1 РАЗРАБОТАН Департаментом безопасности движения ОАО "РЖД"

2 ВНЕСЕН Департаментом безопасности движения ОАО "РЖД"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Распоряжением ОАО "РЖД" от 27.12.2021 г. N 2998/р

4 ВЗАМЕН СТО "РЖД" 05.514.1-2014

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов на текущий момент времени на территории государства в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", составленному по состоянию на 1 января текущего года, и по соответствующим информационным указателям, опубликованным в текущем году, а также по единой информационной базе ОАО "РЖД". Если ссылочный документ заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться замененным (измененным) стандартом. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

Настоящий стандарт устанавливает порядок выполнения деятельности по подготовке и проведению аудитов в системе менеджмента безопасности движения ОАО "РЖД", документированного оформления результатов, оценки результативности и контроля выполнения корректирующих действий по результатам аудита.

Настоящий стандарт предназначен для применения подразделениями аппарата управления ОАО "РЖД", филиалами и иными структурными подразделениями ОАО "РЖД".

Применение настоящего стандарта хозяйственными обществами с долей участия ОАО "РЖД" устанавливается соглашениями о взаимодействии в вопросах обеспечения безопасности движения между ОАО "РЖД" и хозяйственными обществами с долей участия ОАО "РЖД".

Применение настоящего стандарта сторонними организациями оговаривается в договорах (соглашениях) с ОАО "РЖД".

При применении настоящего стандарта необходимо пользоваться международными и нормативными документами национальной системы стандартизации, которые регламентируют аудиты систем менеджмента.

В настоящем стандарте использованы ссылки на следующие нормативные документы:

ГОСТ Р ИСО 9000-2015 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО 19011-2021 Оценка соответствия. Руководящие указания по аудиту систем менеджмента

ГОСТ Р 59424-2021 Руководящие указания по дистанционному проведению анализа состояния производства и аудита систем менеджмента

Руководство по системе менеджмента безопасности движения в холдинге "РЖД", утвержденное распоряжением ОАО "РЖД" от 30 сентября 2016 г. N 2045р.

3.1 В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1.1 аудит: Систематический, независимый и документированный процесс установления объективного свидетельства и его объективного оценивания для получения степени соответствия критериям аудита.

[ГОСТ Р ИСО 19011-2021, статья 3.1]

3.1.2 аудит системы менеджмента безопасности движения в холдинге "РЖД" (аудит СМБД): Систематический, независимый и документированный процесс получения свидетельств функционирования СМБД и их оценки для установления степени соответствия требованиям к СМБД.

3.1.3 дистанционный аудит: Систематический, независимый и документированный процесс получения свидетельств аудита для их объективной оценки и определения степени выполнения согласованных критериев аудита без посещения объекта аудита (проверяемой организации, ее площадки) с использованием информационно-коммуникационных технологий для обеспечения проведения аудита.

[ГОСТ Р 59424-2021, статья 3.2]

3.1.4 внутренний аудит: Аудит проводимый проверяемой организацией или силами владельца процесса.

3.1.5 внешний аудит: Аудит проводимый стороной, заинтересованной в деятельности проверяемой организации (потребители, регулирующие и надзорные органы, аудит РЦКУ в рамках корпоративной сертификации и т.д.).

3.1.6 аудитор: Лицо, которое проводит аудит.

[ГОСТ Р ИСО 19011-2021, статья 3.15]

3.1.7 аудиторская группа: Один или несколько аудиторов, проводящих аудит, при необходимости поддерживаемых техническими экспертами.

[ГОСТ Р ИСО 19011-2021, статья 3.14]

3.1.8 технический эксперт: Лицо, которое предоставляет специальные знания и опыт аудиторской группе.

[ГОСТ Р ИСО 19011-2021, статья 3.16]

3.1.9 технический посредник: Технический эксперт, действующий, по согласованию с соответствующими заинтересованными сторонами, на месте аудита (на площадке проверяемой организации) под дистанционным (с использованием информационно-коммуникационных технологий) управлением аудитора или руководителя группы аудиторов.

[ГОСТ Р 59424-2021, статья 3.2]

3.1.10 наблюдатель: Лицо, сопровождающее аудиторскую группу, но не участвующее в аудите.

[ГОСТ Р ИСО 19011-2021, статья 3.17]

3.1.11 заказчик аудита: Организация или лицо, заказавшие аудит.

[ГОСТ Р ИСО 19011-2021, статья 3.12]

3.1.12 критерии аудита: Совокупность требований, используемых как основа для сравнения с ними объективного свидетельства.

[ГОСТ Р ИСО 19011-2021, статья 3.7]

3.1.13 корректирующее действие: Действие, предпринятое для устранения причины несоответствия предупреждения его повторного возникновения.

