审核后的工作

通过认证审核后，组织需要完成的长期工作包括复审、复评以及建立回顾机制，推动ISO20000管理体系不断改进完善。在以上各章节已经充分介绍历次审核过程的基础上，本节将不再重复介绍ISO20000复审的具体过程，如复审计划的制定、复审准备、现场审核和复审报告的撰写和确认等内容，而将重点介绍复审工作的特殊性和区别，并给出一些复审准备的建议。

复审和复评

在IT组织通过正式审核并获取证书后，集中式的认证工作告一段落。但每年度仍将接受证书颁发机构的复核审计，体系改进的工作仍然任重而道远。

1.什么是复审

复审又称为监督评审，是指组织获得IS0体系认证证书后，评审机构对组织进行的后续审核。自首次审核起，第一次复审为半年以后，此后每年进行一次监督评审，为有计划的抽样方式；三年进行一次全面复审，覆盖标准的全部条款。即在每个审核周期结束时(或在需要时提前)，将对全部体系进行复评。

具体到ISO20000认证复审，审核目的是验证IT服务管理体系运行的持续有效性和符合性。国际标准化组织(ISO)依靠被其认可的第三方独立评审机构的定期审査来验证ISO20000IT服务管理体系的持续有效。

2.复审与正审的区别

从组成上来说，复审包括了从内审到正审的全过程，区别在于以下三点。
(1)对于规模较大的组织，在复审期间，审核机构往往只进行抽样审计，即审核部分领域和流程。审核以抽样方式进行，因而某些不符合项可能存在但没有被识别出。正审则必须覆盖所有流程和领域，整体体系没有不符合项才能获得认证。
(2)接受复审的组织不能简单地认为复审是“缩减版”的审核，仍需要组织对于全部的管理领域和管理流程进行全面的内部检查。其中检查重点是：
 · 文档的变更和更新

 ·执行、检査和改进的记录服务报告

 ·观察项

尤其是观察项，是之前正式审核中所发现的“遗留物 · ，需要组织在复审前完成改进，这些条目通常也是审核机构复审的重点部分。

(3)正式审核是“从无到有”的过程，监督审核是“从有到优”的过程。在复审过程中，审核机构更关注体系的循环改进，希望看到组织在达到标准要求的基础上有所提升。

3.复审不通过的情况

复核审计未能通过且纠正追踪仍不通过的组织，证书颁发机构将取消该证书，并在官方网站上定期公布所有被取消证书的企业和组织名单。

从证书有效性来说，年度复审对于已获得证书的企业而言绝非走形式，而是一项相当重要的工作。

事实上，经过认证阶段的几次审核，IT组织对于如何准备和应对审核已经有了一定经验。在复审前，需要做的就是做一些更细致的、针对性的准备工作。对于复审准备的参考建议如下。

(1)幻在认证过程中采用的各种有效的方式方法可以适当保留，在复审和复评工作中可以继续发挥较好的效用。同时，组织应努力推动ISO20000工作从集中式、项目式的认证活动向日常化流程化的管理实践转变，将集中认证阶段所积累的经验和收获融合进日常管理体系。只有这样，组织才能实现真正意义上的PDCA，也才能胸有成竹地迎接复审工作。

(2)在通过认证和第一次年度复审期间，组织的ISO20000体系经过一段时间的运行，往往会发现一些在认证过程中制定的流程规范和KPI指标已经不太适合实际情况，需要流程经理等管理人员对此进行重新审视，对管理文档和KPI进行及时修订。

(3)在现场复审时，组织可以先对通过认证后一年来流程体系取得的改进和提升做正面的报告，以使审核员了解该组织在遵循PDCA上所取得的效果。

对于些准备细致充分、针对性强，同时在通过认证后的这段时间继续深入推动PDCA循环改进和落实的组织而言，顺利地通过年度复审不是唯一目标，力争使每一年度的复审成为自身提升服务管理水平的催化剂才是真正的目标。