GB∕T30146-2023 《安全与韧性 业务连续性管理体系 要求》“9.2 内部审核”理解与实施指导材料（2024A0）

“9.2内部审核”理解与实施指导材料GB∕T30146-2023《安全与韧性业务连续性管理体系要求》“9.2内部审核”理解与实施指导材料过程预期结果BCMS内部审核提供了一种机制，通过按计划的时间间隔进行内部审核，用于衡量BCMS实现其目标的程度，确定BCMS是否符合GB∕T30146-2023要求以及组织自身对BCMS的要求，并且BCMS是否得到有效实施和保持，以及确定改进的机会；BCMS的内部审核为最高管理者确定BCMS适宜性和有效性提供信息，也为制定持续改进BCMS绩效的目标提供依据。“9.2内部审核”条文理解与实施要点有关内部审核术语及其理解审核为获得客观证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程内部审核由组织自己或以组织的名义进行，用于管理评审和其他内部目的，可作为组织自我合格声明的基础；内部审核可以由与正在被审核的活动无责任关系的内审员进行，以证实独立性。基于过程的管理体系审核按照组织已确定的过程和过程之间的相互关系来评价组织的质量管理体系，以确定其满足审核准则的程度所进行的系统的、独立的、形成文件的过程。公正性存在的客观性。客观性意味着利益冲突不存在或已解决，从而不会对认证机构的活动产生不利影响；表述公正性要素的其他术语有：独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。审核方案针对特定时间段所策划并具有特定目标的一组一次或多次审核安排审核计划对审核活动和安排的描述审核准则用于与客观证据进行比较的一组要求。如果审核准则是法定的包括法律或法规的要求，则审核发现中经常使用“合规”或“不合规”这两个词。要求可以包括方针、程序、作业指导书、法定要求、合同义务等。审核证据与审核准则有关并能够证实的记录、事实陈述或其他信息审核发现将收集的审核证据对照审核准则进行评价的结果审核发现表明符合或不符合。审核发现可导致识别改进的机会或记录良好实践。如果审核准则选自法律要求或法规要求，审核发现被称为合规或不合规。审核结论考虑了审核目标和所有审核发现后得出的审核结果内部内审员/内审员指由本单位聘任的且符合规定条件的能够胜任主持或者参与对本单位体系实施内部审核的人员。内审组实施内部审核的一名或多名内审员，需要时，由技术专家提供支持。审核组中的一名内审员被指定为审核组长。审核组可包括实习内审员。建立内部审核过程组织应策划、建立、实施和保持一个或多个审核程序（或方案），包括：审核目的、范围和准则，频次、方法和能力要求；策划和实施审核、报告审核结果和保存相关记录的职责、能力和要求；进行审核和报告结果的职责；编制审核计划；审核准备（审核通知、文件审核和编制检查表）；内审员选择和使用（审核员的选择和审核的实施应确保审核过程的客观性和公正性）；实施现场审核（确保审核过程客观公正）；向管理者报告审核的结果（不符合提出与确认、编发审核报告）；及时采取适当的纠正措施、跟踪验证等。内部审核策划制定内部审核方案：组织应建立审核方案（见ISO19011）来指导审核的策划和实施，并确定完成审核目标需要哪些审核。在策划内部审核时，应考虑的输入清单包括但不限于：组织业务性质：深入理解组织的业务性质是审核的基础，包括业务范围、运营模式、关键业务流程等。业务影响分析与风险评估成果：应参考最新的业务影响分析和风险评估数据，以识别关键业务功能和潜在风险点。关键过程的重要性：要识别并优先考虑那些对业务连续性至关重要的过程。管理的优先级：依据管理层确定的优先级进行审核计划的制定，确保关注最重要的领域。组织变更情况：任何可能影响业务连续性的组织变更，如结构调整、人员变动、技术更新等，都应纳入审核考虑。