GB∕T30146-2023 《安全與韌性 業(yè)務(wù)連續(xù)性管理體系 要求》“9.2 內(nèi)部審核”理解與實施指導(dǎo)材料（2024A0）

“9.2內(nèi)部審核”理解與實施指導(dǎo)材料GB∕T30146-2023《安全與韌性業(yè)務(wù)連續(xù)性管理體系要求》“9.2內(nèi)部審核”理解與實施指導(dǎo)材料過程預(yù)期結(jié)果BCMS內(nèi)部審核提供了一種機制，通過按計劃的時間間隔進行內(nèi)部審核，用于衡量BCMS實現(xiàn)其目標(biāo)的程度，確定BCMS是否符合GB∕T30146-2023要求以及組織自身對BCMS的要求，并且BCMS是否得到有效實施和保持，以及確定改進的機會；BCMS的內(nèi)部審核為最高管理者確定BCMS適宜性和有效性提供信息，也為制定持續(xù)改進BCMS績效的目標(biāo)提供依據(jù)?！?.2內(nèi)部審核”條文理解與實施要點有關(guān)內(nèi)部審核術(shù)語及其理解審核為獲得客觀證據(jù)并對其進行客觀的評價，以確定滿足審核準(zhǔn)則的程度所進行的系統(tǒng)的、獨立的并形成文件的過程內(nèi)部審核由組織自己或以組織的名義進行，用于管理評審和其他內(nèi)部目的，可作為組織自我合格聲明的基礎(chǔ)；內(nèi)部審核可以由與正在被審核的活動無責(zé)任關(guān)系的內(nèi)審員進行，以證實獨立性?；谶^程的管理體系審核按照組織已確定的過程和過程之間的相互關(guān)系來評價組織的質(zhì)量管理體系，以確定其滿足審核準(zhǔn)則的程度所進行的系統(tǒng)的、獨立的、形成文件的過程。公正性存在的客觀性。客觀性意味著利益沖突不存在或已解決，從而不會對認證機構(gòu)的活動產(chǎn)生不利影響；表述公正性要素的其他術(shù)語有：獨立、無利益沖突、沒有成見、沒有偏見、中立、公平、思想開明、不偏不倚、不受他人影響、平衡。審核方案針對特定時間段所策劃并具有特定目標(biāo)的一組一次或多次審核安排審核計劃對審核活動和安排的描述審核準(zhǔn)則用于與客觀證據(jù)進行比較的一組要求。如果審核準(zhǔn)則是法定的包括法律或法規(guī)的要求，則審核發(fā)現(xiàn)中經(jīng)常使用“合規(guī)”或“不合規(guī)”這兩個詞。要求可以包括方針、程序、作業(yè)指導(dǎo)書、法定要求、合同義務(wù)等。審核證據(jù)與審核準(zhǔn)則有關(guān)并能夠證實的記錄、事實陳述或其他信息審核發(fā)現(xiàn)將收集的審核證據(jù)對照審核準(zhǔn)則進行評價的結(jié)果審核發(fā)現(xiàn)表明符合或不符合。審核發(fā)現(xiàn)可導(dǎo)致識別改進的機會或記錄良好實踐。如果審核準(zhǔn)則選自法律要求或法規(guī)要求，審核發(fā)現(xiàn)被稱為合規(guī)或不合規(guī)。審核結(jié)論考慮了審核目標(biāo)和所有審核發(fā)現(xiàn)后得出的審核結(jié)果內(nèi)部內(nèi)審員/內(nèi)審員指由本單位聘任的且符合規(guī)定條件的能夠勝任主持或者參與對本單位體系實施內(nèi)部審核的人員。內(nèi)審組實施內(nèi)部審核的一名或多名內(nèi)審員，需要時，由技術(shù)專家提供支持。審核組中的一名內(nèi)審員被指定為審核組長。審核組可包括實習(xí)內(nèi)審員。建立內(nèi)部審核過程組織應(yīng)策劃、建立、實施和保持一個或多個審核程序（或方案），包括：審核目的、范圍和準(zhǔn)則，頻次、方法和能力要求；策劃和實施審核、報告審核結(jié)果和保存相關(guān)記錄的職責(zé)、能力和要求；進行審核和報告結(jié)果的職責(zé)；編制審核計劃；審核準(zhǔn)備（審核通知、文件審核和編制檢查表）；內(nèi)審員選擇和使用（審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性）；實施現(xiàn)場審核（確保審核過程客觀公正）；向管理者報告審核的結(jié)果（不符合提出與確認、編發(fā)審核報告）；及時采取適當(dāng)?shù)募m正措施、跟蹤驗證等。