业务连续性问与答Q20:业务连续性管理中的审核(上)
问题:怎么做业务连续性管理审核? 解题: 审核作为一项监督和评价机制,早已被纳入业务连续性管理并作为使其有效运行的重要手段。与评估类似,审核也有审核主体、审核对象、审核目的、审核程序、审核准则、审核结论等审核要素;但审核还通过审核方案、审核员的能力与评价等方面补齐了一般评估在系统性、专家遴选方面的短板。下面从审核基础(概念及其与评估的关系)、业务连续性管理中的审核、业务连续性管理审核的实施以及审核员的能力与评价分别予以探讨。相关的问题包括: “根据监管要求,我们银行每年一季度要向监管机构提交业务连续性审计报告,具体该怎么做呢?” “领导想请一家外部机构对我们的业务连续性管理情况进行审核,是不是就是要做ISO 22301 BCMS认证呢?” ……
1.审核基础
审核及相关概念
审核 (auditing) ,也作审计,《审计学:一种整合方法》给出的定义是:“由胜任的独立人员为确定和报告特定信息与既定标准间的符合程度而收集和评价有关这些信息的证据的过程” (auditing is the accumulation and evaluation of evidence about information to determine and report on the degree of correspondence between the information and established criteria. Auditing should be done by a competent, independent person) 。这个定义包含了几个关键词汇和短语:信息和既定标准,收集并评价证据,胜任的独立人员以及报告,下面逐一予以解释。
信息和既定标准 :要执行审核,必须存在可验证的信息以及审核员用来评价这些信息的标准。存在的信息是多种多样的,审核员既可以对具体的公司财务报表进行审核,也可以对较为主观抽象的信息(如信息系统的运行效率)进行审核。用以评价信息的标准会随被审核信息的不同而变化,如历史财务报表审核中所依据的标准可能是美国公认会计原则 (generally accepted accounting principles, GAPP) ,对于较为抽象的信息,确定其评价标准就更加困难。一般而言,审核员和受审核方应该在审核开始之前就相关标准达成共识。
收集并评价证据 证据 (evidence) 是审核员用来确定被审核信息是否按既定标准表述的所有资料。审核证据的形式多种多样,包括交易的电子和其他数据、与外部的书面和电子联系、审核员的观察以及受审核方的口头表述等。获得充分、适当的审核证据对于实现审核目的是非常重要的。审核员必须确定证据的必要类型和数量,评价信息与既定标准是否相符。这是每一次审核的关键环节。
胜任的独立人员 审核员必须具备理解所用标准的能力,能够了解应收集的证据类型与数量,以期在检查相关证据后得出恰当的审核结论。此外,审核员还应具备独立的精神态度。如果一名具备胜任能力的审核员在收集和评价证据时带有偏见,其审核的价值也将荡然无存。
报告 审核过程的最后阶段就是编写审核报告 (audit report,即审核报告) ,这是审核员向审核委托方等传达审核结果的一种手段。虽然各种审核报告的性质不同,但都必须向报告使用者说明信息与既定标准之间的符合程度。报告形式也各不相同,从财务报表审核的高度专业技术类型,到小部门经营效果审核的简单口头报告不一而足。
相应的,国际标准化组织(ISO)对审核也有类似的定义。《ISO 19011:2018 管理体系审核指南》 (Guidelines for auditing management system) 对审核 (3.1 audit) 对审核 (3.1 audit) 的定义是:“为获得客观证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程” (systematic, independent and documented process for obtaining objective evidence and evaluating it objectively to determine the extent to which the audit criteria are fulfilled) 。这个定义涉及的相关术语包括:审核准则,客观证据与审核证据,审核发现,审核结论等。 • 审核准则 (3.7 audit criteria) 是“用于与客观证据进行比较的一组要求” (set of requirements used as a reference against which objective evidence is compared) 。这里的一组要求即“既定标准”,可以包括方针、程序、工作指令、法律要求、合同义务等。 • 客观证据 (3.8 objective evidence) 是“支持某物存在或真实的数据” (data supporting the existence or verity of something) 。客观证据可通过观察、测量、测试或其他手段获得。用于审核目的的客观证据通常由记录、事实陈述或其它与审核准则相关且可核实的信息组成。相应的, 审核证据 (3.9 audit evidence) 是“与审核准则相关且可核查的记录、事实或其他信息的陈述” (records, statements of fact or other information, which are relevant to the audit criteria and verifiable) 。 • 审核发现 (3.10 audit findings) 是“将收集的审核证据对照审核准则进行评价的结果” (results of the evaluation of the collected audit evidence against audit criteria)。 审核发现表明符合或不符合,可引导识别风险、改进机会或记录良好实践。如果审核准则是来自法律法规(包括法定的或监管的)的要求,审核发现中常会使用术语“合规”或“不合规”。 • 审核结论 (3.11 audit conclusion) 是“考虑了审核目标和所有审核发现后的审核结果” (outcome of an audit after consideration of the audit objectives and all audit findings) 。
基于以上的定义,对“审核”的概念,可以有以下理解: 首先,审核是一个过程,即“一组将输入转化为输出的相互关联或相互作用的活动”。审核过程有输入,如审核方案、审核准则等;有输出,如审核发现、审核结论等;有活动,如审核准备、审核实施等,这些活动包括收集客观证据,将收集到的这些客观证据对照审核准则的相关要求进行比较、分析和评价,确定满足审核准则的程度,记录评价结果及支持的证据等。 其次,审核的目的是对获得的客观证据进行客观的评价,以确定其满足一组要求(审核准则)的程度,进而采取纠正、预防或改进措施。 第三,审核的内容与用作依据的一组要求(审核准则或既定标准)相关的且可核查的记录、事实陈述或其它信息(即获得审核证据)。 第四,审核的特点是系统的、独立的并形成文件的。“系统的”是指对与审核有关的所有过程及其相互之间的关系和作用,要识别、分析,要经过策划并使之处于受控状态;“独立的”是指对审核证据的收集、分析和评价是客观、公正的,避免任何外来因素影响以及审核员自身因素的影响,如要求审核员与受审核的活动无责任关系;“形成文件的”是指审核过程要有适当的文件支持,形成必要的文件,如审核计划、检查表及记录、审核报告等均应形成文件。
此外,审核作为一种正式、有序的活动,还涉及到审核委托方、受审核方、审核组、审核员、技术专家和观察员等参与者。其中,审核委托方 (audit client) ,是要求审核的组织或人员;受审核方 (auditee) ,是整体或部分被审核的组织;审核组 (audit team) ,是实施审核的一个或多个人,需要时由技术专家支持;审核员 (auditor,也作审计师) ,是实施审核的人员;技术专家 (technical expert) ,是向审核组提供特定知识或专业技术的人员;观察员 (observer) ,是陪同审核组但不作为审核员的人员。在这里,需要注意的是,审核委托方可以是组织,也可以是人员;审核委托方要求的事项是审核;审核委托方可以是受审核方,也可以是依据法律法规或合同有权要求审核的任何组织,如顾客、认证机构、医药/食品/核能或其他管理机构;对于内部审核,审核委托方可以是受审核方或审核方案管理人员,对于外部审核,可以是监管机构、合同方或潜在客户或现有客户等。受审核方可能是一个完整的组织,也可能是一个较大组织的一部分,如工厂或该工厂的一个车间、公司或该公司的某一分公司。审核组的任务是实施审核,其中的一名审核员被指定为审核组长,审核组长对审核过程负责;审核组可包括实习审核员;技术专家是审核组成员,提供与受审核的组织、过程、活动、产品、服务或语言、文化有关的知识或技术,但不作为审核员实施审核。观察员不属于审核组,也不影响或干涉审核工作,可来自受审核方、监管机构或其他见证审核的相关方。
审核的种类与管理体系审核
按审核的委托方可能将审核分为内部审核和外部审核。
内部审核,有时称第一方审核(或内审),是组织内部人员(或代表该组织的人员)有计划地、按照既定的时间间隔定期(一般每年至少1次)或不定期执行的审核,用于自我评估和检查、管理评审或其它内部目的,可作为组织自我合格声明的基础。在许多情况下,尤其在中小型组织中,可以由与审核对象无责任关系、无偏见以及无利益冲突的人员进行,以表明独立性。
