导图社区 审核概论
- 244
- 0
- 0
- 举报
审核概论
CCAA考试必备,审核概论的思维导图,包括审核基础知识、审核方案管理、审核过程、审核关键技术、认证人员的能力要求等内容。
编辑于2022-11-11 14:31:42 辽宁- 审核
- 相似推荐
- 大纲
审核概论
说明
表示本主题曾经考过
数字表示本主题的重要性,①-⑤表示重要性由高到低
本教材重点分布情况
第一章 审核基础知识
第一节 概述
一、什么是审核
管理体系认证、产品认证、服务认证中实施的审核活动
基本程序:(组织)提出申请、申请评审与受理、签订认证合同、审核启动、审核实施、编制审核报告并批准和分发、复核认证决定、注册发证、证后监督及再认证
审核的特点
系统的、独立的、形成文件的过程
二、与审核有关的国际标准
ISO19011《管理体系审核指南》
ISO17021-1《合格评定 管理体系审核与认证机构的要求 第1部分:要求》
GB/T27065《合格评定 产品、过程和服务认证机构要求》
ISO/IEC27007《信息技术 安全技术 信息安全管理体系审核指南》
……
三、审核是审核员的基本功
掌握审核活动特点、熟悉其活动的内在规律和逻辑性,并在实践中熟练运用审核方法,实现审核目标。这是审核员的基本功。
审核活动本身及其对审核活动的管理与下列事项有关
(1)通常审核具有明确的目的
遵循审核原则是得出相应和充分的审核结论的前提,也是审核员独立工作时得出相似结论的前提。
(2)审核员胜任审核任务所需的能力
(3)审核是一种评价管理过程有效性、识别风险和确定满足要求的方法
(4)审核活动是一种集成的活动
(5)审核活动客观存在风险
抽样也许不具备代表性
总体内部的变异
抽样的方法
第二节 审核的基本概念和分类
一、审核的基本概念
(一)对“审核”的理解
为获得审核证据并对其进行客观评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程
GB/T19011 中关于审核的定义
关于审核的定义,从以下方面关注
(1)审核由一系列相关过程和活动构成
(2)采用适宜的审核方法,收集与审核准则有关的有形或无形的证据,依据审核准则对审核证据进行比较、分析和评价,以确定满足审核准则的程度,从而得出审核发现和审核结论。
(3)
——“获得”客观证据的过程是一个取证过程,涉及抽样
——“评价”所获得的客观证据并“确定”与审核准则的符合程度是审核关键活动
——审核风险是客观存在的,其不确定性因素来源是多方面的
(4)审核的特点
“系统性”首先是被审核的主体应该体现其总体性、关联性、有序性和动态性的特征
“独立性”是指审核人员与被审核主体应不存在任何利益关系。独立性是审核的本质特征,也是审核活动顺利进行的必要条件。
“形成文件”是指审核过程的策划准备、实施、结果均要形成文件。
二、审核的分类
(一)按照审核委托方划分的审核类型
1、第一方审核
(1)审核目的
①保障管理体系正常运行和改进的需要
②作为一种管理手段
③为外部审核做准备
(2)审核准则
管理体系文件
相关的法律法规标准
2、第二方审核
(1)审核目的
①合同签的评定
②在合同关系下,验证组织管理体系是否正常运行,产品质量能否持续满足要求
③沟通和加强供需双方对质量要求的共识
(2)审核准则
合同、适用的法律法规和标准
3、第三方审核
(1)审核目的
①确定管理体系是否符合规定要求
②确定管理体系实现规定目标的有效性
③确定受审核方是否可以认证或注册
④为受审核方提供改进机会
⑤为潜在的顾客提供信任
⑥减少重复的第二方审核
⑦确定满足使用的法律法规及合同要求的能力
(2)审核准则
管理体系标准
与产品有关的标准及其他规定要求
受审核方的管理体系文件
适用的法律法规要求标准及其他要求
(二)按认证审核时序划分的审核类型
初次认证审核
第一阶段
第二阶段
监督审核
每个日历年进行,在初次审核认证决定日12个月内内进行
再认证审核
一个认证周期通常为三年
(三)在特殊情况下的审核类型
1、结合审核
认证机构在审核结合审核方案及对其实施管理时需要考虑的因素
首先需要考虑GB/T 19011-2021 当中的要求
(1)结合审核的目的
(2)结合审核所涉及的管理体系标准和规范性文件
(3)结合审核中各管理体系所涉及的技术领域
(4)结合审核的风险识别
(5)根据结合审核的风险识别,认证应采取的控制和降低认证风险的措施
(6)结合审核有效性的保证措施,主要涉及
审核组的能力
组织管理体系的成熟度
根据审核的性质确定过程和活动
审核报告的编制
(7)对两阶段审核要求及其审核内容与结合审核计划的协调做出安排
2、联合审核
两个或以上机构同时审核一个客户
3、特殊审核
扩大范围的审核
根据获证组织的需要,由认证机构安排的对获证组织所申请的产品、活动、过程或组织区域等扩大的范围进行的审核。这类审核可以和监督审核同时进行
提前较短时间通知的审核
当认证的有效性可能遇到威胁存在较大认证风险时,认证机构会对获证组织实施提前较短时间通知的审核
(四)按领域划分的审核类型
管理体系审核
产品审核
过程审核
服务审核
三、与“审核”有关的重要术语及概念
审核
依据审核准则对获取的审核证据进行评价,以确定与审核准则的符合程度,得出审核发现,最终汇总并经综合评价后得出审核结论
(一)审核准则
用于与审核证据进行比较的一组方针、程序或要求
(二)审核证据
与审核准则有关的并且能够证实的记录、事实陈述或其他信息
(1)审核证据是能够证实的记录、事实陈述以及其他信息
客观证据:证明某事物存在或真实性的数据
数据:关于客体的事实
信息:有意义的数据
(2)在审核中收集与审核准则有关的信息并能够证实
(3)审核证据是建立在获取信息样本的基础上的
(4)审核证据可以是定性的或定量的
(5)获得审核证据是审核员的基本技能
面谈
查阅
观察
(6)证据的真实性是指作为证据的事实必须是客观存在的真实现象
(三)审核发现
将收集到的审核证据对照审核准则进行评价的结果
(1)审核发现的判定依据是审核准则
(2)审核发现既有正面的、也有负面的
(3)若审核准则为法律法规,则可理解为合规与不合规
(4)审核发现带有一定主观性,审核员要考虑到这种风险
(四)审核结论
考虑了审核目标和所有审核发现后得出的审核结果
1、审核结论以审核发现为基础
2、审核结论与审核目标和审核发现密切相关
3、ISO17021-1标准 9.4.6 条款“准备审核”结论中规定
(1)对照审核目的和审核准则,审查审核发现和审核中获得的任何其他适用的信息,并对其不符合进行分级
(2)考虑审核过程中内在的不确定性,就审核结论达成共识
(3)就任何必要的跟踪活动达成一致
(4)确认审核方案的适宜性,或识别任何为将来的审核所需要的修改
(五)审核证据、审核发现和审核结论之间的关系
审核准则是判断审核证据符合性的依据,审核证据是获得审核发现的基础,审核发现是做出审核结论的依据。
图1-1:收集和验证信息的过程概述
四、审核常用的术语与定义
(1)评审
对客体实现所规定目标的适宜性、充分性和有效性的确定
(2)评价
合格评定中选取和确定功能的组合的活动
(3)监视
确定体系、过程、产品、服务或活动的状态
(4)测量
确定数值的过程
(5)确定
查明一个或多个特性及特性值的活动
(6)验证
通过提供客观证据对规定要求已得到满足的认定
(7)确认
通过提供客观证据对特定的预期用途或应用要求已得到满足的认定
(8)绩效
可测量的结果
(9)有效性
完成策划的活动并得到策划结果的程度
(10)风险
不确定性的影响
第三节 审核原则
一、审核的特征
公正性
客观性
独立性
二、审核遵循的原则
(一)诚实正直
职业的基础
(二)公正表达
真实、准确地报告的义务
(三)职业素养
在审核中勤奋并有判断力
(四)保密性
信息安全
(五)独立性
审核的公正性和审核结论客观性的基础
(六)基于证据的方法
在一个系统的过程中,得出可信的和可重现的审核结论的合理方法
(七)基于风险的方法
考虑审核过程对审核计划的实施和审核报告的影响,以确保受审核方的重要事项被审核关注并达成审核方案的目标
对比
认证的原则
4.2 公正性
4.2.1 公正,并被认为公正,是认证机构提供可建立信任的认证的必要条件。重要的是,所有内外部人都意识到公正性的必要性
4.2.2 客户支付的认证费用是认证机构的收入来源,也是对公正性的潜在威胁,这一点得到公认
4.2.3 认证机构根据其所获得的符合或不符合的客观证据作出决定,且不受其他利益或其他各方的影响,对于获得和保持信任是必不可少的
4.2.4 对公正性的威胁可能包括,但不限于
a)自身利益:此类威胁源于个人或机构以其自身利益行事。在认证中,财务方面的自身利益是一种对公正性的威胁
b)自我评审:此类威胁源于个人或机构评审自己所做的工作。认证机构对由其进行的管理体系咨询的客户实施管理体系审核属于此类威胁
c)熟识(或信任):此类威胁源于个人或机构对另外一人过于熟悉或信赖,而不去寻找审核证据
d)胁迫:此类威胁源于个人或机构觉察到受到公然或暗中的强迫,如威胁用他人取而代之或向主管告发
4.3 能力
4.3.1 认证机构涉及的所有职能的认证机构人员的能力是认证提供信任的必要条件。
4.3.2 能力也需要由认证机构的管理体系来支撑
4.3.3 认证机构的一个关键问题是具有一个得到实施的过程,来为参与审核和其他认证活动的人员建立能力准则,并按照准则实施评价
4.4 责任
4.4.1 始终一致地达到实施管理体系标准的预期结果和符合认证要求的责任,在于获证客户而不是认证机构
4.4.2 认证机构有责任对足够的客观证据进行评价,并在此基础上做出认证决定。根据审核结论,如果符合性的证据充分,认证机构欧作出授予认证的决定;如果符合性证据不充分,则不授予认证
任何审核都是基于对管理体系的抽样,因此并不保证管理体系100%符合要求
4.5 公开性
4.5.1 为获得对认证的诚信性与可信性的信任,认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态(即认证的授予、保持, 认证范围的扩大或缩小,认证的更新、暂停、 恢复或者撤销)的适当、及时信息的公开渠道,或公布这些信息。公开性是获得或公布适当信息的一项原则。
4.5.2 为获得或保持对认证的信任,认证机构宜向特定利益相关方提供获取特定审核结论的非保密信息的适当渠道,或公布这些信息
4.6 保密性
为了享有获取充分评价管理体系符合性所需信息的特权,认证机构不透露任何保密信息是至关重要的
4.7 对投诉的回应
依赖认证的各方期望投诉得到调查。认证机构应当使依赖认证的各方相信,在投诉经查明有效时,认证机构将对这些投诉进行适当的处理,并为解决这些投诉做出适当的努力。当投诉表明出现错误、疏忽或不合理行为时,对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手段。对投诉进行适当的处理将维护对认证活动的信任。
注:为了向认证的所有用户证明认证的诚信性与可信性,需要在公开性和保密性 (包括对投诉的回应)等原则之间取得适当的平衡。
4.8 基于风险的方法
认证机构需要考虑与提供有能力的、一致的和公正的认证相关的风险。风险可能与下列方面有关(包括但不限于)
——审核目的
——审核过程的抽样
——真正的和被感知的公正性
——法律法规问题和责任问题
——所审核的客户组织及其运行环境
——审核对客户及其活动的影响
——审核组的健康和安全
——利益相关方的认知
——获证客户做出的误导性声明
——标志的使用
三、遵循审核原则的意义
审核原则是审核行动的基础,确保能够实现审核目标
遵循审核原则,使审核结果有价值且为审核有关的各方接受
遵循审核原则,能够确保不同的审核组和审核员对同一管理体系的审核能得出相似的结论
共同遵守约定的审核原则是国际上对认可与认证证书互认的基础
审核原则是认证认可的基础,是认证机构开展审核活动的指南
第四节 认证中的审核活动
一、审核是认证的关键活动之一
(1)选取
——明确符合性评定所依据的标准或其他文件规定
——选取拟被评定的对象
——统计抽样技术规范(适宜时)
(2)确定
——为确定评定对象的规定特性而进行的测试
——对评定对象物理特性的检查
——对评定对象相关的体系和记录的审核
——对评定对象的质量评估
——对评定对象的规范和图纸的审查
(3)复核与证明
——评定从确定阶段收集的评定对象符合规定要求的证据
——返回确定阶段,以解决不符合项的问题
——拟定并发布符合性声明
——在合格产品上加贴符合性标志
(4)监督
——在生产现场和通往市场的供应链中进行确定活动
——在市场中进行确定活动
——在使用现场进行确定活动
——返回确定阶段,以解决不符合项的问题
——拟定并发布持续符合性确认书
——如果有不符合项,启动补救和预防措施
二、管理体系认证、产品认证和服务认证中的审核活动
(一)管理体系认证中的审核
管理体系认证是一种证实活动,审核的实施为这种“证实”提供了用于评价的充分客观证据和有用信息,现场审核的一致性和有效性直接决定了认证的有效性。
管理体系认证是一种保证方法,用于确保组织已实施了与其方针及相关国际管理体系标准的要求一致的、用以管理其活动、产品和服务的相关方面的体系
管理系统认证是与“管理体系”有关的第三方“证明”,是一种“证实”活动。审核的实施为这种“证实”提供了用于评价的充分客观证据与有用信息。现场审核的一致性和有效性直接决定了认证的有效性
(二)产品认证中的审核活动
由第三方通过检验评定企业的质量管理体系和样品型式试验来确定企业的产品、过程或服务是否符合特定要求,是否具备持续稳定地生产符合标准要求的产品的能力,并予以书面证明的程序。
GB/T27067《合格评定 产品认证基础和产品认证方案》
6种产品认证方案
GB/T27053《合格评定 产品认证中利用组织质量管理体系指南》
GB/T19011《管理体系审核指南》
(三)在服务认证中的服务管理审核
GB/T27067中的方案类型6,主要适用于服务和过程认证
思考题
1、审核的定义与内涵
2、审核、审核准则、审核证据、审核发现、审核结论的关系。
3、审核的类型
4、第一、第二、第三方审核的主要目的和准则
5、审核活动在各类认证中的应用
第二章 审核方案管理
第一节 概述
一、审核方案的定义
针对特定时间段所策划,并具有特定目的的一组(一次或多次)审核的安排
GB/T19011《管理体系审核指南》
认证方案
针对特定的管理体系,适用相同的要求、规则和程序的认证制度。
管理体系认证方案
应用相同的规定要求、具体规则与程序,与特定管理体系相关的管理体系认证制度
审核方案是管理体系认证制度下的认证方案的一种表现形式
建立审核方案为审核活动的实施提供了一整套基于策划、实施、监督和改进的方法和手段。
