Аудитирование систем менеджмента, основанных на электронных средствах (Electronic-Based Management System – EBMS)

Аудитирование систем менеджмента, основанных на электронных средствах (Electronic-Based Management System – EBMS)

Версия для печати

Аудитирование систем менеджмента, основанных на электронных средствах (Electronic-Based Management System – EBMS)

1. Введение

Растущая зависимость организаций от электронных средств при обеспечении функционирования их системами менеджмента и управления ими требует, чтобы органы по сертификации/регистрации и их аудиторы были знакомы с новыми подходами для обеспечения того, чтобы аудиты были результативными и эффективными. Им будет нужно по-новому определить способ, каким оцениваются процессы и связанные с ними документы (включая записи), чтобы верифицировать соответствие критериям аудита.

Настоящий документ был разработан, чтобы дать общие руководящие указания по проведению аудитов систем менеджмента, которые либо полностью основаны на электронных средствах, либо имеют высокую степень документирования с помощью электронных средств хранения, обработки и передачи информации. Он также содержит руководящие указания для органов по сертификации/регистрации и аудиторов, которые следует рассматривать как дополнение к обычным видам деятельности по планированию и подготовке, осуществляемым перед аудитом.

Настоящий документ сфокусирован на те требования ИСО 9001, где есть возможность использования электронных документов, записей и т.д. и где доступ к таким документам также может контролироваться с помощью электронных средств.

Настоящий документ предназначен для аудиторов систем менеджмента, которые имеют широкий и разносторонний практический опыт в отношении систем менеджмента, основанных на электронных средствах (EBMS), т.е. систем менеджмента, которые для своей нормальной работы требуют электронной формы документов и данных, а также программных приложений. Однако он написан в стиле, который позволит ему быть использованным также теми, кто имеет лишь ограниченный опыт работы с компьютерами и EBMS.

Независимо от того, кто проводит аудит (орган по сертификации третьей стороны, орган по аккредитации или подразделение внутреннего аудита), именно «аудитирующая организация» является ответственной за обеспечение результативности процесса аудита EBMS. Настоящий документ использует руководящие указания, содержащиеся в ИСО 19011, и предлагает подходы, которые могут быть использованы аудиторами ИСО 9001 и других стандартов на системы менеджмента, чтобы верифицировать соответствие ссылочному стандарту. Аудиторам и аудитирующим организациям следует делать корректировки, необходимые для обеспечения подходящего подхода, если они реализуют шаги процесса аудита, указанные в ИСО 19011.

Необходимо отметить, что имеющийся опыт в проведении аудитов EBMS следует рассматривать не как повод уменьшить продолжительность аудита, а как средство оптимизации результативности и эффективности аудита.

Намерением настоящего документа не является предоставление руководящих указаний по аудитированию элементов управления, связанных с информационной безопасностью EBMS. Те, кого заинтересовали элементы управления, связанные с информационной безопасностью, могут обратиться к ИСО/МЭК 17799, являющемуся всеобъемлющим стандартом по этим вопросам.

2. Инициирование и планирование аудита

Во время фазы инициирования аудита (1-я стадия аудита) аудитирующей организации следует установить структуру организации, подлежащей аудиту, и степень, в какой ее система менеджмента основана на электронных средствах. Для организации с несколькими площадками с централизованной EBMS, а также для «виртуальной» организации потребуются планы и методы аудитирования, отличные от тех, которые применяются для отдельной площадки и/или для «физически существующей» организации.

Аудитирующей организации и аудитируемой организации следует договориться о том, как аудиторы будут оценивать EBMS и использовать ее саму в ходе аудита. Это может включать рассмотрение:

  • предоставления возможности членам команды по аудиту ознакомиться с EBMS аудитируемой организации (предусматривая для этого соответствующее время в плане аудита);
  • политики аудитируемой организации в области использования ее IT-инфраструктуры (инфраструктуры, обеспечивающей применение информационных технологий);
  • инструкций по допуску к базам данных, а также необходимых разрешений на допуск к соответствующим документам и записям организации;
  • мер защиты и процессов по обеспечению защиты аудиторами конфиденциальности электронных документов и записей в ходе аудита и после него.

