Руководящие указания и иллюстрирующие их примеры требований к знаниям и навыкам аудиторов различных систем менеджмента

В данном приложении представлены общие примеры требований к знаниям и навыкам аудиторов систем менеджмента в специфических областях, которые следует рассматривать как руководящие указания в целях оказания помощи лицу, ответственному за управление программой аудита, при выборе и оценивании аудиторов.

Могут иметь место и другие примеры специфических требований к знаниям и навыкам аудиторов. Предполагается, что, где это возможно, эти требования будут структурированы так же, как и первые требования, в целях обеспечения возможности их взаимного сопоставления.

А.2 Примеры специфических знаний и навыков аудиторов, специализирующихся на менеджменте безопасности транспортирования

Знаниям, относящимся к менеджменту безопасности транспортирования, и навыкам применения методов, устройств, процессов и практики деятельности в области менеджмента безопасности транспортирования следует обеспечить способность аудитора проводить проверку системы менеджмента, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту.

Примерами соответствующих областей знаний и навыков являются:

• терминология в области менеджмента безопасности;
• понимание подходов к построению систем безопасности;
• методы оценки и снижения уровня рисков;
• анализ человеческих аспектов, связанных с менеджментом безопасности транспортирования;
• знание человеческих качеств и их взаимодействия;
• взаимодействие человека, машины, процесса и производственной среды;
• потенциальные опасности и другие факторы на рабочих местах, влияющие на безопасность;
• методы и приемы исследования инцидентов и мониторинга деятельности по обеспечению безопасности;
• оценка производственных инцидентов и аварий;
• разработка проактивных и реактивных методов измерения показателей деятельности и критериев их приемлемости.

ПРИМЕЧАНИЕ. Дополнительную информацию можно найти в стандарте ISO 39001, разрабатываемом Проектным комитетом по системам менеджмента безопасности на дорогах Технического комитета ISO/TC 241.

А.З Примеры специфических знаний и навыков аудиторов, специализирующихся на экологическом менеджменте

Знаниям, относящимся к данному направлению, и навыкам применения специфических для него методов, устройств, процессов и практики деятельности следует быть достаточными для того, чтобы обеспечить способность аудитора проводить проверку системы менеджмента, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами областей таких знаний и навыков являются:

• терминология в области охраны окружающей среды;
• показатели деятельности в области охраны окружающей среды и экологическая статистика;
• устройства для проведения научных измерений и мониторинга;
• взаимодействие экосистем и биологическое разнообразие;
• окружающие среды, например воздух, вода, земля, фауна, флора;
• методы определения риска, например оценка экологических аспектов и их влияния, включая методы выявления наиболее значительных из них;
• оценка жизненного цикла;
• оценивание показателей деятельности в области охраны окружающей среды;
• предотвращение загрязнений и управление ими, например применение наилучшего из доступных методов для управления загрязнениями или эффективностью использования энергии;
• снижение количества и мощности источников отходов, минимизация их образования, а также методы и процессы их повторного использования, переработки отходов и обращения с ними;
• использование опасных веществ;
• учет парниковых газов и управление их выбросами;
• управление природными ресурсами, например ископаемым топливом, водой, флорой и фауной, землей;
• «экологическое» проектирование;
• отчетность по вопросам охраны окружающей среды и ее открытость;
• управление продукцией;
• методы восстановления и малоуглеродные технологии.

ПРИМЕЧАНИЕ. Дополнительную информацию можно найти в стандартах, разработанных Техническим комитетом ISO/TC 207 по экологическому менеджменту.

