导图社区 CCAA审核员考试-管理体系认证基础知识点
- 61
- 1
- 1
- 举报
CCAA审核员考试-管理体系认证基础知识点
CCAA审核员考试,公共科目3,管理体系认证基础教材知识点梳理,管理学是一门研究和探索管理活动的一般规律、基本原理和一般方法,系统地分析和论述管理活动的科学。
编辑于2024-03-17 11:41:47- 管理学
- CCAA审核员
- 相似推荐
- 大纲
管理体系认证基础
第一章 管理学基础
管理学:是一门研究和探索管理活动的一般规律、基本原理和一般方法,系统地分析和论述管理活动的科学。
第一节 管理的内涵
一.管理的定义
定义:
管理是指在特定的时空中,通过策划、组织、领导、控制等活动来协调一切可运用的资源,实现个人或组织既定目标的过程。
三个含义:
必要条件:特定的时空
根本目的:实现目标
效率:用最小的投入取得最大的产出;
效果:最大限度的达成目标;
本质:协调资源
策划是协调前提,组织是协调手段,领导是协调责任人,控制是协调保证;
奠基人:科学管理之父--泰勒,管理过程之父--法约尔,组织理论之父--韦伯
二.管理的属性
自然属性和社会属性:管理的二重性
自然属性:也称生产力属性
社会属性:也称生产关系属性,具有调节和维护社会生产管理的职能。
科学性和艺术性
动态性和创新性
三.管理四大职能
策划职能:是对未来活动进行的一种预先谋划,包括研究活动条件、决策、编制计划。
组织职能:规定组织成员在工作中合理的分工协作关系,包括设计组织机构、人员配备、组织运行、组织监督。
领导职能:是管理者利用组织所赋予的权力去指挥影响和激励成员为实现目标而努力工作的过程,包括指挥协调激励。
控制职能:是保证组织各部门各环节能按预定的要求运作而实现组织目标的一项管理活动,包括拟定标准寻找偏差下达纠偏指令。
四.管理层级P5
(一)管理层级的定义
管理层级:是指在职权等级链上所设置的管理职位的级数,就是组织的最高管理者到最基层作业人员之间所设置的管理职位层级数。
(二)管理层级结构与关系
管理的跨度:即管理宽度;为了有效的管理,必须考虑直管的下一层的人数,当超过某个限度时,需增加一个层级,从而减轻上层管理人员的负担。(6-12人)
当组织规模一定时,管理层级和管理宽度之间存在着一种反比例关系。宽度越大层级越少,宽度越小层级越多
(三)扁平式结构和金字塔式结构
扁平式:缩短上下级距离,密切上下级关系,信息纵向流动快,费用低
金字塔式:管理严密,分工细致,费用高,协调工作加剧,扯皮。
(四)管理的职责
上层:战略决策层或高级经营管理层
中层:战术计划层或经营管理层
下层:执行层或操作层
(五)层级的设计
1、按照组织的纵向职能分工,初步确定基本的管理层级;
2、按照组织的有效管理宽度,推算出具体的管理层级;
3、按照提高组织管理效率的要求,确定具体的管理层级;
4、按照组织的不同部分的具体特点,对管理层级做出局部调整,确定最终的管理层级;
第二节 管理思想和管理理论的演进P6
管理活动、管理思想和管理理论的关系
1、管理活动是管理思想的根基,管理思想来自管理活动中的经验;
2、管理思想是管理理论的源泉,管理理论是管理思想的提炼、概括和升华,管理理论本身就是管理思想,只不过是较成熟、系统化程度较高的管理思想,但并非所有的管理思想都是管理理论;
3、管理理论对管理活动有指导意义,又要经受住管理活动的检验。
一.中国传统的管理思想P7
历史演变:萌芽于夏、商、周,兴起于先秦时期,繁荣于春秋、战国,定型于汉、唐,止步于宋、元,盛行于明、清,衰落于清末。
管理思想的要点P7
宏观管理的治国学和微观管理的治生学
顺“道”、重人、人和、守信、利器、求实、对策、节俭、法治
二.西方早期管理思想P8
19世纪末以前,早期管理思想阶段。
19世纪末20世纪初,古典管理理论阶段,代表人:泰勒、法约尔、韦伯
20世纪30年代,行为科学理论阶段,到20世纪60年代的组织行为学,代表人:梅奥、巴纳德
第二次世界大战以后,现代管理理论阶段,多学派,称为“管理理论的丛林”
三.古典管理理论P9
1. 泰勒(美)/科学管理理论/科学管理之父 其他代表人物:亨利.甘特、吉尔布雷斯夫妇、哈林顿.艾莫斯 提高劳动生产率是科学管理理论的中心问题,也是泰勒创立该理论的基本出发点。该理论从管理人员对工人的要求和管理体制与制度建设三个方面概括; (1)从对管理人员的要求来看,科学管理理论体现为科学管理四原则(科学研究原则、工人素质原则、协作原则、职能平等原则)。 (2)从对工人的要求来看,科学管理理论体现为作业管理原则,包括定额管理和作业标准化。 (3)从管理制度来看,科学管理理论体现为职能化原则、激励工资制度和例外原则。
2.法约尔(法)/组织管理理论/管理过程之父 (1) 被誉为“欧洲伟大的管理学先驱”——《工业管理与一般管理》——提出 计划/组织/指挥/协调/控制五大管理职能 (2)企业六项活动:技术(生产、制造、加工)/商业(购买、销售、交换)/财务(筹集和利用资本)/安全/会计/管理活动 (3)管理的一般原则(P12):1.分工/2.权力与责任/3.纪律/4.统一指挥/5.统一领导/6.个人利益服从整体利益/7.合理报酬/8.集权与分权/9.等级链/10.秩序/11.公平/12.人员稳定/13.创新精神/14.团队精神
3.韦伯(德)/行政管理理论/组织理论之父(《经济和社会》《社会和经济组织的理论》/理想的行政组织体系) 1)行政组织体系是指通过职位或职务来实现管理职能的一套管理体系制度,其核心是组织活动要通过职务或职位来管理。 2)权力的分类:1.法律的权利(合法权利) 2.传统权力(世袭权力) 3.超凡的权力(神权)权力是组织存在的前提和基础,可以消除混乱,带来秩序 3)行政组织体系是达到目标、提高效率的最有效形式,其在准确性、稳定性、纪律性和可靠性方面优于其他形式。 特点:(6点)(1)明确的职权分工 (2)清晰的等级系统 (3)正规的人员选拔 (4)专职的管理人员 (5)正式的规章制度 (6)理性的职位关系
四.行为管理理论P14
1.霍桑试验与人际关系理论
(1)霍桑试验(梅奥)照明试验/继电器装配室试验/大规模访谈/接线板接线工作室试验——《工业文明中人的问题》,试验表明:生产率不仅受到物质条件和环境德影响,更重要的受社会因素和心理因素的影响。 (2)人际关系学主要观点:人是社会人/企业中存在非正式组织/满足工人的社会欲望,提高积极性是提高生产率的关键,关键在于工作态度的改变。
2.行为科学理论
(1)马斯洛/需要层次理论(5个层次):生理需要;安全、保障需要;社交、归属需要;尊重需要;自我实现需要。
(2)赫兹伯格/双因素理论 (激励-保健因素理论):不满意的因素与工作环境有关(保健理论),满意的一般与工作本身有关(激励理论)。
(3)麦克利兰/提出成就需要理论(权力需要/社交需要/成就需要);他坚信人的需要和动机是后天形成的,人的行为框架:需求®动机®行为®目标
(4)麦格雷戈/X理论(任性好逸恶劳)/Y理论(愿意承担责任、有主动性和创造性、他认为Y理论前景美好,有助于实现美好社会)
五.现代管理理论丛林P17
1.管理过程学派:又叫管理职能学派、经营管理学派、管理程序学派,代表人物:哈罗德.孔茨《管理的丛林》。“管理人员做些什么和如何做好这些工作”,把管理看作一个过程。侧重于管理实务。管理过程学派推崇法约尔的思想
2.经验主义学派:又称案例学派,代表人物:彼得.德鲁克,代表作:《管理的实践》;经验主义认为管理的本质是一种实践,不在于知而在于行,唯一的权威就是成果。管理学是管理工商企业的理论和实践的原理和原则的集合。管理的任务:一是取得经济成果,二是具有生产性,使员工有成就感,三是社会责任。
3.决策理论学派:管理就是决策;决策的过程:收集情况、拟定计划、选定计划、评价计划;决策的原则:满意原则代替最优原则;决策的分类:程序化(可重复)和非程序化(一次性)。代表人物:西蒙,代表作《管理行为》《组织》《管理决策新科学》;
4.系统管理学派:将系统论、控制论、信息论应用于工商企业组织管理中;代表人物:美国的卡斯特
5.社会技术学派:把组织作为一个社会系统和技术系统综合起来考虑,代表人物:特里斯特,《长壁采煤法》《社会技术系统的特性》
6.管理科学学派:数量学派,代表人物:伯法 《现代生产管理》《生产管理基础》 解决复杂系统的管理决策问题,可以用电子计算机为工具,用各种数学方法对管理问题进行定量分析,寻求最佳计划方案,已达到企业的目标。
7.信息中心学派:主张把管理人员看成一个信息中心。代表人物:李维特、香农、韦弗
8.权变理论学派:权宜应变,要根据企业的内外部条件随机应变,没有一成不变、普遍适用的最佳管理理论和方法。是未来管理的方向,代表人物:菲德勒
六.当代管理理论的新发展P22-25(5个)
1.战略管理理论 安索夫首先提出,被称为“战略管理的鼻祖”,主要有三大学派:
1.战略规划学派(20世纪60年代) 安东尼、安索夫和安德鲁斯构成“三安范式”。 安德鲁斯与克里斯坦森提出战略规划的基本理论体系,基本步骤:资料的收集与分析;战略制定、评估选择、战略实施。主要分析工具:SWOT、波士顿矩阵及变形。
2.环境适应学派(20世纪70年代) 强调战略的动态变化,强调组织适应,代表人物:明茨伯格、西蒙,分析方法:SMFA法与脚本分析法; 5P:组织的愿景、市场定位、业务范围、决策模型、实施计划
3.产业组织学派(20世纪80年代) 核心思想:行业是企业经验最直接的来源,每个行业的结构又决定了企业竞争的范围,从而决定了潜在的利润水平。 代表人物:迈克尔.波特,竞争战略理论
2.企业文化理论(20世纪70年代)
1.企业文化的功能:凝聚、导向、激励、约束、辐射。
企业文化内涵体系
核心价值观--行为准则
使命--做什么--存在的价值
愿景--目标--怎样存在
2.企业文化的组成内容:企业精神文化(核心层),企业制度文化(中间层),企业物质文化(最外层)。 代表人物:威廉.大内《Z理论》
3.核心竞争力理论 代表人物:加里.哈默尔《企业核心竞争力》,三大特征: 独特性、价值性和延展性(潜在途径) 中心思想:是核心技术或能力是企业经营成败的根本,企业应围绕核心技术或能力的获取、应用和发展去设计发展战略,而不是盯着企业的短期利润目标。
4.企业再造理论:又称企业流程再造、业务流程再造,由迈克尔.哈默和詹姆斯.钱皮提出。 三方面内涵:战略性的企业重构的系统工程;核心是面向顾客满意度的业务流程;要素包括目标、技术和人。
5.学习型组织理论 理论核心:系统动力学,创始人:福瑞斯特,建立学习型组织的关键:自我超越、改善心智模式、建立共同的愿景、团队学习和系统思考。 代表人物:彼得.圣吉,代表作:《第五项修炼》
第三节 管理学基本原理P25
管理学原理是在管理实践过程中,通过对各项管理制度和管理方法进行高度综合与概括,对管理工作中实际问题的科学分析和总结而形成的具有普遍指导意义的基本规律;
管理学七项基本原理(P25) (系人责能效信适)
(1)系统原理(2)人本原理(3)责任原理(4)能级原理(5)效益原理(6)信息原理(7)适度原理
一.系统原理(P26)
1.认识系统原理是认识管理原理的前提和基础。任何组织都是由人、财、物、时间、信息等组成的,都是一个完整的系统。没有系统,管理就无从谈起。系统原理不仅为认识管理基本规律提供了新的视角和方法,同时它所提供的观点和方法对人本原理、责任原理等其他原理都有重要影响。
2.系统的概念与特征(P26)
1)系统的概念
概念:从管理的角度界定系统,是指由若干个相互联系、相互依存、相互作用的要素所组成的具有一定结构和特定功能的有机整体。定义包含三层含义:
a.任何系统均由两个以上的要素组成,单个要素不能构成系统,人、财、物等其中的一项也不能构成系统。
b.系统中的要素与要素、要素与整体以及整体与环境间是相互作用、彼此影响的,并形成特殊的系统结构。如企业中的人、财、物等要素相互依存、相互作用,形成了一个系统。
c.系统具有不同于各组成要素的独立功能的新功能。
2)系统的特征
集合性:系统作为一个有机的整体,是由各组成要素(子系统)集合而成
层次性:构成系统的子系统与子子系统处于不同地位,有一定的层次结构
相关性:系统中的各个子系统是相互联系和相互作用的:一方面表现为子系统与系统间的关系;另一方面表现为系统内部子系统或要素之间的关系。
3.系统原理的要点(P27)
1)整体性原理;2)动态性原理;3)开放性原理;4)综合性原理;5)层次性原理;6)环境适应性原理。
二.人本原理(P28)
1.含义:人本原理就是以人为本的原理,即一种以人为中心或者说以人为核心的管理理念。它要求将组织内的人际关系放在首位,将管理工作的重点放在激发员工的积极性和创造性方面,使个人得到最完美的发展。
2.主要观点
人本原理要求人们在管理活动中坚持一切以人为核心,以人的权利为根本,强调人的主观能动性,力求实现人的全面自由发展,其实质就是肯定人在管理活动中的主体地位和作用。 a. 尊重人:要认识到员工是企业的主体,不再是管理的客体。 b. 依靠人:有效管理的关键是员工积极参与,充分发挥主观能动性,取得更有效的管理结果。 c. 发展人:现代管理能使人得到最完美的发展,个人的发展易受后天环境的影响,因而也是可以塑造和改变的。 d. 为了人:管理是为人服务的,企业的管理不仅要服务于员工,保证他们的物质和精神利益,同时还要服务于外部客户和消费者。
三.责任原理(P29)
1.管理需要合理分工,职责明确: 职责的确定以合理的分工为基础,保证效率激发积极性和创造性。
2.职位设计和授权要合理: 管理的基本原则是一定的人对所承担的一定的工作完全负责,取决于以下因素: 权限(明确了职责,就要授予相应的权力)、利益(负责意味着承担风险,风险与收益要平衡)和能力(是完全负责的关键因素。科学知识、组织才能和实践经验三者构成了管理能力)
四.能级原理(P30)
1能级的概念:管理的能级结构是指为了实施有效的管理,必须在组织中建立一个合理的能级结构,并按照一定的标准,将管理的对象置于相应的能级结构中。
能级原理的运用:划分合理的结构层次、评估组织和人才的能力、进行能级划分、完善人事管理制度。按能级配置人员注意4点要求
1)能级与职级配置,使能者有其位。
2)能级与岗位配置,使能者有其岗。
3)能级与待遇配置,使能者有其利。
4)能级与能级交叉配置,实现能力优化组合。
五.效益原理(P30)
1.效益的基本含义:管理效益是社会效益和经济效益的有机统一。经济效益是社会效益的基础,社会效益是促进经济效益的提高的重要条件。
2.效益的评价:没有绝对的标准;评价尽可能公正客观;这样积极性高动力大效益多;
3.应用:获取效益是管理的根本目的,管理是对效益的不断追求。影响实现管理效益的因素有以下方面(22.7多选): a.重视经济效益 b.有正确的管理战略 c.努力提高管理系统的效率 d.追求长期、稳定的高效益
六.信息原理(P31)
1.信息作为组织的一种重要资源,是现代管理的依据和基础,信息技术已成为现代企业的核心技术。
2.定义:信息是人们在适应外部世界并且使这种适应反作用于世界的过程中,同外部世界进行交流的内容的名称。
3.作用: 信息是管理工作的基础,是预测的基础,是决策的前提,是协调和控制生产经营活动的依据,是组织的重要资源。
4.管理信息的特征(22.7)
价值的不确定性:不同时间、不同地点、不同组织、使用者的数量,信息的有用性会存在不确定性。
内容的可干扰性
形式和内容的更替性
5.管理信息系统的三要素:系统的观点、数学的方法以及计算机的应用
七.适度原理(P33)
1内涵:组织在业务范围的选择上既不能太宽也不能太窄,在管理宽度的选择上既不能太大也不能太小,在权力的分配上既不能完全集中也不能绝对分散,应进行适度管理;
2适度管理的原因在于管理者面对的不确定性,管理活动有效性取决于管理者艺术的运用科学的理论手段和方法
第二章 管理体系概论
第一节 管理体系的起源和发展P36
一.管理体系的起源P36
管理体系起源于近代的质量管理的概念,过程方法、PDCA循环、风险思维等管理理念在管理体系中得到了充分体现。一个组织针对特定领域管理的深度和广度,会依据自身的需求来确定。
质量管理发展的三个阶段
1900-1920年质量检验阶段,代表人物:泰勒,贡献:将检验的和生产的职能的职能分离,确保检验的独立性,实现检验的公正性。专职检验的特点是“三权分立”:有人专职制定标准,有人生产制造、有人专职按照标准检验产品质量。缺点:扯皮,盖棺定论,对产品特性没有贡献,不能百分之百检验。
1920-1940年统计质量管理阶段:1926年休哈特发明了“质量控制图”,贡献:事先控制,预防废品。”品质管理之父“戴明十四法
1960年后全面质量管理阶段:费根堡姆和朱兰,质量是设计、制造出来的,不是检验出来的,质量管理要求全员参与,以数据为客观依据,以顾客需求为核心,按PDCA循环办事。 ISO/TC176 1987年发布ISO9000
二.管理体系的发展P39
ISO按照专业性质设立技术委员会(TC)、分技术委员会(SC)和工作组(WG)。IEC国际电工委员会 , 国际标准主要由ISO、IEC、ITU(国际电信联盟)及被ISO认可的其他国际组织所制定的标准,标准数量之比:ISO:IEC:其他国际组织=60:20:20。
ISO9000系列标准被认可的原因:一是提出了一套科学系统的管理模式,把PDCA和过程方法充分地应用到供应链管理、整体管理和具体的过程管理之中。二是第三方认证的方式可以证实组织质量体系的符合性和有效性。三是合格评定传递信任的功能伴随供应链品质要求的传递功能在市场得到普遍认可。
标准的发展
ISO/TC176于1987年发布第一版ISO9000,ISO9001进行了四次修订(1994、2000、2004、2015),最新版本为2015版,我国SAC/TC151于2016年等同采用为GB/T19001-2016。
ISO/TC207于1996年发布第一版ISO14001环境管理体系系列标准,最新版本为2015版,我国(TC207)于2016年等同采用为GB/T14001-2016。
ISO/TC20于2018年发布第一版ISO45001职业健康安全管理体系系列标准,最新版本为2018版,2020年等同采用为GB/T45001-2020。
ISO/TC34于2005年发布第一版ISO22000食品安全管理体系系列标准,最新版本为2018版。
ISO/IEC于2005年发布第一版ISO27000信息安全管理体系系列标准,最新版本为2013版,我国最新版2016年等同采用为GB/T22080)。
2012年为加强各管理体系的一致性、协调性和兼容性,ISO/IEC在其导则第1部分附录中规定了使用所有管理体系国际标准的通用框架:高层结构、相同的核心文本、通用术语和核心定义。
第二节 管理体系核心理念P41 (关顾领全证关过追P风)
核心理念:(10个)运用过程方法,采用PDCA循环,建立风险管理思维,追求持续成功,关注绩效,以顾客为关注焦点,领导作用,全员参与,循证决策,关系管理
1.运用过程方法P41
1 )“过程的定义”就是利用输入实现预期结果的相互关联或相互作用的一组活动。 过程方法定义:就是系统地识别和管理组织所应用的过程及其活动,将活动作为相互关联、功能连贯的过程组成的系统来理解和管理时,可更加有效和高效地得到一致的、可预知的结果。
2)作用:管理体系倡导在建立、实施管理体系及提高其有效性时采用过程方法,在实现预期结果的过程中,系统地理解和管理相互关联的过程有助于提高组织的有效性和效率。此种方法使组织能够对体系中相互关联和相互依赖的过程进行有效地控制,以增强组织的整体绩效。
3) 采用过程方法需满足的具体要求包括
