业务连续性问与答Q20:业务连续性管理中的审核(下)
问题:怎么做业务连续性审核?
解题:审核作为一项监督和评价机制,早已被纳入业务连续性管理并作为使其有效运行的重要手段。与评估类似,审核也有审核主体、审核对象、审核目的、审核程序、审核准则、审核结论等审核要素;但审核还通过审核方案、审核员的能力与评价等方面补齐了一般评估在系统性、专家遴选方面的短板。下面从审核基础(概念及其与评估的关系)、业务连续性管理中的审核、业务连续性管理审核的实施以及审核员的能力与评价分别予以探讨。相关的问题包括:
“根据监管要求,我们银行每年一季度要向监管机构提交业务连续性审计报告,具体该怎么做呢?”
“领导想请一家外部机构对我们的业务连续性管理情况进行审核,是不是就是要做ISO 22301 BCMS认证呢?”
……
……续上期
3.业务连续性管理中的审核活动实施
实施审核的责任由指定的审核组长承担,直到审核活动完成。下面从审核活动的主要过程、主要的审核工作文件与审核报告简要说明业务连续性管理中的审核活动实施。
审核活动的主要过程
审核活动包括实际进行审核活动所涉及的一切工作,从接受审核方案管理人员委托与受审核方联系开始,到召开结束会议分发完成的审核报告,直至发现问题得到解决为止。一般来说,典型的审核活动涉及审核活动准备、审核活动执行和审核活动终结三个阶段,各阶段又包括多个具体的子任务。
• 审核活动准备
审核活动准备阶段是与受审核方沟通并达成一致,完成审核活动前期策划和准备的过程。审核活动准备阶段的主要任务是与受审核方就审核的目标、范围达成一致,并考虑在具体的资源和时间等约束下,是否能够达成审核目标;如果审核可行,就组建审核小组,在考虑审核风险等的基础上,策划审核活动,制定详细的审核计划;向每个审核员分配审核任务,分别准备必要的审核工作文件等,具体如下:
首先,审核组长要与受审核方建立联系,确定审核的可行性。在开始审核活动之前,审核组长必须确定审核的内容。审核方案管理人员应将审核方案中的相关信息提供给审核组长,这些信息可能包括管理层的意见,或受审核方在业务连续性能力和管理方面的已知问题。审核组长与受审核方建立联系,对审核领域进行初步调查,包括与受审核方代表面谈、确认审核权限、查阅相关文件等以获得审核领域的基本背景和认知。在了解了审核目标、范围、准则/标准、方法、可用的时间和资源以及受审核方的状况和合作等情况后,审核组长应对被审核领域的风险进行评估,确定审核的可行性。如果可行,审核组长应迅速组建审核小组开展后续活动。如果不可行,审核组长应与受审核方达成协议,并向审核方案管理人员提出替代方案。
接着,审核组长要进行审核活动策划,编制详细的审核计划。应当审查受审核方的业务连续性管理体系的成文信息,以便收集信息,了解受审核方的业务连续性管理体系运行情况;建立其业务连续性管理体系成文信息的概要及清单,确定其是否符合审核准则,并发现可能存在的问题。审核组长要根据审核方案中的信息和受审核方业务连续性管理体系的成文信息,采用基于风险的方法来策划审核活动,并制定详细的审核计划。审核计划就是审核活动的项目管理计划,其详略程度应反映该审核活动(项目)的范围和复杂性,以及未实现审核目标的风险。审核计划,特别是其中的审核排期应当与受审核方共同研究确定,这会有助于形成灵活和合作的氛围。此外,审核计划应当形成书面文件,可能需要相关业务负责人批准。审核计划的问题可在审核组长、受审核方和审核方案管理人员之间解决。
然后,审核组长要分配工作任务,安排人员准备工作文件。审核组长与审核小组成员协商后,在兼顾公平性、客观性和审核员能力以及资源有效利用的基础上,将审核计划中的具体任务(如对特定过程、活动、职能或地点的审核),分配给每个小组成员,并酌情分配决策权。审核小组成员在接到审核任务后,要根据审核任务准备工作文件,这些工作文件包括但不限于:各种形式的检查表、记录表格、审核准则及审核抽样方案等。在准备工作的最后环节,审核小组要与受审核方举行启动会议,向受审核方正式沟通审核项目的目标、范围和计划安排等(当然,在会议召开之前,双方应就这些方面达成一致意见)。
• 审核活动执行
信息的收集和验证过程(摘自ISO 19011:2018)
