导图社区 GBT19011-2021
- 288
- 7
- 1
- 举报
GBT19011-2021
这是一篇关于GB/T审核的思维导图。详细阐述了审核所需所包含的知识点,框架清晰,内容全面。感兴趣的小伙伴可以下载收藏。
编辑于2022-10-24 15:08:33 辽宁- 审核
- 管理体系
- GBT
- 相似推荐
- 大纲
GB/T19011-2021
说明
表示本主题涉及“保持或保留文件化信息”
表示本主题曾经被考过
斜体字非标准原文
前言
本文件按照GB/T1.1-2020《标准化工作导则 第1部分:标准化文件结构和起草规则》的规定起草
与2013版相比主要技术变化
a)审核原则新增基于风险的方法
b)扩充了管理审核方案的指南,包括审核方案的风险
c)扩充了实施审核的指南,特别是审核策划部分
d)扩充了审核员的通用能力要求
e)调整了术语,以反映过程而不是对象(事物)
f)删除了包含审核特定管理体系专业能力要求的附录
g)扩充了附录A,以提供审核(新)概念的指南,例如组织环境、领导作用与承诺、虚拟审核、合规和供应链
本文件使用翻译法等同采用 ISO 19011:2018《管理体系审核指南》
本文件由全国质量管理和质量保证标准化技术委员会(SAC/TC151)提出并归口
引言
自从GB/T 19011-2013发布以来,我国又发布了若干新的管理体系标准,其中很多都有共同的结构、术语和核心定义以及相同的核心要求。因此,需要考虑更广泛的管理体系审核方式并提供更通用的指南。审核结果能为业务策划的分析提供输入,还能有助于识别改进需求和活动。
审核可以针对不同的审核准则分别或组合进行,审核准则包括但不限于
——在一个或多个管理体系标准中确定的要求
——有关相关方规定的方针和要求
——法律法规要求
——组织或其他各方确定的一个或多个管理体系过程
——与管理体系提供的特定输出有关的管理体系计划(例如:质量计划、项目计划)
本文件为所有规模和类型的组织以及不同范围和规模的审核提供指导,包括由大型审核组实施的审核,通常是大型组织实施的审核;以及无论大型或小心的组织中,由单个审核员实施的审核。应视审核方案的范围、复杂程度和规模情况而应用本指南。
本文件专注于内部审核(第一方)和组织对其外部供方和其他外部相关方(第二方)进行的审核。本文件也可用于第三方管理体系认证以外的其他目的的外部审核。GB/T27021.1为第三方认证的管理体系审核提供了要求,本文件可以提供有用的附加指导(见表1)
表1:不同类型的审核
本文件中的“管理体系”“人员”“审核员”等词可代表单数或复数,使用者可根据自身情况实施本指南。
本文件旨在适用于广泛的潜在使用者,包括审核员、实施管理体系的组织和处于合同或法规原因需要进行管理体系审核的组织。本文件的使用者可以在制定自己的审核相关的要求时应用本指南。
本文件的指南也可用于自我声明的目的,并且可对从事审核员培训或人员认证的组织提供帮助。
应灵活运用本指南。正如跟文件所述,可以根据组织的管理体系的规模和成熟度等级的不同,来使用本指南。还应考虑受审核的组织的性质和复杂程度,以及拟实施的审核的目的和范围。
当两个或多个不同领域的管理体系一起审核时,采用多体系审核方法,当这些体系整合到单一的管理体系中,审核原则和过程与多体系审核相同(有时称为一体化审核)。
本文件对审核方案管理、管理体系审核的策划和实施,以及审核员和审核组能力评价提供指南。
1 范围
本文件提供了管理体系审核的指南,包括审核原则、审核方案管理和管理体系审核实施,以及评价参与审核过程的人员的能力的指南。这些活动涉及审核方案管理人员、审核员和审核组。
本文件适用于需要策划和实施管理体系内部审核、外部审核或需要管理审核方案的所有组织
只要对于所需的特定能力予以特殊考虑,本文件也可应用于其他类型的审核
2 规范性引用文件
本文件没有规范性引用文件
3 术语和定义
下列术语和定义适用于本文件
3.1 审核
为获得客观证据(3.8)并对其进行客观评价,以确定满足审核准则(3.7)的程度所进行的系统的、独立的并形成文件的过程+
注1:内部审核,有时称为第一方审核,由组织自己或以组织的名义进行。 注2:通常,外部审核包括第二方审核和第三方审核。第二方审核由组织的相关方,如顾客或由其他人员以相关方的名义进行。第三方审核由独立的审核组织进行,如提供合格认证/注册的组织或政府机构。
3.2 多体系审核
在一个受审核方(3.13),对两个或两个以上的管理体系(3.18)一起实施审核的审核(3.1)
注:当两个或多个不同领域的管理体系整合到单一管理体系中时,称为整合管理体系。
3.3 联合审核
在一个受审核方(3.13),有两个或两个以上审核组织同时实施的审核(3.1)
3.4 审核方案
针对特定时段所策划的具有特定目标的一组(一次或多次)审核(3.1)安排
3.5 审核范围
审核(3.1)的内容和界限
注1:包括实际的和虚拟的位置、职能、组织单元、活动和过程以及所覆盖的时期的描述。 注2:虚拟位置是指组织执行工作或提供服务所使用的在线环境。该在线环境允许无论实际位置如何的个人执行过程。
3.6 审核计划
对审核活动的安排和描述
3.7 审核准则
用于与客观证据(3.8)进行比较的一组要求(3.23)
注1:如果审核准则是法定的(包括法律法规)要求,则审核发现(3.10)中经常使用“合规”或“不合规”这两个词 注2:要求可以包括方针、程序、作业指导书、法定要求、合同义务等
3.8 客观证据
支持事物存在或其真实性的数据
注1:客观证据可通过观察、测量、试验或其他方法获得 注2:通常,用于审核(3.1)目的的客观证据,是由与审核准则(3.7)相关的记录、事实陈述或其他信息所组成的并可验证
3.9 审核证据
与审核准则(3.7)有关的并且能够证实的记录、事实陈述或其他信息
3.10 审核发现
将收集到的审核证据(3.9)对照审核准则(3.7)进行评价的结果
注1:审核发现表明符合(3.20)或不符合(3.21) 注2:审核发现可导致识别风险、改进机会或记录良好实践 注3:如果审核准则选自法律法规要求,审核发现被称为合规或不合规
3.11 审核结论
考虑了审核目标和所有审核发现(3.10)后得出的审核(3.1)结果
3.12 审核委托方
要求审核(3.1)的组织或个人
注:在内部审核的情况下,审核委托方也可以是受审核方(3.13)或审核方案管理人员,外部审核的要求可以来自监管机构、合同方或潜在客户或现有客户等来源
3.13 受审核方
被审核的组织或组织的一部分
3.14 审核组
实施审核(3.1)的一名或多名人员,需要时由技术专家(3.16)提供支持。
注1:审核组(3.14)中的一名审核员(3.15)被指定为审核组长 注2:审核组可包括实习审核员
3.15 审核员
实施审核(3.1)的人员
3.16 技术专家
向审核组(3.14)提供特定知识或专业技术的人员
注1:特定的知识或专业技术是指预售审核的组织、活动、过程、产品、服务、专业领域,或语言或文化有关的知识或技术 注2:对审核组(3.14)而言,技术专家不作为审核员(3.15)
3.17 观察员
随同审核组(3.14)但不作为审核员(3.15)的人员
3.18管理体系
组织建立方针和目标以及实现这些方针和目标的过程(3.24)的相互关联或相互作用的一组要素
注1:管理体系可以针对单一的领域或几个领域,例如质量管理、财务管理或环境管理 注2:管理体系要素规定了组织的结构、岗位和职责、策划、运行、方针、惯例、规则、理念、目标、以及实现这些目标的过程 注3:管理体系的范围可能包括整个组织,组织中可被明确识别的职能或可被明确识别的部门,以及跨组织的单一职能或多个职能
管理体系要素规定了组织的结构、岗位和职责、策划、运行、方针、惯例、规则、理念、目标,以及实现这些目标的过程
管理体系的范围可能包括整个组织,组织中可被明确识别的职能或可能被明确是别的部门,以及跨组织的单一职能或多个职能
3.19 风险
不确定性影响
注1:影响是指偏离预期,可以是正面的或负面的 注2:不确定性是一种对某个事件,或是事件的局部的结果或可能性缺乏理解或知识方面的信息的情形 注3:通常,风险是通过有关可能事件和后果或两者的结合来描述风险的特性 注4:通常,风险是以某个事件的后果及其发生的可能性的组合来表述的
3.20 符合
满足要求
3.21 不符合
未满足要求
3.22 能力
运用知识和技能实现预期结果的本领
3.23 要求
明示的、通常隐含的或必须满足的需求或期望
注1:“通常隐含”是指组织和相关方的惯例或一般做法,所考虑的风险和机遇 注2:规定要求是经明示的要求,如:在成文件信息中阐明
3.24 过程
利用输入实现预期结果的相互关联或相互作用的一组要素
过程示意图
3.25 绩效
可测量的结果
注1:绩效可能涉及定量或定性的结果 注2:绩效可能涉及活动、过程(3.24)产品、服务、体系或组织的管理
3.26 有效性
完成策划的活动并得到策划的结果的程度
4 审核原则
审核的特征在于其遵循若干原则。这些原则有助于使审核称为支持管理方针和控制的有效和可靠的工具,并为组织提供可以改进其绩效的信息。遵循这些原则是得出相关的和充分的审核结论的前提。也是使独立工作的审核员在相似的情况下得出相似结论的前提。
第5章至第7章中给出的指南基于下列7项原则
a)诚实正直
职业的基础
审核员和审核方案管理人员应
——以诚实和负责任的道德精神从事他们的工作
——只承担有能力去做的审核活动
——以不偏不倚的态度从事工作,及对所有的事物保持公正和无偏见
——在审核时,对任何可能影响其判断的因素保持警觉
b)公正表达
真实、准确地报告的义务
审核发现、审核结论和审核报告硬知识和准确地反映审核活动.应报告在审核过程中遇到的重大障碍以及在审核组合受审核方间未解决的分歧意见.沟通应是真实准确客观及时清楚和完整的.