Аудитирующей организации следует обеспечивать, чтобы в подобранной ею команде по аудиту было достаточно компетентности для проведения результативной оценки EBMS.

3. Анализ документов

В зависимости от того, имеет ли аудитируемая организация возможность сделать свою документацию доступной через Интернет или путем передачи ее по электронной почте, аудитирующая организация может проводить часть анализа или весь анализ документов вне площадки: либо в режиме прямого контакта (в режиме реального времени), либо путем анализа у себя документации, предоставленной по электронной почте.

В зависимости от технических факторов и факторов безопасности проведение полного анализа EBMS в режиме реального времени или посредством передачи соответствующих документов по электронной почте до прибытия на место может оказаться невыполнимым. В таких случаях деятельность по подготовке к аудиту, требующую анализа электронных документов, нужно осуществлять в помещениях аудитируемой организации в ходе 1-й стадии аудита.

4. Деятельность на месте

Подход к аудиту EBMS будет в значительной степени зависеть от того, сколько свидетельств, требуемых для установления соответствия, имеется в форме электронных записей.

В ходе деятельности на месте в маршрут аудитора обычно следует включать посещение физического местонахождения аудитируемого процесса. Однако в случае EBMS во время, необходимое для того, чтобы подтвердить свидетельство аудита и установить, выполнены требования или нет, может быть включено время, необходимое для посещения компьютерной рабочей станции, которая может располагаться как рядом с реальным процессом, так и в отдалении.

Когда компьютерные рабочие станции находятся в отдалении и недоступны при нахождении на месте расположения фактически осуществляемой деятельности по процессу, фактическое время аудитирования «физического местонахождения» процесса может быть уменьшено. Однако необязательно уменьшать общее время оценки, учитывая, что анализ электронных свидетельств может проводиться до и/или после получения подтверждений непосредственно на месте проведения процесса.

В случае, когда соответствующая компьютерная рабочая станция располагается на отдалении, следует предусмотреть специальное время, необходимое для перемещения к ней и обратно к месту непосредственного проведения процесса.

Когда процесс зависит от вмешательства оператора, аудитору следует оценивать методы, используемые для взаимодействия между самим процессом и электронными средствами, чтобы обеспечивать точность соответствующей получаемой им информации.

5. Аудитирование управления электронными документами

Электронные документы, в которых установлена политика и процедуры системы менеджмента, могут быть в различных форматах, в зависимости от программных приложений, используемых организацией для создания документов. Электронные файловые форматы включают Text, HTML, PDF и т.д. Электронные таблицы и базы данных также считаются электронными «документами» аудитируемой системы менеджмента, подлежащими управлению.

Принимая во внимание относительную легкость, с которой пользователи могут теперь создавать электронные таблицы и другие электронные документы, аудиторам следует проанализировать, что политика, регулирующая элементы управления, которые применяются к документации системы менеджмента вообще, посредством соответствующих процедур применяется также и для электронных документов.

Организациям необходимо использовать внутри электронной среды подходящие и результативные методы для обеспечения адекватного анализа, одобрения, публикации и распределения документации ее систем менеджмента. Этим методам следует согласовываться с методами разработки и модификации электронных документов.

Во многих случаях в качестве способов управления документами могут быть использованы стандартные функции программных приложений, используемых для создания документов. Поэтому аудиторам следует понимать конкретные элементы управления программных приложений в той степени, в какой они применяются для управления документами, чтобы использовать эти знания в качестве основы для оценки соответствия применяемому стандарту на систему менеджмента.

Принимая во внимание более широкие возможности модифицировать, обновлять, переформатировать и иным образом улучшать документы внутри EBMS, аудиторам следует уделять особое внимание таким элементам управления документами, как идентификация документов и уровень пересмотра документов.

Так как электронные средства информации способствуют возрастанию темпа модификации документов, аудиторам следует верифицировать, что элементы управления, используемые для менеджмента устаревших документов, учитываются при формировании и реализации политики и процедур управления документами организации.

