Поведенческий аудит безопасности — что это и как провести?

Как фиксировать наблюдения?

Наблюдения за работниками фиксируются в специальных картах наблюдений, которые помогут собрать данные и выявить типичные виды опасного поведения среди ваших сотрудников.

В карте не указывают имя работника, за которым наблюдают. За исключением случаев, когда работник заполняет карту сам. Он может сделать это, например, когда считает свое рабочее место недостаточно безопасным.

Важно, чтобы все сотрудники компании знали результаты наблюдений и программу дальнейших действий. Информировать работников можно на общих собраниях или, например, размещая данные на информационных стендах и корпоративном сайте

Для чего проводится аудит?

ПАБ планируется заранее, при этом важно осуществлять эту процедуру на постоянной основе. Есть как минимум несколько целей проведения проверки, основными являются:

• Общая концентрация внимания сотрудника на вопросах связанных с безопасностью

• Подтверждение навыков направленных на обеспечение безопасности на производстве. • Выявление конкретных проблем и нарушений техники безопасности при проведении работ с целью их дальнейшего устранения. • Определения слабых сторон самой системы безопасности на производстве. • Определение причин, вследствие которых происходят нарушения их устранение. • Оценка работы должностных лиц в области обеспечения безопасности. • Своевременное устранение опасных ситуаций и выполнения работы более безопасным способом. • Поощрение безопасного выполнения работы. • Поддержка принятых на предприятий стандартов, выполнение правил и норм

• Общая концентрация внимания сотрудника на вопросах связанных с безопасностью. • Подтверждение навыков направленных на обеспечение безопасности на производстве. • Выявление конкретных проблем и нарушений техники безопасности при проведении работ с целью их дальнейшего устранения. • Определения слабых сторон самой системы безопасности на производстве. • Определение причин, вследствие которых происходят нарушения их устранение. • Оценка работы должностных лиц в области обеспечения безопасности. • Своевременное устранение опасных ситуаций и выполнения работы более безопасным способом. • Поощрение безопасного выполнения работы. • Поддержка принятых на предприятий стандартов, выполнение правил и норм.

Глобальная политика аудита

Настраивать для каждого файла аудит безопасности не всегда удобно. Иногда нужно включить аудит безопасности для всех файлов или для всех разделов реестра разом. Делается это через командную строку.

Чтобы посмотреть краткую информацию о командах для настройки и запроса политики глобального аудита выполните:

>auditpol /resourceSACL

Чтобы посмотреть глобальные списки SACL для файловой системы и для реестра выполните такие команды:

>auditpol /resourceSACL /type:File /view
>auditpol /resourceSACL /type:Key /view

Для установки аудита всех файлов с доступом на запись (FW) выполните:

> auditpol.exe /resourceSACL /set /type:File /user:<username> /success /failure /access:FW

В примере выше вместо имени пользователя можно ввести группу.

Чтобы выключить глобальный аудит, включенный предыдущей командой, выполните:

> auditpol.exe /resourceSACL /remove /type:File /user:<username>

Кто проводит ПАБ?

В качестве проверяющих выступают руководители высшего и среднего звена. В число аудиторов могут входить:

  • управляющий директор;
  • начальники подразделений или цехов;
  • сменные или старшие мастера;
  • сотрудники отдела по охране труда и технической безопасности;
  • служащие бюро инспекторского надзора за производством.

От масштабности проверки зависит должность, занимаемая аудитором. Чем выше подразделение, в котором происходит ПАБ, тем выше должность проверяющего.

Частота проведения проверок не регламентирована, главное, чтобы они производились на регулярной основе с определённой периодичностью. Это поможет на ранних этапах выявить проблемы, связанные с нарушением правил безопасности и устранить их.

В подразделениях составляются специальные графики. В них указывается дата проведения аудита, участок, который будет подвергнут проверке. Также в нём обозначаются фамилии руководителей, которые будут выступать в качестве проверяющих.