c)职业素养
在审核中尽责并具有判断力
审核员应珍视他们所执行的任务的重要性及审核委托方和其他相关方对他们的信任。在工作中具有职业素养的一个重要因素是能够在所有审核情况下做出合理的判断
d)保密性
信息安全
审核员应审慎使用和保护在履职过程中获得的信息。审核员或审核委托方不应为个人利益不适当地或以损害受审核方合法利益的方式使用审核信息。包括正确处理敏感或保密信息
e)独立性
审核公正性和审核结论客观性的基础
审核员应独立于受审核的活动(只要可行),并且在任何情况下都应不带偏见,没有利益上的冲突。对于内部审核,如可行,审核员应独立于被审核的职能。审核员在整个审核过程应保持客观性,以确保审核发现和审核结论金建立在审核证据的基础上。
对于小型组织,内审员也许不可能完全独立于被审核的活动,但是应尽一切努力消除偏见和体现客观。
f)基于证据的方法
在一个系统的审核过程中得出可信和可重现的审核结论的合理方法
审核证据应是能够验证的。由于审核是在有限的时间内并在有限的资源条件下进行的,因此审核证据应建立在可获得信息的样本的基础上。应合理地进行抽样,因为这与审核结论的可信性密切相关。
g)基于风险的方法
考虑风险和机遇的审核方法
基于风险的方法对审核的策划、实施和报告具有实质性影响,以确保审核关注对于审核委托方重要的事项和对实现审核方案目标重要的事项
对比
认证原则
4.2 公正性
4.2.1 公正,并被认为公正,是认证机构提供可建立信任的认证的必要条件。重要的是,所有内外部人都意识到公正性的必要性
4.2.2 客户支付的认证费用是认证机构的收入来源,也是对公正性的潜在威胁,这一点得到公认
4.2.3 认证机构根据其所获得的符合或不符合的客观证据作出决定,且不受其他利益或其他各方的影响,对于获得和保持信任是必不可少的
4.2.4 对公正性的威胁可能包括,但不限于
a)自身利益:此类威胁源于个人或机构以其自身利益行事。在认证中,财务方面的自身利益是一种对公正性的威胁
b)自我评审:此类威胁源于个人或机构评审自己所做的工作。认证机构对由其进行的管理体系咨询的客户实施管理体系审核属于此类威胁
c)熟识(或信任):此类威胁源于个人或机构对另外一人过于熟悉或信赖,而不去寻找审核证据
d)胁迫:此类威胁源于个人或机构觉察到受到公然或暗中的强迫,如威胁用他人取而代之或向主管告发
4.3 能力
4.3.1 认证机构涉及的所有职能的认证机构人员的能力是认证提供信任的必要条件。
4.3.2 能力也需要由认证机构的管理体系来支撑
4.3.3 认证机构的一个关键问题是具有一个得到实施的过程,来为参与审核和其他认证活动的人员建立能力准则,并按照准则实施评价
4.4 责任
4.4.1 始终一致地达到实施管理体系标准的预期结果和符合认证要求的责任,在于获证客户而不是认证机构
4.4.2 认证机构有责任对足够的客观证据进行评价,并在此基础上做出认证决定。根据审核结论,如果符合性的证据充分,认证机构欧作出授予认证的决定;如果符合性证据不充分,则不授予认证
任何审核都是基于对管理体系的抽样,因此并不保证管理体系100%符合要求
4.5 公开性
4.5.1 为获得对认证的诚信性与可信性的信任,认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态(即认证的授予、保持, 认证范围的扩大或缩小,认证的更新、暂停、 恢复或者撤销)的适当、及时信息的公开渠道,或公布这些信息。公开性是获得或公布适当信息的一项原则。
4.5.2 为获得或保持对认证的信任,认证机构宜向特定利益相关方提供获取特定审核结论的非保密信息的适当渠道,或公布这些信息
4.6 保密性
为了享有获取充分评价管理体系符合性所需信息的特权,认证机构不透露任何保密信息是至关重要的
4.7 对投诉的回应
依赖认证的各方期望投诉得到调查。认证机构应当使依赖认证的各方相信,在投诉经查明有效时,认证机构将对这些投诉进行适当的处理,并为解决这些投诉做出适当的努力。当投诉表明出现错误、疏忽或不合理行为时,对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手段。对投诉进行适当的处理将维护对认证活动的信任。
注:为了向认证的所有用户证明认证的诚信性与可信性,需要在公开性和保密性 (包括对投诉的回应)等原则之间取得适当的平衡。
4.8 基于风险的方法
认证机构需要考虑与提供有能力的、一致的和公正的认证相关的风险。风险可能与下列方面有关(包括但不限于)
——审核目的
——审核过程的抽样
——真正的和被感知的公正性
——法律法规问题和责任问题
——所审核的客户组织及其运行环境
——审核对客户及其活动的影响
——审核组的健康和安全
——利益相关方的认知
——获证客户做出的误导性声明
——标志的使用
5 审核方案的管理
5.1 总则
应建立审核方案,其中可包括对一个或多个管理体系标准或其他要求、单独实施的审核或结合实施的审核(多体系审核)
审核方案的范围和程度应基于受审核方的规模和性质,以及拟审核的管理体系的性质、功能、复杂程度、风险和机遇的类型以及成熟度等级
当大多数重要职能外包并在其他组织的领导下时,管理体系的功能性可能更加复杂。需要特别注意最重要的决定在何处作出,以及管理体系的最高管理者的构成
在多个地点/场所(例如不同国家)的情况下,或重要职能外包并在另一组织的领导下管理的情况时,应特别注意审核方案的设计、策划和确认
对于较小或复杂程度较低的组织,审核方案可以适当调整
为了解受审核方所处的环境,审核方案应考虑受审核方的
——组织目标
——有关外部和内部的因素
——有关相关方的需求和期望
——信息安全和保密需求
内部审核方案的策划,以及某些情况下对审核外部供方的方案的策划,可用于为组织的其他目标作出贡献。
审核方案管理人员以确保保持审核的完整性,并确保审核没有被施加不当影响
审核应优先考虑将资源和方法分配给管理体系中内在风险较高和绩效水平较低的事项
应指派有能力的人管理审核方案
审核方案应包括以下信息,并识别资源,以使审核能够在规定的时限内有效和高效地实施
a)审核方案的目标
b)与审核方案有关的风险和机遇(见5.3)以及应对措施
c)审核方案内每次审核的范围(详略程度、边界、地点)
d)审核的日程安排(数量/持续时间/频次)
e)审核的类型(如内部审核、外部审核)
f)审核准则
g)拟采用的审核方法
h)选择审核组成员的准则
i)相关的成文信息
在更详细的审核策划完成之前,上述的某些信息可能无法获得。
应持续监视和测量审核方案的执行情况(见5.6),以确保实现审核目标。应评审审核方案,以识别变更的需求和可能的改进机会(见5.7)
图1:审核方案的管理流程
5.2 确立审核方案的目标
审核委托方应确保确立审核方案目标以指导审核的策划与实施。确保审核方案得到有效执行。审核方案的目标应与审核委托方的战略方向相一致,并支持管理体系的方针和目标
这些目标可以基于以下方面的因素
a)有关相关方的需求和期望,包括外部的和内部的
b)过程、产品、服务和项目的特性和要求,以及他们的任何变更
c)管理体系要求
d)对外部供方评价的需求
e)受审核方管理体系的成熟度等级和绩效水平,反映在相关绩效指标(如KPI)、不合格或事件的发生或相关方的投诉
f)已识别的受审核方的风险和机遇
g)以往审核的结果
审核方案目标的示例可包括
——识别改进管理体系及其绩效的机会
——评价受审核方确定其所处环境的能力
——评价受审核方确定风险和机遇以及识别和实施有效措施以应对这些风险和机遇的能力
——符合所有相关要求,例如法律法规要求、合规承诺、管理体系标准的认证要求
——获得并保持对外部供方能力的信任
——确定受审核方管理体系的持续适宜性、充分性和有效性
——评价管理体系目标与组织之战略方向的相容性和一致性
5.3 确定和评价审核方案的风险和机遇
某些与受审核方所处环境相关的风险和机遇可能与审核方案有关联,并且可能影响审核方案目标的实现。在确定审核方案和资源要求时,审核档案管理人员应识别并向审核委托方提出所考虑的风险和机遇,以便能够适当应对
可能存在与以下方面相关的风险
a)策划,例如未能确立相关的审核目标,及未能确定审核的范围和详略程度、数量、持续时间、地点和日程安排
b)资源,例如在时间,设备和培训不足的情况系制定审核方案或实施审核
c)审核组的选择,例如有效实施审核的整体能力不足
d)沟通,例如无效的内外部沟通渠道和过程
e)实施,例如审核工作协调不力,或未考虑信息安全和保密性
f)对成文信息的控制,例如未有效确定审核员和有关相关方所要求的必要的成文信息;未能充分保护神和记录以证明审核方案的有效性