[ГОСТ ISO 9000-2015, статья 3.12.2]

3.1.14 соответствие: Выполнение требования.

[ГОСТ Р ИСО 19011-2021, статья 3.20]

3.1.15 несоответствие: Невыполнение требования.

[ГОСТ Р ИСО 19011-2021, статья 3.21]

3.1.16 план аудита: Описание действий и мероприятий по проведению аудита.

[ГОСТ Р ИСО 19011-2021, статья 3.6]

3.1.17 программа аудита: Мероприятия по проведению одного или нескольких аудитов, запланированные на конкретный период времени и направленные на достижение конкретной цели.

[ГОСТ Р ИСО 19011-2021, статья 3.4]

3.1.18 свидетельство аудита: Записи, изложение фактов или другая информация, связанные с критериями аудита и перепроверены.

[ГОСТ Р ИСО 19011-2021, статья 3.9]

3.1.19 обнаружения аудита: Результаты оценивания собранных свидетельств аудита по отношению к критериям аудита.

[ГОСТ Р ИСО 19011-2021, статья 3.10]

3.1.20 заключение по результатам аудита: Вывод аудита после рассмотрения целей аудита и всех обнаружений аудита.

[ГОСТ Р ИСО 19011-2021, статья 3.11]

3.1.21 информационно-коммуникационные технологии: Совокупность технических средств (серверы, рабочие станции, ноутбуки, планшеты, мобильные телефоны, стационарные, мобильные и носимые видеокамеры и микрофоны, инфраструктура передачи цифровых данных, роботы, дроны и т.д.) и программных средств (операционные системы, программное обеспечение разного уровня для управления аппаратными средствами, облачные технологии, электронная почта, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации).

[ГОСТ Р 59424-2021, статья 3.3]

3.1.22 проверяемая организация: Организация, в целом или частями подвергающаяся аудиту.

[ГОСТ Р ИСО 19011-2021, статья 3.13]

3.1.23 компетентность: Способность применять знания и умения для достижения намеченных результатов.

[ГОСТ Р ИСО 19011-2021, статья 3.22]

3.1.24 требование: Потребность или ожидание, которое установлено, обычно предполагается или является обязательным.

[ГОСТ Р ИСО 19011-2021, статья 3.23]

3.1.25 риск: Влияние неопределенности.

[ГОСТ Р ИСО 19011-2021, статья 3.19]

3.2 В настоящем стандарте применены следующие сокращения:

ОАО "РЖД" - открытое акционерное общество "Российские железные дороги";

СМБД - система менеджмента безопасности движения;

КД - корректирующие действия;

РЦКУ - железная дорога, выполняющая функции регионального центра корпоративного управления;

ЕАСД - единая автоматизированная система документооборота ОАО "РЖД";

ЦЧС - Ситуационный центр мониторинга и управления чрезвычайными ситуациями ОАО "РЖД".

4.1 Приоритетными направлениями при проведении аудита СМБД являются:

а) анализ и оценка системы обеспечения безопасности движения в проверяемом подразделении;

б) выявление отступлений и несоответствий в документированных процессах проверяемого подразделения;

в) анализ и оценка уровня документирования, внедрения, поддержания функционирования и улучшения СМБД и ее элементов, в том числе проведения аудитов в подразделениях и профилактических мероприятий по контролю;

г) оценка качества разработанных программ мероприятий для достижения целевых показателей по обеспечению безопасности движения;

д) анализ и оценка эффективности действующей системы управления рисками (в том числе оценка результативности КД, принимаемых руководителем проверяемого подразделения);

е) проверка соответствия процессов управления и основных процессов (в том числе учет, регистрация и документирование информации в области безопасности движения), на которые распространяются требования функциональной безопасности движения поездов;

ж) оценка уровня компетентности персонала в области безопасности движения и СМБД, обеспечение способности выполнения соответствующих задач, оценка действий персонала в нестандартных ситуациях, в том числе при ликвидации последствий транспортных происшествий и событий;

з) предоставление аудиторских рекомендаций по повышению эффективности и результативности внутренних процессов;

и) полнота и качество устранения несоответствий установленных в ходе предыдущих мероприятий внутреннего контроля;

к) проверка выполнения процессов, связанных с обеспечением безопасности движения поездов непосредственными исполнителями.

4.2 Основные функции аудита СМБД:

а) осуществление документированных проверок СМБД, предоставление обоснованных предложений по устранению выявленных несоответствий в СМБД и рекомендаций по повышению эффективности управления;

б) осуществление экспертных оценок функционирования и организации процессов в области безопасности движения;

в) предоставление обоснованных предложений по совершенствованию работы подразделений в области безопасности движения.