3) 采用过程方法需满足的具体要求包括: a.确定体系的目标、过程及输入和输出; b.确定过程的顺序和相互作用; c.确定准则和方法; d.确定所需资源; e.规定责任、权力及义务; f.管理可能影响过程输出和体系整体结果的风险和机遇; g.评价过程,分析个别过程对整体的影响,实施变更确保预期结果; h.确保获得必要的信息以运行过程并监视分析评价系统绩效;
4)运用过程方法的优势:
4)运用过程方法的优势: a. 提高关注关键过程的结果和改进机会的能力; b. 从增值的角度考虑过程,通过由协调一致的过程所构成的体系,得到一致的、可预知的结果,持续满足要求; c. 通过过程的有效管理、资源的高效利用及跨职能壁垒的减少,获得有效的过程绩效,并尽可能提升整体绩效; d. 组织能够向其相关方提供关于其一致性、效率和有效性方面的信任。
2.采用PDCA循环 P43
PDCA循环,又叫戴明环,是管理学中的一个通用模型。该循环可以使管理方法和工作步骤更加条理化、系统化、图像化和科学化。
1) PDCA循环将管理分为四个阶段
1) PDCA循环将管理分为四个阶段 P(Plan) 策划:包括方针和目标的确定,以及活动规划的制定; D(Do)实施:根据已知的信息,设计具体的方法、方案和计划布局,再根据设计和布局,进行具体运作,实现计划中的内容。 C(Check)检查:总结计划执行的结果,分清楚哪些对了,哪些错了,明确效果,找出问题; A(Act)处置:对总结检查的结果进行处理,对成功的经验加以肯定,并予以标准化;对于失败的教训,也要总结,引起重视。对于没有解决的问题,应提交给下一个PDCA循环去解决。
2)运用PDCA循环的8个步骤
2)运用PDCA循环的8个步骤: ① 分析现状,找出存在的问题,并尽可能用数据加以说明; ② 分析产生问题的各种影响因素; ③ 在影响问题的诸因素中,找出主要的影响因素; ④ 针对影响的主要因素,制定措施,提出改进计划,并预计其效果; ⑤ 按照制订的计划组织实施; ⑥ 根据计划的要求,检查实际执行的结果,看是否达到了预期的效果; ⑦ 根据检查的结果进行总结,把成功的经验和失败的教训都形成一定的标准或规定,巩固已经取得的经验,同时防止重蹈覆辙; ⑧ 提出这一循环中尚未解决的问题,将其转入下一次的PDCA循环,再进行处理和持续改进;
3)PDCA 循环的3个特点:
3)PDCA 循环特点: ① 闭环管理:PDCA 循环是综合性循环,4个阶段是相对的,它们之间不能截然分开。 ② 环中有环:PDCA是大环套小环,相互衔接,互相促进。在系统、过程和活动中存在整体性的一个大的PDCA循环,各过程又有各自的PDCA循环,形成大环套小环,各个环之间相互衔接,相互联系。 ③ 螺旋上升: PDCA 是周而复始的循环。每循环一次就上升一个台阶。每次循环都有新的内容与目标,不断提高。
3.建立风险管理的思维P45
1) 概念:风险被定义为不确定性的影响。不确定性是一种状态,是对事件或事件的局部的结果和可能性缺乏知识和理解方面的信息的情形。影响是指偏离预期,可以是正面或负面的。所有类型和规模的组织都面临外部和内部的不能确定的因素,这种不确定性对目标的影响就是风险。
2)风险管理遵循的原则:(11项)
2)风险管理遵循的原则:(11项) ① 创造和保护价值; ② 整合所有组织过程的部分(包括战略规划、所有项目和变更管理过程); ③ 支持决策; ④ 有助于解决不确定问题; ⑤ 具备系统性、结构化和及时性; ⑥ 基于最可用的信息; ⑦ 是量体裁衣的; ⑧ 要考虑人文因素; ⑨ 是透明和包容的; ⑩ 是动态、迭代和应对变化的; ⑪ 可以实现组织的持续改进。
3)实施风险管理的益处效果:(17项)
3)实施风险管理的益处效果:(17项) ① 提高实现目标的可能性; ② 鼓励主动性管理; ③ 意识到识别和处理风险的需求; ④ 改进机会和威胁的识别能力; ⑤ 符合相关法律法规要求和国际规范; ⑥ 改进强制性和自愿性报告; ⑦ 改善治理; ⑧ 提高利益相关方的信心和信任; ⑨ 为决策和规划建立可靠的根基; ⑩ 加强控制; ⑪ 有效地分配和利用风险处理的资源; ⑫ 提高运营的效果和效率; ⑬ 增强健康安全绩效,以及环境保护; ⑭ 改善损失预防和事件管理; ⑮ 减少损失; ⑯ 提高组织的学习能力; ⑰ 提高组织的应变能力。
4.追求持续成功P47
组织要考虑自身内部因素和外部环境变化,识别评估管理与利益相关方的风险变化要求和期望;确定战略方向和发展方针是实现使命和追求持续成功的有效途径。
持续成功是指组织长期持续实现并保持其目标的能力的结果;这是一种管理方法。
持续改进的核心内容是:
持续改进的核心内容是: ① 鼓励组织在其所有层级建立改进目标; ② 对各级人员进行教育和培训,使其能够应用基本工具和方法实现改进目标; ③ 确保员工有能力成功地促进和完成改进项目; ④ 开发和展开过程,以在整个组织内实施改进项目; ⑤ 跟踪、评审和审核改进项目的策划、实施、完成和结果; ⑥ 将改进与新的或变更的过程、产品和服务的开发结合在一起予以考虑; ⑦ 赞赏和表彰改进
5.关注绩效P48
1)定义:绩效管理是指各级管理者和员工为了达到组织目标,共同参与的绩效制定、绩效沟通、绩效考核评价、绩效结果应用和绩效目标提升的持续循环过程,绩效管理的目的是持续提升个人、部门和组织的绩效。
2)绩效计划制定要解决的主要问题是目标管理,目标管理的核心问题是保证组织目标、部门目标和个人目标的一致性,通过绩效考核评价,保证个人绩效和组织绩效得到同步提升。目标管理的中心思想是将组织目标展开到每个成员、每个层次和部门。
3)绩效是指可测量的结果。绩效可能涉及组织层面的管理绩效、系统和运行层面的活动、过程、产品、服务和体系绩效。无论是从组织层面,还是从组织的系统或过程层面,管理体系的有效性最有力的体现就是实现或超越预期结果,即管理体系绩效。 从组织层面,管理体系预期结果主要表现为:实现特定目标、履行合规义务和提升特定绩效。 从系统或过程层面,在策划如何实现目标时,管理体系要求组织应建立与其方针相一致的目标,并在相关的职能和层次予以分解,确定目标是什么,需要哪些资源,谁负责,何时完成,如何评价结果。
6.以顾客为关注焦点P48
1)组织最重要的管理领域是产品和服务质量,质量管理是所有领域管理的基石,没有质量管理,其他领域管理是没有意义的。 2)质量管理的主要关注点是满足顾客要求并且努力超越顾客期望;以顾客为关注焦点是质量管理的第一原则,是质量管理的核心思想。
3)以顾客为关注焦点可以获得的潜在益处: a. 增加顾客价值; b. 提高顾客满意度和忠诚度; c. 增加重复性业务; d. 提高组织的声誉; e. 扩展顾客群; f.增加收入和市场份额;
7.强调领导作用P49
1)最高管理者统一组织的宗旨和方向,将战略、方针、过程和资源保持一致,制定与组织的环境相协调的目标,并通过明确过程职责、确定过程方法、配备过程资源、监视过程运行、评价过程绩效、防范过程风险、创造过程机遇、改进过程结果等管理措施实现和提升管理目标。
2)发挥领导作用的潜在获益之处: a. 提高实现组织目标的有效性和效率; b. 组织的过程更加协调; c. 改善组织各层次、各职能间的沟通; d. 开发和提高组织及其人员的能力,以获得期望的结果。
8.提倡全员参与P50
潜在获益之处是: a. 通过组织内人员对目标的深入理解和内在动力的激发以实现其目标; b. 在改进活动中,提高人员的参与程度; c. 促进个人发展、主动性和创造力; d. 提高员工的满意度; e. 增强整个组织的信任和合作; f.促进整个组织对共同价值观和文化的关注。
9.循证决策P50
1)概念:循证决策就是将数据和信息及其不确定性经过科学加工后形成证据,基于证据实施决策的理论。循证决策既可以支持运行层面,也可以支持战略层面。
2)潜在益处有: a. 改进决策过程; b. 改进对实现目标的过程绩效和能力的评估; c. 改进运行的有效性和效率; d. 提高评审、挑战和改变意见和决策的能力; e. 提高证实以往决策有效性的能力
10.关系管理P51
顾客、供方、员工、投资方、政府、协会、银行等相关方与组织的运行和发展有着密不可分的关系。组织的绩效既受相关方的影响,也影响着相关方。为了持续成功,组织需要管理与有关相关方的关系。通过管理与相关方的关系,建立互利原则,一方面,最大限度地发挥相关方在组织绩效方面的作用;另一方面,实现以平衡的方式满足相关方的需求和期望。
潜在益处是: a. 通过对每一个与相关方有关的机会和限制的响应,提高组织及相关方的绩效; b. 对目标与价值观,与相关方有共同的理解; c. 通过共享资源和能力,以及管理有关的风险,增强为相关方创造价值的能力; d. 发挥相关方的作用,使组织获得持续成功。
第三节 管理体系通用术语P52-P62
1.通用术语和核心定义(22个):P52-56 组织、相关方、要求、管理体系、最高管理者、有效性、方针、目标、风险、能力、成文信息、过程、绩效、外包、监视、测量、审核、合格、不合格、纠正、纠正措施、持续改进
(一)组织(organization) 组织是指为实现目标,由职责、权限和相互关系构成自身功能的一个人或一组人。其基本内涵;组织的概念包括,但不限于代理商、公司、集团、商行、企事业单位、行政机构、合营公司、协会、慈善机构或研究机构、或上述组织的部分或组合,无论是否为法人组织,公有的或私有的。所有管理体系标准中以名词形式出现的"组织",其内涵基本都属于这个范畴。
(二)相关方[interested party(stakeholder)]相关方是指可影响决策或活动、受决策或活动所影响、或自认为受决策或活动影响的个人或组织。其基本内涵:相关方指的是组织的相关方。包括顾客、所有者、组织内的人员、供方、政府、银行、监管者、工会、合作伙伴以及可包括竞争对手或相对立的社会群体。组织和其相关方是相互影响的关系。
(三)要求(requirement)要求是指明示的、通常隐含的或必须履行的需求或期望。其基本内涵:要求可由不同的相关方或组织自己提出。要求可分为"明示的要求""通常隐含的要求"和"必须履行的要求"三大类。"明示的要求"可以理解为规定的要求,多以文件信息的形式阐明需要规定的内容,如:在文件、合同中明确的要求或相关方明确提出的要求。需要对明示的要求进行强调时,往往使用"特定要求"。每个特定的管理体系,都有其特定的要求。"通常隐含的要求"是指组织、顾客和其他相关方的惯例或者一般做法,所考虑的需求或期望是不言而喻的。如:化妆品对顾客皮肤的保护性。一般情况下,相关方的文件中不会对此类要求给出明确的规定,组织应根据其自身过程、产品和服务的特点进行识别,并作出规定。"必须履行的要求"是指法律法规的要求和强制性标准的要求。组织为实现更高的绩效,可能有必要提出相关方既没有明示,也不是通常隐含或必须履行的要求。
(四)22.10问答题:管理体系(management system)是指组织建立方针和目标以及实现这些目标的过程的相互关联或相互作用的一组要素。 基本内涵:管理体系要素规定了组织的结构、岗位和职责、策划、运行、方针、惯例、规则、理念、目标。以及实现这些目标的过程。管理体系的范围可以是整个组织,也可以是某些职能或部门。管理体系可以针对单一的领域或几个领域,如:质量、环境、能源等特定管理体系,此时,管理体系的方针和目标与其特定领域内是对应的。策划是实现管理体系预期结果的重要管理部分之一,致力于建立目标并规定必要的运行过程和相关资源以实现目标,策划常以计划的方式体现。
(五)最高管理者(top management)最高管理者是指在最高层指挥和控制组织的一个人或一组人。其基本内涵:最高管理者在组织内有授权和提供资源的权力。如果管理体系的范围仅覆盖组织的一部分,在这种情况下,最高管理者是指管理和控制组织的这部分的一个人或一组人。
(六)有效性(effectiveness)有效性是指完成策划的活动并得到策划结果的程度。其基本内涵:管理体系方法基本都是以PDCA的方式运行的,有效性就是通过监视、测量、分析和评价,将运行结果与策划的目标相比较,以确定两者之间相符合的程度。在管理体系运行过程中,确保每个过程的有效是管理体系整体有效的保证,当然,其中的某个过程无效,可能不会影响管理体系的整体有效性,这取决于那些过程对管理体系整体有效性的影响程度。
(七)方针(policy)方针是指由最高管理者正式发布的组织的宗旨和方向。其基本内涵:最高管理者可以针对单一的领域或几个领域发布其宗旨和方向,如:质量、环境、能源等特定管理体系方针。管理体系的高层结构及特定管理体系标准都对方针提出了要求。
(八)目标(objective)目标是指要实现的结果。其基本内涵:目标可以是战略的、战术的或操作层面的。目标可以涉及不同的领域,如:质量目标、环境目标、职业健康安全目标。不同领域的目标应与其领域的方针相一致。目标还可应用于不同层次,如:战略目标、整体目标、项目目标、产品或过程目标。在一些管理体系标准中,目标也采用其他的方式表述,如:预期的结果、活动目的、运行准则。
(九)风险(risk)风险是指不确定性因素的影响。其基本内涵:不确定性是一种状态,是指对某个事件,或是事件的局部的结果或可能性缺乏理解或知识方面的信息的情形。影响是指偏离预期,可以是正面的或负面的。通常,风险是通过有关可能事件和后果或两者的组合来描述其特性的。"风险"有时特指负面影响。"风险"和"机遇"往往是同时存在的。因此,管理体系标准中常常出现"风险和机遇"一词。
(十)能力(competence)能力是指应用知识和技能实现预期结果的本领。其基本内涵:在管理体系的范畴内,主要指在特定领域内,管理体系的过程中的人的能力,一般不包括过程的全部能力。能力有时是指资格。
(十一)成文信息(documented information)成文信息是指组织需要控制和保持的信息及其载体。其基本内涵:成文信息可以任何格式和载体存在,并可来自任何来源。成文信息可涉及管理体系及其相关过程需要的信息、组织运行产生的信息、结果实现的证据。管理体系中,要求组织制定的文件信息称为"保存成文信息",要求形成证据的记录称为"保留成文信息"。
(十二)过程(process)过程是指利用输人实现预期结果的相互关联或相互作用的一组活动。其基本内涵:过程的"预期结果"指的是过程输出,组织通常应对过程进行策划,并使其在受控条件下运行,以使输出增加价值。输出的内容依据对过程的策划而定。如:采购过程的主要输出是采购的产品和服务;生产过程的输出是过程产品或最终产品,包括副产品:检验过程的输出是检验结果。一个过程的输人通常是其他过程的输出,而一个过程的输出又通常是其他过程的输人。两个或两个以上相互关联和相互作用的连续过程也可作为一个过程。不易或不能经济地确认其输出是否合格的过程,通常称之为"特殊过程"。为使特殊过程在受控条件下运行,往往需要对特殊过程进行事先确认。
(十三)绩效(performance)绩效是指可测量的结果。其基本内涵:绩效可能涉及活动、过程、产品、服务、体系或组织的管理,可通过监视、测量、分析和评价定量或定性地予以表示。如质量优劣程度、环境排放结果、目标达成情况、合规性状况。特定管理体系标准往往提出其特定领域内的预期结果要求,包括该领域的绩效要求。如环境绩效、职业健康安全绩效、能源绩效。
(十四)外包(outsource)外包是指安排外部组织承担组织的部分职能或过程。其基本内涵:"外包"是一个动词。组织受其能力、效率、账务等诸多因素限制,经常会把部分业务安排给外部组织承担。虽然外包的职能或过程是在组织的管理体系覆盖范围之内,但是外部组织是处在覆盖范围之外的,因此,多数情况下,外包的结果不会改变组织的责任。
(十五)监视(monitoring)监视是指确定体系、过程、产品、服务或活动的状态。其基本内涵:确定状态可能需要检查、监督或密切观察,在管理体系运行过程中,对体系、过程、产品、服务或活动的状态通常需要在不同的阶段或不同的时间进行确定。监视是需要预先策划的。
(十六)测量(measurement)测量是指确定数值的过程。其基本内涵:确定的数值通常是量值。测量的输出可以用作监视。对体系、过程、产品、服务或活动可以通过测量的方式确定其状态。
(十七)审核(audit)审核是指为获得客观证据并对其进行客观的评价。以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。其基本内涵:审核的基本要素是审核人员对审核的客体(如过程、产品、活动、人、设施)不承担责任。审核人员按照程序确定客体是否合格。审核可以是内部审核(也称作第一方审核),或外部审核(包括第二方审核和第三方审核),也可以是多体系审核或联合审核。第一方审核是组织内部开展的自我审核,内部审核用于管理评审和其他内部目的,可作为组织自我合格声明的基础。内部审核可以由与正在被审核的活动无责任关系的人员进行,以证实独立性,第二方审核由组织的相关方,如顾客或由其他人员以相关方的名义进行,第三方审核由外部独立的审核组织进行,如提供合格认证/注册的组织或政府机构。审核是一个庞大的概念,本系列丛书的其他书籍中会给予详细的论述。
(十八)合格(符合.conformity)合格是指满足要求。其基本内涵:可与"要求"术语一并理解。
(十九)不合格(不符合,nonconformity)不合格是指未满足要求。其基本内涵:可与"合格""要求"术语一并理解。
(二十)纠正(correction)纠正是指为消除已发现的不合格所采取的措施。其基本内涵:纠正的对象可以是活动、过程、产品、服务、体系等,是对不合格采取的措施,纠正后的结果可能是合格的,也可能仍然是不合格的,还可能是介于合格和不合格之间的。如;对人的行为、生产的产品、过程方法等不合格的纠正结果都有可能出现上述三种情况。纠正可以与纠正措施一起实施,或在其之前或之后实施。纠正与纠正措施的内涵有本质的区别。
(二十一)纠正措施(corrective action)纠正措施是指为消除不合格的原因并防止再发生所采取的措施。其基本内涵:一个不合格可以有若干个原因,采取纠正措施的重要步骤之一是要分析不合格的原因,并要消除这些原因。采取纠正措施是为了防止不合格再发生。预防措施是为消除潜在不合格或其他潜在不期望情况的原因所采取的措施。采取预防措施是为了防止发生,而采取纠正措施是为了防止再发生。
(二十二)持续改进(continual improvement)持续改进是指提高绩效的循环活动。其基本内涵:持续改进是管理体系方法PDCA模型中的"A"部分。在所有管理体系标准中,全部都对管理体系提出了持续改进的要求。为适应内外部环境变化,采取应对风险和机遇的措施,改进目标和寻找机会的过程是一个通过利用监视、测量、分析、内部审核、外部审核、管理评审或其他方法的持续过程。
2.管理体系常用术语(19个):P56-59 组织环境、客体、程序、文件、规范、记录、可追溯性、基础设施、顾客、供方、输出、产品、服务、质量、特性、验证、确认、检验、计量设备。
(一)组织环境(context of the organization)组织环境是指对组织建立和实现目标的方法有影响的内部和外部因素的组合。 基本内涵:组织环境包括存在或潜在影响组织运行和绩效的所有因素,理解组织环境可视为一个过程。这个过程确定了影响组织的目标和可持续性的各种因素。组织的目标可能与其特定管理体系所在领域有关,它既需要考虑内部因素,如:组织的价值观、文化、知识和绩效,还需要考虑外部因素,如:法律的、技术的、竞争的、市场的、文化的、社会的和经济的环境。
(二)客体[object(entity,item)]客体是指可感知或可想象到的任何事物。 基本内涵:客体可能是物质的(如:一台发动机),非物质的(如:转换率、项目计划)或想象的(如:组织未来的状态)。管理体系中常见的客体有:产品、服务、过程、活动、人员、组织、体系、资源、程序等。