g)监视评审和改进审核方案,例如对审核方案的监视结果无效
h)受审核方的协助与配合以及抽样证据的可获得性
改进审核方案的机会可包括
——允许在一次访问中进行多个审核
——尽量减少到达场所的时间和距离
——将审核组的能力水平与审核目的所需的能力相匹配
5.4 建立审核方案
5.4.1 审核方案管理人员的作用与职责
审核方案管理人员应
a)根据相关目标和任何已知的约束确立审核方案的范围和详略程度
b)确定可能影响审核方案的内外部因素以及风险和机遇,并实施应对这些因素的措施,适当时将这些措施纳入所有相关的审核活动
c)适当时,通过分配角色职责和权限,以及支持领导作用,确保审核组的选择和审核活动的总体能力
d)建立所有相关的过程,包括
——协调和安排审核方案内所有审核
——确定审核目标、审核范围和审核准则,确定审核方法,并选择审核组
——评价审核员
——适当时建立外部和内部沟通过程
——争议的解决和投诉处理
——审核的后续过程,如适用
——适当时向审核委托方和相关方报告
e)确定并确保提供所有必要的资源
f)确保准备和保持适当的成文信息,包括审核方案记录
g)监视评审和改进审核方案
h)将审核方案与审核委托方进行沟通,适当时与有关相关方沟通
审核方案管理人员应请审核委托方批准审核方案
5.4.2 审核方案管理人员的能力
审核方案管理人员应具有有效和高效地管理审核方案及其相关风险和机遇以及外部和内部因素的必要能力
包括以下知识
a)审核原则(见第4章)、方法和过程(见A.1和A.2)
b)管理体系标准、其他相关标准和参考指导文件
c)关于受审核方及其所处环境的信息(例如,受审核方德内外部因素,有关相关方及其需求和期望,业务活动、产品、服务和过程)
d)适用于受审核方业务活动的法律法规要求和其他要求
适当时,可以考虑风险管理、项目和过程管理以及信息和沟通技术(ICT)的知识
应参与适当的持续提升活动,以保持管理审核方案的必要能力
5.4.3 建立审核方案的范围和详略程度
审核方案管理人员应确定审核方案的范围和详略程度,这取决于受审核方提供的关于其所处环境的信息(见5.3)
在某些情况下,根据受审核方的结构或活动,审核方案可能只包括一次审核(例如一个小项目或小型组织)
影响审核方案范围和详略程度的其他因素可包括
a)每次审核的目标、范围、持续时间,以及审核次数和报告方式,适用时,还包括审核后续活动
b)管理体系标准或其他适用准则
c)受审核活动的数量、重要性、复杂性、相似性和地点
d)影响管理体系有效性的因素
e)适用的审核原则,例如有关管理体系标准的经策划的安排、法律法规要求以及组织承诺的其他要求
f)以往内外部审核和管理评审的结果,如适用
g)以往审核方案的评审结果
h)语言文化和社会因素
i)相关方的关注点,例如顾客投诉,不符合法律法规要求和其他要求、供应链因素
j)受审核方所处环境或其运行以及相关风险和机遇的重大变化
k)支持审核活动的信息和通信技术的应用,尤其是使用远程审核方法的情况(见A.16)
l)内外部事件的发生,如产品或者服务不合格、信息安全泄密事件、健康和安全事件、犯罪行为或环境事件
m)业务风险和机遇,包括应对它们的措施
5.4.4 确定审核方案资源
在确定审核方案资源时,审核方案管理人员应考虑
a)开发、实施、管理和改进深和活动所需的财务和时间资源
b)审核方法(见A.1)
c)具备适合特定审核方案目标的能力的审核员和技术专家的个人和整体的可用性
d)审核方案的范围和详略程度(见5.4.3)及审核方案的风险和机遇(见5.3)
e)旅途时间和费用、住宿及其他审核需求
f)不同时区的影响
g)信息和通信技术的可用性
h)需要的人和工具、技术和设备的可用性
i)在建立审核方案期间确定的必要成文信息的可获得性(见A.5)
j)与设施有关的要求,包括任何安全许可和设备(例如,背景调查,个人防护、穿戴净洁净室服装的能力
5.5 实施审核方案
5.5.1 总则
一旦建立了审核方案(见5.4.3)并确定了相关资源(见5.4.4),就需要实施运行计划和协调方案内的所有活动
审核方案管理人员应
a)利用既定的内外部沟通渠道,将审核方案的有关部分,包括所涉及的风险和机遇向有关相关方沟通,并定期向其通报审核方案的进展情况
b)规定每次审核的目标、范围和准则
c)选择审核方法(见A.1)
d)协调和安排审核和与审核有关的其他活动
e)确保审核组具备必要的能力(见5.5.4)
f)向审核组提供必要的资源和总体资源(见5.4.4)
g)确保审核按照审核方案进行,管理在方案部署期间出现的所有运行风险、机遇和因素(即非预期事件)
h)确保有关审核活动的相关成文件信息得到妥善管理和保持(见5.5.7)
i)规定和实施监视审核方案所需的运行控制(见5.6)
j)评审审核方案,以识别其改进机会(见5.7)
5.5.2 规定每次审核的目标、范围和准则、
每次审核应基于明确的审核目标、范围和准则。这些应该与总体审核方案的目标相一致。
审核目标规定每次审核应完成什么,可包括以下内容
a)确定所审核的管理体系或其一部分与审核准则的符合程度
b)评价管理体系帮助组织满足相关法律法规要求以及组织承诺的其他要求的能力
c)评价管理体系在实现其预期结果方面的有效性
d)识别潜在的改进管理体系的机会
e)评价管理体系对于受审核方所处环境和战略方向的适宜性和充分性
f)评价管理体系在不断变化的环境下建立和实现目标及有效应对风险和机遇的能力,包括相关措施的实施能力
审核范围应与审核方案和审核目标相一致。它包括拟审核的位置、职能、活动和过程以及审核覆盖的时期等因素
审核准则是确定合格的依据。可以包括
适用的方法、过程、程序、包括目标的绩效准则、法律法规要求、管理体系要求、由受审核方确定的所处环境及风险和机遇的信息(包括相关的内外部相关方的要求)、行业行为规范或其他策划的安排
如果审核目标、范围或准则有任何变化,应根据需要修改审核方案,并与相关方沟通,适当时获得批准
当同时对多个领域进行审核时,审核目标、范围和准则与每个领域的相关审核方案保持一致是非常重要的。一些领域的范围可能对应整个组织,而另一些领域的范围可能对应整个组织的一部分
5.5.3 选择和确定审核方法
审核方案管理人员应根据规定的审核目标、范围和准则,选择和确定有效和高效地实施审核的方法
审核可以现场、远程或者结合进行。这些方法的使用,尤其应基于相关风险和机遇予以适当平衡
当两个或多个审核组对同一受审核方进行联合审核时,管理不同审核方案的人员应就审核方法达成一致,并考虑对审核资源和审核策划的影响。如果受审核方运行两个或多个不同领域的管理体系,审核方案可以包括多体系审核
5.5.4 选择审核组成员
审核方案管理人员应指定审核组成员,包括审核组长和特定审核所需的任何技术专家
选择审核组应考虑在规定范围内实现每次审核目标所需的能力。如果只有一名审核员,该审核员应履行审核组长职责
注:第7章包括关于确定审核组成员要求的能力的指南,并描述了评价审核员的过程。
为确保审核组整体能力,应实施以下步骤
——识别实现审核目标所需的能力
——选择审核组成员,以便使审核组具有必要的能力
在确定审核组规模和组成时,应考虑以下事项
a)考虑到审核范围和准则,实现审核目标所需的审核组的整体能力
b)审核的复杂程度
c)审核是否是多体系或联合审核
D)所选择的审核方法
e)避免审核过程中的任何利益冲突,确保客观性和公正性
f)审核组成员工作能力以及与受审核方代表和有关相关方互动的能力
g)相关的内外部因素,如审核语言、以及受审核方的社会和文化特性,这些因素可以通过审核员自身的技能或通过技术专家的支持予以解决,同时考虑到对翻译的需求
h)拟审核的过程的类型和复杂程度
在适当情况下,审核方案管理人员应就审核组的组成与审核组长协商
如果审核组中的审核远没有具备必要的能力,应使用具有相关能力的技术专家支持审核组
审核组可以包括实习审核员,但实习审核员应在审核员的指导和帮助下参与审核
在审核期间,可能需要改变审核组的组成,例如,如果出现利益冲突或能力问题。当出现这种情况,应在做出任何改变之前,与适当的各方(如:审核组长、审核方案管理人员、审核委托方、受审核方解决该问题
5.5.5 为审核组长分配每次的审核职责
审核方案管理人员应向审核组长分配实施每次审核的职责
为确保审核工作的有效策划,应在计划的审核日期之前的足够时间内分配审核职责
为确保有效实施每次审核,应向审核组长提供以下信息
a)审核目标
b)审核准则和任何相关的成文信息
c)审核范围,包括受审核的组织及其受审核的职能和过程的识别
d)审核过程和相关方法
e)审核组的组成
