為了對“過程方法”有更好的理解，我們首先應理解以下幾個術語：

活動

    人ren們men在zai過guo程cheng中zhong協xie調tiao配pei合he
，開kai展zhan他ta們men的de日ri常chang活huo動dong。某mou些xie活huo動dong被bei預yu先xian規gui定ding並bing依yi靠kao對dui組zu織zhi目mu標biao的de理li解jie，而er另ling外wai一yi些xie活huo動dong則ze是shi通tong過guo對dui外wai界jie刺ci激ji的de反fan應ying，以yi確que定ding其qi性xing質zhi並bing予yu以yi執zhi行xing。

過程

    利用輸入提供預期結果的相互關聯或相互作用的一組活動。

    組織擁有可被確定、celianghegaijindeguocheng。zhexieguochengxianghuzuoyong，chanshengyuzuzhidemubiaohekuabumenzhinengxiangyizhidejieguo。mouxieguochengkenengshiguanjiande，erlingwaiyixiezebushi。guochengjuyouneibuxiangguandehuodongheshuru
，yitigongshuchu。

過程方法

    當活動被作為相互關聯的功能連貫過程係統進行管理時，可更加有效和高效的始終得到預期的結果。

從這3個概念中我們了解到：

    一個過程可能包括多個活動；過程可以提供預期的結果
；把過程的相關或從係統管理
，可以使過程提供的預期結果更加有效。

    ISO 9001：2015《質量管理體係 要求》引言 0.1條款明確指出，本標準采用過程方法
，該方法結合了PDCA（策劃、實施、檢查、處置）循環與基於風險的思維。過程方法能使組織策劃其過程及其相互作用。PDCA循xun環huan使shi得de組zu織zhi確que保bao對dui其qi過guo程cheng進jin行xing恰qia當dang管guan理li，提ti供gong充chong足zu資zi源yuan，確que定ding改gai進jin機ji會hui並bing采cai取qu行xing動dong。基ji於yu風feng險xian的de思si維wei使shi得de組zu織zhi能neng確que定ding可ke能neng導dao致zhi其qi過guo程cheng和he質zhi量liang管guan理li體ti係xi偏pian離li策ce劃hua結jie果guo的de各ge種zhong因yin素su，采cai取qu預yu防fang控kong製zhi
，最zui大da限xian度du地di降jiang低di不bu利li影ying響xiang

，並bing最zui大da限xian度du地di利li用yong出chu現xian的de機ji遇yu。結jie合he此ci要yao求qiu，看kan看kan目mu前qian主zhu流liu企qi業ye信xin息xi化hua係xi統tong的de情qing況kuang。

    目前主流的企業信息化係統主要有辦公自動化係統


、企業資源計劃係統、客戶關係管理係統
、電子商務係統。

    辦公自動化（OA）shijiangxiandaihuabangonghejisuanjiwangluogongnengjieheqilaideyizhongxinxingdebangongfangshi。bangongzidonghuameiyoutongyidedingyi，fanshizaichuantongdebangongshizhongcaiyonggezhongxinjishu、新機器、新設備從事辦公業務都屬於辦公自動化的領域。在行政機關中，大多把辦公自動化叫做電子政務

，企事業單位稱為OA，即辦公自動化。OA軟件的核心應用是流程審批、協同工作、公文管理（國企和政府機關）


、溝通工具、文檔管理
、信息中心、電子論壇、計劃管理
、項目管理
、任務管理、會議管理、關聯人員
、係統集成、門戶定製、通訊錄、工作便簽、問卷調查
、常用工具（計算器
、萬年曆等）。

    企業資源計劃（ERP），由美國 Gartner Group 公司於1990年提出。企業資源計劃是一種基於“供應鏈”管guan理li思si想xiang，把ba客ke戶hu需xu求qiu和he企qi業ye的de內nei部bu製zhi造zao活huo動dong以yi及ji供gong應ying商shang的de製zhi造zao資zi源yuan整zheng合he在zai一yi起qi，體ti現xian了le完wan全quan按an用yong戶hu需xu求qiu製zhi造zao的de思si想xiang。可ke能neng包bao括kuo生sheng產chan資zi源yuan計ji劃hua、製造、財務

、銷售、采購等功能，以及質量管理、實驗室管理、業務流程管理。

    客戶關係管理（CRM）是利用信息科學技術，實現市場營銷
、銷售、服務等活動自動化
，以提高客戶滿意度、忠誠度為目的的一種管理經營方式。客戶關係管理既是一種管理理念，又是一種軟件技術。以客戶為中心的管理理念是CRM實施的基礎。

