对电子化管理体系（ebms）的审核

-1-日期：2005年8月25日ISO9001审核实践组指南对电子化管理体系（EBMS）的审核1.介绍组织在管理体系运行和控制方面对电子介质的依赖性不断增强，这就要求认证机构及其审核员考虑新的方法，以确保审核的有效和高效。他们需要重新确定对过程及相关文件（包括记录）进行评价的方式，以验证其是否符合审核准则。本文件为审核完全电子化的管理体系，或文件在很大程度上电子化的管理体系提供了基本指南。本文件还针对应在审核前进行的通常的策划和准备活动，为认证机构和审核员提供了补充性指南。本文件关注ISO9001中那些有可能使用电子文件、记录等的要求，同时还考虑了可能通过电子系统控制上述文件/记录的获取途径的情况。本文件拟供那些在电子化管理体系（electronic-basedmanagementsystem，EBMS）方面具有丰富实践经验的审核员使用，EBMS是指依靠电子文件、数据和应用软件来正常运行的管理体系。不过，本文件的写作风格使那些在计算机和EBMS方面经验有限的审核员也可以使用本文件。不论是实施审核的第三方认证机构、实施评审的认可机构，还是实施内部审核的职能部门（以下统称为“审核组织”），审核组织都有责任确保EBMS审核过程的有效性。本文采用了ISO19011提供的指南，并对ISO9001和其他管理体系标准的审核员可以用来验证标准符合性的方法提出了建议。为确保使用适当的方法，审核员和审核组织在实施ISO19011所述的审核过程步骤时应当进行必要的调整。-2-应当注意，认证机构不应当将审核员能够熟练审核EBMS作为减少审核时间的理由，而是将其作为优化审核有效性和效率的一种手段。本文件无意对审核EBMS的信息安全控制提供指南。对信息安全控制有兴趣的读者，可以参考ISO/IEC17799，该标准是针对信息安全控制的综合性标准。2.审核的启动和策划在审核启动阶段（第一阶段审核），审核组织应当确定受审核组织的结构及其管理体系电子化的程度。对于建立集中的EBMS的多场所组织或者“虚拟”组织，需要采用与单一场所和（或）有形组织不同的审核计划和方法。审核组织和受审核方应当商定审核员将如何访问和使用EBMS。这可能需要考虑以下方面：—允许审核组成员有机会熟悉受审核方的EBMS（包括在审核计划里为此安排充足的时间）；—受审核方信息技术设施的使用政策；—访问指导书、必要的访问安全许可、相关的组织文件和记录；—确保审核员在审核中和审核后对电子文件和记录予以保密的保障措施和过程。审核组织应当确保所挑选的审核组有足够能力对EBMS进行有效的审核。3.文件审查取决于受审核方能否通过电子邮件传输文件，或使审核员通过网络获取文件，审核组织可以在现场以外，通过在线方式或电子邮件提交的电子文件，进行部分或全部的文件审查。-3-出于技术和安全原因，审核组可能不能在到达现场前，通过在线方式或电子邮件传送的相关文件对组织的EBMS进行完整的文件审查。这种情况下，审核组需要在第一阶段审核中，在受审核方的设施对电子文件进行审查，以满足审核准备活动的要求。4.现场审核活动的实施EBMS的审核方法很大程度上取决于在判定符合性时，需要多少电子记录形式的证据。现场审核活动中，审核路线通常应当包括受审核过程的物理场所。但是，对于EBMS，审核员可能需要在计算机工作站上花费大部分时间对证据进行确认，以确定是否符合要求，而计算机工作站的位置可能不一定位于实际过程附近。如果计算机工作站位置较远，不能从实际过程的地点访问，那么可以减少在实际过程的地点实际使用的审核时间。但是，由于可能要在确认实际过程存在之前或之后对电子证据进行审查，总的审核时间可能不一定需要减少。当相关的计算机工作站位置较远时，应当特别考虑在实际过程的地点和计算机工作站之间往返所需的时间。如果过程需要人员介入，审核员应当对实际过程与电子介质之间发生相互作用的方法进行评价，以确保相关信息的准确性。5.审核电子文件的控制规定管理体系方针和程序的电子文件可以采用多种文件格式，这取决于组织使用哪种应用软件生成这些文件。电子文件格式包括文本文件、HTML文件、PDF文件等等。电子数据表和数据库也被认为是附属于管理体系控制要素的电子“文件”。-4-由于现在使用者可以相对容易地生成电子数据表和其他电子文件，审核员应当确保受审核方通过适当的程序，将通用的管理体系文件控制政策用于电子文件。在电子化环境中，组织需要采用适宜和有效的方法来确保管理体系文件的充分审查、批准、发布和分发。这些方法应当与电子文件的编制和修改方法保持一致。在很多情况下，文件控制措施还可能是生成文件的应用软件中的标准功能。因此审核员应当对这些应用软件中的特定控制有一定程度的了解，以便基于这些控制来判定是否符合适用的管理体系标准。由于EBMS提高了对文件进行修改、更新、格式变更和其他改进的能力，审核员应当特别关注像文件标识和文件修订级别这样的控制要素。由于电子介质便于对文件进行修改，审核员应当验证组织的文件控制政策和程序是否考虑了用于管理过期文件的控制措施。审核员应当验证EBMS文件在电子文件的功能和控制方面为使用者提供了指导。另外，组织在文件访问政策中部分地反映适用的管理体系标准关于“在使用处可获得适用文件的有关版本”的要求，是一种有代表性的做法。审核员应当理解组织关于用户权限的政策和程序，因为这些是正确实现组织的过程的重要因素。通过电子方式与供方、顾客及其他利益相关方进行的外部沟通可能涉及文件交换。由于外部文件可能规定组织过程运行的关键参数，审核员应当验证EBMS正式导入和控制这些文件的程度。6.审核电子记录的控制电子记录由过程输出的数据和存储这些数据的电子格式组成。这些电子格式包括从简单的电子数据表到更为复杂的数据库应用软件。-5-审核员应当意识到，组织对电子表格的控制要素不一定与电子记录的控制要素相同。例如，对于电子表格和电子记录的标识，一份电子表格的标识对应的是这份电子表格的专用名称，而电子记录的标识则要同时针对存储在一份电子表格中的一组特定数据和这份电子表格。