f)受审核方的联系方式、审核活动的地点、时间段和持续时间
g)实施审核所必须的资源
h)评审和应对所识别的风险和机遇以实现审核目标所需的信息
i)支持审核组长于受审核方就审核方案有效性进行互动的信息
适当时,分配信息还应包括以下内容
——在审核员或受审核方或双方语言不同的情况下,审核工作报告的语言
——所需要的审核报告输出及其发放对象
——审核方案所要求的与保密和信息安全有关的事项
——对审核员的任何健康安全和环境安排
——出行或访问远程场所的要求
——任何安全和授权要求
——任何需要评审的行动,例如以往审核的后续行动
——与其他审核活动的协调,例如,不同的审核组在不同地点审核相似的或相关的过程或联合审核
在实施联合审核时,在开始审核之前,重要的是,实施审核的组织间就每一方的具体责任,尤其是关于被任命的审核组长的权限达成一致
5.5.6 管理审核方案结果
审核方案管理人员应确保实施以下活动
a)对审核方案内的每次审核的目标的实现进行评价
b)评审和批准关于审核范围和目标的达成情况的审核报告
c)评审针对审核发现所采取的措施的有效性
d)向有关相关方分发审核报告
e)确定任何后续审核的必要性
适当时,审核方案管理人员应考虑
——将审核结果和最佳实践与组织的其他区域进行沟通,以及
——对其他过程的影响
5.5.7 管理和保持审核方案记录
审核方案管理人员应确保审核记录的形成、管理和保持,以证明审核方案的实施。应当建立过程以确保与审核记录相关的任何信息安全和保密需求得到规定
记录可以包括
a)与审核方案有关的记录
——审核日程安排
——审核方案目标、范围和详略程度、
——审核方案的风险和机遇以及相关的内外部因素的应对
——对审核方案有效性的评审
b)与每次审核有关的记录
——审核计划和审核报告
——客观审核证据和审核发现
——不符合报告
——纠正和纠正措施报告
——审核后续活动报告
c)涉及以下主题的与审核组相关的记录
——审核组成员的能力和绩效评价
——审核组和审核组成员的选择准则和审核组的组成
——能力的保持和提高
记录的形式和详细程度应证明已经实现审核方案的目标
5.6 监视审核方案
审核方案管理人员应确保对以下内容的评价
a)日程安排是否执行以及审核方案目标是否实现
b)审核组成员的绩效,包括组长和技术专家
c)审核组实施审核计划的能力
d)审核委托方、受审核方、审核员、技术专家和其他有关各方的反馈
e)整个审核过程中成文信息的充分性
某些因素可能表明需要修改审核方案。这些因素可能包括以下内容的变化
——审核发现
——经证实的受审核方管理体系的有效性水平和成熟度等级
——审核方案的有效性
——审核范围或审核方案范围
——受审核方的管理体系
——标准以及组织承诺的其他要求
——外部供方
——已识别的利益冲突
——审核委托方的要求
5.7 评审和改进审核方案
审核方案管理人员和审核委托方应评审审核方案,以评估其目标是否已经实现。从审核方案评审中得到的经验教训应作为方案改进的输入
审核方案管理人员应确保
——评审审核方案的全面实施状况
——识别改进的区域和机会
——在必要时对审核方案作出变更
——按照7.6评审审核员的持续专业发展
——报告审核方案的结果并适当时与审核委托方和有关相关方进行评审
审核方案评审应考虑
a)审核方案监视的结果和趋势
b)审核方案过程和相关成文信息的符合性
c)有关相关方的进一步的需求和期望
d)审核方案记录
e)可替代或新的审核方法
f)可替代的或新的审核员评价方法
g)应对与审核方案有关的风险和机遇以及内外部因素的措施的有效性
h)与审核方案有关的保密和信息安全事宜
关于审核方案的PDCA
6 实施审核
6.1 总则
本章为作为审核方案一部分的审核活动的准备与实施提供了指南。图2给出了典型的审核中实施的活动的概述。本章的适用程度取决于具体审核的目标和范围。
6.2 审核的启动
6.2.1 总则
实施审核的责任应该由指定的审核组长(见5.5.5)来承担,直到审核完成(见6.6)
启动一项审核应考虑图1 中的步骤,但顺序可以因受审核方、审核过程和具体情境而不同
6.2.2 与受审核方建立联系
审核组长应确保与受审核方进行联系
a)确认受审核方代表的沟通渠道
b)确认实施审核的权限
c)提供有关审核目标、范围、准则、方法和审核组组成(包括任何技术专家)的相关信息
d)请求有权使用用于策划的相关信息,包括关于组织已识别的风险和机遇以及如何应对这些风险和机遇的信息
e)确定与受审核方的活动、过程、产品和服务有关的适用法律法规要求和其他要求
f)确定与受审核方关于保密信息的披露程度和处理的协议
g)对审核做出安排,包括日期安排
h)确定任何特定地点的访问、健康和安全、安保、保密或其他安排
i)同意观察员的出席及审核组对向导或翻译的需求
j)确定受审核方与特定审核有关的任何利益、关注或风险领域
k)与受审核方或审核委托方解决审核组的组成问题
6.2.3 确定审核的可行性
应确定审核的可行性,以确信能够实现审核目标
确定审核可行性应考虑是否具备以下因素
a)用于策划和实施审核的充分和适当的信息
b)受审核方的充分合作
c)实施审核所需的足够的时间和资源
资源包括有权使用充分和适当的信息和通信技术
当审核不可行时,应向审核委托方提出替代方案并与受审核方达成一致
6.3 审核活动的准备
6.3.1 成文信息评审
A.5提供了如何 验证信息的指南
应评审受审核方的相关管理体系的成文信息,以
——收集信息,例如过程、职能方面的信息,以了解受审核方的运行,准备审核活动和适用的审核工作文件(见6.3.4)
——了解成文信息的范围和程度的概况,以确定是否可能符合审核准则,并发现可能关注的区域,如缺陷、遗漏或冲突
成文信息应包括但不限于:管理体系文件和记录,以及以前的审核报告。
评审应考虑受审核方组织所处的环境,包括其规模、性质和复杂程度,以及相关的风险和机遇。还应考虑审核范围、准则和目标
6.3.2 审核的策划
6.3.2.1 采用基于风险的方法策划
审核组长应根据审核方案中的信息和受审核方提供的成文信息,采用基于风险的方法来策划审核。
审核策划应考虑审核活动对受审核方过程的风险,为审核委托方、审核组和受审核方就实施审核达成一致提供基础。策划应促进审核活动的高效安排和协调,以便有效地实现目标
审核计划的详略程度应反映审核的范围和复杂性,以及未实现审核目标的风险。在进行审核策划时,审核组长应考虑以下事项
a)审核组的组成及其整体能力
b)适当的抽样技术(见A.6)
c)提高审核活动的有效性和效率的机会
d)由于无效的审核策划造成的实现审核目标的风险
e)实施审核造成的受审核方的风险
审核组成员的存在可能对受审核方的健康和安全、环境和质量及其产品、服务、人员或基础设施的安排产生不利影响,从而对受审核方造成风险
对于多体系审核,应特别关注不同管理体系的运行过程与任何相互抵触的目标以及优先事项之间的相互作用
6.3.2.2 审核策划的具体内容
审核策划的规模和内容可以不同,例如,在初次审核和后续审核之间,以及在内部审核和外部审核之间。审核策划应具有充分的灵活性,以允许随着审核活动的进展而进行必要的调整
审核策划应包括或涉及
a)审核目标
b)审核范围,包括组织及其职能的识别,以及受审核的过程
c)审核准则和引用的成文信息
d)拟实施审核的位置(实际或虚拟)、日期、预期时间及持续时间,包括与受审核方管理者的会议
e)审核组对熟悉受审核方的设施和过程的需求(例如,通过实地考察或评审信息和通信技术)
f)拟采用的审核方法,包括为了获得足够的审核证据需要进行审核抽样的程度
g)审核组成员、向导、观察员或翻译人员的角色和职责
h)在考虑与拟审核的活动有关的风险和机遇的基础上配置适当的资源
适当时,审核策划应考虑
——明确受审核方本次审核的代表
——审核工作和审核报告所用的语言,如果与审核员或受审核方或两者的语言不同时
——审核报告的主题
——后勤和沟通安排,包括对受审核地点的具体安排
——为应对实现审核目标的风险和产生的机遇而采取的任何具体行动
——与保密和信息安全有关的事项
——来自以往审核或其他来源的任何后续行动,如经验教训、项目评审
————对所策划的审核的任何后续活动
——在联合审核情况下,与其他审核活动的协调
审核计划应提交给受审核方。审核计划的任何问题应当在审核组长、受审核方和审核方案管理人员之间解决
6.3.3 审核组工作分配
审核组长与审核组协商后,应将审核具体过程、活动、职能或地点的职责,分配给每个成员,适当时分配决策权。此项分配应兼顾公正性、客观性和审核员的能力以及资源的有效利用,以及审核员、实习审核员和技术专家的不同角色和职责