Перед проведением ПАБ руководители различных уровней, которые выступают в качестве аудиторов, должны пройти обучение и первичный инструктаж. На нём проверяющие будут ознакомлены с правилами общения и поведения на производстве. В ходе обучения они узнают правила и методы заполнения отчёта по результатам проведённого аудита.

Почему бизнес не может обеспечить безопасность собственными силами

Одна из проблем, с которой остро сталкиваются компании, желающие обеспечить информационную безопасность, — серьезная нехватка кадров. Именно в этом эксперты видят одну из ключевых причин незащищенности, причем, не только в бизнесе, но и в госсекторе. ИБ-процессы и отношение к ним в корпоративной среде оказывается недостаточно зрелым и не подкреплено всем необходимым инструментарием. В первую очередь, как отмечают аналитики, страдает контроль над состоянием информационной безопасности.

Несмотря на это, многие предприятия целиком и полностью полагаются на собственные ИБ-департаменты. Но обеспечение безопасности на должном уровне, по мнению экспертов рынка, без задействования внешних ресурсов практически невозможно.

Другой важный момент — накопление экспертизы. Весь мир давно идет по пути экспертного аутсорсинга. Условный специалист по реагированию на инциденты профессионально растет гораздо быстрее в коммерческом SOC или CSIRT, чем в своем ИБ-департаменте. Происходит это за счет интенсивности работы и общения с большой командой экспертов. А ведь нельзя забывать, что квалификация киберпреступников постоянно повышается.

Компании, как правило, делают выбор в пользу аутсорсинга по банальной причине: невозможно распылять усилия внутренней команды на все виды деятельности. Как раз аудит информационной безопасности представляет собой один из таких процессов.

«Аудит — это сравнение текущего состояния (AS IS) с заранее выбранным эталоном с последующим анализом причин расхождения и проработкой вариантов их устранения (достижение TO BE). В качестве эталона могут быть выбраны как внутренняя документация компании по информационной безопасности, так и международные стандарты ИБ», — добавляет Павел Волчков.

Другое весомое преимущество подобных услуг — получение взгляда со стороны

Эксперты отмечают, что внешний аудитор часто обращает внимание на нюансы, неочевидные для сотрудника ИБ-департамента компании

Из каких этапов состоит аудит безопасности

В первую очередь нужно определить цель аудита: зачем он проводится, какой результат должен быть получен, и как он будет использоваться. Уже после этого разрабатывается конкретная программа, в которой описываются все шаги, которые будут предприняты. Эксперты отмечают, что она должна быть максимально понятной и прозрачной для всех участников процесса. Также в ней должен быть план-график самого аудита и план проведения интервью. Этой частью лучше не пренебрегать: специалисты должны определить, с кем они будут общаться и на какие темы.

«Далее процесс можно разделить на три основные части: сбор информации, ее анализ и документирование, — объясняет Павел Волчков. — На выходе заказчик получает аналитические выводы о текущем состоянии информационной безопасности в выбранном разрезе и рекомендации по повышению уровня защищенности».

Что дает аудит ИБ заказчикам: пример дорожной карты на год

При этом в зависимости от цели аудита может быть использован самый разнообразный инструментарий. Это и средства инвентаризации элементов ИТ-инфраструктуры, и сканеры уязвимостей, и отдельные самописные инструменты, автоматизирующие те или иные проверки, и, конечно, вендорское ПО для диагностики состояния конкретной технологии. Некоторые виды аудита, например, анализ кода, точно невозможны без специальных инструментов.

