标准规范下载简介
在线阅读
中华人民共和国国家标准
管理体系审核指南
Guidelines for auditing management systems
(ISO 19011:2011,IDT)
GB/T 19011-2013
发布部门:中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会
发布日期:2013年12月17日
实施日期:2014年04月01日
前 言
本标准按照GB/T 1.1-2009给出的规则起草。
GB/T 19011-2013代替GB/T 19011-2003,与GB/T 19011-2003相比,除编辑性修改外主要技术变化如下:
——范围从质量和环境管理体系审核拓展为任何管理体系审核;
——明确了GB/T 19011和GB/T 27021的关系;
——引入远程审核方法以及风险的概念;
——将“保密性”增加为新的审核原则;
——重新组织了第5章、第6章和第7章的内容;
——新增的附录B包括了增加的信息,因而删除了本标准第一版中的实用帮助框及其内容;
——强化了能力确认和评价过程;
——新增的附录A包括了特定领域的知识和技能的示例;
——更多的信息请见ISO网站(www.iso.org/19011auditing)。
本标准等同采用ISO 19011:2011《管理体系审核指南》(英文版)。
本标准由全国质量管理和质量保证标准化技术委员会(SAC/TC 151)提出并归口。
本标准起草单位:中国标准化研究院、中国认证认可协会、中国合格评定认可中心、中国船级社质量认证公司、中国质量协会、华夏认证中心有限公司、赛宝认证中心、中环联合(北京)认证中心有限公司。
本标准主要起草人:田武、孙秋、李强、梁晓文、段一泓、王新亭、李宝丰、卢列文、李在卿。
本标准的历次版本发布情况为:
——GB/T 19011-2003;
——GB/T 19021.1-1993、GB/T 19021.2-1993、GB/T 19021.3-1993、GB/T 24010-1996、GB/T 24011-1996、GB/T 24012-1996。
引 言
自从2003年发布GB/T 19011第一版以来,我国又发布了若干新的管理体系标准。因而需要考虑更宽范围的管理体系审核以及提供更通用的指南。
在2007年,基于本标准第一版的部分内容,我国发布了等同采用ISO/IEC 17021的GB/T 27021-2007,为管理体系第三方认证规定了要求。
即将发布的新版GB/T 27021,将2003版的GB/T 19011标准中提供的指南转换为管理体系认证审核的要求。因此,本标准第二版提供的指南虽然适用于所有使用者(包括中小型组织),但主要注重通常所说的“内部审核”(第一方审核)和“由顾客对其供方所进行的审核”(第二方审核)。那些与管理体系认证有关的审核应遵守GB/T 27021的要求,当然,本标准的指南对其也有帮助作用。
表1给出了新版GB/T 19011与GB/T 27021之间的关系。
表1 GB/T 19011与GB/T 27021范围之间的关系
内部审核 | 外部审核 | |
供方审核 | 第三方审核 | |
有时称为第一方审核 | 有时称为第二方审核 | 出于法律法规、行政监督或类似目的出于认证的目的(请见GB/T 27021第二版的要求) |
本标准不陈述要求,而是提供关于审核方案管理和管理体系审核的策划和实施以及审核员和审核组能力和评价的指南。
组织可以运行多个管理体系,使用者可以结合自身的具体情况实施该指南。
本标准拟适用于广泛的潜在使用者,包括审核员、实施管理体系的组织以及由于合同或法律法规要求需要实施管理体系审核的组织。本标准的使用者可以应用这些指南制定其与审核相关的要求。
本标准的指南可以用于自我声明的目的,也适用于从事审核员培训或人员注册的组织。
应灵活运用本标准的指南。正如本标准所述,应根据组织管理体系的规模、成熟度水平、受审核组织的性质和复杂程度及所实施的审核目标和范围的不同,来使用本指南。
本标准引入了管理体系审核风险的概念。所采用的方法与未达到审核目标的审核过程风险相关,也与审核对受审核组织的活动和过程的潜在干扰有关。本标准不提供针对组织的风险管理过程的具体指南,然而鼓励组织审核时关注管理体系的重大事项。
本标准采用的方法适用于两个或更多的不同领域的管理体系共同审核(称之为“结合审核“)的场合。当这些管理体系整合为一个管理体系时,审核原则和过程与结合审核相同。
第3章规定了本标准所使用的关键术语和定义,以确保这些定义与其他标准中的定义不发生冲突。
第4章描述了审核所依据的原则。这些原则有助于使用者理解审核的本质,对于理解第5章~第7章中所描述的指南也很重要。
第5章提供了关于建立和管理审核方案、确立审核方案目标以及协调审核活动的指南。
第6章提供了关于策划和实施管理体系审核的指南。
第7章提供了有关管理体系审核员和审核组的能力和评价的指南。
附录A 提供了针对不同领域应用第7章中指南的示例。
附录B 为审核员提供了策划和实施审核的补充指南。
下载地址:
1 范围
本标准提供了管理体系审核的指南,包括审核原则、审核方案的管理和管理体系审核的实施,也对参与管理体系审核过程的人员的能力提供了评价指南,这些人员包括审核方案管理人员、审核员和审核组长。
