為了對“過程方法”有更好的理解，我們首先應理解以下幾個術語：

活動

    人們在過程中協調配合，開展他們的日常活動。某些活動被預先規定并依靠對組織目標的理解，而另外一些活動則是通過對外界刺激的反應，以確定其性質并予以執行。

過程

    利用輸入提供預期結果的相互關聯或相互作用的一組活動。

    組織擁有可被確定、測量和改進的過程。這些過程相互作用，產生與組織的目標和跨部門職能相一致的結果。某些過程可能是關鍵的，而另外一些則不是。過程具有內部相關的活動和輸入，以提供輸出。

過程方法

    當活動被作為相互關聯的功能連貫過程系統進行管理時，可更加有效和高效的始終得到預期的結果。

從這3個概念中我們了解到：

    一個過程可能包括多個活動；過程可以提供預期的結果；把過程的相關或從系統管理，可以使過程提供的預期結果更加有效。

    ISO 9001：2015《質量管理體系 要求》引言 0.1條款明確指出，本標準采用過程方法，該方法結合了PDCA（策劃、實施、檢查、處置）循環與基于風險的思維。過程方法能使組織策劃其過程及其相互作用。PDCA循環使得組織確保對其過程進行恰當管理，提供充足資源，確定改進機會并采取行動�；�于風險的思維使得組織能確定可能導致其過程和質量管理體系偏離策劃結果的各種因素，采取預防控制，最大限度地降低不利影響，并最大限度地利用出現的機遇。結合此要求，看看目前主流企業信息化系統的情況。

    目前主流的企業信息化系統主要有辦公自動化系統、企業資源計劃系統、客戶關系管理系統、電子商務系統。

    辦公自動化（OA）是將現代化辦公和計算機網絡功能結合起來的一種新型的辦公方式。辦公自動化沒有統一的定義，凡是在傳統的辦公室中采用各種新技術、新機器、新設備從事辦公業務都屬于辦公自動化的領域。在行政機關中，大多把辦公自動化叫做電子政務，企事業單位稱為OA，即辦公自動化。OA軟件的核心應用是流程審批、協同工作、公文管理（國企和政府機關）、溝通工具、文檔管理、信息中心、電子論壇、計劃管理、項目管理、任務管理、會議管理、關聯人員、系統集成、門戶定制、通訊錄、工作便簽、問卷調查、常用工具（計算器、萬年歷等）。

    企業資源計劃（ERP），由美國 Gartner Group 公司于1990年提出。企業資源計劃是一種基于“供應鏈”管理思想，把客戶需求和企業的內部制造活動以及供應商的制造資源整合在一起，體現了完全按用戶需求制造的思想。可能包括生產資源計劃、制造、財務、銷售、采購等功能，以及質量管理、實驗室管理、業務流程管理。

    客戶關系管理（CRM）是利用信息科學技術，實現市場營銷、銷售、服務等活動自動化，以提高客戶滿意度、忠誠度為目的的一種管理經營方式�？蛻絷P系管理既是一種管理理念，又是一種軟件技術。以客戶為中心的管理理念是CRM實施的基礎。

    電子商務系統是保證以電子商務為基礎實現網上交易的體系。狹義上講，電子商務系統則是指企業、消費者、銀行、政府等在Internet和其他網絡的基礎上，以實現企業電子商務活動的目標，滿足企業生產、銷售、服務等生產和管理的需要，支持企業的對外業務協作，從運作、管理和決策等層次全面提高企業信息化水平，為企業提供具備商業智能的計算機網絡系統。

    那么，如何對企業信息化系統實施審核？

    在質量管理體系中應用過程方法要考慮：理解并持續滿足要求；從增值的角度考慮過程；獲得有效的過程績效；在評價數據和信息的基礎上改進過程。據此，管理信息系統的審核思路主要體現幾點：

    1. 了解組織目前管理信息系統主要有哪些？了解組織的背景，諸如是否隸屬于某個集團，集團對管理信息化的要求有哪些，是否有信息系統和集團相關聯，其控制要求有哪些？

    2. 公司是否建立臺賬、清單類文件管理信息系統？如果沒有，抽查不同部門的2~3人以了解證實員工是否清楚？如有，要求提供相關證據。

    3. 了解這些管理信息系統是否有編制操作說明書相關文件？如沒有，詢問如何確保操作崗位人員了解系統要求。根據受審核方回答問題的情況，抽2~3個操作崗位人員求證核實。

    4. 了解公司的網絡情況，抽查VLAN的劃分、網絡拓撲圖以及IP地址管理、防火墻的安全策略等。查看網絡的安全設置與管理信息系統的管理風險級別是否匹配。

    5. 了解管理信息系統的硬件設備情況，IP地址是否符合公司的信息化建設中安全策略，是否有獨立機房。巡查機房的電源、UPS、空調、線纜情況。重點關注電源故障、UPS的應急響應等情況。

    6. 了解是否制定管理信息系統數據備份策略以及備份的方式、介質和頻次。根據數據備份策略抽查2次備份記錄。觀察存放數據的環境是否符合要求。

    7. 現場抽查管理信息系統的用戶情況及不同用戶的權限設置，了解、檢查權限設置的文件規定及一些特殊權限的審批情況。在服務器端抽查2~3個不同級別人員的權限控制與審批情況，了解人員離職后如何處理原賬戶及密碼。

    8. 詢問遇到停電、斷網等突發事件如何處理？是否有應急方案？如有，請提供。如沒有，調系統日志，查看故障日志，根據其發生故障的風險，結合行業法律法規要求來判斷編制應急預案的必要性。

    9. 了解管理信息系統是否允許員工在異地訪問？（非公司環境下）如允許，要了解采取什么措施防范外部黑客、木馬等攻擊。有條件時，要求運行演示。

    10. 了解如何對管理信息系統運行進行檢查監控并評價檢查監控措施的適宜性。了解系統中是否有對生產數據、質檢結果、不合格情況、供應、顧客滿意等內容的分析與評價的數據，抽查并確認核實。

    11. 詢問當管理信息系統不滿足業務需求時如何處理，是否建立定期評審機制、軟件更新機制。如機制已建立，應抽查1~2次的定期評審、軟件更新的證據。

    12. 根據企業管理信息系統覆蓋的業務模塊，結合業務流程要求，檢查輸入、輸出、記錄、檢索查詢、統計等方面的情況。