4.3 При аудите системы менеджмента безопасности движения проверяют:

а) соответствие выполняемых процессов, связанных с обеспечением безопасности движения требованиям нормативных документов РФ, МПС России, Минтранса России, ОАО "РЖД" и иных нормативных правовых актов, регламентирующих работу проверяемых подразделений по обеспечению безопасности движения поездов;

б) соответствие уровня документирования, внедрения, поддержания функционирования и улучшения СМБД и ее элементов;

в) уровень компетентности персонала в области СМБД и по обеспечению безопасности движения поездов.

4.4 По цели осуществляемых проверок аудит СМБД подразделяют на следующие виды:

а) аудит управляемых видов деятельности СМБД (обследование и всесторонний анализ определенных видов деятельности с целью выявления возможностей их улучшения);

б) аудит процессов, связанных с обеспечением безопасности движения поездов.

4.5 Аудиты СМБД подразделяются на плановые или внеплановые.

4.5.1 Плановые аудиты СМБД проводятся в соответствии с утвержденным графиком (приложение А).

4.5.2 Внеплановые аудиты СМБД могут назначаться в следующих случаях:

- при невыполнении целевых показателей по безопасности движения поездов;

- при росте опасных отказов технических средств и нарушений норм содержания;

- при проведении корпоративной сертификации проверяемого подразделения;

- на основании результатов проведенного расследования допущенных нарушений безопасности движения;

- по заявкам руководителей подразделений ОАО "РЖД" и организаций холдинга "РЖД";

- по необходимости, с целью совершенствования документов СМБД, вызванной "внутренними" причинами (изменение целей в области обеспечения безопасности и качества, структуры управления и т.п.) или "внешними" причинами (изменение требований потребителей и рынка, требования органов государственного надзора и т.п.).

Решение о необходимости проведения внепланового аудита СМБД или изменения срока проведения планового аудита СМБД принимается руководителем ОАО "РЖД", филиала ОАО "РЖД", руководителем структурного подразделения функционального филиала ОАО "РЖД", утверждавшим график проведения плановых аудитов соответствующего уровня.

4.6 Дистанционный аудит СМБД (аудит в дистанционном режиме).

При наступлении на территории субъекта(ов) РФ действий, обусловленных обстоятельствами непреодолимой силы, то есть чрезвычайных и непредотвратимых обстоятельств, в том числе эпидемий (пандемий), блокад, эмбарго, пожаров, землетрясений, наводнений и других природных стихийных бедствий, изданием актов органов государственной власти плановые или внеплановые аудиты СМБД могут быть проведены в дистанционном режиме.

Дистанционный аудит СМБД проводят для определения степени выполнения требований безопасности движения, установленных в документации по созданию, поддержанию и улучшению СМБД и ее элементов, технологической документации, инструкциях, руководствах, при выполнении всех видов процессов.

Использование дистанционного формата, средств аудио- и видеоконференцсвязи рекомендуется при проведении вводных и итоговых совещаний по результатам аудитов всех уровней, а также подготовительных мероприятий к аудиту, связанных с запросом и изучением необходимой информации, мониторингом работы подразделений на основе данных отраслевых автоматизированных систем, результатов работы диагностических комплексов, средств мобильной диагностики и путеизмерения, результатов факторного анализа, а также результатов профилактических мероприятий внутреннего контроля обеспечения безопасности движения, проводимых аппаратами главных ревизоров по безопасности движения поездов железных дорог.

Дистанционный аудит СМБД проводится со следующими принципами:

Риск-ориентированный подход при проведении дистанционных аудитов СМБД: понимание всеми сторонами, участвующими в процессе аудита, рисков и ограничений, возникающих при проведении дистанционных аудитов СМБД и использовании информационных технологий;

обеспечение компетентности при проведении дистанционных аудитов: определение и обеспечение необходимых знаний и навыков (в области планирования, обеспечения коммуникаций, применения информационно-коммуникационных технологий, требований и ограничений в области обеспечения конфиденциальности и безопасности данных);

обеспечение конфиденциальности и безопасности данных при проведении дистанционных аудитов СМБД: определение и соблюдение всех применимых международных, национальных, региональных, отраслевых требований, соблюдение этических норм и правил, в том числе в вопросах применения информационно-коммуникационных технологий, сбора, передачи, обработки и хранения данных;

обеспечение непрерывности и целостности проведения дистанционных аудитов СМБД: определение и применение адекватных информационно-коммуникационных технологий, в том числе соответствующего аппаратного и программного обеспечения, резервирования и защиты каналов передачи информации и т.д.

Применение дистанционного формата проведения аудитов СМБД для подтверждения соответствия установленным критериям основных производственных процессов, связанных с обеспечением безопасности движения поездов не допускается.