Аудиторам следует верифицировать, что имеется документация EBMS, предназначенная для ориентировки пользователей относительно связи функциональных аспектов и аспектов управления с электронными документами. Кроме того, следует иметь в виду, что требования, касающиеся «мест использования документов», содержащиеся в применяемых стандартах на системы менеджмента, обычно реализуются с помощью политики доступа к документам организации. Аудиторам следует понимать политику и процедуры организации, касающиеся прав доступа различных пользователей, так как эти права становятся важными факторами для правильного осуществления процессов организации.

Внешняя электронная коммуникация с поставщиками, потребителями и другими заинтересованными сторонами может включать в себя обмен документами. Принимая во внимание, что эти внешние документы могут содержать ключевые параметры, которые определяют функционирование процессов организации, аудиторам следует верифицировать степень, в какой эти документы официально вводятся в общую базу данных и управляются внутри EBMS.

6. Аудитирование управления электронными записями

Электронные записи состоят из выходных данных процессов, объединенных в электронные форматы, которые содержат такие данные. Эти электронные форматы находятся в пределах от простых документов в виде электронных таблиц до более сложных приложений с базами данных.

Аудиторам следует быть осведомленными, что элементы управления, которые организации устанавливают для электронных форм, не обязательно будут такими же, которые применяются к электронным записям. Например, в случае электронных форм термин «идентификация» означает номенклатуру самих электронных форм. Когда же термин «идентификация» рассматривается применительно к электронной записи, он означает ссылку на уникальное использование электронной формы для данного набора данных.

Аудиторам следует анализировать методы, применяемые организацией для сбора данных, чтобы обеспечить уверенность в том, что деятельность по вводу данных гарантирует достаточное доверие к точности их ввода.

При оценивании элементов управления организации в отношении хранения записей аудиторам следует верифицировать, имеется ли в организации понимание того, как емкости памяти их запоминающих устройств соотносятся:

  • с темпами генерации записей,
  • с политикой сохранения записей и связанными с этим временными рамками,
  • с темпами удаления записей,

так как эти факторы могут влиять на правильное функционирование EMBS.

Принимая во внимание, что база знаний и данные о функционировании организации могут почти полностью быть в электронном виде, аудиторам следует анализировать подходы организации к защите информации, содержащейся в электронных средствах. Дополнительные сведения по защите информации смотрите в ИСО/МЭК 17799.

7. Организационные ресурсы

Так как организации развиваются в сторону использования EMBS, роль отдела информационных технологий (IT) становится очень важной. Аудиторам следует верифицировать, выделила ли организация соответствующие IT-ресурсы (включая инфраструктуру) для обеспечения того, чтобы EBMS функционировала постоянно и результативно.

Аудиторам следует также верифицировать, соответствующим ли образом организация определила уровень взаимодействия и поддержки IT-персонала, а также вовлечения его в дела, связанные с созданием, документированием, внедрением EBMS и поддержанием ее в рабочем состоянии.

Как часть верификации выделения соответствующих ресурсов аудиторам следует оценивать то, как организация учитывает требуемую компетентность персонала в области технических и программных средств, чтобы обеспечить надежное функционирование EBMS.

В ходе создания EBMS обычным является одновременное параллельное существование в течение некоторого периода времени двух систем (одна с печатными копиями, другая электронная), чтобы дать возможность пользователям адаптироваться. В этих случаях аудитору следует верифицировать подходы организации к обеспечению того, чтобы EBMS действительно внедрялась и использовалась персоналом организации.

Сложность IT-инфраструктур организаций может варьироваться в зависимости от характера и сложности бизнеса. Аудиторам следует верифицировать политику и процедуры поддержания системы организации в рабочем состоянии применительно к ее IT-платформе. Аудиторам также следует верифицировать, как организация учитывает инциденты со сбоями и простоями системы, поскольку они относятся к тем инцидентам, которые будут влиять на нормальное функционирование EBMS. Аудиторам следует оценивать, имеет ли организация официальные дублирующие системы, а также анализируются и тестируются ли периодически эти системы на предмет адекватности.