审核活动执行阶段是审核活动的主体,审核小组按照审核计划执行审核活动。审核活动执行阶段的主要任务是收集信息、发现问题验证得到审核证据;根据审核准则进行评价形成审核发现,确定审核结论;以及做好审核期间的沟通和管理,具体如下:
收集信息,发现问题验证得到审核证据在审核过程中,审核小组采用访谈、观察和文件/记录查阅等方式,通过适当抽样收集与审核目标、范围和准则有关的信息(可能包括所有可能导致运营中断事件以及事件应对和准备有关的信息)。审核小组成员根据收集的信息和访谈结果分析潜在风险并确定哪些业务连续性风险没有被适当地处置,并尽可能探索各种途径验证获得的信息。有效的方式是结合运用符合性测试和实质性测试。符合性测试是在对业务连续性管理体系初步了解和评价的基础上,对业务连续性管理体系的状况以及是否得到有效运转进行测试,即通过业务连续性管理体系是否有效运转确定业务连续性管理工作是否可以依赖以及可以依赖的程度。实质性测试是指为搜集直接证据所进行的更为深入的检查,以得到可以支撑审核发现和审核结论的证据。特殊情况下,审核员可不进行符合性测试,而直接实施实质性测试。只有经过某种程度验证的信息才能被接受成为审核证据。在验证程度较低的情况下,审核员应使用其专业判断来确定可将其作为证据的可信度。
结合审核准则形成审核发现,确定审核结论为了确定审核发现,要根据审核准则对审核证据进行评价。审核发现可以表明审核证据是否符合审核准则,具体的审核发现包括是否符合审核准则的评价标准以及支持证据,对于内部审核(及有约定的情况),还可以包括改进机会和建议。审核小组应当记录所有不符合项及相应的审核证据,并与受审核方一起复核,以便确认审核发现是准确的(并理解不符合项)。审核小组应当综合考虑受审核方当前的风险控制措施和审核发现的整体影响,对不符合项进行分级(定性或定量)。审核小组应当尽一切努力解决与审核证据或调查结果有关的所有分歧意见,并在适当的时间评审审核发现,根据审核目标等确定审核结论。
审核结论是“在考虑了审核目标和所有审核发现后的审核结果”。有些情况下,业务连续性管理体系的实际运行并不符合组织的制度体系,但审核结论应以风险为基础。如果这种违规由于采取了减轻风险的控制措施或者特定系统的性质的原因,并没有构成真正的风险。这种情况下,审核发现并不会形成重大问题而影响审核结论。不要让审核小组成为单纯的制度合规小组,应在评估受审核方的真正风险的过程中考虑公司制度,但也要考虑所有其他相关因素。此外,如果审核计划中有要求,审核结论可以包括改进建议或对今后审核活动的建议。
审核期间的沟通和管理在审核期间,应当对审核小组内部以及与受审核方、审核委托方的沟通作出正式安排;也要规范好与外部相关方(如监管部门)的沟通,特别是当法律法规要求对不符合项进行强制性报告时。审核小组定期召开会议,根据需要交换信息,评估审核进度,以及在审核小组成员之间重要分配工作。审核组长定期与受审核方和审核委托方沟通进度、重要发现和任何必要的问题。在审核期间收集的证据表明存在直接和重大风险时,应当立即报告给受审核方,并酌情报告给审核委托方。对于发现的审核范围外的任何问题,审核小组成员也要向审核组长报告,以便与审核委托方和受审核方进行可能的沟通。在审核期间中与受审核方沟通顺畅,会保障审核活动更加顺利和快速地完成。如果可用的审核证据无法实现审核目标,审核组长应向审核委托方和受审核方报告原因,以确定适当的行动,如对审核计划、审核目标或审核范围进行变更或终止审核。随着审核活动进展需要对审核计划进行重要变更时,审核组长负责提出申请,审核方案管理人员和审核委托方酌情评审和批准,并提交给受审核方。
在现场审核结束前,审核小组负责召开一次正式的会议,邀请受审核方的管理者等人员出席,以受审核方能够理解和认同的方式提出审核发现和审核结论。参加会议的人员也可包括审核委托方或其他必要的人员。必要时,审核组长要告知受审核方在审核过程中遇到的可能降低审核结论可信程度的情况。审核小组和受审核方应当就有关审核发现和结论的不同意见进行讨论,并尽可能予以解决。如果未能解决,应当记录所有的意见。如果审核目标有规定,可提出改进的建议,并强调该建议没有约束性。
• 审核活动终结
