведением и т. д.) как в рабочее, так и свободное от работы время;

- разработку, применение и оценивание показателей деятельности и соответствующих метрик в области профилактических мер и мер по своевременному реагированию;

- принципы и практики для идентификации возможных аварийных ситуаций, а также по планированию соответствующих действий, предотвращению, адекватному реагированию и устранению последствий аварийных ситуаций;

- методы для расследования и оценивания происшествий (включая несчастные случаи на производстве и профессиональные заболевания);

- определение и использование информации, относящейся к охране здоровья работников (включая данные мониторинга по воздействию вредных и опасных факторов на производстве и заболеваниям работников), с учетом требований по обеспечению конфиденциальности в отношении отдельных аспектов информации такого характера;

- понимание информации в области медицины (включая медицинскую терминологию, для того чтобы понимать сведения, относящиеся к предотвращению травм и профессиональных заболеваний);

- величины систем предельно допустимого воздействия вредных и опасных факторов на производстве;

- методы проведения мониторинга и регистрации показателей в области профессиональной безопасности и охраны здоровья;

- понимание законодательных и других требований в области профессиональной безопасности и охраны здоровья в достаточной степени, для того чтобы аудитор мог оценивать систему менеджмента в области профессиональной безопасности и охраны здоровья.

Знания и навыки, относящиеся к проверяемой в ходе аудита отрасли, должны быть достаточными для того, чтобы аудитор мог изучить проверяемую систему менеджмента в контексте тех требований, которые применяются в данной отрасли, и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- процессы, оборудование, сырьевые материалы, опасные вещества, производственные циклы, меры по обслуживанию и ремонту, материально-техническому обеспечению, организацию цепочки производственных процессов, практики и методы работы, организацию посменной работы, корпоративной культуры, лидерство, поведение и мотивацию персонала, а также другие вопросы, характерные для данной производственной деятельности или отрасли;

- типовые опасности и риски, включая факторы, связанные с деятельностью персонала или влияющие на его здоровье, характерные для данной отрасли.

Примечание - Дополнительную информацию см. в соответствующих стандартах в области профессиональной безопасности и охраны здоровья, разработанных проектной группой OHSAS.

Приложение В
(справочное)