本标准适用于需要实施管理体系内部审核、外部审核或需要管理审核方案的所有组织。
只要对所需要的特定能力给予特殊考虑,本标准有可能应用于其他类型的审核。
2 规范性引用文件
本标准无规范性引用文件。列出本章是为了与其他管理体系标准的条款编号相一致。
3 术语和定义
下列术语和定义适用于本文件。
3.1
审核 audit
为获得审核证据(3.3)并对其进行客观的评价,以确定满足审核准则(3.2)的程度所进行的系统的、独立的并形成文件的过程。
注1:内部审核,有时称第一方审核,由组织自己或以组织的名义进行,用于管理评审和其他内部目的(例如确认管理体系的有效性或获得用于改进管理体系的信息),可作为组织自我合格声明的基础。在许多情况下,尤其在中小型组织内,可以由与正在被审核的活动无责任关系、无偏见以及无利益冲突的人员进行,以证实独立性。
注2:外部审核包括第二方审核和第三方审核。第二方审核由组织的相关方,如顾客或由其他人员以相关方的名义进行。第三方审核由独立的审核组织进行,如监管机构或提供认证或注册的机构。
注3:当两个或两个以上不同领域的管理体系(如质量、环境、职业健康安全)被一起审核时,称为结合审核。
注4:当两个或两个以上审核组织合作,共同审核同一个受审核方(3.7)时,称为联合审核。
注5:改写GB/T 19000-2008,定义3.9.1。
3.2
审核准则 audit criteria
用于与审核证据(3.3)进行比较的一组方针、程序或要求。
注1:改写GB/T 19000-2008,定义3.9.3。
注2:如果审核准则是法律法规要求,术语“合规”或“不合规”常用于审核发现(3.4)。
3.3
审核证据 audit evidence
与审核准则(3.2)有关并能够证实的记录、事实陈述或其他信息。
注:审核证据可以是定性的或定量的。
[GB/T 19000-2008,定义3.9.4]
3.4
审核发现 audit findings
将收集的审核证据(3.3)对照审核准则(3.2)进行评价的结果。
注1:审核发现表明符合或不符合。
注2:审核发现可引导识别改进的机会或记录良好实践。
注3:如果审核准则选自法律法规要求或其他要求,审核发现可表述为合规或不合规。
注4:改写GB/T 19000-2008,定义3.9.5。
3.5
审核结论 audit conclusion
考虑了审核目标和所有审核发现(3.4)后得出的审核(3.1)结果。
注:改写GB/T 19000-2008,定义3.9.6。
3.6
审核委托方 audit client
要求审核(3.1)的组织或人员。
注1:对于内部审核,审核委托方可以是受审核方(3.7)或审核方案管理人员;对于外部审核,可以是监管机构、合同方或潜在用户。
注2:改写GB/T 19000-2008,定义3.9.7。
3.7
受审核方 auditee
被审核的组织。
[GB/T 19000-2008,定义3.9.8]
3.8
审核员 auditor
实施审核(3.1)的人员。
3.9
审核组 audit team
实施审核(3.1)的一名或多名审核员(3.8),需要时,由技术专家(3.10)提供支持。
注1:审核组中的一名审核员被指定作为审核组长。
注2:审核组可包括实习审核员。
[GB/T 19000-2008,定义3.9.10]
3.10
技术专家 technical expert
向审核组(3.9)提供特定知识或技术的人员。
注1:特定知识或技术是指与受审核的组织、过程或活动以及语言或文化有关的知识或技术。
注2:在审核组(3.9)中,技术专家不作为审核员(3.8)。
[GB/T 19000-2008,定义3.9.11]
3.11
观察员 observer
伴随审核组(3.9)但不参与审核的人员。
注1:观察员不属于审核组(3.9),也不影响或干涉审核(3.1)工作。
注2:观察员可来自受审核方(3.7)、监管机构或其他见证审核(3.1)的相关方。
3.12
向导 guide
由受审核方(3.7)指定的协助审核组(3.9)的人员。
3.13
审核方案 audit programme
针对特定时间段所策划并具有特定目标的一组(一次或多次)审核(3.1)安排。
注:改写GB/T 19000-2008,定义3.9.2。
3.14
审核范围 audit scope
审核(3.1)的内容和界限。
注:审核范围通常包括对实际位置、组织单元、活动和过程,以及审核所覆盖的时期的描述。
[GB/T 19000-2008,定义3.9.13]
3.15
审核计划 audit plan
对审核(3.1)活动和安排的描述。
[GB/T 19000-2008,定义3.9.12]
3.16
风险 risk
不确定性对目标的影响。
注:改写ISO指南73:2009,定义1.1。
3.17
能力 competence
应用知识和技能获得预期结果的本领。
注:本领表示在审核过程中个人行为的适当表现。
3.18
合格(符合) conformity
满足要求。
[GB/T 19000-2008,定义3.6.1]
3.19
不合格(不符合) nonconformity
未满足要求。
[GB/T 19000-2008,定义3.6.2]
3.20
