為了對“過程方法”有更好的理解,我們首先應(yīng)理解以下幾個(gè)術(shù)語:
活動
人們在過程中協(xié)調(diào)配合,開展他們的日;顒。某些活動被預(yù)先規(guī)定并依靠對組織目標(biāo)的理解,而另外一些活動則是通過對外界刺激的反應(yīng),以確定其性質(zhì)并予以執(zhí)行。
過程
利用輸入提供預(yù)期結(jié)果的相互關(guān)聯(lián)或相互作用的一組活動。
組織擁有可被確定、測量和改進(jìn)的過程。這些過程相互作用,產(chǎn)生與組織的目標(biāo)和跨部門職能相一致的結(jié)果。某些過程可能是關(guān)鍵的,而另外一些則不是。過程具有內(nèi)部相關(guān)的活動和輸入,以提供輸出。
過程方法
當(dāng)活動被作為相互關(guān)聯(lián)的功能連貫過程系統(tǒng)進(jìn)行管理時(shí),可更加有效和高效的始終得到預(yù)期的結(jié)果。
從這3個(gè)概念中我們了解到:
一個(gè)過程可能包括多個(gè)活動;過程可以提供預(yù)期的結(jié)果;把過程的相關(guān)或從系統(tǒng)管理,可以使過程提供的預(yù)期結(jié)果更加有效。
ISO 9001:2015《質(zhì)量管理體系 要求》引言 0.1條款明確指出,本標(biāo)準(zhǔn)采用過程方法,該方法結(jié)合了PDCA(策劃、實(shí)施、檢查、處置)循環(huán)與基于風(fēng)險(xiǎn)的思維。過程方法能使組織策劃其過程及其相互作用。PDCA循環(huán)使得組織確保對其過程進(jìn)行恰當(dāng)管理,提供充足資源,確定改進(jìn)機(jī)會并采取行動;陲L(fēng)險(xiǎn)的思維使得組織能確定可能導(dǎo)致其過程和質(zhì)量管理體系偏離策劃結(jié)果的各種因素,采取預(yù)防控制,最大限度地降低不利影響,并最大限度地利用出現(xiàn)的機(jī)遇。結(jié)合此要求,看看目前主流企業(yè)信息化系統(tǒng)的情況。
目前主流的企業(yè)信息化系統(tǒng)主要有辦公自動化系統(tǒng)、企業(yè)資源計(jì)劃系統(tǒng)、客戶關(guān)系管理系統(tǒng)、電子商務(wù)系統(tǒng)。
辦公自動化(OA)是將現(xiàn)代化辦公和計(jì)算機(jī)網(wǎng)絡(luò)功能結(jié)合起來的一種新型的辦公方式。辦公自動化沒有統(tǒng)一的定義,凡是在傳統(tǒng)的辦公室中采用各種新技術(shù)、新機(jī)器、新設(shè)備從事辦公業(yè)務(wù)都屬于辦公自動化的領(lǐng)域。在行政機(jī)關(guān)中,大多把辦公自動化叫做電子政務(wù),企事業(yè)單位稱為OA,即辦公自動化。OA軟件的核心應(yīng)用是流程審批、協(xié)同工作、公文管理(國企和政府機(jī)關(guān))、溝通工具、文檔管理、信息中心、電子論壇、計(jì)劃管理、項(xiàng)目管理、任務(wù)管理、會議管理、關(guān)聯(lián)人員、系統(tǒng)集成、門戶定制、通訊錄、工作便簽、問卷調(diào)查、常用工具(計(jì)算器、萬年歷等)。
企業(yè)資源計(jì)劃(ERP),由美國 Gartner Group 公司于1990年提出。企業(yè)資源計(jì)劃是一種基于“供應(yīng)鏈”管理思想,把客戶需求和企業(yè)的內(nèi)部制造活動以及供應(yīng)商的制造資源整合在一起,體現(xiàn)了完全按用戶需求制造的思想?赡馨ㄉa(chǎn)資源計(jì)劃、制造、財(cái)務(wù)、銷售、采購等功能,以及質(zhì)量管理、實(shí)驗(yàn)室管理、業(yè)務(wù)流程管理。
客戶關(guān)系管理(CRM)是利用信息科學(xué)技術(shù),實(shí)現(xiàn)市場營銷、銷售、服務(wù)等活動自動化,以提高客戶滿意度、忠誠度為目的的一種管理經(jīng)營方式。客戶關(guān)系管理既是一種管理理念,又是一種軟件技術(shù)。以客戶為中心的管理理念是CRM實(shí)施的基礎(chǔ)。
電子商務(wù)系統(tǒng)是保證以電子商務(wù)為基礎(chǔ)實(shí)現(xiàn)網(wǎng)上交易的體系。狹義上講,電子商務(wù)系統(tǒng)則是指企業(yè)、消費(fèi)者、銀行、政府等在Internet和其他網(wǎng)絡(luò)的基礎(chǔ)上,以實(shí)現(xiàn)企業(yè)電子商務(wù)活動的目標(biāo),滿足企業(yè)生產(chǎn)、銷售、服務(wù)等生產(chǎn)和管理的需要,支持企業(yè)的對外業(yè)務(wù)協(xié)作,從運(yùn)作、管理和決策等層次全面提高企業(yè)信息化水平,為企業(yè)提供具備商業(yè)智能的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。
那么,如何對企業(yè)信息化系統(tǒng)實(shí)施審核?