(三)程序(procedure)程序是指为进行某项活动或过程所规定的途径。 基本内涵:程序可以形成文件,也可以不形成文件。对程序内容通常用5W1H进行表达:--Why,为什么干这件事,明确目的;--What,做什么,明确对象;--Where,在什么地方执行,明确地点;--When,什么时间执行,什么时间完成,明确时间;Who,由谁执行,明确人员;-How,怎样执行,采取什么措施,明确方法。
(四)文件(document)文件是指信息及其载体。 基本内涵;带有信息的载体都属于文件,载体可以是纸张,磁性的、电子的、光学的计算机盘片。照片或标准样品,或它们的组合。如:记录、规范、程序文件、制度、法规、流程图、图样、报告、标准。文件一般会有版本的标识。
(五)规范(specification)规范是指阐明要求的文件。 基本内涵:规范是一种要求性的文件。如;管理手册、项目计划、技术图纸、程序文件、作业指导书、产品标准。
(六)记录(record)记录是指阐明所取得的结果或提供所完成活动的证据的文件。 基本内涵:时间和内容构成了记录的主要信息。记录可以表达过程、活动、设备、设施、系统、人员、产品和服务等客体在某个时间段的状态。记录可用于对客体的可追溯性,并为验证结果和措施提供证据。在组织实施持续改进时,尤其需要记录中的相关信息。通常,记录不需要控制版本。
(七)可追溯性(traceability)可追溯性是指追溯客体的历史、应用情况或所处位置的能力。 基本内涵:当有可追溯性要求时,记录或其他形式的标识往往是唯一的。在管理体系运行过程中,要求许多客体具有可追溯性。可追溯对查找原因及提供证据有很大帮助。
(八)基础设施(infrastructure)基础设施是指组织运行所必需的设施、设备和服务的系统。 基本内涵:基础设施属于资源类,组织管理体系运行需要基础设施的支持。
(九)顾客(customer)顾客是指能够或实际接受为其提供的,或应其要求提供的产品或服务的个人或组织。 基本内涵:简单地说,顾客就是接受产品或服务的个人或组织。如:消费者、委托人、最终使用者、零售商、内部过程的产品或服务的接收人、受益者和采购方,顾客可以是组织内部的或外部的。
(十)供方[provider(supplier)]供方是指提供产品或服务的组织。 基本内涵:相对组织而言,供方是采购对象的那一方。在质量管理体系中,"供方﹣组织﹣顾客"形成了产品流通的供应链关系。对其他管理体系,"相关方一组织一相关方"形成了内外部过程相互影响的关系链。在合同情况下,供方有时称为"承包方"。
(十一)输出(output)输出是指过程的结果。 基本内涵:过程的结果可以用多种方式体现,如质量管理过程的结果可能是期望和不期望并存的产品和服务;环境管理过程的结果可能是环境影响的状态:职业健康安全过程的结果可能是人的健康安全的状态,能源管理过程的结果可能是能源绩效的状态。组织有内部过程结果,以及组织的外部过程结果,可能对组织的管理体系预期结果都会产生影响。
(十二)产品(product)在质量管理体系范畴内,产品是指在组织和顾客之间未发生任何交易的情况下,组织能够产生的输出。 基本内涵:在质量管理体系范畴内,在组织和顾客之间未发生任何必要交易的情况下,可以实现产品的生产。但是,当产品交付给顾客时,通常包含服务因素。通常,产品可以分为硬件、流程性材料和软件。硬件是有形的,其量具有计数的特性,如:轮胎;流程性材料也是有形的,其量具有连续的特性,如:燃料;软件由信息组成,可通过某种介质传递,如:计算机程序、移动电话应用程序、操作手册、字典、音乐作品版权、驾驶执照。
(十三)服务(service)在质量管理体系范畴内,服务是指至少有一项活动必需在组织和顾客之间进行的组织的输出。 基本内涵:在质量管理体系范畴内,通常,服务由顾客体验,服务的主要要素是无形的。服务包含与顾客在接触面的活动,除了确定顾客的要求以提供服务外,可能还包括与顾客建立持续的关系。服务的提供可能涉及:在顾客提供的有形产品(如:需要维修的汽车)上所完成的活动;在顾客提供的无形产品(如:为准备纳税申报单所需的损益表)上所完成的活动;无形产品的交付(如;知识信息提供);为顾客创造氛围(如:在宾馆和饭店)。服务与产品两个术语常常并列提出。
(十四)质量(quality)在质量管理体系范畴内,质量是指客体的一组固有特性满足要求的程度。 基本内涵:在质量管理体系范畴内,对产品和服务质量可使用形容词来修饰,如:差、好或优秀。"固有"(其对应的是"赋予")是指存在于客体中,质量不包括赋予的特性。
(十五)特性(characteristic)在质量管理体系范畴内,特性是指可区分的特征。 基本内涵:特性可以是固有的或赋予的。可以是定性的或定量的。 特性有各种类别,如:--物理的(如:机械的、电的、化学的或生物学的特性);--感官的(如:嗅觉、触觉、味觉、视觉、听觉);--行为的(如:礼貌、诚实、正直);--时间的(如;准时性、可靠性、可用性、连续性);--人因工效的(如:生理的特性或有关人身安全的特性);--功能的(如:飞机的最高速度)。
(十六)验证(verification)验证是指通过提供客观证据对规定要求已得到满足的认定。 基本内涵:验证所需的客观证据可以是检验结果或其他形式的确定结果,目的是满足规定要求,如:变换方法进行计算或文件评审。为验证所进行的活动有时被称为鉴定过程。"已验证"一词用于表明相应的状态。
(十七)确认(validation)确认是指通过提供客观证据对特定的预期用途或应用要求已得到满足的认定。其基本内涵:确认所需的客观证据可以是试验结果或其他形式的确定结果。目的是满足预期用途或应用要求,确认所使用的条件可以是实际的或是模拟的,如:型式试验、样品试用。"已确认"一词用于表明相应的状态。
(十八)检验(inspection)检验是指对符合规定要求的确定。 基本内涵:显示合格的检验结果可用于验证的目的。检验的结果可表明合格、不合格或合格的程度。 监视、测量、检验、验证、评审、确认等术语在PDCA过程中都属于"C"的环节,
(十九)测量设备(measuring equipment)测量设备是指为实现测量过程所必需的测量仪器、软件、测量标准、标准物质或辅助设备或它们的组合。 基本内涵:由测量仪器、软件、测量标准、标准物质或辅助设备或它们的组合完成测量过程。为确保测量的准确性,对测量设备应按照规定周期进行校准或检定。
3.管理体系审核的主要术语(7个):P59-60 审核方案、审核范围、审核计划、审核准则、审核证据、审核发现、审核结论。
审核方案(audit programme):是指针对特定时间段所策划并具有特定目标的一组(一次或多次)审核安排。 基本内涵:审核方案可以包括:审核目的;审核的范围与程度、数量、类型、持续时间、地点、日程安排;审核准则;审核方法;审核组的选择等内容。审核方案可以包括针对一个或多个管理体系标准的审核,可单独实施,也可结合实施。审核方案不同于审核计划。
审核范围(audit scope) 是指审核的内容和界限。 基本内涵:按照审核策划的安排,首先要明确审核目标及其审核目的,按照审核目的,确定审核范围。审核范围一般从四方面进行描述:1.实际位置,即审核目标的地理位置,如组织地址、分公司地址。2.组织单元,即组织内的相关部门、分厂等。3.活动和过程,即组织所控制的主要工作,一般涉及产品、生产、经营、服务、设计、项目等。4.覆盖的时期,即所审核抽样的时间范围,一般是上次审核到此次审核的时间段。对于第三方审核,认证范围不完全等同于审核范围。认证范围通常体现在认证证书上。而审核范围是为具体的审核界定审核要覆盖的内容和界限。
审核计划(audit plan)是指对审核活动和安排的描述。 基本内涵:审核计划可以包括:审核目的、审核的范围、审核类型、持续时间、地点、日程安排;审核准则;审核方法;审核组成员等内容。审核计划是审核方案中的一项活动。
审核准则(audit criteria)是指用于与审核证据进行比较的一组方针、程序或要求。 基本内涵:组织执行要求类的文件都属于审核准则。如:内部作业文件、程序文件、外部规章、销售合同、相关方协议。如果审核准则是法律法规要求,"合规"或"不合规"常用于审核发现。
审核证据(audit evidence)是指与审核准则有关并能够证实的记录、事实陈述或其他信息。 基本内涵:审核证据可以是定性的或定量的。各种记录、负责人及执行人的事实陈述、各种数据,只要能够证实,都属于审核证据。
审核发现(audit findings)是指将收集的审核证据对照审核准则进行评价的结果。 基本内涵:审核发现表明符合或不符合,审核发现可导致识别改进的机会或记录良好实践。如果审核准则选自法定或其他要求,审核发现可表述为合规和不合规。
审核结论(audit conclusion)是指考虑了审核目标和所有审核发现后得出的审核结果。 基本内涵:审核结论是审核发现的总体结果,审核结论对应的是审核目标,是对审核目标全部工作的评价。即使审核结论的结果是"有效",管理体系也可能存在不符合,此时,组织仍需对不符合采取纠正措施。审核结论将是管理评审的重要输人。
4.管理体系认证认可的主要术语(8个):P61-62 认证、认可、获证客户、公正性、管理体系咨询、认证审核、认证方案、管理体系认证审核时间
认证(certification) 是指由认证机构证明产品、服务、管理体系(21.10多选)符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。 基本内涵:认证的实施方是认证机构;认证的对象是组织的产品、服务、管理体系;认证的依据是相关技术规范、相关技术规范的强制性要求或者标准。管理体系认证标准主要指的是相关特定管理体系要求的标准(见第四章)。 认证机构应当经国务院认证认可监督管理部门批准,并在批准范围内从事认证活动。未经批准。任何单位和个人不得从事认证活动。
认可(accreditation)是指由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动。 基本内涵:认可机构认可的对象是认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,认可机构由国务院认证认可监督管理部门确定。除国务院认证认可监督管理部门确定的认可机构外,其他任何单位不得直接或者变相从事认可活动,其他单位直接成者变相从事认可活动的,其认可结果无效。 认证机构、检查机构、实验室可以通过认可机构的认可,以保证其认证、检查、检测能力持续、稳定地符合认可条件。 获得认可机构认可的认证机构所颁发的认证证书,可带有国际同行评审标志。
获证客户(certified client)是指管理体系已获认证的组织。 基本内涵:客户是指其管理体系以认证为目的接受审核的组织。一个组织按照某一个成几个特定管理体系标准要求建立和运行其管理体系。并获得认证机构认证通过。取得有效的认证证书,获证客户的认证信息可在国家认监委公开网站上查询。获证客户有时也称为获证组织。
公正性(impartiality)是指客观性的存在。 基本内涵:客观性意味着利益冲突不存在或已解决,不会对认证机构的后续活动产生不利影响。其他可用于表示公正性的表述还有:独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡等。
管理体系咨询(management system consultancy)是指参与建立、实施或保持管理体系。 基本内涵:管理体系咨询可能由一个或一组过程组成。管理体系咨询的主要活动是对管理体系的建立和实施提供具体的建议、指导或解决方案。如;参与组织管理体系文件编写、内部审核。 如果与管理体系和审核有关的培训课程仅限于提供通用信息,那么培训活动不被视为咨询,即培训活动不宜针对特定的客户提出解决方案。为过程或体系的改进提供通用信息,而不是针对特定客户的解决方案,也不被视为咨询。此类通用信息如:解释认证准则的含义和意图;识别改进机会;解释相关的理论、方法学、技巧或工具;分享关于相关良好实践的非保密信息;所审核的管理体系未覆盖的其他管理问题。
认证审核(certification audit)是指由独立于客户和依赖认证各方的审核组织实施的、对客户的管理体系进行以认证为目的的审核。 基本内涵:认证审核可与"审核"术语一并理解。在审核概念的范畴内,认证审核指的是第三方认证审核,认证审核包括初次审核、监督审核和再认证审核,还可以包括特殊审核。认证审核通常由依据管理体系标准要求提供符合性认证的认证机构的审核组实施。两个或两个以上市核组织合作审核同一个客户。称作联合审核。一个客户同时按照两个或两个以上管理体系标准的要求接受审核,称作结合审核。一个客户已将两个或两个以上管理体系标准要求的应用整合在一个单一的管理体系中,并按照一个以上标准接受审核,称作一体化审核。
认证方案(certification scheme)是指应用相同的规定要求、特定规则与程序,与管理体系有关的合格评定制度。
管理体系认证审核时间(duration of management system certification audits)是审核时间的一部分,包括从首次会议到末次会议之间实施审核活动的所有时间。 审核活动通常包括:举行首次会议;审核实施中的文件评审;审核中的沟通;向导和观察员的作用和责任;信息的收集和验证;形成审核发现;准备审核结论;举行末次会议。
第四节 管理体系实现过程P62
无论组织依据哪个领域的管理体系标准来建立其管理体系,组织所使用的方法和过程都是基本一样的;
一.管理体系的建立P62
管理体系策划启动
管理体系策划信息及内容主要包含以下几方面
管理体系策划信息及内容主要包含以下几方面: 1)理解组织所处的生存环境及相关方的需求和期望:组织应确定与其目标和战略方向相关并影响其实现管理体系预期结果的各种内部和外部因素。 2)确定管理体系的范围:不同的管理体系有不同的体系范围,管理体系范围要考虑内外部因素和相关方的要求,确定组织的哪些管理职能、运行单元和物理边界纳入管理体系的范围。 3)在管理体系范围内确定管理过程及过程间的相互关系 4)确定岗位、职责和权限 5)策划应对风险和机遇的措施 6)评审管理体系所在领域的初始状况 7)制定方针和目标
创建体系文件
1.创建体系文件的前提条件
不是管理体系的所有过程和活动都需要以文件化信息的方式加以规定的,但是,在以下情况,组织应当形成文件化信息: 1)管理体系标准对要求内容需要形成文件的信息。 2)在没有文件化信息支持下,无法确保过程结果的有效实现。 3)组织为持续改进、经验传递、积累知识、提供证据或其他原因所需的形成文件的信息。
2.体系文件的详略程度
对于不同组织,管理体系形成文件的信息的多少与详略程度可以不同,这取决于: 1)组织的规模,以及活动、过程、产品和服务的类型。 2)过程的复杂程度及其相互作用。 3)人员的能力。
3.创建体系文件的原则:系统协调原则、融合优化原则、可操作性原则、
4.体系文件类型:纲领性文件化信息、程序性文件化信息、作业性文件化信息、记录性文件化信息
二.管理体系的运行(P65)
运行过程中主要的管理事项:
运行过程中主要的管理事项: 1)过程内和过程间的信息沟通; 2)组织与外部的信息沟通与协调; 3)员工的能力管理与提高; 4)基础设施的配置和运行; 5)顾客、供方及其他相关方的关系管理; 6)特定领域的控制,如产品质量、环境因素、危险源、能源使用。 7)外包方的管理; 8)运行过程的变更控制 9)其他
三.绩效评价P65
·过程结果和管理体系结果可以通过过程绩效评价、合规性评价和管理体系评价的方法进行验证; *过程绩效评价主要通过对过程的监视、测量和分析结果的评价; *合规性评价是对组织应遵守的法律法规和其他要求进行评价; *管理体系评价主要通过内部审核、管理评审和自我评价等方式实现;
(一)对过程的监视、测量、分析结果的评价
对过程监视、测量、分析结果的评价对过程的监视和测量的方式主要体现在:
对过程监视、测量、分析结果的评价对过程的监视和测量的方式主要体现在: (1)各层次的工作制度执行情况。 (2)设备、设施、工程、系统的运行情况,包括对外包过程的监控、对应急系统的测试。 (3)目标实施及完成情况,包括管理目标和管理体系所在领域的预期目标。
通过对过程的监视和测量,可获得并分析过程运行的数据和信息,运用对比法和统计理论可以判定过程结果的符合性,分析导致结果的有利和不利的原因,判断将来的发展趋势,完成对过程绩效的综合评价。
(二)合规性评价
实施合规性评价前,应首先识别、获取那些组织应当遵守的合规义务,并在以下方面评价合规义务的执行情况:
实施合规性评价前,应首先识别、获取那些组织应当遵守的合规义务,并在以下方面评价合规义务的执行情况: (1)建立方针时,考虑合规义务的内容; (2)涉及合规义务的过程绩效和特定领域绩效的输出; (3)合规义务的变化情况; (4)在组织控制下的工作人员履行合规义务的过程,以及不履行合规义务的后果; (5)合规义务可能带来的风险和机遇;
评价方法:主要通过对相关信息和数据收集分析的方式开展,包括:
评价方法:主要通过对相关信息和数据收集分析的方式开展,包括: a.巡视、检查、观察和访谈; b.项目或工作评审; c.样本分析或测试结果与限定要求的对比; d.合规义务文件化信息评审;
合规性评价可以与过程绩效评价及内部审核一并开展;合规性评价的频次和时机依据合规义务的要求; 合规性评价的结果是管理评审的输入。
(三)内部审核
(四)管理评审:
管理评审是组织为了确保管理体系的适宜性、充分性、有效性,并与其战略方向保持一致所开展的管理体系评审活动;21.10多选
四.管理体系的持续改进P67
基本途径:渐进性改进和突破性改进
第三章 管理体系标准的高层结构(HLS)
第一节 高层结构理论基础P69
不同领域的管理体系标准的管理对象有所不同,但其管理的原理和基本要求是相同的;
一.高层结构的产生:高层结构是ISO对管理体系相互融合提出的集约化理念,是管理体系标准需要遵守的原则。 产生的动机:减少不同管理体系标准的重复性,提高管理体系的运行效率。高层结构理论于2012年提出,9001/14001/45001/22000/50001均采用此结构。
二.高层结构的作用
高层结构的作用 1)提高相关方之间的沟通效率; 2)帮助组织实现其预期结果; 3)提高管理体系运行的兼容性;组织按照高层结构建立、实施、保持和改进一个或多个其管理体系时,不但要与组织本身的业务相融合,更重要的是可以减少多个管理体系之间的重复,这使得管理体系的运行更加简洁和便利,同时也为合格评定(认证)提供了便利; 4)鼓励管理体系标准的创新; 5)鼓励全球贸易自由。
三.高层结构的核心内容:高层结构可以应用于“要求”性(A类)和“指南”性(B类)两类标准。管理体系标准高层结构的核心内容是:
管理体系标准高层结构的核心内容是: 1)相同的标准框架和条款标题。 高层结构具有相同的标准框架和条款标题。特定的管理体系标准在相同的标准条款标题下,可以在特定管理体系标准中增加二级条款和三级、四级条款。 2)相同的通用术语和核心定义。 在各管理体系标准中,这些术语和定义是通用的。如果通用术语和核心定义中与特定的管理体系标准中的术语和定义名称相同但内涵不同,则需要在特定管理体系中加以说明。 3)相同的条款核心文本。 高层结构给出了相同的条款核心文本的格式,在相同的条款核心文本的格式基础上,可依据特定管理体系标准增加相应的要求。"指南"性标准核心文本内容可不受这些格式限制。
4.框架和条款
