为了对“过程方法”有更好的理解,我们首先应理解以下几个术语:
活动
人们在过程中协调配合,开展他们的日常活动。某些活动被预先规定并依靠对组织目标的理解,而另外一些活动则是通过对外界刺激的反应,以确定其性质并予以执行。
过程
利用输入提供预期结果的相互关联或相互作用的一组活动。
组织拥有可被确定、测量和改进的过程。这些过程相互作用,产生与组织的目标和跨部门职能相一致的结果。某些过程可能是关键的,而另外一些则不是。过程具有内部相关的活动和输入,以提供输出。
过程方法
当活动被作为相互关联的功能连贯过程系统进行管理时,可更加有效和高效的始终得到预期的结果。
从这3个概念中我们了解到:
一个过程可能包括多个活动;过程可以提供预期的结果;把过程的相关或从系统管理,可以使过程提供的预期结果更加有效。
ISO 9001:2015《质量管理体系 要求》引言 0.1条款明确指出,本标准采用过程方法,该方法结合了PDCA(策划、实施、检查、处置)循环与基于风险的思维。过程方法能使组织策划其过程及其相互作用。PDCA循环使得组织确保对其过程进行恰当管理,提供充足资源,确定改进机会并采取行动。基于风险的思维使得组织能确定可能导致其过程和质量管理体系偏离策划结果的各种因素,采取预防控制,最大限度地降低不利影响,并最大限度地利用出现的机遇。结合此要求,看看目前主流企业信息化系统的情况。
目前主流的企业信息化系统主要有办公自动化系统、企业资源计划系统、客户关系管理系统、电子商务系统。
办公自动化(OA)是将现代化办公和计算机网络功能结合起来的一种新型的办公方式。办公自动化没有统一的定义,凡是在传统的办公室中采用各种新技术、新机器、新设备从事办公业务都属于办公自动化的领域。在行政机关中,大多把办公自动化叫做电子政务,企事业单位称为OA,即办公自动化。OA软件的核心应用是流程审批、协同工作、公文管理(国企和政府机关)、沟通工具、文档管理、信息中心、电子论坛、计划管理、项目管理、任务管理、会议管理、关联人员、系统集成、门户定制、通讯录、工作便签、问卷调查、常用工具(计算器、万年历等)。
企业资源计划(ERP),由美国 Gartner Group 公司于1990年提出。企业资源计划是一种基于“供应链”管理思想,把客户需求和企业的内部制造活动以及供应商的制造资源整合在一起,体现了完全按用户需求制造的思想。可能包括生产资源计划、制造、财务、销售、采购等功能,以及质量管理、实验室管理、业务流程管理。
客户关系管理(CRM)是利用信息科学技术,实现市场营销、销售、服务等活动自动化,以提高客户满意度、忠诚度为目的的一种管理经营方式。客户关系管理既是一种管理理念,又是一种软件技术。以客户为中心的管理理念是CRM实施的基础。
电子商务系统是保证以电子商务为基础实现网上交易的体系。狭义上讲,电子商务系统则是指企业、消费者、银行、政府等在Internet和其他网络的基础上,以实现企业电子商务活动的目标,满足企业生产、销售、服务等生产和管理的需要,支持企业的对外业务协作,从运作、管理和决策等层次全面提高企业信息化水平,为企业提供具备商业智能的计算机网络系统。
那么,如何对企业信息化系统实施审核?
在质量管理体系中应用过程方法要考虑:理解并持续满足要求;从增值的角度考虑过程;获得有效的过程绩效;在评价数据和信息的基础上改进过程。据此,管理信息系统的审核思路主要体现几点:
1. 了解组织目前管理信息系统主要有哪些?了解组织的背景,诸如是否隶属于某个集团,集团对管理信息化的要求有哪些,是否有信息系统和集团相关联,其控制要求有哪些?
2. 公司是否建立台账、清单类文件管理信息系统?如果没有,抽查不同部门的2~3人以了解证实员工是否清楚?如有,要求提供相关证据。
3. 了解这些管理信息系统是否有编制操作说明书相关文件?如没有,询问如何确保操作岗位人员了解系统要求。根据受审核方回答问题的情况,抽2~3个操作岗位人员求证核实。
4. 了解公司的网络情况,抽查VLAN的划分、网络拓扑图以及IP地址管理、防火墙的安全策略等。查看网络的安全设置与管理信息系统的管理风险级别是否匹配。
5. 了解管理信息系统的硬件设备情况,IP地址是否符合公司的信息化建设中安全策略,是否有独立机房。巡查机房的电源、UPS、空调、线缆情况。重点关注电源故障、UPS的应急响应等情况。
6. 了解是否制定管理信息系统数据备份策略以及备份的方式、介质和频次。根据数据备份策略抽查2次备份记录。观察存放数据的环境是否符合要求。
7. 现场抽查管理信息系统的用户情况及不同用户的权限设置,了解、检查权限设置的文件规定及一些特殊权限的审批情况。在服务器端抽查2~3个不同级别人员的权限控制与审批情况,了解人员离职后如何处理原账户及密码。
8. 询问遇到停电、断网等突发事件如何处理?是否有应急方案?如有,请提供。如没有,调系统日志,查看故障日志,根据其发生故障的风险,结合行业法律法规要求来判断编制应急预案的必要性。
9. 了解管理信息系统是否允许员工在异地访问?(非公司环境下)如允许,要了解采取什么措施防范外部黑客、木马等攻击。有条件时,要求运行演示。
10. 了解如何对管理信息系统运行进行检查监控并评价检查监控措施的适宜性。了解系统中是否有对生产数据、质检结果、不合格情况、供应、顾客满意等内容的分析与评价的数据,抽查并确认核实。
11. 询问当管理信息系统不满足业务需求时如何处理,是否建立定期评审机制、软件更新机制。如机制已建立,应抽查1~2次的定期评审、软件更新的证据。
12. 根据企业管理信息系统覆盖的业务模块,结合业务流程要求,检查输入、输出、记录、检索查询、统计等方面的情况。