20150803  淡然

目  录

[  /a/68.html#_Toc338941852]1.   概述[/url]

[  /a/68.html#_Toc338941853]1.1              目标[/url]

[  /a/68.html#_Toc338941854]1.2              范围[/url]

[  /a/68.html#_Toc338941855]1.3              术语定义表[/url]

                                                                                                          ITSS考试

[  /a/68.html#_Toc338941856]2.   角色和职责[/url]

[  /a/68.html#_Toc338941857]3.   相关要素定义[/url]

[  /a/68.html#_Toc338941858]4.   管理策略[/url]

[  /a/68.html#_Toc338941859]4.1              内部审核周期[/url]

[  /a/68.html#_Toc338941860]4.2              审核人员组成及要求[/url]

[  /a/68.html#_Toc338941861]4.3              审核依据[/url]

[  /a/68.html#_Toc338941862]5.   内部审核过程[/url]

[  /a/68.html#_Toc338941863]5.1              计划[/url]

[  /a/68.html#_Toc338941864]5.2              内部审核实施[/url]

[  /a/68.html#_Toc338941865]5.2.1    首次会议[/url]

[  /a/68.html#_Toc338941866]5.2.2    审核[/url]

[  /a/68.html#_Toc338941867]5.2.3    末次会议[/url]

[  /a/68.html#_Toc338941868]5.3              报告[/url]

[  /a/68.html#_Toc338941869]6.   流程质量控制[/url]

[  /a/68.html#_Toc338941870]7.   相关文件[/url]

1. 概述

1.1    目标

对某证券股份有限公司信息技术运营服务管理体系涉及的运维活动及其结果是否符合相关标准和流程的要求进行审核，确保体系持续有效地运行，并为体系的持续改进提供依据。

1.2    范围

流程类型	描述
适用范围	适用于某证券信息技术中心运营中心。
管理范围	管理信息技术运营服务管理体系内部审核活动。

图表 1 范围

1.3    术语定义表

无

2. 角色和职责[td]

角色	职责
管理者代表	1.   负责内审计划的审批； 2.   负责参与内部审核首、末次会议； 3.   负责内审报告的审批。                                                ITSS认证
质量经理	1.   负责本规范的推广、监督和改进，包括： 1)   负责本规范及附件文档的更新维护； 2)   回顾规范执行情况，反映存在的问题，提出改进建议，并制定改进计划。 2.   负责触发内部审核活动； 3.   负责制定内审计划； 4.   负责内审报告的审批； 5.   负责对内审报告发现的不符合项进行跟踪改善。
内审组长	1.   负责内审组的协调工作； 2.   负责内部审核的首、末次会议主持工作； 3.   负责编制内审报告。
内审员	负责具体的内部审核检查工作。