第0章 引言 包括通用术语和核心定义 第1章 范围 第2章 引用文件 第3章 术语和定义 第4章 组织环境 P 包括四个二级条款:理解组织及其环境、理解相关方的需求和期望、确定管理体系的范围、管理体系 第5章 领导作用 P 包括三个二级条款:领导作用与承诺、方针、组织的岗位、职责和权限 第6章 策划 P 包括两个二级条款:应对风险和机遇的措施、目标及其实现的策划 第7章 支持 D 包括五个二级条款:资源、能力、意识、沟通、成文信息 第8章 运行 D 特定管理体系在本章会有较大不同 第9章 绩效评价 C 包括三个二级条款:监视、测量、分析和评价;内部审核;管理评审 第10章 改进 A 包括两个二级条款:不合格及纠正措施;持续改进
5.高层结构的管理思维
包含了管理体系标准的典型管理思维理念,这些思维贯穿于标准的始终; 21.5多选 1)战略思维;2)风险思维;3)过程思维;4)系统思维;
6.“应”表示要求,对组织的要求;“宜”表示建议,对组织的建议;“可”表示允许,对组织的允许;“能”表示可能性或能够,组织可能或能够产生的结果; “有必要考虑”但可以拒绝考虑;“必须考虑”表示不能拒绝考虑,但不一定采纳;“适当”表示一定程度的自由;”适用”表示只要适用,就要执行。 成文信息的两种描述方式:“保持形成文件的信息”即要求组织形成文件;“保留形成文件的信息”即要求组织形成记录并保存;
第二节 组织环境P73
位于高层结构的第4章,包括四个二级条款:4.1理解组织及其环境、4.2理解相关方的需求和期望、4.3确定X管理体系的范围、4.4管理体系
4.1理解组织及其环境:组织应确定与其宗旨和战略方向相关并影响其实现X管理体系预期结果的能力的各种外部和内部因素; 理解组织及其环境的原理和内涵:理解组织的环境是一个过程,过程确定了对组织宗旨、目标和可持续性有影响的各种因素;它既要考虑内部因素,又要考虑外部因素。不同组织的内外部因素不尽相同,同一组织不同管理体系的内外部因素也不尽相同。 内部因素:组织文化、资金、人力、运营、信息、制度、绩效、技术、工艺、设备、材料、监测等。 外部因素:政治、文化、法律法规、财政金融、行业发展、市场环境、外部关系、地区状况等。
4.2理解相关方的需求和期望:组织应确定与X管理体系有关的相关方及相关方的需求
4.3确定X管理体系的范围:组织应确定X管理体系的边界和适用性,以确定其范围。在确定范围时,组织应考虑:--中提及的各种外部和内部因素;--4.2中提及的要求。范围应作为成文信息提供。
4.4管理体系:组织应按照标准的要求建立、实施、保持和持续改进X管理体系,这个特定的管理体系包括所需的过程及相互作用;
第三节 领导作用P75
位于高层结构的第5章,包括三个二级条款:5.1领导作用与承诺、5.2 X方针、5.3组织的岗位、职责和权限
领导作用和承诺的原理和内涵: 基于特定管理体系管理的宗旨和方向,确保制定其方针和目标。 基于组织的实际管理特征,确保管理体系要求融入组织的业务过程。 基于过程理论及有效性,确保为管理体系配置资源,确保管理体系实现其预期结果。 基于全员参与的原则,在各层次沟通有效的管理体系要求的重要性,指导和支持员工为管理体系的有效性做出贡献,支持其他相关管理者在其职责范围内发挥领导作用。 基于PDCA管理模式,促进持续改进。
第四节 策划P77
位于高层结构的第6章,包括两个二级条款:6.1应对风险和机遇的措施、6.2目标及其实现的策划
6.2目标及其实现的策划: 下述是"目标及其实现的策划"的原理及内涵。 1)组织的宗旨和战略,内外部因素及相关方的期望和需求、最高管理者的承诺,方针,应对风险和机遇的措施、目标等,这是管理体系高层结构设计的一组相互关联的纲领性要素,它们的外延由大变小,逐步使其内涵接近管理体系的实施层面; 2)高层结构要求组织在相关职能和层次建立目标。从时间角度,组织可建立远期目标、中期目标和近期目标;从层次角度,组织可建立战略层面目标、战术层面目标、运行层面目标。组织基于职能分配和过程管理,员工能够直接感受的是近期的运行层面目标; 3)高层结构要求组织建立的目标应与特定管理体系的方针保持一致、可测量、适用、对其监视和沟通,适时更新;明确目标要做什么、需要什么资源、由谁负责、何时完成、如何评价结果;
第五节 支持P79
位于高层结构的第7章,包括五个二级条款:7.1资源、7.2能力、7.3意识、7.4沟通、7.5成文信息
7.1、资源可能包括:自然资源、社会资源、人力资源、基础设施、技术资源、财务资源、信息资源等,由于不同特定资源所处的领域不同,其所需的资源也不尽相同。
7.2、能力:条框仅指人的能力,不包括过程能力。人的能力是过程能力的一部分,人的能力需求,来自于过程能力需求;
7.3、意识可以反映客观事物,这种反映可以是正确的也可以是错误的;组织应确保员工意识到X方针、对组织管理体系有效性的贡献及不符合管理体系要求的后果;
7.4沟通 组织应确实与X管理体系有关的内部和外部沟通,包括沟通什么、何时沟通、与谁沟通,即高层结构要求组织确定内外部沟通的内容、时机、对象;
7.5、成文信息
7.5.1 总则:规定了特定管理体系标准要求的成文信息和组织自己所需的成文信息,相关方的成文信息。
7.5.2 创建和更新:在创建和更新成文信息时,通过评审和批准,组织应确保成文信息的标识、说明、形式和载体的适宜性和充分性。
7.5.3 成文信息的控制方式:分发、访问、检索、使用、存储、防护、可读、更改控制、保留、处置。22.10多
第六节 运行P82
位于高层结构的第8章,不同的特定管理体系在其所在的领域的运行特征有差异,可根据特定领域的要求增加相关条款;
运行:组织应按照运行规则实施并控制实施的过程,运行过程不是一成不变的。(按章办事)
8.1运行策划和控制:组织按照以下措施对所需过程进行策划、实施和控制:建立过程准则;按照过程准则实施过程控制;在必要的范围和程度上,保留成文信息以确信过程已经按策划进行。策划的变更、评审非预期后果、外包受控
组织运行过程中部分过程可能是外包的,对外包的控制类型和程度取决于外包的性质、风险和机遇。22.7单
第七节 绩效评价P83
位于高层结构的第9章,包括三个二级条款:监视、测量、分析和评价;内部审核;管理评审
9.1监视测量、分析和评价:衡量的依据是管理体系的所有要求,评价结果可以是定量的,也可以是定性的
基于PDCA理论,要实现监视测量、分析和评价的过程,组织需对过程进行策划,需确定的内容有:22.12多 需要监视和测量什么,用什么方法; 实施监视和测量的时机;(何时实施监视和测量) 对监视和测量结果分析评价的时机;(何时对结果进行分析和评价) 保留适当的文件化信息作为证据; 评价X管理体系的绩效和有效性;
9.2内部内审:审核方案考虑的内容:审核目标、审核频次、审核范围、审核准则、审核内容、审核进度、审核方法、审核证据、审核发现、审核结论、审核报告、内审员管理。按照GB/T19011实施内审。
9.3管理评审:也是组织对其管理体系评价的一种方式,内部审核不能替代管理评审,管理评审是最高管理者的活动,目的是确保管理体系持续的适应性、充分性和有效性。
应依据有关过程的重要性,对组织产生影响的变化和以往的审核结果,策划、制定、实施和保持审核方案,审核方案包括:频次、方法、职责、策划要求和报告。
适宜性:管理体系如何适合于组织其运行、其文化及业务系统;充分性:管理体系是否得到恰当的实施;有效性:管理体系是否正在实现预期结果。
第八节 改进P86
位于高层结构的第10章,包括两个二级条款:10.1不合格及纠正措施;10.2持续改进
10.1不符合和纠正措施:控制不符合是为了使其不继续向不利方向发展,纠正是为消除已发现的不符合而采取的措施,纠正措施是为消除不符合的原因并防止再次发生所采取的措施。对不符合采取的层级取决于不合格所产生的影响和组织所承受的风险和创造的机遇。
对待不符合应遵循的原理:1.对不符合做出响应,决定处置不符合的层级;2.评价处置的结果;
处置不符合的层级是:1.控制不符合,包括允许不符合的存在;2.纠正不符合,包括对不符合后果的处置;3.对不符合采取纠正措施;
保留不符合的性质以及采取措施的结果的成文信息,作为修正和完善的证据;
10.2持续改进:持续改进是提高绩效的循环活动。基于戴明理论和相关实践,持续改进主要关注三个维度:一是把控制重点前移至控制过程,当过程控制存在不确定性时,把控制重点再转向结果;二是要把改进的授权下达到过程,让过程的管理者主动地实施自我改进;三是掌握改进的方法,如变异分析、标杆对比。
第五章 管理体系认证机构管理基础
为确保认证机构有能力以一致和公正的方式实施管理体系认证,促进国际和国内承认并接受认证机构的认证结果,认证机构也需要建立并保持管理体系的审核和认证机构运行的质量管理体系,这是对认证结果承认的基础,从而通过管理体系认证实现为组织、组织的顾客及利益相关方提供价值。
第一节 认证机构概念P192
管理体系认证机构和审核机构
管理体系认证的实施方是管理体系认证机构,认证的对象是组织的管理体系,认证的依据是相关技术规范和特定管理体系标准。对管理体系认证机构规定统一的要求,可确保认证机构有能力以一致和公正的方式实施管理体系认证,以促进国际和国内承认这些机构并接受们的认证。
审核机构:是指从事对产品、服务、过程、管理体系或人员符合规定要求实施审核活动的合格评定机构。 管理体系审核机构:是对组织的管理体系与规定要求(标准或其他规范性文件)的符合性提供评价活动的合格评定机构。(可做一方、二方和第三方审核,但针对组织三种审核不能由同一审核机构实施。)
认证机构:是证明产品、服务、过程、体系或人员符合规定要求或者标准的合格评定机构。 管理体系认证机构:是证明管理体系符合规定要求或者标准的合格评定机构。(只做第三方审核)
管理体系审核机构与管理体系认证机构的区别: 管理体系审核机构仅就组织的管理体系与规定要求(标准或其他规范性文件)的符合性进行评价并得出评价结论。 管理体系认证机构除完成上述活动外,还必须根据评价结论做出(授予、保持、暂停、撤销、更新的)认证决定,并颁发相应的认证文件。
认证机构基本要求
ISO/IEC 17021-1《合格评定 管理体系审核认证机构要求 第1部分:要求》对管理体系审核和认证机构提出了10个章节的要求:
第1章至第3章主要明确了"范围""规范性引用文件""术语和定义"。
第4章规定了“原则”要求。认证的总体目标是使所有相关方相信管理体系满足规定要求,认证的价值取决于第三方通过公正、有能力的评定所建立的公信度的程度。 认证的原则 (风投责能保二公):公正性、能力、责任、公开性、保密性、对投诉的回应、基于风险的方法。
第5章规定了"通用要求"。主要明确了认证机构的责任、公正性、财力和认证风险应对的具体要求。认证机构应对认证决定负责,认证机构应是能够承担认证活动法律责任的实体。
第6章规定了"结构要求"。主要明确了认证机构的组织结构、最高管理层和运行控制的要求,如管理层和其他认证人员及各委员会的职责、责任和权力,认证机构对其分支办公室、合伙人、代理、特许经营者等认证活动的控制,对运行过程、技术领域、人员能力、管理控制、操作系统等运行过程的控制水平和方法。
第7章规定了"资源要求"。明确了认证机构实施管理体系认证所需的资源要求,包括对认证业务范围内的每一个技术领域和每一项认证职能制定人员的能力要求、初始和持续能力评价的过程要求。
第8章规定了“信息要求”:认证机构应该公开的信息包括:认证文件或认证证书的信息、认证资格和认证标志的使用和宣传要求等。
第9章过程要求:包括认证前的活动、策划审核、初次认证、实施审核、认证决定、保持认证、申诉、投诉、客户记录等。
第10章规定了管理体系要求:认证机构通过建立管理体系以保障和证实其始终满足对认证机构的各项要求,并提供“通用管理体系要求“和与ISO19001一致的管理体系要求两种可以选择的途径。
特定管理体系要求
在管理体系认证机构通用要求的基础上,认证机构还应按照特定管理体系的审核能力之要求实施管理
特定管理体系如: (1) ISO/IEC 17021-2《合格评定 管理体系审核与认证机构要求 第2部分:环境管理体系审核认证能力要求》。 (2) ISO/IEC 17021-3《合格评定 管理体系审核与认证机构要求 第3部分:质量管理体系审核认证的能力要求》。 (3) ISO/IEC 17021-4《合格评定 管理体系审核与认证机构要求 第4部分:大型活动可持续性管理体系审核认证能力要求》。 (4) ISO/IEC 17021-5《合格评定 管理体系审核与认证机构要求 第5部分:资产管理体系审核及认证能力要求》。 (5) ISO/IEC 17021-6《合格评定 管理体系审核与认证机构要求 第6部分:业务连续性管理体系审核及认证能力要求》。 (6) ISO/IEC 17021-7《合格评定 管理体系审核与认证机构要求 第7部分:道路交通安全管理体系审核及认证能力要求》。 (7) ISO/IEC 17021-8《合格评定 管理体系审核与认证机构要求 第8部分:社区可持续发展管理体系审核及认证能力要求》。 (8) ISO/IEC 17021-9《合格评定 管理体系审核与认证机构要求 第9部分:反贿赂管理体系审核及认证能力要求》。 (9) ISO/IEC TS 17021-10《合格评定 管理体系审核认证机构要求 第10部分:职业健康安全管理体系审核认证能力要求》。 一些特定管理体系领域还规定了其领域内的相关要求,如:ISO/TS 22003、ISO/IEC 27006、TL9000,分别规定了食品安全管理体系、信息安全管理体系、电信行业质量管理体系的认证机构要求。
第二节 认证机构的特征P194
认证机构的共同特征表现在:法律地位;公正性;责任;信息公开与保密;风险管理;申投诉处理;许可与授权;认证证书与标志;认可;互认;
一.法律地位P194
《中华人民共和国认证认可条例》规定,取得认证机构资质,应具有法人资格,应当经国务院认证认可监督管理部门批准,并在批准范围内从事认证活动。
二.公正性P195
(一)公正性的概念
公正性的概念:公正性是实际存在着的并被感知到的客观性。客观性意味着利益冲突不存在或已解决,不会对认证机构的后续活动产生不利影响。 公正,并被认为公正,是认证机构提供可建立信任的认证的必要条件。(22.12) 认证的价值取决于第三方通过公正、有能力的评定所建立起来的公信度的程度; 认证机构应保持客观性、识别避免减轻和管理利益的冲突、确保独立性。 为增强认证活动在市场上的信任、信心和价值,认证机构应:保持客观性;识别避免减轻和管理利益冲突;确保独立性。(21.5)
(二)对认证机构公正性的威胁
对认证机构公正性的威胁可能源自:某种关系、某种活动、认证人员、财务方面的自身利益。
(三)认证机构公正性管理
建立维护公正性的管理机制:确定职责、权限和权力;
成立维护公正性委员会:包括:认证机构人员和客户、获证客户的顾客、行业协会代表、政府监管机构或其他部门代表、非政府组织代表;
最高管理者对公正性的承诺:公正性承诺是一种可公开获得声明,最高管理者理解公正性在实施认证活动中的重要性,对利益冲突加以管理,并确保认证活动的客观性。
识别、避免、减轻和管理利益冲突:
确保独立性:独立性是公正性的基础。认证机构不应将审核外包给管理体系咨询机构;参与了对客户管理体系咨询的人员(包括管理人员)不应被认证机构用于针对该客户的审核或其他认证活动。减轻威胁的方式是在咨询结束后至少两年内不应使用该人员。
三.责任P196
认证机构的责任是根据客观证据进行评价,并在此基础上做出认证决定。
认证责任保险是国际上通行的做法,中国人民财产保险股份有限公司发布了《认证认可职业责任保险条款》;设立储备金;认证机构的注册资金可视为股东对公司未来债务的承诺。
四.信息公开与保密P196
(一)信息公开P197
在信息公开中,认证机构及开展的活动应遵守公开性、信息的可获取性和信息的保密和公开的可质疑性三个方面的原则。
1.公开性: 认证机构需向所有用户公开其认证活动的信息,包括认证申请受理的条件、认证流程、认证方案、授予、拒绝、保持、更新、暂停、恢复或撤销认证、扩大或缩小认证范围的过程、申诉和投诉的处理过程、证书和标志使用要求等。 (1)授予是指向得到符合性证实的初次申请认证客户颁发认证文件。 (2)保持是指对获证客户在认证周期内持续符合性的承认。 (3)扩大是指对获证客户在认证周期内已证实的认证范围扩大的符合性的承认。 (4)缩小是指对获证客户在认证周期内已证实的认证范围缩小的符合性的承认。 (5)更新是指在认证终止日前,根据再认证审核的结果,以及认证周期内的体系评价结果和认证采信方的反馈,做出重新认证的决定,开始新的认证周期。 (6)暂停是指符合性说明中指出的全部或部分证明范围的暂时无效。 (7)撤销是指废止/符合性说明的取消。 在满足与信息保密和信息公开及认证认可有关法规要求的前提下,经过获证组织的许可,向社会公开认证结果,回应认证结果的使用者对认证真实性的询问,如招标单位、产品的采购方、消费者(个人)、政府监管部门对认证证书的真实性、认证范围的查询等。 为了获得政府监管部门、认可机构、相关国际组织的信任,认证机构应按照相关要求向这些机构公开其合格评定对象无保密要求和无知识产权保护要求的信息,或者向上述相关机构提供获取这些信息的查询途径。
2.信息的可获取性信息可获取性: 是与认证机构有合同关系的个人或组织为了开展审核和认证评价活动对信息获取有要求时,认证或审核机构有责任和义务向其提供本机构所掌握的与本次审核或认证对象的任何信息,如认证机构有合同关系的分包审核机构在实施分包审核任务时要求认证机构提供认证客户的相关信息,认证机构应予以提供;与认证机构或审核机构有合同关系的审核员在执行特定审核任务时要求认证机构或审核机构提供客户的相关信息,机构应予以提供;认可机构在对认证机构实施认可时,认证机构也应向认可机构提供见证项目所涉及的组织的信息或认证机构审核的全部档案。
3.信息保密和公开的可质疑性: 个人或组织应该能够对认证机构是否符合信息保密和信息公开的有关要求提出质疑。认证机构向客户或市场提供的信息(包括广告)应准确且不使人产生误解。在特殊情况下,可以根据客户的请求(如出于安全原因)对某些信息的公开程度做出限制。
(二)保密性P198
认证的流程和要求决定了认证机构有机会接触到组织的专有信息,认证机构为了获取组织的管理体系有效运行的相关证据,享有查看和访问的权利,组织和个人对其提供的任何专有信息有权要求受到保护。认证机构对从事认证活动时获取或产生的所有信息的管理负责。
1.秘密与保密: 所谓秘密,是与公开相对而言的,即个人、集团和国家在一定时间和范围内,为保护自身的安全和利益,需要加以隐蔽、保护、限制、不让外界客体知悉的事项的通称。 所谓保密,是指对个人、集团、国家的不想让外界知道而且不能泄露出去的秘密进行隐蔽和保护的活动。它是伴随人类社会发展形成的一种意识和社会行为。 根据秘密的性质不同,可分为:国家秘密、商业秘密、工作秘密和个人秘密。秘密的存在方式分有形和无形两种。有形秘密是指看得见、摸得着的多种多样的实物。无形秘密是指存在于人脑中的意识或思维,如重大决策的思考、意图、策划,往往表现为会议讲话等形式。
2.认证中的保密性 (1)认证中的保密原则;(2)保密措施;(3)公开信息与保密信息;(4)保密的实施;(5)保密信息的安全处理
五.风险管理P199
(一)认证风险的概念P199
1. 认证风险的概念:认证风险是指认证机构或认证人员失误、获证企业活动发生偏离对认证有效性的影响程度与发生的可能性的组合。 2. 认证风险只界定认证有效性影响程度和发生的可能性,隐含部分法律风险、经济风险,不包括认证经营性风险、自然灾害; 3. 认证机构为确保认证有效性的目标,通过识别、评价、控制风险的一整套政策和程序。认证机构为确保认证保密性、客观性和公正性的目标,建立实施全面的风险管理体系,通过对认证活动的关键过程的管理,包括风险管理方针、风险管理职能、风险管理措施、风险管理信息系统和内部控制系统,从而为实现风险管理的目标提供合理保证的过程和方法。