认证制度
通用的认证规则、程序和(对第三方产品认证、服务认证、管理体系认证的)管理要求
实施具体产品、过程、服务认证的规则、程序和管理由认证方案规定
二、审核方案管理流程
图2-1:GB/T 19011 中的审核方案管理流程
三、审核方案的内容及审核方案管理
(一)审核方案的主要内容
审核方案可以包括针对一个或多个管理体系标准的审核,可单独实施,也可结合实施。审核方案的范围与程度应基于受审核组织的规模和性质,以及受审核管理体系的性质、功能、复杂程度、风险和机遇的类型以及成熟度水平。当重要功能在其他组织的领导下外包和管理时,管理系统的功能可能更加复杂,需要特别注意最重要决策在何处制定,以及最高管理层的构成。
1、审核方案内容
(1)某段时间内対特定组织的一组审核或具体某一次审核的活动安排,通常包括GB/T19011标准第6章所述内容
GB/T 19011-2021 6 实施审核
6.1 总则
6.2 审核的启动
6.3 审核活动的准备
6.4 审核活动的实施
6.5 审核报告的编制和分发
6.6 审核的完成
6.7 审核后续活动的实施
(2)为保证审核的有效实施,资源提供方面的活动安排。包括人力、技术、时间、财务等。
2、审核方案分类
(1)依据审核目的划分
第一阶段审核方案
第二阶段审核方案
监督审核方案
提前较短时间的审核方案
再认证审核方案
(2)依据审核方式划分
联合审核方案
结合审核方案
(3)依据认证客户的不同需求还有特定的审核方案
如:扩大范围审核方案
通常,认证机构可根据每个人争客户的规模、性质和复杂程度,策划一个认证周期的审核方案。亦可针对某一次具体审核策划审核方案。
(二)审核方案的管理
(1)审核方案的管理就是对审核方案所涉及的活动的策划、实施及监视评审和改进
①策划需要开展的活动、实施所规定的活动,监视、评审和改进活动实施的符合性和有效性
②明确与上述活动有关的管理职责,建立并实施控制程序,配置所需的资源
(2)为了理解受审核方的背景,审核方应考虑受审核方的
组织的目标
相关的内部和外部问题
利益相关方的需求和期望
信息安全和保密要求
全面了解受审核方背景,有效完成审核工作
(3)审核方案管理通常可涉及涉及认证机构的
合同评审人员
专业能力评价人员
审核组长
认证决定人员
各级审核方案管理人员应确保审核方案有效实施和持续改进
(4)审核方案的管理,需有效确保审核活动能够优先分配审核资源和方法给管理系统中具有较高风险和较低绩效水平的事项。
(5)审核方案管理中的信息管理十分重要。信息应包括
有关审核目标的信息
审核的范围
范围
地点
边界
审核的日程安排
数量
持续时间
频次
审核类型
内部或外部审核
审核准则
审核方法
选择审核组成员标准
形成文件并予以管理
(6)审核方案的实施应基于持续不断地监视和测量以确保达到其目标
第二节 建立审核方案的目标
一、审核方案的目标
审核方案的目标是指:审核委托方通过实施审核方案中的一组审核所要达到的目的
审核委托方应确保建立审核方案目标以指导审核的策划与实施,并确保审核方案得到有效执行。
审核方案的目标可基于以下几方面考虑
(1)管理的优先事项或管理制度要求
(2)商业意图和其他业务意图
审核委托方
(3)过程、产品和项目的特性及其变化
(4)管理体系要求
(5)满足法律法规和合同要求
(6)供方评价需要
受审核方
(7)相关方的需求和期望
审核委托方和受审核方
(8)组织所面临的风险
(9)绩效水平和管理体系的成熟度
(10)以前审核的结果
受审核方
二、管理体系认证中确立审核方案的目标
(1)应对整个认证周期制定审核方案,以清晰地识别所需的审核活动。这些审核活动用以正式客户的管理体系符合认证所依据的标准,或其他规范性文件的要求,认证周期的审核方案硬覆盖全部的管理体系要求。
(2)初次认证审核方案应包括两阶段初次审核。认证决定之后的第一年和第二年监督审核和第三年认证到期前进行的再认证审核。
(3)审核方案的确定与任何后续调整应考虑客户的规模,其管理体系、产品和过程的范围与复杂程度,以及经过证实的管理体系有效性水平和以前审核的结果。
审核目标(目的)举例
第三节 建立审核方案
一、审核方案管理人员的作用与职责
审核方案管理人员应根据相关目标,确定审核方案的范围和任何已知的限制;确定可能影响审核方案的内外部问题、风险和机遇,并采取行动应对,将这些行动纳入所有相关的审核方案中;通过合理分配角色、职责和权限,以及有效地组织和协调,确保审核组的选择和审核活动的总体能力。
审核方案管理人员的职责通常体现为
第一、可以是直接负责审核活动实施的职责
——确定审核方案的目的和审核方案的范围和程度
——规定职责,制定程序
——识别所需的资源
——监视、评审和改进审核方案
第二、主要体现为对审核方案的管理职责
——确保审核资源的提供
——确保审核方案的有效实施,并为其提供支持
——确保有关审核方案实施和管理的文件与记录的有效管理
二、审核方案管理人员的能力
——理解审核原则,例如:GB/T19011当中提出的审核原则
——理解审核员的能力以及审核组整体能力的概念
——理解审核技术的应用,这里指审核员开展审核所需要运用的知识
——具有最基本的协调能力,掌握基本的IT化工具为其对项目的管理提供技术支持
——了解与受审核方活动相关的技术和业务。
——了解与受审核方活动、产品有关的法律法规和其他要求
可适当考虑风险管理、项目和过程管理以及信息和沟通技术(ICT)知识,审核方案管理人员应参加适当的专业持续发展活动,以及时掌握管理审核方案所需的知识和技能。
表2.2:认证机构为特定认证职能确定的知识和技能
三、确定审核方案资源
审核方案资源包括
财务资源
审核员培训费用
设施
审核期间的办公设施
人力资源
审核员、技术专家
技术资源
专业审核指导书、专业培训、法律法规要求等
时间资源
审核时间、审核人员路途时间
后勤资源
审核员交通食宿安排
其他
通讯工具、审核工作文件、信息资源
识别和提供审核资源时需要考虑
——在实施一个新的领域或新的业务范围的审核之前,需要开展一系列与审核方案有关的活动。
确定审核方案指定的依据和输入信息
确定必要的审核方案范围和程序
准备必要的技术资料
准备与审核方案有关的作业指导书
进行人员培训
——审核技术资源的准备
与审核方案有关的审核员 应了解和掌握的技术
审核抽样技术
质量管理工具及其运用
环境管理工具
服务认证中队服务蓝图技术、服务质量评价技术
——获得适合于具体审核方案实施的审核员和技术专家
——审核方案的范围和程度
——交通和时间上的保障
四、确定审核方案的程序
(一)审核方案的程序应包括的基本内容
作为审核方案的程序,主要是为开展审核方案所涉及的活动规定路径
目的和范围、做什么、谁来做、何时、何地、如何做、需要的资源、如何控制和保持记录
(二)认证机构通常制定的审核方案程序
为确保审核方案的实施宜建立以下程序
(1)认证申请受理及认证合同评审程序
(2)审核人员管理程序
(3)审核管理程序
初次、监督、再认证、提前较短时间、扩大范围
(4)审核组管理程序
以上程序涉及对以下内容的管理
——一个认证周期的审核安排、一次具体审核的活动安排
——管理体系变更或某种特定情况出现以后的审核安排
——审核人员及其它资源管理方面的安排
——对相关活动进行协调和做出日程安排
——对审核员专业发展实施初步评价的继续培训
——审核组的组建、审核人日的事宜安排
——对审核组提供必要的技术资源
——对审核过程发生的意外问题的反馈和控制
——审核证据收集和审核报告的控制
——审核的后续跟踪
五、确定审核方案的范围和详略程度
(一)影响审核方案的范围和详略程度的主要因素
(1)每一次审核的目标、范围、持续时间和审核次数,适用时还包括审核后续活动
(2)受审核组织的规模、性质、审核活动的数量、重要性、复杂性、相似性和地点
(3)适用的审核准则
(4)以往审核的结果和以往的审核方案评审的结果
(5)语言、文化和社会因素
(6)相关方的关注点
(二)认证机构确定审核方案应考虑的方面
(1)确定审核方案时宜基于以下方面的考虑(不限于)来获取与认证客户相关的认证信息,并与认证客户的要求和期望达成一致
——认证客户管理体系的范围及其复杂程度
——认证客户的组织规模及拟审核的场所
——产品服务过程活动的复杂程度及风险程度
——认证客户管理体系的成熟度或有效性水平
——相关方的关注点
——法律法规及其行业性的强制要求
——以往的审核结论或以往审核的评审结果
——认证客户组织或其运作的重大变化
——认证客户所处的地域、文化、语言等
(2)审核方案输入的客户信息包括
——组织名称、隶属关系、所有制、组织结构、规模及其职能
——拟申请的认证类型
——拟申请认证的范围
——生产服务活动的特点(连续性、周期性、季节性、阶段性)
——管理体系覆盖的有效人数
——有关删减和分包情况
——倒班情况和时间安排
——多场所及其分布情况
——近期发生的、对体系运作有重大影响的投诉、事故或曝光情况
——相关的行政许可和法律法规要求
——管理体系的现状及有效性水平
——拟申请认证的时间
——使用的语言
(3)审核方案应随审核的类型及认证客户的规模、性质和复杂程度而定,并宜有以下输出
——审核目标
——审核准则和其他规范性文件
——审核频次
——审核范围
——审核时机
——审核时间的确定
——审核组的要求
——审核内容和要求
(4)审核频次
——认证机构应根据与每个认证客户签订的认证协议或认证客户变化的信息来确定并调整期审核频次
通常为初次认证审核、两次监督审核和再认证审核
——当管理体系、组织过管理体系的运作环境有重大变更时,再认证审核活动可能需要第一阶段,此类变更可能发生在任何时间,认证机构可能需要实施特殊审核,该特殊审核可能需要或不需要两阶段审核。
——当出现下列情况时,应在审核方案中考虑调整相应的审核频次,如可能包括缩短审核周期、增加审核频次或增加提前较短时间通知的审核
①认证客户出现重大质量、环境、安全或食品事故
②认证客户发生影响认证基础的重大变更,如说有权、规模、产品服务、人员、设备变化等。
③国家行政主管部门的要求或抽查的结果
(5)已认可的认证转换审核方案。在确立审核方案时,认证机构应根据获证客户认证转换申请,充分考虑客户以往的审核信息,包括
——历次审核所反映的管理体系建立、实施、保持和改进的情况
——产品或服务质量状况
——顾客满意情况和投诉
——质量环境职业健康安全监督和抽查情况
——上次审核的不合格情况
——文审意见和结论
对客户持有的认证充分性存疑时,可以考虑作为新客户对待,或仅针对所发现的问题进行监督审核
(6)扩大认证范围审核方案
考虑拟扩大认证范围所涉及的产品过程和活动及其场所与原认证范围的相关性
相关程度低,该审核方案的范围宜充分覆盖拟扩大范围所涉及的产品、过程、活动和场所,包括对管理体系文件评审,以及为满足扩大范围的认证要求贰需要的审核活动。
可以与监督审核同时进行
(7)多体系结合审核方案
结合审核方案应考虑ISO 17021 标准 9.1.3
9.1.3 审核方案
9.1.3.1 应对整个认证周期制定审核方案,以清晰地识别所需的审核活动,这些审核活动用以证实客户的管理体系符合认证所依据标准或其他规范性文件的要求。 认证周期的审核方案应覆盖全部的管理体系要求。
9.1.3.2 初次认证审核方案应包括两阶段初次审核、 认证决定之后的第一年与第二年的监督审核和第三年在认证到期前进行的再认证审核。 第一个三年的认证周期从初次认证决定算起。 以后的周期从再认证决定(见9.6.3.2.3)算起。 审核方案的确定和任何后续调整应考虑客户的规模,其管理体系、产品和过程的范围与复杂程度,以及经过证实的管理体系有效性水平和以前审核的结果。
注1:附录E提供了一个典型的审核与认证过程的流程图。 注2:下面列举了建立或修改审核方案时可能需要考虑的其他事项,在确定审核 范围和编制审核计划时可能也需要考虑这些事项: - 认证机构收到的对客户的投诉; - 结合、一体化或联合审核; - 认证要求的变化; - 法律要求的变化; - 认可要求的变化; - 组织的绩效数据( 例如缺陷水平、 关键绩效指标( KPI)数据等) ; - 利益相关方的关注。 注3:如果特定的行业认证方案有规定,认证周期可以不为3年
9.1.3.3 监督审核应至少每个日历年(应进行再认证的年份除外) 进行一次。初次认证后的第一次监督审核应在认证决定日期起12个月内进行。
注:为了考虑诸如季节或有限时段的管理体系认证(例如临时施工场所)等因素,可能有必要调整监督审核的频次。
9.1.3.4 如果认证机构考虑客户已获的认证或由另一认证机构实施的审核,则应获取并保留充足的证据, 例如报告和对不符合采取的纠正措施的文件。所获取的文件应为满足本文件要求提供支持。认证机构应根据获取的信息证明对审核方案的任何调整的合理性,并予以记录,并对以前不符合的纠正措施的实施进行跟踪。
9.1.3.5 如果客户采用轮班作业,应在建立审核方案和编制审核计划时考虑在轮班工作中发生的活动。
结合审核方案应考虑 GB/T 19011-2021 标准有关审核方案管理的指南
5 审核方案的管理
5.1 总则
5.2 确立审核方案的目标
5.3 确定和评价审核方案的风险和机遇
5.4 建立审核方案
5.5 实施审核方案
5.6 监视审核方案
5.7 评审和改进审核方案
审核方案管理的PDCA
认证机构在制定结合审核方案及对其实施管理还应考虑的因素
——结合审核的目标
——结合审核所涉及的管理体系标准和规范性文件
——结合审核中各管理体系所涉及的技术领域
——结合审核的风险识别
与每一个管理体系相关的法律、法规要求的情况
对受审核组织及其建立的管理体系的信任度
受审和组织的行业风险和社会关注度
认证机构现有认证资源的配置基础
——根据结合审核的风险识别,认证应采取的控制和降低风险的措施
——结合审核有效性的保证措施
确保实施结合审核的审核组能力满足所有管理体系要求,合理分配审核任务,确保每个管理体系审核的完整性。
确保结合审核计划充分考虑了两阶段审核内容安排
确保结合审核计划考虑了组织的管理体系的状况
根据审核性质,确保结合审核计划覆盖了全部管理体系标准要求的过程和活动
确保对所有管理体系的审核深度
确保审核报告清楚地表明所有管理体系的符合性
当不符合涉及多个体系时,确保受审核方针对每一个管理体系的纠正和纠正措施
(8)对两阶段审核要求及其审核内容与结合审核计划的协调性作出安排
若结合审核两阶段审核组长分别由不同人担任,审核方案还应对此情况作出充分安排
关于审核要求在审核方案中的考虑:通常可包括对产品、过程、活动及其场所的抽样要求、审核关注的重点和两阶段审核的安排等
①对客户组织的产品服务分班次运行的情况,应根据各班次对管理体系的影响程度提出相应的审核要求