Законодательство о национальной платежной системе

Законодательство о НПС находится только на заре своего становления, и нас ждет немало новых документов, в том числе и по вопросам обеспечения информационной безопасности. Но уже сейчас ясно, что выпущенное и утвержденное 9-го июня 2012 года Положение 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» требует в п.2.15 обязательной оценки соответствия, то есть аудита. Такая оценка осуществляется либо самостоятельно, либо с привлечением сторонних организаций. Как уже сказано выше, проводимая в рамках 382-П оценка соответствия похожа по своей сути на то, что описано в методике оценки соответствия СТО БР ИББС, но выдает совершенно иные результаты, что связано с вводом специальных корректирующих коэффициентов, которые и определяют отличающиеся результаты. Никаких особых требований к привлекаемым для аудита организациям положение 382-П не устанавливает, что вступает в некоторое противоречие с Постановлением Правительства от 13 июня 2012 года №584 «О защите информации в платежной системе», которое также требует организации и проведения контроля и оценки выполнения требований к защите информации один раз в 2 года. Однако Постановление Правительства, разработанное ФСТЭК, требует, чтобы внешний аудит проводился только организациями, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Дополнительные требования, которые сложно отнести к одной из форм аудита, но которые накладывают на банки новые обязанности, перечислены в разделе 2.16 Положения 382-П. Согласно этим требованиям оператор платежных систем обязан разработать, а банки, присоединившиеся к этой платежной системе, обязаны выполнять, требования по регулярному информированию оператора платежной системы о различных вопросах информационной безопасности в банке: о выполнении требований по защите информации, о выявленных инцидентах, о проведенных самооценках, о выявленных угрозах и уязвимостях. Дополнительно к аудиту, проводимому на договорной основе, ФЗ-161 о НПС также устанавливает, что контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в 584-м Постановлении и Банком России в 382-м Положении, осуществляются ФСБ ФСТЭК и Банком России соответственно. На момент написания статьи ни ФСТЭК, ни ФСБ не имели разработанного порядка проведения такого надзора, в отличие от Банка России, который выпустил Положение от 31 мая 2012 года №380-П «О порядке осуществления наблюдения в национальной платежной системе» (для кредитных организаций) и Положение от 9 июня 2012 года №381-П «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального Закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России». Нормативные акты в области защиты информации в национальной платежной системе находятся только в начале подробной разработки. С 1 июля 2012 года Банк России начал их апробацию и сбор фактов по правоприменительной практике. Поэтому сегодня преждевременно говорить о том, как будут применяться эти нормативные акты, как будет проводиться надзор по 380-П, какие выводы будут делаться по итогам самооценки, проводимой раз в 2 года и отправляемой в Банк России.

Легко ли быть первопроходцами?

Что касается введения новой методики в существующую систему, то здесь особых проблем нет, подчеркивает заместитель технического директора по ОТ и ТБ Екатерина Жихарева. Уже сейчас в службе охраны труда сформировалось чёткое понимание того, как инициатива будет работать и развиваться. И всё же процесс внедрения инноваций всегда сопряжен с трудностями.

Первая из них – нагрузка на аудиторов. 58 подготовленных специалистов – это весьма масштабная группа. Однако график, по которому они работают, оказался на НовЭЗе очень плотным. Учитывая напряженный рабочий ритм руководителей и специалистов завода, аудиторская деятельность становится ощутимой дополнительной нагрузкой.

Еще одна сложность заключается в том, что для проведения аудитов, конечно, нужны только специально обученные люди. А на замену тем, кто заболел, ушел в отпуск, уехал в командировку, был вовлечен в срочные внеплановые мероприятия, на НовЭЗе пока никого нет. Данная ситуация стала главной причиной того, что в первый же месяц внедрения системы график аудитов был выполнен лишь на 75%. Со временем эта проблема будет решена, уверена Екатерина Сергеевна. В будущем предприятие сможет самостоятельно подготовить дополнительную группу для проведения аудитов безопасности. Однако это произойдет не раньше, чем сотрудники службы охраны труда и аудиторы наберутся достаточного опыта и «обкатают» новую систему в работе. На данном этапе вопрос решается методом разработки более гибкого графика, аудиты переносятся и заменяются с учетом занятости специалистов.

Не достигнуто полного единодушия пока и в среде самих аудиторов. Большинство из них по-прежнему считают, что без карательных мер в сфере управления охраной труда не обойтись. И нарушения, выявленные в рамках проведенных аудитов, должны непременно наказываться в соответствии со степенью вины участников производственного процесса. К слову, инспекционную деятельность службы охраны труда никто не отменял. И ответные действия со стороны сотрудников ОТ и ПБ следуют, если аудиторами были выявлены грубые нарушения, создающие реальную угрозу жизни и здоровью людей; если действия персонала повлекли приостановку работы, отстранение от выполнения производственного задания. 