审核活动终结阶段是指现场审核阶段结束直到发现问题得到解决。审核活动终结阶段的主要任务是审核小组编制并发布审核报告,将有关文件整理归档以及受审核方根据审核报告解决所发现问题等,具体如下:
审核小组编制并发布审核报告,并将有关文件整理归档审核组长根据审核工作文件编制审核报告,审核报告应当提供完整、准确、简洁和明确的审核记录,在商定的时间期限内提交,如果不能完成,应当向审核委托方通报延误的理由,并就新的提交日期达成一致。审核组长应对审核报告的编制和内容负责。审核报告应当根据审核方案要求,酌情注明日期,并经评审和批准。应当将批准后的审核报告分发给审核方案或审核计划中确定的相关方。在分发审核报告时,应当考虑采取适当措施确保保密。之后,审核小组应当向受审核方归还调阅的全部资料。对于外部审核,至此审核活动即告结束。
跟踪审核所发现的问题直至解决发布审核报告并不会给受审核方产生任何价值,除非组织采取行动解决审核中发现的问题。当然,这种解决可以是消除问题,也可以是由适当的管理层确认接受风险。组织的内审部门必须设计一种机制来跟踪和跟进问题,直到问题得到解决。如果发现问题没有按照确认的解决方案在预定的时间内解决,内审人员负责在必要的时启动上报程序。最后,还需要验证实施的解决方案是否真正解决了审核所发现的问题。切记:只有在发现的问题都得到解决之后审核活动才算真正结束。
每一次审核活动结束后,审核组长应当将相关信息,特别是现场审核发现的与组织的申请材料不一致的内容、本次审核发现、下次审核的重点关注点、可能影响审核结论的信息、可能对审核风险产生影响的因素、受审核方的合理要求和建议等信息传递给审核方案管理人员,以便对审核方案进行动态管理。
主要的审核工作文件与审核报告
审核工作文件是审核证据的载体和汇集,是审核人员在审核过程中形成的全部审核记录和获取的资料,是审核人员形成审核结论、发表审核意见的直接依据。审核工作文件形成于审核工作的全过程,从制定审核计划开始,一直到送出审核报告为止。其内容包括两大部分:一是审核人员在制定和实施审核计划时直接编制的、用以反映审核思路和审核过程的工作记录,如审核业务约定书、审核计划等;二是审核人员在从被审核单位或其他有关部门取得的、用作审核证据的各种原始材料,以及审核人员接受并审阅他人代为编写的审核记录,内部控制制度测试评价、各种书面证据、工作记录及审核报告副本等。下面简要说明业务连续性管理审核中用到的审核计划、现场检查表以及最终形成的审核报告。
• 审核计划
审核计划(audit plan),在《ISO 19011:2018 管理体系审核指南》(Guidelines for auditing management systems)中的定义是:“对一次审核的活动和安排的描述”(description of the activities and arrangements for an audit)。对比审核方案(audit program)的定义:“在特定的时间段内、针对特定目的策划的一系列审核(一个或多个)的安排”(arrangements for a set of one or more audits planned for a specific time frame and directed towards a specific purpose),可以知道,审核计划是对一次审核内容和活动的安排,而审核方案是一个总审核计划,可以包括一系列审核,审核计划是审核方案中的一个组成部分。特别的,当某组织在一年内只有一次审核时,该年度的“审核方案”可看作“审核计划”。
审核计划由审核组长编制,编制依据包括审核方案、受审核方业务连续性管理体系文件、委托合同或协议以及可用的法律法规标准规范等。审核组长还需要考虑审核小组的构成及其整体能力、合适的抽样技术、提高审核活动有效性和效率的机会、低效的审核规划造成无法达成审核目标的风险以及审核计划可能造成的受审核方的风险等。审核可以采用一系列审核方法来执行,选择审核方法时要考虑所确定的审核目标、范围和准则,以及持续时间和地点。运用并组合使用多种不同的审核方法,可以优化审核过程的效率和效果。审核组长(或审核方案管理人员)应当考虑可用的审核员的能力以及应用审核方法所产生的不确定性,并将其反映在审核计划和工作文件中。
