Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО 19011-2012 "Руководящие указания по аудиту систем менеджмента" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 19 июля 2012 г. N 196-ст) (документ не действует)
- Приложение А (справочное). Руководящие указания и пояснительные примеры в отношении специальных знаний и навыков аудиторов в области отдельных дисциплин менеджмента
Приложение А (справочное). Руководящие указания и пояснительные примеры в отношении специальных знаний и навыков аудиторов в области отдельных дисциплин менеджмента
Приложение А
(справочное)
Руководящие указания
и пояснительные примеры в отношении специальных знаний и навыков аудиторов в области отдельных дисциплин менеджмента
А.1 Общие положения
В настоящем приложении приведены наиболее характерные примеры специальных знаний и навыков для аудиторов систем менеджмента в области отдельных дисциплин менеджмента, предназначенные для того, чтобы помочь лицу, ответственному за управление программой аудита, отобрать или произвести оценку аудиторов.
Другие примеры специальных знаний и навыков для аудиторов, характерные для дисциплин менеджмента, могут также быть разработаны применительно к системам менеджмента. Предполагается, что там, где это возможно, такие примеры будут приведены в той же общей структуре для обеспечения возможности их сравнения.
А.2 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области менеджмента безопасности при транспортировании
Знания и навыки, относящиеся к менеджменту безопасности при транспортировании и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- терминологию менеджмента безопасности;
- понимание системного подхода, относящегося к обеспечению безопасности;
- оценку рисков и их уменьшение;
- анализ факторов, связанных с деятельностью человека, относящихся к менеджменту безопасности при транспортировании;
- поведение и взаимодействие людей;
- взаимодействие и взаимное влияние факторов, относящихся к людям, машинам, процессам и производственной среде;
- потенциальные опасности и другие факторы на рабочих местах, влияющие на безопасность;
- методы и практики по расследованию происшествий и мониторинг показателей деятельности в области безопасности;
- оценку происшествий и несчастных случаев на производстве;
- разработку показателей деятельности и соответствующих метрик в области профилактических мер и мер по своевременному реагированию.
Примечание - Дополнительную информацию см. в ИСО 39001 (на стадии подготовки) по системам менеджмента безопасности дорожного движения, разработанном ИСО/ПК 241.
А.3 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области экологического менеджмента
Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- терминологию в области охраны окружающей среды;
- экологические метрики и статистические методы;
- методологию измерений и мониторинга;
- взаимодействие экосистем и их биологическое разнообразие;
- экологические среды и их носители (например, воздух, вода, земля, растительный и животный мир);
- технические приемы для определения рисков (например, оценку экологических аспектов/воздействий, включая методы для оценки их значительности);
- оценку жизненного цикла;
- оценивание экологических показателей;
- предотвращение и контроль загрязнения окружающей среды (например, наилучшие из имеющихся технических приемов для контроля загрязнения или в области энергоэффективности);
- снижение потребления сырьевых источников, уменьшение образования и повторное использование отходов (практики и процессы переработки и повторных циклов);
- использование опасных веществ;
- расчет и управление выбросами в атмосферу парниковых газов;
- менеджмент природных ресурсов (например, природное топливо, вода, флора и фауна, земля);
- экологическое проектирование;
- экологическую отчетность и оглашение экологических данных;
- эффективное управление ресурсами при реализации процессов жизненного цикла продукции;
- технологии с применением возобновляемых ресурсов и пониженным образованием углекислого газа.
Примечание - Дополнительную информацию см. в соответствующих стандартах в области экологического менеджмента, разработанных ИСО/ТК 207.
А.4 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области менеджмента качества
Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- терминологию, относящуюся к качеству, менеджменту, организации, процессам и продукции, характеристикам, соответствию, документации, аудиту и процессам, связанным с проведением измерений;
- подходы, ориентированные на потребителя; процессы, связанные с потребителями, мониторинг и измерение удовлетворенности потребителей, обращение с жалобами, правила поведения и разрешение разногласий;
- лидерство, роль высшего руководства, управление устойчивым успехом организации, подход менеджмента качества, реализующий финансовые и экономические преимущества через управление качеством, системы менеджмента качества и модели совершенства в области управления качеством;
- вовлечение персонала, факторы, связанные с деятельностью персонала, компетентность, подготовку и осведомленность персонала;
- процессный подход, технические приемы для анализа процессов, возможностей и управления процессами, методы работы с рисками;
- системный подход к менеджменту (логическое обоснование систем менеджмента качества, основные ориентиры систем менеджмента качества и других систем менеджмента, документация систем менеджмента качества), виды и стоимость, проекты, планы в области качества, управление конфигурацией;
- постоянное улучшение, инновации и обучение;
- подход по принятию решений, основанный на фактах, технические приемы по оценке рисков (идентификация, анализ и оценивание рисков), деятельность по оцениванию менеджмента качества (аудит, анализ и самооценка), техника проведения измерений и мониторинга, требования к процессам проведения измерений и к измерительному оборудованию, анализ корневых причин, статистические методы;
- характеристики процессов и продукции, включая услуги;
- взаимовыгодные отношения с поставщиками, требования к системам менеджмента качества и требования к продукции, специальные требования к менеджменту качества в различных отраслях экономики.