管理体系 management system
建立方针和目标并实现这些目标的体系。
注:一个组织的管理体系可包括若干个不同的管理体系,如质量管理体系、财务管理体系或环境管理体系。
[GB/T 19000-2008,定义3.2.2]
4 审核原则
审核的特征在于其遵循若干原则。这些原则有助于使审核成为支持管理方针和控制的有效与可靠的工具,并为组织提供可以改进其绩效的信息。遵循这些原则是得出相应和充分的审核结论的前提,也是审核员独立工作时,在相似的情况下得出相似结论的前提。
第5章~第7章中给出的指南是基于下列6项原则:
a) 诚实正直:职业的基础
审核员和审核方案管理人员应:
——以诚实、勤勉和负责任的精神从事他们的工作;
——了解并遵守任何适用的法律法规要求;
——在工作中体现他们的能力;
——以不偏不倚的态度从事工作,即对待所有事务保持公正和无偏见;
——在审核时,对可能影响其判断的任何因素保持警觉。
b) 公正表达:真实、准确地报告的义务
审核发现、审核结论和审核报告应真实和准确地反映审核活动。应报告在审核过程中遇到的重大障碍以及在审核组和受审核方之间没有解决的分歧意见。沟通必须真实、准确、客观、及时、清楚和完整。
c) 职业素养:在审核中勤奋并具有判断力
审核员应珍视他们所执行的任务的重要性以及审核委托方和其他相关方对他们的信任。在工作中具有职业素养的一个重要因素是能够在所有审核情况下做出合理的判断。
d) 保密性:信息安全
审核员应审慎使用和保护在审核过程获得的信息。审核员或审核委托方不应为个人利益不适当地或以损害受审核方合法利益的方式使用审核信息。这个概念包括正确处理敏感的、保密的信息。
e) 独立性:审核的公正性和审核结论的客观性的基础
审核员应独立于受审核的活动(只要可行时),并且在任何情况下都应不带偏见,没有利益上的冲突。对于内部审核,审核员应独立于被审核职能的运行管理人员。审核员在整个审核过程应保持客观性,以确保审核发现和审核结论仅建立在审核证据的基础上。
对于小型组织,内审员也许不可能完全独立于被审核的活动,但是应尽一切努力消除偏见和体现客观。
f) 基于证据的方法:在一个系统的审核过程中,得出可信的和可重现的审核结论的合理的方法
审核证据应是能够验证的。由于审核是在有限的时间内并在有限的资源条件下进行的,因此审核证据是建立在可获得信息的样本的基础上。应合理地进行抽样,因为这与审核结论的可信性密切相关。
.
5 审核方案的管理
5.1 总则
需要实施审核的组织应建立审核方案,以便确定受审核方管理体系的有效性。审核方案可以包括针对一个或多个管理体系标准的审核,可单独实施,也可结合实施。
最高管理者应确保建立审核方案的目标,并指定一个或多个胜任的人员负责管理审核方案。审核方案的范围与程度应基于受审核组织的规模和性质,以及受审核管理体系的性质、功能、复杂程度以及成熟度水平。应优先配置审核方案所确定的资源,以审核管理体系的重大事项。这些重大事项可能包括产品质量的关键特性、健康和安全的相关危险源或重要环境因素及其控制措施。
注;这个概念通常称之为基于风险的审核。本标准没有给出基于风险审核的进一步指南。
审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源,并可以包括以下内容:
——审核方案和每次审核的目标;
——审核的范围与程度、数量、类型、持续时间、地点、日程安排;
——审核方案的程序;
——审核准则;
——审核方法;
——审核组的选择;
——所需的资源,包括交通和食宿;
——处理保密性、信息安全、健康和安全,以及其他类似事宜的过程。
应监视和测量审核方案的实施以确保达到其目标。应评审审核方案以识别可能的改进。
图1所示是审核方案的管理流程。
注1:图中表示了PDCA循环在本标准中的应用。
注2:图中章条号指的是本标准的相关条款。
图1 审核方案的管理流程
5.2 确立审核方案的目标
最高管理者应确保审核方案的目标得到确立,以指导审核的策划和实施,并应确保审核方案的有效实施。审核方案的目标应与管理体系的方针和目标相一致并予以支持。
这些目标可以基于以下方面的考虑:
a) 管理的优先事项;
b) 商业意图和其他的业务意图;
c) 过程、产品和项目的特性及其变化;
d) 管理体系要求;
e) 法律法规和合同要求,以及组织承诺遵守的其他要求;
f) 供方评价的需要;
g) 相关方(包括顾客)的需求和期望;
h) 发生失效、事件和顾客投诉时所反映出的受审核方的绩效水平;
i) 受审核方所面临的风险;
j) 以往审核的结果;
k) 受审核的管理体系的成熟度水平。
审核方案的目标可以包括下列各项:
——促进管理体系及其绩效的改进;
——满足外部要求,例如管理体系标准认证;
——验证与合同要求的符合性;
——获得和保持对供方能力的信心;
——确定管理体系的有效性;
——评价管理体系的目标与管理体系方针、组织的总体目标的兼容性和一致性。
5.3 建立审核方案
5.3.1 审核方案管理人员的作用和职责
审核方案管理人员应:
——确定审核方案的范围和程度;
——识别和评估审核方案的风险;
——明确审核的责任;
——建立审核方案的程序;
——确定所需的资源;
——确保审核方案的实施,包括明确每次审核的目标、范围和准则,确定审核方法,选择审核组和评价审核员;
