安全管理體系之21：“9.2內部審核”流程、風險與合規全面圖解過程預期結果（控制目標）通過按計劃的時間間隔進行內部審核，確定安金管理體系是否符合GB∕T43500-2023要求以及組織自身對安全管理體系的要求，并且安全管理體系是否得到有效實施和保持。過程輸入活動（工作流程圖）過程輸出安全體系標準要求及對流程控制說明安全管理體系及其過程的運行情況組織活動的安全風險分析和評價結果所關注過程的重要性、對組織產生影響的變化和以往的審核結果過程的重要性以及管理的優先順序安全管理體系的復雜性和成熟度水平過程績效對組織有影響的變化或變更相關方投訴的趨勢法律法規問題內部審核方案內部審核計劃安全管理體系的符合性和有效性的定期評價（內部審核報告、不合格報告以及所采取的糾正或糾正措施的證據）年度內部審核方案內部審核實施計劃表內部審核通知會議簽到與記錄表內部審核現場記錄表內部審核不符合匯總表內部審核報告內審員評價表內審員檔案有關內部審核術語（見附件A）內部審核策劃組織應策劃、建立、實施和保持一個或多個審核程序（或方案），包括：審核目的、范圍和準則，頻次、方法、進行審核和報告結果的職責、審核計劃編制、審核組織、檢查表編制、現場審核、內審員選擇和使用、審核方法、不符合提出與確認、審核報告及對發現問題采取糾正措施和預防措施等。制定內部審核方案考慮“過程輸入”確定審核頻次：組織根據具體情況確定內部審核的頻次，每年度應進行不少于1次覆蓋全要素、全部門的審核，兩次審核間隔不超過12個月。出現下列情況之一時，可追加審核：組織機構和職能分配有重大調整時安全管理體系文件發生重大變更時發生重大安全事故時等。開展一體化審核：安全管理體系內部審核應與其他內部審核結合進行，。內部審核實施內部審核流程主要包括：成立審核組，委派審核組長：內審員的選擇與配備確保審核人員的選擇，并明確其職責和要求；制定并溝通審核實施計劃編制檢查清單實施現場審核：確保審核過程客觀公正；組織可通過創建過程將內部審核員的審核角色從其日常承擔的職責中分離出來，或者使用外部人員承擔內部審核職能，以建立內部審核的客觀性和公正性發現不符合；編制審核報告:確保將審核結果上報相關管理者；及時采取適當的糾正措施，并進行跟蹤驗證；評審和改進內部審核程序（方案）保留成文信息：作為審核程序和審核結果的證據。有關審核和審核員能力的更多信息參見GB/T19011。“9.2內部審核”實施的技術、工具和方法：1.文件審核；2.訪談和問卷調查；3.查閱文件；4.查閱記錄、資料與檔案及電子信息；5.工作流程圖分；6.現場巡視、觀察、檢查或調查；7.比對驗證；8.調閱錄音錄像視頻材料；9.抽樣；10.信息和通信技術（ICT）；11.數據分析；12.專業的內部審核軟件。“9.2內部審核”“9.2內部審核”需應對的風險：內部審核程序（方案）管理風險：在策劃階段，如果審核方案的目標設定不明確、具體，可能導致審核工作缺乏針對性，無法有效識別安全管理體系中的問題；方案設計不完善風險：內部審核程序（方案）可能在設計階段就存在不完善之處，如審核范圍不明確、審核方法不合適等，導致審核的有效性和可靠性受到影響；內部審核的范圍定義過寬或過窄，都可能影響審核的效果。范圍過寬可能導致審核資源不足，范圍過窄則可能遺漏重要問題；方法選擇不恰當風險：不同的審核方法適用于不同的情況。如果選擇的方法與實際情況不匹配，可能導致審核結果不準確或缺乏可信度；風險評估不充分風險：在策劃階段未能充分識別和評估被審核部門可能面臨的風險，可能導致審核重點偏離或遺漏關鍵風險點；對外部變化考慮不足風險：內部審核程序（方案）策劃過程中，未充分考慮外部環境、法規政策等變化，可能導致方案與實際需求脫節；方案執行困難風險：即使內部審核程序（方案）設計完善，但在執行過程中可能面臨各種困難，如資源限制、被審核部門配合度不高等，導致方案無法順利執行；方案更新不及時風險：隨著組織業務的發展和變化，內部審核程序（方案）可能需要進行相應的調整和更新。