②对多场所的认证项目,应按照CNAS-CC11的要求对多场所抽样
③对多场所认证客户,针对总部和各场所之间的管理职能和接口提出关注重点
④近期发生过事故的认证项目,提出相关的审核事项和关注点
⑤对认证客户存在重大变更的情况,提出正对性审核要求
⑥针对上一次审核的薄弱环节,提出本次审核关注点
示例:表2-5:审核方法选择同管理成熟度的对应关系
六、识别和评价审核方案的风险
GB/T19011中明确以下事项可能存在风险
——策划,例如:未能确定有关的审核目标,未能确定审核的范围、频次等
——资源,例如:制定或实施审核的时间、设备或培训不足
——审核组的选择,例如:审核组的整体能力不足
——沟通,例如:无有效的内外部沟通渠道
——实施,例如:审核协调不力,未考虑信息的安全和保密
——成文信息控制,例如:未有效地确定审核员和有关利益方所需的文件
——监督,审核和改进审核方案,例如:未有效监视审核方案的结果
——受审核方的协助与配合以及抽样的证据的有效性
与审核方案制定和实施有关风险的具体例子
——审核范围界定错误、遗漏产品或过程、超认可业务范围
——审核时间不充分
审核组构成不合理,不具备能力
审核组内部无有效沟通机制,审核前中无沟通,仅传递不符合项信息
——审核准备不充分
——审核计划不合理,任务分配不当
现场审核时,审核员缺少审核技能
FMEA潜在失效模式和后果分析可应用于审核方案风险控制
第四节 审核方案的实施
一、审核方案管理人员应做的工作
(一)与有关各方沟通审核方案,协调和安排审核日程以及与审核方案相关的活动
(二)确定每次审核的目标、范围和准则
(三)选择审核方法
(四)确保选择具备所需能力的审核组,为审核组提供必要的资源
(五)确保根据审核方案进行审核,对审核期间出现的问题进行处置
(六)确保记录审核活动并妥善管理和保持审核记录
审核计划、检查表、不符合报告、纠正和纠正措施报告、审核报告;
对认证机构来说,还可能包括:合同评审记录、文件审查记录、审核通知书、预审核人员有关的记录等
(七)对审核方案进行检测评审,以确定其改进机会
二、规定每次审核的目的、范围和准则
每次审核都应明确审核目标、范围和准则,并与总体审核方案的目标一致
审核目标规定每次审核应完成什么,可以包括
——确定所审核的管理体系或其一部分与审核准则的符合程度
——评价管理体系的能力,以确保满足法律法规及其他要求
——评价管理体系在实现预期目标方面的有效性
——识别管理体系的潜在改进之处
——评价管理体系的背景和战略方向上的适宜性和充分性
——评价管理体系建立和实现目标并应对风险和机遇的能力,包括行动的实施
审核范围应与审核方案和审核目标相一致,包括
审核范围是指审核的内容和界限
包括场所、组织单元、被审核的活动和过程,以及覆盖的时期
同时审核多个领域时,各领域的覆盖范围可能不同
审核准则作为确定符合性的依据,可能包括适用的方针、过程、程序、关键目标绩效、法律法规要求、管理体系要求、有关背景信息以及受审核方确定的风险和机遇,行业行为规范获取他策划安排。
如果审核目标、范围和准则有任何变化,应根据需要修改审核方案,并通知有关相关方。
当对多个管理体系同时审核时,审核目标、范围和准则与相关审核方案的目标保持一致是非常重要的
三、选择和确定审核方法
审核方案管理人员应选择和确定有效和高效进行审核的方法
选择和确定审核方法取决于审核目的、范围和准则、持续时间和地点、审核员的能力以及应用审核方法时所产生的不确定性
审核可以现场、远程或它们的组合,在考虑相关风险和机遇的基础上,平衡这些方法的使用
图:审核方法的实例
联合审核时,应就审核方法达成一致,并考虑对审核资源和审核策划的影响
四、选择审核组成员
为确保审核组的能力,应考虑
——考虑到审核范围和准则以实现审核目标所需要的审核组的整体能力
——审核的复杂性
——是否结合审核或联合审核
——所选定的审核方法
——确保客观性和公正性,以避免审核过程中的利益冲突
——相关的内外部事项,例如语言、社会、文化特征
——拟审核的过程的类型和复杂性
决定审核组的规模和组成时,应考虑
——审核目标、范围、准则和预计审核时间
——审核的复杂程度
——是否结合、联合或一体化审核
——所选择的审核方法
——审核组成员独立于被审核活动以及避免任何利益冲突的需要
——实现审核目标所需的审核组整体能力
——认证要求
——语言和文化
结合审核或一体化审核组长应至少对一个标准有深入的知识,并了解该审核所使用的其他标准
技术专家不应担任审核任务,可以就审核准备、策划或审核提供技术支持
每个审核员应有一名向导陪同
五、为审核组长分配每次的审核职责
审核方案管理人员应向审核组长分配实施每次审核的职责
为确保有效地实施审核,应向审核组长提供下列信息
审核目标
审核准则和引用文件
审核范围
包括需要审核的组织单元、职能单元以及过程
审核方法和程序
审核组的组成
审核方的信息
联系方式、审核活动的地点、日期和持续时间
为实施审核所配置的适当资源
评价和关注已识别达到审核目标的风险所需的信息
支持审核组长与受审核方互动以获得审核方案有效性的信息
适用时,还包括以下信息
在审核员与受审核方的语言不通的情况下,审核工作和报告的语言
审核方案要求的审核报告内容和分发范围
如果审核方案有要求,与保密和信息安全有关的事宜
审核员健康和安全要求
安全和授权要求
任何需要评审的行动
与其他审核活动的协调
联合审核时,就本次审核组长权限达成一致
六、审核计划
认证机构应确保为审核方案中的每次审核编制审核计划,以便为有关各方就审核活动的日程安排和实施达成一致提供依据。不期望认证机构在建立审核方案时,为每次审核都编制审核计划。
审核计划应与审核目标和范围相适应,包括或引用
审核目标
审核准则
审核范围
包括识别拟审核的组织和职能单元或过程
拟实施现场审核活动的日期和场所
包括临时场所的访问和远程审核活动
预计的现场审核活动持续时间
审核组成员及同行人员的角色和职责
审核计划的信息可以包含在一个以上的文件中
认证机构应要求审核组
检查和验证客户与管理体系标准相关的结构、方针、过程、程序记录及相关文件
确定上述方面满足于拟认证范围相关的所有要求
确定客户组织有效地建立实施并保持了管理体系过程和程序,以便为建立对客户管理体系的信任提供基础告知客户其方针、目标及指标的任何不一致,以便采取措施。
审核机构应提前与客户就审核计划进行沟通,并商定审核日期,告知审核组信息
七、管理审核方案的调整
确定是否需要调整审核方案需要考虑(但不限于)的因素
——第一阶段审核的结果
——以往的审核发现和审核结论
——客户及其管理体系的变更
——认证范围的变更
——有关的投诉
——经证实的管理体系的有效性水平
——持续改进的情况
——来自客户的最新需求
——外部环境的变化
(一)第一阶段审核后的审核方案调整
(1)确定是否需要为审核组补充专业能力和增补审核员
(2)审查审核时间的充分性
(3)根据实际场所的数量和运作情况,调整审核的抽样量
(4)确定进入第二阶段审核的时机
(二)监督审核前的审核方案调整
调整审核方案的因素
上一次审核的结果
认证客户的最新信息
对认证客户的日常管理情况
审核方案的评审结果
调整可能涉及
增加对体系文件的评审
扩大或缩小认证范围
增加审核时间
针对客户管理体系的相关问题
(三)再认证审核前的审核方案调整
认证周期内客户发生事故
管理体系发生重大变化
(四)认证审核过程中的审核方案调整
(1)客户信息不充分导致的审核资源配备不足
(2)突发事件
(3)审核中可供评审的样本量不足
(4)客户提供的信息与实际情况不符
雇员数量、倒班、场所数量及其分布情况等
(5)审核时未覆盖到的区域,或认证范围所涉及的产品服务无相关的专业活动
(6)客户出现重大(质量、环境、安全)事故
调整的结果可能是
补充专业审核员
增加或减少审核时间
调整抽样量
缩小审核范围
中断审核
八、管理审核方案的结果
审核方案管理人员应确保下列活动得到实施
——评价审核方案内每项审核的目标实现情况
——评审和批准关于实现审核范围和目标的审核报告
——评审为处理审核发现而采取行动的有效性
——向有关利益方分发审核报告
——确定任何后续审核的必要性
适宜时,审核方案管理人员应考虑
将审核结果和最佳实践传达给组织的其他领域
对其他过程的影响
九、管理和保持审核方案记录
GB/T19011要求记录应包括以下各项内容
——与审核方案相关的记录
审核日程表
审核方案的目标和范围
涉及审核方案的风险和机遇及相关事项
评审审核方案的有效性
——与每次审核有关的记录
审核计划和审核报告
客观审核证据和调查结果
不符合报告纠正措施和预防措施报告
审核后续活动报告
——与审核组相关的记录
审核组成员的能力和绩效评价
审核组及其成员以及组建审核组的标准
能力的保持和提高
——与获证客户相关的记录
ISO17021-1
——申请资料及初次认证、监督和再认证的审核报告
——认证协议
——适用时,多场所抽样方法的理由
——确定审核时间的理由
——纠正与纠正措施的验证
——投诉和申诉及任何后续纠正和纠正措施的记录
——适用时,委员会的审议和决议
——认证决定的文件
——认证文件、包括与产品或过程相关的认证范围,适用时,包括每个场所相应的认证范围
记录的形式和详略程度应证明达到了审核方案的目标。
审核准备形成的成文信息应至少保留至审核完成或审核方案中的规定
第五节 审核方案监视、评审和改进
一、监视和评审的目的
确定审核方案的适宜性以及实施的有效性
识别纠正措施和预防措施及其他改进活动
二、监视和评审的内容
1、监视的内容
第一,监视审核组实施审核计划的能力
(1)审核人员的能力与所承担的审核任务对审核组整体能力要求相适应
(2)审核计划内容完整、周密,审核范围覆盖了所需神恶化的过程和活动
(3)抽样方案具有合理性和可操作性
(4)所记录的审核证据具有可证实性,审核发现和审核结论的可靠性,审核报告完整准确及时
第二,监视审核的实施与审核方案和日程安排的符合性
第三,监视来自审核委托方、受审核方和审核员的反馈
(1)审核的实施能否为认证的批准或保持提供充分可靠的信息,受审核方的管理体系能否实现方针和目标
(2)来自受审核方的反馈信息
(3)监视来自关注审核结果的各方的意见和反馈
2、评审的内容
审核方案管理人员应确保
——审核方案的总体执行情况
——识别改进的区域和机会
——必要时更新审核方案
——评审审核员的持续专业发展
——报告审核方案的结果,并酌情与审核客户和利益相关方进行审查
审核方案评审应考虑
——审核方案监测的结果和趋势
——与审核方案程序的符合性和相关的成文信息
——相关方进一步的需求和期望
——审核方案记录
——可替代的或新的审核方法
——可替代的或新的审核员评价方法
——应对风险和机遇的有效性,以及与审核方案相关事项
——与审核方案有关的保密性和信息安全事项
认证机构应记录并传递审核方案修改相关的信息
——认证客户的信息
——认证评审的信息
——审核方案确定和调整的结果
——审核计划
——审核方案实施中审核组反馈的信息
——认证决定过程中形成的信息
——再认证审核前对管理体系有效性的评价
——获证客户有关暂停、事故、投诉的信息
审核方案应动态管理,积累审核过程中的经验
(1)多体系审核时,应尽量安排有多体系资格的审核员,便于在结合审核中进行多种体系审核
(2)合理安排资源,选择合适人担任组长。
(3)审核前要充分沟通,选择适宜的审核日期,确保受审核方能充分配合
(4)使审核组的能力水平符合审核需要
第六节 认证机构对审核方案的管理
认证机构的审核方案管理同时要满足认可规范和GB/T 19011-2021标准的要求
应对整个认证周期制定审核方案,以清晰的识别所需的审核活动。这些审核活动用以证实客户的管理体系符合认证所依据标准、或其他规范性文件要求。认证周期的审核方案覆盖全部的管理体系要求。
审核方案的确定和任何后需调整应考虑客户的规模,其管理体系、产品和过程的范围与复杂程度,以及经过证实的管理体系有效性水平和以前审核的结果。
一、审核方案的文件化
——审核方案的程序
——申请、合同评审的结果及引发的措施的记录
——认证合同及其引用文件
图2-2:审核和认证的典型流程
二、审核方案的管理内容
(1)基础性管理活动
——对审核方案的管理进行授权
——确定与审核方案有关的通用性活动安排
——实施综合性的审核方案的监视和评审活动
——实施改进活动
(2)与受审核方有关的针对性管理活动
——进行认证合同评审,签订认证合同
——策划和实施每次审核
——监视和评审审核方案
——调整和改进审核方案
资料:增值审核
一、增值
(一)对获证组织
(1)是最高管理层了解组织实现战略目标的能力
(2)发现和解决影响组织绩效的问题,从而提高组织的绩效
(3)发现改进机会和可能存在风险的领域
(二)对组织的顾客
增强提供合格产品的能力
(三)对认证机构
提高第三方认证过程的可信性
二、对增值审核的提示
(一)依据审核方案进行审核的策略
(1)理解受审核方的期望,了解受审核方的企业文化
(2)识别和确认需要关注的具体问题
(3)分析组织所属行业的风险
(4)预先评价法律法规要求
(5)为实现审核目标而正确选择审核组及评审审核组的能力
(6)安排足够的审核时间
(二)审核方法
(1)采用适宜的审核方法,通过程序文件、作业指导书、检查单等给予技术支持
(2)关注审核过程及审核结果
(3)牢记“过程方法”“基于风险的思维”“PDCA循环”已经成为所有管理体系标准的基础,并在整个标准中贯彻实施
(4)全面评价审核发现,将其与对组织整体能力判断结合起来,为组织的持续改进提供有价值的建议
(5)及时有效地报告审核结果,追踪组织改进的绩效
三、增值审核的“五段十八要点”
图2-3:“五段十八要点”增值审核方法

(一)第一段:职业根基
1、观察力和好奇心
2、勤奋
3、执着
4、沟通能力
5、宣讲能力
6、逻辑能力
7、知识结构
8、团队
(二)第二段:预研
9、技术资料
10、理解组织
(三)第三段:精准聚焦
11、绩效
(1)理解并持续满足要求
(2)从增值的角度考虑过程
(3)获得有效的过程绩效
(4)在评价数据和信息的基础上改进过程
12、顾客要求
企业的生存发展始终依托于顾客,离开顾客、企业将成无源之水无本之木,无法永续经营。因此企业要以顾客为导向,不断持续满足日益增长的各种需求,提高顾客满意度,才能在市场竞争中保持优势,顾客要求应在审核中持续关注,以一条主链持续贯穿在审核中,才能提供增值审核。
13、关键的少数
(四)第四段:研究判断
14、问正确的问题
15、假设推理
根据非现实情景,抽象出其实质成分并得出逻辑结论的思维过程
16、根因查证
(五)第五段:增值
17、改进方向
18、提质增效
思考题
1、如何理解“审核方案”的定义及其内涵?