由组织的外部机构进行的审核称为外部审核。组织的外部机构又包括两类:一是与受审核组织有关系的机构(如顾客方,常称为第二方);二是与受审核组织无关系的机构(如独立审核认证机构,常称为第三方)。与此相应,外部审核包括第二方审核和第三方审核。
第二方审核是由组织的相关方,如顾客方或由其他人员以相关方的名义进行的审核。第二方审核的目的包括:合同签订前的评估,以便选择合格供方;合同签订后的持续评价,以便对供方进行必要的管理;促进供方改进管理体系,提高管理绩效;沟通和加强供需双方对管理要求的共识等。第二方审核的准则主要来自顾客要求和合同要求。
第三方审核是由独立的审核机构进行的审核,如监管机构或提供认证或注册的机构对组织的管理体系进行的审核。第三方审核的目的包括:确定受审核方的管理过程是否符合规定要求;评估受审核方实现规定管理目标的有效性;使体系认证获得注册;减少重复的第二方审核,节省费用;为潜在顾客或其他相关方提供信任;查证是否满足法律法规或其他相关的要求;提高受审核方声誉,增强竞争力等。第三方审核的准则包括各种管理体系标准,如ISO 27001信息安全管理体系标准,ISO 22301业务连续性管理体系标准;适用的法律、法规和其他要求;组织的管理体系文件等。
有相当多的第三方审核是管理体系审核。管理体系审核是以公认的管理体系标准为审核准则的一种审核类型,是对受审核方管理体系进行评价的一种方式,也可分为内部审核、第二方审核和第三方审核。通常,由第三方认证机构进行的管理体系审核(即认证审核)包括以下方面的审核: • 预审核 (pre-assessment audit) ,一种非正式的审核,受审核的组织可以选择也可以不选。 • 初次审核 (initial audit) ,也称初审,是第一次对受审核组织的正式审核。初审是最全面的审核,通常包括两阶段审核:第一阶段审核和第二阶段审核。第三方实施初审后,如果通过,则颁发认证证书。 • 监督审核 (surveillance audit) ,也称监审,是认证机构在颁发证书后,为了维护认证、确保受审核组织的管理体系持续符合要求,而对受审核组织管理体系的定期监督访问。监督审核也称为认证后审核 (post certification audits) 。业务连续性管理体系监督审核主要是对BCMS的某些要素进行抽样审核,以确认该体系的持续维护情况。 • 重评估审核 (reassessment audit) ,由于认证机构颁发的证书的有效期为3年,因此在3年审核周期将结束时,认证机构要对已获得证书的组织的整个管理体系进行一次重评估活动,或重新认证 (re-certification) ,这称为重评估审核(也称复审),其目的是确保该组织的管理体系仍然如原来认证过程规定的那样得到有效地实施。如果重评估审核获得通过,则认证机构为受审核组织颁发(或更换)新的认证证书。为了节省资源和减少对受审核组织的影响,重评估审核应代替3年审核周期的最后一个监督审核。
可以用下图表示各类审核之间的关系:
审核的种类
管理体系审核中,常见的还有结合审核和联合审核。当两个或多个管理体系被一起审核时,称为结合审核 (combined audit) ,如质量管理体系、信息安全管理体系、业务连续性管理体系、信息技术服务管理体系四个管理体系一起审核,就是结合审核。当两个或两个以上审核机构对同一个受审核方进行审核时,称为联合审核 (joint audit) 。联合审核可能有各种各样的目的,最为常见的是某个组织想得到不同认证机构的证书,如认证机构A是CNAS认可的机构,而认证机构B是UKAS认可的机构,如果某组织想同时得到CNAS和UKAS认可的管理体系证书,就可以采用联合审核的方式。
既然讲到管理体系审核,附带介绍一下认证认可和合格评估的小知识:
小知识:认证认可与合格评定
认证(certification)是由可以充分信任的第三方对产品、过程、体系、人员或服务满足规定要求给予书面证明的程序。在所涉及的问题上,第三方是独立于有关各方的人或机构,认证活动应该公开、公正、公平,并具有权威性。
认可(accreditation)是由权威机构对有能力执行规定任务的机构或个人给与正式承认的程序。认可机构的权威来自政府的授权和认可机构自身的技术能力。一般情况下,按照认可对象的分类,认可分为认证机构认可、实验室及相关机构认可和检验机构认可等。
合格评定(conformity assessment)是对产品、服务、过程、体系、人员或机构满足规定要求的程序所进行的系统检查和确认活动。国际所称的合格评定一般包括:企业自我声明、第二方(使用方或需方顾客)与第三方的检验、验证等评价活动或认证、注册活动。