(二)认证风险管理P200
1. 认证风险的识别和评估: 1.1 认证风险的成因: 盲目进入高风险专业领域; 受理高风险项目; 审核方案策划和实施有缺陷; 报告复核认证决定无效; 认证机构人员工作不规范; 认证机构经营管理的重大失误。 1.2 认证风险影响因素: 认证制度缺陷、认证人员失误、获证组织活动的偏离。
2.认证风险对策:2.1风险承担2.2风险规避2.3风险转移2.4风险控制
3.认证风险的控制:3.1开拓新认证领域和扩大认证业务范围的风险控制;3.2认证受理的风险控制;3.3策划审核方案的风险控制;3.4审核活动实施的风险控制;3.5认证决定的风险控制;3.6认证后风险控制。
4.风险控制分析
六.申诉和投诉处理P201
(一)申诉和投诉的概念
申诉:申诉是指认证申请方或获证组织请认证机构重新考虑其关于认证资格所作决定的正式请求。
与认证有关的申诉的含义与法律意义上的申诉不同,与认证有关申诉处理过程是有认证机构内部管理事项,对申诉的决定有认证机构自己做出,一般不需要外部机构或法庭对申诉作出决定。
投诉:任何组织或个人对认证机构的认证活动表达不满意并期望得到回复的行为。
投诉范围可能涉及:1认证申请方或获证客户或其他外部人员对认证机构的方针、运作过程和认证结果及认证人员的表现的不满意;2外部人员对获证组织的产品、认证证书与认证/认可标志的使用的不满意等。
认证认可中的申诉属于投诉范畴,是一种特定投诉。处理投诉和处理申诉的某些过程可能相同。投诉是"任何人或组织"向"认证机构或其活动"表达不满意期望得到回复的行为。投诉涉及的范围更广,情况更加复杂。
(二)处理申诉和投诉的要求
申诉和投诉的基本要求
建立申投诉接收评价做出评价的过程并形成文件;确定申投诉是否与认证有关;认证机构对申投诉的决定负责;申投诉的调查和决定不应对申投诉人造成歧视;
申诉和投诉处理原则
处理过程至少包括:对接收、确认、调查及决定采取何种应对措施的过程描述;跟踪并记录,包括解决的措施;确保采取适宜的措施。
认证机构在接到申诉或投诉后,应负责收集并验证所有必要的信息,以确认该申投诉是否有效。只要可能,应告知投诉人或申诉人已收到投诉或申诉,并向其提供有关处理进程的报告和处理结果。对送交投诉人或申诉人的决定,应由与申诉或投诉事项无关的人员做出,或由其审查和批准。只要可能,机构应将申诉和投诉处理过程的结果正式通知投诉人或申诉人。
(三)申诉和投诉处理过程
申诉和投诉处理过程包括(注意排序):1.沟通 2.受理 3.原始评估 4.答复及通知处理意见 5.跟踪6.结束投诉
七.许可与授权P203
认证机构开展认证活动必须经过许可和授权,在经过批准的认证领域扩展认证范围需要经过备案。一些特定管理体系认证还应取得认证制度所有者的授权。如AS9100航空,IATF16949汽车,FSSC22000食品,TL9000电讯行业,SA8000社会责任管理体系。
八.认证证书与标志P203
概念、内容、图案及使用
认证证书
认证证书的定义:是指在第三方认证制度的程序下,表明组织的管理体系符合规定的管理体系标准和(或)产品特性符合特定标准,以及其他任何补充规定的文件。
认证证书所包含的内容:获证客户的名称、地理位置;授予认证、扩大或缩小认证范围、更新认证的生效日期;认证有效期和再认证日期;唯一的识别代码;获证客户所用管理体系标准;认证范围;认证机构名称、地址和认证标志;认证用标准;认证徽标、标志、认可标识,互认标识;颁发修改的认证文件,区分新文件和作废文件的方法。
徽标是认证机构使用的一种符号,作为表明其身份的一种形式,通常具有自己的风格。
有些认证机构的徽标和认证标志采用同一图案,有的不同,认证机构应在徽标和认证使用规则中予以明确,防止误用。使用徽标时可以将其放大或者缩小,并大小协调一致,但不得变形和作任何修改。
认证标志是在第三方认证制度的程序下,依法注册的商标或其他受保护的符号,它是按照认证机构的规则颁发的,表明一个组织所运行的体系已被证明为可信并符合某一特定标准的要求。使用徽标时可以将其放大或者缩小,并大小协调一致,但不得变形和作任何修改。
认可标识是依法注册的商标或其他受保护的符号,它是按照认可机构的规则颁发的,表明一个机构所运行的体系已被证明为可信或有关产品或人员符合某一特定标准的要求。
IAF国际互认标识是根据国际认可合作组织的规则授权使用的,表明国际认可合作组织成员及其所认可的认证机构,在规定的领域内具有国际认可合作组织承认的认可或认证能力。
使用的监督管理
认证机构应制定使用的管理方案、使用规则;定期检查使用情况;监督获证组织使用;
九.认可P206
认可是正式表明合格评定机构具备实施特定合格评定工作能力的第三方证明。由认可机构按照相关国家或国际标准,对从事认证、检验、检测等活动的合格评定机构实施评审,证实其满足相关标准要求,进一步证明其具有从事认证、检测和检验等活动的技术能力和管理能力,并颁发认可证书。
认可的作用包括: --证实管理体系认证机构具备实施特定合格评定活动的能力; --增强政府使用管理体系认证结果的信心,减少作出相关决定的不确定性和行政许可中的技术评价环节,降低行政监管风险和成本; --通过与国际组织、区域组织或国外认可机构签署多边或双边互认协议,促进管理体系认证结果的国际互认,促进对外贸易; --促进健康、安全、社会服务等非贸易领域规范性、质量和能力等方面的提高; --帮助管理体系认证机构及其客户增强社会知名度和市场竞争力; --通过对管理体系认证机构进行系统、规范的技术评价和持续监督,有助于管理体系认证机构及其客户实现自我改进和自我完善。
十.互认P206
认可互认机制
认可层面的互认机制是由合格评定认可机构及有意在管理体系、产品、服务、人员和其它相似领域内从事合格评定活动的相关机构共同组建的合作机制。
国际认可论坛(IAF)1993年1月成立,目标:遵循WTO的贸易技术壁垒协定的原则
国际认可论坛多边承认协议(IAF-MLA):19001、22000食品、24001、23331能源、27001信息安全,可以使用。
认证互认机制
认证层面的互认机制是认证机构组成合作组织,通过成员之间的能力互认机制实现认证证书的互认和互换。
国际认证联盟(IQNet) 1990年
第三节 认证机构的管理体系
一.管理体系建立的依据
认证机构需针对管理体系认证建立一个有效的管理体系;认证机构应建立、实施和保持一个文件化的、能够支撑并证实其始终满足认证机构要求的管理体系。
所建立的管理体系至少满足下列要求:
1认证机构要求的通用部分,例如:GB/T27021.1-2017《合格评定 管理体系审核认证机构要求 第1部分:要求》、GB/T27005-2011《合格评定 管理体系的使用 原则和要求》 2认证机构要求的特定领域部分,例如:GB/T27021.2-2017《合格评定 管理体系审核认证机构要求 第2部分:环境管理体系审核认证要求》 3国家认证认可相关制度(如认证机构管理办法、认可规则
二.认证机构管理体系的主要内容6条(P208)
认证机构在建立自身管理体系时,依据战略目标和方向从认证机构管理、资源管理、认证制度管理、认证过程管理;信息管理、测量分析改进等几个方面考虑管理体系的建立;
认证机构管理涉及的主要内容:(12条)
认证机构管理涉及的主要内容: 1.战略与方针目标管理; 2.法律责任; 3.公正性管理; 4.机构风险管理; 5.组织机构; 6.职责; 7.分支机构管理; 8.维护公正性的委员会; 9.管理体系程序; 10.知识管理; 11.保密; 12.文件管理。
资源管理涉及的内容:(9条)
资源管理涉及的内容如下: 1.管理层和认证人员的要求; 2.认证人员管理; 3.对认证人员的能力评价; 4.认证人员的培训; 5.外部审核员和外部技术专家的使用; 6.人员记录; 7.分包机构的管理; 8.认证项目管理软件的管理◇ 9.基础设施与环境管理等
认证制度管理涉及的主要内容(8条):21.5多选
认证领域的开拓和认证范围的扩展; 认证业务范围分类; 技术领域分析; 认证策划准备过程的专业管理; 认证实施过程的专业管理; 批准、拒绝、保持、更新、暂停、恢复或撤销认证、扩大或缩小范围的条件和程序; 认证证书的转换; 认证要求的变更。
认证过程管理涉及的主要内容(11条):21.5多选
可公开获取的认证信息 认证申请的受理评审和批准; 审核准备; 审核活动实施; 审核报告; 复核审核报告; 批准认证; 颁发认证证书; 监督和再认证; 证书标志的使用和管理; 申诉,投诉处理。
信息管理涉及的内容(4条):
1.公开文件及其发布方式; 2.获证客户的变更管理; 3.外部沟通; 4.记录管理。
测量分析和改进涉及的内容(6条)
测量和分析和改进涉及的内容: 1.过程的监视和测量; 2.满意度调查分析; 3.内部审核; 4.管理评审; 5.突发事件与应急措施; 6.不符合控制与纠正措施等;
第四节 认证机构对过程思维的应用
九、认证过程管理21.10多
1、相关子过程:受理与审核方案策划、现场审核、审定发证过程、项目管理过程
2、输入:客户信息、认证要求、外部信息、组织现场运作信息
3、输出:审核方案、计划、范围、报告、证书、方案调整
第六章 管理体系认证能力及认证过程
第一节 管理体系认证业务范围及技术领域分析P214
一、认证业务范围
认证业务范围:分为39大类,280中类和615小类,特定认证业务范围分类,如TL9000电信行业,ISO22000食品安全领域,应考虑认证制度所有者的规定、行业特点和认可机构发布的相应文件。
二、技术领域分析
技术领域:是与特定管理体系及其预期结果的过程共性为特征的领域。
在开展技术领域分析时: 一是要研究39大类的产品或过程的共性特征,不同的产品和过程可能有共性特征; 二是要在同一类产品或过程中研究其差异性,同一类产品还会有工艺技术等因素不同的状况; 三是要考虑认证机构审核员和相关工作人员的专业技术能力,认证人员专业能力水平关系到技术领域划分的粗细; 四是要考虑认证机构的管理方式,管理过程越细化,技术领域划分可能会更宽一些; 五是不同管理体系对产品和过程的划分准则并不相同,QMS重点关注影响产品关键特性的过程及影响因素,EMS重点关注重要环境因素和环境绩效,OHSMS重点关注职业健康安全风险控制。
三、认证风险分级
认证机构可根据技术领域分析和特定管理体系领域的特点,对具体的认证业务范围进行风险分级并加以管理;
由于各类业务活动涉及的人员、过程、场所、环境及法规要求等方面存在差异,技术领域划分也与认证机构的风险相关,因此,认证机构应考虑将业务范围区分为不同风险级别,并加以管理。 认证机构可根据技术领域分析和特定管理体系领域的特点,对具体的认证业务范围进行风险分级。认证业务范围风险级别的表现方式可以是:高风险、中风险、低风险,或一级风险、二级风险、三级风险、有限风险、特殊风险等。风险等级不同,对其控制的方式和程度也不同,如实施高风险业务范围的审核,则要求配备具有相应能力的审核组,审核时间也会更长。
第二节 管理体系认证人员通用能力要求P217
一、通用认证职能
通用认证职能包括:认证申请评审、选择审核组、策划审核活动、审核实施、认证决定。
(一)认证申请评审
认证申请评审的主要职能包括: 1.确定提交的认证申请(合同)是否和认证机构实施的范围相适应(例如认可、监管授权); 2.确定是否存在需要考虑的特殊问题(针对地域、行业、法律、组织等的问题); 3.确定是否存在多场所; 4.确定是否有季节性生产; 5.计算审核时间或结合审核、联合审核所需要的时间; 6.建立认证协议/合同; 7.与客户最终签订认证协议/合同等。
(二)选择审核组
选择审核组的主要职能包括: 1.确定需要的资源(例如:能力、基于审核时间和行业类别数量确定的审核员数量、技术专家和翻译); 2.确定是否有可用的能力资源(例如审核员、技术专家); 3.评审所选用资源(例如审核员)的公正性等。
(三)策划审核活动
策划审核活动的主要职能包括: 1.验证审核范围; 2.评审实施历史状况以进行审核; 3.确认资源需求; 4.确认出行计划; 5.建立或确认审核策略和方法; 6.分配审核组角色、责任和活动; 7.建立审核计划,包括抽样计划; 8.评审审核的后勤安排; 9.考虑历次审核和纠正措施的结果; 10.考虑相关的法规要求; 11.策划审核组准备会等。
(四)审核实施
审核实施主要职能包括: 1.依据要求对文件进行评审; 2.召开首次会议并确认审核相关事项; 3.按照审核计划进行审核; 4.审核组内部沟通; 5.确定所有的不符合项和改进机会; 6.召开末次会并确认相关事项; 7.验证不符合项纠正措施的有效性并完成审核。
(五)认证决定(21.5多)
认证决定主要职能包括: 1.评审做出认证决定必要的报告和其他相关信息; 2.必要时与审核组就审核发现交换意见; 3.做出认证决定等。
二、通用能力要求
认证机构应根据每类管理体系标准的要求,针对每个技术领域和认证过程中的每项职能确定能力准则;
A.2管理体系审核员能力要求; A.3复核审核报告并做出认证决定的人员能力要求 A.4 实施申请评审以确定所需审核组能力、选择审核组并确定审核时间的人员能力要求。(P219-221)
第四节 认证人员能力评价P230
认证机构应在识别认证职能的基础上,依据管理体系认证人员通用能力要求和特定能力要求,确定每项职能的能力准则和评价方法,对认证人员的能力开展评价,并持续地开展评价活动;认证机构对认证人员的评价是一个持续过程;
一、评价流程
对于一些特定行业,基于认证风险考虑,还需要对审核员的专业能力进行评价,必要时,需要聘请技术专家进行相应的专业领域评价。 认证机构对认证人员的评价是一个持续过程,在对认证人员初次评价后,还要定期实施持续监督评价,并在任何有需要的情况下开展评价,如能力扩大评价、专业知识提升评价、认证标准更新后知识评价。

二、评价方法
对认证人员的评价方法通常采用记录审查、意见反馈、面谈、观察和考试五种方式实施评价;
对认证人员的评价方法通常采用记录审查、意见反馈、面谈、观察和考试五种方式实施评价; 记录审查包括:工作经历、审核经历、教育和培训的记录、审核报告、审核的表现评价报告。 意见反馈包括:客户的意见反馈可以显示知识和技能;单个的意见反馈不是令人满意的能力证据; 面谈:面谈可以用来评估语言、沟通和人际技能; 观察:观察能够为能力提供直接证据;定期观察有助于确认持续成长的能力; 考试:笔试可为知识以及技能提供良好的文件化证据。口试可为知识提供良好的证据。实际操作考试可以综合反映人员的知识和技能水平。
第五节 管理体系认证过程P232
一.典型认证流程P232
典型的管理体系认证过程(见P233图6-2)包括以下步骤: 认证前活动、初次认证策划、审核实施、认证决定、监督认证和再认证;
认证前的活动:主要是与认证申请方沟通,对认证事宜理解一致。
初次认证策划:(初次审核策划,包括扩大认证范围),主要是完成初次审核的目的。
审核实施:按照策划的要求,完成第一阶段和第二阶段审核,包括现场审核及现场审核的后续工作。
认证决定:审查与审核目的相关的所有文件,决定是否准予认证,包括对再认证的决定、特殊认证的决定。
监督认证:通过监督审核来完成,在认证证书有效期内,按照认证方案的要求,为保持认证所开展的活动。监督审核可能包括特殊审核。
再认证:在认证证书到期之前,对获证组织持续满足特定管理体系标准或其他规范性文件的认证过程,并决定是否换发新一轮有效期的认证证书。
二.认证前的活动P234
(一)客户与认证机构的信息交流(7条):
认证机构首先应该公开信息,包括: 认证机构的认证资质; 认证流程; 认证申请书与协议书的通用格式; 审核过程相关要求; 授予、拒绝、保持、更新、扩大、缩小、暂停、恢复认证的条件; 投诉和申诉的渠道; 认证证书及认证标志的使用等。
(二)认证申请评审: 1.认证机构应要求申请组织提供必要的信息的目的包括(5条): 2.对申请即信息评审的目的包括(4条):
1.认证机构应要求申请组织提供必要的信息的目的有(5条): 确定申请认证的范围; 确定特定认证方案所要求的申请组织相关详细情况; 确定识别所有影响复合性的外包过程; 确定申请组织寻求认证的标准或其他要求; 确定是否接受过拟认证的管理体系的有关咨询。 2.对申请即信息评审的目的包括(4条): 确保足以建立审核方案; 解决之间任何已知的理解差异; 认证机构有能力实施认证活动; 确保时间和其他影响认证活动的因素。
(三)审核方案和审核时间:
a.认证机构应针对整个认证周期制定审核方案;认证周期的审核方案应覆盖全部管理体系要求;
审核方案的管理人员负有"指导审核活动"的职责。这种指导包括: a为审核组提供适宜的审核指导文件、 b保持与审核组及时有效的沟通、 c随时向审核组提供必要的技术指导以确保所选择的审核方法是适宜有效的。
b.初次审核方案包括两个阶段,初次审核、认证决定之后的第一年与第二年的监督审核和认证到期前进行的再认证审核。第一个三年的认证周期从初次认证决定算起,以后的周期从再认证决定算起。
c.监督审核至少每个日历年进行一次。初次认证的第一次监督审核在认证决定日期起12个月内进行。
d.认证机构应建立文件化的确定审核时间的程序;针对每个客户应确定完整有效审核所需时间。
(四)认证协议:应与每个客户签订具有法律效力并符合认证方案的认证协议。如果客户有多个场所,则应确保认证机构与客户之间具有覆盖认证范围内所有场所的在法律上具有强制实施力的协议。
三.初次认证策划和审核实施P235
一、确定审核目标、范围和号准则P235
根据GB/T 19011标准要求,规定每次审核应基于形成文件的审核目标、范围和准则,并与总体审核方案的目标相一致。
确定审核目的
审核目的是规定每次审核应完成什么,可以包括下列内容: 1.确定所审核的管理体系或其一部分与审核准则的符合程度; 2.评价管理体系的能力,以确保满足法律法规和合同要求,以及受审核方所承诺的其他要求; 3.评价管理体系在实现预期目标方面的有效性; 4.识别管理体系的潜在改进之处; 5.评价受审核方管理体系的背景和战略方向上的适宜性和充分性; 6.评价管理体系在不断变化的背景下,建立和实现目标,并有效应对风险和机遇的能力,包括相关行动的实施。
确定审核范围
审核范围应与审核方案和审核目标相一致。 包括场所地址、组织单元、被审核的活动和过程,以及审核覆盖的时期等内容。
确定审核准则
审核准则作为确定符合性的依据,包括: 管理体系标准;法律法规要求;行业行为规范;受审核方制定方针过程程序关键目标绩效等文件;相关方的要求;
确定审核方法

二、选择审核组P235
审核方案管理人员应指定审核组成员,包括审核组长和特定审核所需要的技术专家。应在考虑实现规定范围内每次审核目标所需要的能力的基础上,选择审核组。如果只有一名审核员,该审核员应承担审核组长的适用的全部职责。
决定审核组规模和组成时应考虑的因素有
决定审核组规模和组成时应考虑的因素有: 1.审核目标、范围、准则和预计的审核时间; 2.审核的复杂性,是否结合、联合或一体化审核; 3.审核的过程的类型和复杂性; 4.所选择的审核方法; 4.实现审核目标所需的审核组整体能力; 5.认证要求(包括任何适用的法律、法规或合同要求); 6.确保客观性和公正性,以避免审核中的利益冲突; 7.语言和文化即受审核语言以及审核方的社会和文化特征;
结合审核或一体化审核的审核组长应至少对一个标准有深入的知识,并了解该审核所使用的其他标准。审核组长和审核员所需的知识和技能可以通过技术专家和翻译人员补充。
审核技术专家、观察员、实习审核员和向导的要求
