為了對“過程方法”有更好的理解,我們首先應理解以下幾個術語:
活動
人們在過程中協(xié)調(diào)配合,開展他們的日;顒。某些活動被預先規(guī)定并依靠對組織目標的理解,而另外一些活動則是通過對外界刺激的反應,以確定其性質并予以執(zhí)行。
過程
利用輸入提供預期結果的相互關聯(lián)或相互作用的一組活動。
組織擁有可被確定、測量和改進的過程。這些過程相互作用,產(chǎn)生與組織的目標和跨部門職能相一致的結果。某些過程可能是關鍵的,而另外一些則不是。過程具有內(nèi)部相關的活動和輸入,以提供輸出。
過程方法
當活動被作為相互關聯(lián)的功能連貫過程系統(tǒng)進行管理時,可更加有效和高效的始終得到預期的結果。
從這3個概念中我們了解到:
一個過程可能包括多個活動;過程可以提供預期的結果;把過程的相關或從系統(tǒng)管理,可以使過程提供的預期結果更加有效。
ISO 9001:2015《質量管理體系 要求》引言 0.1條款明確指出,本標準采用過程方法,該方法結合了PDCA(策劃、實施、檢查、處置)循環(huán)與基于風險的思維。過程方法能使組織策劃其過程及其相互作用。PDCA循環(huán)使得組織確保對其過程進行恰當管理,提供充足資源,確定改進機會并采取行動;陲L險的思維使得組織能確定可能導致其過程和質量管理體系偏離策劃結果的各種因素,采取預防控制,最大限度地降低不利影響,并最大限度地利用出現(xiàn)的機遇。結合此要求,看看目前主流企業(yè)信息化系統(tǒng)的情況。
目前主流的企業(yè)信息化系統(tǒng)主要有辦公自動化系統(tǒng)、企業(yè)資源計劃系統(tǒng)、客戶關系管理系統(tǒng)、電子商務系統(tǒng)。
辦公自動化(OA)是將現(xiàn)代化辦公和計算機網(wǎng)絡功能結合起來的一種新型的辦公方式。辦公自動化沒有統(tǒng)一的定義,凡是在傳統(tǒng)的辦公室中采用各種新技術、新機器、新設備從事辦公業(yè)務都屬于辦公自動化的領域。在行政機關中,大多把辦公自動化叫做電子政務,企事業(yè)單位稱為OA,即辦公自動化。OA軟件的核心應用是流程審批、協(xié)同工作、公文管理(國企和政府機關)、溝通工具、文檔管理、信息中心、電子論壇、計劃管理、項目管理、任務管理、會議管理、關聯(lián)人員、系統(tǒng)集成、門戶定制、通訊錄、工作便簽、問卷調(diào)查、常用工具(計算器、萬年歷等)。
企業(yè)資源計劃(ERP),由美國 Gartner Group 公司于1990年提出。企業(yè)資源計劃是一種基于“供應鏈”管理思想,把客戶需求和企業(yè)的內(nèi)部制造活動以及供應商的制造資源整合在一起,體現(xiàn)了完全按用戶需求制造的思想。可能包括生產(chǎn)資源計劃、制造、財務、銷售、采購等功能,以及質量管理、實驗室管理、業(yè)務流程管理。
客戶關系管理(CRM)是利用信息科學技術,實現(xiàn)市場營銷、銷售、服務等活動自動化,以提高客戶滿意度、忠誠度為目的的一種管理經(jīng)營方式。客戶關系管理既是一種管理理念,又是一種軟件技術。以客戶為中心的管理理念是CRM實施的基礎。
電子商務系統(tǒng)是保證以電子商務為基礎實現(xiàn)網(wǎng)上交易的體系。狹義上講,電子商務系統(tǒng)則是指企業(yè)、消費者、銀行、政府等在Internet和其他網(wǎng)絡的基礎上,以實現(xiàn)企業(yè)電子商務活動的目標,滿足企業(yè)生產(chǎn)、銷售、服務等生產(chǎn)和管理的需要,支持企業(yè)的對外業(yè)務協(xié)作,從運作、管理和決策等層次全面提高企業(yè)信息化水平,為企業(yè)提供具備商業(yè)智能的計算機網(wǎng)絡系統(tǒng)。
那么,如何對企業(yè)信息化系統(tǒng)實施審核?