认证与认可均属合格评定的范畴,是合格评定链中的不同环节。认证是对组织的体系、产品、服务、人员等进行的第三方证明,而认可是对合格评定机构能力的证实,二者不能互相替代。如果认证证书带有认可标识,表明认证的结果更加可信,可以有效提高消费者的购买信心。在市场经济条件下,认可工作处于合格评定活动的最高端。下图给出了一个认可认证的示例:
认证与认可的示例
此外,也有其它不同的审核分类,如按照审核内容和目的不同,将审核分为财务报表审核、合规审核和经营审核。财务报表审核是确定财务报表整体是否按特定标准进行表达。在确定财务报表是否已按照会计准则进行公允表达时,审核员应收集证据以确定报表是否包括重大错误或其他错报。合规审核的目的是确定受审核方是否遵循了已确定的特定程序、规则或规范。经营审核是对组织任一部分的经营程序和方法的效率和效果所做的评价,在经营审核完成后,管理层一般还会期待审核员提出改进经营的建议。
审核的角色与定位
确认服务 (assurance service) 是专业机构为了对组织、运营、职能、流程、系统或其他对象提供意见或结论而作出的客观评价,是一种能为决策者提高信息质量的独立职业服务。鉴证服务 (attestation service) ,是一种确认服务,需要就另一主体所做的认定之可靠性出具一份报告。鉴证服务主要包括:历史财务报表审核,财务报告内部控制审核,历史财务报表审阅(又称复核),信息技术的鉴证服务,以及适用各式各样主题的其它鉴证服务。
确认服务有价值,是因为服务是由独立且无偏于被审核信息的专业机构提供的,而一些负责制定决策的人员需要这种确认服务以提高决策的可靠性和相关性。组织内外部的专业审核机构—无论是内部审核部门还是外部的注册会计师事务所—都可以提供包括鉴证服务在内的各种各样的确认服务,主要目的是提高决策者所用信息的质量。当然,并非只有专业审核机构才能提供确认服务,相关制度规定,审核和一些鉴证服务只对注册会计师开放,但许多其它种类的确认服务市场却没有这样的规定与限制,专业审核机构的优势在于其专业胜任能力及独立性。
咨询服务 (advisory service) 本质上是一种顾问服务,一般应请求方的具体要求而开展,其性质和范围需与请求方协商确定。提高决策所用信息的质量很重要,但对管理层来说,很多时候还需要好的建议:在发现问题后如何解决问题,或者在做事之初如何杜绝问题的出现。同样因为专业胜任能力及独立性方面的优势,专业审核机构还可以为组织提供咨询服务。但内部审核部门提供咨询服务被认为可能损害它作为治理程序有效性的确认者和独立分析师的价值,外部审核机构提供咨询服务被认为会损害确认过程的价值。因此,在提供咨询服务时,专业审核机构需设法保障审核的独立性和客观性。例如,作为外部的会计师事务所,不应当为同一家组织的相关事项同时提供确认和咨询服务;作为内部审核部门,不应当安排同一个审核小组或审核员为关联事项同时提供确认和咨询服务。
简而言之,审核的主要价值通过为组织提供确认服务来体现;而专业审核机构(及审核员)可能因为在专业胜任能力和独立性方面的优势,还会为组织提供咨询服务。
审核与评估的关系
审核 (audit) 和评估 (evaluation) 是组织管理中的两个重要术语,是对产品、服务和管理绩效进行评价的手段。这两个过程有许多相似之处,但也有一些明显的差异。
审核是一项独立的确认活动,它通过对人员、组织、项目、产品及服务的评价,来确定审核对象的有效性和真实性,或者验证审核对象对一组预定要求的符合程度。审核专注于回答审核对象“是否达到了预定标准”的问题,目的是为了对服务质量和交付是否符合预定的标准提供确认。作为一种工具,审核可以帮助决策者确认一个组织的业务和过程是否按照预定的标准和程序进行,并帮助发现违规行为。审核重在观察而非干预,通常包括: • 内部审核由组织内部独立的专业部门(或人员)进行,并向组织的高级管理层报告; • 外部审核由组织外部独立的实体机构(或人员)进行,并向被审核组织的管理层报告。
评估是识别和理解一个特定的系统或过程,对其实际达到的绩效进行评价,为包括改进、问责等在内的管理目的提供反馈。评估专注于回答评估对象“达到了什么标准”的问题,隐含的思路是只有你充分理解了一个系统或一个过程,才可以通过重新设计或进行必要的修改来使它变得更好。因此,评估不只关注是否取得了成果,还关注成功和失败的原因是什么,即还同时关于“怎么做” (How) 和“为什么这么做” (Why) 。基本上,评估被认为是学习过程中的反馈环节,评估的主要内容包括: • 我们是否在做正确的事情; • 我们是否以正确的方式做这些事情; • 是否还有更好的办法来做这些事情。