审核计划的范围和内容可以不同,应具有足够的灵活性,以允许随着审核活动的进展发生必要的变化。一般情况下,审核计划内容包括受审核方基本信息、审核目的、范围、依据、审核组成员、审核时间及内容安排。审核计划在现场审核前提交给受核方,并下达给审核小组全体成员。
表:某认证机构对某企业第一阶段审核审核计划
项目类型
业务连续性管理体系认证审核
审核类别
第一阶段审核
受审核方
名 称
XXXXXX科技开发有限公司
地 址
XX省XX市经济开发区XX路XX号
邮 编
电 话
传 真
联系人
审核目的
1.了解组织的基本情况(现场分布、产品和生产工艺);
2.了解组织建立的业务连续性管理体系对认证审核的准备程度,确认是否具备第二阶段审核的条件,确定第二阶段审核的重点;
3.确认审核范围和认证范围。
审核依据
GB/T 30146-2013 公共安全业务连续性管理体系要求
适用于受审核方的相关体系要求的法律法规和其他要求
其它:
审核范围
体系覆盖产品、过程/服务:对XXXX的服务和管理
涉及区域:位于XX省XX市经济开发区XX路XX号的XXXXXX科技开发有限公司
审核日期
2019年8月18至2020年8月19日
审核组
成员
姓名 性别 审核职务 专业代码 资格 联系电话
孙XX 男 组长 XXXX 高级审核员
刘XX 女 组员 XXXX 高级审核员
请组织提供的材料
营业执照或相关证件副本复印件
地理位置图
生产工艺流程示意图
……
审核内容
1.业务连续性管理方针的制定与贯彻情况
2.业务影响分析和风险评估程序合理性及执行情况;
……
日期/时间
部门/场所和主要工作内容
审核员
18日
9:00 – 9:30
9:30 – 12:00
14:00 – 17:00
……
与管理者代表、业务连续性负责人交流,说明审核的目的、范围、依据和对相关材料的要求,作出公正性和保密承诺
了解管理范围、产品/服务、主要过程和活动、厂区布局、周边环境、重点关注主要业务及管理关注点、主要风险。
文件评审(对手册、程序文件)进行文件审核心,提出文件审核报告,确认审核范围。
……
孙XX/刘XX
孙XX/刘XX
孙XX
注:1.第一阶段审核必须对主要业务部门进行抽样审核,以了解审核准备程度、各级文件的接口;
2.审核计划必须安排与受审核方交流并确认审核范围;
3.审核组全体成员承诺保守受审核方的技术、商业、审核方面的秘密。
• 检查表
检查表是一种审核工具和记录,是审核员根据相关信息编制的体现审核思路、方法和内容的文件。检查表可以为一次审核提供结构性和连续性,确保遵循审核范围;有助于确保以系统的、全面的方式进行审核,确保获得充分的证据。设计检查表是准备工作中的重要部分,审核员应当按审核计划及分工编制适合自己与受审核方使用的检查表。在实务中,以合规为主的业务连续性管理审核,检查表可以基于所依据的标准编制;以绩效为主的业务连续性能力审核,检查表可以基于能力要素及其生成和管理的原理编制;结合合规和绩效的审核则需要将两部分内容综合起来。
检查表的内容主要包括两部分:审核内容—查什么,即列出审核要点,确保审核覆盖面(过程/活动、准则、区域范围等)的完整;审核方法—怎么查,包括抽样方案设计、确定到哪里,找谁查,采取什么审核方法(询问、查阅、观察收集哪些审核证据,样本量是多少)。
当然,参考《独立审计具体准则第6号—审计工作底稿》等的要求,正式编制的检查表与其它审计工作底稿一样,还应当包括如下基本要素:
序号
基本要素
功能
1
被审核单位名称
明确审核客体
2
审核项目名称
明确审核内容
3
审核项目时点或期间
明确审核范围
4
审核过程记录
记载审核人员所实施的审核测试的性质、范围、样本选择等重要内容
5
审核标识及其说明
方便工作底稿检查和审阅
6
审核结论
记录审核人员的专业判断,为支持审核意见提供依据
7
索引号及页次
方便存取使用,便于日后参考及信息化处理
8
编制者姓名及编制日期
明确工作职责,便于追查审核步骤及顺序
9
复核者姓名及复核日期
明确复核责任
10
其它应说明事项
揭示影响审核人员专业判断的其他重大事项,提供详尽的补充信息
