ГОСТ Р ИСО 19011-2012. Руководящие указанияпо аудиту систем менеджментаiso 19011 2011Guidelines for auditing management systems

- приведенные методы представляют диапазон возможностей и не могут быть применимы во всех ситуациях;
- различные приведенные методы могут отличаться по своей надежности;
- обычно для обеспечения того, чтобы результат был объективным, согласующимся, беспри- страстным и достоверным, необходимо выбирать сочетание методов.
Т а б л и ц а 1 — Возможные для применения методы оценки
Метод оценки
Цели
Примеры
Анализ записей
Проверка квалификации аудитора
Анализ записей об образовании,
обучении, производственном опыте и опыте по аудиту
Обратная связь
Обеспечивает информацией о том, как воспринимается деятельность аудитора
Инспектирование деятельности, опро- сы, резюме, рекомендации, жалобы, оцен- ка деятельности, отзывы коллег
Собеседование
Оценка личных качеств и коммуника- ционных навыков, проверка информации и знаний по тестам и получение дополни- тельной информации
Персональное собеседование
Наблюдение
Оценка личных качеств и способности применения знаний и навыков
Ролевые игры, наблюдения в процессе аудита, деятельность на рабочем месте
Тестирование
Оценка личных качеств, знаний, навы- ков и их применение
Устные и письменные экзамены, пси- хометрическое тестирование
Анализ деятельности после аудита
Получение информации о работе ау- дитора во время выполнения действий по аудиту, определение его сильных сторон и недостатков
Анализ отчета по аудиту, опросы и об- суждение с руководителем группы по ау- диту, членами группы по аудиту и, при необходимости, использование обратной связи для получения информации от про- веряемой организации
7.5 Проведение оценки аудитора
На этом этапе собранную информацию о сотруднике сравнивают с критериями, установленными в
7.3. В случае, если сотрудник, участие которого предполагается в программе по аудиту, не соответству- ет критериям, то указывают на необходимость проведения дополнительного обучения, опыта работы и/или участия в аудите, после чего проводят повторную оценку.
В приложении В приведены некоторые рассматриваемые примеры.
7.6 Поддержание и повышение компетентности аудитора
Аудиторы и руководители группы по аудиту должны поддерживать свою компетентность в области аудита посредством регулярного участия в аудитах системы менеджмента и постоянного роста профес- сионализма. Постоянный профессиональный рост включает в себя поддержание и улучшение компе- тентности. Он может быть достигнут посредством дополнительного практического опыта, обучения,
стажировок, самоподготовки, занятий с репетиторами, посещения совещаний, семинаров и конферен- ций или других видов деятельности. Аудиторы, руководители группы по аудиту и сотрудники, отвечаю- щие за управление программой аудита, должны постоянно улучшать и совершенствовать свою компетентность.
Организация, имеющая потребность в проведении аудитов, должна внедрить подходящие меха- низмы для постоянной оценки деятельности аудиторов, руководителей групп по аудиту и лиц, ответ- ственных за управление программой аудита.
Деятельность по постоянному профессиональному росту должна учитывать следующее:
- изменения в личных потребностях аудиторов и организаций, отвечающих за проведение аудита;
- практику проведения аудитов;
- соответствующие стандарты и другие требования.
25
ГОСТ Р ИСО 19011—2012

Приложение А
(справочное)
Руководящие указания и пояснительные примеры в отношении
специальных знаний и навыков аудиторов в области отдельных
дисциплин менеджмента
А.1 Общие положения
В настоящем приложении приведены наиболее характерные примеры специальных знаний и навыков для ау- диторов систем менеджмента в области отдельных дисциплин менеджмента, предназначенные для того, чтобы по- мочь лицу, ответственному за управление программой аудита, отобрать или произвести оценку аудиторов.
Другие примеры специальных знаний и навыков для аудиторов, характерные для дисциплин менеджмента,
могут также быть разработаны применительно к системам менеджмента. Предполагается, что там, где это возмож- но, такие примеры будут приведены в той же общей структуре для обеспечения возможности их сравнения.