BCMS的复杂性和成熟度：当前BCMS的复杂程度和成熟水平将直接影响审核的深度和广度。过程绩效数据：收集并分析关键过程的绩效数据，以评估其稳定性和改进潜力。投诉与反馈趋势：内部和外部的投诉、反馈及举报趋势应作为审核的重要参考，以识别潜在问题和改进点。合规性要求与现状：确保BCMS符合相关法律法规、标准和行业要求，并了解当前的合规状况。历史审核结果和问题记录：以往的审核结果和问题历史记录应作为本次审核的输入，以跟踪问题的解决情况和验证纠正措施的有效性。业务连续性管理体系内部审核策略内部审核方案的基础：内部审核方案应该基于业务连续性管理体系（BCMS）的整体范围来构建。审核方案应考虑BCMS的所有关键组成部分和要素，以确保其全面性和有效性；审核的覆盖范围：尽管内部审核方案是基于BCMS的全部范围设计的，但每次具体的审核活动并不必同时覆盖整个体系；审核的分期与周期性：只要审核方案能够确保在组织规定的审核周期内，所有组织单位、职能、活动、体系要素以及BCMS的全部范围都得到审核，那么审核就可以被分为若干个较小的部分或阶段进行；审核的灵活性与全面性：通过将审核活动分解为较小的部分并在规定的审核周期内逐步完成，组织可以更加灵活地安排和管理其内部审核活动。确定审核频次：组织根据具体情况确定内部审核的频次，每年度应进行不少于1次覆盖全要素、全部门的审核，两次审核间隔不超过12个月。出现下列情况之一时，可追加审核：组织机构和职能分配有重大调整时；BCMS文件发生重大变更时；发生重大事故时等。确定审核频次和覆盖范围：组织在确定审核频次和覆盖范围时应考虑下列因素：业务连续性风险识别、风险分析和评价以及风险控制的结果；现有的业务连续性与绩效；管理评审的结果；BCMS内外部环境的变化等。每次审核无需覆盖BCMS全部。审核可分为若干部分进行，只要能够在组织规定的审核期限内按照审核计划覆盖组织所有单位、活动和系统单元以及整个BCMS。开展一体化审核：审核应尽可能与其他内部审核结合进行,开展一体化审核，以提高审核效率、减少重复工作，并帮助组织更全面地了解其运营状况。内部审核实施内部审核应由组织的管理者代表组织：内部审核应由高层管理人员，特别是管理者代表来组织和监督；内审员的选择与配备；确保审核人员的选择，并明确其职责和要求，确保内部内审员具有相应的能力；应培养足够数量的具有责任心的内部内审员，并通过相互间的交流和参与审核不断提高其能力和素质。审核准备应对时间、人员、日程等进行策划和安排；在审核准备阶段，应对审核的时间、人员和日程进行详细策划和安排；确定审核的时间范围，考虑组织的运营周期、关键活动和其他相关因素，以确保审核能够在最佳时机进行；审核组应由具备相应资质的人员组成，确保审核人员的专业知识、经验与受审核区域相适应。分配适当的审核人员到各个受审核区域，确保审核人员的专业知识、经验与受审核区域相适应，并能够按照计划完成审核任务。制定详细的审核日程，包括会议安排、现场访问、文件审查等，以确保审核能够有序、高效地进行。同时，应预留足够的时间用于审核发现的分析和讨论，以及与被审核方的沟通和反馈。组织可采用集中式审核、滚动式审核等方式开展内部审核，也可根据需要进行专业审核。内部审核还可与常规的检查、考核等工作相结合。集中式审核、滚动式审核比较说明表审核方式特点应用策略优点缺点集中式审核在特定时间段内对所有关键领域进行全面审核适用于规模较小或审核资源集中的组织全面覆盖，一次性解决问题资源需求集中，可能造成短期压力审核深度和广度较高适用于需要全面了解组织状况的场景审核结果具有整体性，易于管理决策可能存在时间上的限制，难以深入每个细节审核结果具有一致性易于发现跨部门的共性问题对于大型或复杂组织可能不够灵活滚动式审核将审核活动分散在一段时间内，逐个审核业务领域适用于规模较大、业务领域多样的组织灵活性高，可以持续监控和改进审核结果的整合和分析可能更复杂审核过程具有连续性适用于需要持续改进和监控的场景资源需求分散，减轻短期压力可能存在不同审核周期之间的衔接问题便于优先级的调整和管理可以重点关注高风险或关键业务领域对于快速变化的环境可能需要更频繁地更新内部审核的人员资质与独立性要求；审核人员的来源：BCMS的内部审核可以由组织内部的人员进行，组织可以依托自身的专业团队来执行审核任务。