Руководящие указания и иллюстрирующие их примеры требований к знаниям и навыкам аудиторов различных систем менеджмента В данном приложении представлены общие примеры требований к знаниям и навыкам аудиторов систем менеджмента в специфических областях, которые следует рассматривать как руководящие указания в целях оказания помощи лицу, ответственному за управление программой аудита, при выборе и оценивании аудиторов. Могут иметь место и другие примеры специфических требований к знаниям и навыкам аудиторов. Предполагается, что, где это возможно, эти требования будут структурированы так же, как и первые требования, в целях обеспечения возможности их взаимного сопоставления. А.2 Примеры специфических знаний и навыков аудиторов, специализирующихся на менеджменте безопасности транспортирования Знаниям, относящимся к менеджменту безопасности транспортирования, и навыкам применения методов, устройств, процессов и практики деятельности в области менеджмента безопасности транспортирования следует обеспечить способность аудитора проводить проверку системы менеджмента, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами соответствующих областей знаний и навыков являются: - терминология в области менеджмента безопасности;
- понимание подходов к построению систем безопасности;
- методы оценки и снижения уровня рисков;
- анализ человеческих аспектов, связанных с менеджментом безопасности транспортирования;
- знание человеческих качеств и их взаимодействия;
- взаимодействие человека, машины, процесса и производственной среды;
- потенциальные опасности и другие факторы на рабочих местах, влияющие на безопасность;
- методы и приемы исследования инцидентов и мониторинга деятельности по обеспечению безопасности;
- оценка производственных инцидентов и аварий;
- разработка проактивных и реактивных методов измерения показателей деятельности и критериев их приемлемости.
ПРИМЕЧАНИЕ. Дополнительную информацию можно найти в стандарте ISO 39001, разрабатываемом Проектным комитетом по системам менеджмента безопасности на дорогах Технического комитета ISO/TC 241. А.З Примеры специфических знаний и навыков аудиторов, специализирующихся на экологическом менеджменте Знаниям, относящимся к данному направлению, и навыкам применения специфических для него методов, устройств, процессов и практики деятельности следует быть достаточными для того, чтобы обеспечить способность аудитора проводить проверку системы менеджмента, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами областей таких знаний и навыков являются: - терминология в области охраны окружающей среды;
- показатели деятельности в области охраны окружающей среды и экологическая статистика;
- устройства для проведения научных измерений и мониторинга;
- взаимодействие экосистем и биологическое разнообразие;
- окружающие среды, например воздух, вода, земля, фауна, флора;
- методы определения риска, например оценка экологических аспектов и их влияния, включая методы выявления наиболее значительных из них;
- оценка жизненного цикла;
- оценивание показателей деятельности в области охраны окружающей среды;
- предотвращение загрязнений и управление ими, например применение наилучшего из доступных методов для управления загрязнениями или эффективностью использования энергии;
- снижение количества и мощности источников отходов, минимизация их образования, а также методы и процессы их повторного использования, переработки отходов и обращения с ними;
- использование опасных веществ;
- учет парниковых газов и управление их выбросами;
- управление природными ресурсами, например ископаемым топливом, водой, флорой и фауной, землей;
- «экологическое» проектирование;
- отчетность по вопросам охраны окружающей среды и ее открытость;
- управление продукцией;
- методы восстановления и малоуглеродные технологии.