2、审核方案如何体现特定受审核方组织的特点?
3、每次审核前策划审核过程并编制审核计划时,如何对审核方案加以利用?
4、如何在审核方案中设定审核记录的方式,以更好地体现审核的逻辑性和有利于审核发现的得出?
5、审核方案管理人员在审核方案管理中的职责和任务。
6、审核方案的评审和改进通常包括哪些活动?
7、列举1-2例增值审核过程的实例。
8、影响增值审核的因素有哪些?如何利用审核方案促进审核过程的增值?
第三章 审核过程
第一节 概述
审核活动的策划和实施是审核方案的组成部分,其实施效果直接影响到审核方案的总目标的实现
审核范围和复杂程度会受到是结合审核还是联合审核、审核委托方和相关方需求、受审核方组织的规模、产品、环境因素、危险源及过程复杂程度、是否多场所等方面的因素影响
一、审核阶段和活动
(1)审核的启动
与受审核方建立联系
确定审核的可行性
(2)审核活动的准备
审核准备阶段的文件评审
编制审核计划
审核组工作分配和审核工作文件
(3)审核活动的实施
举行首次会议
审核实施阶段的文件评审
审核中的沟通
向导和观察员的作用和职责
信息的收集和验证
形成审核发现
准备审核结论
举行末次会议
(4)审核报告的编制与分发
(5)审核的完成
上述所有四个阶段活动完成,并分发审核报告之后,审核即告完成
(6)审核后续活动的实施(如有规定)
受审核方纠正、纠正措施和预防措施
改进措施的确定、实施
实施状态报告
审核委托方对措施完成情况及有效性的验证
对比
认证的过程
《管理体系认证基础》第六章第五节
认证前的活动
初次认证的策划
审核实施
认证决定
监督活动
再认证
二、典型的审核与认证流程
图3-1:典型审核活动
图3-2:审核和认证过程的典型流程
三、审核阶段活动使用度
(1)对评价潜在供方的第二方审核,审核后续活动可能是不必要的
(2)对认证审核,监督审核范围通常比初次审核范围小
(3)对内部审核,向导作用、建立初步联系、确定审核可行性等相对简单。
(4)审核范围和复杂程度不同,审核计划的详细程度也不同
(5)不同规模组织、不同类型审核,首末次会议的详细程度和正式程度不同
(6)不同类型审核,审核报告内容及详细程度不同
第二节 审核的启动
从审核开始直到完成,审核组长都应对审核的实施负责
一、与受审核方建立联系
(1)与受审核方代表建立沟通渠道
(2)确认(可以对受审核方)实施审核的权限
(3)(向受审核方)提供有关审核目标、范围、方法和审核组组成(包括技术专家)的信息
(4)获得用于策划审核的相关文件和记录信息,包括已经识别的风险和机会,以及如何应对这些风险和机会的信息。
(5)确定与受审核方的活动、过程、产品和服务相关的适用法律法规要求、合同要求和其他要求。
(6)确认与受审核方关于保密信息的披露程度和处理的协议
(7)对审核做出安排,包括日程安排
(8)确定特定场所的访问、健康安全、安保、保密或其他要求
(9)就观察员的到场和审核组向导或翻译的需求达成一致意见
(10)针对具体审核,确定受审核方的关注事项、问题或风险
(11)与受审核方或审核委托方一起解决有关审核组组成的问题
二、确定审核的可行性
(一)确定审核可行性需要考虑的因素
1、策划审核所需的信息
(1)受审核方及其管理体系的基本信息
(2)管理体系文件的制定与实施情况
(3)有关管理体系运行充分性的基本情况
2、受审核方的充分合作
(1)为文件评审提供必要的信息
(2)为现场审核的调查取证提供配合
(3)现场审核期间,对审核组的生活工作安排
(4)进入有安全要求的现场提供防护
3、足够的时间资源
(1)初步确定的审核日期能否为审核准备阶段的文件评审、审核计划的编制等审核准备工作给出足够的时间
(2)能否安排具备相应知识与技能的审核组及充分的现场审核时间
(二)确定审核可行性的方式
认证申请及相关信息
认证合同和协议的评审结果
相关信息进行审核可行性确认
审核不可行的情况
管理体系运行不充分
运行时间不充分(小于三个月)
内审、管评未完成
不满足法律法规要求
未取得相应的资质
企业严重违规
现场无生产活动
主要人员不在场
审核准备未完成
审核组人员没有时间
文件评审未完成
审核计划未完成
三、审核不可行性的替代建议
存在下列情况,审核不可行
(1)管理体系运行不充分
试运行时间不充分
一般管理体系试运行时间至少为3个月
内审、管理评审未进行
(2)不满足法律法规要求
未取得相应资质
企业严重违规
现场无生产活动
企业主要人员不在场
(3)审核准备未完成
如审核组人员、文件评审、审核计划未按期完成
审核不可行时:双方协商一致、提出替代方案。如推迟审核,改变审核目的、调整审核范围等。
第三节 审核活动的准备
一、文件化信息的评审
(一)文件化信息评审的目的
(1)收集信息(例如过程、职能方面的信息)以准备审核活动和适用的工作文件,如编制审核计划,准备检查表等
(2)了解体系文件范围和程度的概况,以发现可能存在的差距
(二)文件化信息评审的要求
(1)文件中所提供信息的评审
①完整性
文件中包含所有期望的内容
②正确性
文件内容符合标准和法规,来源可靠
③一致性
文件本身及相关文件都是一致的
④现行有效
文件的内容是最新的
现场审核时仍将评审
(2)所评审的文件是否覆盖审核范围并提供足够的信息来支持审核目标
(3)依据审核方法确定对信息和通信技术的利用,是否有助于提高审核效率
(三)文件化信息评审的依据和内容
1、文件化信息评审主要依据审核方案确定的审核准则
与受审核方产品有关的标准和相关规范
管理体系标准
适用法律法规和其它要求
2、文件化信息评审的内容
(1)方针和目标
(2)描述管理体系覆盖范围的文件化信息
(3)描述管理体系整体情况、过程及相互作用的文件化信息
(4)与管理体系相关的重要的文件和记录
(5)以往的审核报告
(6)必要时,可包括“标准”要求的其他文件化信息
(7)需要时,其他文件信息
(四)文件化信息评审的方式
1、在受审核方之外的场合进行
2、在受审核方进行
3、第一阶段审核时
(五)文件化信息评审的实施
1、文件化信息评审人员
审核组长
受组长委托的审核员
专业资质的技术支持
2、文件化信息评审
(1)应了解受审核方文件化管理体系的框架和文件架构,评审文件的完整性、正确性、一致性、有效性和统一性。
(2)如有不符合、不适宜或不充分,应形成书面评审意见——文件评审报告,通知审核委托方、审核方案管理人员、受审核方。
(3)审核组长应提出评审报告,形成审核结论。判断实施审核活动的风险,决定是否进行现场审核活动。
(4)审核组长应根据受审核方修改补充后的文件进行再次评审,直到问题得到解决。
在任何情况下,文件评审都应该在第二阶段审核前完成
图3-2:第三方审核的文件化信息评审流程
子主题
(六)审核准备阶段文件化信息评审的结论
1、通过
2、基本通过
3、需要对形成文件的信息进行修改
(七)文件化信息评审应注意的问题
(1)以审核准则为依据,不能超出标准规定提出要求
(2)不能用咨询的口气提出对文件的修改意见
(3)管理体系标准未要求统一的文件化的管理体系的架构、文件结构和格式
(4)审核准备阶段文件审核只是对受审核方文件的初审,主要是审核文件的符合性
(八)审核准备阶段文件化信息评审示例
1、文件化信息内容符合性评审
(1)质量方针、目标是否满足GB/T19001-2016标准要求
方针能否支持组织的战略方向,是否包括满足要求和持续改进的承诺,是否适合与组织的活动产品和服务的性质,是否为制定和评审质量目标提供了框架,是否经过正式批准;
质量目标是否与质量方针保持一致,内容是否考虑了适用的要求、包括与组织的产品和服务及增强顾客满意有关的内容,目标是否可测量;
是否对目标实现进行了策划
(2)提供的对质量管理体系范围的描述,是否清楚地界定了组织的质量管理体系边界和适用性,范围界定是否清楚,是否考虑了组织所处的环境、相关方的需求和期望,是否识别并清楚地界定了组织质量管理体系的现场区域、运行单位、活动、产品和服务的覆盖范围
(3)形成文件的信息中描述的概念、术语和定义、内容是否正确,是否符合标准和法规要求;是否与其他相关文件协调,且内容最新有效
(4)认证机构要求组织提供的其他描述质量管理体系的相关文件的完整性、准确性。
生产流程图
平面布置图
主要设备清单
产品标准清单
法律法规清单
(5)如果多个管理体系文件结合在一起,应明确界定他们之间的接口,整合文件必须同时满足不同体系要求,并协调一致,完整准确有效。
(6)组织提供的用于评审的管理体系文件的信息应现行有效,且经过审批,受控。
2、文件评审报告
表3-1:管理体系文件评审报告示例

二、编制审核计划
审核计划的定义
审核活动的安排和描述
审核计划是对一次具体的审核安排活动及其日程作出安排的文件,是审核组长对一次审核活动策划的结果
审核计划与审核方案的比较
(一)审核计划的作用
审核计划为审核委托方、审核组和受审核方之间就审核实施达成一致意见提供了依据
(1)对于审核委托方,审核计划要满足审核方案总目的与审核方案程序的要求,并作为审核方案监视的依据之一。
(2)对与审核组,审核计划要明确审核的具体内容和要求,包括分工,为审核活动实施进行预先安排提供参考。
(3)对于受审核方,审核计划要便与其了解审核活动的内容与具体安排,提前做好准备工作。
(二)审核计划的内容
(1)审核目的
(2)审核范围,包括受审核的组织单元、职能单元及过程。
(3)审核准则和引用文件
(4)实施审核活动的地点、日期、时间,包括与受审核方管理者的会议。
(5)使用的审核方法,包括所需的审核抽样范围,适用时的抽样方案设计。
(6)审核组成员、向导和观察员的作用和职责。
(7)为审核关键区域配置适当资源
适当时还包括
——明确受审核方代表
——语言不同时的工作语言
——审核报告的主题
——后勤和沟通安排
——针对不确定因素的措施
——保密和信息安全
——以往审核的后续措施
——后续活动
——联合审核时的协调
(三)编制审核计划时应考虑的因素
1、审核活动的风险、审核范围及目的
基于审核计划的编制要求,审核计划应考虑审核活动对受审核方的活动和过程的风险和影响、审核的范围和复杂程度、以及实现审核目标的不确定性因素。编制审核计划时,审核组长应考虑
(1)适当的抽样技术
(2)审核组的组成及其整体能力
(3)提高审核活动有效性和效率的机会
(4)审核计划无效对实现审核目标的风险
(5)对受审核方的风险
2、审核的类型和阶段
初次审核
第一阶段
第二阶段
必须有正式的审核计划
监督审核
再认证审核
多体系结合审核
审核计划应覆盖每一个管理体系
(1)结合审核的时机
(2)结合审核的范围
(3)结合审核的抽样方案
特殊审核
3、审核的工作量及时间
(1)影响审核计划工作量和审核时间的因素
①相关管理体系标准、技术标准及其相关规范的要求
②受审核方规模和复杂程度
③技术和法规环境
④管理体系范围内活动的分包情况
⑤以往审核的结果;管理体系的成熟度和有效性
⑥场所的数量和规模、地理位置以及对多场所的考虑
⑦与组织的产品、过程或活动关联的风险
⑧是否结合审核、联合审核或一体化审核
(2)确定审核时间
①员工人数包括组织管理体系覆盖范围内的所有个人 员工总数=不倒班人数+倒班人数/(倒班数-1)
②现场审核时间不得低于总人日数×80% 减少时间不得超过30% 多体系审核减少量不得超过时间总和20%
③已实施第一阶段现场审核,第二阶段时间不宜低于总时间70% 第一阶段非现场审核,第二阶段时间不宜低于总时间80%
④CAAT(计算机辅助审核)不宜超过总时间50% CAAT超过现场审核时间30%以上,需要得到认可机构批准
⑤监督审核时间一般为初审的1/3,再认证审核为初审的2/3
⑥一个审核人日为8小时,不能增加每天的工作时间来减少人日数
表3-2:QMS审核时间要求(初次认证审核)
4、审核多场所(现场)的抽样
(1)场所
(2)多场所
①所有场所都受控于一个管理体系,集中管理,统一进行内审和管理评审
②按照内部审核程序对所有场所实施了审核
③认证机构在考虑了相关因素的基础上,已审核了有代表性的场所
(3)多场所抽样
应考虑的因素
①对拟认证组织的了解程度
②管理体系的成熟度
③产品或服务的实现、环境因素和危险源等重要性与程度
④与敏感问题的相互作用关系
⑤法律法规的不同要求
⑥相关方的关注和意见
⑦现场规模和管理体系的复杂程度
⑧内审和管理评审的结果与报告的信息
⑨组织运作方式、职能重复性、活动差异性、人员现场分布与轮班情况