在質量管理體系中應用過程方法要考慮:理解并持續(xù)滿足要求;從增值的角度考慮過程;獲得有效的過程績效;在評價數(shù)據(jù)和信息的基礎上改進過程。據(jù)此,管理信息系統(tǒng)的審核思路主要體現(xiàn)幾點:
1. 了解組織目前管理信息系統(tǒng)主要有哪些?了解組織的背景,諸如是否隸屬于某個集團,集團對管理信息化的要求有哪些,是否有信息系統(tǒng)和集團相關聯(lián),其控制要求有哪些?
2. 公司是否建立臺賬、清單類文件管理信息系統(tǒng)?如果沒有,抽查不同部門的2~3人以了解證實員工是否清楚?如有,要求提供相關證據(jù)。
3. 了解這些管理信息系統(tǒng)是否有編制操作說明書相關文件?如沒有,詢問如何確保操作崗位人員了解系統(tǒng)要求。根據(jù)受審核方回答問題的情況,抽2~3個操作崗位人員求證核實。
4. 了解公司的網(wǎng)絡情況,抽查VLAN的劃分、網(wǎng)絡拓撲圖以及IP地址管理、防火墻的安全策略等。查看網(wǎng)絡的安全設置與管理信息系統(tǒng)的管理風險級別是否匹配。
5. 了解管理信息系統(tǒng)的硬件設備情況,IP地址是否符合公司的信息化建設中安全策略,是否有獨立機房。巡查機房的電源、UPS、空調(diào)、線纜情況。重點關注電源故障、UPS的應急響應等情況。
6. 了解是否制定管理信息系統(tǒng)數(shù)據(jù)備份策略以及備份的方式、介質和頻次。根據(jù)數(shù)據(jù)備份策略抽查2次備份記錄。觀察存放數(shù)據(jù)的環(huán)境是否符合要求。
7. 現(xiàn)場抽查管理信息系統(tǒng)的用戶情況及不同用戶的權限設置,了解、檢查權限設置的文件規(guī)定及一些特殊權限的審批情況。在服務器端抽查2~3個不同級別人員的權限控制與審批情況,了解人員離職后如何處理原賬戶及密碼。
8. 詢問遇到停電、斷網(wǎng)等突發(fā)事件如何處理?是否有應急方案?如有,請?zhí)峁。如沒有,調(diào)系統(tǒng)日志,查看故障日志,根據(jù)其發(fā)生故障的風險,結合行業(yè)法律法規(guī)要求來判斷編制應急預案的必要性。
9. 了解管理信息系統(tǒng)是否允許員工在異地訪問?(非公司環(huán)境下)如允許,要了解采取什么措施防范外部黑客、木馬等攻擊。有條件時,要求運行演示。
10. 了解如何對管理信息系統(tǒng)運行進行檢查監(jiān)控并評價檢查監(jiān)控措施的適宜性。了解系統(tǒng)中是否有對生產(chǎn)數(shù)據(jù)、質檢結果、不合格情況、供應、顧客滿意等內(nèi)容的分析與評價的數(shù)據(jù),抽查并確認核實。
11. 詢問當管理信息系統(tǒng)不滿足業(yè)務需求時如何處理,是否建立定期評審機制、軟件更新機制。如機制已建立,應抽查1~2次的定期評審、軟件更新的證據(jù)。
12. 根據(jù)企業(yè)管理信息系統(tǒng)覆蓋的業(yè)務模塊,結合業(yè)務流程要求,檢查輸入、輸出、記錄、檢索查詢、統(tǒng)計等方面的情況。