ГОСТ Р ИСО 19011-2012. Руководящие указанияпо аудиту систем менеджментаiso 19011 2011Guidelines for auditing management systems

цифровые подписи, надзор рабочих мест, эргономика рабочих мест, контроль телекоммуникационной связи и мо- ниторинг данных (например, электронной почты), работа с компьютером, сбор свидетельств в электронном виде,
тестирование на проникновение для оценки безопасности компьютерных систем или сетей от атак или попыток проникновения и т. д.);
- процессы, научные подходы и практические приемы, лежащие в основе менеджмента информационной бе- зопасности;
- оценку рисков (идентификация, анализ и проведение оценки) и тенденций в технике, угроз и уязвимых мест;
- управление рисками в области информационной безопасности;
- методы и практики, касающиеся средств управления в области информационной безопасности (электрон- ные и физические);
- методы и практики по обеспечению сохранения целостности информации и по ее защите в случае несан- кционированных попыток внести изменения;
- методы и практики для измерения и оценки эффективности системы менеджмента информационной безо- пасности и связанных с ней мер в области управления;
- методы и практики для измерения, мониторинга и регистрации показателей деятельности (включая тести- рование, аудиты и анализы).
П р и м е ч а н и е — Дополнительную информацию см. в соответствующих стандартах в области ме- неджмента информационной безопасности,
разработанных объединенным техническим комитетом
ИСО/МЭК ОТК 1/ПК 27.
А.8 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области
менеджмента профессиональной безопасности и охраны здоровья
А.8.1 Общие знания и навыки
Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических прие- мов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежа- щим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- идентификацию опасностей, включая факторы, влияющие на работу персонала на рабочем месте, и другие факторы (такие как физические, химические и биологические факторы, а также пол, возраст, физические ограниче- ния, влияющие на трудоспособность, или другие физиологические, психологические факторы или факторы, отно- сящиеся к охране здоровья);
- оценку рисков, определение мер по управлению, передачу сведений о рисках [определение мер в области управления должно основываться на «иерархии мер по управлению» (см. OHSAS 18001:2007, пункт 4.3.1)];
- оценивание здоровья и факторов, связанных с деятельностью человека (включая физиологические и пси- хологические факторы), и принципы для проведения их оценки;
- метод для мониторинга воздействий на персонал вредных или опасных факторов и для оценки рисков в об- ласти профессиональной безопасности и охраны здоровья персонала (включая риски, возникающие вследствие указанных выше факторов, связанных с деятельностью персонала, или имеющие отношение к производственной гигиене), и связанные с этим стратегии по устранению или минимизации таких воздействий;
- особенности поведения людей, взаимодействие между людьми, между людьми и машинами, процессами и производственной средой (включая рабочие места, принципы организации рабочих мест с учетом эргономических факторов и техники безопасности, информационные и коммуникационные технологии);
- оценивание различных типов и уровней компетентности в области профессиональной безопасности и охраны здоровья, требуемых на всех уровнях организации, и проведение оценки данной компетентности;
- методы по стимулированию участия и вовлечению работников в деятельность в данной области менед- жмента;
- методы поощрения правильного или образцового поведения персонала и личной ответственности работ- ников (в отношении курения, потребления веществ с наркотическими свойствами, алкоголя, проблем, связанных с избыточным весом, стрессами, агрессивным поведением и т. д.) как в рабочее, так и свободное от работы время;
- разработку, применение и оценивание показателей деятельности и соответствующих метрик в области профилактических мер и мер по своевременному реагированию;
- принципы и практики для идентификации возможных аварийных ситуаций, а также по планированию соот- ветствующих действий, предотвращению, адекватному реагированию и устранению последствий аварийных ситуа- ций;
- методы для расследования и оценивания происшествий (включая несчастные случаи на производстве и профессиональные заболевания);
- определение и использование информации, относящейся к охране здоровья работников (включая данные мониторинга по воздействию вредных и опасных факторов на производстве и заболеваниям работников), с учетом требований по обеспечению конфиденциальности в отношении отдельных аспектов информации такого характера;
29
ГОСТ Р ИСО 19011—2012

- понимание информации в области медицины (включая медицинскую терминологию, для того чтобы пони- мать сведения, относящиеся к предотвращению травм и профессиональных заболеваний);
- величины систем предельно допустимого воздействия вредных и опасных факторов на производстве;
- методы проведения мониторинга и регистрации показателей в области профессиональной безопасности и охраны здоровья;
- понимание законодательных и других требований в области профессиональной безопасности и охраны здоровья в достаточной степени, для того чтобы аудитор мог оценивать систему менеджмента в области професси- ональной безопасности и охраны здоровья.