5.1 На основании данных факторного анализа ЦЧС за IV квартал прошедшего года, категорирования деятельности функциональных филиалов ОАО "РЖД" и их структурных подразделений по группам внутреннего контроля, результатов мероприятий внутреннего контроля и аудитов СМБД, индикаторов раннего предупреждения (ревизорских указаний, ревизорских представлений и предписаний), фактических показателей состояния безопасности движения поездов и рейтинговой оценки подразделений формируется и ежегодно до 10 февраля утверждается годовой график проведения аудитов СМБД (приложение А).

В случае отмены или переноса сроков планового аудита, в годовой график аудитов вносятся изменения с указанием причин таких изменений.

5.2 При росте количества нарушений безопасности движения в соответствующем функциональном филиале (структурном подразделении) ОАО "РЖД", хозяйственном обществе с долей участия ОАО "РЖД" частота аудитов СМБД может быть увеличена.

5.3 При планировании аудитов СМБД должно обеспечиваться условие максимальной их синхронизации с проведением иных видов аудитов систем менеджмента и мероприятий внутреннего контроля.

6.1.1 Отделом технического аудита Департамента безопасности движения ОАО "РЖД" формируется группа аудита для проведения аудита СМБД в функциональных филиалах и иных подразделениях ОАО "РЖД", РЦКУ, хозяйственных обществах с долей участия ОАО "РЖД".

6.1.2 В РЦКУ группа аудита СМБД формируется аппаратом главного ревизора по безопасности движения железных дорог из числа работников аппарата главного ревизора по безопасности движения поездов, причастных служб органа управления железной дороги, структурных подразделений ОАО "РЖД" и функциональных филиалов ОАО "РЖД" на полигоне железной дороги.

6.1.3 В остальных случаях группа аудита СМБД формируется в порядке, установленном в соответствующем функциональном филиале (структурном подразделении филиала) ОАО "РЖД", хозяйственном обществе с долей участия ОАО "РЖД".

6.1.4 Состав группы аудита СМБД должен быть не менее 3 человек. В состав группы аудита СМБД должны входить руководитель группы аудита и аудиторы.

В зависимости от целей аудита в состав группы аудита могут включаться технические эксперты:

6.1.4.1 В группу аудита Департамента безопасности движения ОАО "РЖД" - из числа работников аппарата управления ОАО "РЖД", функциональных филиалов и структурных подразделений ОАО "РЖД", аппарата главного ревизора по безопасности движения поездов;

6.1.4.2 В группу аудита РЦКУ - из числа работников служб органа управления железной дороги, подразделений функциональных филиалов ОАО "РЖД".

6.1.4.3 Запрос аудиторов и технических экспертов в группы аудита Департамента безопасности движения ОАО "РЖД" и РЦКУ осуществляется через обращение в ЕАСД на имя руководителя соответствующего подразделения аппарата управления ОАО "РЖД", функционального филиала (структурного подразделения функционального филиала) или иного структурного подразделения ОАО "РЖД", РЦКУ.

6.1.4.4 Формирование группы, запрос и включение в группу дистанционного аудита СМБД аудиторов и технических экспертов осуществляется в соответствии с пунктами 6.1.1 - 6.1.4.3.

При этом в состав группы дистанционного аудита СМБД может быть включен технический посредник.

Основной функцией технического посредника является сбор объективных свидетельств аудита с использованием информационно-коммуникационных технологий.

Технический посредник - это работник холдинга "РЖД", находящийся (проживающий) вблизи проверяемого подразделения, что позволяет реализовать возможности дистанционного аудита СМБД, избегая при этом риска неполучения объективной и достоверной информации о состоянии объекта аудита (например, вследствие излишнего влияния персонала проверяемого объекта на выборку при сборе объективных свидетельств при использовании информационно-коммуникационных технологий).

Технический посредник может не иметь компетенций аудитора. Перечень его компетенций может быть ограничен навыками использования технических средств сбора объективных свидетельств (камер, микрофонов и т.п.) и связанных с ними информационно-коммуникационных технологий.

Технический посредник не должен иметь конфликтов интересов с проверяемым подразделением.

Технический посредник не может проводить сбор объективных свидетельств самостоятельно, без дистанционного управления со стороны аудитора. В случае потери связи с группой аудита технический посредник должен прервать свою работу до восстановления связи.

6.1.4.5 В остальных случаях запрос аудиторов и технических экспертов осуществляется в порядке, установленном в соответствующем функциональном филиале (структурном подразделении функционального филиала) ОАО "РЖД", хозяйственном обществе с долей участия ОАО "РЖД".