组织也可以选择外部人员代表组织进行内部审核。这通常发生在组织内部缺乏足够的专业知识或资源，或者需要引入第三方的独立视角来增强审核的客观性和公信力时；审核人员的资质要求：无论审核是由内部人员还是外部人员进行，进行审核的人员都必须具备相应的专业能力和资质，以确保他们能够胜任审核工作；审核的公正性与客观性：审核人员在进行内部审核时，必须保持公正和客观的态度。他们不应受到任何可能影响其判断独立性的利益冲突或不当影响；审核员的独立性证明：在较小的组织中，由于人员相对较少，可能存在审核员与被审核活动之间存在直接关联的情况。为了证明审核员的独立性，组织需要确保审核员不负责所审核的活动。内部审核流程主要包括：成立审核组，委派审核组长；制定并沟通审核实施计划；编制检查清单；实施现场审核；审核员善于现场观察、双向沟通和咨询辅导，管理缺陷得到追溯，好的做法得以总结，审核

客观公正，真实反映实际；各部门和员工能够积极配合审核活动，主动反映实际情况。发现不符合；编制审核报告。确保将审核结果上报相关管理者；审核组应向相关管理者和管理层报告审核结果，审核报告是管理评审的重要输入。审核组长应编制审核报告，审核报告应包括审核目的与审核依据、审核时间、审核组成员、审核范围和主要审核的内容、审核发现的不符合、审核结论。深入分析审核结果，对审核发现的不符合和问题进行分级分类，系统查找管理短板，采取有效的纠正措施，并进行跟踪验证，确保问题的产生原因得到彻底消除；评审和改进内部审核程序（方案）。保留成文信息，作为实施内部审核程序（方案）以及审核结果的证据。审核结果的示例可包括审核报告、所采取的纠正或纠正措施的证据（如培训、更新的成文信息）。内部审核结果需作为管理评审的输入。BCMS内部审核结果的报告与应用BCMS内部审核的结果可以报告的形式提供，并用于纠正或预防具体的不符合，并为开展管理评审提供输入。内部审核结果的形式：BCM的内部审核结果应以报告的形式提供。这种报告应详细、清晰地概述审核发现，包括符合与不符合项，并提供相关证据和支持信息。纠正与预防措施：审核报告应被用作纠正或预防具体不符合项的依据。对于发现的任何不符合项，组织应制定相应的纠正措施，以消除不符合的原因，并防止其再次发生。同时，为了预防潜在的不符合项，组织还应基于审核结果制定预防措施。管理评审的输入：审核报告还应为管理评审提供输入。管理评审是组织高层对BCMS的整体效能和适宜性进行的评价。内部审核结果作为管理评审的输入，有助于高层管理者了解BCMS的实际运行情况，识别改进机会，并作出与业务连续性目标相一致的决策。第二部分：“9.2内部审核”流程分析与实施过程输入活动（工作流程图）过程输出技术、工具和方法BCMS运行状态及过程实施概览组织活动的业务连续性风险评估概览关键过程的重要性、历史变化影响及以往审核结果概览过程的关键性与管理优先级概览BCMS的复杂程度与成熟度概览过程绩效数据概览组织内容的变更或调整情况概览相关方投诉趋势分析概览法规与合规性问题概览既定的内部审核方案与计划概览BCMS符合性与有效性定期评价报告年度BCMS内部审核策划方案BCMS内部审核执行时间表BCMS内部审核通知BCMS内部审核会议签到与纪要BCMS内部审核现场检查记录BCMS内部审核不符合项总结报告BCMS内部审核综合报告BCMS内审员绩效评估BCMS内审员资质档案文档审查访谈与问卷调研文件查阅记录、数据与存档检索业务流程分析现场巡查与观察验证与比对多媒体资料调阅统计抽样信息与通信技术（I