抽样方式
①随机抽样
至少应占25%
②选择性抽样
不同场所均有可能被抽取
最大限度覆盖不同风险等级、规模极其不同分权程度
(4)多场所抽样样本量的确定
Y≥k√X
表3-5:抽样系数表

5、审核任务的分配
审核组长应将审核的职责、区域和场所、过程或活动分配给审核组的每个成员。确保审核计划满足认可规范和认证机构的有关要求
在编制审核计划分配审核任务时应考虑
不同级别审核员和技术专家在审核组中的不同职责
审核员的资格和能力
审核时间的充分性
审核组中的专业分工符合不同领域管理体系审核的专业要求
当管理体系与其他体系一起审核时应考虑
(1)审核员的资格应满足要求
(2)将相似的过程分配给同一小组审核
(3)审核时间应足够
(4)确保审核组中的专业能力
6、审核路线(方式)
(1)按过程审核
优点
目标清晰明确
易与文件化信息对照
便于评价
缺点
重复审核,效率低
对受审核方正常工作干扰大
(2)按部门审核
优点
效率较高,减少对一个部门往返审核次数
缺点
审核内容分散
容易遗漏关键过程
(3)顺向追踪
优点
系统性强、可观察接口、信息量大
缺点
耗时较长
(4)逆向追踪
优点
目标集中、针对性强、有利于发现问题
缺点
不易厘清复杂问题
对审核员能力要求高
(四)审核计划的批准、确认和修改
审核计划应符合审核方案程序的要求,由审核委托方评审和接受
在现场审核前提交受审核方确认,如受审核方对审核计划有异议或反对意见,应在审核组长、受审核方和审核委托方和必要时审核方案管理人员之间协商加以解决
审核计划可进行适当修改,修改后的计划须在现场审核前得到审核委托方批准、受审核方的再次确认
审核计划应具有充分的灵活性,允许随着审核活动的进展进行必要的调整,但必须得到有关各方的同意
(五)编制审核计划应注意的问题
编制审核计划应基于风险的思维,充分考虑审核活动对受审核方过程带来的风险和影响、审核的类型和阶段、审核时间、多场所抽样、审核路线,并注意
(1)避免仅为满足时间要求而轻视效率
(2)安排好会议时间
首次会议30分钟
末次会议30-60分钟
(3)应考虑最佳的审核路线和方式
(4)充分利用文件评审和得到的信息对审核分工,保证审核时间。
(5)对关键过程、区域配备足够的资源和时间
(6)合理分配部门和过程的审核时间,主意共性要求
(7)专业审核员审核专业部门的专业过程
(8)人员配置分工合理
(六)管理体系审核计划示例
表3-6、表3-7
见《审核概论》P87-91
三、审核组工作分配
(一)审核员的独立性和能力的要求
(1)审核员应确保在审核中的独立性
(2)分配任务应与审核员的知识技能相适应
(3)对于结合审核,要确保具备资格和能力
(二)资源的有效利用
避免多名审核员在同一时间审核同一对象
安排具有相似性或关联性的审核任务给统一审核员
(三)审核员、实习审核员和技术专家的不同作用和职责
实习审核员应有能力的审核员指导
技术专家灵活安排在现场,在审核员指导下工作
随着审核的进展,为确保更好地达到审核目的,可以调整所分配的审核组工作任务
认证机构应说明审核组的任务
(1)检查和验证受审核方与标准、技术要求规范相关的结构、方针、过程、程序、记录及相关文件
(2)确定上述方面满足于拟认证范围相关的所有要求
(3)确定受审核方有效建立、实施并保持了管理体系过程和程序,以便为建立对客户管理体系的信任提供基础
(4)告知受审核方其方正、目标及指标的任何不一致,便于其采取措施
四、准备工作文件
(一)工作文件的准备
1、工作文件的内容
(1)检查表
(2)抽样方案
(3)记录信息的表格
2、准备工作文件时要考虑的问题
(1)审核组针对每份文件应考虑
①使用这份文件将产生哪些纪录
②那些审核活动与此工作文件相关联
③谁使用此文件
④准备此文件需要哪些信息
(2)对于结合审核,准备的文件应通过以下活动避免重复审核
①汇集不同准则的类似要求
②协调相关检查表和问卷的内容
(3)工作文件应充分关注审核范围内的所有要素,可以是任何媒介
(二)编制检查表
1、检查表的性质与作用
(1)保持审核目标的清晰明确
(2)保持审核内容的周密完整
(3)保持审核节奏和连续性
(4)减少审核员的偏见和随意性
(5)作为审核实时记录存档
2、检查表的内容
(1)审核项目/内容和要点——查什么
明确需要检查的内容,审查的内容来自审核准则,尤其是受审核方的体系文件,并考虑审核范围、审核计划的要求。接和受审核方部门或过程的体系文件规定列出审核要点,确保审核内容的玩车问你个性和审核具有针对性。
(2)审核的方法——怎么查
明确审核曹勇的方法,并包括抽样方案的设计,根据审核准则和受审核方的体系文件提供的信息,确定到哪里查、找谁查、用什么方法查,要充分考虑审核方法、技巧和样本量。
3、现场审核抽样方案的设计
抽样的目的
提供信息,使审核员确信能够实现审核目标
抽样的风险
样本不具代表性
抽样总体的变异和所选择的抽样方法
抽样的步骤
明确抽样计划的目标
选择抽样范围和组成
选择抽样方法
确定样本量
抽样
收集评价和报告结果并形成文件
概要
(1)抽样方法
审核抽样的目的是提供信息,以使审核员确信能够实现审核目标
抽样的风险包括
样本或许不具有代表性
抽样总体的变异
所选择的抽样方法
典型的审核抽样步骤
明确抽样计划目标
选择抽样总体的范围和组成
选择抽样方法
确定样本量
进行抽样活动
收集、评价和报告结果并形成文件
①条件抽样
根据调查人员的主观经验从总体样本中选择那些被判断为最能代表总体的单位作为样本的抽样方法
条件抽样可以考虑的因素
a)在审核范围内的以前审核的经验
b)在实现审核目标的要求的复杂性(包括法律法规要求)
c)组织的过程和管理体系要素的复杂性及其相互作用
d)技术、人员因素或管理体系的变化程度
e)以前识别的关键风险领域和改进的领域
f)管理体系监视的结果
条件抽样的缺点
可能无法对审核发现和审核结论的不确定性进行统计估计
②统计抽样
统计抽样是指同时具备随机选取样本、运用概率论评价样本结果这两个特征的抽样方法。如果决定使用统计抽样,抽样方案应基于审核目标和抽样总体的特征。
统计抽样分类
简单随机抽样
等距抽样
分层抽样
整群抽样
a.统计抽样设计使用一种基于概率论的样本选择过程。当没个样本只有两种可能的结果时使用计数抽样。当样本的结果是连续值时使用计量抽样。
b.抽样方案应当考虑结果是计数的还是计量的。影响审核抽样方案的关键因素
组织的规模
胜任的审核员数量
审核的频次
单次审核时间
外部要求的置信水平
c.制定统计抽样方案时,审核员能够接受的抽样风险水平(可接受的置信水平)是一个重要的考虑因素
d.使用统计抽样时,审核员应适当描述工作情况并形成文件。一般应包括
抽样总体描述
用于评价抽样的准则
使用的统计参数和方法
评价的样本数量以及获得的结果
(2)合理抽样
审核抽样方案如果遵守“明确总体、合理抽样”原则,就已经采用了“统计抽样”
明确总体是指抽样时要首先圈定拟审核对象的总体
合理抽样体现在
①保证样品有一定的量
经验数据是3-12
②分层抽样
③适度均衡抽样
根据总体数量的大小确定样本量
④独立随机抽样
审核员应亲自抽样
⑤覆盖全面
注:不同性质的场所、职能、产品、过程不能抽样。但目前对于多场所的抽样方法,也属于典型的统计抽样方法。
(3)策划和实施抽样审核时的注意事项
抽样是审核的基本方法
编制检查表就开始抽样方案设计
抽样具有局限性和风险
应随机抽样并具有代表性,保证足够样本量
抽样应考虑和注意的方面
明确抽样对象和总体
保证足够样本
分层抽样
适度均衡
亲自抽样
相信样本
初次审核时,不同性质的过程和场所、职能部门、产品和服务不能抽样而均应进行审核
4、编制检查表的依据
(1)管理体系标准
(2)受审核方的管理体系文件化信息
(3)适用的法律法规标准规范和其他要求
(4)收集到的受审核方有关信息
(5)合同
(6)审核计划
5、编制检查表的基本思路
检查表应体现审核的思路
通常按照PDCA的思路对过程进行审核
(1)过程是如何确定和规定的?相关职责是否明确规定?标准中要求的输入输出是什么?
(2)文件化信息和规定是否得到实施和保持?
(3)实施的结果如何?是否满足预期目标?
(4)过程需要哪些改进?
在上述审核思路的基础上,可采用不同的审核方式和方法
规定-实施-检查-改进措施(PDCA)
检查-实施-规定
主管部门-执行部门-场所
执行/使用部门、场所-主管部门
从过程控制的结果,查控制的有效性
从控制的有效性,查控制结果
关键过程重点检查
按照PDCA审核每个过程
6、编制和使用检查表应注意的事项
(1)编制检查表的注意事项
①依据标准和受审核方文件化信息策划并确定检查表的内容
②应用过程方法的思路设计检查表
③按照审核方式编制检查表
以部门为主的检查表,应列出部门有关的主要过程的审核内容和方法
以过程为主的检查表,应写明要查的主要部门和方法
④选择典型问题、注重关键过程,突出被审核部门的主要职能或过程
⑤抽样具有代表性
⑥注意审核内容的逻辑顺序
⑦考虑到审核员的经验和知识
(2)编制检查表应注意的其它问题
①不能脱离审核准则
②注意检查表的可操性
③不能忽视审核方法和抽样方案
④注意检查表的应用风险
(3)检查表的使用
①不必向受审核方展示,不需要受审核方确认
②灵活使用检查表
③除非遇有不符合或发现重大线索,不要偏离检查表
④若发生审核范围改变,可不局限于原审核范围
⑤应综合运用提问、观察、查阅文件、核实、追踪等方法
(三)工作文件的保存与信息保密
工作文件至少应保存到审核结束
审核完成后的文件,应依据协议、审核方案、适用的要求予以处理
妥善保管涉密或知识产权信息的工作文件
(四)检查表示例
表3-8、表3-9:按过程和按部门的检查表示例
见《审核概论》P99-101
第四节 审核活动的实施
一、管理体系认证审核的两个阶段
审核活动的实施阶段主要包括
首次会议
审核实施阶段的文件评审
审核中的沟通
向导和观察员得作用
信息的收集和验证
形成审核发现
准备审核结论
末次会议
现场审核可以包括对包含管理体系审核相关信息的电子化(或虚拟)场所的远程访问,亦可考虑使用电子手段实施审核
(一)第一阶段审核的目的和要求
第一阶段策划应确保实现第一阶段审核的目的。第一阶段审核主要是收集必要的信息,为第二阶段审核的顺利实施做好充分的准备工作
1、目的
(1)审核受审核方的文件化管理体系信息
(2)评价受审核方现场的具体情况,并与受审核方人员讨论,确定第二阶段准备情况
(3)审查受审核方理解和实施标准要求的情况,特别是对管理体系的关键绩效或重要因素、过程、目标和运作的识别情况
(4)收集关于受审核方管理体系范围的必要信息
受审核方的场所
使用的过程和设备
所建立的控制水平(特别是客户为多场所时)
适用的法律法规要求
(5)审查第二阶段所需资源的配置情况,并与受审核方商定第二阶段相关细节
(6)结合管理体系标准或其他规范性文件,了解管理体系和现场运作,为第二阶段提供关注点
(7)评价受审核方是否策划和实施了内部审核和管理评审,以及管理体系的实施程度能否证明受审核方已为第二阶段审核做好准备
2、要求
(1)通过了解受审核方管理体系概况,现场勘察对受审核方的绩效有重大影响的过程或场所,并与有关人员座谈,以便安排第二阶段审核事宜,确定第二阶段审核重点。
(2)第一阶段审核不要求对所有要素进行审核。也不必对所确定审核要素的所有方面都进行审核。
(3)第一阶段审核中发现的不符合,可以开具不符合报告或列出不符合清单,但严重不符合需要得到纠正才能进行第二阶段
(4)第一阶段不要求正式的审核计划。第一阶段完成后,审核组应对收集的信息和证据进行分析,就受审核方对过程等因素确定的充分性、适宜性以及对审核准备的充分性进行判断,分析实施第二阶段审核存在的风险,审核组长编写第一阶段审核报告。但第一阶段的输出不必满足审核报告的所有要求。
(二)第二阶段审核的目的和要求
1、第二阶段审核的目的
判断受审核方的管理体系是否符合审核准则的所有要求,管理体系是否得到有效运行,是否有效实施了组织的方针和目标
受审核方是否遵守了管理体系的各项程序
管理体系是否能通过现场审核,推荐认证注册
2、第二阶段审核的重点内容
(1)管理体系标准以及其他规范性文件要求的符合情况及证据
(2)依据关键绩效指标对绩效进行监视、测量、报告和评审
(3)受审核方管理体系的能力以及在符合适用法律法规要求和合同要求方面的绩效
(4)受审核方过程的运作控制
(5)内部审核和管理评审