图表 2 角色和职责

3. 相关要素定义

无

4. 管理策略

4.1    内部审核周期

每年至少进行一次内部审核，出现以下情况时也可依需要发起、增加频次：

a)   出现重大服务对象投诉或特大事故时；

b)   采用标准、适用法律或验证方法出现重大变化时；

c)   信息技术中心组织架构出现较大调整；

d)   监管机构检查要求；

e)   其它需要增加内部审核及检查的情形。

4.2    审核人员组成及要求

1)   质量经理每年发起内部审核活动，由信息技术中心成立内审组。内审组为临时组织，由内审组长及内审员组成。

2)   内审组负责具体审核工作，审核人员应具备以下条件：

a)   熟悉公司的信息技术运营服务管理体系制度；

b)   具备内审相关知识技能；

c)   熟悉公司信息系统。

3)   内审员应与被审核的活动之间无直接责任关系，内审员不能审核自己的工作，以保证审核的独立性。

4.3    审核依据

1)   监管机构的要求；

2)   公司的要求；

3)   公司遵照的信息技术运营管理体系要求；

4)   其它要求。

5. 内部审核过程

5.1    计划

1)   质量经理根据上年度内部审核及检查结果、外部审核，制定和修订内审计划，报管理者代表审批；

2)   内审计划应包括以下内容：

a)   本年度内审组成员；

b)   审核目的及范围；

c)   审核依据；

d)   审核日程安排。

5.2    内部审核实施

5.2.1 首次会议

1)   由内审组长主持召开首次会议，参加人员包括内审组所有成员，信息技术中心管理层、质量经理、流程经理；

2)   会议内容包括介绍审核的目的、依据、范围、方法及日程安排等。

5.2.2 审核

1)   内审员按照审核日程安排进行逐项检查；

2)   内审员如实记录审核的情况，对发现的不符合项应详细记录并由受审核方责任人确认，以保证不符合项能够被理解、改正；

3)   审核结束后，内审组长组织召开内审小组会议，将依据客观证据形成审核发现，审核发现包括：

a)   符合 — 通过现场抽样验证获取的客观证据证明符合审核准则的情况。

b)   不符合 — 通过现场抽样验证获取的客观证据证明在某些方面违背审核准则情况。

c)   观察项 — 通过现场抽样验证获取的客观证据未能证明违背审核准则，但如果不进行关注并采取措施，将可能出现不符合情况。

5.2.3 末次会议

1)   末次会议由内审组长主持。参加人员包括内审组所有成员，运营中心管理层、各组组长、质量经理、受审核方及协同人员；

2)   内审组长通报审核结果，内容包括：

a)   回顾本次审核情况；

b)   通报并确认不符合项；

5.3    报告

1)   由内审组长编写内审报告，总结主要审核发现及相关结论，确认内审问题责任人、责任部门；

2)   内审报告经质量经理审核，管理者代表批准后由内审组长发布。

3)   质量经理根据内审报告中发现的不符合项，触发问题管理流程，并记录每项不符合项的问题记录单号，跟踪不符合项的改进情况。

4)   不符合项的改进措施分为纠正措施与预防措施：                                             ITSS培训

a)   纠正措施：为消除已发现的不合格或其他不期望情况的原因或降低其再次发生的可能性所采取的措施。

b)   预防措施：为避免或消除潜在不合格及其他不期望情况的起因，或减少其发生的可能性所采取的措施。

6. 流程质量控制

质量经理按照PDCA持续改进的方法对本规范改进，质量经理每年对本规范及其执行情况进行回顾，分析规范执行的效果。在回顾中识别出的改进事项按照服务改进流程的要求进行跟踪，或以其他可审计的方式记录改进情况。

7. 相关文件

无

本帖关键字：ITSS

20150803  淡然

目  录

[  /a/68.html#_Toc338941852]1.   概述[/url]

[  /a/68.html#_Toc338941853]1.1              目标[/url]

[  /a/68.html#_Toc338941854]1.2              范围[/url]

[  /a/68.html#_Toc338941855]1.3              术语定义表[/url]

                                                                                                          ITSS考试

[  /a/68.html#_Toc338941856]2.   角色和职责[/url]

[  /a/68.html#_Toc338941857]3.   相关要素定义[/url]

[  /a/68.html#_Toc338941858]4.   管理策略[/url]

[  /a/68.html#_Toc338941859]4.1              内部审核周期[/url]

[  /a/68.html#_Toc338941860]4.2              审核人员组成及要求[/url]

[  /a/68.html#_Toc338941861]4.3              审核依据[/url]

[  /a/68.html#_Toc338941862]5.   内部审核过程[/url]

[  /a/68.html#_Toc338941863]5.1              计划[/url]

[  /a/68.html#_Toc338941864]5.2              内部审核实施[/url]

[  /a/68.html#_Toc338941865]5.2.1    首次会议[/url]

[  /a/68.html#_Toc338941866]5.2.2    审核[/url]

[  /a/68.html#_Toc338941867]5.2.3    末次会议[/url]

[  /a/68.html#_Toc338941868]5.3              报告[/url]

[  /a/68.html#_Toc338941869]6.   流程质量控制[/url]

[  /a/68.html#_Toc338941870]7.   相关文件[/url]

1. 概述

1.1    目标

对某证券股份有限公司信息技术运营服务管理体系涉及的运维活动及其结果是否符合相关标准和流程的要求进行审核，确保体系持续有效地运行，并为体系的持续改进提供依据。

1.2    范围

流程类型	描述
适用范围	适用于某证券信息技术中心运营中心。
管理范围	管理信息技术运营服务管理体系内部审核活动。

图表 1 范围

1.3    术语定义表

无

2. 角色和职责[td]