內(nèi)部審核策劃制定內(nèi)部審核方案：組織應(yīng)建立審核方案（見ISO19011）來指導(dǎo)審核的策劃和實施，并確定完成審核目標(biāo)需要哪些審核。在策劃內(nèi)部審核時，應(yīng)考慮的輸入清單包括但不限于：組織業(yè)務(wù)性質(zhì)：深入理解組織的業(yè)務(wù)性質(zhì)是審核的基礎(chǔ)，包括業(yè)務(wù)范圍、運營模式、關(guān)鍵業(yè)務(wù)流程等。業(yè)務(wù)影響分析與風(fēng)險評估成果：應(yīng)參考最新的業(yè)務(wù)影響分析和風(fēng)險評估數(shù)據(jù)，以識別關(guān)鍵業(yè)務(wù)功能和潛在風(fēng)險點。關(guān)鍵過程的重要性：要識別并優(yōu)先考慮那些對業(yè)務(wù)連續(xù)性至關(guān)重要的過程。管理的優(yōu)先級：依據(jù)管理層確定的優(yōu)先級進行審核計劃的制定，確保關(guān)注最重要的領(lǐng)域。組織變更情況：任何可能影響業(yè)務(wù)連續(xù)性的組織變更，如結(jié)構(gòu)調(diào)整、人員變動、技術(shù)更新等，都應(yīng)納入審核考慮。BCMS的復(fù)雜性和成熟度：當(dāng)前BCMS的復(fù)雜程度和成熟水平將直接影響審核的深度和廣度。過程績效數(shù)據(jù)：收集并分析關(guān)鍵過程的績效數(shù)據(jù)，以評估其穩(wěn)定性和改進潛力。投訴與反饋趨勢：內(nèi)部和外部的投訴、反饋及舉報趨勢應(yīng)作為審核的重要參考，以識別潛在問題和改進點。合規(guī)性要求與現(xiàn)狀：確保BCMS符合相關(guān)法律法規(guī)、標(biāo)準(zhǔn)和行業(yè)要求，并了解當(dāng)前的合規(guī)狀況。歷史審核結(jié)果和問題記錄：以往的審核結(jié)果和問題歷史記錄應(yīng)作為本次審核的輸入，以跟蹤問題的解決情況和驗證糾正措施的有效性。業(yè)務(wù)連續(xù)性管理體系內(nèi)部審核策略內(nèi)部審核方案的基礎(chǔ)：內(nèi)部審核方案應(yīng)該基于業(yè)務(wù)連續(xù)性管理體系（BCMS）的整體范圍來構(gòu)建。審核方案應(yīng)考慮BCMS的所有關(guān)鍵組成部分和要素，以確保其全面性和有效性；審核的覆蓋范圍：盡管內(nèi)部審核方案是基于BCMS的全部范圍設(shè)計的，但每次具體的審核活動并不必同時覆蓋整個體系；審核的分期與周期性：只要審核方案能夠確保在組織規(guī)定的審核周期內(nèi)，所有組織單位、職能、活動、體系要素以及BCMS的全部范圍都得到審核，那么審核就可以被分為若干個較小的部分或階段進行；審核的靈活性與全面性：通過將審核活動分解為較小的部分并在規(guī)定的審核周期內(nèi)逐步完成，組織可以更加靈活地安排和管理其內(nèi)部審核活動。確定審核頻次：組織根據(jù)具體情況確定內(nèi)部審核的頻次，每年度應(yīng)進行不少于1次覆蓋全要素、全部門的審核，兩次審核間隔不超過12個月。出現(xiàn)下列情況之一時，可追加審核：組織機構(gòu)和職能分配有重大調(diào)整時；BCMS文件發(fā)生重大變更時；發(fā)生重大事故時等。確定審核頻次和覆蓋范圍：組織在確定審核頻次和覆蓋范圍時應(yīng)考慮下列因素：業(yè)務(wù)連續(xù)性風(fēng)險識別、風(fēng)險分析和評價以及風(fēng)險控制的結(jié)果；現(xiàn)有的業(yè)務(wù)連續(xù)性與績效；管理評審的結(jié)果；BCMS內(nèi)外部環(huán)境的變化等。每次審核無需覆蓋BCMS全部。審核可分為若干部分進行，只要能夠在組織規(guī)定的審核期限內(nèi)按照審核計劃覆蓋組織所有單位、活動和系統(tǒng)單元以及整個BCMS。