    電子商務係統是保證以電子商務為基礎實現網上交易的體係。狹義上講，電子商務係統則是指企業、消費者、銀行

、政府等在Internet和其他網絡的基礎上，以實現企業電子商務活動的目標，滿足企業生產
、銷售

、服務等生產和管理的需要，支持企業的對外業務協作，從運作、管理和決策等層次全麵提高企業信息化水平，為企業提供具備商業智能的計算機網絡係統。

    那麼，如何對企業信息化係統實施審核
？

    在質量管理體係中應用過程方法要考慮：理解並持續滿足要求；從增值的角度考慮過程；獲得有效的過程績效；在評價數據和信息的基礎上改進過程。據此，管理信息係統的審核思路主要體現幾點：

    1. 了(le)解(jie)組(zu)織(zhi)目(mu)前(qian)管(guan)理(li)信(xin)息(xi)係(xi)統(tong)主(zhu)要(yao)有(you)哪(na)些(xie)？了(le)解(jie)組(zu)織(zhi)的(de)背(bei)景(jing)，諸(zhu)如(ru)是(shi)否(fou)隸(li)屬(shu)於(yu)某(mou)個(ge)集(ji)團(tuan)
，集(ji)團(tuan)對(dui)管(guan)理(li)信(xin)息(xi)化(hua)的(de)要(yao)求(qiu)有(you)哪(na)些(xie)
，是(shi)否(fou)有(you)信(xin)息(xi)係(xi)統(tong)和(he)集(ji)團(tuan)相(xiang)關(guan)聯(lian)，其(qi)控(kong)製(zhi)要(yao)求(qiu)有(you)哪(na)些(xie)？

    2. 公司是否建立台賬、清單類文件管理信息係統？如果沒有，抽查不同部門的2~3人以了解證實員工是否清楚？如有，要求提供相關證據。

    3. lejiezhexieguanlixinxixitongshifouyoubianzhicaozuoshuomingshuxiangguanwenjian？rumeiyou，xunwenruhequebaocaozuogangweirenyuanlejiexitongyaoqiu。genjushoushenhefanghuidawentideqingkuang，chou2~3個操作崗位人員求證核實。

    4. 了解公司的網絡情況，抽查VLAN的劃分
、網絡拓撲圖以及IP地址管理、防火牆的安全策略等。查看網絡的安全設置與管理信息係統的管理風險級別是否匹配。

    5. 了解管理信息係統的硬件設備情況，IP地址是否符合公司的信息化建設中安全策略，是否有獨立機房。巡查機房的電源、UPS、空調
、線纜情況。重點關注電源故障、UPS的應急響應等情況。

    6. 了解是否製定管理信息係統數據備份策略以及備份的方式、介質和頻次。根據數據備份策略抽查2次備份記錄。觀察存放數據的環境是否符合要求。

    7. 現場抽查管理信息係統的用戶情況及不同用戶的權限設置，了解
、檢查權限設置的文件規定及一些特殊權限的審批情況。在服務器端抽查2~3個不同級別人員的權限控製與審批情況
，了解人員離職後如何處理原賬戶及密碼。

    8. 詢問遇到停電、斷duan網wang等deng突tu發fa事shi件jian如ru何he處chu理li
？是shi否fou有you應ying急ji方fang案an？如ru有you
，請qing提ti供gong。如ru沒mei有you，調tiao係xi統tong日ri誌zhi，查zha看kan故gu障zhang日ri誌zhi
，根gen據ju其qi發fa生sheng故gu障zhang的de風feng險xian
，結jie合he行xing業ye法fa律lv法fa規gui要yao求qiu來lai判pan斷duan編bian製zhi應ying急ji預yu案an的de必bi要yao性xing。

    9. 了解管理信息係統是否允許員工在異地訪問？（非公司環境下）如允許

，要了解采取什麼措施防範外部黑客

、木馬等攻擊。有條件時，要求運行演示。

    10. 了解如何對管理信息係統運行進行檢查監控並評價檢查監控措施的適宜性。了解係統中是否有對生產數據、質檢結果、不合格情況、供應、顧客滿意等內容的分析與評價的數據
，抽查並確認核實。

    11. 詢問當管理信息係統不滿足業務需求時如何處理
，是否建立定期評審機製、軟件更新機製。如機製已建立，應抽查1~2次的定期評審
、軟件更新的證據。

    12. 根據企業管理信息係統覆蓋的業務模塊，結合業務流程要求，檢查輸入
、輸出、記錄、檢索查詢
、統計等方麵的情況。