——确保管理和保持适当的审核方案记录;
——监视、评审和改进审核方案。
审核方案管理人员应将审核方案内容报告最高管理者,并在必要时获得批准。
5.3.2 审核方案管理人员的能力
审核方案管理人员应具备有效地和高效地管理审核方案及其相关风险的必要的能力,并具备以下方面的知识和技能:
——审核原则、程序和方法;
——管理体系标准和引用文件;
——受审核方的活动、产品和过程;
——与受审核方活动、产品有关的适用的法律法规要求和其他要求;
——受审核方的顾客、供方和其他相关方(适用时)。
审核方案管理人员应参加适当的持续专业发展活动,以保持管理审核方案所需的知识和技能。
5.3.3 确定审核方案的范围和详略程度
审核方案管理人员应确定审核方案的范围和详略程度,这取决于受审核方的规模和性质、受审核的管理体系的性质、功能、复杂程度和成熟度水平以及其他重要事项。
注:在某些情况下,根据受审核方的结构或活动,审核方案可能只包括一次审核(例如一个小型项目活动)。
影响审核方案范围和详略程度的其他因素包括:
——每次审核的目标、范围、持续时间和审核次数,适用时,还包括审核后续活动;
——受审核活动的数量、重要性、复杂性、相似性和地点;
——影响管理体系有效性的因素;
——适用的审核准则,例如有关管理标准的安排、法律法规要求、合同要求以及受审核方承诺的其他要求;
——以往的内部或外部审核的结论;
——以往的审核方案的评审结果;
——语言、文化和社会因素;
——相关方的关注点,例如顾客抱怨或不符合法律法规要求;
——受审核方或其运作的重大变化;
——支持审核活动的信息和沟通技术的可获得性,尤其是使用远程审核方法的情况(见B.1);
——内部和外部事件的发生,如产品故障、信息安全泄密事件、健康和安全事件、犯罪行为或环境事件。
5.3.4 识别和评估审核方案风险
在建立、实施、监视、评审和改进审核方案过程中存在多种风险,这些风险可能影响审核方案目标的实现。审核方案管理人员在制定审核方案时应考虑这些风险。这些风险可能与下列事项相关:
——策划,例如未能设定合适的审核目标和未能确定审核方案范围和详略程度;
——资源,例如没有足够的时间制定审核方案或实施审核;
——审核组的选择,例如审核组不具备有效地实施审核的整体能力;
——实施,例如没有有效地沟通审核方案;
——记录及其控制,例如未能适宜地保护用于证明审核方案有效性的审核记录;
——监视、评审和改进审核方案,例如没有有效地监视审核方案的结果。
5.3.5 建立审核方案的程序
审核方案管理人员应建立一个或多个程序,用于规定下列事项(适用时):
——在考虑审核方案风险的基础上,策划和安排审核日程;
——确保信息安全和保密性;
——保证审核员和审核组长的能力;
——选择适当的审核组并分配任务和职责;
——实施审核,包括采用适当的抽样方法;
——适用时,实施审核后续活动;
——向最高管理者报告审核方案的实施概况;
——保持审核方案的记录;
——监视和评审审核方案的绩效和风险,提高审核方案的有效性。
5.3.6 识别审核方案资源
识别审核方案资源时,审核方案管理人员应考虑:
——开发、实施、管理和改进审核活动所必需的财务资源;
——审核方法;
——能够胜任特定审核方案目标的审核员和技术专家;
——审核方案范围和程度以及风险;
——旅途时间和费用、食宿和其他审核需要;
——信息和沟通技术的可获得性。
5.4 实施审核方案
5.4.1 总则
审核方案管理人员应通过开展下列活动实施审核方案:
——与有关方面沟通审核方案的相关部分,并定期通报进展情况;
——确定每次审核的目标、范围和准则;
——协调和安排审核日程以及其他与审核方案相关的活动;
——确保选择具备所需能力的审核组;
——为审核组提供必要的资源;
——确保按照审核方案和协商一致的时间框架实施审核;
——确保记录审核活动并且妥善管理和保持记录。
5.4.2 规定每次审核的目标、范围和准则
每次审核应基于形成文件的审核目标、范围和准则。这些应由审核方案管理人员加以规定,并与总体审核方案的目标一致。
审核目标规定每次审核应完成什么,可以包括下列内容:
——确定所审核的管理体系或其一部分与审核准则的符合程度;
——确定活动、过程和产品与要求和管理体系程序的符合程度;
——评价管理体系的能力,以确保满足法律法规和合同要求以及受审核方所承诺的其他要求;
——评价管理体系在实现特定目标方面的有效性;
——识别管理体系的潜在改进之处。
审核范围应与审核方案和审核目标相一致。包括诸如地址、组织单元、被审核的活动和过程以及审核覆盖的时期等内容。
审核准则作为确定合格的依据,可能包括适用的方针、程序、标准、法律法规要求、管理体系要求、合同要求、行业行为规范或其他策划的安排。
如果审核目标、范围或准则发生变化,应根据需要修改审核方案。
当对两个或更多的管理体系同时进行审核(结合审核)时,审核目标、范围和准则与相关审核方案的目标保持一致是非常重要的。
5.4.3 选择审核方法
审核方案管理人员应根据规定的审核目标、范围和准则,选择和确定审核方法以有效地实施审核。
注:附录B给出了如何确定审核方法的指南。
当两个或多个审核组织对同一受审核方进行联合审核时,管理不同审核方案的人员应就审核方法达成一致,并考虑对审核资源和审核策划的影响。如果受审核方运行两个或多个领域的管理体系,审核方案也应包括结合审核的情况。