术专家和翻译人员应在审核员的指导下工作。 1.技术专家:技术专家的选择准则根据每次审核的审核组和审核范围的需要为基础确定。技术专家不应担任审核任务,认证机构应在实施审核前与客户就技术专家在审核活动中的作用达成一致。技术专家可以就审核准备、策划或审核向审核组提供技术支持。 2.翻译人员:选择翻译人员要避免他们对审核产生不正当影响。 3.实习审核员:实习审核员可以参与审核。此时要指派一名审核员作为评价人员。评价人员应有能力接管实习审核员的任务,并对实习审核员的活动和审核发现最终负责。 4.观察员:观察员可以是客户组织的成员、实施见证的认可机构人员、监管人员或其他有合理理由的人员。认证机构与客户应在实施审核前,就审核活动中观察员的到场及理由达成一致。审核组应确保观察员不对审核过程或审核结果造成不当影响或干预。 5.向导的职责主要包括;现场的联络、引导和见证。
审核计划P235
认证机构应确保为审核方案中确定的每次审核编制审核计划,以便为有关各方就审核活动的日程安排和实施达成一致提供依据。不期望认证机构在建立审核方案时,为每次审核都编制审核计划。
审核计划应与审核目标和范围相适应,审核计划至少应包括或引用:
审核计划应与审核目标和范围相适应,审核计划至少应包括或引用: 1.审核目标; 2.审核准则; 3.审核范围,包括识别拟审核的组织和职能单元或过程; 4.拟实施现场审核活动的日期和场所(适用时,包括对临时场所的访问和远程审核活动); 5.预计的现场审核活动持续时间; 6.审核组成员及与审核组同行的人员的角色和职责(例如观察员或翻译)。 应注意的是审核计划的信息可以包含在一个以上的文件中。
认证机构应提前与客户就审核计划进行沟通,并商定审核日期;
初次审核第一阶段P236
管理体系初次认证审核分为两个阶段:第一阶段和第二阶段;
第一阶段主要是收集必要的相关信息,为第二阶段审核的顺利实施做好充分的准备工作,第一阶段审核目的是:
第一阶段的目的是: 1)审核客户的文件化的管理体系信息; 2)评价客户现场的具体情况,并与客户的人员讨论,以确定第二阶段的准备情况; 3)审查客户理解和实施标准要求的情况,特别是对管理体系关键绩效或重要因素、过程、目标和运作的识别情况; 4)收集关于客户管理体系文件范围的必要信息,包括:客户的场所、过程、使用的设备、已建立的控制水平(多场所时)、适用的法律法规要求; 5)评价第二阶段所需资源的配置情况,并与客户商定第二阶段的细节; 6)结合管理体系标准和其他规范性文件充分了解客户管理体系和现场运作,以便为策划第二阶段提供关注点; 7)评价客户是否策划和实施了内部审核与管理评审,以及管理体系的实施程度能否证明客户已为第二阶段做好准备。
认证机构将第一阶段目的是否达成,以及第二阶段是否准备就绪的书面结论告知客户,包括识别任何引起关注的、在第二阶段可能被判定为不符合的问题。认证机构在确定第一阶段和第二阶段的间隔时间时,应考虑客户解决第一阶段识别的任何需关注问题所需的时间。
初次审核第二阶段P236
第二阶段审核的目的:评价受审核方管理体系的实施情况,包括有效性。第二阶段审核应在受审核方的现场进行。具体审核目的和内容是:
第二阶段的目的是评价受审核方管理体系的实施情况,包括有效性。第二阶段审核应在受审核方的现场进行。 1.第二阶段审核的目的 对管理体系审核,主要包括:判断受审核方的管理体系是否符合审核准则的所有要求,管理体系是否得到有效运行,是否有效实施了组织的方针和目标;判断受审核方是否遵守了环境管理体系的各项程序;确定组织的管理体系是否能够通过现场审核,推荐认证注册。 2. 第二阶段审核的重点内容 根据第二阶段的审核目的,第二阶段审核应覆盖体系拟认证范围内的所有部门和活动,关注并重点评价受审核方管理体系和"标准"所有要求的实施情况,包括,对管理体系标准要求的符合性和管理体系运行的有效性。因此,第二阶段审核应在受审核方的现场收集审核证据,并至少覆盖以下方面: (1)与适用的管理体系标准,或其他规范性文件所有要求的符合情况及证据; (2)依据关键绩效目标和指标(与适用的管理体系标准或其他规范性文件的期望一致),对绩效进行的监视、测量、报告和评审; (3)受审核方管理体系的能力以及在符合适用法律法规要求和合同要求方面的 绩效: (4)受审核方过程的运作控制; (5)内部审核和管理评审; (6)针对受审核方方针的管理职责; (7)规范性要求、方针、绩效目标和指标(与适用的管理体系标准或其他规范性文件的期望一致)、适用的法律要求、职责、人员能力、运作、程序、绩效数据和内部审核发现及结论之间的联系。 第二阶段审核完毕后,审核组应根据第一阶段和第二阶段收集到的信息作出整体审核结论。
第二阶段审核过程:包括(9条)召开首次会议;审核中的沟通;获取和验证信息;确认和记录审核发现;准备审核结论;召开末次会议;审核报告;客户对不符合的原因分析;验证纠正和纠正措施的有效性。(结合《审核概论》P69的图3-1)
四.认证决定(P236-237)
定义:是指认证机构对申请组织或客户做出的授予或拒绝认证,扩大或缩小认证范围,暂停或恢复认证,撤销认证或更新认证的决定。
认证机构在做出认证决定之前,审核组至少应向认证机构提供对支持认证决定的相关文件信息,包括(5条):审核报告;对不符合的意见,适用时,还包括对客户采取的纠正和纠正措施的意见;对提供给认证机构用于申请评审的信息的确认;对是否达到审核目的确认;对是否授予认证的推荐性意见及附带的任何条件或评论。
认证决定人员应确保:审核组提供的信息足以确定认证要求的满足情况和认证范围,对于所有严重不符合认证机构已审查、接受和验证了纠正和纠正措施;对于所有轻微不符合,认证机构已审查和接受了客户对纠正和纠正措施的计划。
如认证机构不能在第二阶段结束后六个月内验证对严重不符合实施的纠正和纠正措施,则应在推荐认证前再次实施一次第二阶段。
认证决定完成后,认证机构可以向认证客户颁发认证证书,同时,认证机构还应将客户的认证信息向国家监管部门备案。
五.监督活动(P237)
为使获证客户保持认证状态,认证机构应在认证证书有效期内对认证客户实施年度监督审核。认证机构需要对监督活动进行设计以,以便定期对管理体系范围内有代表性的区域和职能进行监视,包括获证客户及其管理体系的变更情况。当认证机构在监督活动中发现有任何严重不符合、重大管理体系事故或其他导致暂停或撤销认证的情况时,认证机构应对其进行复核,以确定能否保持认证,认证机构对监督活动中的肯定性结论无需再进行独立复核和决定。
监督活动包括:日常监督、年度监督审核、特殊审核以及监督活动可能导致的获证客户的认证暂停、撤销或缩小认证范围。
年度监督审核至少每日历年进行一次,初次认证后的第一次监督审核,在认证决定日期起12个月内进行监督审核,监督审核是现场审核,但并不一定是对整个体系的审核。 每次监督审核应包括的主要监督内容有(8条):
每次监督审核应包括的主要监督内容有(8条): 内部审核和管理评审; 对上次审核中确定的不符合采取的措施; 投诉的处理; 管理体系在实施获证客户目标和各管理体系的预期结果方面的有效性; 为持续改进而策划的活动的进展; 持续的运作控制; 任何变更; 标志的使用和任何其他对认证资格的引用。
特殊审核:认证机构可能对获证客户实施特殊审核的情况:
出现下述情况时,认证机构可能对获证客户实施特殊审核: (1)扩大管理体系认证范围,包括认证区域的变更。 (2)认证准则的重大变更,如管理体系标准要求、与认证直接相关的法律法规、获证客户体系文件等认证准则的重大变更。 (3)任何运行的重大变更,如重大工艺的变更。(4)重大管理体系事故、重大相关方投诉等。(5)国家认证认可监管部门有要求时。 (6)认证机构依据日常监督活动所收集的信息,认证有必要时。
暂停、撤销或缩小范围审核
认证机构只要发现获证客户有以下情况(但不限于)时,认证机构将暂停其认证资格: (1)客户的获证管理体系持续地或严重地不满足认证要求,包括对管理体系有效性的要求。 (2)获证客户不允许按要求的频次实施监督或再认证审核。 (3)获证客户主动请求暂停。 在暂停期间,客户的管理体系认证暂时无效。如果造成暂停的问题已解决,认证机构将恢复被暂停的认证。如果客户未能在认证机构规定的时限内解决造成暂停的问题,认证机构将撤销或缩小其认证范围。多数情况下,暂停将不超过6个月。 如果客户在认证范围的某些部分持续地或严重地不满足认证要求,认证机构将缩小其认证范围,以排除不满足要求的部分。认证范围的缩小应与认证标准的要求一致。
六.再认证
初次认证后的第三年,在获证客户认证到期前进行的审核属于再认证审核。第一个三年的认证周期从初次认证决定算起,以后的周期从再认证决定算起。
当管理体系、组织或管理体系的运作环境(如法律的变更)有重大变更时,再认证审核活动可能需要有第一阶段。此类变更可能在认证周期内任何时间发生,认证机构可能需要实施特殊审核;
再认证审核是现场审核,审核的内容至少包括:
再认证审核是现场审核,审核的内容至少包括: (1)结合内部和外部变更来看的整个管理体系的有效性,以及认证范围的持续相关性和适宜性。 (2)经证实的为保持管理体系有效性而改进管理体系,以提高整体绩效的承诺。 (3)管理体系在实现获证客户目标和管理体系预期结果方面的有效性。 再认证时,对于严重不符合的情况,认证机构需要规定实施纠正与纠正措施的时限。这些措施应在认证到期前得到实施和验证。
第七章 管理体系专项认证技术
第一节 审核方案管理在认证过程中的应用P240
对认证机构而言,审核方案管理是认证管理的重要部分,贯穿认证活动的始终;
一、审核方案定义P241
审核方案是指“针对特定时间段所策划并具有特定目的的一组(一次或多次)审核安排。例如:就管理体系来说,审核方案就是认证机构与认证客户之间合同规定的时间周期内,为确定认证客户的管理体系满足标准而策划的一组(一次或多次)审核,至少包括:初次认证、监督和再认证活动所策划的一组审核。
认证方案与审核范围、审核计划考虑的事项是密切相关的; 认证方案管理主要涉及(管认基P241):认证机构的申请评审人员、认证项目管理人员、审核组长和认证决定人员等。 审核方案管理主要涉及(审核概论P21):认证机构的合同评审人员、专业能力评价人员、审核组长、认证决定人员等。
审核方案的内容应包含以下信息:
GBT19011 审核方案管理人员应确保保持审核的完整性,并确保审核没有被施加不当影响。审核应优先考虑将资源和方法分配给管理体系中内在风险较高和绩效水平较低的事项。应指派有能力的人员来管理审核方案。 审核方案应包括以下信息,并识别资源,以使审核能够在规定的时限内有效和高效地实施:a) 审核方案的目标; b)与审核方案有关的风险和机遇(见5.3)及应对措施; c)审核方案内每次审核的范围(详略程度、边界、地点); d) 审核的日程安排(数量/持续时间/频次); e)审核类型,如内部或外部; f)审核准则; g)拟采用的审核方法; h) 选择审核组成员的准则; i)相关的成文信息。 在更详细的审核策划完成之前,上述的某些信息可能无法获得。 应持续监视和测量审核方案的执行情况(见5.6),以确保实现其目标。应评审审核方案,以识别变更的需求和可能的改进机会(见5.7)。 图1所示是审核方案的管理流程。
二、确立审核方案目标P241
审核方案的目标是指:审核的委托方通过实施审核方案中的一组审核所要达到的目的。
审核方案目标需考虑的内容包括:(22.7二场多选)
审核方案的目标应该与审核客户的战略方向和管理体系的方针和目标保持一致,目标需考虑的内容包括: 1.利益相关方的需求和期望,包括外部的和内部的; 2.过程、产品、服务和项目的特性和要求,以及它们的任何变更; 3.管理体系要求;主要是对审核准则的确定; 4.对外部供方评价的需要; 5.受审核方的业绩水平和管理系统的成熟度等级; 6.已识别认证客户的风险和机会; 7.以往审核的结果等。
审核方案目标的示例可包括:
审核方案目标的示例可包括:GBT19011 1.识别改进管理体系及其绩效的机会; 2.评价受审核方确定其所处环境的能力; 3.评价受审核方确定风险和机遇以及识别和实施有效措施以应对这些风险和机遇的能力; 4.符合所有相关要求,例如法律法规要求、合规承诺、管理体系标准的认证要求; 5.获得并保持对外部供方能力的信任; 6.确定受审核方管理体系的持续适宜性、充分性和有效性; 7.评价管理体系目标与组织战略方向的相容性和一致性。
三、识别和评价审核方案的风险P241
GB/T 19011中明确以下事项可能存在风险:
对审核方案的管理,从有效性的角度看,其实质体现的就是风险管理思想,如审核策划的风险,审核过程中的风险,在通过样本审核评价总体时,客观地存在着抽样的合理性和审核的有效性以及评价的客观性及综合因素所带来的风险等。 GB/T 19011中明确以下事项可能存在风险: 1.策划,例如未能确定相关的审核目标和确定审核的范围、审核频次、持续时间、地点和日程安排; 2.资源,例如缺乏足够的时间、装备、培训来制订审核方案或实施审核; 3.审核组的选择,例如审核组不具备有效地实施审核的整体能力; 4.沟通,例如没有有效地沟通审核方案,或不考虑信息安全和保密性; 5.实施,例如抽样方案的合理性以及样本的代表性; 6.对成文信息控制,例如无法确定审核员和相关利益方所需的必要成文信息,未能适宜地保护用于证明审核方案有效性的记录以证明方案的有效性; 7.监督、评审和改进审核方案,例如没有有效地监视审核方案的结果; 8.受审核方的协助与配合以及抽样的证据的可获得性;
与方案制定和实施有关的风险具体例子如下:
与方案制定和实施有关的风险具体例子如下: 1.审核范围界定错误、遗漏产品或过程、超认可业务范围等; 2.审核时间不充分,如涉及专业审核的设计和制作安排时间短; 3.审核组的构成不合理,不具备能力,专业性缺乏,大型审核中的专业审核员少,无法覆盖充分; 4.审核组内部无有效的沟通机制,审核前中无沟通,仅传递不符合项信息; 5.审核准备不充分,企业运行环境和产品特点不清楚,工作文件准备不充分; 6.审核计划不合理,任务分配不当;审核方案长期无改进和动态更新;审核时企业管理层不在现场,由部门领导接受审核; 7.现场审核时,审核员缺少审核技能,审核仅为符合性评审,缺少对有效性和适宜性的审核能力;审核过程中的抽样不具有代表性;缺乏应有的通过样本审核评价总体能力。 FMEA 潜在失效模式和后果分析工具可用在审核方案的风险控制上,利用质量工具来预防潜在风险,分析失效的起因和机理,制定出有效的控制措施,降低风险。因审核的要求多、过程复杂、社会预期强烈,如能有效利用FMEA工具,会得到较多的潜在失效模式,可系统防范风险。 为了更好地避免审核方案实施中的风险,增加审核方案的价值,使审核组的能力水平与实现审核目标所需的能力水平相匹配,应在审核方案的策划过程中强化风险管理的意识,分析风险和机遇,并始终将风险控制措施嵌入审核方案合理的过程中予以有效实施。
改进审核方案的机会可包括:
改进审核方案的机会可包括:GB/T 19011 1.允许在一次访问中进行多个审核; 2.尽量减少到达场所的时间和距离; 3.将审核组的能力水平与达到审核目标所需的能力水平相匹配; 4.将审核日期与受审核方关键人员的时间相协调。
四、建立审核方案P242
(一)明确审核方案管理人员的岗位和职责
审核方案管理人员的岗位和责任有: 1)根据有关目标和已知的限定条件,确定审核方案的目标、范围、准则; 2)确定可能影响审核方案的外部和内部因素以及风险和机会,采取行动并纳入审核方案中; 3)确定审核方法和选择审核小组,通过分配岗位、职责和权限,确保审核活动的整体能力; 4)建立所有相关过程,包括协调和安排所有审核工作;评估审核员建立适当的外部和内部沟通程序;争端的解决和申诉处理;审核跟踪;根据需要向审核客户和相关方报告; 5)确定并确保提供所有必要的资源; 6)确保编制和维护适当的文件化信息; 7)监测、评审和改进审核方案; 8)与审核客户和相关利益方沟通审核方案; 审核方案管理人员应就相关内容征得审核客户的同意。
(二)审核方案管理人员的能力
审核方案管理人员应具有有效和高效地管理方案及其相关风险和机遇以及外部和内部因素的必要能力,包括以下知识: GBT19011 a.审核原则(见第4章)、方法和过程(见A.1和A.2); b.管理体系标准、其他相关标准和参考/指导文件; c.关于受审核方及其所处环境的信息(例如,受审核方的外部/内部因素、有关相关方及其需求和期望、业务活动、产品、服务和过程); d.适用于受审核方业务活动的法律法规要求和其他要求。 适当时,可以考虑风险管理、项目和过程管理以及信息和通信技术(ICT)的知识。 审核方案管理人员应参与适当的持续提升活动,以保持管理审核方案的必要能力。
(三)确定审核方案的范围
GBT19011 审核方案管理人员应确定审核方案的范围和详略程度,这取决于受审核方提供的关于其所处环境的信息(见5.3)。 注:在某些情况下,根据受审核方的结构或活动,审核方案可能只包括一次审核(例如一个小型项目和组织)。 影响审核方案范围和详略程度的其他因素可包括: a)每次审核的目标、范围、持续时间,以及审核次数和报告方式,适用时,还包括审核后续活动; b)管理体系标准或其他适用准则; c)受审核的活动的数量、重要性、复杂性、相似性和地点; d)影响管理体系有效性的因素; e)适用的审核准则,例如有关管理体系标准的经策划的安排、法律法规要求以及组织承诺的其他要求; f) 以往的内部或外部审核和管理评审的结果,如适用; g)以往审核方案的评审结果; h)语言、文化和社会因素; i)相关方的关注点,例如顾客投诉、不符合法律法规要求和组织承诺的其他要求,或供应链因素; j) 受审核方所处环境或其运行以及相关风险和机遇的重大变化; k)支持审核活动的信息和通信技术的可用性,尤其是使用远程审核方法的情况(见A.16); l)内部和外部事件的发生,如产品或者服务不合格、信息安全泄密事件、健康和安全事件、犯罪行为或环境事件; m)业务风险和机遇,包括应对它们的措施。
(四)确定审核方案的资源
GBT19011 在确定审核方案的资源时,审核方案管理人员应考虑: a)开发、实施、管理和改进审核活动所需的财务和时间资源; b) 审核方法(见A.1); c)具备适合特定审核方案目标的能力的审核员和技术专家的个人和整体的可用性; d)审核方案的范围和详略程度(见5.4.3)及审核方案的风险和机遇(见5.3); e)旅途时间和费用、住宿及其他审核需求; f) 不同时区的影响; g)信息和通信技术的可用性(例如,利用支持远程协作的技术来建立远程审核所需的技术资源); h)需要的任何工具、技术和设备的可用性; i)在建立审核方案期间确定的必要成文信息的可获得性(见A.5); j)与设施有关的要求,包括任何安全许可和设备(例如,背景调查、个人防护装备、穿戴洁净室服装的能力)。
五、实施审核方案P243
(一)审核方案管理人员的活动:开展的主要工作有:
GBT19011及审核概论P37 审核方案管理人员应: a) 利用既定的外部和内部沟通渠道,将审核方案的有关部分,包括所涉及的风险和机遇向有关相 关方沟通,并定期向其通报审核方案的进展情况; b) 规定每次审核的目标、范围和准则; c)选择审核方法(见A.1); d) 协调和安排审核和与审核方案有关的其他活动; e) 确保审核组具备必要的能力(见5.5.4); f)向审核组提供必要的人员和总体资源(见5.4.4); g) 确保审核按照审核方案进行,管理在方案部署期间出现的所有运行风险、机遇和因素(即非预 期事件); h) 确保有关审核活动的相关成文信息得到妥善管理和保持(见5.5.7); i)规定和实施监视审核方案所需的运行控制(见5.6); j)评审审核方案,以识别其改进机会(见5.7)。