А.4 Примеры специфических знаний и навыков аудиторов, специализирующихся на менеджменте качества

Знаниям, относящимся к данному направлению, и навыкам применения специфических для него методов, устройств, процессов и практики деятельности следует быть достаточными для того, чтобы обеспечить способность аудитора проводить проверку системы менеджмента, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами областей таких знаний и навыков являются:

• терминология, относящаяся к менеджменту качества, управлению, организациям, процессам и продукции, характеристикам, соответствию, документации, процессам аудита и менеджмента;
• ориентация на потребителя, процессы, ориентированные на потребителя, мониторинг и измерение степени удовлетворенности потребителя, обращение с жалобами, своды практик, устранение разногласий;
• лидерство - как основная роль высшего руководства, менеджмент в целях постоянного успеха организации - как подход к менеджменту качества, позволяющий получать финансово-экономические выгоды за счет внедрения менеджмента качества, систем менеджмента качества и моделей превосходного бизнеса;
• вовлечение людей, человеческие факторы, компетентность, подготовка сотрудников и осознание;
• процессный подход, методы проведения анализа процессов, оценки их способности и управления ими, методы обращения с рисками;
• системный подход к менеджменту (рациональность систем менеджмента качества, системы менеджмента качества и целенаправленность других систем менеджмента, документация системы менеджмента качества), виды менеджмента и их значимость, проекты, планы качества, менеджмент конфигурации;
• постоянное улучшение, инновации и извлечение уроков;
• подход к выработке решений на основе фактов, методы оценки рисков (выявление, анализ и оценивание рисков), оценивание менеджмента качества (аудит, анализ и самооценка), методы измерений и мониторинга, требования к процессам измерения и измерительному оборудованию, анализ коренных причин, статистические методы;
• характеристики процессов и продукции, включая услуги;
• взаимовыгодные отношения с поставщиками, требования к системе менеджмента качества и требования к продукции, конкретные требования к менеджменту качества в различных секторах экономики.

ПРИМЕЧАНИЕ. Дополнительную информацию можно найти в стандартах, разработанных Техническим комитетом ISO/TC 176 по менеджменту качества.

А.5 Примеры специфических знаний и навыков аудиторов, специализирующихся на менеджменте записей (архивов)

Знаниям, относящимся к данному направлению, и навыкам применения специфических для него методов, устройств, процессов и практики деятельности следует быть достаточными для того, чтобы обеспечить способность аудитора проводить проверку системы менеджмента, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами областей таких знаний и навыков являются:

• терминология в области записей, процессов менеджмента записей и систем менеджмента записей;
• разработка показателей и критериев деятельности;
• исследование и оценивание практики ведения записей с помощью интервью, наблюдения и валидации;
• выборочный анализ записей, создаваемых в ходе бизнес-процессов. Ключевые характеристики записей, систем ведения записей, процессов ведения записей и методов управления записями;
• оценка рисков (например оценка рисков, связанных с ошибками и нарушениями при создании форм записей, их ведении и хранении, а также при управлении соответствующими записями о бизнес-процессах организации);
• осуществление и адекватность процесса создания форм записей, их ведения и хранения, а также управления записями;
• оценка адекватности и функционирования систем ведения записей (включая бизнес-системы для создания форм записей и управления записями), пригодность применяемых технологических средств, а также сооружений и оборудования;
• установление различных уровней компетентности для осуществления менеджмента записей внутри организации^) и проведение оценки соответствия компетентности этим уровням;
• понимание значимости содержания, обстоятельств получения, структуры, представительности информации (метаданных), требуемой для установления записей и систем записей и управления ими, и управления этой информацией;
• методы развития техники ведения специфических записей;
• методы, используемые для создания форм записей в электронном виде или на цифровых носителях, а также для ведения, обработки и распространения таких записей и обеспечения их длительной сохранности;
• выявление и значимость именной документации для процесса ведения записей. ПРИМЕЧАНИЕ. Дополнительную информацию можно найти в стандартах, разработанных подкомитетом №11 Технического комитета ISO/TC 46 по менеджменту записей.