6.1.4.6 В качестве технических экспертов могут быть привлечены общественные инспекторы по безопасности движения поездов.

6.2.1 Аудит СМБД назначается в соответствии с графиком, утвержденным распоряжением ОАО "РЖД", распоряжением (приказом) по функциональному филиалу (структурному подразделению функционального филиала) ОАО "РЖД". Допускается назначение аудита СМБД телеграммой руководителя функционального филиала ОАО "РЖД" или его структурного подразделения.

Решение о необходимости проведения плановых или внеплановых аудитов СМБД в холдинге "РЖД" в дистанционном режиме принимается в соответствии с п. 4.6.

6.2.2 Распоряжение (телеграмма, приказ) о назначении аудита СМБД направляется руководителю проверяемой стороны не позднее 10 рабочих дней до начала аудита СМБД.

6.2.3 После издания распоряжения (телеграммы, приказа) руководителем группы аудита разрабатывается программа проведения аудита СМБД (Приложение Б), с указанием конкретных объектов аудита на месте, времени их проведения, причастных членов группы аудита и основных проверяемых вопросов (процессов). Допускается утверждение программы аудита СМБД в качестве приложения к распоряжению (телеграмме, приказу) о проведении аудита СМБД.

Разработанная программа аудита СМБД согласовывается с руководителем проверяемого подразделения и утверждается руководителем подразделения, проводящего аудит СМБД или руководителем группы аудита. Процедура согласования и утверждения программы аудита СМБД должна быть завершена не позднее 5 рабочих дней до начала проведения аудита СМБД. Согласование и утверждение программы аудита СМБД допускается проводить посредством ЕАСД или других автоматизированных систем, регламентирующих электронный документооборот.

В программе дистанционного аудита СМБД помимо обязательных требований, указанных в Приложении Б, отдельно должны быть определены руководители проверяемых подразделений (с указанием контактных телефонов), ответственные за предоставление внутренних документов подразделения конкретному члену группы аудита СМБД, а также за организацию видеоконференцсвязи для подтверждения определенных критериев соответствия процесса, видео и аудио фиксацию наблюдений аудита (при необходимости).

6.2.4 В зависимости от целей и в соответствии с критериями аудита СМБД, аудиторами и техническими экспертами, включенными в группу аудита, составляются чек-листы.

6.3 В рамках организации аудитов руководитель подразделения, проводящего аудиты СМБД несет ответственность за:

- формирование годового графика проведения аудитов СМБД;

- информирование руководства о результатах аудитов СМБД;

- мониторинг выполнения программ аудитов СМБД;

- мониторинг и анализ результатов аудитов СМБД;

- контроль выполнения КД.

6.4 Руководитель группы аудита несет ответственность за:

- формирование группы аудита;

- разработку плана конкретного аудита СМБД;

- распределение обязанностей между аудиторами;

- внесение изменений, если это необходимо, в распределение обязанностей между аудиторами;

- обеспечение аудиторов необходимой документацией;

- проведение аудита СМБД;

- достижение целей аудита СМБД;

- доведение информации обо всех выявленных несоответствиях до сведения руководителя проверяемого подразделения;

- точность, полноту, достоверность и своевременность составления итогового отчета, и его рассылку;

- утверждение отчетов по результатам аудита СМБД;

- выданные рекомендации по улучшению;

- согласование разработанных КД по устранению выявленных несоответствий в ходе аудита.

6.5 Аудиторы (технические эксперты), включенные в группу аудита при проведении аудита СМБД несут ответственность за:

- объективность и беспристрастность процесса аудита СМБД;

- сбор и анализ доказательств, необходимых для оценки соответствия проверяемой деятельности (системы) критериям аудита СМБД;

- ведение записей в ходе аудита СМБД;

- оформление несоответствий и замечаний, установленных в процессе аудита СМБД по форме Приложения В;

- сохранение конфиденциальности.

6.6 Руководитель проверяемого подразделения:

- назначает наблюдателей и ответственных лиц для участия в аудите СМБД;

- информирует своих работников о предстоящем аудите СМБД (целях, сроках и объемах) и его результатах;

- предоставляет аудиторам необходимую документацию;

- предоставляет аудиторам достоверную информацию;

- содействует аудиту СМБД;

- разрабатывает, организовывает согласование, утверждение и реализацию КД.

6.7 Наблюдатели (сопровождающие лица) должны оказывать помощь группе аудита и содействовать предложениям руководителя группы аудита.

В их обязанности входит:

- обеспечение контактов и назначение времени для бесед с работниками проверяемого подразделения;

- обеспечение посещений определенных участков подразделения;

- обеспечение соблюдения правил техники безопасности и проведение членам группы аудита соответствующего инструктажа в установленном на проверяемом подразделении порядке.