(二)规定每次审核目的、范围、准则和审核方法
(二)规定每次审核目的、范围、准则和审核方法 每次审核都应基于确定的审核目的、范围和标准,应与总体审核方案目标一致。每次审核目的可能包括以下内容: 1.确定拟审核的管理体系或其一部分是否符合审核准则; 2.评价管理体系的能力,以确保协助组织满足相关法律法规要求和组织承诺的其他要求的能力; 3.评价管理体系在满足预期结果方面的有效性; 4.识别管理体系潜在的改进机会; 5.根据受审核方所处环境和战略方向评价管理体系的适宜性和充分性。 审核范围应当与审核方案和审核目的相一致。它包括被审核的地点、职能、活动和过程等因素,以及审核所涵盖的时期。 审核准则用作确定符合性的依据,可能包括适用的方针、过程、程序、绩效标准、目标、法律和监管要求,管理体系要求,由审核组确定的所处环境、风险和机遇相关的信息(包括外部/内部相关方的需求),行业行为准则或其他策划的安排。 在审核目的、范围或准则发生变更时,也应修改审核方案,并通知有关方面。当同时审核多个管理体系时,审核目的、范围和标准必须与每个管理体系的相关审核方案一致。 审核可以在现场、远程或两个方式结合进行。这些方法的使用在考虑相关风险和机会的基础上适当平衡。
(三)审核组成员的选择
审核方案管理人员应指定审核组成员,包括审核组长和特定审核所需的任何技术专家。 选择审核组应考虑在规定的范围内实现每次审核目标所需的能力。如果只有一名审核员,该审核员应履行审核组长的所有适用职责。 为确保审核组的整体能力,应实施以下步骤: 识别实现审核目标所需的能力; 一选择审核组成员,以便使审核组具有必要的能力。 在确定具体审核的审核组规模和组成时,应考虑以下事项:(同内容参见审核概论P36) 1) 考虑到审核范围和准则,实现审核目标所需的审核组整体能力; 2) 审核的复杂程度; 3) 审核是否是多体系审核或联合审核; 4) 所选择的审核方法; 5) 避免审核过程中的任何利益冲突,确保客观性和公正性; 6) 审核组成员工作能力以及与受审核方代表和有关相关方互动的能力; 7) 相关的外部/内部因素,如审核语言,以及受审核方的社会和文化特性,这些因素可以通过审核员自身的技能或通过技术专家的支持予以解决,同时考虑到对翻译的需求; 8) 拟审核的过程的类型和复杂程度。 在适当情况下,审核方案管理人员应就审核组的组成与组长协商。 同内容参见审核概论P36
(四)为审核组长分配每次的审核职责
GBT19011和审核概论P38 为审核组长分配每次的审核职责: 审核方案管理人员应向审核组长分配实施每次审核的职责。为确保审核工作的有效策划,应在计划的审核日期之前的足够时间内分配审核职责。为确保有效实施每次审核,应向审核组长提供以下信息: a) 审核目标: b)审核准则和相关文件化信息; c) 审核范围,包括受审核的组织及其受审核的职能和过程的识别: d) 审核过程和相关方法; e)审核组的组成: f)受审核方的联系方式、审核活动的地点、时间段和持续时间; g) 实施审核所必需的资源: h) 评价和应对所识别的风险和机遇以实现审核目标所需的信息: i) 支持审核组长与受审核方就审核方案有效性进行互动的信息。 适当时,分配信息还应包括以下内容: a在审核员或受审核方或双方的语言不同的情况下,审核工作和报告的语言: b所需要的审核报告输出及其发放对象: c审核方案所要求的与保密和信息安全有关的事项; d对审核员的任何健康、安全和环境安排; e出行或访问远程场所的要求: f任何安全和授权要求: g任何需要评审的行动,例如以往审核的后续行动: h与其他审核活动的协调,例如,不同的审核组在不同地点审核相似或相关的过程或联合审核。 在实施联合审核时,在开始审核之前,重要的是,实施审核的组织间就每一方的具体责任,尤其是关于被任命的审核组长的权限达成一致。
(五)管理审核方案结果
审核方案管理人员应确保实施以下活动得到实施: a)对审核方案内的每次审核的目标的实现进行评价; b)评审和批准关于审核范围和目标的达成情况的审核报告; c)评审针对审核发现所采取的措施的有效性; d)向有关相关方分发审核报告; e)确定任何后续审核的必要性。 适当时,审核方案管理人员应考虑: a将审核结果和最佳实践与组织的其他区域进行沟通 b对其他过程的影响。 同内容参见审核概论P40
(六)管理和保持审核方案记录
审核方案管理人员应确保审核记录的形成、管理和保持,以证明审核方案的实施;应建立过程以确保与审核记录相关的信息安全和机密需求得到满足。 记录应包括以下内容: 1. 与审核方案有关的记录,例如:审核时间表、审核方案目标和范围、处理审核方案风险和机会以及有关的外部和内部问题、评审审核方案的有效性; 2. 与每次审核有关的记录,例如:审核计划和审核报告、客观的审核证据和审核发现、不合格报告、纠正和纠正措施报告、审核后续活动报告; 3. 审核组涉及以下主题的相关记录:审核组成员的能力和绩效评价、审核组、审核组成员和审核组组成的选择条件、能力的保持和提高。 记录的形式和详细程度应证明审核方案的目标已经实现。 同内容参见审核概论P40
六、审核方案的评价与改进P245
修改审核方案的因素
修改审核方案:影响审核方案的因素有: 审核委托方因素: 1审核发现; 2审核范围或审核方案范围; 3标准和组织承诺其他要求; 4审核方案的有效性; 5已识别的利益冲突; 6审核委托方的要求; 受审核方因素: 1受审核方的管理体系; 2已证实的受审核方管理体系的有效性和成熟度; 3外部供方;
评审改进审核方案
改进审核方案的输入信息包括: --监视审核方案的结果和趋势; --符合审核方案过程和相关文件化信息; --利益相关方不断变化的需求和期望; --审核方案记录; --其他或新的审核方法; --评价审核员的备选方法或新方法; --处理与审核方案有关的风险和机会以及内部和外部问题的行动的有效性; --与审核方案有关的机密性和信息安全问题。 审核概论P42-43
第二节 认证范围与审核范围确定方法P246
一.认证范围P246
认证范围定义:认证范围是第三方认证机构提供证明,承担证明责任的范围,要在认证文件或证书上准确表达。
认证文件或认证证书上认证范围信息包括:(2021.5问答题)
认证文件或认证证书上认证范围信息包括: 1)获证客户的名称和地理位置,对于多场所情况,认证范围包括总部和所有场所的地理位置; 2)与活动、产品和服务类型等相关的认证范围,包括每个场所相应的活动、产品和服务范围; 3)获证客户所使用的管理体系标准和(或)其他规范性文件,包括发布状态标识(修订时间和编号); 4)认证生效日期,认证有效期或与认证周期一致的应进行再认证的日期; 5)授予认证、扩大或缩小范围、更新认证的生效日期。
二.审核范围P247
审核范围定义:审核范围是审核的内容和界限。
审核范围通常包括对实际位置、组织单元、活动和过程,以及审核所覆盖的时期的描述。(2021.5问答题)
三.认证范围与审核范围的区别与联系P248,见表7-1(2021.5问答题)

第三节 审核时间的确定方法P248
一.基本概念
审核时间在认证管理中表现为人日,每个管理体系都规定了审核时间的计算方法,但都以管理体系的有效人数及其他因素为基础,先计算初次审核时间,然后再计算其他类型的审核时间。
(一)审核时间
审核时间:是为客户组织策划和完成一次完整且有效的管理体系审核所需要的时间。 审核时间包括在客户有形或虚拟的场所现场的总时间,以及在现场以外实施策划、文件审查、与客户之间的活动和编写审核报告等活动的时间。在不考虑增加和减少审核时间的因素下,初步确定的时间为基准时间。旅途(往返途中或在场所之间的途中)以及其他任何中断休息不能计入现场的管理体系认证审核时间。管理体系认证审核时间是审核时间的一部分,包括从首次会议到末次会议之间实施审核活动的所有时间。
(二)审核人日
审核人日:一个人日通常为8小时,是否包括午饭休息时间以当地法定要求为准,并且不应通过增加每个工作日的工作小时数来减少审核人数;考虑到对倒班活动进行高效的审核,可能需要在一个工作日中增加小时数。
(三)有效人数:包括认证范围内涉及的所有人员(含每个班次的人员及倒班人员),包括认证范围内的非固定人员(如:承包商人员)和兼职人员。
二.初次审核时间(P249-250)
(一)基准审核时间的确定:初次审核包括第一阶段和第二阶段审核,对于多数需在现场实施第一阶段审核的情况,第一阶段现场审核所需的审核员时间不宜少于1个审核人日。对于人数较少(少于10人)、风险较低的受审核组织可适当降低至0.5人日。 对于已经实施了第一阶段现场审核的项目,第二阶段现场审核时间不宜低于第一阶段和第二阶段总的现场审核时间的70%;现场审核时间不低于总审核时间的80%;部分非现场实施第一阶段审核的情况,第二阶段现场审核时间不宜低于总审核时间的80%-90%。
(二)增加审核时间的因素
(二)增加审核时间的因素 在确定基准审核时间的基础上,可能增加审核时间的因素包括: 1)审核地点多于一个工作场所: 2)员工使用多于一种的语言,需要翻译才能完成审核工作; 3)与人员数量相比,工作场所现场很大,如一个工业园区; 4)受法规管制的程度较高,如食品、药品、航天、核能等领域: 5)体系覆盖着高度复杂的过程或数量较多的互不相同的活动: 6)需要访问临时场所,以确认拟认证管理体系中的常设场所的活动; 7)外包职能或过程: 8)高风险的活动,相关管理体系规定的高风险行业: 9)相关方的意见: 10)所属行业的特点,如高用能行业、环境保护敏感行业: 11)其他有必要增加审核时间的间接因素。
(三)减少审核时间的因素
(三)减少审核时间的因素 在确定基准审核时间的基础上,可能减少审核时间的因素包括: 1)认证标准的体系范围不适用的其他要素,如质量管理体系中不含有设计过程: 2)与人员数量相比,现场很小; 3)体系运行成熟: 4)对认证客户的管理体系已有的了解。如同一认证机构在已认证管理体系标准的基础上,又增加管理体系标准的认证; 5)客户为认证所作的准备。如已经获得另一个第三方合格评定制度的认证或承认; 6)多个管理体系整合程度: 7)自动化程度高: 8)有一部分员工在组织的场所外工作,例如销售人员、司机、服务人员,并且有可能通过记录审查来对其活动是否符合体系要求进行充分地审核; 9)活动的风险、复杂程度低、过程单一; 10)倒班员工从事相同的活动,且有适当证据表明所有班次的表现相同。
三.监督审核时间
每年监督审核的总时间为初次审核(一阶段+二阶段)时间的1/3,监督审核通常情况下不少于1个审核人日,否则会影响审核的有效性。
四.再认证审核时间
再认证审核时间为初次认证审核(一阶段+二阶段)时间的2/3,再认证审核通常情况下不少于1个审核人日,否则会影响审核的有效性。
五.临时场所审核时间
根据风险评估的结果来确定是否需要访问临时场所及抽样的范围和程度;对临时场所需要进行现场审核,可以考虑用下列方法代替一部分现场审核:通过面对面或过电视电话会议方式;对临时场所的活动实施文件评审;远程访问与临时场所有关的记录或其他信息的电子化场所;使用电视电话会议或其他技术实施有效的远程审核。
六.多场所的审核时间
对管理体系运行覆盖多个场所的情况,首先要确定是否允许抽样(相似活动场所可以抽样)。除非特定认证方案另有规定,单个被抽样场所审核时间的减少量不应超过50%。通常运行审核时间减少量最大为30%。
第四节 多场所审核与认证方法P252
一、基本概念P252
存在多场所的组织,应具有统一的管理体系、统一实施集中的管理评审和所有场所服从组织的内部审核程序;
(一)中心职能:
中心职能:是指对管理体系负责并对管理体系集中控制的职能;
中心职能是实施控制并得到组织最高管理者授权,对所有场所产生影响的职能,并没有要求中心职能仅处于某个单一场所;
中心职能可能是在认证客户的总部实施,也可能不在总部实施。
(二)虚拟场所:虚拟场所指客户组织完成工作或提供服务所用到的,允许处于不同物理地点的人员执行过程的在线环境。
当某过程必须在某一有形环境实现时,则不能将其考虑为虚拟场所,如:仓储、物理检测实验、安装或维修有形产品。
虚拟场所的一个例子是,一个设计和开发组织的所有员工在远程位置开展工作,在云环境中工作。
一个虚拟场所(如一个组织的内部网络)被当一个独立场所来计算审核时间。
(三)常设场所
1.常设场所是指认证客户持续进行工作或提供服务的场所(有形或虚拟);
2.场所可以包括所有土地,在其上的特定地点实现组织所控制的过程、活动,包括任何相关联或附属的仓库,用以储存原材料、副产品、中间产品、最终产品和废料,以及上述过程、活动涉及的任何固定的或活动的设备或设施。
3.如果法律有要求,场所的定义应以国家或地方的相关注册登记制度的定义为准。
4.在无法确定地点时(如某些服务提供过程),认证的覆盖范围宜考虑组织总部的过程、活动以及服务的交付;
5.适用时,认证机构可以决定仅在组织交付服务的地方进行认证审核。此时,认证机构应识别并审核所有与中心职能有关的接口。
(四)临时场所
1.临时场所是指客户组织为在有限时期内进行特定工作或提供服务而设立的场所(有形或虚拟),该场所不准备作为常设场所;
2.认证机构应通过抽样对组织管理体系覆盖的临时场所进行审核,以获得管理体系运行和有效性的证据;
3.当认证机构和认证客户协商一致时,多场所认证的范围以及认证文件中也可以包括临时场所。当认证文件中显示临时场所时,应注明该场所是临时的。
(五)多场所组织:是指组织有一个确定的中心职能(不一定是组织的总部)来策划、控制或管理某些活动,并且有一个由地方办公室或分支(即场所)组成的网络来实施(或部分实施)这些活动。
某单一管理体系覆盖的一个组织,其构成包括经识别的中心职能以及多个场所,中心职能对某些过程、活动进行策划和控制,在多个场所(常设的、临时的或虚拟的)中这些过程、活动得到全部或部分实施。
多场所组织的例子:以特许经营方式开展业务的组织;有一个销售办事处的网络的制造企业;服务企业有多个场所,各场所提供相似的服务;有多个分支的企业。
(六)子范围:是指单个场所的范围。单个场所的范围可能与多个场所组织的全部范围相同,但也有可能是多场所组织范围的一小部分。
二、多场所组织认证的条件P253
1.多场所组织认证要求组织已确定其中心职能。
2.中心职能是组织的一部分并且不被分包给外部的职能。
3.中心职能获得组织的授权以规定、建立并保持统一的管理体系,统一管理体系实施集中的管理评审、所有场所服从组织的内部审核程序。
4.中心职能负责收集和分析来自所有场所的数据,并且能证明其权威和能力,以便在需要时变更管理体系,这些变更包括:
1.体系文件;
2.体系;
3.管理评审;
4.投诉;
5.纠正措施的评价;
6.内部审核的策划和对结果的评价;
7.与适用标准有关的法律法规要求等。
三、多场所组织的抽样审核P253
1、条件:当每个场所均运行非常相似的过程、活动时,允许对这组场所进行抽样。并非所有满足“多场所组织”定义的组织都具备抽样的资格,也不是所有的管理体系标准都适合多场所认证。
2、抽样准则:一部分按照“多场所抽取有代表性的场所应考虑的因素”来抽取,同时一部分要进行随机抽取(至少25%的样本应随机抽取); 应选取有代表性的不同场所,选择应考虑场所之间的差异尽可能大;确保认证范围内覆盖的所有过程都能被审核到,同时覆盖不同风险等级、规模及不同分权制度的场所。
多场所抽取有代表性的场所应考虑的因素
1.对拟认证组织的了解程度。包括:
①投诉记录以及纠正和预防措施的其他相关方面;
②上次认证审核后的变化;
③各场所在规模上的显著差
④在倒班安排和工作程序上的差异;
⑤文化、语言和法律法规方面的差
⑥地理位置的分散程度;
⑦场所是常设的、临时的或虚拟的。MP254
2.管理体系的成熟度。包括组织的理解程度【管认基】【成熟】
3.特定管理体系的关注点【特定】
4.与敏感问题的相互作用关系【敏感】
5.相关方的关注和意见【相关】
6.现场规模和管理体系的复杂程度。【管认基:管理体系以及在场所实施过程的复杂程度】【复杂】
7.内部现场检查、集中的内部审核和以前管理评审的结果与报告中的信息。【管认基:场所内部审核、管理评审或以前认证审核的结果】【内管】
8.组织的运作方式、职能的重复性、活动的差异性、人员的现场分布与轮班等情况【详细】
3、抽样数量:
认证机构有形成文件的程序用于确定抽样数量,并考虑本部分描述的所有因素。认证机构对每个多场所组织的每次抽样都要形成记录,证明其操作符合要求。
每次审核最少访问的场所数量是:
1.初次认证审核:样本的数量应为场所数量的平方根(y=√x),计算结果向上取整为最接近的整数,其中,y 为将抽取场所的数量、x为场所总数。
2.监督审核每年的抽样数量应为场所数量的平方根乘以0.6,即(y=0.6√x),计算结果向上取整为最接近的整数。
3.再认证审核:样本的数量应与初次审核相同。然而,如果证明管理体系在认证周期中是有效的,样本的数量可以减少至场所数量的平方根乘以数0.8,即(y=0.8√x),计算结果向上取整为最接近的整数。
在初次认证审核、每次再认证审核以及作为监督的一部分在每年至少一次审核中,都应对中心职能进行审核;
当认证机构对拟认证或获证管理体系涵盖的过程、活动进行风险分析,对涉及下列因素的特殊情况,应增加抽样的数量或频率:
1.场所的规模和员工的数量﹣﹣一个场所多于50人
2.过程、活动以及管理体系复杂程度和风险水平;
3.工作方式的差异(如:倒班);
4.所从事过程、活动的差异;
固有的
5.投诉记录,以及纠正措施和预防措施的其他相关方面;
6.与跨国经营有关的任何方面;
7.内部事核和管理评审的结果;
外在的及内审管评
一些管理体系(如食品安全管理体系)有多场所抽样专用规则的,认证机构应按照专用规则抽样;
4、增加场所:
如以认证的多场所组织增加一个或多个新场所,认证机构在确定证书中增加这些新场所前先要考虑是否审核新场所;
新场所纳入证书后,需重新确定后续监督审核或再认证审核的抽样数量。
5、多场所组织的审核安排
1.在不适合场所抽样的条件下,审核方案包括对所有场所的初次认证审核和再认证审核
2.在监督审核中,每年应覆盖30%的场所(向上取整至整数),每次审核都应包括中心职能。
3.第二次监督审核选取的场所在随机抽样部分通常不同于第一次监督审核所选取的场所。
4.在适合场所抽样的条件下,应按照可抽样部分和组织中剩余不适用抽样的场所建立整体的审核方案。
四.多场所审核与认证P256
认证机构应建立形成文件的程序以处理其多场所审核相关事宜。这些程序使认证机构自身确信统一管理体系控制着组织的全部场所的过程、活动,并且统一管理体系在全部场所中得到实际应用。
(一)申请与申请评审(多场所):MP256
认证机构获取有关申请组织的必要信息,包括:
1.确认组织部署了统一的管理体系;
2.纳入考虑的其他相关因素(如确定管理体系审核时间、一体化管理体系审核);
3.识别管理体系覆盖的过程、活动的复杂程度和规模范围(如一个或多个);
4.确定管理体系运行范围及寻求认证的范围,以及适用时的子范围:【3范围】
总体情况
5.理解每个场所的法律与合同安排;--场所的属性
6.理解在哪里发生了什么,即:确定每个场所提供的过程、活动,并识别中心职能;
7.确定向所有场所提供的过程、活动(如采购)的集中化程度;
8.确定在不同场所之间的接口;
9.确定哪些场所适用抽样(即哪些场所提供非常相似的过程、活动),哪些场所不具备抽样资格;
分场所情况
10.确定组织的审核时间;
11.确定审核组的能力要求;
审核方情况
认证申请的评审(通用)MP234
a.认证机构应要求申请组织提供必要的信息,以便认证机构确定:
1.申请认证的范围;