開展一體化審核：審核應(yīng)盡可能與其他內(nèi)部審核結(jié)合進行,開展一體化審核，以提高審核效率、減少重復(fù)工作，并幫助組織更全面地了解其運營狀況。內(nèi)部審核實施內(nèi)部審核應(yīng)由組織的管理者代表組織：內(nèi)部審核應(yīng)由高層管理人員，特別是管理者代表來組織和監(jiān)督；內(nèi)審員的選擇與配備；確保審核人員的選擇，并明確其職責(zé)和要求，確保內(nèi)部內(nèi)審員具有相應(yīng)的能力；應(yīng)培養(yǎng)足夠數(shù)量的具有責(zé)任心的內(nèi)部內(nèi)審員，并通過相互間的交流和參與審核不斷提高其能力和素質(zhì)。審核準(zhǔn)備應(yīng)對時間、人員、日程等進行策劃和安排；在審核準(zhǔn)備階段，應(yīng)對審核的時間、人員和日程進行詳細策劃和安排；確定審核的時間范圍，考慮組織的運營周期、關(guān)鍵活動和其他相關(guān)因素，以確保審核能夠在最佳時機進行；審核組應(yīng)由具備相應(yīng)資質(zhì)的人員組成，確保審核人員的專業(yè)知識、經(jīng)驗與受審核區(qū)域相適應(yīng)。分配適當(dāng)?shù)膶徍巳藛T到各個受審核區(qū)域，確保審核人員的專業(yè)知識、經(jīng)驗與受審核區(qū)域相適應(yīng)，并能夠按照計劃完成審核任務(wù)。制定詳細的審核日程，包括會議安排、現(xiàn)場訪問、文件審查等，以確保審核能夠有序、高效地進行。同時，應(yīng)預(yù)留足夠的時間用于審核發(fā)現(xiàn)的分析和討論，以及與被審核方的溝通和反饋。組織可采用集中式審核、滾動式審核等方式開展內(nèi)部審核，也可根據(jù)需要進行專業(yè)審核。內(nèi)部審核還可與常規(guī)的檢查、考核等工作相結(jié)合。集中式審核、滾動式審核比較說明表審核方式特點應(yīng)用策略優(yōu)點缺點集中式審核在特定時間段內(nèi)對所有關(guān)鍵領(lǐng)域進行全面審核適用于規(guī)模較小或?qū)徍速Y源集中的組織全面覆蓋，一次性解決問題資源需求集中，可能造成短期壓力審核深度和廣度較高適用于需要全面了解組織狀況的場景審核結(jié)果具有整體性，易于管理決策可能存在時間上的限制，難以深入每個細節(jié)審核結(jié)果具有一致性易于發(fā)現(xiàn)跨部門的共性問題對于大型或復(fù)雜組織可能不夠靈活滾動式審核將審核活動分散在一段時間內(nèi)，逐個審核業(yè)務(wù)領(lǐng)域適用于規(guī)模較大、業(yè)務(wù)領(lǐng)域多樣的組織靈活性高，可以持續(xù)監(jiān)控和改進審核結(jié)果的整合和分析可能更復(fù)雜審核過程具有連續(xù)性適用于需要持續(xù)改進和監(jiān)控的場景資源需求分散，減輕短期壓力可能存在不同審核周期之間的銜接問題便于優(yōu)先級的調(diào)整和管理可以重點關(guān)注高風(fēng)險或關(guān)鍵業(yè)務(wù)領(lǐng)域?qū)τ诳焖僮兓沫h(huán)境可能需要更頻繁地更新內(nèi)部審核的人員資質(zhì)與獨立性要求；審核人員的來源：BCMS的內(nèi)部審核可以由組織內(nèi)部的人員進行，組織可以依托自身的專業(yè)團隊來執(zhí)行審核任務(wù)。組織也可以選擇外部人員代表組織進行內(nèi)部審核。這通常發(fā)生在組織內(nèi)部缺乏足夠的專業(yè)知識或資源，或者需要引入第三方的獨立視角來增強審核的客觀性和公信力時；審核人員的資質(zhì)要求：無論審核是由內(nèi)部人員還是外部人員進行，進行審核的人員都必須具備相應(yīng)的專業(yè)能力和資質(zhì)，以確保他們能夠勝任審核工作；審核的公正性與客觀性：審核人員在進行內(nèi)部審核時，必須保持公正和客觀的態(tài)度。他們不應(yīng)受到任何可能影響其判斷獨立性的利益沖突或不當(dāng)影響；審核員的獨立性證明：在較小的組織中，由于人員相對較少，可能存在審核員與被審核活動之間存在直接關(guān)聯(lián)的情況。為了證明審核員的獨立性，組織需要確保審核員不負責(zé)所審核的活動。內(nèi)部審核流程主要包括：成立審核組，委派審核組長；制定并溝通審核實施計劃；編制檢查清單；實施現(xiàn)場審核；審核員善于現(xiàn)場觀察、雙向溝通和咨詢輔導(dǎo)，管理缺陷得到追溯，好的做法得以總結(jié)，審核