А.8.2 Знания и навыки, относящиеся к проверяемой в ходе аудита отрасли
Знания и навыки, относящиеся к проверяемой в ходе аудита отрасли, должны быть достаточными для того,
чтобы аудитор мог изучить проверяемую систему менеджмента в контексте тех требований, которые применяются в данной отрасли, и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- процессы, оборудование, сырьевые материалы, опасные вещества, производственные циклы, меры по об- служиванию и ремонту, материально-техническому обеспечению, организацию цепочки производственных процес- сов, практики и методы работы, организацию посменной работы, корпоративной культуры, лидерство, поведение и мотивацию персонала, а также другие вопросы, характерные для данной производственной деятельности или от- расли;
- типовые опасности и риски, включая факторы, связанные с деятельностью персонала или влияющие на его здоровье, характерные для данной отрасли.
П р и м е ч а н и е — Дополнительную информацию см. в соответствующих стандартах в области профес- сиональной безопасности и охраны здоровья, разработанных проектной группой OHSAS.
30
ГОСТ Р ИСО 19011—2012

Приложение В
(справочное)
Дополнительное руководящее указание для аудиторов
по планированию и проведению аудитов
В.1 Применение методов аудита
Для выполнения аудита могут применяться различные методы. В настоящем приложении приведены объяс- нения, относящиеся к широко применяемым в настоящее время методам аудита. Методы, выбираемые для прове- дения аудита, зависят от установленных целей, области применения и критериев аудита, а также от сроков и мест проведения аудитов. При выборе метода проведения аудита следует также учитывать имеющийся на данный мо- мент уровень аудиторской компетентности и любые неопределенности (погрешности), возникающие вследствие применения этих методов. Применение множества и использование сочетания различных методов может оптими- зировать продуктивность и эффективность процесса, связанного с аудитом, и его результаты.
При выполнении аудита происходит взаимодействие среди людей с системой менеджмента, проверяемой при аудите, и с технологией, используемой при проведении аудита. В таблице В.1 представлены примеры методов аудита, которые могут быть использованы отдельно или в сочетании с другими методами для того, чтобы достичь поставленных целей аудита. В случае, если при проведении аудита задействована группа по аудиту, включающая в себя многочисленных членов, то могут одновременно применяться методы, предусматривающие проведение ме- роприятий аудита как непосредственно на местах производственной деятельности, так и на расстоянии с использо- ванием соответствующих средств коммуникации.
П р и м е ч а н и е — Дополнительная информация, касающаяся посещений подразделений проверяемой организации на местах, приведена в В.6.
Т а б л и ц а В.1 — Применяемые методы проведения аудита
Степень вовлеченности между организацией- аудитором и проверяемой организацией
Местоположение аудитора на местах производственной деятельности организации на расстоянии
Взаимодействие лю- дей
Проведение интервью.
Заполнение проверочных листов и воп- росников с участием персонала проверяе- мой организации.
Проведение анализа документации с участием представителей проверяемой организации.
Осуществление представительных вы- борок
Через интерактивные средства комму- никации:
- проведение интервью;
- заполнение проверочных листов и вопросников;
- проведение анализа документации с участием представителей проверяемой организации
Без взаимодействия людей
Проведение анализа документации
(например, анализ записей, данных).
Наблюдение за выполнением работы.
Посещение производственных подраз- делений.
Заполнение проверочных листов.
Осуществление представительных вы- борок
Проведение анализа документации
(например, анализ записей, данных).
