GB∕T30146-2023 《安全與韌性 業(yè)務連續(xù)性管理體系 要求》“9.2 內部審核”理解與實施指導材料（2024A0）

“9.2內部審核”理解與實施指導材料GB∕T30146-2023《安全與韌性業(yè)務連續(xù)性管理體系要求》“9.2內部審核”理解與實施指導材料過程預期結果BCMS內部審核提供了一種機制，通過按計劃的時間間隔進行內部審核，用于衡量BCMS實現(xiàn)其目標的程度，確定BCMS是否符合GB∕T30146-2023要求以及組織自身對BCMS的要求，并且BCMS是否得到有效實施和保持，以及確定改進的機會；BCMS的內部審核為最高管理者確定BCMS適宜性和有效性提供信息，也為制定持續(xù)改進BCMS績效的目標提供依據(jù)?！?.2內部審核”條文理解與實施要點有關內部審核術語及其理解審核為獲得客觀證據(jù)并對其進行客觀的評價，以確定滿足審核準則的程度所進行的系統(tǒng)的、獨立的并形成文件的過程內部審核由組織自己或以組織的名義進行，用于管理評審和其他內部目的，可作為組織自我合格聲明的基礎；內部審核可以由與正在被審核的活動無責任關系的內審員進行，以證實獨立性。基于過程的管理體系審核按照組織已確定的過程和過程之間的相互關系來評價組織的質量管理體系，以確定其滿足審核準則的程度所進行的系統(tǒng)的、獨立的、形成文件的過程。公正性存在的客觀性?？陀^性意味著利益沖突不存在或已解決，從而不會對認證機構的活動產生不利影響；表述公正性要素的其他術語有：獨立、無利益沖突、沒有成見、沒有偏見、中立、公平、思想開明、不偏不倚、不受他人影響、平衡。審核方案針對特定時間段所策劃并具有特定目標的一組一次或多次審核安排審核計劃對審核活動和安排的描述審核準則用于與客觀證據(jù)進行比較的一組要求。如果審核準則是法定的包括法律或法規(guī)的要求，則審核發(fā)現(xiàn)中經常使用“合規(guī)”或“不合規(guī)”這兩個詞。要求可以包括方針、程序、作業(yè)指導書、法定要求、合同義務等。審核證據(jù)與審核準則有關并能夠證實的記錄、事實陳述或其他信息審核發(fā)現(xiàn)將收集的審核證據(jù)對照審核準則進行評價的結果審核發(fā)現(xiàn)表明符合或不符合。審核發(fā)現(xiàn)可導致識別改進的機會或記錄良好實踐。如果審核準則選自法律要求或法規(guī)要求，審核發(fā)現(xiàn)被稱為合規(guī)或不合規(guī)。審核結論考慮了審核目標和所有審核發(fā)現(xiàn)后得出的審核結果內部內審員/內審員指由本單位聘任的且符合規(guī)定條件的能夠勝任主持或者參與對本單位體系實施內部審核的人員。內審組實施內部審核的一名或多名內審員，需要時，由技術專家提供支持。審核組中的一名內審員被指定為審核組長。審核組可包括實習內審員。建立內部審核過程組織應策劃、建立、實施和保持一個或多個審核程序（或方案），包括：審核目的、范圍和準則，頻次、方法和能力要求；策劃和實施審核、報告審核結果和保存相關記錄的職責、能力和要求；進行審核和報告結果的職責；編制審核計劃；審核準備（審核通知、文件審核和編制檢查表）；內審員選擇和使用（審核員的選擇和審核的實施應確保審核過程的客觀性和公正性）；實施現(xiàn)場審核（確保審核過程客觀公正）；向管理者報告審核的結果（不符合提出與確認、編發(fā)審核報告）；及時采取適當?shù)募m正措施、跟蹤驗證等。內部審核策劃制定內部審核方案：組織應建立審核方案（見ISO19011）來指導審核的策劃和實施，并確定完成審核目標需要哪些審核。在策劃內部審核時，應考慮的輸入清單包括但不限于：組織業(yè)務性質：深入理解組織的業(yè)務性質是審核的基礎，包括業(yè)務范圍、運營模式、關鍵業(yè)務流程等。業(yè)務影響分析與風險評估成果：應參考最新的業(yè)務影響分析和風險評估數(shù)據(jù)，以識別關鍵業(yè)務功能和潛在風險點。關鍵過程的重要性：要識別并優(yōu)先考慮那些對業(yè)務連續(xù)性至關重要的過程。管理的優(yōu)先級：依據(jù)管理層確定的優(yōu)先級進行審核計劃的制定，確保關注最重要的領域。組織變更情況：任何可能影響業(yè)務連續(xù)性的組織變更，如結構調整、人員變動、技術更新等，都應納入審核考慮。