检查表和表格的使用不应当限制审核活动的内容,审核活动的内容可随着审核中收集信息的结果而发生变化。要避免“清单式”的审核,即审核小组机械地执行检查表中的审核内容;相反,重点应当放在与审核目标相关的重大风险上—如确保运营中断风险得到有效控制,检查表中的审核内容主要作为指导和提示,不要机械地使用,应当根据现场实际情况进行调整。检查表没有必要提交给受审核方。检查表详细时记录可简单,检查表简略时记录可详细。
• 审核报告
审核报告是记录审核结果的工具,它有两个主要目的:对于审核小组和受审核方,它记录了审核过程、审核结论及行动方案;对于高级管理层和审核委员会,它是被审计领域的“成绩单”。审核报告的核心要素是审核范围说明、审核执行摘要及问题清单(和解决问题的行动方案):
(1)审核范围说明在报告中说明审核的范围,必要时,还要说明哪些项目不在审核范围之内。如果某个领域或议题被明确排除在审核范围之外,就必须在报告中如实说明,以避免误解。
(2)审核执行摘要执行摘要是要让没有时间或者不愿意阅读所有细节的管理者能够了解业务连续性管理(或能力)的总体水平。执行摘要即使没有从审核报告中分离出来,也能够作为一个独立的说明文件。要提供足够的实际信息,以便管理层能够认识到最重要的相关事实。
(3)问题清单(和解决问题的行动方案) 这是报告的主体部分,它详细描述了审核过程中发现的所有重大问题以及如何解决这些问题。要让多个层次的读者都能理解问题,工作在一线的业务人员能够理解问题和行动计划,高级管理层也能够认识到风险以及减轻风险的必要性。
需要注意的是,审核报告中反映的是具有代表性、典型的审计证据,取舍标准基于审核目标和准则,主要是业务连续性能力的重要不足以及业务连续性管理的的严重缺陷。
审核报告应当提供完整、准确、简明和清晰的审核记录,除了以上的三个基本部分之外,审核报告还可以包括或引用以下内容:
(1) 审核目的;
(2) 明确审核委托方;
(3) 明确审核组长和成员;
(4) 现场审核活动的日期和地点;
(5) 审核准则;
(6) 审核发现和相关证据;
(7) 审核结论;
(8) 对审核准则遵循程度的声明;
(9) 审核小组与受审核方之间未解决的分歧意见;
审核报告也可酌情包括或引用以下内容:
(1) 审核计划;
(2) 审核过程概要,包括可能降低审核可能可靠性的任何障碍;
(3) 确认审核目标已根据审核计划在审核范围内实现;
(4) 在审核范围内但未覆盖的领域,包括相应证据、资源或机密性问题,并附相关理由;
(5) 审核结论概要及支持审核结论的主要审核发现;
(6) 识别的良好实践;
(7) 商定的审核后续活动(如果有);
(8) 关于内容保密的声明;
(9) 对审核方案和后续审核的任何建议。
4.审核员的能力与评价
能力(competence)是“应用知识和技能实现预期结果的本领”(ability to apply knowledge and skills to achieve intended results)。参与策划和实施审核的审核人员(包括审核组长和审核员)的能力对于实现审核目标、增强审核的可信性具有决定性作用。因此,应当通过一个正式的过程评价审核人员的能力,这个评价过程应当综合考虑个人行为以及应用知识与技能的能力,还应当考虑审核方案及其目标的需要。审核员能力的评价过程应当包括以下主要步骤:
(1)确定满足审核方案的需要的审核人员能力;
(2)建立评价准则;
(3)选择适当的评价方法;
(4)进行评价。
能力评价的结果为选择审核小组成员、确定提高能力的必要性(如需要更多的培训)以及审核人员的持续绩效评价等提供依据。
业务连续性审核员的能力要求
业务连续性审核员的主要能力要求如下:
类别
基本描述
详细要求
个人素质
审核员应具备的个人素质
—有道德,即公正、可靠、忠诚、诚信和谨慎;
—思想开明,即愿意考虑不同意见或观点;
—善于交往,即灵活地与人交往;
—善于观察,即主动地认识周围环境和活动;
—有感知力,即能了解和理解环境;
—适应力强,即容易适应不同处境;
—坚定不移,即对实现目标坚持不懈;
—明断,即能够根据逻辑推理和分析及时得出结论;
—自立,即能够在同其他人有效交往中独立工作并发挥作用;
—坚忍不拔,即能够采取负责任的及合理的行动,即使这些行动可能是非常规的和有时可能导致分歧和冲突;