Наблюдение за выполнением работы с помощью технических средств, обеспечи- вающих надзор за производственной дея- тельностью,
с учетом социальных и
юридических требований.
Анализ данных
Мероприятия аудита на местах выполняются на месте производственной деятельности проверяемой органи- зации. Мероприятия аудита на расстоянии выполняются в любом месте, кроме мест расположения подразделе- ний и производственной деятельности проверяемой организации, независимо от расстояния.
Интерактивные мероприятия аудита включают в себя взаимодействие персонала проверяемой организации и группы по аудиту. Неинтерактивные мероприятия аудита не включают в себя взаимодействия с представителями проверяемой организации, но включают в себя взаимодействие с оборудованием, средствами инфраструктуры и документацией.
Ответственность за эффективное применение методов аудита для любого аудита на стадии планирования остается либо за лицом, ответственным за управление программой аудита, или за руководителем группы по ауди- ту. Руководитель группы по аудиту несет ответственность за проведение мероприятий аудита.
31
ГОСТ Р ИСО 19011—2012

Возможность проведения мероприятий аудита на расстоянии зависит от степени доверия между аудитором и персоналом проверяемой организации.
На уровне программы аудита следует обеспечить, что использование методов аудита на расстоянии и на местах является приемлемым для того, чтобы обеспечить достижение целей программы аудита.
В.2 Проведение анализа документов
Аудиторы должны рассмотреть, является ли информация, представленная в документах:
- полной (все ожидаемые сведения содержатся в представленном документе);
- правильной (содержимое документа соответствует другим надежным источникам, таким как стандарты и правила);
- совместимой (положения документа согласуются между собой и связанными с ним документами);
- актуальной (положения, содержащиеся в документе, имеют силу на момент проверки);
- охватывают ли анализируемые документы область применения аудита и предоставляют ли они достаточ- ную информацию для поддержания целей аудита;
- способствует ли использование информации и коммуникационных технологий согласно применяемым ме- тодам аудита эффективному проведению данного аудита: при этом необходимо уделить особое внимание инфор- мационной безопасности, обусловленной применяемыми правилами по обеспечению защиты данных (особенно для информации, которая выходит за рамки области применения аудита, но которая содержится в представленной документации).
П р и м е ч а н и е — Анализ документации может указать на эффективность управления документами в рамках системы менеджмента проверяемой организации.
В.3 Осуществление представительной выборки
В.3.1 Общие положения
Представительную выборку для аудита производят в случае, когда представляется нецелесообразным или дорогостоящим изучать всю имеющуюся информацию во время проведения аудита, например, когда записей слишком много или они слишком разбросаны географически, чтобы могло быть оправдано изучение каждой пози- ции в имеющейся совокупности. Такая выборка из большой совокупности является процессом отбора менее чем
100 % единиц (позиций) из имеющегося в полном объеме набора данных (генеральной совокупности) для получе- ния и оценивания свидетельств в отношении отдельной характеристики такой совокупности, с тем чтобы сформи- ровать заключение, касающееся данной совокупности.
Цель осуществления представительной выборки для аудита — это предоставить информацию для аудито- ра, с тем чтобы иметь уверенность в том, что цели аудита могут быть или будут достигнуты.
Риск, связанный с использованием выборки, состоит в том, что отобранные выборки могут быть непоказа- тельными в отношении той генеральной совокупности, из которой они отобраны, и, следовательно, это может по- влиять на заключение аудитора таким образом, что оно будет отличаться от заключения, которое было бы достигнуто, если бы проводилось изучение всей имеющейся совокупности данных. Могут иметься и другие риски в зависимости от изменчивости или непостоянства в рамках той генеральной совокупности, из которой проводится выборка, или в зависимости от выбранного метода.
Осуществление выборки для аудита, как правило, включает в себя следующие шаги:
- постановку целей плана осуществления выборки;
- выбор объема и композиции той генеральной совокупности, из которой будет производиться выборка;
- выбор метода проведения выборки;
- определение объема производимой выборки;
- проведение выборки;
- сбор материала, проведение оценки, регистрации и документирования результатов.
