ISO22301-内部审核检查表

,,,,,,,,,,,,

,ISO22301（BCMS）内部审核检查表,,,,,,,,,,

,审核日期：,,审核员：,,审校部门：,,负责人：,,NO.,,

,,,,,,,,,,,,

,NO.,ISO22301条款,策划文件,内容,拟审核项目/问题点,检查方式,,审核发现点,判定,,

,,,,,,文件,现场,,OK,NG,NA

,1,4.1了解组织及环境,"MP-01

组织环境控制程序",识别影响BCMS的内容,公司的经营活动是否识别清晰？,,,,,,

,,,,,公司的职能是否清楚并包括BCMS的要求？,,,,,,

,,,,,公司服务和产品是否明确？,,,,,,

,,,,,合作方和供应链是否识别清楚？,,,,,,

,,,,,以上要素与相关方关系和中断事件的潜在影响是否清楚？,,,,,,

,,,,,BCM方针和目标与总体风险管理策略间联系是否策划？,,,,,,

,,,,,公司的风险偏好是否识别？,,,,,,

,,,,,具体风险偏好是什么？,,,,,,

,,,,,是否明确BCM目标？,,,,,,

,,,,,会增加公司业务连续性风险的主要内部因素有那些？,,,,,,

,,,,,会增加公司业务连续性风险的主要外部因素有那些？,,,,,,

,,,,,是否根据风险偏好设定风险评价准则？,,,,,,

,2,4.2了解相关方的需求和期望,,相关方需求分析,是否确定与BCM有关的相关方？,,,,,,

,,,,,相关方的需求是否识别清楚？是否能满足？,,,,,,

,,,,,不满足是否有改进措施？,,,,,,

,,,,,是否定期对相关方需求监视和评审？,,,,,,

,,,,法律和法规要求,是否建立法律和法规管理程序？,,,,,,

,,,,,是否识别与BCM系统运行相关的法律和法规？,,,,,,

,,,,,是否对识别的法律和法规进行评价？,,,,,,

,,,,,法规评价是否有不符合要素并建立针对性应对措施且有效实施？,,,,,,

,,,,,是否更新这些法律法规并再次评价？,,,,,,

,,,,,法律法规是否向公司内部相关人员和外部相关方沟通？,,,,,,

,3,4.3确定BCM管理体系范围,QM-01BCM手册,体系范围,是否结合公司产品/服务及相关方要求确定BCMS范围？,,,,,,

,,,,,范围是否文件化？,,,,,,

,,,,,是否包含所有产品和服务类型？,,,,,,

,,,,,"是否有删减,理由是什么？",,,,,,

,6,4.4BCMS体系,,过程策划,是否按ISO22301标准策划过程？,,,,,,

,,,,,策划了那些过程？,,,,,,

,7,4.4.1组织应按标准建立、实施、保持和改进管理体系,,,策划过程是否应用过程方法？,,,,,,

,8,4.4.1.1产品和过程一致性,,,是否对产品和过程一致性确认？,,,,,,

,9,4.4.1.1.1产品安全,,,产品安全相关要求是否确定？,,,,,,

,,,,,是否对安全相关要求进行评审？,,,,,,

,10,4.4.1.2外包过程,,,是否确认外包过程？,,,,,,

,,,,,外包过程是否受控？,,,,,,

,11,5.1领导作用和承诺,,领导承诺,最高领导者是否作出8点承诺？,,,,,,

,12,,,承诺证据,是否建立BCM方针？是什么？,,,,,,

,13,5.2管理承诺,,职责和权限,是否建立BCM组织和职责？,,,,,,

,,,,,BCMS组织人员是否具备相应能力？,,,,,,

,,,,职责权限授权沟通,"是否任命BCMS负责人？

其权限是否规定？

能力是否满足？",,,,,,

,,,,,被授权角色是否确定风险接受准则和接受级别？,,,,,,

,,,,,是否参与演练？,,,,,,

,,,,,实施BCMS内审和BCMS管理评审？,,,,,,

,16,5.3方针,,BCM方针,是否制定了文件化的BCM方针?,,,,,,

,17,,,,管理方针是否经最高管理者批准,,,,,,

,,,,,如何向全体员工传达的?,,,,,,

,18,,,,采取了哪些方式?,,,,,,

,,,,,员工是否了解BCM方针?,,,,,,

,,,,,相关方是否能够获得BCM方针?,,,,,,

,,,,,最高管理者是否定期评审BCM方针?,,,,,,

,19,5.4组织的角色、职责、和权限,,职责权限,是否有清晰的组织结构图?,,,,,,

,20,,,,相关职能部门或岗位(尤其是从事管理、执行和验证工作的人员)的职责是否得到规定并形成文件?,,,,,,

,,,,,受审部门的职责是什么?,,,,,,

,,,,,各部门、各类人员的职责、权限及相互关系是如何传达的?,,,,,,

,,,,,各有关人员是否明确各自的职责、权限及相互关系？,,,,,,