Так что такое ПАБ? И почему старая система потребовала корректировки?

На сайте правительства Нижегородской области опубликовано интересное исследование руководителей Института охраны труда. В качестве примера авторы статьи приводят расчеты американского специалиста У. Луса, которые показывают, что если в два раза сократить опасные условия труда, то общий травматизм уменьшится не в разы, а всего лишь на 2%, но если сократить в два раза опасные действия персонала, то травматизм уменьшится на 48%. Эти цифры заставляют задуматься!

В подавляющем большинстве российских организаций используется «многоступенчатый контроль за состоянием охраны труда». И этому методу уже свыше 50 лет! Многие специалисты склоняются к мысли, что его необходимо обновлять свежими инициативами и менять сам подход к правилам ОТ и ПБ. Кто-то считает, что «многоступенчатый контроль» за годы функционирования оброс формализмом и перестал влиять на результативность этой деятельности. Ряд исследователей сходятся во мнении, что в современной обстановке гораздо важнее действовать на опережение. Не наказать сотрудника за неправильные действия, а поощрить безопасные методы работы; не зафиксировать несчастный случай, а предупредить его, сформировав у персонала правильное отношение к собственной безопасности на рабочих местах.

С этой целью на многих российских предприятиях внедряется практика проведения поведенческих аудитов безопасности. Например, «Норильский никель» приступил к реализации программы в 2014 году. Компания широко освещала эту инициативу в средствах массовой информации. Её руководство дало следующее определение ПАБ – «это современный подход к обеспечению безопасного и корректного поведения работника при выполнении им своих должностных обязанностей

По сути это переход от «зазубривания» к пониманию и осознанию важности соблюдения кардинальных правил безопасности, которые следует соблюдать во избежание несчастных случаев во время работы»

Происходит это следующим образом. В качестве аудиторов выступают руководители и специалисты всех уровней. По установленному графику они отправляются на закрепленные за ними участки и в течение определенного времени наблюдают за действиями сотрудников. В ходе такого включенного мониторинга выявляются узкие места в процессе выполнения работником производственного задания, организации его рабочего места. А затем составляется корректирующая беседа между персоналом и аудитором.

Стоит отметить, что поведенческий аудит безопасности не исключает другие виды контроля, применяемые в организациях. Соответствующая методика легко встраивается в систему управления охраной труда. 

Зачем нужен поведенческий аудит безопасности?

Цель поведенческого аудита безопасности (ПАБ) — наблюдать работниками, выявлять опасные действия и условия труда, а затем устранять недостатки.

Особенно актуален ПАБ для организаций, которые работают по нарядам-допускам, в электроустановках, проводят огневые или газоопасные работы, работы по демонтажу, используют грузоподъемные механизмы, сосуды или баллоны с газами под давлением. В ходе аудита проверяют, как на практике выполняют требования инструкций, соблюдают технологию и последовательность безопасного выполнения работ, применяют СИЗ, используют приборы безопасности и блокировки, инструмент.

Правильно выполненный аудит позволяет:

·       выявить сильные и слабые стороны СУОТ и изменить существующую оценку опасностей на рабочем месте;

·       определить вероятность риска получить травмы и выяснить его возможные последствия; повысить культуру безопасности среди персонала организации.

Важно помнить: ПАБ применяют не для того, чтобы наказать работников. Когда проводят ПАБ проверяют поведение работника, а не состояние инструментов и оборудования.

Что нужно для внедрения BBS?

Сразу отметим, BBS невозможно внедрить с нуля в любой организации. Сначала стоит наладить работу системы управления охраной труда: например, пройти сертификацию по стандартам OHSAS 18001 и ISO 14001.

OHSAS 18001

Стандарт, который поможет внедрить систему менеджмента безопасности труда в организации. Сертификат OHSAS 18001 подтвердит, что организация соблюдает все требования охраны труда.