ПРИМЕЧАНИЕ. Дополнительную информацию можно найти в стандартах, разработанных Техническим комитетом ISO/TC 207 по экологическому менеджменту. А.4 Примеры специфических знаний и навыков аудиторов, специализирующихся на менеджменте качества Знаниям, относящимся к данному направлению, и навыкам применения специфических для него методов, устройств, процессов и практики деятельности следует быть достаточными для того, чтобы обеспечить способность аудитора проводить проверку системы менеджмента, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами областей таких знаний и навыков являются: - терминология, относящаяся к менеджменту качества, управлению, организациям, процессам и продукции, характеристикам, соответствию, документации, процессам аудита и менеджмента;
- ориентация на потребителя, процессы, ориентированные на потребителя, мониторинг и измерение степени удовлетворенности потребителя, обращение с жалобами, своды практик, устранение разногласий;
- лидерство - как основная роль высшего руководства, менеджмент в целях постоянного успеха организации - как подход к менеджменту качества, позволяющий получать финансово-экономические выгоды за счет внедрения менеджмента качества, систем менеджмента качества и моделей превосходного бизнеса;
- вовлечение людей, человеческие факторы, компетентность, подготовка сотрудников и осознание;
- процессный подход, методы проведения анализа процессов, оценки их способности и управления ими, методы обращения с рисками;
- системный подход к менеджменту (рациональность систем менеджмента качества, системы менеджмента качества и целенаправленность других систем менеджмента, документация системы менеджмента качества), виды менеджмента и их значимость, проекты, планы качества, менеджмент конфигурации;
- постоянное улучшение, инновации и извлечение уроков;
- подход к выработке решений на основе фактов, методы оценки рисков (выявление, анализ и оценивание рисков), оценивание менеджмента качества (аудит, анализ и самооценка), методы измерений и мониторинга, требования к процессам измерения и измерительному оборудованию, анализ коренных причин, статистические методы;
- характеристики процессов и продукции, включая услуги;
- взаимовыгодные отношения с поставщиками, требования к системе менеджмента качества и требования к продукции, конкретные требования к менеджменту качества в различных секторах экономики.
ПРИМЕЧАНИЕ. Дополнительную информацию можно найти в стандартах, разработанных Техническим комитетом ISO/TC 176 по менеджменту качества. А.5 Примеры специфических знаний и навыков аудиторов, специализирующихся на менеджменте записей (архивов) Знаниям, относящимся к данному направлению, и навыкам применения специфических для него методов, устройств, процессов и практики деятельности следует быть достаточными для того, чтобы обеспечить способность аудитора проводить проверку системы менеджмента, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами областей таких знаний и навыков являются: - терминология в области записей, процессов менеджмента записей и систем менеджмента записей;
- разработка показателей и критериев деятельности;
- исследование и оценивание практики ведения записей с помощью интервью, наблюдения и валидации;
- выборочный анализ записей, создаваемых в ходе бизнес-процессов. Ключевые характеристики записей, систем ведения записей, процессов ведения записей и методов управления записями;
- оценка рисков (например оценка рисков, связанных с ошибками и нарушениями при создании форм записей, их ведении и хранении, а также при управлении соответствующими записями о бизнес-процессах организации);
- осуществление и адекватность процесса создания форм записей, их ведения и хранения, а также управления записями;
- оценка адекватности и функционирования систем ведения записей (включая бизнес-системы для создания форм записей и управления записями), пригодность применяемых технологических средств, а также сооружений и оборудования;
- установление различных уровней компетентности для осуществления менеджмента записей внутри организации^) и проведение оценки соответствия компетентности этим уровням;
- понимание значимости содержания, обстоятельств получения, структуры, представительности информации (метаданных), требуемой для установления записей и систем записей и управления ими, и управления этой информацией;
- методы развития техники ведения специфических записей;
- методы, используемые для создания форм записей в электронном виде или на цифровых носителях, а также для ведения, обработки и распространения таких записей и обеспечения их длительной сохранности;
- выявление и значимость именной документации для процесса ведения записей. ПРИМЕЧАНИЕ. Дополнительную информацию можно найти в стандартах, разработанных подкомитетом №11 Технического комитета ISO/TC 46 по менеджменту записей.