总结一下,审核与评估的区别在于: • 审核通常是正式的评价活动;而评估可以是正式也可以是非正式的; • 审核由独立于审核对象的人员实施,发生在管理周期之后,独立于管理周期活动;而评估可以由评估对象中的人员发起并实施,通常是一个持续的内部过程,是管理周期的一部分; • 审核关注事情是怎么做的,而评估关注做正确的事和正确的做事; • 审核帮助提供确认或者发现违规,而评估则指向以更好的方式做事,以提高系统或过程的效率和效果; 审核和评估的都旨在提高一个组织的效率,必须同时进行。在审核和评估之间进行选择时,你需要明白发起人的目的是什么?如果是为了确认合规,或者时间比较敏感、只需要进行某些方面的确认时,审核非常适合;如果你想了解一个系统或项目是如何开展的以及为什么这么开展、以及如何进行改进时,评估比较适合。
在业务连续性管理实务中,可以将审核视为由独立的专业机构(或部门)实施的一种正式评估活动。
2.业务连续性管理中的审核
概述
业务连续性管理是一个复杂的领域,几乎涉及到了组织范围内的所有技术和业务问题。在现实世界中,不同行业、地域和文化背景的企业可能不是用“业务连续性”而是用“灾难恢复”、“IT安全”甚至“生产安全”等词语来描述关键业务流程在非常境况下的持续运营问题。业务连续性经理和审核员需要掌握多样化的技能和相关行业的背景知识,从组织是否采取了充分的预防措施和准备、确保能否“持续经营” (going concern) 来评估组织的业务连续性管理。
作为可以给决策者提供确认服务的一种有效手段,审核很早就被纳入业务连续性管理中。在上个世纪90年代,许多审核员开始要求组织提供“业务连续性计划”或“灾难恢复计划”,但当时受审核的组织只要提供了所要求的书面计划,审核员很少对其进行深入的测试。今天,仍有一些组织把业务连续性管理理解为IT灾难恢复计划,或者每年演练时只是对预案进行一次桌面级的穿行测试,也不定期修订预案。但是勤勉的业务连续性经理希望能遵循所有已知和公认的业务连续性管理法律法规、标准规范和最佳实践,勤勉的审核员也希望能做更多的事情。目前,随着业务连续性管理研究与实践的发展,审核已深入到业务连续性管理的各个方面和管理过程的所有阶段,想要列出业务连续性管理审核员应该了解的知识或者全面的业务连续性管理审核要包含的内容已比较困难。
对于组织的内部审核部门,可能一年只进行一次年度业务连续性管理审核,也可能在一段时间内同时对多个业务部门和分支机构进行业务连续性管理专项审核;对于组织外部的专业审核机构,可能对一个组织进行业务连续性管理体系认证审核(或监督审核),也可能应要求对一个组织进行业务连续性管理方面的专项审核(或事件调查)。在这些纷繁复杂的业务连续性管理审核中,审核目的不一,审核对象、审核准则、审核方法和审核重点随审核目的、管理成熟度和组织采取的业务连续性方法不同而变化。例如,在开始审核策划之前,需要了解适用的法律法规有哪些?怎么确认组织是否完全合规?而要做到完全合规,需要先做好哪些事?可接受风险是什么意思?……,即审核员和受审核组织要对以下问题形成共识: • 审核的总体目标是什么,合规?尽职调查?事件调查?还是其它? • 受审核组织的业务连续性管理成熟度级别是什么,新手,中级、高级? • 受审核方组织采取的业务连续性(战略)方法是什么,基于标准,基于业务(特点设计),基于IT,其他? 对以上问题的讨论和理解将决定审核的整体框架,包括时间和预算。而要做好业务连续性管理中的审核工作,需要做好审核(框架)管理、审核实施以及审核员的能力与评价这3方面的核心工作。
审核的关键要素
审核原则
业务连续性管理审核是由胜任的独立人员检查组织业务连续性管理的过程,与任何其它过程一样,审核需要遵循一些原则。这些原则有助于使审核成为支持业务连续性管理方针和控制的有效和可靠的工具,并为组织提供可以改进绩效的信息。遵循这些原则是得出相应和充分的审核结论的前提,也是审核员独立工作时,在相似的情况下得出相似结论的前提。根据 《ISO 19011:2018 – Guidelines for auditing management systems》(管理体系审核指南) ,主要有以下7项审核原则:
诚实正直:专业精神的基础 审核员和审核方案管理人员应: —以诚实、勤勉和负责任的精神从事自己的工作; —仅在能胜任的情况下开展审核; —以不偏不倚的方式从事工作,即对待所有事务保持公正和无偏见; —在审核时,对可能影响其判断的任何因素保持警觉。 2) 公正表达:如实和准确报告的义务 审核发现、审核结论和审核报告应当如实、准确地反映审核活动。应当报告审核期间遇到的重大障碍、审核组与受审核方之间尚未解决的意见分歧。毋庸置疑,所有沟通,不仅是记录和报告的信息,都应当真实、准确、及时、清晰和完整。 3) 应有的职业审慎:审核中的勤勉与判断 审核员应当珍视其所执行任务的重要性以及审核委托方和其它相关方的信任。在工作中具有职业审慎的一个重要因素是审核员必须能够在所有审核情况下做出合理的判断。 4) 保密性:信息安全 在整个审核过程中,审核员应当尊重他们所处理的所有信息的机密性。这意味着要尽职尽责,确保在履行职责期间获得的所有信息都得到尊重和保护。确保信息安全包括在必要时采取特殊预防措施,如处理敏感或机密信息时。 