适当时,审核组会议应由审核组长召开,以分配工作任务并决定可能的变更。为确保实现审核目标,可随着审核的进展调整所分配的任务
6.3.4 准备审核所需的成文信息
A.13给出了准备 审核工作文件的指南
审核组成员应收集和评审与其审核任务有关的信息,并利用任何适当的载体为审核准备成文信息。审核用成文信息可以包括但不限于
a)纸质的或数字化的检查表
b)审核抽样具体内容
c)视听信息
这些载体的使用不应限制审核活动的范围和程度,因其可随着审核中收集的信息而发生变化
为审核准备和产生的成文信息至少应保留到审核完成或审核方案中规定的时间。6.6 描述了审核完成后成文信息的保留。审核组成员应始终妥善保护在审核过程中创建的涉及保密或专有信息的成文信息
6.4 审核活动的实施
6.4.1 总则
审核活动通常按照图1 所示的确定顺序进行,这个顺序可以根据具体审核的情境而改变
6.4.2 为向导和观察员分配角色和职责
如有需要,向导和观察员获得审核组长、审核委托方和/或受审核方的批准,可陪同审核组。向导和观察员不得影响或干扰审核工作的实施。如果不能保证这一点,审核组长应有权拒绝观察员在某些审核活动中出现
对观察员的关于访问、健康和安全、环境、安保和保密的任何安排应受审核委托方和受审核方约定管理
由受审核方指定的向导应协助审核组,并根据审核组长或被指派的审核员的要求采取行动,他们的职责应包括
a)协助审核员确定参加访谈的人员并确认时间和地点
b)安排访问受审核方的特定地点
c)确保审核组成员和观察员了解和遵守关于特定地点的访问、健康和安全、环境、安保、保密和其他问题的安排的规则,并确保任何风险已得到应对
d)适当时,代表受审核方见证审核
e)在需要时作出澄清或协助收集信息
6.4.3 举行首次会议
首次会议的目的
a)确认所有参与者(如受审核方、审核组)同意审核计划
b)介绍审核组及其角色
c)确保所有策划的审核活动能够实施
首次会议应与受审核方的管理者以及受审核的职能或过程的适当的负责人一起举行。会议期间,应提供提问机会
会议的详细程度应与受审核方对审核过程的熟悉程度相一致。在许多情况下,首次会议可简单地包括告知正在进行一项审核以及解释审核的性质
其他审核情况,会议可能是正式的,并应保留出席记录。会议应由审核组长主持
适当时,应考虑介绍下列情况
——其他参加者,包括观察员和向导、翻译和他们的角色概述
——管理由于审核组成员的到场而导致的组织风险的审核方法
适当时,应考虑确认下列事项
——审核目标、范围和准则
——审核计划和与受审核方有关的其他相关安排,如末次会议的日期和时间,审核组与受审核方管理者之间的任何临时会议,以及所需的任何变更
——审核组与受审核方之间的正式沟通渠道
——审核使用的语言
——在审核中,持续对受审核方通报审核进度
——审核组所需资源和设施的可用性
——有关保密和信息安全事宜
——对审核组的关于访问、健康和安全、安保、紧急情况和其他安排
适当时,应考虑提供关于下列事项的信息
——报告审核发现的方法,包括分级准则(如有)
——中止审核的条件
——如何处理审核期间可能的审核发现
——由受审核方就审核发现或结论作出反馈(包括投诉和申诉)的任何渠道
6.4.4 审核中的沟通
在审核期间,可能有必要对审核组内部以及审核组与受审核方、审核委托方、可能的外部相关方之间的沟通作出正式安排,尤其是法规要求强制性报告不符合的情况
审核组应定期讨论,以交换信息,评估审核进度,以及需要时重新分配审核组成员工作
在审核中,适当时,审核组长应定期向受审核方和审核委托方沟通进度、重要审核发现和任何关注。如果在审核中收集的证据显示存在紧急的和重大的风险,应立即报告给受审核方,适当时向审核委托方报告。对于超出审核范围之外的引起关注的问题,应予以记录并向审核组长报告,以便与审核委托方和受审核方进行可能的沟通
当获得的证据表明不能达到审核目标时,审核组长应向审核委托方和受审核方报告理由以确定适当的措施。这些措施可以包括审核策划、审核目标或审核范围的变更或终止审核
对于随着审核活动的进行而出现的任何变更审核计划的需求,适当时应由审核方案管理人员和审核委托方评审和接受,并提交受审核方
6.4.5 审核信息的可获取性和访问
所选择的审核方法取决于所确定的审核目标、范围和准则,以及持续时间和场所。该场所是审核组可以获得特定审核活动所需信息的场所,可能包括实际位置和虚拟位置
在何处、何时以及如何访问审核信息,对审核至关重要。这与创建、使用和存储信息的位置无关。基于这些问题,需要确定审核方法(见表A.1)。审核可以混合使用多种方法。此外,根据审核情境,审核期间可能需要改变审核方法
6.4.6 实施审核时的成文信息评审
应评审受审核方的相关成文信息,以:
A.5提供了关于如何验证信息的指南
——确定文件所述的体系与审核准则的符合性
——收集信息以支持审核活动
只要不影响审核实施的有效性,评审可以与其他审核活动相结合,并贯穿在审核的全过程
如果在审核计划规定的时间框架内无法提供充分的成文信息,审核组长应告知审核方案管理人员和受审核方。应根据审核目标和范围决定审核是否继续进行或暂停,直到成文信息问题得到解决
6.4.7 收集和验证信息
在审核中,应通过适当的抽样收集与审核目标、范围和准则有关的信息,包括与职能、活动和过程间的接口有关的信息,并尽可能加以验证。
验证信息见A.5 关于抽样的指南见A.6
只有经过某种程度验证的信息才能被接受为审核证据。在验证程度较低的情况下,审核员应运用其专业判断来确定可将其作为证据的可信度。应记录导致审核发现的审核证据。在收集客观证据的过程中,审核组如果意识到任何新的或变化的情况,或风险或机遇,应相应地予以关注
图2:收集信息到得出审核结论的典型过程的概述
收集信息的方法包括但不限于
选择信息源和观察指南见A.14 访问受审核方场所指南见A.15 访谈的指南见A.17
——访谈
——观察
——成文信息评审
6.4.8 形成审核发现
应对照审核准则评价审核证据以确定审核发现。审核发现能表明符合或不符合审核准则。当审核计划有规定时,具体的审核发现应包括符合项和良好实践以及他们的支持证据、改进机会和对受审核方提出的任何建议
注1:A.18给出了对审核发现的识别和评价的附加指南 注2:与法律法规要求和其他要求相关的审核准则的符合国不符合,有时被称为合规或不合规与法规有关的符合有时称为合规
应记录不符合以及支持不符合的审核证据
可以根据组织所处的环境及其风险对不符合进行分级。这种分级可以是定量的(如1-5分,也可以是定性的(如轻微的、严重的)。应与受审核方一起评审不符合,以确认审核发现是准确的,并使受审核方理解不符合。应尽一切努力解决与审核证据或审核发现有关的任何分歧意见。未解决的问题应记录在审核报告中
审核组应根据需要在审核的适当阶段评审审核发现
6.4.9 确定审核结论
6.4.9.1 准备末次会议
审核组在末次会议前应充分讨论,以
a)根据审核目标,评审审核发现和审核期间收集的任何其他适当信息
b)考虑审核过程中固有的不确定因素,对审核结论达成一致
c)如果审核计划有规定,提出建议
d)讨论审核后续活动(如适用)
6.4.9.2 审核结论内容
审核结论应陈述以下内容
a)管理体系与审核准则的符合程度和其稳健程度,包括管理体系在达到预期结果方面的有效性,风险的识别以及受审核方为应对风险而采取的行动的有效性
b)管理体系的有效实施、保持和改进
c)审核目标的实现情况、审核范围的覆盖情况和审核准则的履行情况
d)为识别趋势,在已审核的不同区域获得的,或来自联合审核或以前的审核中的类似的审核发现
如果审核计划中有规定,审核结论可提出改进的建议或今后审核活动的建议
6.4.10 举行末次会议
应召开末次会议,以提出审核发现和审核结论
末次会议应由审核组长主持,并有受审核方的管理者出席,适当时包括
——受审核的职能或过程负责人
——审核委托方
——审核组其他成员
——审核委托方和/或受审核方确定的其他有关相关方
适用时,审核组长应告知受审核方在审核过程中遇到的可能降低审核结论可信程度的情况。如果管理体系有规定或与审核委托方达成协议,与会者应就针对审核发现而制定的行动计划的时间框架达成一致
会议的详略程度应考虑管理体系实现受审核方目标的有效性,包括考虑其所处环境以及风险和机遇
末次会议中,还应考虑受审核方对审核过程的熟悉程度,以确保向与会者提供正确的详细程度
一些情况下,会议室正式的,应保留会议记录,包括出席记录,对于另一些情况,例如内部审核,末次会议可以不太正式,只沟通审核发现和审核结论
适当时,末次会议应向受审核方说明下列内容
a)告知所收集的审核证据是基于可获得的信息样本,不一定充分代表了受审核方过程的总体有效性