如果方案更新不及時，可能導致審核內容與實際情況脫節；審核人員能力不足風險：內部審核程序（方案）的執行依賴于審核人員的專業能力和經驗。如果審核人員能力不足，可能無法準確識別問題并提出有效的改進建議；審核員的安排不合理，未能考慮其審核員的專業能力；管理層支持不足風險：管理層對內部審核的重視程度和支持力度可能影響方案的執行和效果。如果管理層支持不足，可能導致審核工作得不到足夠的重視和資源保障；信息溝通不暢風險：在內部審核程序（方案）執行過程中，信息溝通是否暢通至關重要。如果存在信息溝通不暢的情況，可能導致審核進度受阻或相關方對審核結果產生誤解。內部審核實施策劃風險：審核策劃沒有體現重點關注；內審的審核范圍在計劃中有體現，但檢查表未能完全覆蓋，特別表現在計劃中明確說明需要進行審核的條款，但檢查表及記錄未能體現；審核范圍不全風險：在規劃審核時，可能沒有覆蓋所有的關鍵過程和領域，導致某些重要問題被遺漏。內部審核實施風險：抽樣方法不當風險：在審核過程中，如果抽樣方法不當或樣本量不足，可能導致審核結果無法代表整體情況；時間緊迫風險：由于審核時間可能受到限制，審核人員可能無法深入審查所有細節，從而可能錯過某些重要問題；審核日程安排中的時間安排不合理，未能結合受審核部門的復雜程度、職責范圍的大小來安排時間；文檔與記錄不全風險：被審核部門可能無法提供完整的文檔和記錄，導致審核人員無法對其安全管理體系進行全面評價；審核的過程有遺漏；內審開出的不合格報告中不合格事實描述不明確，不具重查性，未能將不合格的具體情節）描述清楚。內部審核報告風險最高管理者未參加首、末次會議；報告內容不完整或不準確風險：審核報告可能沒有涵蓋所有的審核發現，或者描述的發現不準確，導致管理層或其他相關方無法全面了解被審核部門的真實狀況；報告理解困難風險：由于專業術語或復雜的描述，管理層或其他相關方可能對審核報告的內容理解困難，從而無法采取有效措施；報告傳遞延誤風險：由于各種原因，審核報告可能無法及時傳遞給管理層或其他相關方，導致他們無法及時采取糾正措施；建議實施困難風險：報告中提出的改進建議可能在實施過程中面臨困難，如資源限制、技術支持不足等，導致建議無法得到有效執行；報告未得到利用風險：管理層或其他相關方可能忽視或低估審核報告的價值，導致其中的改進建議得不到實施，從而無法實現安全管理體系的持續改進；信息泄露風險：審核報告中可能包含敏感信息，如內部運營數據、風險評估等，如果不當處理或泄露，可能對組織造成損失。不符合項整改風險整改措施執行不力風險：被審核部門可能未能按照整改要求有效執行整改措施，導致問題得不到解決或反復出現；整改資源不足風險：整改過程中，被審核部門可能面臨人力、物力、時間等資源不足的問題，導致整改進度受阻；整改效果評估困難風險：在整改完成后，可能對整改效果的評估存在困難，如缺乏明確的評估標準或方法，導致無法全面準確評價整改成果；糾正措施執行不力風險：針對審核發現的問題，被審核部門可能未能有效執行糾正措施，導致問題得不到解決；整改過程中產生新的問題風險：在整改過程中，可能由于各種原因導致新的問題產生，如整改措施引發的新流程或系統的不穩定等；相關方溝通不暢風險：被審核部門與其他相關方在整改過程中的溝通可能存在不暢，導致協作效率低下或產生誤解；整改缺乏持續跟蹤風險：在整改完成后，可能缺乏對整改效果的持續跟蹤和監控，