А.6 Примеры специфических знаний и навыков аудиторов, специализирующихся на менеджменте устойчивости и безопасности бизнеса, подготовленности к чрезвычайным ситуациям и обеспечения непрерывности бизнеса Знаниям, относящимся к данному направлению, и навыкам применения специфических для него методов, устройств, процессов и практики деятельности следует быть достаточными для того, чтобы обеспечить способность аудитора проводить проверку системы менеджмента, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами областей таких знаний и навыков являются: - процессы, научные и технологические основы менеджмента устойчивости и безопасности, подготовленности к чрезвычайным ситуациям, реагирования на изменения, обеспечения непрерывности деятельности и ее восстановления;
- методы сбора и мониторинга закрытой информации;
- менеджмент рисков неблагоприятных событий (предвидение таких событий, исключение их проявления, предотвращение их возникновения, смягчение их последствий, реагирование на проявление и возвращение в исходное состояние после их завершения);
- оценка рисков (выявление и оценка имущества, а также выявление, анализ и оценивание рисков) и анализ влияния (по отношению к человеку, физическому имуществу и нематериальным активам, а также к окружающей среде);
- управление рисками (меры приспособления к риску, проактивные и реактивные меры);
- методы и приемы обеспечения целостности информации и ее недоступности (закрытости);
- методы обеспечения личной безопасности и защиты персонала;
- методы и приемы защиты имущества и физической защиты;
- методы и приемы предотвращения и сдерживания инцидентов, а также менеджмента безопасности;
- методы и приемы смягчения последствий инцидентов, реагирования на них и управления в кризисных ситуациях;
- методы и приемы управления непрерывностью деятельности, действиями в аварийных ситуациях и восстановительными работами;
- методы и приемы мониторинга и измерения деятельности, а также отчетности о ней (включая методы проведения тренировок и тестирования).
ПРИМЕЧАНИЕ. Дополнительную информацию можно найти в соответствующих стандартах, разработанных Техническими комитетами ISO/TC 8, ISO/TC 223 и ISO/TC 247 по менеджменту устойчивости, безопасности, подготовленности и обеспечению непрерывности. А.7 Примеры специфических знаний и навыков аудиторов, специализирующихся на менеджменте информационной безопасности Знаниям, относящимся к данному направлению, и навыкам применения специфических для него методов, устройств, процессов и практики деятельности следует быть достаточными для того, чтобы обеспечить способность аудитора проводить проверку системы менеджмента, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами областей таких знаний и навыков являются: - руководящие указания, содержащиеся в стандартах ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 и ISO/IEC 27005;
- выявление и оценивание требований потребителей и заинтересованных сторон;
- законы и нормативные акты, относящиеся к информационной безопасности, например: защита интеллектуальной собственности; содержание, защита и распространение записей о деятельности организации; защита данных и личной информации; требования к управлению криптографической информацией; противодействие террору; электронные торги; электронные и цифровые подписи; надзор за рабочими местами; эргономика рабочих мест; перехват и мониторинг данных, распространяемых по системам телекоммуникаций (например по e-mail); заражение компьютеров; сбор доказательств в электронном виде; тестирование наличия вирусов и т.д.;
- процессы, научные достижения и технологии в области менеджмента информационной безопасности;
- оценка рисков (выявление, анализ и оценивание), а также тенденции в технологиях, угрозы и слабые места в системе защиты;
- менеджмент рисков в области информационной безопасности;
- методы и практика управления информационной безопасностью (электронные и физические);
- методы и практика обеспечения целостности информации и ее недоступности (закрытости);
- методы и практика измерений и оценивания результативности системы менеджмента информационной безопасности и связанных с ней методов и способов управления;
- методы и практика измерений и мониторинга осуществляемой деятельности и ведения соответствующих записей (включая результаты тестирования, аудитов и анализов).