客觀公正，真實反映實際；各部門和員工能夠積極配合審核活動，主動反映實際情況。發(fā)現(xiàn)不符合；編制審核報告。確保將審核結(jié)果上報相關(guān)管理者；審核組應(yīng)向相關(guān)管理者和管理層報告審核結(jié)果，審核報告是管理評審的重要輸入。審核組長應(yīng)編制審核報告，審核報告應(yīng)包括審核目的與審核依據(jù)、審核時間、審核組成員、審核范圍和主要審核的內(nèi)容、審核發(fā)現(xiàn)的不符合、審核結(jié)論。深入分析審核結(jié)果，對審核發(fā)現(xiàn)的不符合和問題進行分級分類，系統(tǒng)查找管理短板，采取有效的糾正措施，并進行跟蹤驗證，確保問題的產(chǎn)生原因得到徹底消除；評審和改進內(nèi)部審核程序（方案）。保留成文信息，作為實施內(nèi)部審核程序（方案）以及審核結(jié)果的證據(jù)。審核結(jié)果的示例可包括審核報告、所采取的糾正或糾正措施的證據(jù)（如培訓(xùn)、更新的成文信息）。內(nèi)部審核結(jié)果需作為管理評審的輸入。BCMS內(nèi)部審核結(jié)果的報告與應(yīng)用BCMS內(nèi)部審核的結(jié)果可以報告的形式提供，并用于糾正或預(yù)防具體的不符合，并為開展管理評審提供輸入。內(nèi)部審核結(jié)果的形式：BCM的內(nèi)部審核結(jié)果應(yīng)以報告的形式提供。這種報告應(yīng)詳細、清晰地概述審核發(fā)現(xiàn)，包括符合與不符合項，并提供相關(guān)證據(jù)和支持信息。糾正與預(yù)防措施：審核報告應(yīng)被用作糾正或預(yù)防具體不符合項的依據(jù)。對于發(fā)現(xiàn)的任何不符合項，組織應(yīng)制定相應(yīng)的糾正措施，以消除不符合的原因，并防止其再次發(fā)生。同時，為了預(yù)防潛在的不符合項，組織還應(yīng)基于審核結(jié)果制定預(yù)防措施。管理評審的輸入：審核報告還應(yīng)為管理評審提供輸入。管理評審是組織高層對BCMS的整體效能和適宜性進行的評價。內(nèi)部審核結(jié)果作為管理評審的輸入，有助于高層管理者了解BCMS的實際運行情況，識別改進機會，并作出與業(yè)務(wù)連續(xù)性目標(biāo)相一致的決策。第二部分：“9.2內(nèi)部審核”流程分析與實施過程輸入活動（工作流程圖）過程輸出技術(shù)、工具和方法BCMS運行狀態(tài)及過程實施概覽組織活動的業(yè)務(wù)連續(xù)性風(fēng)險評估概覽關(guān)鍵過程的重要性、歷史變化影響及以往審核結(jié)果概覽過程的關(guān)鍵性與管理優(yōu)先級概覽BCMS的復(fù)雜程度與成熟度概覽過程績效數(shù)據(jù)概覽組織內(nèi)容的變更或調(diào)整情況概覽相關(guān)方投訴趨勢分析概覽法規(guī)與合規(guī)性問題概覽既定的內(nèi)部審核方案與計劃概覽BCMS符合性與有效性定期評價報告年度BCMS內(nèi)部審核策劃方案BCMS內(nèi)部審核執(zhí)行時間表BCMS內(nèi)部審核通知BCMS內(nèi)部審核會議簽到與紀(jì)要BCMS內(nèi)部審核現(xiàn)場檢查記錄BCMS內(nèi)部審核不符合項總結(jié)報告BCMS內(nèi)部審核綜合報告BCMS內(nèi)審員績效評估BCMS內(nèi)審員資質(zhì)檔案文檔審查訪談與問卷調(diào)研文件查閱記錄、數(shù)據(jù)與存檔檢索業(yè)務(wù)流程分析現(xiàn)場巡查與觀察驗證與比對多媒體資料調(diào)閱統(tǒng)計抽樣信息與通信技術(shù)（I