ГОСТ Р 53647.3— 2015
Внутренний аудит обычно проверяет соблюдение политики и процедур в организации и является
ценным источником информации для высшего руководства и руководящих органов. Он является катали
затором для повышения результативности и эффективности работы организации, предоставляя
инфор мацию и рекомендации, основанные на результатах анализа и оценки процессов обеспечения
непре рывности бизнеса. Если организация примет решение о соблюдении требований какого-либо
стандарта, например, ГОСТ Р ИСО 22301 (как указано ниже), то с помощью внутреннего аудита можно
получить гарантию того, что СМНБ и МНБ выполняют требования этого стандарта.
«Организация должна:
- запланировать, установить, внедрить и поддерживать в рабочем состоянии программу(ы) аудита,
которая должна включать частоту проведения аудита, его методы, распределение ответственности, тре
бования к планированию и отчетам.
Программа аудитадолжна:
- учитывать важность проверяемых процессов и результаты предыдущих аудитов;
- для каждого аудита определить критерии и область применения:
- назначить аудиторов и обеспечить объективность и беспристрастность процесса аудита:
- обеспечить информирование руководства о результатах аудита;
- сохранять записи как свидетельство выполнения программы аудита и результаты аудита».
Руководство, ответственное за проверяемую область аудита, должно обеспечить, чтобы все не
обходимые исправления и корректирующие действия для устранения обнаруженных несоответствий и
вызвавших их причин предпринимались без излишнихзадержек. Выполнение корректирующихдействий
должно быть проверено и сделаны записи о результатах.
12.4 Анализ со стороны руководства
Важным элементом в оценке деятельности организации является анализ со стороны руководства.
Высшее руководстводолжно проводить анализсистемы менеджмента непрерывности бизнеса через за
планированные интервалы времени для обеспечения ее пригодности, адекватности и результативности.
Анализ нужен для поиска областей улучшения или. если это необходимо, изменения структуры
СМНБ. Области, которые охватывает анализ, описаны в разделах 3—6, особое внимание уделяют по
литике и целям МНБ для организации. Вниманиедолжнобыть уделено всем изменениям во внешних или
внутренних факторах, которые относятся к СМНБ. Результаты анализа, включая идентифицированные
возможности для непрерывного совершенствования, должны быть зарегистрированы, записи необходи
мо поддерживать в рабочем состоянии.
Для анализа могут использоваться различные источники информации. Они включают в себя:
- информацию от аудитов СМНБ и внутренних аудитов;
- результаты аудита поставщиков и партнеров, касающиеся положений МНБ;
- обратную связь от заинтересованных сторон и рекомендациидля улучшений;
- статус несоответствий и корректирующих действий, включая последствия ранее выполнен
ных действий;
- уровень остаточного риска и изменений допустимого риска организации;
- вновь обнаруженные и ранее не рассмотренные опасности/угрозы:
- результаты учений, включая анализ полученного опыта;
- наблюдения/рекомендации, относящиеся к инциденту, или опыт самой организации и других
сторон:
- результаты программ по обучению и повышению осведомленности;
- результаты оценки мониторинга и измерений;
- полученный опыт идействия, связанные с разрушительным инцидентом;
- современную надлежащую практику и рекомендации.
Результаты анализа со стороны высшего руководства должны включать решения, связанные с лю
быми изменениями;
- требований к бизнесу;
- требований к снижению риска;
- требований к безопасности;
- условий работы и процессов;
- юридических, нормативных и договорных требований;
- потребностей в ресурсах и финансовых требований.
45