角色	职责
管理者代表	1.   负责内审计划的审批； 2.   负责参与内部审核首、末次会议； 3.   负责内审报告的审批。                                                ITSS认证
质量经理	1.   负责本规范的推广、监督和改进，包括： 1)   负责本规范及附件文档的更新维护； 2)   回顾规范执行情况，反映存在的问题，提出改进建议，并制定改进计划。 2.   负责触发内部审核活动； 3.   负责制定内审计划； 4.   负责内审报告的审批； 5.   负责对内审报告发现的不符合项进行跟踪改善。
内审组长	1.   负责内审组的协调工作； 2.   负责内部审核的首、末次会议主持工作； 3.   负责编制内审报告。
内审员	负责具体的内部审核检查工作。

图表 2 角色和职责

3. 相关要素定义

无

4. 管理策略

4.1    内部审核周期

每年至少进行一次内部审核，出现以下情况时也可依需要发起、增加频次：

a)   出现重大服务对象投诉或特大事故时；

b)   采用标准、适用法律或验证方法出现重大变化时；

c)   信息技术中心组织架构出现较大调整；

d)   监管机构检查要求；

e)   其它需要增加内部审核及检查的情形。

4.2    审核人员组成及要求

1)   质量经理每年发起内部审核活动，由信息技术中心成立内审组。内审组为临时组织，由内审组长及内审员组成。

2)   内审组负责具体审核工作，审核人员应具备以下条件：

a)   熟悉公司的信息技术运营服务管理体系制度；

b)   具备内审相关知识技能；

c)   熟悉公司信息系统。

3)   内审员应与被审核的活动之间无直接责任关系，内审员不能审核自己的工作，以保证审核的独立性。

4.3    审核依据

1)   监管机构的要求；

2)   公司的要求；

3)   公司遵照的信息技术运营管理体系要求；

4)   其它要求。

5. 内部审核过程

5.1    计划

1)   质量经理根据上年度内部审核及检查结果、外部审核，制定和修订内审计划，报管理者代表审批；

2)   内审计划应包括以下内容：

a)   本年度内审组成员；

b)   审核目的及范围；

c)   审核依据；

d)   审核日程安排。

5.2    内部审核实施

5.2.1 首次会议

1)   由内审组长主持召开首次会议，参加人员包括内审组所有成员，信息技术中心管理层、质量经理、流程经理；

2)   会议内容包括介绍审核的目的、依据、范围、方法及日程安排等。

5.2.2 审核

1)   内审员按照审核日程安排进行逐项检查；

2)   内审员如实记录审核的情况，对发现的不符合项应详细记录并由受审核方责任人确认，以保证不符合项能够被理解、改正；

3)   审核结束后，内审组长组织召开内审小组会议，将依据客观证据形成审核发现，审核发现包括：

a)   符合 — 通过现场抽样验证获取的客观证据证明符合审核准则的情况。

b)   不符合 — 通过现场抽样验证获取的客观证据证明在某些方面违背审核准则情况。

c)   观察项 — 通过现场抽样验证获取的客观证据未能证明违背审核准则，但如果不进行关注并采取措施，将可能出现不符合情况。

5.2.3 末次会议

1)   末次会议由内审组长主持。参加人员包括内审组所有成员，运营中心管理层、各组组长、质量经理、受审核方及协同人员；

2)   内审组长通报审核结果，内容包括：

a)   回顾本次审核情况；

b)   通报并确认不符合项；

5.3    报告

1)   由内审组长编写内审报告，总结主要审核发现及相关结论，确认内审问题责任人、责任部门；

2)   内审报告经质量经理审核，管理者代表批准后由内审组长发布。

3)   质量经理根据内审报告中发现的不符合项，触发问题管理流程，并记录每项不符合项的问题记录单号，跟踪不符合项的改进情况。

4)   不符合项的改进措施分为纠正措施与预防措施：                                             ITSS培训

a)   纠正措施：为消除已发现的不合格或其他不期望情况的原因或降低其再次发生的可能性所采取的措施。

b)   预防措施：为避免或消除潜在不合格及其他不期望情况的起因，或减少其发生的可能性所采取的措施。

6. 流程质量控制

质量经理按照PDCA持续改进的方法对本规范改进，质量经理每年对本规范及其执行情况进行回顾，分析规范执行的效果。在回顾中识别出的改进事项按照服务改进流程的要求进行跟踪，或以其他可审计的方式记录改进情况。

7. 相关文件

无

本帖关键字：ITSS