ISO 14001

Стандарт, в котором описаны правила управления экологическими рисками. Сертификат ISO 14001 подтверждает, что организация следует экологической политике и не наносит вред окружающей среде.

Практика показывает, что BBS лучше работает в компаниях, у которых есть своя медицинская служба и Программы поддержки работников. BBS фокусируется на поведении сотрудников, которое может меняться из-за проблем со здоровьем – за этим следит медслужба или из-за нестабильного эмоционального состояния – с этим помогают справиться Программы поддержки работников. Сотрудники, у которых есть серьезные личные проблемы, например злоупотребление алкоголем, нуждаются в специализированной помощи. Ее оказывают в рамках Программ поддержки работников. Это дает дополнительную возможность для успеха BBS.

Управленческому персоналу компании нужно вовлекать в BBS абсолютно всех сотрудников. Поэтому руководители должны сами следовать правилам безопасности и тем самым показывать работникам пример. Это также повысит доверие сотрудников к программе.

В одном из следующих номеров журнала мы расскажем об опыте внедрения программы BBS в российских организациях.

Как организовать наблюдения за работниками?

Шаг 1.

Сообщите работникам о наблюдении. Подчеркните, что его цель – не наказание, а улучшение условий труда и повышение безопасности на производстве.

Шаг 2.

Наблюдайте за сотрудником непосредственно в работе

Важно не давить на него своим присутствием, не отвлекать в неподходящее время – работник должен вести себя, как обычно

Наблюдателю стоит обращать внимание как на детали, так и на рабочий процесс в целом, и отмечать не только опасные действия работника, но и его безопасное поведение

Шаг 3.

Заметив опасные действия работника, остановите его и обсудите сложившуюся ситуацию. Если немедленной угрозы нет, можно выждать и поговорить с работником в более подходящий момент, чтобы не отвлекать его от работы. Внимательность и открытость наблюдателя поможет наладить контакт с сотрудником.

Шаг 4.

Спрашивайте сотрудника, в чем цель его действий. Попросите его рассказать:

  • какие опасности и риски есть на рабочем месте;
  • есть ли у него письменная инструкция (обычно работник ознакомлен с должностной инструкцией, но простых и четких правил безопасности на рабочем месте у него нет);
  • почему, по его мнению, вы остановили работу, какую ошибку он сделал.

Шаг 6.

Поинтересуйтесь, как, по мнению сотрудника, можно обезопасить работу: например, изменить технологический цикл, выбрать другие инструменты или СИЗ. Дайте работнику понять, что вам важен его взгляд на проблему. Тогда и он прислушается к вашим советам и замечаниям.

Шаг 7.

Заполните карту наблюдений: отметьте необходимые пункты и опишите проведенное наблюдение в секции для комментариев. Карту передают в отдел менеджмента для дальнейшей обработки.

Простые экологические правила

Это единые требования поведения работников для обеспечения экологической безопасности в компании. В НИПИГАЗ действуют 3 простых экологических правила, соблюдение которых поможет не допустить негативного воздействия на окружающую среду и рационально использовать природные ресурсы. Эти правила являются основой в постановке целевых экологических показателей всей компании.

Сортировка отходов

Отходы производства и потребления складируются только в специально отведенных местах накопления в строгом соответствии со специальной маркировкой и обозначениями на контейнерах.

Экономия воды и электроэнергии

Всегда необходимо закрывать водопроводные краны и выключать неиспользуемые лампы и светильники, компьютеры и другие электроприборы. Таким образом снижается нагрузка на окружающую среду и экономятся ценные ресурсы.

Не оставаться равнодушными

При обнаружении нарушений работниками правил и инструкций компании, которые могут привести к негативному воздействию на окружающую среду, обязательно нужно сделать замечание и сообщить об этом руководителю подразделения, в котором проводятся работы.

Что такое ПАБ?

Он является частью системы по охране труда на предприятии. Таким образом ПАБ представляет собой надзор за действиями сотрудника, а также за его рабочим местом в процессе выполнения определённого вида работ. После этого аудитор проводит беседу с сотрудником и сообщает все обнаруженные ошибки и несоблюдения тех или иных правил безопасности.