b)报告的方法
c)如何根据商定的过程应对审核发现
d)未充分应对审核发现的可能后果
e)以受审核方管理者理解和认同的方式提出审核发现和审核结论
f)任何相关的审核后续活动(如:纠正措施的实施和评审、审核投诉的处理、申诉的过程)
应讨论审核组与受审核方之间关于审核发现或审核结论的分歧,并尽可能予以解决。如果不能解决,应予以记录。
如果审核目标有规定,可以提出改进机会的建议,并强调该建议没有约束性
6.5 审核报告的编制和分发
6.5.1 审核报告的编制
审核组长应根据审核方案报告审核结论。审核报告应提供完整、准确、简明和清晰的审核记录,并包括或引用以下内容
a)审核目标
b)审核范围,特别是明确受审核的组织和职能或过程
c)明确审核委托方
d)明确审核组和受审核方在审核中的参与者
e)进行审核活动的日期和地点
f)审核准则
g)审核发现和相关证据
h)审核结论
i)对审核准则遵循的程度的陈述
j)审核组和受审核方之间未解决的分歧意见
k)审核本质上是一种抽样活动,因此存在被查验的审核证据不具代表性的风险
适当时,审核报告还可以包括或引用以下内容
——包括日程安排的审核计划
——审核过程综述,包括遇到可能降低审核结论可靠性的障碍
——确认在审核范围内,已按审核计划达到审核目标
——审核范围内未覆盖的区域,包括任何证据可获得性、资源或保密问题,并附有相关解释理由
——审核结论综述及支持审核结论的主要审核发现
——识别的良好实践
——商定的后续行动计划(如有)
——关于内容保密性质的陈述
——对审核方案或后续审核的影响
6.5.2 审核报告的分发
审核报告应在商定的时间内提交,如果延迟,应向受审核方和审核方案管理人员通告原因
审核报告应按审核方案的规定注明日期,并经适当的评审和批准
审核报告应分发至审核方案或审核计划规定的有关相关方
在分发审核报告时,应考虑采取适当措施确保保密
6.6 审核的完成
当所有策划的审核活动已经执行或出现与审核委托方约定的情形时,审核即告结束
审核的相关成文信息应根据参与各方的协议,按照审核方案或适用要求予以保存或处置
除非法律要求,若没有得到审核委托方和受审核方(适当时)的明确批准,审核组和审核方案管理人员不应向任何其他方泄露审核中获得的任何信息或审核报告。如果需要披露审核文件内容,应尽快通知审核委托方和受审核方
从审核中获得的经验教训可为审核方案和受审核方识别风险和机遇
6.7 审核后续活动的实施
根据审核目标,审核结果可以表明采取纠正、纠正措施或改进机会的需求。此类措施通常由受审核方确定并在商定的时间框架内实施。适当时,受审核方应将这些措施的实施状况告知审核方案管理人员和审核组
应对措施的完成情况及有效性进行验证,验证可以是后续审核活动的一部分。结果应报告给审核方案管理人员,并报告给审核委托方进行管理评审
7 审核员的能力和评价
7.1 总则
对审核的信心和达到其目标的能力取决于参与审核的人员的能力。应通过一个过程定期对人员能力进行评价,该评价过程应考虑个人行为表现以及应用知识和技能的能力。这些知识和技能是通过教育、工作经历、审核员培训和审核经历获得的。评价过程应考虑审核方案及其目标的需求。7.2.3 描述的知识和技能,有一些是所有管理体系领域的审核员通用的,其他则是特定管理体系领域审核员专用的。没有必要要求一个审核组的所有人员都具有相同的能力,但审核组的整体能力应足以实现审核目标。
审核员能力评价应经策划、实施并形成文件,以提供客观、一致、公正和可靠的结果。评价过程应包括如下四个主要步骤
a)确定满足审核需求所需的能力
b)建立评价准则
c)选择适当的评价方法
d)实施评价
评价过程的结果应为下列各项活动提供依据
——选择审核组成员(按照5.4.4的内容)
——确定提高能力的需求
——审核员的持续绩效评价
审核员应通过持续专业发展活动和定期参加审核来开发、保持和提高他们的能力(见7.6)
审核员和审核组长的评价过程见7.3、7.4和7.5
审核员和审核组长的评价准则见7.2.2和7.2.3 以及7.1中建立的准则
审核方案管理人员的能力要求见5.4.2
7.2 确定审核员的能力
7.2.1 总则
在确定一项审核所必需的能力时,应考虑审核员与下列因素有关的知识和技能
a)受审核方的规模、性质、复杂程度、服务和过程
b)审核方法
c)拟审核的管理体系领域
d)拟审核的管理体系的复杂程度和过程
e)管理体系所应对的风险和机遇的类型和级别
f)审核方案的目标以及范围和详略程度
g)审核目标实现过程中的不确定性
h)适当情况下的其他要求,如审核委托方或其他有关相关方提出的要求
这些信息应与7.2.3中列出的信息相匹配
7.2.2 个人行为
审核员应具备必要的素质,使其能够按照第4章所描述的审核原则进行工作。审核员应在从事审核活动时展现职业素养,期望的职业素养包括
a)有道德,即公正、城市、真诚、正直和谨慎
b)思想开明,即愿意考虑不同意见或观点
c)有交往技巧,既得体地与人交往
d)观察敏锐,即主动的观察周围实际环境和活动
e)有感知力,即能意识到并能理解遇到的情况
f)有反应能力,即易于根据不同的情况进行调整
g)坚韧,即坚持并专注于实现目标
h)明断,即能够根据逻辑推理和分析即时得出结论
i)独立自主,即能够独立工作并履行职能,同时与他人有效互动
j)能够坚毅行事,即能够采取负责人的、合理的行动,即使这些行动可能是非常规的并有时可能导致分歧或冲突
k)乐于改进,即愿意从不同情况中学习
l)文化敏感,即善于观察和尊重受审核方的文化
m)合作,即有效地与他人互动,包括与审核组成员及受审核方人员
7.2.3 知识和技能
7.2.3.1 总则
审核员应具备
a)实现审核的预期结果所必需的知识和技能
b)通用能力以及一定水平的特定领域与专业的知识和技能
审核组长应具备领导审核组所必须的额外知识和技能
7.2.3.2 管理体系审核员的通用知识和技能
审核员应具备以下方面的知识和技能
a)审核原则、过程和方法:这方面的知识和技能是审核员确保审核实施的一致性和系统性。审核员应能够:
——了解与审核有关的风险和机遇的类型以及基于风险的审核方的原则
——对工作进行有效地策划和组织
——按商定的日程安排实施审核
——优先处理并关注与重要事项
——有效的口头和书面交流
——通过有效的访谈、倾听、观察和评审成文信息来收集信息
——理解适用抽样技术进行审核的适宜性及其后果
——理解并考虑技术专家的意见
——审核一个过程的开始到结束,适当时,包括与其他过程和不同职能的相互关系
——验证收集的信息的相关性和准确性
——确认审核证据的充分性和适宜性,以支持审核发现和审核结论
——评估可能影响审核发现和审核结论可靠性的因素
——记录审核活动和审核发现,并编制报告
——保持信息的保密和安全
b)管理体系标准和其他引用文件:这方面的知识和技能是审核员能够理解审核范围并应用审核准则,应包括:
——用于建立审核准则或方法的管理体系标准或其他规范性或指导性文件
——受审核方和其他组织对管理体系标准的应用
——管理体系过程之间的关系和相互作用
——理解多个标准或引用文件的重要性和优先级
——标准或引用文件在不同审核情形下的应用
c)组织及其所处环境:这方面的知识和技能使审核员能够理解受审核方的结构、目的和管理实践,应包括:
——影响管理体系的有关相关方的需求和期望
——组织的类型、治理、规模、结构、职能和相互关系
——通用的业务和管理概念、过程及相关术语,包括策划、预算和人员管理
——受审核方的文化和社会因素
d)适用的法律法规要求和其他要求:这方面的知识和技能使审核员能够理解组织的要求,并在此环境下开展工作。与法律责任或受审核方的活动、过程、产品和服务有关的知识和技能应包括:
注:对法律法规要求的认识不意味着具有法律专业知识,体系审核不应被视为法律合规审核
——法律法规要求及其管理机构
——基本的法律术语
——合约机责任
7.2.3.3 审核员的特定领域与专业能力
审核组应整体具备特定领域和专业能力,以适于对特定类型管理体系和专业的审核
审核员的特定领域与专业的能力包括
a)管理体系的要求和原则及其应用
b)与受审核方的管理体系标准有关的领域和专业的基本情况
c)应用特定领域与专业方法、技术、过程和实践,使审核组能够再所确定的审核范围内评估符合性,并形成适当的审核发现和审核结论
d)御领域和专业有关的原则、方法和技术,以使审核员能够确定和评价与审核目标相关的风险和机遇
7.2.3.4 审核组长的通用能力
为使审核有效和高效地实施,审核组长应具备以下能力
a)根据每个审核员的具体能力策划审核工作,并分配审核任务