Примечание - Дополнительную информацию см. в соответствующих стандартах в области менеджмента качества, разработанных ИСО/ТК 176.
А.5 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области управления записями
Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- записи, процессы управления записями и терминологию систем менеджмента для записей;
- разработку показателей деятельности и метрик в этой области;
- проведение исследования и оценку практик по ведению записей посредством проведения опросов, наблюдения и валидации;
- анализ выборок записей, созданных в бизнес-процессах, ключевые характеристики записей, систем записей, процессов и средств управления записями;
- оценку рисков (например, оценка рисков при неудачных действиях по созданию адекватных записей, а также по поддержанию и управлению этими записями, относящимися к бизнес-процессам организации);
- продуктивность и адекватность соответствующих процессов для создания, сохранения и управления записями;
- оценку адекватности и результативности систем записей (включая бизнес-системы для создания и управления записями), пригодность используемых технологических средств, технических приспособлений и оборудования;
- различные уровни компетентности в области управления записями на всех уровнях организации и проведение оценки данной компетентности;
- значение содержания, рассматриваемого контекста, структуры, представления и управления информацией (обмена данных) для определения и управления записями и системами записей;
- методы для разработки специальных инструментов для ведения и поддержания записей;
- технологии, используемые для создания, сохранения, преобразования и передачи, а также для обеспечения долгосрочной сохранности электронных/цифровых записей;
- идентификацию и значение документации, связанной с авторизацией, для процессов, связанных с записями.
Примечание - Дополнительную информацию см. в соответствующих стандартах в области управления записями, разработанных ИСО/ТК 46/ПК 11.
А.6 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области менеджмента по обеспечению безопасности, постоянной готовности, устойчивого и непрерывного организационного управления
Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- процессы, научные подходы и практические приемы, лежащие в основе менеджмента обеспечения безопасности, постоянной готовности, устойчивого и непрерывного организационного управления;
- методы разведывательного характера по сбору информации и мониторингу в области безопасности;
- управление рисками, связанными с чрезвычайными и аварийными ситуациями (прогнозирование, предотвращение, защита и уменьшение негативных последствий, принятие мер оперативного реагирования и устранение последствий чрезвычайной ситуации);
- оценку рисков (идентификацию и оценку стоимости имущества, идентификацию, анализ и оценку рисков) и анализ негативного воздействия (на людей, материальные и нематериальные активы, а также на окружающую среду);
- принятие мер по рискам (адаптивного, упреждающего и противодействующего характера);
- методы и практики по обеспечению сохранения целостности информации и по ее защите в случае несанкционированных попыток внести изменения;
- методы для обеспечения безопасности и защиты людей;
- методы и практики для защиты имущества и физической безопасности;
- методы и практики по управлению деятельностью в области профилактики, предупреждения и обеспечения мер безопасности;
- методы и практики по управлению в кризисных ситуациях, по адекватному реагированию и минимизации последствий происшествий;
- методы и практики по управлению действиями в чрезвычайных и аварийных ситуациях, по поддержанию непрерывности организационного управления и по восстановлению нормального режима работы;
- методы и практики по мониторингу, измерению и регистрации показателей деятельности (включая методологии в области исследований и тестирования).
Примечание - Дополнительную информацию см. в соответствующих стандартах в области менеджмента обеспечения безопасности, постоянной готовности, устойчивого и непрерывного организационного управления, разработанных ИСО/ТК 8, ИСО/ТК 223 и ИСО/ТК 247.
А.7 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области менеджмента информационной безопасности
Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- руководящие указания стандартов, таких как ИСО/МЭК 27000, ИСО/МЭК 27001, ИСО/МЭК 27002, ИСО/МЭК 27003, ИСО/МЭК 27004 и ИСО/МЭК 27005;
- идентификацию и оценку требований потребителей и других заинтересованных сторон;
- законы и правила, касающиеся информационной безопасности (например, интеллектуальная собственность; содержание, защита и сохранение организационных записей; защита и конфиденциальность данных, применение средств в области шифрования, антитеррористические меры, электронная коммерция, электронные и цифровые подписи, надзор рабочих мест, эргономика рабочих мест, контроль телекоммуникационной связи и мониторинг данных (например, электронной почты), работа с компьютером, сбор свидетельств в электронном виде, тестирование на проникновение для оценки безопасности компьютерных систем или сетей от атак или попыток проникновения и т.д.);
- процессы, научные подходы и практические приемы, лежащие в основе менеджмента информационной безопасности;
- оценку рисков (идентификация, анализ и проведение оценки) и тенденций в технике, угроз и уязвимых мест;
- управление рисками в области информационной безопасности;
- методы и практики, касающиеся средств управления в области информационной безопасности (электронные и физические);
- методы и практики по обеспечению сохранения целостности информации и по ее защите в случае несанкционированных попыток внести изменения;
- методы и практики для измерения и оценки эффективности системы менеджмента информационной безопасности и связанных с ней мер в области управления;
- методы и практики для измерения, мониторинга и регистрации показателей деятельности (включая тестирование, аудиты и анализы).