—与时俱进,即愿意学习,并力争获得更好的审核结果;
—文化敏感,即善于观察和尊重受审核方的文化;
—协同力,即有效地与其他人互动,包括审核组成员和受审核方人员;
—健康,即身体健康状况良好。
行为规范
审核员应遵守的行为规范
—遵纪守法、敬业诚信、客观公正;
—努力提高个人的专业能力和声誉;
—帮助所管理的人员拓展其专业能力;
—不承担本人不能胜任的任务;
—不介入冲突或利益竞争,不向任何委托方或聘用机构隐瞒任何可能影响公正判断的关系;
—不讨论或透露任何与工作任务相关的信息,除非应法律要求或得到委托方和聘用单位的书面授权;
—不接受受审核方及其员工或任何利益相关方的任何贿赂、佣金、礼物或任何其它利益,也不应在知情时允许同事接受;
—不有意传播可能损害审核工作或人员注册过程的信誉的虚假或误导性信息;
—不以任何方式损害 CCAA 及其人员注册过程的声誉,与针对违背本准则的行为而进行的调查进行充分的合作;
—不向受审核方提供相关咨询。
知识
和技能
审核员应具备的知识与技能
—审核领域知识掌握审核领域的相关知识、方法和技术,如审核的概念、审核过程及过程中可用的审核方法,管理体系审核,多领域审核等;
—业务连续性管理领域知识掌握业务连续性管理领域的相关知识、方法和技术,如业务连续性基础概念、项目集管理、业务影响分析与风险评估、策划选择与确定、预案编制、培训与意识教育,演练与测试,业务连续性管理体系方法和能力中心方法等;
—法律法规理解现行有效的业务连续性管理法律法规及相关的监管机构,掌握主流的业务连续性管理标准规范;
—综合应用技能掌握业务连续性管理要求性标准、规范性文件、专业知识和相关法律法规在审核实践中的综合应用技能。
其它要求
审核员应满足的其它能力要求
教育经历、工作经历、业务连续性管理专业工作经历及其它相关能力要求
审核员的知识和技能可通过相关的正规教育和(或)培训以及工作经历获得,也可以通过在相关技术、管理或专业岗位的工作经历获得,这些岗位应与判断、决策、问题解决,以及与管理人员、专业人员、同行、顾客和其他相关沟通有关;还可以通过在业务连续性管理审核员监督下获得审核经历获得。审核组长应当具有附加的审核经历(在不同的审核组长指导下担任实习审核组长)来获得必要的知识和技能。
审核人员应当通过持续专业发展活动,如更多的工作经历、培训、个人学习、辅导、参加会议、研讨、论坛或其他相关活动以及定期参与审核来发展、保持和提高能力。
5.简答
问:根据监管要求,我们银行每年一季度要向监管机构提交业务连续性审计报告,具体该怎么做呢?
答:事实上,银监会的业务连续性监管指引(104号文)中第九十二条指出:“商业银行应当于每年一季度向银监会或其派出机构提交业务连续性管理报告,包括上一年度业务连续性管理的评估报告与审计报告”,这应该是问题的出处。
同时,监管要求中第五十八条指出“商业银行应当每年对本行业务连续性管理进行审计,每三年至少开展一次全面审计,发生大范围业务运营中断事件后应当开展专项审计”,第五十九条指出“商业银行业务连续性管理审计的内容应当包括:业务影响分析、风险评估、恢复策划及恢复目标的合理性和完整性;业务连续性计划的完整性和可操作性;业务连续性计划演练过程及报告的真实性和有效性;业务连续性管理相关部门及人员的履职情况等”。结合这些要求,商业银行应将业务连续性管理全面审计和专项审计纳入年度和跨年度的审计计划中,安排称职的审核人员按照要求执行审核计划并按时提交审计报告。
问:领导想请一家外部机构对我们的业务连续性管理情况进行审核,是不是就是要做ISO 22301 BCMS认证呢?
答:对业务连续性管理情况进行审核并不一定是管理体系认证审核,也可能是对业务连续性能力进行审核,或者对某方面的业务连续性管理情况,如预案和演练的情况进行审核;同时,审核的依据可以是ISO 22301,也可能是其它的业务连续性监管要求或标准,如104号文或NFPA 1600等。因此,还是需要先和领导沟通,了解清楚真正的关注点。
============ 精采回顾 ===========
0.业务连续性问与答Q0:大纲 Ver2.0 业务连续性问与答(大纲) Ver1.0,已废弃
第一部分业务连续性是什么?
