Сегодня внедрение систем менеджмента (управления) согласно стандартам ГОСТ Р ИСО 9001 «Системы менеджмента качества. Требования», ГОСТ РВ 0015-002 «Система разработки и постановки на производство военной техники. Системы менеджмента качества. Общие требования», ГОСТ Р ЕН ИСО 9100 «Системы менеджмента качества организаций авиационной, космической и оборонной отраслей промышленности», ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» стало распространенной практикой, что вызвано, прежде всего, требованиями со стороны ведомств к предприятиям оборонно-промышленного комплекса. В связи с этим организациям и государственным учреждениям нужны профессиональные внешние и внутренние аудиторы, которые смогут выявлять несоответствия и узкие места в процессах деятельности, обеспечив тем самым основу для успешной сертификации систем менеджмента и получения отраслевых лицензий.

Обязательство проведения внутренних аудитов систем менеджмента зафиксировано в соответствующих пунктах приведенных выше стандартов: п. 9.2 национального стандарта ГОСТ Р ИСО 9001-2015, п. 8.2.2 государственного военного стандарта ГОСТ РВ 0015-002-2012, п. 8.2.2 национального стандарта ГОСТ Р ЕН ИСО 9100-2011, п. 6 национального стандарта ГОСТ Р ИСО/МЭК 27001-2006. Без соблюдения организацией порядка проведения аудитов система менеджмента имеет критическое отклонение от требований, и при выявлении данного факта сертификат системы менеджмента должен быть изъят или его действие приостановлено до устранения нарушений уполномоченным органом по сертификации.

В результате предприятие лишается возможности участвовать в государственном оборонном заказе и получить лицензию Минпромторга на ВВТ  согласно Постановлению Правительства РФ № 581 от 13.06.2012. В соответствии с нормативными документами Минпромторга России для получения лицензии на разработку, производство, испытания, установку, монтаж, техническое обслуживание, ремонт, утилизацию и реализацию вооружения и военной техники, а также для получения лицензии на разработку, производство, испытание, хранение, реализацию и утилизацию боеприпасов и пиротехнических изделий предприятие (соискатель лицензии) представляет в лицензирующий орган ряд документов, среди которых:

* копии документов, подтверждающих соответствие лиц, осуществляющих заявленные работы (услуги);

* сведения о наличии структурных подразделений, обеспечивающих контроль качества продукции, выполнения работ (услуг);

* сведения о наличии системы менеджмента качества и ее соответствии установленным требованиям на основе результатов внутреннего или внешнего аудита либо копию сертификата соответствия системы менеджмента качества (СМК).

В перечне упомянутых стандартов фундаментальную роль играет стандарт ГОСТ Р ИСО 9001, а ГОСТ РВ 0015-002 и ГОСТ Р ЕН ИСО 9100 базируются на требованиях к системе менеджмента качества (СМК) ИСО 9001 с отраслевыми дополнениями. Система управления (менеджмента) информационной безопасности (СУИБ или СМИБ) формируется с учетом ГОСТ Р ИСО/МЭК 27001 , являясь подсистемой СМК, и интегрируется с ней. Поэтому при рассмотрении задач внутреннего аудита будем ориентироваться на содержание п. 9.2 «Внутренний аудит» ГОСТ Р ИСО 9001-2011:

«9.2.1 Организация должна проводить внутренние аудиты через запланированные интервалы времени для получения информации, что система менеджмента качества:

a) соответствует:

1) собственным требованиям организации к ее системе менеджмента качества;

2) требованиям настоящего стандарта;

b) результативно внедрена и функционирует.

9.2.2 Организация должна:

a) планировать, разрабатывать, реализовывать и поддерживать в актуальном состоянии программу(мы) аудитов, включая периодичность и методы проведения аудитов, а также ответственность, планируемые для проверки требования и предоставление отчетности. Программа(мы) аудитов должна(ы) разрабатываться с учетом важности проверяемых процессов, изменений, оказывающих влияние на организацию, и результатов предыдущих аудитов;

b) определять критерии аудита и область проверки для каждого аудита;

c) отбирать аудиторов и проводить аудиты так, чтобы обеспечивалась объективность и беспристрастность процесса аудита;

d) обеспечивать передачу информации о результатах аудитов соответствующим руководителям;

е) осуществлять соответствующую коррекцию и корректирующие действия без необоснованной задержки;

f) регистрировать и сохранять документированную информацию как свидетельство реализации программы аудитов и полученных результатов аудитов.»

Аудиты имеют право проводить компетентные специалисты, которые знают требования стандарта ГОСТ Р ИСО 9001 и владеют навыками проведения аудитов согласно стандарту ГОСТ Р ИСО 19011 «Руководство по аудиту систем менеджмента». Чтобы овладеть навыками проведения внутренних и внешних аудитов необходимо пройти обучение по соответствующим программам подготовки аудиторов . Кроме того, учитывая систематические изменения нормативно-правовой базы, следует на регулярной основе повышать квалификацию профильных сотрудников. Приказом Минтруда России от 24.06.2015 № 398н «Об утверждении профессионального стандарта «Внутренний аудитор» введен профстандарт, определяющий общие функциональные и квалификационные требования:

В функции данного специалиста входит проведение независимых внутренних аудиторских проверок и консультаций по вопросам надежности и эффективности функционирования систем управления рисками, внутреннего контроля, корпоративного управления, операционной деятельности и информационных систем организации с целью достижения стратегических целей организации; обеспечение достоверности информации о финансово-хозяйственной деятельности организации; эффективности и результативности деятельности организации; сохранности активов организации; соответствия требованиям законодательства и внутренних нормативных актов организации.

Требования к образованию по данной профессии: высшее образование — бакалавриат, специалитет или магистратура.

Дополнительное профессиональное образование — программы подготовки, повышения квалификации, программы профессиональной сертификации. Также предъявляются дополнительные требования к опыту работы в зависимости от занимаемой должности.

Стандарт применяется работодателями при формировании кадровой политики, организации обучения и аттестации работников, заключении трудовых договоров, разработке должностных инструкций и установлении систем оплаты труда.

Однако перед тем как проводить аудит СМК нужно сначала ее построить, а для этого необходимо научиться работать с рисками. Данную взаимосвязь мы разбирали в статье «От оборонного заказа к управлению рисками информационной безопасности» . И здесь опять неизбежно возникает кадровый вопрос об организации «рабочих групп» для анализа рисков и выработки соответствующих управленческих решений. Ссылки на примеры документального оформления стандартов организации по анализу рисков, содержащих требования к квалификационному составу вовлеченных в эту процедуру сотрудников, приведены ниже. Отметим, что при формировании таких команд специалистов необходимо обеспечить процессный подход, выражающийся во взаимном учете различных процессов, с целью избегания ошибок в управлении, вызванных несогласованностью. Именно принцип процессного подхода лежит в основе всех стандартов Международной организации по стандартизации (International Organization for Standardization (сокращенно ISO или ИСО)) и их отечественных аналогов, обеспечивая единую платформу для формирования комплексной системы управления предприятием.

Лицензия на деятельность в сфере государственного оборонного заказа

arrows

Сертификация ГОСТ РВ 0015-002-2012 для получения лицензии Минпромторга на ВВТ

arrows

Сертификация по стандарту ГОСТ Р ИСО/МЭК 27001 с учетом требований ГОСТ РВ 0015-002

arrows

Хотите получать дайджест свежих материалов
по сертификации, а так же информацию о новых
курсах и спецпредложениях?

Оставьте Ваш E-mail