Примечание - Дополнительную информацию см. в соответствующих стандартах в области менеджмента информационной безопасности, разработанных объединенным техническим комитетом ИСО/МЭК ОТК 1/ПК 27.
А.8 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области менеджмента профессиональной безопасности и охраны здоровья
А.8.1 Общие знания и навыки
Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- идентификацию опасностей, включая факторы, влияющие на работу персонала на рабочем месте, и другие факторы (такие как физические, химические и биологические факторы, а также пол, возраст, физические ограничения, влияющие на трудоспособность, или другие физиологические, психологические факторы или факторы, относящиеся к охране здоровья);
- оценку рисков, определение мер по управлению, передачу сведений о рисках [определение мер в области управления должно основываться на "иерархии мер по управлению" (см. OHSAS 18001:2007, пункт 4.3.1)];
- оценивание здоровья и факторов, связанных с деятельностью человека (включая физиологические и психологические факторы), и принципы для проведения их оценки;
- метод для мониторинга воздействий на персонал вредных или опасных факторов и для оценки рисков в области профессиональной безопасности и охраны здоровья персонала (включая риски, возникающие вследствие указанных выше факторов, связанных с деятельностью персонала, или имеющие отношение к производственной гигиене), и связанные с этим стратегии по устранению или минимизации таких воздействий;
- особенности поведения людей, взаимодействие между людьми, между людьми и машинами, процессами и производственной средой (включая рабочие места, принципы организации рабочих мест с учетом эргономических факторов и техники безопасности, информационные и коммуникационные технологии);
- оценивание различных типов и уровней компетентности в области профессиональной безопасности и охраны здоровья, требуемых на всех уровнях организации, и проведение оценки данной компетентности;
- методы по стимулированию участия и вовлечению работников в деятельность в данной области менеджмента;
- методы поощрения правильного или образцового поведения персонала и личной ответственности работников (в отношении курения, потребления веществ с наркотическими свойствами, алкоголя, проблем, связанных с избыточным весом, стрессами, агрессивным поведением и т.д.) как в рабочее, так и свободное от работы время;
- разработку, применение и оценивание показателей деятельности и соответствующих метрик в области профилактических мер и мер по своевременному реагированию;
- принципы и практики для идентификации возможных аварийных ситуаций, а также по планированию соответствующих действий, предотвращению, адекватному реагированию и устранению последствий аварийных ситуаций;
- методы для расследования и оценивания происшествий (включая несчастные случаи на производстве и профессиональные заболевания);
- определение и использование информации, относящейся к охране здоровья работников (включая данные мониторинга по воздействию вредных и опасных факторов на производстве и заболеваниям работников), с учетом требований по обеспечению конфиденциальности в отношении отдельных аспектов информации такого характера;
- понимание информации в области медицины (включая медицинскую терминологию, для того чтобы понимать сведения, относящиеся к предотвращению травм и профессиональных заболеваний);
- величины систем предельно допустимого воздействия вредных и опасных факторов на производстве;
- методы проведения мониторинга и регистрации показателей в области профессиональной безопасности и охраны здоровья;
- понимание законодательных и других требований в области профессиональной безопасности и охраны здоровья в достаточной степени, для того чтобы аудитор мог оценивать систему менеджмента в области профессиональной безопасности и охраны здоровья.
А.8.2 Знания и навыки, относящиеся к проверяемой в ходе аудита отрасли
Знания и навыки, относящиеся к проверяемой в ходе аудита отрасли, должны быть достаточными для того, чтобы аудитор мог изучить проверяемую систему менеджмента в контексте тех требований, которые применяются в данной отрасли, и сделать соответствующие выводы и заключения по результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- процессы, оборудование, сырьевые материалы, опасные вещества, производственные циклы, меры по обслуживанию и ремонту, материально-техническому обеспечению, организацию цепочки производственных процессов, практики и методы работы, организацию посменной работы, корпоративной культуры, лидерство, поведение и мотивацию персонала, а также другие вопросы, характерные для данной производственной деятельности или отрасли;
- типовые опасности и риски, включая факторы, связанные с деятельностью персонала или влияющие на его здоровье, характерные для данной отрасли.
Примечание - Дополнительную информацию см. в соответствующих стандартах в области профессиональной безопасности и охраны здоровья, разработанных проектной группой OHSAS.