1.业务连续性问与答Q1:不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗?
2.业务连续性问与答Q2:对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系?
3.业务连续性问与答Q3:业务连续性管理从哪儿来,又将到哪儿去?(上)
业务连续性问与答Q3:业务连续性管理从哪儿来,又将到哪儿去?(下)
第二部分业务连续性为什么?
4.业务连续性问与答Q4:业务连续性管理有什么价值?我们为什么要做BCM,为什么有人不愿意做BCM?
第三部分业务连续性怎么管?
一般性讨论
5.业务连续性问与答Q5:有哪些主要的业务连续性管理知识体系?(上)
业务连续性问与答Q5:有哪些主要的业务连续性管理知识体系?(下)
6.业务连续性问与答Q6:业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么?(上)
业务连续性问与答Q6:业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么?(下)
7.业务连续性问与答Q7:当我们谈安全时,我们谈些什么?当我们谈风险时,我们谈些什么?当我们谈韧性时,我们谈些什么?
8.业务连续性问与答Q8:怎么才能说服领导支持业务连续性管理?(上)
业务连续性问与答Q8:怎么才能说服领导支持业务连续性管理?(下)
项目集管理和领导力
9.业务连续性问与答Q9:对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上)
业务连续性问与答Q9:对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(中)
业务连续性问与答Q9:对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(下)
10.业务连续性问与答Q10:领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(组织结构与人事篇)(上)
业务连续性问与答Q10:领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(组织结构与人事篇)(下)
11.业务连续性问与答Q11:领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇)(上)
业务连续性问与答Q11:领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇)(下)
业务连续性问与答Q11:领导让我负责单位的业务连续性工作,我想认真了解一下业务连续性经理的工作?(附)
能力规划
12.业务连续性问与答Q12:如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力?(上)
业务连续性问与答Q12:如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力?(中)
业务连续性问与答Q12:如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力?(下)
13.业务连续性问与答Q13:如何进行业务影响分析和风险评估?(上)
业务连续性问与答Q13:如何进行业务影响分析和风险评估?(中)
业务连续性问与答Q13:如何进行业务影响分析和风险评估?(下) 业务影响分析和风险评估进阶篇之一:理解组织及其环境
业务连续性问与答Q13:如何进行业务影响分析和风险评估?(下) 业务影响分析和风险评估进阶篇之二:理解业务及业务影响
业务连续性问与答Q13:如何进行业务影响分析和风险评估?(下) 业务影响分析和风险评估进阶篇之三:对业务影响分析和风险评估的再认识及其它
能力建设和保持
14.业务连续性问与答Q14:如何建设和保持业务连续性能力(上)
业务连续性问与答Q14:如何建设和保持业务连续性能力(下)
15.业务连续性问与答Q15:编制和管理应急预案(和业务连续性计划)?(上)
业务连续性问与答Q15:编制和管理应急预案(和业务连续性计划)?(下)
业务连续性问与答Q15:编制和管理应急预案(和业务连续性计划)?(进阶篇)
业务连续性问与答Q15:编制和管理应急预案(和业务连续性计划)?(参考)
16.业务连续性问与答Q16:如何进行人员能力和意识上的准备?(上)
业务连续性问与答Q16:如何进行人员能力和意识上的准备?(中)
业务连续性问与答Q16:如何进行人员能力和意识上的准备?(下)
17.业务连续性问与答Q17:如何做好演练工作?(上)
业务连续性问与答Q17:如何做好演练工作?(中)
业务连续性问与答Q17:如何做好演练工作?(下)
能力运用
18.业务连续性问与答Q18:如何应对中断事件?
管理评价
19.业务连续性问与答Q19:如何评估业务连续性及业务连续性管理工作?(上) 业务连续性问与答Q19:如何评估业务连续性及业务连续性管理工作?(下)20.业务连续性问与答Q20:如何审核业务连续性工作?(上)
“一个好问题,胜过一百个好答案!”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。
由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。
预览时标签不可点
微信扫一扫 关注该公众号
继续滑动看下一个
轻触阅读原文
业务连续性+
向上滑动看下一个
附件:原文图片
原文发表于公众号”业务连续性+” | 原文链接
附件:原文图片