Процесс проведения проверки зависит от специфики и особенностей каждой конкретной организации, поэтому аудит регламентируется локальным документом, который составляется на предприятии.

Приказом назначаются члены комиссии и обозначаются подразделения, которые необходимо проверить.

Для наглядности рассмотрим ПАБ в виде таблицы:

Объект наблюденияЧто проверяется
Сотрудник, заметивший аудитора на своём рабочем месте
  • приводит в надлежащий вид свои средства защиты;
  • перестраивает рабочий процесс;
  • пытается скрыться от проверяющего;
  • меняет рабочую оснастку;
  • устанавливает необходимые защитные средства или ограждения.
Поза работника и его действия
  • служащий подвергает себя и других опасности;
  • рабочая поза работника небезопасна и может привести к падению или удару;
  • сотрудники вдыхают опасные и вредные вещества;
  • удар электричеством.
Использование специальной защитной одежды, обуви и других приспособлений
  • устанавливается степень соответствия средств ИЗ виду выполняемых работ;
  • проверяется наличие защитных средств;
  • используют ли сотрудники в ходе работы средства защиты;
  • проверяется правильное применение защиты.
Состояние рабочего инструмента и оборудования
  • проверяется исправность и безопасность производственного оборудования и приспособлений;
  • правильно ли использует персонал инструменты для работы;
  • не применяют ли самодельные приспособления.
Следование инструкциям, правилам и технологическим процессам
  • выясняется доступность на рабочих местах данных процедур и инструкций;
  • полностью ли все возможные риски и опасности прописаны в данной документации;
  • соблюдают ли работники все установленные правила;
  • все ли допуски к опасной работе вписаны в инструкции и наряды;
  • осуществляются или нет проверки и замеры воздушной среды.
Порядок и чистота на рабочем месте
  • каким образом поддерживается порядок и соответствует ли он установленному классу чистоты;
  • проверяется рациональность расположения на месте работы инструмента и оснастки.

ПАБ основан на взаимодействии аудитора и работника. Он является интерактивным процессом, в который включены не только проверяющая и проверяемая сторона, но и инструмент, оснастка, рабочее место и средства защиты, применяемые служащим в рабочем процессе.

Поведенческий аудит безопасности

На каждом предприятии существует техника безопасности, которую обязаны соблюдать все сотрудники, во избежание несчастных случаев или травматизма на производстве. Нарушение установленных правил безопасности грозит работнику выговором или боле серьёзным наказанием.

Вопросу охраны труда должно отводиться значительное место при проведении инструктажа нового служащего, поскольку от этого может зависеть его жизнь и здоровье. Но на практике всё чаще встречаются случаи халатного отношения к требованиям техники безопасности и пренебрежение установленными правилами и нормами.

Новый уровень обеспечения охраны труда заключается в выявлении возможных опасных ситуаций и в их предотвращении. На этих принципах и основывается поведенческий аудит безопасности (ПАБ), который широко применяется во многих организациях.

Анализ безопасного выполнения работ (АБВР)

Ключевое отличие АБВР от поведенческого аудита безопасности в том, что в АБВР оценка рисков происходит, когда работник только планирует что-то делать.

Пять шагов АБВР к успеху в безопасности

Шаг 1. Какие опасности существуют при выполнении данной работы?

Шаг 2. Какие могут быть последствия для людей и окружающей среды?

Шаг 3. Какие предпринять меры для защиты от этих опасностей?

Шаг 4. Что делать, если ситуация выйдет из под контроля?

Шаг 5. Можно ли начинать работу?

Этот метод встречается в западной литературе под названием «Метод 5 шагов». О нем, в частности, в интервью нашему журналу рассказывал директор по охране труда и промышленной безопасности группы НЛМК Павел Захаров.

Анализ Безопасности Выполнения Работы проводится с целью определения возможности безопасного выполнения работы непосредственно каждым работником и последующего применения им необходимых мер по предотвращению или снижению выявленных рисков.

Поделитесь в социальных сетях:FacebookTwitter
Напишите комментарий