2.特定认证方案所要求的申请组织的相关详细情况,包括其名称、场所的地址、过程和运作的重要方面、人力资源和技术资源、职能、关系以及任何相关的法律义务;
3.识别申请组织采用的所有影响符合性的外包过程;
4.申请组织寻求认证的标准或其他要求;
5.是否接受过与拟认证的管理体系有关的咨询;--公正性
b.认证机构需要对认证申请及补充信息进行评审,以确保:
1.关于申请组织及其管理体系的信息足以建立审核方案;
2.解决认证机构与申请组织之间任何已知的理解差异;
3.认证机构有能力并能够实施认证活动;
4.考虑申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证活动的因素;
c.基于申请评审的结果,认证机构确定接受或拒绝认证申请。当拒绝认证申请时,应告知申请组织拒绝的原因。如接受申请,需要确定组成审核组及进行认证决定所需的能力。
(二)审核方案(多场所):
1.每个场所的过程、活动;
2.识别哪些场所可以被抽样、哪些场所不能;
3.识别哪些场所被抽样覆盖、哪些场所未被抽样覆盖;
3.当确定审核方案时,由于被审核组织的特定结构,认证机构应为额外活动给予充分的时间,这些活动的时间不计人审核时间,例如:用于路途、审核组成员之间联系、审核后会议;
5.认证机构有责任与审核组长协同识别出每个场所及每一部分审核所需的技术能力,并为审核的每一部分分派适当的审核组成员。
审核方案(通用)
1.审核方案的目标; 【目】
2.审核方案内每次审核的范围(详略程度、边界、地点);【范】
3.审核准则;【准】
4.审核的日程安排(数量/持续时间/频次)-【活动安排】
5.拟采用的审核方法;【方】
6.选择审核组成员的准则;【1人】
7.与审核方案有关的风险和机遇(见 5.3)及应对措施;【风】
8.审核类型,如内部或外部;【类】
9.相关的成文信息;【成】
【目、范、准、活、方、1人、风、类、成文--9点】GB/T19011-2021 5.1 通用
(三)审核时间计算:
符合多场所组织条件的组织:
可抽样场所构成
不可抽样场所构成
由可抽、不可抽样场所两种情况组合构成
无论组织由何种方式构成,必须有充足的审核时间来实施有效的审核;
(四)审核计划:
在准备审核计划时还应至少考虑下述内容:
认证范围以及每个场所的子范围;
在考虑多个管理体系标准的情况下,对每个场所的管理体系标准;
拟审核的过程、活动;
每个场所的审核时间;
分派审核组;
(五)初次认证审核:
第一阶段审核
通过第一阶段审核,审核组应完善信息包括确认审核方案;
策划第二阶段审核,考虑对每个场所拟审核的过程、活动;
确认承担第二阶段审核的审核组具备必要的能力;
第二阶段审核
初次认证审核的输出中,审核组应将在每个场所审核了哪些过程形成文件;
这些信息将用于修正审核方案以及后续监督审核的审核计划;
(六)不符合与认证:
1.在任何独立场所发现不符合,无论是由内部审核发现或经由认证机构的审核发现,都应开展调查,以确定其他场所是否可能受到影响。
2.认证机构应要求提供这些措施的证据并增加其抽样频率和/或抽样数量,直到确信恢复了控制;
3.在作出决定的过程中.如果任一场所出现严重不符合,在得到满意的纠正措施之前应拒绝对整个多场所组织所列的场所进行认证。在认证过程中,认证机构不允许组织为克服由于某个场所存在不符合造成的问题,而从认证范围中删除存在问题的场所。
(七)认证文件:
1.认证文件应反映认证范围以及多场所认证所覆盖的场所、法律实体(适用时)。
2.认证文件应包含所有场所的名称和地址,反映出组织与认证文件相关。
3.如果某一场所的活动仅是包含于组织范围内的一部分,认证文件应包括该场所的子范围。
4.当在认证文件上展示临时场所时,应注明这些场所为临时场所。
5.如果向一个场所颁发认证文件,其中应包括:
a.管理体系针对被认证的整个组织;
b.该认证覆盖特定场所、法律实体的活动;
c.与主证书之间的可追溯性,如编号/代码;
d.声明:本证书的有效性取决于主证书有效;
6.在任何情况下,都不得以该场所、该法律实体的名义颁发认证文件,或误导该场所、该法律实体被认证(被认证的是客户组织),也不应包括该场所、该法律实体的过程、活动符合规范文件的声明。
7.一旦任何场所不能满足保持认证的必要规定,认证文件将被整体撤销。
(八)监督审核:
1.对可以抽样的多场所组织的监督审核,要求每个场所审核时间计算应符合本节审核时间的要求。
2.对不能按照条件进行抽样的多场所组织,监督基于对30%场所的审核另外加对中心职能的审核。认证周期中第二次监督选取的场所通常应不包括第一次监督所选取的场所。
(九)再认证审核:
1.对可以抽样的多场所组织的再认证审核,要求每个场所审核时间计算应与上述内容一致;
2.对不能抽样的多场所组织,再认证应按照初次认证审核,即对所有场所外加中心职能审核。
第五节 管理体系认证结合审核应用方法P258
一、基本概念P258
结合审核:是指对一个客户同时按照两个及两个以上管理体系标准要求实施的审核。(一体化和非一体化)
一体化审核:是指一个客户已将两个或两个以上管理体系标准要求的应用整合在一个管理体系中,认证机构按照两个或多个管理体系标准同事实施审核。
一体化管理体系,其特征是:
1.一套整合的文件,适宜时,包括适度融合的作业文件; 2.考虑总体经营战略和计划的管理评审; 3.对内部采用的一体化方法; 4.对方针和目标采用的一体化方法; 5.对体系过程采用的一体化方法; 6.对改进机制(纠正和预防措施、测量和持续改进)采用的一体化方法; 7.一体化的管理支持和管理职责;
一体化审核的能力,其特征是:
1.审核组中审核员资质能力; 2.审核员的专业能力; 3.审核员对组织的了解程度;
二、结合审核的准备信息P259
策划结合审核方案时需要获得受审核组织的信息包括:
1)组织管理体系的状况,如:管理体系的数量以及覆盖范围的界定;多个体系是否一体化实施及程度;结合审核的体系的成熟度。
2)与某一管理体系所关注的组织的特定绩效相关的方面及其负责程度。
3)组织的结构及业务活动,如:规模、管理模式、场所及分布、行政许可要求、不同管理体系识别的主要过程、活动及场所、外包过程或活动。
三、结合审核方案P260
在制订结合审核方案及对其实施管理时,除了考虑单一的管理体系审核方案外,还要考虑的因素包括:
1.结合审核的目的
2.结合审核所涉及的管理体系标准和/或规范性文件
3.结合审核中各管理体系所涉及的技术领域;
4.结合审核的风险识别:
4.1与每一个管理体系相关的法律、法规要求的情况;
4.2对受审核组织及其所建立的管理体系的信任度;
4.3受审核组织的行业风险和社会关注程度;
4.4认证机构现有认证资源的配置基础。
5.根据结合审核的风险识别,认证应采取的控制和降低认证风险的措施;
6.结合审核有效性的保证措施:
6.1审核组的能力
确保实施结合审核的审核组能力满足所有管理体系的需求。在确定审核任务时,应依据审核组成员的能力,合理地分配审核任务,并确保对每个管理体系审核的完整性;
6.2根据审核的性质确定过程和活动
6.2.1确保结合审核计划充分考虑了对两阶段审核内容的安排;
6.2.2根据审核的性质(如:初次认证审核,监督审核或再认证审核),确保结合审核计划覆盖了与每一个管理体系标准和/或规范性文件的要求相关的过程和活动。并为针对每一个管理体系标准和/或规范性文件的审核提供足够的审核时间;
6.2.3确保针对每一个管理体系标准和/或规范性文件的审核深度,包括:应关注的审核要求和抽样量,特别是有关每个管理体系的重要过程、活动、现场或场所等;
6.2.4当结合审核中提出的不符合涉及多个管理体系标准或规范性文件时,确保受审核组织针对每一个管理体系标准或规范性文件提出必要的纠正和纠正措施,并确保验证纠正和纠正措施的人员具有相的能力。
6.3审核报告的编制
确保审核报告清楚地表明与每一个管理体系标准或规范性文件的所有要求的符合性,并包括分析和描述与每个管理体系标准或规范性文件相关的不符合;
6.4组织个体系的成熟度等
确保结合审核计划考虑了组织的管理体系的状况,如:管理体系数量、管理体系一体化程度、管理体系运行的成熟度;
7.对两个阶段的审核要求和审核内容与结合审核计划的协调做出安排;
四、结合审核计划P260
(一)结合审核时机
1.针对每一个管理体系标准或规范性文件均是初次认证审核时,实施结合审核:
2.在针对不同管理体系标准或规范性文件的不同认证审核阶段,如初次认证审核、监督审核、再认证审核,实施结合审核:
3.在针对不同管理体系标准或规范性文件的初次认证审核的不同审核阶段,如第一阶段、第二阶段,实施结合审核
(二)结合审核范围
对于不同的管理体系标准或规范性文件而言,同一受审核方的审核范围可能是一致的,也可能是不一致的;
(三)结合审核抽样方案
1.选择并组合审核样本的前提应确保通过结合审核能够充分、客观地判定组织的管理体系与每一个管理体系标准或规范性文件的符合性与有效性。
2.实施结合审核时,审核组应根据每一个管理体系标准或规范性文件的要求及其关注内容的不同1)确定审核的现场、2)审核样本的选择、3)抽样基数及4)抽样数量。
(四)现场审核时间
当对组织的管理体系实施两阶段结合审核时,在第一阶段结合审核后,必要时认证机构可根据获取的组织管理体系一体化程度的信息和组织人员对与每个管理体系相关的问题的回答能力重新核定第二阶段审核人日数。
如根据第一阶段确认的信息调整第二阶段审核时间,应与受审核组织充分沟通并保留第二阶段审核时间调整合理性的记录。
审核计划还应考虑的多场所计划的内容MP257
1.认证范围以及每个场所的子范围; 2.在考虑多个管理体系标准的情况下,对每个场所的管理体系标准; 3.拟审核的过程、活动; 4.每个场所的审核时间; 5.分派审核组。
五、结合审核组能力P262 (结合审核选择审核组成员) 22.10问答题
审核组的整体能力在满足相应单一管理体系能力 外,还要考虑结合审核组的下述能力水平:
1)结合审核组长应具备策划、组织、协调结合审核的能力,并满足每一个管理体系认证对组长的要求。否则可以设立分组长,以满足每一个管理体系认证对组长的要求,并负责做出结合审核组长没有能力做出的那部分推荐意见。
2)结合审核组的审核成员应具备与其承担的审核工作相适应的能力。当一个审核员审核两个或多个管理体系共有的要求相关的过程或活动时,审核人员应具备对每一个管理体系的审核能力(包括技术能力)。当对与每个管理体系特有要求相关的过程和活动进行审核时,确保由具备相应能力和背景的审核员实施审核。
3)考虑每一个管理体系认证,对技术专家的需求,可选择多名技术专家为结合审核组提供技术支持。
4)结合审核组的组成及其任务分配宜考虑组织的管理体系的成熟度情况,并使得审核员的能力及其任务与受审核组织的管理体系情况相适应。
【参考】审核组能力(通用审核) (审核概论P36-37:选择审核组成员)
在确定审核组规模和组成并确保审核组整体能力,应考虑如下因素:【问答题题眼】
①考虑到审核范围和准则以实现审核目标所需要的审核组的整体能力;
②审核的复杂性;
③审核是结合审核还是联合审核;【结联】
④所选定的审核方法。
⑤确保客观性和公正性,以避免审核过程中的任何利益冲突;
⑥审核组成员共同工作的能力以及与受审核方的代表有效协作的能力;
⑦相关的外部/内部事项,例如审核语言,以及受审核方的社会和文化特征。这些事项可以通过审核员自身的技能或通过技术专家的支持予以解决,同时要考虑到翻译的需要;
⑧要审核的过程的类型和复杂性;
能、2复、结联、方、客公(过)利、工协、内外
六、结合审核人日数P262
结合审核人日数确定的基本原则是确保结合审核计划为针对每一个管理体系标准和/或规范性文件要求的审核提供足够的审核时间,减少量不应超过起始点T的20%。
减少审核时间的因素包括:
a组织管理体系的一体化程度;
b组织的人员应对涉及多个管理体系标准问题的能力;
c具有审核多个管理体系标准/规范能力的审核员的可用性;
增加审核时间的因素主要考虑一体化审核较单一的管理体系审核的复杂性;
影响结合审核人日数的因素有:
①结合审核所涉及的管理体系的数量;【受审核方】
②多个管理体系标准或规范的要求是否一体化实施,以及管理体系的一体化程度;【受审核方】
③体系运行的成熟度(如:体系建立的时间、内审/管理评审的结果、以往外部审核的结果);【受审核方】
④针对每一个管理体系标准或规范性文件而言,审核范围不一致的情况;-----【受审核方】
⑤受审核组织所涉及的技术领域的风险程度;【受审核方】
⑥受审核组织的结构及其业务活动;【受审核方】
⑦针对不同的管理体系认证存在的过程、活动、场所的差异和每个管理体系的要求和关注方面的差异,所导致的审核抽样方案的差异情况;【审核方】
⑧审核组长和审核组成员所具备的审核能力,如:组长的策划、组织和协调结合审核的能力,每个成员所具各的对多个管理体系的审核能力和实施结合审核的能力,以及必要的审核员资格。【审核方】
【参考】影响审核计划工作量和审核时间的因素SP80
1. 相关管理体系标准、技术标准及其相关规范的要求;【准则】
2.受审核方规模和复杂程度, 如受审核方组织的规模、人数◇产品和过程的复杂程度◇生产/过程和活动的方式;【基点】
3.技术和法规环境,如组织产品实现过程、重要环境因素、危险源、能源消耗等涉及的法律法规要求的程度及相关方的意见;【特定管理体系的关注点】
4.管理体系范围内活动的分包情况;
5.以往审核的结果;管理体系的成熟度和有效性;
6.场所的数量和规模、地理位置以及对多场所的考虑, 如组织机构的设置以及部门的集中程度、职能的重复性,多场所的分布和数量;
7.与组织的产品、过程或活动相关联的风险;
8.是否结合审核、联合审核或一体化审核。【审核的类型】
第六节 基于过程的质量管理体系审核方法
基本概念
定义:基于过程的质量管理体系(QMS)审核是指以受审核方的过程、过程间相互关系、过程目标和过程绩效指标作为审核的路径或审核的追踪线索所实施的QMS审核。
(一)基于过程的审核特点:
顾客导向
在审核中,审核员不仅考虑受审核方的需要,而且考虑受审核方顾客的需要,关注受审核方是否已经正确理解顾客要求并在每个过程中予以落实。
过程导向
在审核中,审核员关注过程、过程间的相互关系与接口和过程绩效,以及关注每个过程的绩效及其对QMS整体绩效的影响。
结果导向
在审核中,审核员关注过程结果,并将审核发现与它对受审核方提供合格产品能力的影响相关联。
关注QMS的持续改进
在审核中,审核员通过对过程绩效的系统分析,发现过程的波动和改进点,促进受审核方在QMS的整体改进,提供增值服务。
(二)基于过程的QMS审核具体体现:
1.无论是判断QMS的整体绩效,还是审核一个具体过程,都以其绩效指标的实现与改进情况为基础;
2.参照受审核方自身的业务流程,并按照受审核方所确定的一定数量和类型的QMS过程及其之间的内在连接关系,对审核的路径进行策划和实施审核;
3.始终以满足受审核方的顾客要求和法律法规要求作为审核的关注点,并以产品实现类的过程作为审核的主线;
4.在对产品实现类的过程实施审核的同时,关注与之相关的QMS其他过程的作用和绩效;
5.以每个过程的绩效指标为切入点,通过追踪其绩效表现以及过程之间的输出与输入的关系,从系统的角度评价该过程在QMS中的作用及其有效性;
6.从QMS的整体角度,关注法规、顾客和相关方要求的实现情况、过程间的接口和过程的绩效情况等方面,并对QMS的适宜性和有效性做出综合评价;
(三)基于过程的QMS审核的益处
1.审核始终处于一种动态的判断过程中,从QMS的整体角度判断过程活动与标准的符合性,进而提高审核的有效性;
2.审核是基于受审核方的实际业务流程设计审核路径,并关注每一个过程的顾客要求及该过程的有效性,利于发现是否存在不一致的问题,确保体系与质量绩效紧密结合;
3.审核时关注质量目标的系统性及其与过程系统性的关系,打破部门/职能单元间的隔阂,关心过程间的接口,利于发现系统与子系统目标不协调的问题;
4.审核中比较容易发现过程接口和部门接口间的缺陷和系统性问题,有利于通过审核达到QMS过程优化的目的;
5.审核员是围绕与过程相关的活动提问,而不是按照标准条款提问,使得审核方法容易为受审核方所理解;
6.专业审核员的专业优势可以得到充分地发挥.有利于提高审核的深度和增值作用;
二、基于过程的QMS审核的实施基础
(一)受审核方
受审核方已经制定了符合其自身实际情况的质量方针和目标,并建立和有效地运行了QMS.
根据其业务流程,确定自身的过程,明确这些过程的绩效指标,以及通过监视这些绩效指标所获得的信息来分析和改进这些过程及其绩效。
(二)审核组
在选派审核组时需特别考虑:
1.审核组成员具有"采用过程方法建立、实施和改进组织QMS"及"基于过程的审核"等方面的知识,能够理解和掌握"基于过程的审核"的思路、方法与技巧;
2.审核组成员有能力根据受审核方的实际业务流程和已确定的过程,并结合质量管理体系标2.准中的要求,形成有关受审核方所确定的过程之间相互关系的概念;
3.审核组长需有能力通过对受审核方的过程的了解,而对审核活动进行策划,编制审核计划,并在审核中有效、合理地利审核组的资源;
4.审核组成员了解受审核方产品和业务流程及其活动;
(三)策划基于过程的审核需获得的受审核方信息
第一阶段审核应获得的与过程有关的受审核方信息包括:
1.对过程、过程目标和绩效指标的确定情况;
2.对所确定的过程顺序和过程相互作用的描述;
3.对所确定的过程与涉及的认证要求的对应关系的适当描述;
4.对其与顾客、产品和过程有关的关键绩效指标与受审核方绩效的跟踪情况与趋势分析,以及对法律法规的符合情况与趋势分析;
5.主要相关方针对受审核方问题的负面信息;
6.最近的内审和管理评审的策划、实施情况,及其实施结果是如何运用到QMS的改进上的信息;
7.接受第二阶段审核的准备情况,以及从提出申请到第一阶段审核之间的任何变化情;
8.前序备注:对于初次认证审核,在第一阶段审核前,审核组需要了解或掌握受审核方所确定的8.过程(包括外包过程)的情况;
监督审核和再认证审核前,审核组需要获得上述情况的变化信息或可能导致审核方案变化的其他信息;
(四)基于过程的第二阶段审核计划
1.根据优先排序的原则,考虑过程在QMS中的关键程度和审核效率等因素,依照审核的关注点来配备合适的资源;
2.根据受审核方确定的过程、过程的顺序和相互关系以及多场所的有关情况,来策划审核的路径,通常情况下,对于审核路径与过程的关系,可顺着业务流程审核,也可逆着或组合着审核;
3.当受方有外部分所时,审核计划尤其需要关注过程的接口及外部分场所与总部的管理接口;
4.考受的际布和主要的品实现过程优化审核路径和时间;
(五)审核组的内部沟通审
在审核准备时,沟通的内容可能包括:
第一阶段审核的情况、上一次审核情况及遗留问题;
受审核方产品和过程的特点、受审核方主要过程所涉及的职能单元、受审核方单元以及它们的接口;
在审核过程中,沟通的内容可能包括:
基于从现场巡视和对领导层审核所获得的信息,调整后续的审核安排;
需要审核组其他人员在审核中追踪审核的信息的沟通;
评价审核进展情况,必要时,重新分派审核组成员的工作。
在审核报告阶段,沟通的内容可能包括:
对审核发现的评审和确定;
对QMS的综合评价;
(六)实施基于过程的第二阶段审核
在审核时,需要针对每一个过程提出下述四个基本问题:
1. 过程是否已被识别并恰当地定义;
2. 职责是否已被分配
3. 程序是否得到实施和保持
4. 在实现所有要求的结果方面,过程是否有效;
几种常用的审核方法:
1.针对过程结果所实施的审核-----过程的负责人
2.针对过程绩效指标及采取的措施所实施的审核-----针对过程的负责人所进行的审核
3.对受方已策划的过程实施审核-----是判断过程的适宜性和有效性