BCMS的復雜性和成熟度：當前BCMS的復雜程度和成熟水平將直接影響審核的深度和廣度。過程績效數(shù)據(jù)：收集并分析關鍵過程的績效數(shù)據(jù)，以評估其穩(wěn)定性和改進潛力。投訴與反饋趨勢：內部和外部的投訴、反饋及舉報趨勢應作為審核的重要參考，以識別潛在問題和改進點。合規(guī)性要求與現(xiàn)狀：確保BCMS符合相關法律法規(guī)、標準和行業(yè)要求，并了解當前的合規(guī)狀況。歷史審核結果和問題記錄：以往的審核結果和問題歷史記錄應作為本次審核的輸入，以跟蹤問題的解決情況和驗證糾正措施的有效性。業(yè)務連續(xù)性管理體系內部審核策略內部審核方案的基礎：內部審核方案應該基于業(yè)務連續(xù)性管理體系（BCMS）的整體范圍來構建。審核方案應考慮BCMS的所有關鍵組成部分和要素，以確保其全面性和有效性；審核的覆蓋范圍：盡管內部審核方案是基于BCMS的全部范圍設計的，但每次具體的審核活動并不必同時覆蓋整個體系；審核的分期與周期性：只要審核方案能夠確保在組織規(guī)定的審核周期內，所有組織單位、職能、活動、體系要素以及BCMS的全部范圍都得到審核，那么審核就可以被分為若干個較小的部分或階段進行；審核的靈活性與全面性：通過將審核活動分解為較小的部分并在規(guī)定的審核周期內逐步完成，組織可以更加靈活地安排和管理其內部審核活動。確定審核頻次：組織根據(jù)具體情況確定內部審核的頻次，每年度應進行不少于1次覆蓋全要素、全部門的審核，兩次審核間隔不超過12個月。出現(xiàn)下列情況之一時，可追加審核：組織機構和職能分配有重大調整時；BCMS文件發(fā)生重大變更時；發(fā)生重大事故時等。確定審核頻次和覆蓋范圍：組織在確定審核頻次和覆蓋范圍時應考慮下列因素：業(yè)務連續(xù)性風險識別、風險分析和評價以及風險控制的結果；現(xiàn)有的業(yè)務連續(xù)性與績效；管理評審的結果；BCMS內外部環(huán)境的變化等。每次審核無需覆蓋BCMS全部。審核可分為若干部分進行，只要能夠在組織規(guī)定的審核期限內按照審核計劃覆蓋組織所有單位、活動和系統(tǒng)單元以及整個BCMS。開展一體化審核：審核應盡可能與其他內部審核結合進行,開展一體化審核，以提高審核效率、減少重復工作，并幫助組織更全面地了解其運營狀況。內部審核實施內部審核應由組織的管理者代表組織：內部審核應由高層管理人員，特別是管理者代表來組織和監(jiān)督；內審員的選擇與配備；確保審核人員的選擇，并明確其職責和要求，確保內部內審員具有相應的能力；應培養(yǎng)足夠數(shù)量的具有責任心的內部內審員，并通過相互間的交流和參與審核不斷提高其能力和素質。審核準備應對時間、人員、日程等進行策劃和安排；在審核準備階段，應對審核的時間、人員和日程進行詳細策劃和安排；確定審核的時間范圍，考慮組織的運營周期、關鍵活動和其他相關因素，以確保審核能夠在最佳時機進行；審核組應由具備相應資質的人員組成，確保審核人員的專業(yè)知識、經驗與受審核區(qū)域相適應。分配適當?shù)膶徍巳藛T到各個受審核區(qū)域，確保審核人員的專業(yè)知識、經驗與受審核區(qū)域相適應，并能夠按照計劃完成審核任務。制定詳細的審核日程，包括會議安排、現(xiàn)場訪問、文件審查等，以確保審核能夠有序、高效地進行。同時，應預留足夠的時間用于審核發(fā)現(xiàn)的分析和討論，以及與被審核方的溝通和反饋。組織可采用集中式審核、滾動式審核等方式開展內部審核，也可根據(jù)需要進行專業(yè)審核。內部審核還可與常規(guī)的檢查、考核等工作相結合。集中式審核、滾動式審核比較說明表審核方式特點應用策略優(yōu)點缺點集中式審核在特定時間段內對所有關鍵領域進行全面審核適用于規(guī)模較小或審核資源集中的組織全面覆蓋，一次性解決問題資源需求集中，可能造成短期壓力審核深度和廣度較高適用于需要全面了解組織狀況的場景審核結果具有整體性，易于管理決策可能存在時間上的限制，難以深入每個細節(jié)審核結果具有一致性易于發(fā)現(xiàn)跨部門的共性問題對于大型或復雜組織可能不夠靈活滾動式審核將審核活動分散在一段時間內，逐個審核業(yè)務領域適用于規(guī)模較大、業(yè)務領域多樣的組織靈活性高，可以持續(xù)監(jiān)控和改進審核結果的整合和分析可能更復雜審核過程具有連續(xù)性適用于需要持續(xù)改進和監(jiān)控的場景資源需求分散，減輕短期壓力可能存在不同審核周期之間的銜接問題便于優(yōu)先級的調整和管理可以重點關注高風險或關鍵業(yè)務領域對于快速變化的環(huán)境可能需要更頻繁地更新內部審核的人員資質與獨立性要求；審核人員的來源：BCMS的內部審核可以由組織內部的人員進行，組織可以依托自身的專業(yè)團隊來執(zhí)行審核任務。