7.1 Объектами аудитов СМБД являются производственные процессы и управляемые виды деятельности СМБД.

7.2 Аудит процессов проводят для определения степени выполнения обязательных требований, установленных в технологической документации, инструкциях, руководствах, документации СМБД для обеспечения выполнения целей и задач процессов в области обеспечения безопасности движения, установленных распорядительными и нормативными документами.

7.3 При аудите процесса должны быть проверены действия владельца процесса (руководителя подразделения) по определению несоответствий по факторам, влияющим на возникновение транспортных происшествий и иных событий, связанных с нарушением правил безопасности движения и эксплуатации железнодорожного транспорта, компетентность владельца процесса (руководителя подразделения) проводить анализ рисков и анализ причин несоответствий для разработки результативных КД и их реализацию.

7.4 Аудит процесса проводится в соответствии с программой аудитов СМБД и включает проверку:

- цель процесса;

- документированность процесса;

- взаимосвязь и взаимодействия процесса;

- элементы на входе и выходе;

- критерии результативности процесса;

- измерение и мониторинг процесса;

- поставщики и потребители процесса;

- последовательность действий;

- ресурсы для обеспечения процесса;

- наличие элементов управления (процедуры, инструкции, нормативная документация, регламенты и т.п.);

- ответственность и полномочия;

- оценивание результативности процесса;

- сохранение достигнутых значений;

- мероприятия по улучшению процессов;

- соответствие квалификации персонала установленным требованиям;

- установленный порядок внесения изменений в процессы и доведение их до заинтересованных лиц;

- состояние технологического, контрольного и измерительного оборудования.

7.5 При проведении аудита СМБД необходимо дать оценку:

- уровню обеспечения безопасности движения в проверяемом подразделении;

- уровню документирования, внедрения, поддержания функционирования и улучшения СМБД и ее элементов;

- действующей системы управления рисками;

- результативности (эффективности) КД, принятых руководителем процесса.

7.6 Осуществление оценки объектов аудита СМБД проводится в соответствии с чек-листом по 10-балльной шкале (0 - 10), н/о - не оценивалось.

Оценка (0) - Требование не выполнено;

Оценка (2) - Требование выполнено частично, и имеются критические несоответствия;

Оценка (4) - Требование выполнено или выполнено частично, и имеются значительные несоответствия;

Оценка (6) - Требование выполнено или выполнено частично, и имеются незначительные несоответствия;

Оценка (8) - Требование выполнено, но имеются замечания;

Оценка (10) - Требование выполнено полностью.

8.1 Принципы проведения аудита.

Процесс проведения аудитов СМБД основывается на следующих принципах:

а) целостность - основа профессионализма;

б) беспристрастность - обязательство предоставлять правдивые и точные отчеты;

в) профессиональная осмотрительность - прилежание и умение принимать правильные решения при проведении аудита СМБД;

г) конфиденциальность - сохранность информации (в случае имеющегося требования сторон аудита);

д) независимость - основа беспристрастности и объективности заключений по результатам аудита СМБД.

8.2 Проведение аудита СМБД на месте.

8.2.1 Руководитель группы аудита проводит вводное совещание с участниками проверяемого подразделения (владельца процесса) и членами группы аудита (без оформления протокола).

При проведении дистанционного аудита СМБД вводное совещание руководитель группы аудита проводит посредством аудио-, видеоконференцсвязи с руководителями проверяемого подразделения (владельцами или руководителями процесса) и членами группы аудита (без оформления протокола).

8.2.2 Руководитель группы аудита на вводном совещании представляет членов группы аудита, разъясняет цель аудита, уточняет план, сроки и объем аудита СМБД, доводит критерии, а также рассматривает и решает другие вопросы, связанные с процессом проведения аудита СМБД на месте.

При проведении дистанционного аудита СМБД руководитель группы аудита дополнительно доводит информацию о методах аудита, информирует о формах предоставления результатов аудита, информирует и подтверждает каналы связи.

Организация видеоконференцсвязи (в т.ч. использование мобильной корпоративной телефонии), должна проводиться в соответствии с нормативными документами ОАО "РЖД", регламентирующими вопросы конфиденциальности и защиты информации.

8.2.3 В соответствии с программой аудита группа аудиторов проводит исследование проверяемого подразделения (владельца процесса) (опросы, наблюдения, анализ документации, соблюдение производственных процессов на проверяемых объектах, выполнение КД).

При проведении дистанционного аудита СМБД максимально обеспечивается мониторинг работы проверяемого подразделения на основе данных отраслевых автоматизированных систем, результатов работы диагностических комплексов инфраструктуры и подвижного состава, средств мобильной диагностики и путеизмерения, результатов факторного анализа, а также результатов профилактических мероприятий внутреннего контроля.