5.4.4 选择审核组成员
审核方案管理人员应指定审核组成员,包括审核组长和特定审核所需要的技术专家。
应在考虑实现规定范围内每次审核目标所需要的能力的基础上,选择审核组。如果只有一名审核员,该审核员应承担审核组长的适用的全部职责。
注:第7章提供了确定审核组成员所要求的能力的指南,并描述了评价审核员的过程。
在确定特定审核的审核组的规模和组成时,应考虑下列因素:
a) 考虑到审核范围和准则,实现审核目标所需要的审核组的整体能力;
b) 审核的复杂程度以及是否是结合审核或联合审核;
c) 所选定的审核方法;
d) 法律法规要求、合同要求和受审核方所承诺的其他要求;
e) 确保审核组成员独立于被审核活动以及避免任何利害冲突的需要[见第4章e)独立性原则];
f) 审核组成员共同工作的能力以及与受审核方的代表有效协作的能力;
g) 审核所用语言以及受审核方特定的社会和文化特性。这些方面可以通过审核员自身的技能或通过技术专家的支持予以解决。
为了保证审核组的整体能力,应采取下列步骤:
——识别达到审核目标所需要的知识和技能;
——选择审核组成员以使审核组具备所有必要的知识和技能。
如果审核组的审核员没有具备所有必要的能力,审核组应包含具备相关能力的技术专家。技术专家应在审核员的指导下工作,但不能作为审核员实施审核。
审核组可以包括实习审核员,但实习审核员应在审核员的指导和帮助下参与审核。
在审核过程中,如出现了利益冲突和能力方面的问题,审核组的规模和组成可能有必要加以调整。
如果出现这种情况,在调整前,有关方面(例如审核组长、审核方案管理人员、审核委托方或受审核方)应进行讨论。
5.4.5 为审核组长分配每次的审核职责
审核方案管理人员应向审核组长分配实施每次审核的职责。
应在审核实施前的足够时间内分配职责,以确保有效地策划审核。
为确保有效地实施每次审核,应向审核组长提供下列信息:
a) 审核目标;
b) 审核准则和引用文件;
c) 审核范围,包括需审核的组织单元、职能单元以及过程;
d) 审核方法和程序;
e) 审核组的组成;
f) 受审核方的联系方式、审核活动的地点、日期和持续时间;
g) 为实施审核所配置的适当资源;
h) 评价和关注已识别达到审核目标的风险所需的信息。
适用时,提供的信息还应包括下列内容:
——在审核员和(或)受审核方的语言不同的情况下,审核工作和报告的语言;
——审核方案要求的审核报告内容和分发范围;
——如果审核方案有所要求,与保密和信息安全有关的事宜;
——审核员的健康和安全要求;
——安全和授权要求;
——后续活动,例如来自以往的审核(适用时);
——在联合审核的情况下与其他审核活动的协调。
当进行联合审核时,重要的是实施审核的各组织在开始审核前,就各自的职责,特别是对被指定为本次审核的审核组长的权限达成一致。
5.4.6 管理审核方案结果
审核方案管理人员应确保下列活动得到实施:
——评审和批准审核报告,包括评价审核发现的适宜性和充分性;
——评审根本原因分析以及纠正措施和预防措施的有效性;
——将审核报告提交给最高管理者和其他有关方面;
——确定后续审核的必要性。
5.4.7 管理和保持审核方案记录
审核方案管理人员应确保审核记录的形成、管理和保持,以证明审核方案的实施。应建立过程以确保与审核记录相关的保密需求得到规定。
记录应包括下列各项内容:
a) 与审核方案相关的记录,如:
——形成文件的审核方案的目标、范围和程度;
——阐述审核方案风险的记录;
——审核方案有效性的评审记录;
b) 与每次审核相关的记录,如:
——审核计划和审核报告;
——不符合报告;
——纠正措施和预防措施报告;
——审核后续活动报告(适用时);
c) 与审核人员相关的记录,如:
——审核组成员的能力和绩效评价;
——审核组和审核组成员的选择;
——能力的保持和提高。
记录的形式和详细程度应证明达到了审核方案的目标。
5.5 监视审核方案
审核方案管理人员应监视审核方案的实施,并关注下列需求:
a) 评价与审核方案、日程安排和审核目标的符合性;
b) 评价审核组成员的绩效;
c) 评价审核组实施审核计划的能力;
d) 评价来自最高管理者、受审核方、审核员和其他相关方的反馈。
某些因素可能决定是否需要修改审核方案,如:
——审核发现;
——经证实的管理体系有效性水平;
——审核委托方或受审核方的管理体系的变化;
——标准要求、法律法规要求、合同要求和受审核方所承诺的其他要求的变化;
——供方的变更。
5.6 评审和改进审核方案
审核方案管理人员应评审审核方案,以评定是否达到目标。从审核方案评审中得到的经验教训应用于持续改进审核方案过程的输入。
审核方案评审应考虑下列各项:
a) 审核方案监视的结果和趋势;
b) 与审核方案程序的符合性;
c) 相关方进一步的需求和期望;
d) 审核方案记录;
e) 可替代的或新的审核方法;
f) 解决与审核方案相关风险的措施的有效性;
g) 与审核方案有关的保密和信息安全事宜。
审核方案管理人员应评审审核方案的总体实施情况,识别改进区域,必要时修改审核方案,并应:
——根据7.4、7.5和7.6评审审核员的持续专业发展活动;
——向最高管理者报告审核方案的评审结果。
.