5) 独立性:审核公正性和客观性的基础 从本质上说,审核应尽可能独立于被审核的活动。不应干涉被审核的活动,也不应带有任何偏见或利益冲突。如果可能,内部审核最好独立于被审核的职能。所有审核的关键是通过合理的过程追求客观性,以确保所有审核发现和结果都只基于审核证据。较小的组织可能会发现很难寻求真正独立的审核员,因此,应尽一切努力消除偏见,鼓励追求合理的客观。 6) 循证方法:合理、可靠和可重复的结果 证据是成功审核的支柱之一,是合理、可靠和可重复结果的基础。审核证据应以可用信息的样本为基础,承认审核是在有限的时间、有限的资源下进行的。审核证据的收集是基于一个被称为审核抽样的正式过程。审核抽样通常包括以下步骤: • 设定明确的抽样目标 • 确定抽样量和抽样内容 • 选择抽样方法 • 确定样本量 • 进行抽样 • 记录和报告所有结果 7) 基于风险的方法:考虑风险和机会 基于风险的方法应当对审核的策划、实施和报告产生实质性影响,以确保审核聚焦在对审核委托方和实现审核方案目标来说重要的事项上。
审核原则适用于审核方案、审核以及审核员的管理。
审核方案
根据 《ISO 19011:2018 – Guidelines for auditing management systems》(管理体系审核指南)给出的定义, 审核方案 (3.4 audit program) 是“为特定时间段所策划并具有特定目的一组(一次或多次)审核的安排 (arrangements for a set of one or more audits planned for a specific time frame and directed towards a specific purpose) 。也就是说,审核方案是一组(一次或多次)审核,但不是若干次审核的简单累加,而是一组有关联的审核。业务连续性管理审核方案的示例如下: (1)覆盖组织业务连续性管理体系的一年内的多次内部审核,特定时间段是一年内,特定目的是确定组织业务连续性管理体系的符合性和有效性; (2)在六个月内对风险区域或关键活动的潜在供方实施的第二方审核,特定时间段是六个月内,特定目的是选定风险区域或关键活动的合格供方; (3)在认证组织与审核委托方之间合同规定的时间周期内,由第三方认证机构对业务连续性管理体系进行的认证和监督审核,特定时间段是合同规定的时间周期内(如三年内),特定目的是业务连续性管理体系认证和保持认证。
审核方案包括在特定时间段内有效和高效地组织和实施审核所需的信息和资源,因此,不能将审核方案简单理解为一份文件或就是审核计划,事实上,审核方案是在特定时间段具有特定目的的一组审核及相关活动组成的审核项目集 (audit program) 。审核方案的范围应当基于受审核组织的规模和性质,以及审核对象的性质、功能、复杂性、风险和机会的类型以及管理成熟度水平。通常情况下,审核方案可以包括以下内容: —审核方案和每次审核的目标。 —与审核方案有关的风险和机会以及应对措施。 —每次审核的范围(内容、边界、地点)、类型、审核准则以及拟采用的审核方法。 —审核的日程安排(数量/持续时间/频率)。 —审核组的选择:包括审核组选择的标准,对审核组长、专业审核员的能力要求,审核人员或专家的配备等。 —所需的资源:包括交通和住宿。 —其他安排,包括处理保密性、信息安全、健康和安全,以及其它类似事宜的过程。 —与其它管理体系结合审核的相关安排; —特殊审核的安排及相关成文信息。 当然,以上部分信息需要进行详细的审核策划才能得到。根据需要审核方案中某些活动的内容可以形成文件,有的内容可以不形成文件。
作为指导审核及相关活动的重要文件,审核方案的主要目的是指导并监督审核的策划和实施,确保审核方案实施的有效性。组织应当指定能胜任的人员从建立审核方案开始,按照过程方法对审核方案实施动态管理。审核方案管理的过程主要包括: (1)确立审核方案的目标。 (2)确定和评估审核方案的风险和机会。 (3)建立审核方案,包括:审核方案管理人员的作用和职责;审核方案管理人员的能力;确定审核方案的范围;确定审核方案资源。 (4)实施审核方案,包括:确定每次审核的目标、范围和准则;选择和确定审核方法;选择审核组成员;向审核组长分配每次审核的职责;管理审核方案结果;管理和维护审核方案记录。 (5)监视、评审和改进审核方案。监视审核方案的实施情况,在每次审核实施后,要进行总结和评价,根据发现的问题对审核方案进行修订,以确保审核方案能够对审核起到真正的指导和提示作用。
业务连续性审核方案管理人员应当与业务连续性经理保持良好的沟通和合作,使审核能够帮助业务连续性管理方针有效落地。管理成熟度较高的组织,会将相关审核负责人纳入业务连续性管理委员会,但是审核人员不应承担特定业务中断风险的属主责任。
……未完待续
============ 精采回顾 ===========