8.2.4 В ходе аудита члены аудиторской группы ведут рабочие записи, в которых отражают наблюдения аудита СМБД, как и при дистанционном аудите СМБД. Допускается ведение записей в электронном виде.

Конкретный порядок проведения дистанционного подтверждения соответствия установленным критериям функционирования СМБД и процессов утверждается в соответствующем филиале (структурном подразделении функционального филиала) ОАО "РЖД", хозяйственном обществе с долей участия ОАО "РЖД".

8.2.5 В ходе аудита СМБД члены группы аудита ведут рабочие записи (в т.ч. чек-листы), в которых отражают наблюдения аудита (допускается ведение рабочих записей в электронном виде). Свидетельства аудита, на основании которых сформирован перечень несоответствий, сохраняются членами группы аудита до подписания отчета и перечня несоответствий по аудиту.

По окончании аудита каждый член группы аудита оформляет перечень несоответствий и подписывает его в одностороннем порядке для передачи руководителю группы аудита.

Руководитель группы аудита осуществляет сбор перечней несоответствий каждого члена группы аудита, формирует единый перечень несоответствий (приложение Г) и подписывает его.

Единый перечень несоответствий прикладывается к отчету по аудиту СМБД.

Несоответствия и замечания, установленные в процессе проведения аудита, включаются в перечень несоответствий (приложение Г) и подписываются руководителем проверяемого подразделения после его подписания руководителем группы аудита.

В ходе дистанционного аудита СМБД члены группы аудита ведут рабочие записи (в т.ч. чек-листы), в которых отражают наблюдения аудита (допускается применение чек-листов в электронном виде или перечней несоответствий, без последующей распечатки).

8.2.6 Несоответствия в перечне несоответствий ранжируются следующим образом:

а) критическое - несоответствие, оказывающее прямое влияние на безопасность движения поездов, которое подлежит немедленному устранению;

б) значительное - несоответствие, в результате которого повышается уровень риска возникновения нарушения безопасности движения поездов, подлежащее первоочередному устранению;

в) незначительное - несоответствие, которое в дальнейшем может привести к значительному и подлежащее устранению в плановом порядке.

8.2.7 На основании изучения полученных в ходе аудита СМБД данных руководитель и члены группы аудита анализируют свидетельства аудита, выделяют критические и системные несоответствия, а также положительные примеры функционирования СМБД и процессов.

8.2.8 В соответствии с программой аудита СМБД руководитель группы аудита проводит итоговое совещание с участниками проверяемого подразделения (владельца процесса и руководителями процесса), на котором доводит до участников совещания основные результаты аудита, выявленные несоответствия, предложения аудиторов по реализации КД и совместно с владельцем процесса определяет конкретные даты подписания и вручения отчета по результатам аудита СМБД.

8.2.9 Для некоторых ситуаций итоговое совещание может быть официальным, с ведением протокола, регистрацией присутствующих и с сохранением их списка. В других случаях, например при внутренних аудитах, заключительное заседание менее формально и может включать только сообщение об обнаружениях и заключениях аудита, при этом оформление протокола не требуется.

8.2.10 При проведении дистанционного аудита СМБД итоговое совещание (проводится дистанционно посредством аудио- или видеоконференции) с представителями проверяемого подразделения (владельцами и руководителями процесса) и членами группы аудита, на котором дается оценка соответствия процессов установленным требованиям, указывается на возможные риски, рассматриваются и обсуждаются предложения по корректирующим действиям.

9.1 Руководитель группы аудита готовит проект отчета (приложение В) по результатам проведенного аудита СМБД.

9.2 Отчет должен содержать достаточную информацию (записи) об аудите СМБД и должен включать или иметь ссылки на:

а) цели аудита;

б) область аудита: содержание и границы аудита;

в) заказчика аудита;

г) определение руководителя и членов группы по аудиту;

д) дату и место проведения аудита;

е) критерии аудита;

ж) наблюдения аудита;

з) заключение по результатам аудита;

и) общие рекомендации.

9.3 Заключение по результатам аудита должно содержать оценку степени соответствия объектов аудита установленным требованиям. На основании оценки объектов аудита определяется степень соответствия СМБД в соответствии с таблицей 1.

Оценка соответствия (в процентах) рассчитывается по формуле:

где Ос - оценка соответствия (в процентах) объекта аудита;

- сумма баллов по всем оцененным объектам;

- количество оцененных объектов.

9.4 Каждый аудитор (технический эксперт), включенный в состав группы аудита составляет проект перечня несоответствий по проверенному им процессу (вопросу) и дает оценку соответствия проверяемого объекта. Эти данные передаются руководителю группы аудита для объединения в итоговый перечень несоответствий и итоговую оценку соответствия.