導致問題再次出現或無法及時發現新的潛在問題；內審員管理風險客觀性與公正性風險：審核人員可能與被審核部門存在利益關系或其他偏見，導致審核結果缺乏客觀性和公正性，審核未體現客觀性和獨立性；審核人員能力不足：審核人員可能缺乏足夠的培訓或經驗，導致無法準確識別或評估安全管理體系中的問題；審核員培訓不足風險：審核員未接受充分的培訓或培訓內容與實際情況脫節，可能導致審核員無法勝任審核工作；審核員配備不足風險：組織內部審核員數量不足，可能導致審核工作無法及時完成或審核覆蓋范圍不全；對審核員工作的監督和評價不足風險：沒有對審核員的工作進行充分的監督和評價，可能導致審核質量參差不齊或問題得不到及時解決。內部審核程序（方案）監視、評審與改進風險監視失效風險：內部審核程序（方案）執行過程中，未對審核活動進行有效的監視，可能導致審核偏離原計劃，問題得不到及時發現和解決；評審不全面風險：定期對內部審核程序（方案）進行評審是確保其持續有效的關鍵。如果評審過程不全面，可能導致方案中存在的問題和不足得不到及時發現和糾正；改進措施執行不力風險：針對評審中發現的問題和不足，需要制定相應的改進措施。如果改進措施執行不力，可能導致問題重復出現，影響內部審核的效果；缺乏持續跟蹤風險：在改進措施執行后，需要對其進行持續跟蹤以確保問題得到有效解決。如果缺乏持續跟蹤，可能導致問題再次出現或新問題的產生；內外部環境變化未考慮風險：監視、評審與改進過程中，如果未充分考慮組織內外部環境的變化，可能導致方案與實際需求脫節，降低其有效性；相關方溝通不暢風險：在監視、評審與改進過程中，涉及多個相關方的溝通和協作。如果存在溝通不暢的情況，可能導致信息傳遞受阻，影響方案的優化和改進。內審員記錄檔案管理風險檔案歸檔內容不全風險：在歸檔過程中，可能由于疏忽或理解偏差，導致部分重要信息沒有及時歸檔，影響檔案的完整性和準確性；電子檔案管理不當風險：未對電子資料如何保管進行明確規定，可能導致電子資料歸檔缺少有效分類和管理，查閱困難甚至丟失。檔案保密性不足風險：內部審核記錄可能涉及組織敏感信息，如果檔案保密性不足，可能導致信息泄露，給組織帶來損失。“9.2內部審核”需保持和保留成文信息：需保持的成文信息（文件）需保留成文信息（記錄或證據性材料）部審核方案內部審核實施計劃內審員名冊和培訓記錄內部審核檢查表安全管理體系文件評審記錄現場內部審核記錄不符合和糾正措施報告內部審核報告（含不符合項分布表或統計圖表）附件A：有關內部審核術語審核：為獲得客觀證據并對其進行客觀的評價，以確定滿足審核準則的程度所進行的系統的、獨立的并形成文件的過程內部審核由組織自己或以組織的名義進行，用于管理評審和其他內部目的，可作為組織自我合格聲明的基礎；內部審核可以由與正在被審核的活動無責任關系的內審員進行，以證實獨立性。基于過程的管理體系審核：按照組織已確定的過程和過程之間的相互關系來評價組織的質量管理體系，以確定其滿足審核準則的程度所進行的系統的、獨立的、形成文件的過程。公正性：存在的客觀性。客觀性意味著利益沖突不存在或已解決，從而不會對認證機構的活動產生不利影響；表述公正性要素的其他術語有：獨立、無利益沖突、沒有成見、沒有偏見、中立、公平、思想開明、不偏不倚、不受他人影響、平衡。審核方案：針對特定時間段所策劃并具有特定目標的一組一次或多次審核安排審核計劃：對審核活動和安排的描述審核準則：用于與客觀證據進行比較的一組要求。如果審核準則是法定的包括法律或法規的要求，則審核發現中經常使用“合規”或“不合規”這兩個詞。要求可以包括方針、程序、作業指導書、法定要求、合同義務等。審核證據：與審核準則有關并能夠證實的記錄、事實陳述或