А.2 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области
менеджмента безопасности при транспортировании
Знания и навыки, относящиеся к менеджменту безопасности при транспортировании и к применению мето- дов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позво- лить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- терминологию менеджмента безопасности;
- понимание системного подхода, относящегося к обеспечению безопасности;
- оценку рисков и их уменьшение;
- анализ факторов, связанных с деятельностью человека, относящихся к менеджменту безопасности при транспортировании;
- поведение и взаимодействие людей;
- взаимодействие и взаимное влияние факторов, относящихся к людям, машинам, процессам и произво- дственной среде;
- потенциальные опасности и другие факторы на рабочих местах, влияющие на безопасность;
- методы и практики по расследованию происшествий и мониторинг показателей деятельности в области бе- зопасности;
- оценку происшествий и несчастных случаев на производстве;
- разработку показателей деятельности и соответствующих метрик в области профилактических мер и мер по своевременному реагированию.
П р и м е ч а н и е — Дополнительную информацию см. в ИСО 39001 (на стадии подготовки) по системам ме- неджмента безопасности дорожного движения, разработанном ИСО/ПК 241.
А.3 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области
экологического менеджмента
Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических прие- мов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежа- щим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- терминологию в области охраны окружающей среды;
- экологические метрики и статистические методы;
- методологию измерений и мониторинга;
- взаимодействие экосистем и их биологическое разнообразие;
- экологические среды и их носители (например, воздух, вода, земля, растительный и животный мир);
- технические приемы для определения рисков (например, оценку экологических аспектов/воздействий,
включая методы для оценки их значительности);
- оценку жизненного цикла;
- оценивание экологических показателей;
- предотвращение и контроль загрязнения окружающей среды (например, наилучшие из имеющихся техни- ческих приемов для контроля загрязнения или в области энергоэффективности);
- снижение потребления сырьевых источников, уменьшение образования и повторное использование отхо- дов (практики и процессы переработки и повторных циклов);
26
ГОСТ Р ИСО 19011—2012

- использование опасных веществ;
- расчет и управление выбросами в атмосферу парниковых газов;
- менеджмент природных ресурсов (например, природное топливо, вода, флора и фауна, земля);
- экологическое проектирование;
- экологическую отчетность и оглашение экологических данных;
- эффективное управление ресурсами при реализации процессов жизненного цикла продукции;
- технологии с применением возобновляемых ресурсов и пониженным образованием углекислого газа.
П р и м е ч а н и е — Дополнительную информацию см. в соответствующих стандартах в области экологи- ческого менеджмента, разработанных ИСО/ТК 207.
А.4 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области
менеджмента качества
Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических прие- мов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежа- щим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- терминологию, относящуюся к качеству, менеджменту, организации, процессам и продукции, характерис- тикам, соответствию, документации, аудиту и процессам, связанным с проведением измерений;
- подходы, ориентированные на потребителя; процессы, связанные с потребителями, мониторинг и измере- ние удовлетворенности потребителей, обращение с жалобами, правила поведения и разрешение разногласий;
- лидерство, роль высшего руководства, управление устойчивым успехом организации, подход менеджмен- та качества, реализующий финансовые и экономические преимущества через управление качеством, системы ме- неджмента качества и модели совершенства в области управления качеством;
- вовлечение персонала, факторы, связанные с деятельностью персонала, компетентность, подготовку и осведомленность персонала;
- процессный подход, технические приемы для анализа процессов, возможностей и управления процессами,
методы работы с рисками;
- системный подход к менеджменту (логическое обоснование систем менеджмента качества, основные ори- ентиры систем менеджмента качества и других систем менеджмента, документация систем менеджмента качес- тва), виды и стоимость, проекты, планы в области качества, управление конфигурацией;
- постоянное улучшение, инновации и обучение;
- подход по принятию решений, основанный на фактах, технические приемы по оценке рисков (идентифика- ция, анализ и оценивание рисков), деятельность по оцениванию менеджмента качества (аудит, анализ и самооцен- ка), техника проведения измерений и мониторинга, требования к процессам проведения измерений и к измерительному оборудованию, анализ корневых причин, статистические методы;
- характеристики процессов и продукции, включая услуги;
- взаимовыгодные отношения с поставщиками, требования к системам менеджмента качества и требования к продукции, специальные требования к менеджменту качества в различных отраслях экономики.
П р и м е ч а н и е — Дополнительную информацию см. в соответствующих стандартах в области менед- жмента качества, разработанных ИСО/ТК 176.