(6)规范性要求、方针、绩效目标和指标、适用的法律要求、职责、能力、运作、程序、绩效数据和内部审核发现及结论之间的联系
(三)两个阶段审核的安排
针对每一个申请组织的初次认证审核,应基于管理体系的复杂程度、认证机构的能力、认证项目的风险等方面考虑确定在组织现场实施第一阶段审核的必要性和可行性
1、第一阶段审核安排考虑因素
通常情况下,为满足第一阶段审核目标的要求,针对大多数的初次认证审核,建议至少部分第一阶段宜在受审核方现场进行
适合现场实施第一阶段审核的情况或考虑的因素
(1)复杂的组织管理体系
①组织的规模、结构及其职能复杂
②组织的运作场所及现场复杂多样
③体系覆盖了大量知识产权控制范围,或高度复杂的活动和过程
④多个管理体系结合审核
(2)新扩展的技术或认证领域
(3)对组织的产品服务、过程中知识产权保护相关技术缺乏足够了解
(4)高风险项目
①法规环境或社会关注度高的行业
②高风险特性的专业类别
(5)联合审核
2、第一阶段不宜在现场审核的条件
示例1:再认证审核
当受审核方的体系、机构、或运作环境发生变化时,可能需要第一阶段
示例2:受审核方曾获得其他认证机构颁发的相应管理体系认证证书
示例3:受审核方已获得本机构颁发的其他管理体系认证证书
示例4:受审核方管理特性明显、过程简单、认证风险较低
示例5:认证机构在受审核方所在行业和领域具有较强的专业能力
3、两个阶段审核组的安排
第一阶段审核
配置适当的具有相关专业的审核人员
两阶段尽量安排同一审核组
不同审核组之间的信息交接
第二阶段审核
可在第一阶段基础上适当增加专业审核员
组长应在现场审核前向新增加的审核员介绍情况和关注重点
二阶段应在组织现场进行
对发现的不符合影开具不符合报告
严重不符合整改完成后才能推荐注册
(四)两个阶段审核的比较
表3-11:第一阶段和第二阶段审核的比较
目的
范围和活动
审核时间
审核内容
审核结论
见教材 P105-107
二、举行首次会议
(一)首次会议的目的
确认对审核计划的安排达成一致
介绍审核组成员
确保策划的审核活动能够实施
(二)首次会议的内容
(1)介绍与会者
(2)确认审核目的、范围和准则
(3)与受审核方确认审核计划以及相关的其他安排
(4)审核中所用的方法,包括告知受审核方审核证据只是基于可获得的信息的样本
(5)介绍由于审核组的到场对组织形成的风险的管理方法
(6)确认审核组和受审核方之间的正式沟通渠道
(7)确认审核使用的语言
(8)确认在审核中将及时向受审核方通报审核进展情况
(9)确认已具备审核组所需的资源和设施
(10)确认有关保密和信息安全事宜
(11)确认审核组工作时的安全事项、应急和安全程序
(12)报告审核发现的方法,包括任何分级的信息
(13)有关审核可能被中止的条件的信息
(14)有关末次会议的信息
(15)有关审核期间可能的审核发现的信息
(16)有关受审核方对审核发现、审核结论的反馈渠道信息
(三)首次会议的注意事项
(1)在计划确定时间内由组长主持,一般控制在30分钟
(2)双方人员签到并记录
(3)受审核方主要领导应参加首次会,特殊情况可派代表
(4)如需要,审核计划可调整
(5)应营造务实、融洽、坦诚透明的会议气氛
三、审核实施过程中的文件化信息评审
审核实施过程中,应调阅、审查、评审受审核方的相关文件化信息,以确定文件化信息所表述的管理体系与审核准则的符合性,管理体系文件控制的有效性
应对管理体系文件化信息的符合性、充分性、适宜性及其管理进行评价,应对保留的管理体系文件化信息的客观性、完整性、可追溯性及其管理进行评价
审核员应考虑
(1)文件化信息中提供的信息是否完整,审核管理体系覆盖范围内的所有文件化信息。
(2)表明管理体系运行相关证据所有形成文件化信息。
(3)对以下方面的评价
对保持的管理体系文件化信息的符合性、充分性、适宜性及其管理
保留的管理体系文件化信息的客观性、完整性、可追溯性及其管理
如果在审核计划所规定的时间框架内提供的文件不适宜、不充分,审核组长应告知审核方案管理人员和受审核方,根据审核目标和范围,决定审核是否继续进行或暂停,直到有关文件的问题得到解决
如果受审核方存在多场所,文件评审时应关注各场所的职能分配与其分权程度的适宜性,切割场所的文件应在总部要求框架内
初次认证的一阶段审核活动要求对受审核方管理体系文件进行评审,第一阶段审核的文件评审可以在现场审核前,也可以结合现场审核活动进行
获取受审核方对以下方面有效策划的信息
(1)建立了所需的文件体系
(2)阐明了管理体系的实施范围,包括适用性及任何不适用及其合理性
(3)建立了适当的方针
(4)制定了相应的目标、指标和管理方案
(5)识别和确立了应控制的过程、重要环境因素、危险源及相关风险及措施
(6)识别了应遵守的法律法规和其他要求
(7)对管理体系的运行绩效建立了必要的监控机制
(8)规定了管理体系各职能的职责、责任和交流,以及必要的资源能力
(9)规定了内审、管理评审并持续改进的要求
四、审核中的沟通
在审核期间,可能有必要对审核组内部以及审核组与受审核方、审核委托方以及可能的外部机构(例如监管机构)之间的沟通作出正式安排
(一)审核组内部沟通
(1)审核组从不同渠道获得信息汇总、讨论及互相印证,确定并实施应跟踪的信息
(2)审核进展情况和审核计划的执行及完成情况,是否需要调整审核计划,或重新分配工作
(3)讨论审核中出现的异常情况,商讨应对措施
(4)评审审核发现,包括不符合
(5)记录并向审核组长报告超出审核范围的引起关注的问题。
(二)审核组与受审核方以及审核委托方的沟通
1、审核进展的沟通
(1)审核计划的实施情况
(2)审核发现的简述,以及可能的不符合
(3)对以后审核活动的调整,包括审核计划与任务分工的变动
(4)需要受审核方提供进一步配合与支持
(5)审核组需要向审核委托方通报审核中的异常情况
①提请审核委托方对审核组难以判定的潜在不符合予以澄清
②审核时间不够问题
③审核中遇到的障碍和困难
2、风险的报告
收集到的证据表明存在紧急或重大风险,审核组应及时向受审核方和(适用时)审核委托方报告
收集到的证据表明审核目的无法实现时,审核组长应向客户(适用时向认证机构)报告。
即使引起关注的问题超出了审核范围,也应当记录并向审核组长报告。
3、审核的调整
获得的证据表明不能达到审核目标,应对审核进行调整
(1)组织人数远远超过事先声明的人数
(2)管理体系达不到认证注册要求或顾客对供方的要求
(3)出现严重违反法律法规情况
(4)管理体系未覆盖一些关键过程、场所或活动
(5)审核范围中的过程与活动部分或全部未展开,不能提供充分的客观证据
审核组长应向审核委托方和受审核方报告理由并采取措施
(1)重新确认或修改审核计划
(2)改变审核目标
(3)改变审核范围
(4)终止审核
(三)审核组与外部机构的沟通
法律要求强制报告的不符合
五、向导和观察员的作用与职责
(一)向导的作用与职责
向导是受审核方指定的协助审核组的人员
向导应协助审核组并根据审核组的要求行动
作用
①为审核组引路
②协调现场审核过程中审核组与受审核方之间的联系
③代表受审核方见证审核发现、确认不符合
职责
①协助审核员确定面谈的人员与时间安排
②安排访问特定场所
③确保审核组了解和遵守安全规则和程序
④代表受审核方见证审核
⑤在收集信息过程中,作出澄清和帮助
(二)观察员的作用
观察员是伴随审核组但不参与审核的人员
观察员可以来自
受审核方
受审核方的顾客
咨询机构
认证机构
认可机构
政府机构
仅对审核活动进行观察,不参与审核活动。不能影响和干扰审核活动
认证机构与受审核方需就观察员到场理由达成一致
观察员应承担健康安全、保安、保密义务
六、信息的收集和验证
现场审核是使用适当的抽样方法,收集并验证与审核目标、范围和准则有关的信息,包括与职能、活动和过程间接口有关的信息,从而获得审核证据的过程。
(一)信息源的确定
审核中所收集信息的代表性、相关性、充分性、适宜性与真实性,将影响审核实施的有效性。
审核中收集的是与审核目的、范围和准则有关的信息,包括与职能、活动和过程机接口有关的信息,应根据审核目的所规定的任务并对照审核准则,在审核范围中确定要审核的项目,确定适当的信息源,并确定抽样的样本与样本量及验证信息的方法,以寻找客观证据。
审核员应根据所承担的审核任务的范围和复杂程度确定充分适宜的信息源,可包括
(1)与员工及其他人员的面谈
(2)观察活动和周围工作环境与条件
(3)文件化信息
(4)记录
(5)数据的汇总、分析和绩效指标
(6)受审核方抽样方案信息
(7)其他来源的报告,例如:顾客反馈
(8)数据库和网站
(9)模拟和建模
(二)信息收集和验证的步骤
图1-1 收集和验证信息的过程概述
(三)收集信息的方法和技巧
1、面谈
(1)面谈时应考虑的因素
①面谈人员应来自审核即范围内,有代表性
②在被面谈人的工作时间和工作地点进行
③创造轻松愉快的气氛
④解释面谈和做记录的原因
⑤可以从受审核方介绍自己工作开始
⑥注意提问方式
开放式
封闭式
引导式
⑦结束前应当与被面谈人总结和评审和面谈的结果
⑧面谈结束时,感谢对方的参与合作
(2)面谈提问技巧
①开放式提问
a)主题式提问
b)扩展性提问
c)讨论式提问
d)调查式提问
e)重复性提问
f)假设性提问
g)验证性提问
②封闭式提问
③澄清式提问
(3)倾听
2、观察
(1)管理体系运行的相关区域
(2)管理体系运行、产品和服务、环境因素、危险源等控制的情况
(3)观察包括听、嗅、触、看多种方法综合运用
(4)审核员应保持对信息的敏感性,并善于追踪证实
3、文件和记录评审
(1)评审的信息应与受审核的活动和过程直接相关
(2)可以运用抽样抽取足够数量的样本信息
(3)查阅保持的文件信息时,应关注文件的有效性、内容的充分性和适宜性。关注文件中对具体活动和过程的职责划分、接口关系、具体要求、实施和控制的方法和程序、以及记录的要求等
(4)查阅保留的文件信息(记录)时,应关注记录的完整性、真实性和符合性
4、需要时、实际测量
实际测量不是审核中常用方法
对审核员的专业技能有较高要求
具备技能的同时还要征得受审核方的许可
也可以请受审核方的专业人员按照规定要求实施,审核员观察
表3-12 审核方法的选择
(四)信息验证与获得和记录审核证据
审核证据是与审核准则有关,并能够正式的记录、事实陈述或其他信息。
1、验证信息获得审核证据
审核证据建立在获取的信息样本的基础上,是真实的、客观存在的,可重查的、可验证的。它可以是现场观察及文件审阅中存在的客观事实,与体系运行有关的各种记录和资料,以及与被审核的对管理和业务活动负有责任的受访人的谈话。
验证信息的方法通常包括
(1)将现场观察相关活动和过程的实际操作、所核查的记录,与相关标准、文件化信息的规定对照,以证实记录中体现的某项活动和过程的结果,以及记录中提供的信息内容、实际操作与标准、文件化信息规定的一致性
(2)通过对活动和过程的观察,来证实面谈或查阅记录所获得的信息的准确性和真实性
(3)通过实际测量证实活动和过程的结果或记录的符合性、有效性和真实性
(4)其他适用的证实方法
2、记录审核证据
审核活动实施的目标就在于收集与管理体系运行情况有关的充足的审核证据,以便判定受审核的管理体系运行是否符合审核准则的规定要求
审核过程中,审核员应记录所获得的审核证据,记录时应注意
(1)记录的内容包括:时间、地点、对象、主题时间、主要过程和活动概要、观察到的事实、凭证材料、文件信息、标识
(2)记录的审核证据应全面反映审核情况
(3)对审核中发现的有问题的信息,应确保记录不符合事实的主要情节清楚
(4)记录的审核证据应清楚、准确、具体、具有重查性
(5)审核记录不应遗漏有关审核准则的审核要点
(五)审核活动实施过程的控制
审核组长职责
1、审核计划的控制
经过审核委托方、审核组、受审核方确认同意
原则上按照审核计划确定的日程安排实施审核
特殊情况调整后应与审核组成员及受审核方及时沟通
充分利用检查表
2、审核活动的控制
(1)明确总体、合理抽样
(2)辨识关键过程注重有效性证据
(3)注意相关影响
(4)审核客观性控制
(5)审核气氛的控制
(6)审核规范纪律的控制
3、审核结果的控制
审核发现
审核结论
(六)审核记录
由审核员完成的审核记录包括
文件评审记录
审核计划
样本选择方案,适当时包括多场所抽样建议
适宜时,检查表
现场审核过程记录
审核证据
审核发现
会议和沟通记录
审核报告