В отношении программных средств аудиторам следует верифицировать элементы управления, установленные для внутренних программных средств, внешних программных средств, лицензионных программных средств и обновления программных средств. Поскольку программные средства могут рассматриваться как динамические электронные документы, описанные выше руководящие указания по аудитированию документов могут быть применимыми и для них.

В той степени, в какой организация использует программные средства для своей EBMS, аудиторам следует анализировать функциональность приложений и их отношение к элементам системы менеджмента, определенным в применяемых критериях аудита.

Так как некоторые факторы окружающей среды могут влиять на функционирование IT-платформы, организациям следует принимать меры для защиты от таких факторов. Меры могут находиться в диапазоне от необходимости иметь соответствующие адекватные средства (устройства, оборудования) или помещения до необходимости обеспечения бесперебойного электроснабжения. Аудиторам следует оценивать, учитывают ли элементы управления организации такие аспекты, как поддержание в рабочем состоянии соответствующих средств, температура, влажность и т.п. в той степени, в какой они имеют отношение к обеспечению функционирования EBMS.

8. Внутренняя и внешняя электронная коммуникация

Так как варианты выбора способа электронной коммуникации и легкость ее использования возрастают, организациям следует обеспечивать, чтобы документированная система менеджмента обращалась с этими средствами коммуникации должным образом в целях обеспечения логичности их использования для удовлетворения требований своей EBMS и применяемого стандарта на систему менеджмента.

Когда для удовлетворения требований EBMS используется внутренняя электронная сеть, электронная почта и прямая связь, аудиторам следует верифицировать, что политика и процедуры учитывают обстоятельства, при которых использовались бы эти средства. Кроме того, если результаты внутренней электронной коммуникации предстоит использовать в качестве доказательства соответствия критериям аудита, то аудиторам следует верифицировать, что политика и процедуры управления записями применяются.

Когда организация использует свою IT-инфраструктуру для электронной коммуникации со своими потребителями (например электронный способ согласования коммерческих документов), поставщиками (электронные закупки), внешними сторонами и другими заинтересованными сторонами, аудитору следует верифицировать, что методология, политика и процедуры этой коммуникации и связанных с ней трансакций официально включены в EBMS.

9. Системы менеджмента организации с несколькими площадками

Организации, которые работают на нескольких площадках (или имеют центральную площадку и несколько филиалов), обычно поддерживают коммуникацию и доводят политику, процедуры и данные о процессах своим площадкам или филиалам с помощью электронных средств, таких, как Интернет, внутренняя электронная сеть, электронная почта и прямая связь.

Когда IT-платформа и связанные с ней программные приложения используются для передачи информации, относящейся к критериям аудита, аудиторам следует понимать различные используемые организацией сетевые средства в той степени, какая необходима для установления, соответствует ли EBMS критериям аудита.

Аудиторам следует верифицировать, соответствующим ли образом в политике и процедурах организации учтены и установлены элементы управления в отношении системы менеджмента, охватывающей несколько площадок.

10. Компетентность аудитора

Надежность процесса аудита EBMS будет зависеть от способности аудиторов понимать тенденции в информационных технологиях, так как организации во всё большей степени используют программные средства для мониторинга и контроллинга своих операций.

Аудитирующим организациям следует принимать необходимые меры, включая проведение обучения, чтобы учитывать общие и индивидуальные потребности своих аудиторов относительно:

  • общих тенденций в информационных технологиях, которые могут влиять на работу систем менеджмента;
  • конкретных для аудита соображений по каждому заданию на аудит, которое выдается.

Так как инновации в IT-секторе являются относительно быстрыми по сравнению с изменениями в критериях аудита, аудиторы и аудитирующие организации сталкиваются с необходимостью иметь практическое понимание соответствующих тенденций и того, как их можно применить и использовать внутри EBMS.

В свете инноваций, которые влияют на функционирование EBMS, аудитирующим организациям следует установить, обладает ли команда по аудиту сама по себе опытом, необходимым для того, чтобы провести данный аудит результативно, или же требуется помощь технического эксперта.



Дата публикации:  25 августа 2005 г.

Возврат к списку