А.5 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области
управления записями
Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических прие- мов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежа- щим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- записи, процессы управления записями и терминологию систем менеджмента для записей;
- разработку показателей деятельности и метрик в этой области;
- проведение исследования и оценку практик по ведению записей посредством проведения опросов, наблю- дения и валидации;
- анализ выборок записей, созданных в бизнес-процессах, ключевые характеристики записей, систем запи- сей, процессов и средств управления записями;
- оценку рисков (например, оценка рисков при неудачных действиях по созданию адекватных записей, а так- же по поддержанию и управлению этими записями, относящимися к бизнес-процессам организации);
- продуктивность и адекватность соответствующих процессов для создания, сохранения и управления запи- сями;
27
ГОСТ Р ИСО 19011—2012

- оценку адекватности и результативности систем записей (включая бизнес-системы для создания и управле- ния записями), пригодность используемых технологических средств, технических приспособлений и оборудования;
- различные уровни компетентности в области управления записями на всех уровнях организации и проведе- ние оценки данной компетентности;
- значение содержания, рассматриваемого контекста, структуры, представления и управления информаци- ей (обмена данных) для определения и управления записями и системами записей;
- методы для разработки специальных инструментов для ведения и поддержания записей;
- технологии, используемые для создания, сохранения, преобразования и передачи, а также для обеспече- ния долгосрочной сохранности электронных/цифровых записей;
- идентификацию и значение документации, связанной с авторизацией, для процессов, связанных с записями.
П р и м е ч а н и е — Дополнительную информацию см. в соответствующих стандартах в области управле- ния записями, разработанных ИСО/ТК 46/ПК 11.
А.6 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области
менеджмента по обеспечению безопасности, постоянной готовности, устойчивого и непрерывного
организационного управления
Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических прие- мов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежа- щим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- процессы, научные подходы и практические приемы, лежащие в основе менеджмента обеспечения безо- пасности, постоянной готовности, устойчивого и непрерывного организационного управления;
- методы разведывательного характера по сбору информации и мониторингу в области безопасности;
- управление рисками, связанными с чрезвычайными и аварийными ситуациями (прогнозирование, предот- вращение, защита и уменьшение негативных последствий, принятие мер оперативного реагирования и устранение последствий чрезвычайной ситуации);
- оценку рисков (идентификацию и оценку стоимости имущества, идентификацию, анализ и оценку рисков)
и анализ негативного воздействия (на людей, материальные и нематериальные активы, а также на окружающую среду);
- принятие мер по рискам (адаптивного, упреждающего и противодействующего характера);
- методы и практики по обеспечению сохранения целостности информации и по ее защите в случае несан- кционированных попыток внести изменения;
- методы для обеспечения безопасности и защиты людей;
- методы и практики для защиты имущества и физической безопасности;
- методы и практики по управлению деятельностью в области профилактики, предупреждения и обеспече- ния мер безопасности;
- методы и практики по управлению в кризисных ситуациях, по адекватному реагированию и минимизации последствий происшествий;
- методы и практики по управлению действиями в чрезвычайных и аварийных ситуациях, по поддержанию непрерывности организационного управления и по восстановлению нормального режима работы;
- методы и практики по мониторингу, измерению и регистрации показателей деятельности (включая методо- логии в области исследований и тестирования).
П р и м е ч а н и е — Дополнительную информацию см. в соответствующих стандартах в области менед- жмента обеспечения безопасности, постоянной готовности, устойчивого и непрерывного организационного управ- ления, разработанных ИСО/ТК 8, ИСО/ТК 223 и ИСО/ТК 247.
А.7 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области
менеджмента информационной безопасности
Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических прие- мов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежа- щим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- руководящие указания стандартов, таких как ИСО/МЭК 27000, ИСО/МЭК 27001, ИСО/МЭК 27002,
ИСО/МЭК 27003, ИСО/МЭК 27004 и ИСО/МЭК 27005;
- идентификацию и оценку требований потребителей и других заинтересованных сторон;
- законы и правила, касающиеся информационной безопасности (например, интеллектуальная собствен- ность; содержание, защита и сохранение организационных записей; защита и конфиденциальность данных, приме- нение средств в области шифрования, антитеррористические меры, электронная коммерция, электронные и
28