包括未解决的分歧
不符合报告
审核后续活动报告
适用时,其他记录
审核记录的作用
为审核是否满足要求提供证据
形成审核发现和得出审核结论的基础
发生投诉和申诉时提供可追溯信息
审核记录应覆盖(但不限于)
(1)根据关键绩效目标和指标对绩效进行监视、测量、报告和评价的证据
(2)受审核组织管理体系和绩效中与遵守法律法规有关方面的证据
(3)受审核组织过程的运作和控制方面的证据
(4)人员能力和设施资源提供方面的证据
(5)内部审核和管理评审有效策划和实施的证据
(6)对方针的管理职责的情况
(7)重要的顾客反馈信息,包括投诉及纠正措施的有关证据
(8)受审核方改进的证据
(9)事故的处理及采取纠正措施的信息
(10)重大风险及风险管理的信息
适当时,还可能包括
首末次会议情况
审核组内部以及与受审核方沟通情况
突发事件应急处置情况
审核范围、审核计划的调整及其说明
需要后续跟踪或者遗留问题
受审核方意见
当审核一个电子化的管理体系时,还应包括信息安全方面的信息
审核记录应适度强化以下方面的记录
(1)法律法规符合性信息
(2)关键场所或重点区域的现场调查记录
(3)现场运行控制记录
(4)面谈、现场观察记录
七、形成审核发现
(一)确定审核发现
当确定审核发现时,应考虑
(1)以往审核记录和结论的跟踪
(2)审核委托方的要求
(3)非常规活动的发现,或改进的机会
(4)样本量
(5)审核发现的分类(如存在)
(二)评审和汇总审核发现
审核发现是审核组在收集审核证据的基础上,对照审核准则进行评价的结果
审核组应当根据需要在审核的适当阶段,共同评审审核发现
评价和汇总审核发现通常可以采取以下方法
(1)审核组成员按审核计划和审核任务分工,汇总审核情况,包括符合与不符合的审核发现。
(2)审核组内部沟通,分析汇总情况,形成审核发现
(3)讨论疑点和分歧,包括以后审核中需要重点追踪的问题
(4)讨论不符合,包括支持性的证据和审核准则
(5)为形成审核发现,需要从其他成员处获得印证信息
(三)记录审核发现
符合性记录
明确判断符合的审核准则
支持符合性的审核证据
符合性陈述(适用时)
不符合性记录
描述或引用审核准则
不符合陈述
审核证据
相关的审核发现(适用时)
(四)与多个审核准则相关的审核发现的处理
审核员识别出与一个准则相关的审核发现时,应考虑这一审核发现对其他管理体系中相应或类似准则的可能影响。
根据审核委托方的安排,审核员可能提出:分别对应每个准则的审核发现;或与多个准则相关的一个审核发现
根据审核委托方的安排,(内部审核时)审核员可以指导受审核方应对这些审核发现。
不适合第三方认证审核
(五)评审不符合及分级
1、不符合形成
审核组应当与受审核方一起评审不符合,以确认审核证据的准确性,并使受审核方理解不符合
如双方没有就不符合达成一致,应记录尚未解决的问题。
不符合分类
规定不符合
文件化信息不符合标准或适用的法律法规要求,或与活动和过程的实际状况不适宜
实施不符合
管理体系的实施现状未按标准、文件化信息或适用的法律法规要求
结果不符合
管理体系的运行结果未达到预定的目标
2、不符合分级
不符合的分级没有统一规定,其分级方法和判定标准不是唯一的
(1)严重不符合
①体系运行出现系统性失效
②体系运行出现区域性失效
③后果严重不符合
(2)一般不符合
CNAS-CC01-2015 中称为轻微不符合
①所发现的不符合是个别的、偶然的、孤立的
②对整个系统产生的影响比较轻微
(六)编制不符合报告
1、不符合报告的内容
(1)受审核方名称
(2)受审核部门或发生问题地点
(3)审核员和向导
(4)审核日期
(5)不符合事实描述
(6)不符合的审核准则
(7)不符合严重程度
(8)审核员签名、组长认可、受审核方确认
(9)纠正措施实施情况说明
(10)不符合原因分析
(11)纠正措施计划及完成日期
(12)纠正措施完成情况及验证记录
2、编写不符合报告的要求
编写时应注意
(1)不符合事实描述应具体准确
(2)具有可重查核可追溯性
(3)不要遗漏有关信息,结论要从事实描述中自然带出,使用专业术语
(4)不符合条款应力求准确,就近不就远
(5)客观判断不符合性质
(6)不符合的事实应经过受审核方确认
不符合条款判定基本原则
(1)以事实为依据,不增加或减少信息
(2)选择最贴近的条款,不选总条款
(3)对应两个有因果关系的条款时,选原因对应条款
(4)事实陈述、判定条款和理由三者一致
3、不符合报告示例
教材 P124
八、审核结论
(一)准备审核结论
末次会议前,审核组应进行一次充分的讨论,结合审核和目的,对现场审核的所有审核发现及其他相关信息进行汇总、分析、评价和总结。
1、汇总分析审核发现
召开末次会议前,审核组应进行充分讨论,结合审核目的,对现场审核的所有审核发现及其他相关信息进行汇总分析和总结,在此基础上对上对受审核方管理体系的符合性和有效性进行总体评价,最终确定审核结论。
审核组应讨论以下内容
(1)根据审核目标,汇总分析审核发现及相关信息,确定信息及不符合,并进行不符合统计分析
(2)考虑不确定因素,对分歧进行沟通,对审核结论达成一致
(3)若审核计划中有规定,提出建议
(4)(适用时)讨论审核后续活动,如验证纠正措施的方式
2、管理体系有效性评价
综合评价
(1)管理体系文件化体系与标准的符合性
(2)方针、目标指标的适宜性和实现情况及能力
(3)管理体系达到预期结果的情况
(4)管理体系绩效符合要求的程度
(5)相关方满意度
(6)管理体系运行结果的合规性
(7)自我完善和持续改进机制的建立与作用
(8)管理者和员工的意识和参与情况
(9)相关方对受审核组织的投诉、抱怨情况
(10)其它需关注的方面
符合性和有效性评价
(1)基于组织内外部环境所面临的风险和机遇是否得到了充分的考虑
(2)管理体系与相关标准的符合程度,以及实施程度
(3)管理体系实施的有效程度
(4)建立和实施自我完善、自我改进管理体系有效性机制情况
(二)形成审核结论
审核结论可以陈述
(1)管理体系与审核准则的符合程度及稳定程度,包括管理体系满足目标的有效性
(2)管理体系的有效实施、保持和改进
(3)管理评审在确保体系持续的适宜性、充分性、有效性和改进方面的能力
(4)审核目标完成情况、审核范围的覆盖情况,以及审核准则的履行情况
(5)审核发现的根本原因(如要求)
(6)未识别趋势而从其它领域获得相似的审核发现
审核结论可能导致
(1)第一方审核,提出改进建议
(2)第二方审核,建立业务关系
(3)第三方审核,推荐认证注册
(4)未来的审核活动(监督审核、再认证审核)
第三方审核的审核结论
(1)推荐通过认证/注册
(2)有条件推荐认证/注册
(3)不推荐认证/注册
九、举行末次会议
(一)与受审核方沟通
目的:通报审核发现、介绍对受审核方管理体系的评价和审核结论,澄清问题、确认不符合、求得共识。
(二)举行末次会议
参加人员:审核组、受审核方管理者、相关职能、过程负责人
1、末次会议的目的
(1)向受审核方说明审核情况,使其清楚理解审核结果
(2)向受审核方正式宣布审核结果和审核结论
(3)提出纠正措施要求
(4)提出证后监督审核要求
2、末次会议的内容
适当时,末次会议应向受审核方阐明
(1)告知受审核方所收集的审核证据是基于已获得的信息样本
(2)报告的方法
(3)处理审核发现的过程和可能的结果
(4)以受审核方管理者理解和认同的方式提出审核发现和审核结论
(5)任何相关的审核后续活动(纠正措施的实施、审核投诉的处理、申诉过程
认证的第三方审核末次会议议程通常包括
(1)与会者签到
(2)感谢受审核方配合
(3)重审审核目的、准则、范围
(4)简要介绍审核过程
(5)报告审核发现
(6)澄清有关问题
(7)说明抽样的局限性,必要时,告知遇到的问题
(8)降低审核结论可信程度的情况
(9)宣布审核结论
(10)说明审核报告发放日期
(11)提出对不符合项的纠正要求
(12)重申审核组公正性和保密的承诺
(13)证后监督及认证证书使用规定说明(结论为推荐认证时)
(14)请受审核方领导发言
(15)宣布会议结束
3、末次会议要求
第五节 审核报告的编制和分发
一、审核报告的编制
审核组长负责编制审核报告,并对报告内容负责,审核报告应经审核委托方的授权人批准
审核报告应当提供完整、准确,简明清晰的审核记录,包括并引用
(1)审核目标
(2)审核范围,尤其是组织单元、职能单元、现场区域、过程和活动
(3)明确审核委托方
(4)明确审核组和受审核方参与人员
(5)审核活动的日期和地点
(6)审核准则
(7)审核发现和相关证据
(8)审核结论
(9)关于对审核准则遵守程度的描述
适当时,可包括或引用
(1)包括日程安排的审核计划
(2)审核过程总数,包括遇到的可能降低审核结论可靠性的障碍
(3)确认在审核范围内,已按审核计划达到审核目标
(4)尽管在审核范围内,但没有覆盖到的区域
(5)审核结论综述及支持审核结论的主要审核发现
(6)审核组和受审核方之间没有解决的分歧
(7)改进的机会(如审核计划有规定)
(8)识别的良好实践
(9)商定后续行动计划(如有)
(10)关于内容保密性质的生命
(11)对审核方案或后续审核的影响
(12)审核报告分发清单
二、审核报告的分发
按审核方案程序的规定注明日期
经适当的评审和批准
审核报告应分发至审核程序或审核计划规定的接收人。第三方认证审核的审核报告的接收者由委托方确定,应发给受审核方
审核报告属审核委托方所有
三、审核报告提纲及示例
见教材 P131-136
第六节 审核完成与后续活动的实施
一、审核的完成
当所有策划的审核活动已完成或出现与审核委托方约定的情形,审核即告完成
审核的相关文件应根据参与各方的协议,按照审核方案的程序或适用的要求予以保存或销毁
审核组和审核方案管理人员不应向任何其他方泄露相关文件的内容以及审核中获得的其他信息或审核报告内容
除非法律法规要求,没有审核委托方和受审核方的明确批准,不得泄露审核相关信息
受审核方应汇总来自审核的信息,作为管理体系持续改进的输入
二、审核后续活动的实施
(一)审核后续活动的内容
受审核方纠正、纠正措施或改进措施的确定、实施、实施情况报告
审核委托方的评审与验证
适当时,受审核方应将这些措施的实施状况告知审核方案管理人员和审核组
(二)审核后续活动的目的
(1)对已经发生的不符合及时纠正,防止或减少不符合造成的影响。
(2)促使受审核方针对对不符合项认真分析,找出原因并采取措施防止再次发生
(3)通过对纠正措施的实施及有效性验证,促使受审核方对现有不符合采取措施,避免严重后果
(三)审核双方在审核后续活动中的作用和职责
1、受审核方的作用和职责
(0)纠正
(1)评审不符合,分析并确定不符合的原因,制定纠正措施
(2)评价、确定和实施纠正措施
(3)记录采取纠正措施的结果
(4)评审采取纠正措施的有效性
(5)及时向审核组报告纠正措施实施情况,并提交证据
2、审核方(审核组)的作用和职责
(1)确认不符合项
(2)提出纠正措施要求
(3)验证纠正、纠正措施及其完成情况,评价其有效性
(4)向审核委托方提交纠正措施验证报告
(四)验证纠正措施的方式
(1)现场验证(部分或全面复审),适用于严重不符合或只有到现场才能验证的不符合。
(2)书面验证(办公室验证或异地验证),适用于一般不符合
(3)在随后审核时验证,适用于轻微不符合,或需要较长时间才能验证
(五)对纠正措施的验证
(1)不符合原因分析是否准确
(2)是否针对不符合原因制定了可行的纠正措施计划
(3)纠正措施计划是否按规定时限实施
(4)纠正措施实施情况是否进行了自我验证,是否有效?
(5)纠正措施计划及实施结果是否有记录?引发的更改是否形成文件,是否实施?
(6)纠正措施能否起到防止再发的效果
(六)跟踪验证的流程
(1)审核员确定不符合项
(2)受审核方代表确认不符合项
(3)审核员提出纠正措施要求,包括时间及验证方式
(4)受审核方制定纠正措施计划并实施
(5)受审核方自我验证纠正措施并记录
(6)审核员将跟踪验证结果形成书面报告,提交委托方。
思考题
1、审核有几个阶段?每个阶段包括哪些活动?
2、审核活动准备阶段文件化信息评审的目的、内容是什么?
3、审核计划应包括哪些内容?
4、第一、第二阶段审核的目的和侧重点是什么?
5、审核有几种方式?
6、检查表的作用和主要内容是什么?
7、现场调查的方法有哪几种?举例说明
8、如何评价受审核方管理体系的有效性?
