A.1. Umum
Lampiran ini memberikan contoh umum pengetahuan dan keterampilan disiplin khusus untuk auditor sistem manajemen, yang dimaksudkan sebagai panduan untuk
membantu orang yang mengelola program audit untuk memilih atau mengevaluasi auditor.
Contoh lain dari pengetahuan dan keterampilan disiplin khusus untuk auditor juga dapat dikembangkan untuk sistem manajemen. Disarankan bahwa, jika mungkin, contoh seperti itu mengikuti struktur umum yang sama untuk memastikan
perbandingan.
A.2. Contoh ilustrasi pengetahuan dan keterampilan disiplin
khusus auditor dalam manajemen keselamatan transportasi
Pengetahuan dan keterampilan yang berkaitan dengan manajemen keselamatan transportasi dan penerapan metode, teknik, proses dan praktek manajemen keselamatan transportasi sebaiknya cukup untuk memungkinkan auditor untuk memeriksa sistem manajemen dan menghasilkan temuan audit dan kesimpulan yang tepat.Contohnya adalah sebagai berikut :
terminologi manajemen keselamatan;
pemahaman pendekatan sistem yang aman;
penilaian risiko dan mitigasi;
analisis faktor manusia yang berkaitan dengan manajemen keselamatan
transportasi;
perilaku manusia dan interaksi;
interaksi manusia, mesin, proses dan lingkungan kerja;
potensi bahaya dan faktor lain yang mempengaruhi kerja keselamatan;
metode dan praktek untuk penyelidikan insiden dan pemantauan kinerja
keselamatan;
evaluasi operasional insiden dan kecelakaan;
mengembangkan langkah-langkah kinerja yang proaktif dan reaktif dan metrik.
CATATAN Untuk informasi tambahan, lihat ISO 39001 yang dikembangkan oleh ISO/PC 241 untuk sistem manajemen keselamatan lalu lintas di jalan.
memungkinkan auditor untuk memeriksa sistem manajemen dan menghasilkan temuan audit dan kesimpulan yang tepat.
Contohnya adalah sebagai berikut :
terminologi lingkungan;
metrik dan statistik lingkungan;
ilmu pengukuran dan teknik pemantauan;
interaksi ekosistem dan keanekaragaman hayati;
media lingkungan (misalnya udara, air, tanah, fauna, flora);
teknik untuk menentukan risiko (misalnya evaluasi aspek/dampak lingkungan,
termasuk metode signifikan untuk mengevaluasi);
penilaian siklus hidup;
evaluasi kinerja lingkungan;
pencegahan dan pengendalian polusi (misalnya teknik terbaik yang tersedia
untuk pengendalian pencemaran atau efisiensi energi);
praktik dan proses pengurangan sumber, minimalisasi limbah, penggunaan
kembali, daur ulang dan pengolahan;
penggunaan bahan berbahaya;
akuntansi dan manajemen emisi gas rumah kaca;
pengelolaan sumber daya alam (misalnya bahan bakar fosil, air, flora dan
fauna, tanah);
desain lingkungan;
pelaporan dan pengungkapan lingkungan;
pengawasan produk;
teknologi terbarukan dan rendah karbon.
CATATAN Untuk informasi tambahan, lihat standar terkait yang dikembangkan oleh ISO/TC 207 tentang pengelolaan lingkungan hidup.
A.4. Contoh ilustrasi pengetahuan dan keterampilan disiplin
khusus auditor dalam manajemen mutu
Pengetahuan dan keterampilan yang berkaitan dengan disiplin dan penerapan metode, teknik, proses dan praktek disiplin khusus sebaiknya cukup untuk memungkinkan auditor untuk memeriksa sistem manajemen dan menghasilkan temuan audit dan kesimpulan yang tepat.
Contohnya adalah sebagai berikut :
pendekatan sistem untuk manajemen (dasar pemikiran dari sistem manajemen mutu, fokus pada sistem manajemen mutu dan sistem manajemen lainnya, dokumentasi sistem manajemen mutu), jenis dan nilai, proyek, rencana mutu, manajemen konfigurasi;
perbaikan terus-menerus, inovasi dan pembelajaran;
pendekatan faktual untuk pengambilan keputusan, teknik penilaian risiko
(identifikasi, analisis dan evaluasi risiko), evaluasi manajemen mutu (audit, tinjauan dan penilaian diri), teknik pengukuran dan pemantauan, persyaratan untuk proses pengukuran dan alat ukur, analisis akar penyebab, teknik statistik;
karakteristik proses dan produk, termasuk jasa;
hubungan pemasok yang saling menguntungkan, persyaratan sistem
manajemen mutu dan persyaratan untuk produk, persyaratan khusus untuk manajemen mutu di berbagai sektor.
CATATAN Untuk informasi tambahan, lihat standar terkait yang dikembangkan oleh ISO/TC 176 pada manajemen mutu.