b)与受审核方的最高管理者讨论战略问题,以确定他们在评价风险和机遇时是否考虑过这些问题
c)在审核组成员之间建立并保持协作的工作关系
d)管理审核过程,包括
——在审核中有效地利用资源
——管理审核目标实现过程中的不确定性
——在审核期间保护审核组安全健康,包括确保审核员遵守有关安排
——指挥审核组成员
——对实习审核员提供指挥和指导
——必要时,预防和解决审核期间可能发生的冲突,包括审核组内部
e)代表审核组与审核方案管理人员、审核委托方和受审核方沟通
f)带领审核组达成审核结论
g)编制完成审核报告
7.2.3.5 多领域审核的知识和技能
注:同时进行的多领域审核可以作为多体系审核或作为覆盖多领域的整合管理体系的审核来完成
审核员应该理解不同管理体系之间的相互作用和协调作用
审核组长应理解每个被审核的管理体系标准的要求,并认识到审核组成员在每个领域中的能力的局限性
7.2.4 审核员能力的获得
审核员的能力可以通过以下途径获得
培训课程的成功取决于课程的类型
a)成功完成涵盖审核员通用知识和技能的培训课
b)相关技术、管理或专业岗位的经历、包括判断、决策、解决问题以及与管理人员、专业人员、同行、顾客和其他有关相关方的沟通
c)有助于发展整体能力的特定管理体系领域和专业方面的教育培训和经历
d)在相同领域具备能力的审核员监督下获得的审核经历
7.2.5 审核组长能力的获得
审核组长应具有附加的审核经历来获得7.2.3.4所描述的能力。这种附加经历应该在另一位审核组长指导下获得
7.3 审核员评价准则的建立
准则应是定性(在工作中或培训中经证实的期望的行为、知识或技能表现)的和定量的(工作年限、受教育年限、审核次数、审核培训小时数)
7.4 选择适当的审核员评价方法
表2 审核员评价方法
使用表2时应注意
a)列表给出了一个可选范围,但可能不适合所有情况
b)各种方法在可信度上可能不同
c)应结合多种方法评价
7.5 进行审核员评价
收集的审核员信息应与7.2.3中的准则进行比较,当被评价的审核远不能满足要求时,则应增加更多的培训、工作或审核经历,并进行后续的再评价
7.6 保持并提高审核员能力
审核员和审核组张以不断提高能力。审核员应通过定期参加管理体系审核和持续的专业发展来保持他们的审核能力,实现的方式诸如:工作经历、培训、个人学习、辅导、会议、研讨、论坛或其他活动
审核方案管理人员应建立适宜的机制,以对审核组长和审核员的表现进行持续评价
持续的专业发展活动应考虑以下方面
a)负责实施审核的组织和个人的需求的变化
b)审核实践的发展,包括技术的应用
c)相关标准,包括指南支持稳价及其他要求
d专业或领域的变化
附录A 审核员策划和实施审核的补充指南
A.1 审核方法的应用
表A.1 审核方法
选择审核方法取决于所确定的审核目标、范围和准则以及持续的时间和地点,还应考虑可获得的审核员能力和应用审核方法出现的不确定性,灵活运用不同的审核方法可以使审核过程及其结果的效率和有效性最佳
审核绩效与被审核的管理体系内相关人员的相互作用以及实施审核所采取的技术有关。可以单独或组合运用表A.1 提供的方法,以实现审核目标。如果一次审核使用多名成员组成的审核组,可以同时使用现场和远程的方法。
注:有关访问实际地点的附加信息见A.15
在策划阶段,审核方案管理人员和审核组长对具体审核中审核方法的有效运用负责,审核组长对实施审核活动负责
远程审核的可行性取决于一些因素(例如:实现审核目标的风险水平、审核员和受审核方人员之间的信任程度以及监管要求)
在审核方案中,应确保适合平衡应用于远程和现场审核方法,以确保圆满实现审核方案目标
A.2 过程方法审核
审核一个管理体系即是审核一个组织的过程以及他们与一个或多个管理体系标准之间的相互作用。当活动被当作形成连贯系统的相互关联的过程得到理解并加以管理时可以更有效和高效地实现一致的和可预见的结果
A.3 专业判断
审核员应在审核过程中运用专业判断,避免以牺牲管理体系预期结果为代价而只专注于标准中的每个条款的具体要求。某些ISO管理体系标准条款并不适合以一套准则与意向程序火作业指导书的内容直接对照的方式来进行审核。在这些情况下,审核员应适用专业判断来确定条款的意图是否得到了满足
A.4 绩效结果
审核员应在整个审核过程中关注管理体系的预期结果,尽管过程及过程结果是重要的,但管理体系的结果及其绩效才是关键的。考虑不同管理体系的整合程度及其预期结果也同样重要
缺少某个过程或文件对高风险或复杂的组织可能是个严重问题,但对其他组织却不一定那么严重
A.5 验证信息
在可行的情况下,审核员应考虑是否提供了充足的客观证据来证实要求已得到满足,例如,信息是否:
a)完整(成文信息中包含着所有期望的内容)
b)正确(内容符合标准和法规等其他可靠来源)
c)一致(成文信息本身以及与相关文件都是一致的)
d)现行有效(内容是最新的)
还应考虑被验证的信息是否提供足够的客观证据来证明满足要求
如果信息的提供方式不同于预期(例如,由不同的个人、替代载体),则应评估证据的完整性
根据数据保护的相关的适用法规,需要格外关注信息安全(尤其是在审核范围之外,但又包含在文件中的信息)
A.6 抽样
A.6.1 总则
在审核过程中,如果检查所有可获得的信息是不现实的或不经济的,则需进行审核抽样,例如记录太过庞大或地域分布太过分散。以至于无法对总体中每个项目进行检查。为了对总体形成结论,对大的总体进行审核抽样,就是在全部数据集(总体)中,选择小于100%数量的项目已获取并评价总体的某些特征的证据。
审核抽样的目的是提供信息,已使审核员确信能够实现审核目标
抽样的风险是从总体中抽取的样本也许不具有代表性,从而可能导致审核员的结论出现偏差,与对总体进行全面检查的结果不一致。其他风险可能源于抽样总体内部的变异和所选择的抽样方法。
典型的审核抽样包括以下步骤
a)明确抽样的目标
b)选择抽样总体的范围和组成
c)选择抽样方法
d)确定样本量
e)进行抽样活动
f)收集、评价和报告结果并形成文件
抽样时应考虑可用数据的质量,数据不足或不准确将不能提供有用的结果。应根据抽样方法和要求的数据类型(如为了推断出特定行为模式获得出对总体的推论)选择适当的样本
对样本的报告应考虑样本量、选择的方法以及基于这些样本和一定置信水平作出的估计
审核可以采用判断抽样(见A.6.2)或者统计抽样(见A.6.3)
A.6.2 判断抽样
判断抽样依赖于审核组的能力和经验(见第7章)
对于判断抽样,可以考虑
a)在审核范围内的以前的审核经验
b)实现审核目标的要求的复杂程度
c)组织的过程和管理体系要素的复杂程度及其相互作用
d)技术、人员因素或管理体系的变化程度
e)以前识别的重大风险和改进机会
f)管理体系监视的输出
判断抽样的缺点:可能无法对审核发现和审核结论的不确定性进行统计估计
A.6.3 统计抽样
如果决定使用统计抽样,抽样方案应基于审核目标和抽样总体的特征
统计抽样设计使用一种基于概率论的样本选择过程。当没个样本只有两种可能的结果时(例如正确或错误、通过或不通过)使用计数抽样。当样本的结果是连续值时使用计量抽样。
抽样方案应考虑检查的结果是计数的还是计量的。例如,当要评价完成的表格与程序规定的要求的符合性时,可以使用计数抽样。当调查食品安全事件的发生次数或安全漏洞的数量时,计量抽样可能更加合适。
当每个样本只有两种可能的结果时使用计数抽样
当样本的结果是连续值时使用计量抽样
当要评价的表格与程序规定的要求符合性时使用计数抽样
当调查食品安全事件或安全漏洞的数量时使用计量抽样
能影响审核抽样方案的因素是
a)组织所处的环境、规模、性质和复杂程度
b)具备能力的审核员数量
c)审核的频次
d)单次审核时间
e)外部要求的置信水平
f)不良事件和/或意外事件的发生
当制定审核方案时,审核员能够接受的抽样风险水平是一个重要的考虑因素。着通常称为可接受的置信水平。例如,5%的抽样风险对应95%的置信水平。5%的抽样风险意味着审核员能够接受被检查的100个样本中有5个(或20个中有1个)不能反映其真值。该真值通过检查总体样本得出。
使用统计抽样时,审核员应适当描述工作情况,并形成文件。这应包括抽样总体的描述,用于评价的抽样准则(例如:什么是可接受的样本),使用统计参数和方法,评价样本数量以及获得的结果。
抽样总体描述
抽样准则
使用的统计参数和方法
评价的样本数量
结果
A.7 管理体系内的合规审核
审核组应考虑受审核方是否具有以下有效过程
a)识别其法律法规要求及其承诺的其他要求
b)管理器活动、产品和服务,以实现对这些要求的合规
c)评价其合规情况
评估受审核方为确保对相关要求的合规而实施的过程时,应考虑受审核方是否