,,,,,各类人员是否明确完成职责任务与实现BCM方针之间的关系？,,,,,,

,,,,,是否向最高管理者报告BCMS绩效？,,,,,,

,22,6.1应对风险和机遇的措施,"MP-02

风险管理程序",风险和机遇,是否对4.1和4.2进行风险和机遇分析？,,,,,,

,23,,,,是否对风险和机遇制定对应措施？,,,,,,

,24,,,,是否评估这些措施的可行性有效性？,,,,,,

,25,,,,是否将这些措施整合在BCMS程序文件内？,,,,,,

,27,6.2BCM目标及其实现的策划,QM-01BCM手册,组织是否设定了管理目标和指标？,目标和指标是否形成文件？,,,,,,

,28,,,,是否经领导批准?,,,,,,

,29,,,,是否分解到有关的职能和层次?,,,,,,

,30,,,设定目标和指标时应考虑的内容,目标和指标的内容是否符合方针的要求?,,,,,,

,,,,,目标和指标的内容是否考虑了法律法规和其他要求?,,,,,,

,,,,,目标和指标的内容是否考虑了重大BCM风险因素?,,,,,,

,,,,,目标和指标是否具有可测量性，有无测量目标和指标的方法?,,,,,,

,,,,,是否制定实现目标的方案?,,,,,,

,,,,,是否为目标和指标的实现设置完成时间?,,,,,,

,,,,,企业资源是否能保证目标和指标的实现?,,,,,,

,,,,,是否明确了执行部门和负责人?,,,,,,

,,,,,是否已向有关人员传达?,,,,,,

,,,,,有关人员是否清楚,,,,,,

,,,,证据,检查绩BCM效测量结果，确认目标和指标是否得到实现?,,,,,,

,,,,目标和指标定期评审、修订,目标和指标是否定期评审、修订?,,,,,,

,,,,,依据什么评审、修订?,,,,,,

,,,,,目标和指标的评审、修订是否体现持续改进?,,,,,,

,,,,如何监督方案的实施,由谁负责方案实施的监督?,,,,,,

,,,,,如何验证方案实施的效果,,,,,,

,,,,方案能否保证目标和指标的实现,是否存在一个评审方案的过程?,,,,,,

,,,,,是否所有的目标和指标都有相应的方案?,,,,,,

,,,,,有关人员是否参与方案的制定？,,,,,,

,,,,是否及时修订方案,什么情况下修订方案？,,,,,,

,,,,,是否进行过修订,,,,,,

,,7.1资源,,资源获取,公司是否提供BCMS运行所需的资源？,,,,,,

,,,,,包括但不限于-硬件、软件、人力、信息的？,,,,,,

,,7.2能力,,人员的能力要求,对人员的能力要求（如内审员、风险识别和评价人员、对外信息联络人员等），是否包括对教育、培训、技能及经验的要求?,,,,,,

,,,,,是否对人员能力胜任与否进行了考核?人员的安排是否满足要求?,,,,,,

,,,,,是否制定培训计划？,,,,,,

,,,,,是否按计划进行培训、考核？,,,,,,

,,,,,当培训和考核都不能胜任时是否有处置措施？,,,,,,

,,,,,培训和考核的记录是否保存？,,,,,,

,,7.3意识,,意识沟通,公司所有人员是否了解BCM方针？,,,,,,

,,,,,是否了解要为BCMS绩效做那些贡献？,,,,,,

,,,,,是否了解因自身原因造成BCMS不符合的后果和责任？,,,,,,

,,7.4沟通,,沟通程序,是否建立沟通程序？,,,,,,

,,,,,沟通内容是否包括-BCM方针、目标、BCM风险等？,,,,,,

,,,,,针对不同沟通内容是否有明确沟通时机？,,,,,,

,,,,,是否有明确的沟通对象？,,,,,,

,,,,,外部相关组织和公司内部的沟通渠道是否畅通？,,,,,,

,,,,,公司内部是否按规定的人员、内容和时机与外部相关方进行沟通？,,,,,,

,,,,,正式沟通信息是否有存档？,,,,,,

,,,,,沟通的人员、内容、方式和渠道（如火灾、自然灾害、内部紧急事件等）是否提供国家预警体系？,,,,,,

,,,,,当有中断事件发生时是否制定2种以上的沟通方式和2个以上负责人响应确保沟通畅通？,,,,,,

,,,,,是否对沟通方式进行测试？测试异常是否有效改进？,,,,,,

,21,7.5存档信息,SP-04文件和资料管理程序,文件的编写、批准、发布、保管、修订、评审情况,是否建立BCM文件和资料管理程序？,,,,,,

,,7.5.1总则,,,文件管理方式有那些？如何保证文件有效控制？,,,,,,

,,"7.5.2创建与更新

7.5.3存档信息的管理",,,文件是否专人管理？管理人员能力是否具备？,,,,,,

,,,,,所有文件是否字迹清楚?所有文件标识是否明确?,,,,,,

,22,,,,文件发布前是否得到授权人的批准?均注明制定或修订日期?,,,,,,