А.6 Примеры специфических знаний и навыков аудиторов, специализирующихся на менеджменте устойчивости и безопасности бизнеса, подготовленности к чрезвычайным ситуациям и обеспечения непрерывности бизнеса

Знаниям, относящимся к данному направлению, и навыкам применения специфических для него методов, устройств, процессов и практики деятельности следует быть достаточными для того, чтобы обеспечить способность аудитора проводить проверку системы менеджмента, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами областей таких знаний и навыков являются:

• процессы, научные и технологические основы менеджмента устойчивости и безопасности, подготовленности к чрезвычайным ситуациям, реагирования на изменения, обеспечения непрерывности деятельности и ее восстановления;
• методы сбора и мониторинга закрытой информации;
• менеджмент рисков неблагоприятных событий (предвидение таких событий, исключение их проявления, предотвращение их возникновения, смягчение их последствий, реагирование на проявление и возвращение в исходное состояние после их завершения);
• оценка рисков (выявление и оценка имущества, а также выявление, анализ и оценивание рисков) и анализ влияния (по отношению к человеку, физическому имуществу и нематериальным активам, а также к окружающей среде);
• управление рисками (меры приспособления к риску, проактивные и реактивные меры);
• методы и приемы обеспечения целостности информации и ее недоступности (закрытости);
• методы обеспечения личной безопасности и защиты персонала;
• методы и приемы защиты имущества и физической защиты;
• методы и приемы предотвращения и сдерживания инцидентов, а также менеджмента безопасности;
• методы и приемы смягчения последствий инцидентов, реагирования на них и управления в кризисных ситуациях;
• методы и приемы управления непрерывностью деятельности, действиями в аварийных ситуациях и восстановительными работами;
• методы и приемы мониторинга и измерения деятельности, а также отчетности о ней (включая методы проведения тренировок и тестирования).

ПРИМЕЧАНИЕ. Дополнительную информацию можно найти в соответствующих стандартах, разработанных Техническими комитетами ISO/TC 8, ISO/TC 223 и ISO/TC 247 по менеджменту устойчивости, безопасности, подготовленности и обеспечению непрерывности.

А.7 Примеры специфических знаний и навыков аудиторов, специализирующихся на менеджменте информационной безопасности

Знаниям, относящимся к данному направлению, и навыкам применения специфических для него методов, устройств, процессов и практики деятельности следует быть достаточными для того, чтобы обеспечить способность аудитора проводить проверку системы менеджмента, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами областей таких знаний и навыков являются:

• руководящие указания, содержащиеся в стандартах ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 и ISO/IEC 27005;
• выявление и оценивание требований потребителей и заинтересованных сторон;
• законы и нормативные акты, относящиеся к информационной безопасности, например: защита интеллектуальной собственности; содержание, защита и распространение записей о деятельности организации; защита данных и личной информации; требования к управлению криптографической информацией; противодействие террору; электронные торги; электронные и цифровые подписи; надзор за рабочими местами; эргономика рабочих мест; перехват и мониторинг данных, распространяемых по системам телекоммуникаций (например по e-mail); заражение компьютеров; сбор доказательств в электронном виде; тестирование наличия вирусов и т.д.;
• процессы, научные достижения и технологии в области менеджмента информационной безопасности;
• оценка рисков (выявление, анализ и оценивание), а также тенденции в технологиях, угрозы и слабые места в системе защиты;
• менеджмент рисков в области информационной безопасности;
• методы и практика управления информационной безопасностью (электронные и физические);
• методы и практика обеспечения целостности информации и ее недоступности (закрытости);
• методы и практика измерений и оценивания результативности системы менеджмента информационной безопасности и связанных с ней методов и способов управления;
• методы и практика измерений и мониторинга осуществляемой деятельности и ведения соответствующих записей (включая результаты тестирования, аудитов и анализов).

ПРИМЕЧАНИЕ. Дополнительную информацию можно найти в соответствующих стандартах, разработанных подкомитетом № 27 по менеджменту информационной безопасности совместного Технического комитета ISO/IEC JTC 1.