0 . 业务连 续性问与答Q 0: 大纲 Ver2.0 业务连续性问与答(大纲 ) Ver1.0,已废弃
第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )
第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?
第三部分业务连续性怎么管? 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们谈风险时,我们谈些什么?当我们谈韧性时,我们谈些什么? 8. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 )
项目集管理和领导力 9. 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(中 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(下 ) 10. 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 上 ) 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 下 ) 11. 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 上 ) 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 下 ) 业务连续性问与答Q 11 : 领导 让我负责单位的业务连续性工作,我想认真了解一下业务连续性经理的工作?(附 )
能力规划 12. 业务连续性问与答Q 12 :如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 上 ) 业务连续性问与答Q 12 :如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 中 ) 业务连续性问与答Q 12 :如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 下 ) 13. 业务连续性问与答Q 1 3: 如何进行业务影响分析和风险评估? ( 上 ) 业务连续性问与答Q 1 3: 如何进行业务影响分析和风险评估? ( 中 ) 业务连续性问与答Q 1 3:如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估进阶篇之一:理解组织及其环境 业务连续性问与答Q 1 3:如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估进阶篇之 二 :理解业务及业务影响 业务连续性问与答Q 1 3:如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估进阶篇之三:对业务影响分析和风险评估的再认识及其它
能力建设和保持 14. 业务连续性问与答Q 14:如何 建设和保持业务连续性能力(上 ) 业务连续性问与答Q 14:如何 建设和保持业务连续性能力(下 ) 15. 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计划)? (上) 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计划)? ( 下 ) 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计划)? ( 进阶篇 ) 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计划)? ( 参考 ) 16. 业务连续性问与答Q16:如何进行人员能力和意识上的准备?(上 ) 业务连续性问与答Q16:如何进行人员能力和意识上的准备?(中 ) 业务连续性问与答Q16:如何进行人员能力和意识上的准备?(下 ) 17. 业务连续性问与答Q17:如何做好演练工作?(上 ) 业务连续性问与答Q17:如何做好演练工作?(中 ) 业务连续性问与答Q17:如何做好演练工作?(下 )
能力运用 18. 业务连续性问与答Q1 8 :如何 应对中断事件 ?
管理评价 19. 业务连续性问与答Q1 9 :如何 评 估 业务连续性及业务连续性管理工作 ? (上) 业务连续性问与答Q1 9 :如何 评估业务连续性及业务连续性管理工作 ? ( 下 )
“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。 tp
原文发表于公众号”业务连续性+” | 原文链接