10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO20000信息技术服务管理体系认证咨询 > 《内部审核控制程序(模板)》ISO20000认证:《内部审核控制程序(模板)》
1.目的
为验证IT服务管理是否持续符合标准和本公司IT服务管理体系文件的规定,确保体系正常运行,并发现持续改进机会,特制定本流程。
2.范围
本程序适用于本公司ISO20000信息技术服务管理体系的内部审核的实施和管理。
3.职责
质量管理部负责编制内审计划并协助管理者代表组织实施内部审核。管理者代表负责批准内部审核计划。
IT服务管理体系所涉及的各部门负责按内部审核计划准备并提供与本部门有关的审核所需的资料、配合审核工作,并负责落实审核中提出的纠正和预防措施。
4.程序
(1)审核程序
正常情况下,管理体系内部审核每年进行一次,范围覆盖全公司管理体系的各部门。出现以下情况时,经管理者代表批准后可进行追加审核∶
a)法律、法规及其他要求发生变更时;
b)发生重大IT服务管理事件或相关方提出要求时;
c)本公司的组织机构发生重大变更时。
质量管理部根据本公司生产和管理活动的实际情况,结合以往审核结果和管理评审提出的要求编制《内部审核计划》,经管理者代表批准后,在审核前7天通过电子邮件下发至各受审核部门和内审员。
(2)审核前的准备
质量管理部根据公司内部业务的运行情况指定相应的人员作为内审员。内审员应熟悉本公司的生产、管理活动,熟悉本公司的管理体系,参加过管理体系内审员培训并取得资格。
内审员应与受审核部门无直接责任关系。
管理体系涉及的部门要做好受审核准备,受审核部门应指派合适的人员配合内审员进行审核。
(2)内部审核的实施
(a)首次会议
内审组长主持首次会议,与会人员包括管理者代表、受审核部门负责人、IT 服务管理技术内部专家及全体内审员,主要任务是阐明《内部审核计划》。
《内部审核计划》的内容包括∶
a)审核的日期、目的、范围、依据和审核方法;
b)技术性审核要求;
c)内审员的分组和审核日程安排;
d)确定末次会议的时间、地点;
e)其他要说明的问题等。
(b)实施审核
各组内审员审核时应根据内审计划预定的时间、进度进行检查。
如需扩大审核范围或调整审核时间,需经过审核组长同意;如需延长审核时间,需经管理者代表批准。
内审员通过交谈、查阅记录资料、检查现场等方式收集证据,检查管理体系运转情况,对审核当中发现的不符合项做好记录。
各审核组在每日审核完成后要进行一定的沟通,对内审中发现的不符合项,内审员填写《内审不合格报告》,在末次会议前由受审核方负责人签字确认。
不合格报告单涉及的不合格项的性质主要有三类∶
a)严重不合格;体系运行出现系统性失效,多次重复发生不合格现象,而又未能采取有效的纠正措施加以消除;体系运行出现区域性失效,如某一部门要素的全面失效;组织发生
违反法律法规及其他要求的现象;
b)一般不合格∶对满足 IT 服务管理体系的要素或体系文件要求而言是个别的、偶然的、孤立的、性质轻微的不合格;
c)观察项∶潜在的不合格,如果不采取纠正或纠正措施可能会导致不合格的发生。
(c)末次会议
内审组长主持末次会议,与会人员同首次会议参加人员。
主持人宣读内审不符合项,总结管理体系运行状况,并提出今后的工作要求等。
(4)内审不符合项的纠正和《内审不合格报告》存档
不符合项发生的部门确认不符合项后,根据报告的要求对产生不符合项的原因进行分析,根据《纠正措施控制程序》制定纠正与预防措施,整改完成后由相应内审员进行验证,验证结果由各内审员报质量管理部。
不符合项发生的部门保留本部门已得到验证的《内审不合格报告》复印件一份,行政部负责保留全公司各部门的《内审不合格报告》。
(5)内部审核报告
质量管理部在内审结束一周内编写《内部审核报告》,报管理者代表批准后,通过电子邮件形式发放给总经理、管理者代表及体系所覆盖的各部门。
内审报告的内容包括∶
a)审核的日期、目的、范围、依据和审核方法;
b)审核组成员和受审核方代表名单;
c)审核过程简要说明和《内审不合格报告》中的全部不符合内容;
d)不符合项的数量、分布情况和存在的主要问题; e)体系有效性、符合性结论;
f)其他有关的建议。
内部审核中所使用的全部记录,各内部审核组在末次会之后提交行政部,行政部按《记录控制程序》的规定进行保管。
5.相关文件
《记录控制程序》
《纠正措施控制程序》
6.记录
《内部审核计划》
《内部审核检查清单》
《内部审核员名单》
《内审不合格报告》
《内部审核报告》
想了解更多的关于ISO20000认证信息可以经常关注我们
【相关文章】
