Сегодня стало распространённой практикой внедрение систем менеджмента (управления) согласно:
— ГОСТ Р ИСО 9001 «Системы менеджмента качества. Требования»;
— ГОСТ РВ 0015-002 «Система разработки и постановки на производство военной техники. Системы менеджмента качества. Общие требования»;
— ГОСТ Р ЕН ИСО 9100 «Системы менеджмента качества организаций авиационной, космической и оборонной отраслей промышленности»;
— ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»

Это вызвано требованиями к предприятиям оборонно-промышленного комплекса со стороны ведомств. Организациям, государственным учреждениям нужны профессиональные внешние и внутренние аудиторы, которые смогут выявить несоответствия, проблемные места в процессах деятельности, обеспечат основу для успешной сертификации СМК, получения отраслевых лицензий.

Внутренние проверки СМК в целях ГОЗ

Обязательство проведения внутренних проверок зафиксировано в соответствующих пунктах приведенных выше нормативов:
— п. 9.2 национального ГОСТ Р ИСО 9001-2015;
— п. 8.2.2 государственного военного стандарта РВ 0015-002-2012;
— п. 8.2.2 национального стандарта Р ЕН ИСО 9100-2011, п. 6 ГОСТ Р ИСО/МЭК 27001-2006.

Без соблюдения предприятием порядка проведения аудитов, система менеджмента система менеджмента имеет критическое отклонение от требований. При выявлении этого факта сертификат должен быть изъят или его действие приостановлено до устранения нарушений уполномоченным органом по сертификации.

В результате предприятие лишается возможности участвовать в государственном оборонном заказе, получить лицензию Минпромторга на ВВТ  согласно Постановлению Правительства РФ № 581 от 13.06.2012.

В соответствии с нормативными документами Минпромторга России, для получения лицензии на разработку, производство, испытания, установку, монтаж, ремонт, техническое обслуживание, утилизацию, реализацию вооружения и военной техники, а также на разработку, производство, испытание, хранение, реализацию, утилизацию боеприпасов и пиротехнических изделий предприятие (соискатель лицензии) представляет в лицензирующий орган ряд документов, среди которых:

  • копии документов, подтверждающих квалификацию лиц, выполняющих заявленные работы (услуги);
  • сведения о наличии структурных подразделений, обеспечивающих контроль качества продукции, выполнения работ (услуг);
  • сведения о наличии СМК, её соответствия установленным требованиям на основе результатов внутреннего или внешнего аудита либо копию сертификата соответствия СМК.

Базовые и специальные требования к внутреннему аудиту

В перечне упомянутых нормативных актов важную роль играет ГОСТ Р ИСО 9001, а ГОСТ РВ 0015-002 и Р ЕН ИСО 9100 базируются на требованиях к СМК ИСО 9001 с отраслевыми дополнениями. Система управления (менеджмента) информационной безопасности (СУИБ или СМИБ) формируется с учетом ГОСТ Р ИСО/МЭК 27001 , является подсистемой СМК и интегрируется с ней. Поэтому при рассмотрении задач внутреннего аудита будем ориентироваться на содержание п. 9.2 «Внутренний аудит» ГОСТ Р ИСО 9001-2011:

«9.2.1 Организация должна проводить внутренние аудиты через запланированные интервалы времени для получения информации, что система менеджмента качества:

a) соответствует:
1) собственным требованиям организации к ее системе менеджмента качества;
2) требованиям настоящего стандарта;

b) результативно внедрена и функционирует.

9.2.2 Организация должна:

a) планировать, разрабатывать, реализовывать и поддерживать в актуальном состоянии программу(мы) аудитов, включая периодичность и методы проведения аудитов, а также ответственность, планируемые для проверки требования и предоставление отчетности. Программа(мы) аудитов должна(ы) разрабатываться с учетом важности проверяемых процессов, изменений, оказывающих влияние на организацию, и результатов предыдущих аудитов;

b) определять критерии аудита и область проверки для каждого аудита;

c) отбирать аудиторов и проводить аудиты так, чтобы обеспечивалась объективность и беспристрастность процесса аудита;

d) обеспечивать передачу информации о результатах аудитов соответствующим руководителям;

е) осуществлять соответствующую коррекцию и корректирующие действия без необоснованной задержки;

f) регистрировать и сохранять документированную информацию как свидетельство реализации программы аудитов и полученных результатов аудитов.»

Требования к проверяющим

Общие требования

Проводить внутренний аудит СМК имеют право компетентные специалисты, которые знают нормы стандарта Р ИСО 9001 и владеют навыками проведения проверок согласно ГОСТ Р ИСО 19011 «Руководство по аудиту систем менеджмента».

Чтобы овладеть навыками проведения внутренних и внешних аудитов необходимо пройти обучение по соответствующим программам подготовки аудиторов. Учитывая систематические изменения нормативно-правовой базы, необходимо повышать квалификацию профильных сотрудников на регулярной основе. Приказом Минтруда России от 24.06.2015 № 398н «Об утверждении профессионального стандарта «Внутренний аудитор» введен профстандарт, определяющий общие функциональные и квалификационные требования:

В функции данного специалиста входит:

  • проведение независимых внутренних аудиторских проверок, консультаций по вопросам надежности, эффективности функционирования систем управления рисками, внутреннего контроля, корпоративного управления, операционной деятельности, информационных систем предприятия с целью достижения стратегических целей;
  • обеспечение достоверности информации о финансово-хозяйственной деятельности предприятия, ее эффективности, результативности, сохранности активов, соответствия нормам законодательства, внутренним нормативным актам.

Требования к образованию по данной профессии: высшее образование — бакалавриат, специалитет или магистратура.

Дополнительное профессиональное образование — программы подготовки, повышения квалификации, профессиональной сертификации. Также предъявляются дополнительные требования к опыту работы в зависимости от занимаемой должности.

Стандарт применяется работодателями при формировании кадровой политики, организации обучения и аттестации работников, заключении трудовых договоров, разработке должностных инструкций, определении размера оплаты.

Специальные требования

Перед тем, как проводить аудит СМК, ее нужно построить. Для этого необходимо научиться работать с рисками. Данная взаимосвязь разбиралась в статье «От оборонного заказа к управлению рисками информационной безопасности». Здесь неизбежно возникает кадровый вопрос организации «рабочих групп» для анализа рисков, выработки соответствующих управленческих решений. Ссылки на примеры документального оформления стандартов предприятия по анализу рисков, содержащих требования к квалификационному составу вовлеченных в эту процедуру сотрудников, приведены ниже.

Отметим, что при формировании таких команд специалистов, необходимо обеспечить процессный подход, который выражается во взаимном учете различных процессов, для избегания ошибок в управлении, вызванных несогласованностью. Принцип процессного подхода лежит в основе всех стандартов Международной организации по стандартизации (International Organization for Standardization (сокращенно ISO)) и их отечественных аналогов. Он обеспечивает единую платформу для формирования комплексного подхода в управлении предприятием.

Если у вас остались или возникли вопросы по данной теме — напишите нам их в форме ниже или свяжитесь любым другим удобным способом.

С уважением,
команда ИСУ.

Лицензия на деятельность в сфере государственного оборонного заказа

arrows

Подробнее

Сертификация ГОСТ РВ 0015-002-2012 для получения лицензии Минпромторга на ВВТ

arrows

Подробнее

Сертификация по стандарту ГОСТ Р ИСО/МЭК 27001 с учетом требований ГОСТ РВ 0015-002

arrows

Подробнее