組織也可以選擇外部人員代表組織進行內部審核。這通常發(fā)生在組織內部缺乏足夠的專業(yè)知識或資源，或者需要引入第三方的獨立視角來增強審核的客觀性和公信力時；審核人員的資質要求：無論審核是由內部人員還是外部人員進行，進行審核的人員都必須具備相應的專業(yè)能力和資質，以確保他們能夠勝任審核工作；審核的公正性與客觀性：審核人員在進行內部審核時，必須保持公正和客觀的態(tài)度。他們不應受到任何可能影響其判斷獨立性的利益沖突或不當影響；審核員的獨立性證明：在較小的組織中，由于人員相對較少，可能存在審核員與被審核活動之間存在直接關聯(lián)的情況。為了證明審核員的獨立性，組織需要確保審核員不負責所審核的活動。內部審核流程主要包括：成立審核組，委派審核組長；制定并溝通審核實施計劃；編制檢查清單；實施現(xiàn)場審核；審核員善于現(xiàn)場觀察、雙向溝通和咨詢輔導，管理缺陷得到追溯，好的做法得以總結，審核

客觀公正，真實反映實際；各部門和員工能夠積極配合審核活動，主動反映實際情況。發(fā)現(xiàn)不符合；編制審核報告。確保將審核結果上報相關管理者；審核組應向相關管理者和管理層報告審核結果，審核報告是管理評審的重要輸入。審核組長應編制審核報告，審核報告應包括審核目的與審核依據(jù)、審核時間、審核組成員、審核范圍和主要審核的內容、審核發(fā)現(xiàn)的不符合、審核結論。深入分析審核結果，對審核發(fā)現(xiàn)的不符合和問題進行分級分類，系統(tǒng)查找管理短板，采取有效的糾正措施，并進行跟蹤驗證，確保問題的產生原因得到徹底消除；評審和改進內部審核程序（方案）。保留成文信息，作為實施內部審核程序（方案）以及審核結果的證據(jù)。審核結果的示例可包括審核報告、所采取的糾正或糾正措施的證據(jù)（如培訓、更新的成文信息）。內部審核結果需作為管理評審的輸入。BCMS內部審核結果的報告與應用BCMS內部審核的結果可以報告的形式提供，并用于糾正或預防具體的不符合，并為開展管理評審提供輸入。內部審核結果的形式：BCM的內部審核結果應以報告的形式提供。這種報告應詳細、清晰地概述審核發(fā)現(xiàn)，包括符合與不符合項，并提供相關證據(jù)和支持信息。糾正與預防措施：審核報告應被用作糾正或預防具體不符合項的依據(jù)。對于發(fā)現(xiàn)的任何不符合項，組織應制定相應的糾正措施，以消除不符合的原因，并防止其再次發(fā)生。同時，為了預防潛在的不符合項，組織還應基于審核結果制定預防措施。管理評審的輸入：審核報告還應為管理評審提供輸入。管理評審是組織高層對BCMS的整體效能和適宜性進行的評價。內部審核結果作為管理評審的輸入，有助于高層管理者了解BCMS的實際運行情況，識別改進機會，并作出與業(yè)務連續(xù)性目標相一致的決策。第二部分：“9.2內部審核”流程分析與實施過程輸入活動（工作流程圖）過程輸出技術、工具和方法BCMS運行狀態(tài)及過程實施概覽組織活動的業(yè)務連續(xù)性風險評估概覽關鍵過程的重要性、歷史變化影響及以往審核結果概覽過程的關鍵性與管理優(yōu)先級概覽BCMS的復雜程度與成熟度概覽過程績效數(shù)據(jù)概覽組織內容的變更或調整情況概覽相關方投訴趨勢分析概覽法規(guī)與合規(guī)性問題概覽既定的內部審核方案與計劃概覽BCMS符合性與有效性定期評價報告年度BCMS內部審核策劃方案BCMS內部審核執(zhí)行時間表BCMS內部審核通知BCMS內部審核會議簽到與紀要BCMS內部審核現(xiàn)場檢查記錄BCMS內部審核不符合項總結報告BCMS內部審核綜合報告BCMS內審員績效評估BCMS內審員資質檔案文檔審查訪談與問卷調研文件查閱記錄、數(shù)據(jù)與存檔檢索業(yè)務流程分析現(xiàn)場巡查與觀察驗證與比對多媒體資料調閱統(tǒng)計抽樣信息與通信技術（I