9.5 Руководитель группы аудита в течение 15 рабочих дней после завершения аудита представляет отчет по аудиту СМБД руководителю проверяемого подразделения. К отчету по аудиту в обязательном порядке прикладывается перечень несоответствий. К отчету по аудиту также могут прилагаться другие материалы аудита.

9.6 Отчет по аудиту СМБД может быть вручен лично руководителю проверяемого подразделения или направлен посредством ЕАСД. По решению руководителя группы аудита отчет по аудиту СМБД направляется руководителям, курирующим проверяемое подразделение. При необходимости руководитель группы аудита готовит докладную записку заказчику аудита СМБД о проведенном аудите СМБД.

9.7 Руководитель группы аудита регистрирует результаты аудита СМБД в реестре аудитов (приложение Д).

9.8 Руководитель проверенного подразделения доводит результаты аудита СМБД до причастных работников и своего непосредственного руководства.

9.9 В случае, когда в ходе аудита выявлены несоответствия, относящиеся к области компетенций или принятия решений руководителей вышестоящего уровня управления, руководителем группы аудита СМБД могут быть подготовлены соответствующие письменные обращения для решения вопросов.

10.1 Руководитель проверяемого подразделения (владелец процесса) в течение 10 рабочих дней с момента получения отчета о результатах аудита анализирует его, разрабатывает план мероприятий по КД и направляет его на согласование руководителю аудиторской группы.

10.2 Руководитель аудиторской группы в течение 5 рабочих дней рассматривает содержащиеся в плане мероприятия по КД, и принимает решение о возможности их согласования. Руководитель группы аудита при необходимости организовывает совещание с группой аудита и руководителем проверяемого подразделения для рассмотрения полноты корректирующих действий.

10.3 План мероприятий по КД утверждается руководителем проверяемого подразделения.

10.4 Руководитель проверяемого подразделения после утверждения плана мероприятий по КД контролирует его выполнение в подведомственных структурных подразделениях.

10.5 Руководитель проверяемого подразделения выполняет план мероприятий по КД, при этом информирует в установленном порядке ответственных руководителей подразделений ОАО "РЖД" о ходе его реализации.

10.6 Руководитель проверяемого подразделения в случае невозможности или необходимости изменения сроков выполнения КД направляет руководителю аудиторской группы соответствующее обоснование, согласованное с причастными руководителями функциональных филиалов (структурных подразделений функциональных филиалов) ОАО "РЖД".

10.7 Руководитель проверяемого подразделения (владелец процесса) в течение 10 рабочих дней с момента завершения всех КД предоставляет руководителю аудиторской группы отчет о выполнении плана мероприятий по КД. К отчету прикладываются документально оформленные подтверждения реализации мероприятий по КД (документы, мероприятия, процедуры и т.д.).

10.8 Руководитель аудиторской группы рассматривает предоставленные отчеты и принимает решение о необходимости выезда непосредственно на место проведения аудита СМБД с целью проверки фактического выполнения мероприятий.

10.9 КД считаются завершенными, при условии полного выполнения запланированных мероприятий и принятии руководителем аудиторской группы, проводившим аудит СМБД, отчета об их выполнении.

10.10 Согласование, утверждение КД, отчетов, обоснований по результатам аудита СМБД осуществляется посредством ЕАСД.

Аудит считается завершенным, когда вся деятельность, предусмотренная программой аудита, выполнена и отчет по аудиту СМБД представлен сторонам аудита.

Отмена результатов завершенного аудита не допускается.

1. Цели аудита.

2. Область аудита: содержание и границы аудита.

3. Критерии аудита.

4. Руководитель группы аудита.

5. Ресурсы для проведения аудита:

5.1. Временные ресурсы.

5.2. Человеческие ресурсы (аудиторы и технические эксперты) в соответствии с таблицей 1.

6. План проведения аудита Таблица 2

--------------------------------

<*> В программе все мероприятия указаны по местному времени. Время проведения мероприятий, определенных на вводном совещании, может корректироваться в ходе аудита.

1. Цели аудита.

2. Область аудита: содержание и границы аудита.

3. Заказчик аудита.

4. Руководитель и члены группы аудита.

5. Критерии аудита.

5. Дата и место проведения аудита.

6. Наблюдения аудита.

6. Заключения по результатам аудита.

7. Общие рекомендации по итогам аудита.

--------------------------------

<*> Оформление титульного листа, присвоение нумерации и каких-либо шифров отчету по аудиту устанавливается подразделением, проводящим аудит.

Руководитель группы аудита _____________ Фамилия И.О.