引言
ISO/IEC 20000-1:2018 第9章(绩效评价)和第10章(改进)是服务管理体系(SMS)闭环管理的收尾环节,也是第三方审核中最容易发现”体系两张皮”问题的章节。绩效评价检验的是”组织是否真的在看数据”,改进检验的是”发现问题后是否真的在改”。两者共同决定了一个ITSMS是否真正有效。
一、第9章整体框架
第9章由三个核心过程组成,审核员在现场应按”数据→分析→评审”的逻辑链追溯:
| 条款 | 过程 | 审核核心问题 |
|---|---|---|
| 9.1 | 监视、测量、分析和评价 | 数据是否真实?是否用来做决策? |
| 9.2 | 内部审核 | 内审是否独立?是否发现问题? |
| 9.3 | 管理评审 | 最高管理者是否真的在评审? |
二、9.1 监视、测量、分析和评价
监视和测量什么?
20000-1并未规定具体指标,而是要求组织自行确定需要监视和测量的内容,并与服务目标保持一致。审核员应重点检查:
- 监视测量内容与第6.2条的服务目标是否一一对应?
- 测量方法是否标准化(同一指标在不同团队是否有统一口径)?
- 测量结果是否形成记录并可追溯?
典型审核提问:
“请展示过去3个月的服务可用性数据,测量口径是什么?数据来源是什么系统?”
分析和评价
数据本身不是目的,组织必须分析监视和测量结果,并评价服务管理体系的绩效和有效性。这是9.1最容易不达标的地方。
有效证据链:
原始监测数据 → 分析报表(趋势图/对比表) → 评价结论(会议记录/邮件确认) → 改进行动
如果审核员看到”数据有,但没有分析”,或者”有分析,但没有基于分析做任何决策”,这就是典型的9.1不符合项。
三、9.2 内部审核
审核方案策划
与ISO 9001/27001一样,20000-1要求按策划的时间间隔实施内审,且必须制定审核方案(Audit Program),而非仅有一份年度计划。
| 审核方案应包含的内容 | 常见缺失 |
|---|---|
| 审核频率(基于风险) | 所有部门”一刀切”每年一次 |
| 审核范围(覆盖哪些服务/过程) | 只审办公室,不审数据中心 |
| 审核员能力要求 | 未明确IT服务专业资质要求 |
| 上次不符合项的验证安排 | 无跟踪记录 |
内审实施要点
审核员在现场查阅内审记录时,应特别关注:
- 抽样是否充分:至少覆盖SMS范围内的核心服务
- 审核发现是否有深度:是否只查了”文件有没有”,还是查了”做得好不好”
- 不符合项是否闭环:上一次内审的不符合,本次是否已验证关闭
💡 实战提示
20000-1的内审可以和其他管理体系(如ISO 9001、ISO 27001)整合实施,但必须在内审报告中明确区分各体系的符合性结论,不能”一锅炖”。
四、9.3 管理评审
管理评审是最高管理者必须亲自参与的活动,不能授权给管理者代表”替签”。
管理评审的输入
20000-1:2018明确列举了管理评审输入,审核员应逐项核对:
| 输入项 | 审核验证方法 |
|---|---|
| 以往管理评审的后续措施 | 查上次会议的ACTION ITEM跟踪表 |
| 与服务管理体系相关的内外部变化 | 查变化识别记录(如新法规、新技术引入) |
| 服务管理体系的绩效信息 | 查KPI报告、客户满意度调查结果 |
| 相关方的反馈 | 查客户投诉记录、供应商评价 |
| 风险与机遇 | 查风险评估更新记录 |
| 改进机会 | 查改进建议清单 |
管理评审的输出
管理评审必须输出决定和措施,包括:
– 服务管理体系及其过程的改进决定
– 与服务相关的改进决定
– 资源需求的决定
常见不符合: 管理评审会议纪要只有”讨论记录”,没有任何”决定和措施”——这是典型的”评审走过场”。
五、第10章 改进
10.1 不符合和纠正措施
20000-1对不符合的管理流程与ISO 9001/27001基本一致,但更强调服务场景下的时效性。
不符合处理流程:
发现不符合 → 评审处置方式 → 实施纠正 → 评价纠正措施有效性 → 必要时修改SMS文件
与服务场景相关的特殊要求:
– 若不符合影响正在交付的服务,必须同时启动服务恢复流程(见8.5解决过程)
– 纠正措施必须考虑对客户的影响,必要时通知受影响的客户
10.2 持续改进
持续改进不是一句口号,组织必须:
1. 确定改进机会
2. 评价改进的必要性和可行性
3. 实施改进措施
4. 评价改进效果
审核员在现场应检查:改进措施是否与服务绩效数据关联?如果改进措施都是”培训””文件修订”这类通用动作,而没有针对具体服务问题的改进,说明持续改进机制没有真正运转。
六、第9-10章联合审核技巧
第9章和第10章在逻辑上是紧密衔接的,建议采用以下审核路径:
路线A(数据驱动):
9.1监视数据 → 发现问题 → 10.1纠正措施 → 10.2持续改进
路线B(评审驱动):
9.3管理评审输入 → 管理评审决定 → 10.1/10.2改进措施 → 下期9.3跟踪
路线C(内审驱动):
9.2内审计划 → 内审实施 → 内审发现 → 10.1纠正措施
采用”路线”方式审核,比逐条查阅文件更容易发现体系运行中的断点和脱节。
从审核员的持续成长角度来看,每完成一次审核都应当进行自我复盘:这次审核中哪些环节做得好?哪些问题问得不够深入?哪条证据收集得不充分?将复盘结果记录下来,形成自己的审核案例库。久而久之,你会形成一套独特的审核方法论和判断直觉。审核是一项实践性极强的工作,理论知识只是基础,真正的成长来自每一次现场审核的积累。无论是质量管理还是信息安全领域的审核员,坚持学习和实践永远是提升专业能力的不二法门。希望本文的分享能够对正在学习和从事审核工作的同行有所帮助。在实际工作中遇到疑难问题时,不妨回到标准原文,对照本文梳理的要点逐一排查。