ПРИМЕЧАНИЕ. Дополнительную информацию можно найти в соответствующих стандартах, разработанных подкомитетом № 27 по менеджменту информационной безопасности совместного Технического комитета ISO/IEC JTC 1. А.8 Примеры специфических знаний и навыков аудиторов, специализирующихся на менеджменте охраны здоровья и обеспечения безопасности труда А.8.1 Общие знания и навыки Знаниям, относящимся к данному направлению, и навыкам применения специфических для него методов, устройств, процессов и практики деятельности следует быть достаточными для того, чтобы обеспечить способность аудитора проводить проверку системы менеджмента, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами областей таких знаний и навыков являются: - выявление опасностей, включая те опасности и другие факторы, которые влияют на деятельность человека на его рабочем месте (такие, как физические, химические и биологические, равно как и половые, возрастные, умственные или другие психофизические, психологические факторы или состояние здоровья);
- оценка рисков, определение мер управления рисками и передача рисков [определение мер управления рисками следует основывать на «иерархии мер управления» (см. раздел 4.3.1 OHSAS 18001:2007)];
- оценивание показателей состояния здоровья и умственного состояния (включая физиологические и психологические показатели), а также принципы их оценки;
- методы мониторинга и оценки рисков в области охраны здоровья и обеспечения безопасности труда (включая те риски, которые связаны с человеческими факторами, указанными выше, или с санитарно-гигиенической обстановкой на рабочих местах) и стратегии исключения этих рисков или минимизации их проявления;
- поведение людей, непосредственное взаимодействие людей между собой и взаимодействие людей с механизмами, процессами и производственной средой (включая рабочее место, принципы проектирования, учитывающие вопросы эргономики и безопасности, а также информационные технологии и методы коммуникации);
- установление различных требований к содержанию и уровню компетентности персонала в вопросах охраны здоровья и обеспечения безопасности труда внутри организации и проведение оценки этой компетентности;
- методы стимулирования участия персонала в этой деятельности и их вовлечение;
- методы стимулирования сотрудников к обеспечению хорошего самочувствия и воспитанию самодисциплины (в отношении курения, наркотиков, алкоголя, избыточного веса, физических упражнений, стрессов, агрессивного поведения и т.д.) - как в рабочее, так и в свободное время;
- разработка и осуществление проактивных и реактивных измерений показателей деятельности и оценивание их результатов;
- принципы и практика выявления потенциально возможных аварийных ситуаций, а также планирования деятельности в таких ситуациях, их предотвращения, реагирования на такие ситуации и ликвидации их последствий;
- методы расследования инцидентов (включая травмирование и нанесение ущерба здоровью, вызванные работой) и их оценивания;
- выявление и использование информации, относящейся к охране здоровья (включая мониторинг данных о связанных с работой воздействиях и заболеваниях), с учетом особой конфиденциальности в отношении конкретных аспектов такой информации;
- системы предельно допустимых воздействий;
- методы мониторинга и фиксации показателей деятельности в области охраны здоровья и обеспечения безопасности труда;
- понимание правовых (законодательных и нормативных) и других требований, относящихся к вопросам охраны здоровья и обеспечения безопасности труда, позволяющее аудитору оценивать систему менеджмента охраны здоровья и обеспечения безопасности труда.
А.8.2 Знания и навыки, специфические для конкретного сектора экономики, в котором будет проводиться аудит Знаниям и навыкам, связанным с конкретным сектором экономики, в котором будет проводиться аудит, следует быть достаточными для того, чтобы аудитор был способен проводить проверку системы менеджмента в рамках этого сектора, а также получать соответствующие результаты аудита и вырабатывать заключения по аудиту. Примерами областей таких знаний и навыков являются: - процессы, оборудование, сырьевые материалы, опасные вещества, производственные циклы, деятельность по поддержанию работоспособности оборудования, логистика, организация производственных потоков, практика деятельности, сменное планирование, внутриорганизационная культура, лидерство руководителей, поведение людей и другие вопросы, характерные для соответствующего вида работ или сектора экономики;
- типичные для сектора экономики опасности и риски, включая факторы, влияющие на поведение и здоровье человека.
ПРИМЕЧАНИЕ. Дополнительную информацию можно найти в соответствующих стандартах, разработанных проектной группой OHSAS по менеджменту охраны здоровья и обеспечения безопасности труда. |