,23,,,,文件修改后是否重新批准?,,,,,,

,24,,,,识别文件现行修改状态的方法是什么?是否满足要求？,,,,,,

,25,,,,使用处是否都使用适应文件的有效版本?,,,,,,

,26,,,,文件的查找是否方便?文件的保管是否有效,,,,,,

,27,,,外来文件的控制,是否对外来文件的收集、审查、批准、归档、发放、使用、评审、更新、补充和作废等做了规定?且依规定执行的如何?,,,,,,

,28,,,作废文件,是否对保留的作废文件进行标识和管理，以防止误用?,,,,,,

,,,,,程序中是否对记录的标识、收集、编目、归档、保存、维护、查阅、处置等管理内容做了规定?,,,,,,

,29,,SP-05记录管理程序,是否有对记录进行管理,记录是否按规定环境、区域、期限保管？,,,,,,

,,8.1实施的策划,,策划,是否按BCMS标准策划满足标准所需的过程？,,,,,,

,,,,外包过程,是否识别外包过程？,,,,,,

,,,,,外包过程控制的程序和规范？,,,,,,

,,,,,外包过程是否受控（是否有不符合事件发生）？,,,,,,

,,8.2业务影响分析和风险评估,,,,,,,,,

,,8.2.1总则,,,,,,,,,

,,8.2.2业务影响分析,,,,,,,,,

,,8.2.3风险评估,,,,,,,,,

,,8.3业务连续性策略,,,,,,,,,

,,8.3.1确定和选择,,,,,,,,,

,,8.3.2建立资源要求,,,,,,,,,

,,8.3.3保护和缓解,,,,,,,,,

,,8.4建立和实施业务连续性程序,,,,,,,,,

,,8.4.1总则,,,,,,,,,

,,8.4.2事件响应机制,,,,,,,,,

,,8.4.3预警和沟通,,,,,,,,,

,,8.4.4业务连续性计划,,,,,,,,,

,,8.4.5恢复,,,,,,,,,

,,8.5演练和测试,,,,,,,,,

,,9绩效评估,,,,,,,,,

,,9.1监视/测量/分析和评价,,,,,,,,,

,,9.1.1总则,,,,,,,,,

,,9.1.2业务连续性程序的评价,,,,,,,,,

,,9.2内部审核,,内审程序,"是否有程序,程序中是否包含审核的范围、频次、计划、方法？",,,,,,

,,,,,是否进行了年度内审方案策划且明确规定了审核的准则、范围、频次、方法?,,,,,,

,,,,,年度内审方案是否经管理层批准？,,,,,,

,,,,,年度内审方案是否发给有关部门?,,,,,,

,,,,内部审核的实施,是否制定了内审实施计划?,,,,,,

,,,,,内审实施计划是否覆盖全部要素和全部部门?,,,,,,

,,,,,审核是否由非从事受审话动的人员进行?,,,,,,

,,,,,审核员是否经过培训，并取得了资格证?,,,,,,

,,,,,审核用检查表是否充分、符合要求?,,,,,,

,,,,,审核报告的内容是否全面?能否说明管理体系的符合性和有效性?,,,,,,

,,,,纠正措施,对内部审核中发现的不符合是否采取了纠正措施?及验证,,,,,,

,,,,,采取的纠正措施是否按期完成？,,,,,,

,,,,审核资格,内审资格程序明确？,,,,,,

,,,,,内审员培训、考核、资格审核？,,,,,,

,,9.3管理评审,,是否有定期进行管理评审的规定?,评审的时间间隔是怎样规定的？,,,,,,

,,,,,是否按规定的时间进行管理评审?,,,,,,

,,,,,管理评审是否由总经理亲自主持?,,,,,,

,,,,管理评审的实施情况;管理评审的内容是否充分.,内、外部审核结果，以前管理评审后续措施实施情况的报告；,,,,,,

,,,,,方针、目标和指标、管理方案实施情况；,,,,,,

,,,,,验证活动结果的分析情况，体系更新活动的评审结果；,,,,,,

,,,,,紧急情况、事故和撤回的情况，不符合、纠正和预防措施实施情况；,,,,,,

,,,,,对沟通活动(包括顾客等相关方的反馈、建议等)的评价情况的；,,,,,,

,,,,,其它程序要求评审输入内容,,,,,,

,,,,,环境因素识别与评价的总体报告；,,,,,,

,,,,管理评审的输出是否完整并形成文件?,有无评审记录和形成的其他文件？,,,,,,

,,,,,《管理评审报告》中有无管理体系适宜性、充分性和有效性的结论?,,,,,,

,,,,,方针、目标、产品、食品安全、环境保护、资源以及管理体系的其他要求章(或过程)是否需要改进?,,,,,,

,,,,,有无不符合?是否提出了纠正要求?,,,,,,

,,,,管理评审的后续管理,评审的后续工作进展如何?,,,,,,

,,,,,对管理评审中的纠正措施是否进行了跟踪验证?验证的结果是否记录并上报给最高管理者?,,,,,,

,,10.1不符