A.5. Contoh ilustrasi pengetahuan dan keterampilan disiplin
khusus auditor dalam manajemen arsip
Pengetahuan dan keterampilan yang berkaitan dengan disiplin dan penerapan metode, teknik, proses dan praktek disiplin khusus sebaiknya cukup untuk memungkinkan auditor untuk memeriksa sistem manajemen dan menghasilkan temuan audit dan kesimpulan yang tepat.
Contohnya adalah sebagai berikut :
rekaman, proses manajemen arsip, dan sistem manajemen untuk terminologi
arsip;
mengembangkan langkah-langkah kinerja dan metrik;
investigasi dan evaluasi praktek arsip melalui wawancara, observasi dan
validasi;
analisis sampel dari arsip yang dibuat dalam proses bisnis, karakteristik utama
dari arsip, rekaman sistem, proses dan pengendalian arsip;
penilaian risiko (misalnya penilaian risiko melalui kegagalan untuk
menciptakan, memelihara dan mengontrol rekaman proses bisnis organisasi);
kinerja dan kecukupan proses arsip untuk menciptakan, menangkap dan
mengendalikan rekaman;
penilaian kecukupan dan kinerja sistem arsip (termasuk sistem bisnis untuk
menciptakan dan mengendalikan rekaman), kesesuaian alat teknologi yang digunakan, dan fasilitas dan peralatan yang ditetapkan;
evaluasi berbagai tingkat kompetensi dalam manajemen arsip yang dibutuhkan
CATATAN Untuk informasi tambahan, lihat standar terkait yang dikembangkan oleh ISO/TC 46/SC 11 pada manajemen arsip.
A.6. Contoh ilustrasi pengetahuan dan keterampilan disiplin
khusus auditor dalam manajemen ketahanan, keamanan,
kesiapsiagaan dan kesinambungan
Pengetahuan dan keterampilan yang berkaitan dengan disiplin dan penerapan metode, teknik, proses dan praktek disiplin khusus sebaiknya cukup untuk memungkinkan auditor untuk memeriksa sistem manajemen dan menghasilkan temuan audit dan kesimpulan yang tepat.
Contohnya adalah sebagai berikut :
proses, ilmu pengetahuan dan teknologi yang mendasari manajemen
ketahanan, keamanan, kesiapsiagaan, respon, kesinambungan dan pemulihan;
metode untuk intelijen pengumpulan dan pemantauan;
mengelola risiko kejadian yang mengganggu (mengantisipasi, menghindari,
mencegah, melindungi, mitigasi, merespon dan memulihkan dari peristiwa yang mengganggu);
penilaian risiko (identifikasi dan penilaian aset, dan identifikasi, analisis, evaluasi risiko) dan analisis dampak (terkait dengan manusia, aset fisik dan tidak berwujud, serta lingkungan);
perlakuan resiko (tindakan adaptif, proaktif dan reaktif);
metode dan praktik untuk integritas dan sensitivitas informasi;
metode untuk keamanan personil dan perlindungan dari orang;
metode dan praktek untuk perlindungan aset dan keamanan fisik;
metode dan praktik untuk manajemen pencegahan, penangkalan, dan
keamanan;
metode dan praktek untuk mitigasi insiden, tanggapan, dan manajemen krisis;
metode dan praktik untuk manajemen kesinambungan, kedaruratan, dan
pemulihan;
metode dan praktik untuk pemantauan, pengukuran, dan pelaporan kinerja
(termasuk latihan dan metodologi pengujian).
CATATAN Untuk informasi tambahan, lihat standar terkait yang dikembangkan oleh ISO/TC 8,
ISO/TC 223 dan ISO/TC 247 pada manajemen ketahanan, keamanan, kesiapsiagaan dan kesinambungan.
berkepentingan;
hukum dan peraturan yang berhubungan dengan keamanan informasi
(misalnya kekayaan intelektual; konten, perlindungan dan penyeimpanan rekaman organisasi; perlindungan data dan privasi; pengaturan pengendalian kriptografi; anti-terorisme; perdagangan elektronik; tanda tangan elektronik dan digital; pengawasan tempat kerja; ergonomi tempat kerja; penyadapan
telekomunikasi dan pemantauan data (misalnya e-mail), penyalahgunaan komputer, pengumpulan bukti elektronik, uji penetrasi, dll.;
proses, ilmu pengetahuan dan teknologi yang mendasari manajemen
keamanan informasi;
penilaian risiko (identifikasi, analisis dan evaluasi) dan tren teknologi, ancaman dan kerentanan;
manajemen risiko keamanan informasi;
metode dan praktek untuk pengendalian keamanan informasi (elektronik dan
fisik);
metode dan praktik untuk integritas dan sensitivitas informasi;
metode dan praktik untuk mengukur dan mengevaluasi efektivitas keamanan
sistem manajemen informasi dan pengendalian yang terkait;
metode dan praktik untuk mengukur, memantau dan merekam kinerja
(termasuk pengujian, audit dan tinjauan).
CATATAN Untuk informasi tambahan, lihat standar terkait yang dikembangkan oleh ISO/IEC JTC 1/SC 27 untuk manajemen keamanan informasi.