第四章 审核关键技术
第一节 概述
一、与审核有关的几个基本概念
(一)技术
(二)专业
(三)技能
(四)方法
二、对审核技术的基本认识
(一)基本认识
(二)审核技术关乎“专业”
——与审核有关的通用知识和技能
——某一学科的专业水平
——特定领域的专业知识和技能
(三)审核的核心技术是评价技术
(1)评价过程也是一种决策过程
(2)审核员必须具备收集有形和无形证据并分析和评价得出最终结论的能力
(3)认证人员的能力是认证信任的必要条件
(4)综合评价的作用
对研究对象进行系统描述
对研究对象的整体状态进行综合测试
对研究对象的复杂表现进行层次分析
对研究对象进行聚类分析
有效地体现定量分析和定性分析相结合
第二节 审核技术
具备国际互认条件的认证共性关键技术
认证业务范围界定技术
认证能力模型及评价技术
认证方案技术
认证模式选择与应用技术
认证技术方法工具箱
产品和服务特性指标认知技术及测算模型
认证信度和效度量化评价技术
一、审核技术的构成
(一)合格评定技术
1、选取
收集产生后续功能的所有信息和输入
2、确定
获得关于合格评定对象或其样本满足规定要求情况的完整信息
3、检测
按照程序确定合格评定对象的一个或多个特性的活动
4、检查
审查产品设计、产品、过程或安装并确定其与特定要求的符合性,或根据专业判断确定其与通要求的符合性的活动
5、审核
6、评价
合格评定活动中的选取和确定功能的组合
(二)根据ISO17000对审核技术的进一步了解
二、审核的基本方法
(一)审核技术路线
图4-1:审核技术路线
(二)审核的基本方法——抽样
抽样的风险是从总体中抽取的样本可能不具有代表性,可能导致审核员的结论出现偏差,与对总体进行全面检查的结果不一致。其他风险可能源于抽样总体内部的变异和所选择的抽样方法。
典型的审核抽样包括
——明确抽样方案的目标
——选择抽样总体的范围和组成
——选择抽样方法
——确定样本量
——进行抽样
——收集、评价和报告结果并形成文件
统计抽样使用基于概率论的样本选择
当样本只有两种可能结果
计数抽样
当样本结果是连续值
计量抽样
抽样方案应当考虑检查的结果是计数还是计量的
计数抽样
要评价的表格与程序规定的要求符合性
计量抽样
调查食品安全事件或安全漏洞
示例:多场所审核和认证的风险识别
《审核概论》P148-149
(三)审核思路
1、审核方式概括有几种方式
(1)顺向追踪
(2)逆向追踪
(3)基于过程的审核
(4)按照部门分工审核
2、审核的关注点和正确方式的选择
(1)审核的关注点
组织的总体目标、过程绩效和正在实现的程度
应始终关注在实现组织目标方面管理体系运行的趋势
顾客和法律法规要求,如何识别并纳入合规管理
在实现管理体系结果方面,过程是否有效
最高管理者对审核过程及认证服务的期望
(2)审核方式的正确选择
明确总体,合理抽样
根据特定线索,选择合适的审核方式
根据审核目标通过审核方案选择适宜的审核方式
(四)收集审核证据的方法
1、信息的作用
寻找审核证据、形成审核发现、得出审核结论的基础
2、信息的收集
根据审核目的,在审核范围中确定和审核项目相关的问题,确定信息源
确定抽样的样本量和验证信息的方法,以寻找客观证据
3、信息与审核证据的关系
审核证据与审核准则有关,并且可证实,在审核中收集的与审核准则有关的信息
审核证据建立在获取的信息样本基础上
能够证实的,方可作为审核证据
4、收集信息的方法
远程审核可以借助交互通信手段
——远程视频
——完成检查单或问卷
——文件审查
示例:QMS标准中“外部提供的过程、产品和服务”的审核要点
见《审核概论》P151-155
5.对组织外包过程的审核及其相关情况的处置
(1)组织存在外包过程,但对外包过程没有识别,组织在现场审核中也未提出控制的证据(进货检验记录除外),此时应开具不符合。
进货产品的验证不可直接简单作为对外包过程的控制
(2)组织已识别了外包过程,并按要求对外包方进行了调查、评价、列入合格供方名单(也有进货验证记录),除此之外,提供不出其他任何证据说明对外包过程实施了有效控制,此时应予以特别关注。
(3)组织奖特殊过程实施了外包,存在两种情况
①审核员在审核现场看不到组织对外包方针对特殊过程能力确认的证据
②外包方虽能提供特殊过程进行过程能力确认的证据(已经识别),除此之外没有其他证据。
说明对外包的特殊过程进行能力确认只是标准中的一项要求,组织还应按照标准对外包过程实施控制并验证
应开具不符合
(4)组织将产品的设计开发或生产服务过程外包……
见P154-155
案例:对外包设计和开发活动的审核关注点
见《审核概论》P155
5、调查取证的方法技能
(1)善于提问
(2)注意倾听
(3)仔细观察
(4)做好记录
(5)善于追踪验证
审核方法的示例
示例1:以客户的反馈为切入点的审核
《审核概论》P156
示例2:以目标检测结果的过程绩效为线索
《审核概论》P156
示例3:将数据分析的结果作为审核线索的切入点
《审核概论》P157
示例4:将管理体系的变化作为审核的重点
《审核概论》P157
示例5:信息安全审核中有关信息的收集和验证
《审核概论》P157
三、基于过程的审核
(一)管理体系的特征
组织的管理体系的设计和实施都会受到以下方面影响
——组织的业务环境及其与该环境相关的各种风险和机遇
——组织的顾客及其相关方不断变化的需求
——组织预期的目标
——所提供的产品和服务
——采用的资源和过程
——组织的规模和结构
组织根据内外部环境的变化和相关方的需求确定经营战略从而确定方针和目标,组织根据目标、资源和管理习惯确定所需的管理过程,策划并建立质量管理体系
同样的产品、服务、活动每个组织为此确定的质量管理体系可能是不同的,管理体系运行方式也不同
组织拥有可被确定、测量和改进的过程,这些过程相互作用,产生与目标相一致的结果
某些活动可被预先规定,另外一些活动则是对外界刺激的反应
(二)过程的特点、类型和确定
1、过程的特点
利用输入提供预期结果的相互关联或相互作用的一组活动
(1)在一个组织管理系统中,过程通常被界定为管理过程、支持过程和运作过程
(2)组织应确定过程所需的输入和期望的输出,输入和输出可以是有形或无形的
(3)当确定这些过程的顺序和相互作用时应考虑与前后过程的衔接。
(4)为确保过程有效,组织应确定和应用过程控制准则和方法
(5)应确定支持过程所需的资源,如人员、设施、环境、监视和测量资源
(6)应确定过程的活动、完成活动的人员,有此规定组织过程的职责和权限
(7)确保应对与过程相关的风险和机遇的措施得到实施
(8)制定监视测量准则获得过程绩效数据,分析和评价这些数据,实施所需的变更
2、典型的过程类型
(1)组织管理类过程
(2)资源管理类过程
(3)产品和服务提供的过程
(4)测量、分析和改进过程
3、过程的识别和确定
(1)识别并明确顾客要求和适用的法律法规要求,进而确定方针和目标
(2)根据顾客和法规要求及组织的目标确定必须的过程和资源
(3)基于总体利益,从有利于管理出发,确定过程的责任者,定义过程的目标和指标
(4)确定产品和服务提供过程及类型和数量,界定过程功能,包括外包和特殊过程
(5)确定所需的监视测量分析和改进过程,进行持续改进
(三)基于过程的审核
1、基于过程的审核方法具有以下特征
(1)过程导向
多关注组织时的实际过程活动及过程的接口而非文件,不仅包括是否遵守程序,还包括程序是否正确、重要的过程是否被识别出来并进行了充分的控制。、过程接口管理。
(2)顾客导向
不仅考虑认证客户的需要,同时考虑客户的顾客的需要,在每个过程中关注与客户顾客的要求如何被分解落实。将审核发现与组织提供合格产品能力的影响相关联,为组织的顾客相信其体系有效地产生期望的产品提供信心
(3)结果导向
包括每个过程的绩效和体系的总体绩效。总体绩效与每个过程绩效的有效性,重点关注影过程的结果而非文件和记录
(4)价值导向
利用PDCA评价组织过程为达到预期目标的有效性,重点关注影响产品质量形成的产品和服务的实现过程,
(5)关注过程和体系的持续改进
通过对过程的绩效的系统分析,发现过程的波动和改进点,促进组织在体系管理方面的改进,提供增值服务
2、基于过程的审核方法与技巧
(1)审核计划应以过程为对象
(2)管理体系标准的建立以及审核要求都基于过程方法
3、基于过程的审核的准备步骤
(1)对组织业务过程总体了解,理解组织的宗旨和目标,仔细审查组织的成文信息
(2)完成针对过程的活动
——识别组织的产品和服务及影响质量的主要过程
——检查过程之间的相互关系和相互作用
——确定所有过程是否整合成一个系统,是否考虑了标准的所有要求
——对体系的过程进行分析
识别每个过程负责人
确定每个过程的输入输出和约束条件
确定每个过程的PDCA活动
针对每个过程编制检查清单
(3)初次审核前编制三年一个认证周期的审核方案
示例1+示例2
《审核概论》P162-163
(四)审核轨迹
一个系统化的基于特定样本,用来收集关于一系列相互关联过程的输出满足期望结果的证据的方法
使审核方案管理人员和审核计划编制人员,有意识地去设计和规划一次有效审核的技术路线。
审核组长在规划审核时,必须了解被审核组织的产品、生产过程、从设计到销售以及售后服务的过程及相互关系
在“审核轨迹”思路指引下,正确的样本选择十分重要
审核轨迹的方法适用于所有的第二或第三方审核
四、远程审核技术
有效应用CAAT的目标是
(1)认证机构可以用CAAT加强常规的审核
(2)确保对CCAT的使用有足够的控制,包括由CNAS实施充分监督
CAAT的示例
——电视电话会议
——网络会议
——网络交互通信
——电子方式远程访问管理体系文件和管理体系过程
审核员如何访问使用电子文件信息
——允许审核组熟悉受审核方的电子文件系统
——受审核方信息技术使用政策
——访问指导书、安全许可、相关的组织文件和记录
——确保审核中核审核后保密措施
现场审核可以包括远程电子审核
第三节 审核关键技术的应用
一、有关审核关键技术的研究
研究结果输出
多场所认证技术、基于过程的审核、确定审核时间、两阶段审核、审核方案管理、审核记录的适度性、审核报告的编制等
服务认证关键技术研究与应用
二、审核关键技术的应用
(一)有关概念
1、工具
2、工具箱
3、方法与手段
(二)审核常用工具及使用
1、审核工具的用途
审核信息的收集
审核证据的获取
审核发现的确定
审核结论的判定
2、工具的使用
(1)检查表的编制和使用
检查表可以起到备忘录和提示作用
——有助于审核的策划
——确保一致的审核方式
——作为抽样计划和控制时间的工具
——保持审核节奏连续性和审核内容完整性
——有助于获得充分的证据
管理体系审核的调查取证可以达到
——样本策划合理
——辨识关键过程
——评定主要因素
——控制过程结果
——明辨相关影响
服务认证的服务特性评测
(2)抽样方案的确定
根据样本总量和其他信息确定抽样方案
(3)审核记录表格的使用
审核报告以审核记录为基础
审核记录有多种形式
审核记录应清晰、可信和可证实
3、基于互联网大数据的审核证据的获取和利用
(三)审核中的审核技术应用
1、产品特性、服务特性和过程特性
(1)特性
可区分的特征,特性可以是定性的,也可以是定量的
(2)功能
对象能够满足某种需求的一种属性
(3)性能
产品具有的性质与效用
(4)功能和性能的区别
功能是指产品的用途
性能是指产品那组用途的程度
2、对产品和服务特性的识别
审核中对产品和服务的识别至关重要
顾客要求的产品具有其需求和期望的特性
产品和服务的质量不仅包括其预期的功能和性能,还涉及顾客的感受
审核员的审核方法和专业背景应能覆盖产品的特性,通过获取证据判定体系满足要求
——产品和服务的要求得到满足
——提供的产品和服务能够满足所声明的要求
3、产品和服务的特性决定了不同的过程特性
组织根据产品特性来确定过程
依据过程特性来确定控制方式
服务与产品不同,需要与顾客接触互动完成
(四)评价技术
包括评价要求、评价指南、评价程序、评价方法以及评价制度等主要内容在内的评价技术、质量保证技术以及支撑的检验检测技术
支撑认证认可的评价技术包括选取、确定、证明、监督以及支撑
1、评价活动对审核员的要求
(1)通常是通过平价样本总体,审核员要具有统计学和概率论的基本知识
(2)评价过程要经过分析、判断、比较,要求审核人员具有;逻辑性和方法论
(3)评价结论基于公正客观地审核发现
2、管理体系过程的评价
(1)通过对以下问题的回答来确定评价结果
——过程是否被识别并适当确定
——职责是否已被分配
——程序是否得到实施和保持
——在实现结果方面,过程是否有效
(2)认证审核的最终评价
图4-4 模型图
(五)审核技术的应用应满足认可规范的要求
ISO17021
ISO17065
申请评审-评价审核可行性-一阶段审核-二阶段审核-现场审核的实施-报告审核结果-提交审核报告-认证决定,批准认证、颁发认证证书
思考题
1、审核方法和审核方式有哪些方面?
2、什么是审核轨迹?
3、审核关键技术包括哪些方面?
4、审核技术在审核中的具体应用。
第五章 认证人员的能力要求
超出考试大纲
主题
管理体系认证基础考试大纲
3.1 管理体系认证相关基础知识及其在审核中的应用
《管理体系认证基础》
3.1.1 管理学基础
a)管理的基本概念、职能、性质和层级
b)中国传统管理思想和西方早期管理思想
c)古典管理理论与行为管理理论产生与发展
d)现代管理理论丛林和当代管理理论的新发展
e)管理学基本原理,如:系统、人本、责任、能级、效益、信息、适度等七项
3.1.2 管理体系概论
a)管理体系的起源及发展过程
b)管理体系核心理念的内涵
c)管理体系通用术语和定义
d)管理体系建立的主要过程
3.1.3 管理体系标准的高层结构
a)管理体系标准高层结构的作用、核心内容
b)管理体系标准高层结构核心条款的内涵
3.1.4 管理体系认证机构管理基础
a)管理体系认证机构概念、基本要求
b)管理体系认证机构的主要特征
c)认证机构管理体系建立的依据及主要内容
d)管理体系认可及国际互认的内涵
3.1.5 管理体系认证能力及认证过程
a)管理体系认证业务范围
b)通用管理体系审核员能力要求
c)特定管理体系审核及认证能力要求
d)认证人员能力评价方法
e)管理体系认证过程
3.1.6 管理体系专项认证技术
a)审核方案的功能、基本要求和管理方法
b)认证范围、审核范围的确定方法及其相互关系
c)审核时间的确定方法
d)多场所审核与认证方法
e)管理体系认证结合审核的应用方法
f)基于过程方法的管理体系审核方法
3.2 管理体系审核通用知识和技术在审核中的应用
《审核概论》
3.2.1 审核特征及审核原则在各类认证活动中的应用
3.2.2 审核方案在各类认证活动中的应用
3.2.3
审核阶段的划分及典型的审核与认证流程
审核启动阶段包括的活动
审核准备阶段包括的活动
审核活动实施阶段包括的活动
审核报告的编制和分发
审核的后续活动
3.2.4
审核关键技术的核心内容及审核方法的掌握
审核技术在各类认证中的应用
3.3 质量管理方法与工具知识及其在审核中的应用
《质量管理方法与工具》
3.3.1 战略分析方法与工具
宏观环境分析模型
态势分析法
波士顿矩阵
平衡记分卡
标杆管理
3.3.2 过程策划方法与工具
过程方法
流程分类框架设计
乌龟图和流程图
服务蓝图
流程重组
3.3.3 风险评估方法与工具
风险管理概述
失效模式与影响分析
风险矩阵
故障树
人因可靠性分析
3.3.4 过程控制方法与工具
统计过程控制
过程能力分析
控制图
测量系统分析
3.3.5 检验及准入方法与工具
计数型抽样检验
计量型抽样检验
散料抽样检验
生产批件程序
3.4 法律法规及规范性文件要求及其在审核中的应用
相关法律法规
《中华人民共和国民法典》第三编 合同
《中华人民共和国产品质量法》
《中华人民共和国计量法》
《中华人民共和国标准化法》
《中华人民共和国劳动法》
《中华人民共和国进出口商品检验法》
《中华人民共和国行政许可法》及实施条例
《中华人民共和国计量法实施细则》
《中华人民共和国标准化法实施细则》
《中华人民共和国工业产品生产许可证管理条例》
《中华人民共和国认证认可条例》
《管理体系认证规则》