6 实施审核
6.1 总则
本条款为作为审核方案一部分的审核活动的准备与实施提供了指南。图2给出了典型的审核活动概述。本条款的适用程度取决于特定审核的目标和范围。
注:图中的条款号与本标准中的条款号相对应。
图2 典型的审核活动
6.2 审核的启动
6.2.1 总则
从审核开始直到审核完成(见6.6),指定的审核组长(见5.4.5)都应对审核的实施负责。
启动一项审核应考虑图2中的步骤;然而,根据受审核方、审核过程和具体情形的不同,顺序可以有所不同。
6.2.2 与受审核方建立初步联系
审核组长应与受审核方就审核的实施进行初步联系,联系可以是正式的也可以是非正式的。建立初步联系的目的是:
——与受审核方的代表建立沟通渠道;
——确认实施审核的权限;
——提供有关审核目标、范围、方法和审核组组成(包括技术专家)的信息;
——请求有权使用用于策划审核的相关文件和记录;
——确定与受审核方的活动和产品相关的适用法律法规要求、合同要求和其他要求;
——确认与受审核方关于保密信息的披露程度和处理的协议;
——对审核做出安排,包括日程安排;
——确定特定场所的访问、安保、健康安全或其他要求;
——就观察员的到场和审核组向导的需求达成一致意见;
——针对具体审核,确定受审核方的关注事项。
6.2.3 确定审核的可行性
应确定审核的可行性,以确信能够实现审核目标。
确定审核的可行性应考虑是否具备下列因素:
——策划和实施审核所需的充分和适当的信息;
——受审核方的充分合作;
——实施审核所需的足够时间和资源。
当审核不可行时,应向审核委托方提出替代建议并与受审核方协商一致。
6.3 审核活动的准备
6.3.1 审核准备阶段的文件评审
应评审受审核方的相关管理体系文件,以:
——收集信息,例如过程、职能方面的信息,以准备审核活动和适用的工作文件(见6.3.4);
——了解体系文件范围和程度的概况以发现可能存在的差距。
注:如何进行文件评审的指南可参见B.2。
适用时,文件可包括管理体系文件和记录,以及以往的审核报告。文件评审应考虑受审核方管理体系和组织的规模、性质和复杂程度以及审核目标和范围。
6.3.2 编制审核计划
6.3.2.1 审核组长应根据审核方案和受审核方提供的文件中包含的信息编制审核计划。审核计划应考虑审核活动对受审核方的过程的影响,并为审核委托方、审核组和受审核方之间就审核的实施达成一致提供依据。审核计划应便于有效地安排和协调审核活动,以达到目标。
审核计划的详细程度应反映审核的范围和复杂程度,以及实现审核目标的不确定因素。在编制审核计划时,审核组长应考虑以下方面:
——适当的抽样技术(见B.3);
——审核组的组成及其整体能力;
——审核对组织形成的风险。
例如,对组织的风险可以来自审核组成员的到来对于健康安全、环境和质量方面的影响,以及他们的到来对受审核方的产品、服务、人员或基础设施(例如对洁净室设施的污染)产生的威胁。
对于结合审核,应特别关注不同管理体系的操作过程与相互抵触的目标以及优先事项之间的相互作用。
6.3.2.2 对于初次审核和随后的审核、内部审核和外部审核,审核计划的内容和详略程度可以有所不同。审核计划应具有充分的灵活性,以允许随着审核活动的进展进行必要的调整。
审核计划应包括或涉及下列内容:
a) 审核目标;
b) 审核范围,包括受审核的组织单元、职能单元以及过程;
c) 审核准则和引用文件;
d) 实施审核活动的地点、日期、预期的时间和期限,包括与受审核方管理者的会议;
e) 使用的审核方法,包括所需的审核抽样的范围,以获得足够的审核证据,适用时还包括抽样方案的设计;
f) 审核组成员、向导和观察员的作用和职责;
g) 为审核的关键区域配置适当的资源。
适当时,审核计划还可包括:
——明确受审核方本次审核的代表;
——当审核员和(或)受审核方的语言不同时,审核工作和审核报告所用的语言;
——审核报告的主题;
——后勤和沟通安排,包括受审核现场的特定安排;
——针对实现审核目标的不确定因素而采取的特定措施;
——保密和信息安全的相关事宜;
——来自以往审核的后续措施;
——所策划审核的后续活动;
——在联合审核的情况下,与其他审核活动的协调。
审核计划可由审核委托方评审和接受,并应提交受审核方。受审核方对审核计划的反对意见应在审核组长、受审核方和审核委托方之间得到解决。
6.3.3 审核组工作分配
审核组长可在审核组内协商,将对具体的过程、活动、职能或场所的审核工作分配给审核组每位成员。分配审核组工作时,应考虑审核员的独立性和能力、资源的有效利用以及审核员、实习审核员和技术专家的不同作用和职责。
适当时,审核组长应适时召开审核组会议,以分配工作并决定可能的改变。为确保实现审核目标,可随着审核的进展调整所分配的工作。
6.3.4 准备工作文件
审核组成员应收集和评审与其承担的审核工作有关的信息,并准备必要的工作文件,用于审核过程的参考和记录审核证据。这些工作文件可包括:
——检查表;
——审核抽样方案;