А.8 Примеры специфических знаний и навыков аудиторов, специализирующихся на менеджменте охраны здоровья и обеспечения безопасности труда

А.8.1 Общие знания и навыки
Знаниям, относящимся к данному направлению, и навыкам применения специфических для него методов, устройств, процессов и практики деятельности следует быть достаточными для того, чтобы обеспечить способность аудитора проводить проверку системы менеджмента, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами областей таких знаний и навыков являются:

• выявление опасностей, включая те опасности и другие факторы, которые влияют на деятельность человека на его рабочем месте (такие, как физические, химические и биологические, равно как и половые, возрастные, умственные или другие психофизические, психологические факторы или состояние здоровья);
• оценка рисков, определение мер управления рисками и передача рисков [определение мер управления рисками следует основывать на «иерархии мер управления» (см. раздел 4.3.1 OHSAS 18001:2007)];
• оценивание показателей состояния здоровья и умственного состояния (включая физиологические и психологические показатели), а также принципы их оценки;
• методы мониторинга и оценки рисков в области охраны здоровья и обеспечения безопасности труда (включая те риски, которые связаны с человеческими факторами, указанными выше, или с санитарно-гигиенической обстановкой на рабочих местах) и стратегии исключения этих рисков или минимизации их проявления;
• поведение людей, непосредственное взаимодействие людей между собой и взаимодействие людей с механизмами, процессами и производственной средой (включая рабочее место, принципы проектирования, учитывающие вопросы эргономики и безопасности, а также информационные технологии и методы коммуникации);
• установление различных требований к содержанию и уровню компетентности персонала в вопросах охраны здоровья и обеспечения безопасности труда внутри организации и проведение оценки этой компетентности;
• методы стимулирования участия персонала в этой деятельности и их вовлечение;
• методы стимулирования сотрудников к обеспечению хорошего самочувствия и воспитанию самодисциплины (в отношении курения, наркотиков, алкоголя, избыточного веса, физических упражнений, стрессов, агрессивного поведения и т.д.) - как в рабочее, так и в свободное время;
• разработка и осуществление проактивных и реактивных измерений показателей деятельности и оценивание их результатов;
• принципы и практика выявления потенциально возможных аварийных ситуаций, а также планирования деятельности в таких ситуациях, их предотвращения, реагирования на такие ситуации и ликвидации их последствий;
• методы расследования инцидентов (включая травмирование и нанесение ущерба здоровью, вызванные работой) и их оценивания;
• выявление и использование информации, относящейся к охране здоровья (включая мониторинг данных о связанных с работой воздействиях и заболеваниях), с учетом особой конфиденциальности в отношении конкретных аспектов такой информации;
• системы предельно допустимых воздействий;
• методы мониторинга и фиксации показателей деятельности в области охраны здоровья и обеспечения безопасности труда;
• понимание правовых (законодательных и нормативных) и других требований, относящихся к вопросам охраны здоровья и обеспечения безопасности труда, позволяющее аудитору оценивать систему менеджмента охраны здоровья и обеспечения безопасности труда.

А.8.2 Знания и навыки, специфические для конкретного сектора экономики, в котором будет проводиться аудит

Знаниям и навыкам, связанным с конкретным сектором экономики, в котором будет проводиться аудит, следует быть достаточными для того, чтобы аудитор был способен проводить проверку системы менеджмента в рамках этого сектора, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами областей таких знаний и навыков являются:

• процессы, оборудование, сырьевые материалы, опасные вещества, производственные циклы, деятельность по поддержанию работоспособности оборудования, логистика, организация производственных потоков, практика деятельности, сменное планирование, внутриорганизационная культура, лидерство руководителей, поведение людей и другие вопросы, характерные для соответствующего вида работ или сектора экономики;
• типичные для сектора экономики опасности и риски, включая факторы, влияющие на поведение и здоровье человека.

ПРИМЕЧАНИЕ. Дополнительную информацию можно найти в соответствующих стандартах, разработанных проектной группой OHSAS по менеджменту охраны здоровья и обеспечения безопасности труда.