В ходе проведения выборки, следует уделить внимание качеству имеющихся данных, поскольку недостаточ- ные или неточные выборочные данные не обеспечат получение требуемого результата. Отбор подходящих выбо- рок должен основываться как на методе производства выборки, так и на типе требуемых данных, например для того, чтобы делать заключения по отдельному образцу или выводы по всей совокупности.
Составление отчетов по сделанной выборке может учитывать размер выборки, применяемый метод отбора и оценки, сделанные на основе выборки, и уровень достоверности.
При проведении аудитов могут использоваться выборки по усмотрению, т. е. сделанные на основе решения аудитора (см. В.3.2), или статистические выборки (см. В.3.3).
В.3.2 Выборки, сделанные по усмотрению
Выборки, сделанные по усмотрению, полагаются на знания, навыки и опыт группы по аудиту (см. раздел 7).
Для осуществления таких выборок может учитываться следующее:
- предыдущий опыт проведения аудитов в данной области применения аудита;
- сложность требований (включая законодательные требования) для достижения целей данного аудита;
- сложность и взаимодействие процессов и элементов системы менеджмента организации;
- степень изменения в технологии, системе менеджмента или человеческом факторе;
32
ГОСТ Р ИСО 19011—2012

- идентифицированные до этого времени зоны ключевых рисков и области улучшения;
- результаты мониторинга систем менеджмента.
Недостатком выборок, сделанных по усмотрению на основе решения проверяющей стороны, является то,
что может не быть статистической оценки влияния неопределенности (погрешности), присутствующей в выводах аудита и полученных заключениях.
В.3.3 Статистическая выборка
В случае, если принято решение использовать статистическую выборку, то план проведения такой выборки должен основываться на целях аудита и на той информации, которая известна о характеристиках всей генеральной совокупности, из которой будут проводиться данные выборки.
Расчет статистической выборки использует процесс отбора выборок, основанный на теории вероятности.
Выборка на основе характерного признака используется в случаях, когда имеются только два возможных исхода для каждой выборки (например, верный/неверный или годен/негоден). Выборка на основе переменного параметра используется в случаях, когда результаты выборки наблюдаются в сплошном диапазоне.
План проведения выборки должен учитывать, будут ли исследуемые результаты выборки подходить под ана- лиз на основе характерного признака или на основе переменного параметра. Например, в случае, если оценивает- ся соответствие законченных форм (разновидностей) требованиям, установленным в процедуре, то мог бы использоваться подход на основе характерного признака. В случае, если исследуется возникновение инцидентов,
связанных с безопасностью пищевой продукции, или количество нарушений при обеспечении безопасности, то подход на основе переменной величины скорее всего был бы более подходящим.
Ключевыми элементами, которые могут повлиять на план проведения выборки для аудита, являются:
- размер организации;
- количество компетентных аудиторов;
- периодичность аудитов в течение года;
- сроки конкретного аудита;
- любой требуемый внешними источниками уровень достоверности результатов аудита.
Когда разработан план проведения статистической выборки, то важным соображением будет уровень риска,
связанный с использованием выборки, на который организация-аудитор готова согласиться. Это часто называется
«допустимым уровнем достоверности». Например, 5 %-ный риск, связанный с использованием выборки, соотве- тствует допустимому уровню достоверности, равному 95 %. Связанный с использованием выборки 5 %-ный риск означает, что организация-аудитор согласна принять риск, что 5 из 100 (или 1 из 20) исследуемых выборок не будут отражать реальные значения, которые были бы показаны в случае, если бы проводилось исследование всей гене- ральной совокупности в ее полном объеме.
Когда используется статистическая выборка, аудиторы должны надлежащим образом документировать вы- полненную работу. Это должно включать в себя описание генеральной совокупности прецедентов, для которой было намечено осуществление выборки, критерии выборки, используемые для проведения оценки (например, что представляет собой приемлемая выборка), статистические параметры и методы, которые были использованы, чис- ло выборок, подвергнутых оценке, и полученные результаты.