——记录信息(如支持性证据、审核发现和会议记录)的表格。
检查表和表格的使用不应限制审核活动的范围和程度,因其可随着审核中收集信息的结果而发生变化。
注:准备工作文件的指南见B.4。
工作文件,包括其使用后形成的记录,应至少保存到审核完成或审核计划规定的时限。关于审核完成后所形成文件的保存见6.6。审核组成员在任何时候应妥善保管涉及保密或知识产权信息的工作文件。
6.4 审核活动的实施
6.4.1 总则
审核活动通常如图2所示的顺序实施。为了适应特定的审核情况,顺序有可能不同。
6.4.2 举行首次会议
首次会议的目的是:
a) 确认所有有关方(例如受审核方、审核组)对审核计划的安排达成一致;
b) 介绍审核组成员;
c) 确保所策划的审核活动能够实施。
应与受审核方管理者及适当的受审核的职能、过程的负责人一起召开首次会议。在会议期间,应提供询问的机会。
会议的详略程度应与受审核方对审核过程的熟悉程度相一致。在许多情况下,例如小型组织的内部审核,首次会议可简单地包括对即将实施的审核的沟通和对审核性质的解释。
对于其他审核情况,会议应当是正式的,并保存出席人员的记录。会议应由审核组长主持。适当时,首次会议应包括以下内容:
——介绍与会者,包括观察员和向导,并概述与会者的职责;
——确认审核目标、范围和准则;
——与受审核方确认审核计划和其他相关安排,例如末次会议的日期和时间,审核组和受审核方管理者之间的临时会议以及任何新的变动;
——审核中所用的方法,包括告知受审核方审核证据将基于可获得信息的样本;
——介绍由于审核组成员的到场对组织可能形成的风险的管理方法;
——确认审核组和受审核方之间的正式沟通渠道;
——确认审核所使用的语言;
——确认在审核中将及时向受审核方通报审核进展情况;
——确认已具备审核组所需的资源和设施;
——确认有关保密和信息安全事宜;
——确认审核组的健康安全事项、应急和安全程序;
——报告审核发现的方法,包括任何分级的信息;
——有关审核可能被终止的条件的信息;
——有关末次会议的信息;
——有关如何处理审核期间可能的审核发现的信息;
——有关受审核方对审核发现、审核结论(包括抱怨和申诉)的反馈渠道的信息。
6.4.3 审核实施阶段的文件评审
应评审受审核方的相关文件,以:
——确定文件所述的体系与审核准则的符合性;
——收集信息以支持审核活动。
注:如何进行文件审核的指南见B.2。
只要不影响审核实施的有效性,文件评审可以与其他审核活动相结合,并贯穿在审核的全过程。
如果在审核计划所规定的时间框架内提供的文件不适宜、不充分,审核组长应告知审核方案管理人员和受审核方。应根据审核目标和范围决定审核是否继续进行或暂停,直到有关文件的问题得到解决。
6.4.4 审核中的沟通
在审核期间,可能有必要对审核组内部以及审核组与受审核方、审核委托方、可能的外部机构(例如监管机构)之间的沟通做出正式安排,尤其是法律法规要求强制性报告不符合的情况。
审核组应定期讨论以交换信息,评定审核进展情况,以及需要时重新分配审核组成员的工作。
在审核中,适当时,审核组长应定期向受审核方、审核委托方通报审核进展及相关情况。如果收集的证据显示受审核方存在紧急的和重大的风险,应及时报告受审核方,适当时向审核委托方报告。对于超出审核范围之外的引起关注的问题,应予记录并向审核组长报告,以便可能时向审核委托方和受审核方通报。
当获得的审核证据表明不能达到审核目标时,审核组长应向审核委托方和受审核方报告理由以确定适当的措施。这些措施可以包括重新确认或修改审核计划,改变审核目标、审核范围或终止审核。
随着审核活动的进行,出现的任何变更审核计划的需求都应经评审,适当时,经审核方案管理人员和受审核方批准。
6.4.5 向导和观察员的作用和责任
向导和观察员(例如来自监管机构或其他相关方的人员)可以陪同审核组。他们不应影响或干扰审核的进行。如果不能确保如此,审核组长有权拒绝观察员参加特定的审核活动。
观察员应承担由审核委托方和受审核方约定的与健康安全、保安和保密相关的义务。
受审核方指派的向导应协助审核组并根据审核组长的要求行动。他们的职责可包括:
a) 协助审核员确定面谈的人员并确认时间安排;
b) 安排访问受审核方的特定场所;
c) 确保审核组成员和观察员了解和遵守有关场所的安全规则和安全程序。
向导的作用也可包括以下方面:
——代表受审核方对审核进行见证;
——在收集信息的过程中,做出澄清或提供帮助。
6.4.6 信息的收集和验证
在审核中,应通过适当的抽样收集并验证与审核目标、范围和准则有关的信息,包括与职能、活动和过程间接口有关的信息。只有能够验证的信息方可作为审核证据。导致审核发现的审核证据应予以记录。在收集证据的过程中,审核组如果发现了新的、变化的情况或风险,应予以关注。
注1:抽样指南见B.3。
图3给出了从收集信息到得出审核结论的过程概述。
收集信息的方法包括:
——面谈;
——观察;
——文件(包括记录)评审。
注2:信息源指南见B.5。
注3:访问受审核方场所指南见B.6。