1)具有识别合规要求的变化并将其视为变更管理的一部分的有效过程
2)有具备能力的人员管理其合规过程
3)根据监管方或其他相关方的要求,保持并提供关于其合规状况适当的成文信息
4)灾内部审核方案中包括了合规要求
5)应对任何不合规情况
6)在管理评审中考虑合规绩效
A.8 对组织环境的审核
许多管理体系要求组织确定其所处的环境,包括有关相关方的需求和期望以及内外部因素。为做到这一点,组织可使用各种战略分析和规划技术
审核员应确认组织已经为此建立了适宜的过程并有效运行。以便这些过程的结果为管理体系范围的确定以及管理体系的建立提供可靠的基础。要做到这一点,审核员应考虑与下列有关的客观证据
a)所使用的过程和方法
b)参与该过程的人员的适宜性和能力
c)过程的结果
d)对结果的应用,以确定管理体系的范围和建立
e)适当时,对所处环境进行定期评审
审核员应具有有关特定专业的知识并理解组织可以使用的管理工具,以便判断用于确定组织环境的过程的有效性
A.9 对领导作用和承诺的审核
审核员应收集证据,证明最高管理者参与和管理体系相关的决策的程度,并证实其确保管理体系有效性的承诺。这可以通过评审相关过程的结果和与员工访谈来确定最高管理者的参与程度来实现
审核员应力求鱼最高管理者访谈,以确认他们充分了解与其管理体系相关的特定领域的问题,以及他们组织所处的环境,以便他们能够确保管理体系达到预期结果
审核员应关注各级管理者的领导作用
A.10 对风险和机遇的审核
审核组织风险和机遇的确定可作为单个审核的一部分工作,核心目标是
——确认风险和机遇识别过程的可信性
——确认正确地确定和管理了风险和机遇
——评审组织如何应对其所确定的风险和机遇
对组织确定风险和机遇的方法的审核不应作为孤立的活动来进行。应隐含在体系审核中,包括对最高管理者的访谈,审核员应按照下列步骤审核并收集如下客观证据
a)组织用于确定其风险和机遇的输入,可包括
——对内外部因素的分析
——组织的战略方向
——与特定领域的管理体系有关的相关方以及他们的要求
——风险的潜在来源
b)评价风险和机遇的方法
A.11 生命周期
审核员不应将采用生命周期的方法视为一种要求
生命周期观点包括组织对产品和服务生命周期各个阶段的控制和影响的考虑
生命周期的阶段包括原材料获取、设计、生产、运输和交付、适用、寿命结束后的处理和最终处置
这种方法能够使组织在考虑其范围时,识别在哪些区域可以最小化其对环境的影响,同时为组织增加价值。审核员应就组织如何依据其战略以及如下方面,而开展对生命周期观点的应用进行专业判断
a)产品或服务的寿命
b)组织对供应链的影响
c)供应链的长度
d)产品的技术复杂程度
若组织已将若干管理体系整合,审核员应仔细检查有关生命周期考虑的任何重叠
A.12 对供应链的审核
可以要求对供应链进行针对特定要求的审核,应根据适于供方和外部供方类型的审核准则来制定审核方案。供应链审核的范围可以视不同的。
A.13 准备审核工作文件
当准备审核工作文件时,审核组已ing针对每份文件考虑以下问题
a)使用这份文件将产生哪些纪录
b)那些审核活动与此特定的工作文件相关联
c)谁将是此文件的使用者
d)准备此文件需要哪些信息
对于多体系审核,应通过下列活动避免审核活动的重复
——汇集不同准则的类似要求
——协调相关检查表和问卷内容
审核工作文件应充分关注审核范围内管理体系的所有要素,可通过任何载体提供
A.14 信息源的选择
可根据审核的范围和复杂程度选择不同的信息源,信息源可能包括
a)与员工和其他人访谈
b)观察活动和周围的工作环境与条件
c)成文信息,例如方针、目标、计划、程序、标准、指导书、执照和许可、规范、图纸、合同和订单
c)记录,例如检验记录、会议纪要、审核报告、监视方案和测量结果的记录
e)数据汇总、分析和绩效指标
f)有关受审核方抽样方案和抽样、测量过程的控制程序的信息
g)其他来源的报告,例如顾客的反馈、外部调查和测量、来自外部机构和外部供方评级的其他相关信息
h)数据库和网站
i)模拟和建模
A.15 对受审核方的现场访问
在现场访问中,为了最小化审核活动与受审核方工作过程的相互干扰,并确保审核组成员的健康和安全,应考虑以下方面
a)策划访问时:
——确保允许进入审核范围所确定的受审核方的相关场所
——向审核员提供有关现场访问的足够信息,这些信息涉及的方面包括安保、健康(例如检疫)、职业健康和安全、文化习俗和工作时间,如适用,还包括要求的和推荐的预防接种和检查放行
——如适用,与受审核方确认提供审核组所需的个人防护装备(PPE)
——在考虑安全和保密的情况下,与受审核方确认移动设备和照相机使用的安排,包括记录信息,如地点和设备的照片、截屏副本或文件复印件、活动和访谈视频
——除了非计划的特别审核,确保受访人员知晓审核目标和范围
b)现场活动时
——避免任何对操作过程不必要的干扰
——确保审核组恰当地使用个人防护装备(如适用)
——确保应急程序得到沟通(例如紧急出口,集合地点)
——安排好沟通,尽量避免工作中断
——依据审核范围确定审核组的规模以及向导和观察员的数量,尽量避免干扰运作过程
——除非经过许可,不要触摸或操作任何设备
——如发生事件,审核组长应与受审核方(如果需要,包括审核委托方)一起评审该状况,就是否中断、重新安排或继续审核达成一致。
——如果以任何载体复制文件,应预先征得许可并考虑保密和安全事宜
——做笔记应避免收集个人信息,除非出于审核目标或审核准则的要求
c)虚拟审核活动
——确保审核组使用约定的远程访问协议,包括设备和软件
——如需要截屏,需要得到许可并考虑保密和安全,避免未经本人允许的录音录像
——如果在远程访问期间发生事件,审核组长应与受审核方、必要时与审核委托方一起评审该状况,就是否中断、重新安排或继续审核达成一致
——使用远程位置平面图/示意图作为参考
——在审核中断期间保持对隐私的尊重
需考虑在将来如果不再需要保留信息和审核证据时,对信息和审核证据(无论其载体类型)予以处置
A.16 对虚拟活动和场所的审核
当组织使用在线环境(例如公司局域网、计算云)开展工作,允许人员无论身处何地均可执行过程,则实施虚拟审核。对虚拟场所的审核有时被称为虚拟审核。远程审核是指当面对面不现实或不理想时使用技术来收集信息、与受审核方访谈等
虚拟审核遵循标准的审核过程,同时使用技术来验证客观证据。受审核方和审核组应确保适当的技术,可包括
——确保审核组使用约定的远程访问协议,包括软硬件
——在审核前进行技术检查
——确保应急计划可用并得到沟通,必要时提供额外审核时间
审核员能力应包括
——审核时使用电子设备和其他技术的技能
——主持虚拟会议经验
——虚拟审核或远程审核的风险
在进行虚拟审核时,审核员应考虑
——与虚拟审核和远程审核有关的风险
——使用远程位置平面图来参考或定位电子信息
——协助防止背景噪声干扰
——截屏或录像时征得同意,并考虑保密和安全
——确保审核中断使得保密和隐私
A.17 实施访谈
访谈是一种重要的收集信息的方法,并且应以适于当时情境和受访人员的方式进行。访谈可以是面对面进行,也可以通过其他通信方法。但是,审核员应考虑以下内容
a)受访人员应来自承担审核范围涉及的活动或任务的适当的层次和职能
b)通常在受访人员正常工作的时间和地点进行
c)尽量使受访人放松
d)应解释访谈和做笔录的原因
e)可以从受访人描述其工作开始
f)注意选择提问方式(开放式、封闭式、引导式、欣赏式)
g)意识到虚拟环境中非语言交流有限,应关注在寻找客观证据时使用的问题类型
h)应于受访人总结和评审访谈结果
i)感谢受访人员的参与和合作
A.18 审核发现
A.18.1 当确定审核发现时,应考虑
a)以往审核记录和结论的跟踪
b)审核委托方的要求
c)支持审核发现的客观证据的准确性、充分性和适宜性
d)所策划的审核活动的实现程度和结果的达成程度
e)非常规实践的发现,或改进机会
f)样本量
g)审核发现的分类(如有)
A.18.2 记录符合
对于符合的记录应考虑
a)对判断符合的审核准则的描述或引用
b)支持符合性和有效性的审核证据(适用时)
c)符合性陈述(适用时)
A.18.3 记录不符合
a)描述或引用不符合
b)审核证据
c)不符合陈述
d)相关的审核发现(适用时)
A.18.4 与多个审核准则相关的审核发现的处理
在多体系审核时,识别一个审核发现应考虑到对其他管理体系的可能影响
根据审核委托方的安排,审核员可能提出
a)分别对应每个准则的审核发现;或
b)对照多个审核准则的一个审核发现
根据审核委托方的安排,审核员可以指导受审核方应对这些审核发现