内部审核
7.2.1内审过程
内审从某种角度来说是正式审核的第一次演习,因此在策划、准备和实施上可
以采用正式审核通常采用的六阶段法。
(1)scheduling安排进度
(2)planningandpreparation策划和准备
(3)conductingtheaudit,recordingthefindings实施审核并记录发现
(4)reportingtheresul日报告审核结果
(5) recording and agreeing proposed corrective/preventive actions and timescales
记录并沟通所提交的纠正/预防/处理措施及其时间表
(4)reportingtheresul日报告审核结果
(5) recording and agreeing proposed corrective/preventive actions and timescales
记录并沟通所提交的纠正/预防/处理措施及其时间表
(6)followingupactions跟踪措施
总体而言,与正式审核相比,内部审核应更为广泛和严格。发现问题宜早不宜迟,组织可以以内部审核为契机,进行拾缺补漏的工作,在正式审核前完成相应改进。
对于那些组织架构复杂、ISO20000流程实施周期较长、基础薄弱、改进内容较多、认证实践工作相对时间充裕的组织来说,可以适当安排多次内部审核,循环迭代使用六阶段法,将体系中存在的不符合内容逐步减少。
对于那些组织架构复杂、ISO20000流程实施周期较长、基础薄弱、改进内容较多、认证实践工作相对时间充裕的组织来说,可以适当安排多次内部审核,循环迭代使用六阶段法,将体系中存在的不符合内容逐步减少。
7. 2. 2
内审员
内审不仅在正式审核前需要,在获得认证之后的体系运转中也是不可少的,因
此组织通常需要培养两名以上的内审员。通过培训和考试取得ISO20000内审员资
格的人员,将能够:
此组织通常需要培养两名以上的内审员。通过培训和考试取得ISO20000内审员资
格的人员,将能够:
按照ISO20000标准的要求有效地执行内部审核;
巻够半圆形
·准备有效内审的计划安排;
选择适合于组织安全风险的内部审核方法;
利用检查表、流程图等其他有效的辅助技术手段;
在现场执行有效的内审以帮助组织实现持续改进;
在现场执行有效的内审以帮助组织实现持续改进;
成为组织建立、实施和保持IT服务管理体系的必备人员。
7. 2. 3
内审计划和内审检查表
制定内审计划和内审检查表是审核第二阶段策划准备、第三阶段实施审核并记录发现的重要工作内容。
1.内审计划编制要点
(1)对于组织规模较大的情况,分组化的审核是合适的方式,相对减少整个审核周期,在后续的各类审核中同样适用。
(2)幻内部审核阶段即可按照正式审核的形式进行,如召开首次审核会议和末次审核会议。
(3)审核既可按照组织机构划分进行,也可按照管理流程划分进行。对于已经将管理流程职责对应到子部门的组织来说,按照组织架构来进行评审便于召集人员。
(4)制定内审计划应综合考虑在各部门和流程间的时间分配。
2.内审检查表的编制要点
(1)内审检查项应覆盖管理体系的1-4级文档,检查点在ISO20000标准的基础上,可增加组织在接受内外部审计时的常见问题。一些大型企业或上市公司,在历年的内外部审计中已经积累了相当的经验,对于管理体系中的问题和难点也有充分的认识,可以在内部审计时重点模拟这些检查点。
(2)评审结果通常可分为4种:通过、缺记录、不熟悉、不通过。对于缺少记录和不通过的检查点,应在内审报告中予以重点说明,并在内审结束后制定计划及时改进。
(3)流程与流程的关联也是内审的重点,交叉地带往往是基于流程的管理体系的薄弱之处。内部审核时不仅需要了解关联是松耦合还是紧耦合,同时要检查管理职责是否明确,在双方的管理文档中是否都有定义和说明。
7. 2. 4
全员流程识别全员流程识别是ISO20000管理职责中人员管理的一项重要内容,组织可以在完成流程建制后着手开展此项工作,在时间上既可安排在试运行后期进行,也可以与内部审核并行。流程识别结果在后续审核中同样将作为重要的基础文档,成为审核的辅助工具,流程识别示例详见表7-3.
表7-3的流程识别范例是组织内ISO20000质量经理的识别结果,从中需要注意的是:
(1)整个流程识别必须覆盖所有ISO20000流程和流程角色。流程角色名称应与各流程二级管理文档对应;
(2)流程工作描述和产出物可在一、三级管理文档定义的基础上进行补充和调整,也可由各部门和各流程经理提交补充内容;
(3)接口部门和流程的信息应尽可能填写详尽。
从某种程度上说,全员流程识别不仅对内部审核的组织和安排起到一定作用,对于组织提升矩阵式管理水平也有很好的帮助,是一项常做常新的基础性工作。
7. 2. 5
7. 2. 5
内审报告
在完成内部审核检査后,审核小组需要完成内审报告和不符合项表等审核结果文档的撰写。
1.内审报告
内部审核小组可综合整个内审阶段的情况,撰写IT服务管理体系内部审计差距报告。内审报告通常包含审核结果和改进建议等方面内容,覆盖管理体系和13个管理流程:
报告目标
审核过程工程
审核结果
审核结果
·改进建议
下一阶段计划
显而易见的是,虽然采用了同样的访谈和抽样的审核方式,但内部审核往往比外部机构正式审核能够发现更多的问题和不足。组织在编写内审报告时,切忌讳疾忌医,而应及时查找原因制定改进计划。
2.不符合项情况表
通常一份不符合项情况表可包括以下部分:
·不符合项描述
·抽样数据
·原因分析
·纠正计划
·整改实施情况
验证情况在内部审核阶段,不符合项情况表并非一张判决书而是一帖药方,需要明确责
任部门,并跟踪落实整改情况,直至相应不符合的情况消失。除了以上的形式,组织还可以采用各种统计报告的方式,反馈内部审核的结果,将其内容及时传达至管理体系中相关人员,以推动PDCA的进行。
任部门,并跟踪落实整改情况,直至相应不符合的情况消失。除了以上的形式,组织还可以采用各种统计报告的方式,反馈内部审核的结果,将其内容及时传达至管理体系中相关人员,以推动PDCA的进行。
7. 2. 6
内审后改进
组织在完成内部审核工作后,应立足于内审报告和不符合项表等内容,加快完成以下三方面工作:
(1)幻依据内审报告全面考虑体系的实施运行和监控中仍需要改进的地方;
(2)依照内审报告中的待办事项,按既定时间计划一一落实;积极准备ISO20000的正式审核工作,及时和外部审核机构沟通认证实践的
(3)进展。
(1)幻依据内审报告全面考虑体系的实施运行和监控中仍需要改进的地方;
(2)依照内审报告中的待办事项,按既定时间计划一一落实;积极准备ISO20000的正式审核工作,及时和外部审核机构沟通认证实践的
(3)进展。
对于不符合项较多的情况,组织可根据认证工作整体时间计划,适当安排多次内部审核,为外部审核做好充足准备。