在質(zhì)量管理體系中應(yīng)用過程方法要考慮:理解并持續(xù)滿足要求;從增值的角度考慮過程;獲得有效的過程績效;在評價(jià)數(shù)據(jù)和信息的基礎(chǔ)上改進(jìn)過程。據(jù)此,管理信息系統(tǒng)的審核思路主要體現(xiàn)幾點(diǎn):
1. 了解組織目前管理信息系統(tǒng)主要有哪些?了解組織的背景,諸如是否隸屬于某個(gè)集團(tuán),集團(tuán)對管理信息化的要求有哪些,是否有信息系統(tǒng)和集團(tuán)相關(guān)聯(lián),其控制要求有哪些?
2. 公司是否建立臺賬、清單類文件管理信息系統(tǒng)?如果沒有,抽查不同部門的2~3人以了解證實(shí)員工是否清楚?如有,要求提供相關(guān)證據(jù)。
3. 了解這些管理信息系統(tǒng)是否有編制操作說明書相關(guān)文件?如沒有,詢問如何確保操作崗位人員了解系統(tǒng)要求。根據(jù)受審核方回答問題的情況,抽2~3個(gè)操作崗位人員求證核實(shí)。
4. 了解公司的網(wǎng)絡(luò)情況,抽查VLAN的劃分、網(wǎng)絡(luò)拓?fù)鋱D以及IP地址管理、防火墻的安全策略等。查看網(wǎng)絡(luò)的安全設(shè)置與管理信息系統(tǒng)的管理風(fēng)險(xiǎn)級別是否匹配。
5. 了解管理信息系統(tǒng)的硬件設(shè)備情況,IP地址是否符合公司的信息化建設(shè)中安全策略,是否有獨(dú)立機(jī)房。巡查機(jī)房的電源、UPS、空調(diào)、線纜情況。重點(diǎn)關(guān)注電源故障、UPS的應(yīng)急響應(yīng)等情況。
6. 了解是否制定管理信息系統(tǒng)數(shù)據(jù)備份策略以及備份的方式、介質(zhì)和頻次。根據(jù)數(shù)據(jù)備份策略抽查2次備份記錄。觀察存放數(shù)據(jù)的環(huán)境是否符合要求。
7. 現(xiàn)場抽查管理信息系統(tǒng)的用戶情況及不同用戶的權(quán)限設(shè)置,了解、檢查權(quán)限設(shè)置的文件規(guī)定及一些特殊權(quán)限的審批情況。在服務(wù)器端抽查2~3個(gè)不同級別人員的權(quán)限控制與審批情況,了解人員離職后如何處理原賬戶及密碼。
8. 詢問遇到停電、斷網(wǎng)等突發(fā)事件如何處理?是否有應(yīng)急方案?如有,請?zhí)峁H鐩]有,調(diào)系統(tǒng)日志,查看故障日志,根據(jù)其發(fā)生故障的風(fēng)險(xiǎn),結(jié)合行業(yè)法律法規(guī)要求來判斷編制應(yīng)急預(yù)案的必要性。
9. 了解管理信息系統(tǒng)是否允許員工在異地訪問?(非公司環(huán)境下)如允許,要了解采取什么措施防范外部黑客、木馬等攻擊。有條件時(shí),要求運(yùn)行演示。
10. 了解如何對管理信息系統(tǒng)運(yùn)行進(jìn)行檢查監(jiān)控并評價(jià)檢查監(jiān)控措施的適宜性。了解系統(tǒng)中是否有對生產(chǎn)數(shù)據(jù)、質(zhì)檢結(jié)果、不合格情況、供應(yīng)、顧客滿意等內(nèi)容的分析與評價(jià)的數(shù)據(jù),抽查并確認(rèn)核實(shí)。
11. 詢問當(dāng)管理信息系統(tǒng)不滿足業(yè)務(wù)需求時(shí)如何處理,是否建立定期評審機(jī)制、軟件更新機(jī)制。如機(jī)制已建立,應(yīng)抽查1~2次的定期評審、軟件更新的證據(jù)。
12. 根據(jù)企業(yè)管理信息系統(tǒng)覆蓋的業(yè)務(wù)模塊,結(jié)合業(yè)務(wù)流程要求,檢查輸入、輸出、記錄、檢索查詢、統(tǒng)計(jì)等方面的情況。