审核员应当审查组织采集数据的方法，以确保数据录入活动的准确性有足够的可信度。在评价组织对记录存储的控制时，审核员应当验证组织是否了解其存储容量和下列因素：—生成记录的速度；—记录保留的政策和相关的保存期限；—清楚记录的速度。这些因素可能影响EMBS的正常运行。由于组织的知识库和绩效信息可能几乎全部保存在电子记录中，审核员应当审查组织的电子信息安全防护方法。ISO/IEC17799提供了更多关于信息安全的资料。7.组织的资源随着越来越多的组织使用EBMS，IT部门的作用越来越重要。审核员应当验证组织是否配备了与确保EBMS持续有效运行相适应的IT资源（包括设施）。审核员还应当验证组织是否规定了IT人员参与EBMS建立、实施、维护和文件管理相关事务的程度，和对这些方面施加影响和提供支持的程度。在验证资源配置是否适当时，审核员应当评价组织如何解决EBMS运行所需硬件和软件的操作人员的能力问题。-6-在建立EBMS时，组织通常让原有体系和电子化体系平行运转一段时间，以便使用者适应电子化体系。遇到这种情况时，审核员应当验证组织为确保其人员确实学习和掌握EBMS而采用的方法。组织的IT设施复杂程度各不相同，取决于业务的性质和复杂程度。审核员应当验证组织对IT平台的系统维护政策和程序。审核员还应当验证组织如何应对系统故障停机事故，因为这些将影响EBMS的正常运行。审核员应当验证组织是否有正式的备份系统，以及是否定期检查和测试备份系统的充分性和有效性。在软件方面，审核员应当验证组织对内部软件、外部软件、软件许可以及软件升级的控制。由于软件可以被看作一种动态的电子文件，所以上文关于文件审核的指南也适用于软件。根据组织EBMS使用软件的程度，审核员应当审查应用软件的功能以及软件和标准规定的管理体系要素之间的关系。由于环境因素可影响IT平台的运行，组织应当采取措施避免平台受到环境因素的影响。这些措施可能包括从提供足够的设施或保护箱、罩，到提供不间断电源（UPS）。审核员应当评价组织的控制是否考虑了像设施维护、温度、湿度等等这样的因素对EBMS运行的影响程度。8.内部和外部的电子化沟通电子化沟通的方便程度不断提高，可供选择的方法也越来越多，因此组织的文件化管理体系应当对电子化沟通的方法做出必要的规定，以确保使用这些方法时的一致性，从而满足EBMS和适用的管理体系标准的要求。当组织通过局域网、电子邮件和实时通讯来满足EBMS的要求时，审核员应当验证组织的政策和程序是否规定了这些方法的使用条件。另外，-7-如果将内部电子化沟通的结果作为满足审核准则的证据，审核员应当验证是否遵循了记录控制政策和程序。当组织依靠IT设施与顾客（例如电子商务）、供应商（电子采购）、外部场所和其他相关方进行电子化沟通时，审核员应当验证EBMS是否正式规定了这些沟通和相关交易的方法、政策和程序。9.多场所管理体系采用多场所（或者从一个中心场所到卫星场所）运营方式的组织通常通过电子化手段与其不同场所保持沟通，共享政策、程序和过程数据，例如通过互联网、外部网络、电子邮件和实时通讯。如果组织通过IT平台和关联的应用软件共享与审核准则相关的信息，那么审核员应当对组织使用的不同网络手段有一定程度的了解，以便判断EBMS是否符合审核准则。审核员应当验证组织的政策和程序对多场所管理体系的控制做出了适当的规定。10.审核员能力随着组织越来越多地依靠软件来对运作进行监视和控制，EBMS审核过程的可信性将取决于审核员理解信息技术发展趋势的能力。审核组织应当通过必要的措施（包括提供培训）满足审核员对下列方面的知识和技能的一般和特殊需求：—可能影响管理体系运行的信息技术普遍发展趋势；—与每项审核任务特定相关的方面。由于IT领域的创新与审核准则的变化相比较为迅速，审核员和审核组织面临的一项挑战是需要切实了解相关的趋势及其在EBMS中的应用。对于影响EBMS运行的创新，审核组织应当确定审核组自身是否具有进行有效审核所需的经验，或者是否需要技术专家的协助。-8-Date:25August2005ISO9001AuditingPracticesGroupGuidanceon:AuditingElectronic-BasedManagementSystems(EBMS)1.IntroductionThegrowingdependencyoforganizationsonelectronicmediafortheoperationandcontroloftheirmanagementsystemsrequirescertification/registrationbodiesandtheirauditorstolookatnewapproachestoensuringthatauditswillbeeffectiveandefficient.Theywillneedtoredefinethewayprocessesandrelateddocuments(includingrecords)areevaluatedtoverifyconformancewiththeauditcriteria.Thispaperhasbeendevelopedtogivegeneralguidelinesfortherealizationofauditsofmanagementsystemsthatareeitherfullyelectronic-basedorhaveahighdegreeofdocumentationinelectronicmedia.Italsoprovidesguidelinesforcertification/registrationbodiesandauditorstoconsiderasacomplementtothenormalplanningandpreparationactivitiesthatshouldoccurpriortoanaudit.Thispaperfoc