注4:如何进行面谈的指南见B.7。
6.4.7 形成审核发现
应对照审核准则评价审核证据以确定审核发现。审核发现能表明符合或不符合审核准则。当审核计划有规定时,具体的审核发现应包括具有证据支持的符合事项和良好实践、改进机会以及对受审核方的建议。
应记录不符合及支持不符合的审核证据。可以对不符合进行分级。应与受审核方一起评审不符合,以获得承认,并确认审核证据的准确性,使受审核方理解不符合。应努力解决对审核证据或审核发现有分歧的问题,并记录尚未解决的问题。
审核组应根据需要在审核的适当阶段评审审核发现。
注:识别和评价审核发现的附加指南见B.8。
6.4.8 准备审核结论
审核组在末次会议之前应充分讨论,以:
a) 根据审核目标,评审审核发现以及在审核过程中所收集的其他适当信息;
b) 考虑审核过程中固有的不确定因素,对审核结论达成一致;
c) 如果审核计划中有规定,提出建议;
d) 讨论审核后续活动(适用时)。
审核结论可陈述诸如以下内容:
——管理体系与审核准则的符合程度和其稳健程度,包括管理体系满足所声称的目标的有效性;
——管理体系的有效实施、保持和改进;
——管理评审过程在确保管理体系持续的适宜性、充分性、有效性和改进方面的能力;
——审核目标的完成情况、审核范围的覆盖情况,以及审核准则的履行情况;
——审核发现的根本原因(如果审核计划中有要求);
——为识别趋势从其他受审核领域获得的相似的审核发现。
如果审核计划中有规定,审核结论可提出改进的建议或今后审核活动的建议。
6.4.9 举行末次会议
审核组长应主持末次会议,提出审核发现和审核结论。参加末次会议的人员包括受审核方管理者和适当的受审核的职能、过程的负责人,也可包括审核委托方和其他有关方面。适用时,审核组长应告知受审核方在审核过程中遇到的可能降低审核结论可信程度的情况。如果管理体系有规定或与审核委托方达成协议,与会者应就针对审核发现而制定的行动计划的时间框架达成一致。
会议的详略程度应与受审核方对审核过程的熟悉程度相一致。在一些情况下,会议应是正式的,并保持会议纪要,包括出席人员的记录。对于另一些情况,例如内部审核,末次会议可以不太正式,只是沟通审核发现和审核结论。
适当时,末次会议应向受审核方阐明下列内容:
——告知受审核方所收集的审核证据是基于已获得的信息样本;
——报告的方法;
——处理审核发现的过程和可能的后果;
——以受审核方管理者理解和认同的方式提出审核发现和审核结论;
——任何相关的审核后续活动(例如纠正措施的实施、审核投诉的处理、申诉过程)。
应讨论审核组与受审核方之间关于审核发现或审核结论的分歧,并尽可能予以解决。如果不能解决,应予以记录。
如果审核目标有规定,可以提出改进建议,并强调该建议没有约束性。
6.5 审核报告的编制和分发
6.5.1 审核报告的编制
审核组长应根据审核方案程序报告审核结果。
审核报告应提供完整、准确、简明和清晰的审核记录,并包括或引用以下内容:
a) 审核目标;
b) 审核范围,尤其是应明确受审核的组织单元和职能单元或过程;
c) 明确审核委托方;
d) 明确审核组和受审核方在审核中的参与人员;
e) 进行审核活动的日期和地点;
f) 审核准则;
g) 审核发现和相关证据;
h) 审核结论;
i) 关于对审核准则遵守程度的陈述。
适当时,审核报告还可以包括或引用以下内容:
——包括日程安排的审核计划;
——审核过程综述,包括遇到可能降低审核结论可靠性的障碍;
——确认在审核范围内,已按审核计划达到审核目标;
——尽管在审核范围内,但没有覆盖到的区域;
——审核结论综述及支持审核结论的主要审核发现;
——审核组和受审核方之间没有解决的分歧意见;
——改进的机会(如果审核计划有规定);
——识别的良好实践;
——商定的后续行动计划(如果有);
——关于内容保密性质的声明;
——对审核方案或后续审核的影响;
——审核报告的分发清单。
注:审核报告可以在末次会议之前编制。
6.5.2 审核报告的分发
审核报告应在商定的时间期限内提交。如果延迟,应向受审核方和审核方案管理人员通告原因。
审核报告应按审核方案程序的规定注明日期,并经适当的评审和批准。
审核报告应分发至审核程序或审核计划规定的接收人。
6.6 审核的完成
当所有策划的审核活动已经执行或出现与审核委托方约定的情形时(例如出现了妨碍完成审核计划的非预期情形),审核即告结束。
审核的相关文件应根据参与各方的协议,按照审核方案的程序或适用要求予以保存或销毁。
除非法律法规要求,若没有得到审核委托方和受审核方(适当时)的明确批准,审核组和审核方案管理人员不应向任何其他方泄露相关文件的内容以及审核中获得的其他信息或审核报告的内容。如果需要披露审核文件的内容,应尽快通知审核委托方和受审核方。
从审核中获得的经验教训应作为受审核组织的管理体系的持续改进过程的输入。
6.7 审核后续活动的实施
根据审核目标,审核结论可以表明采取纠正、纠正措施和预防措施或改进措施的需要。此类措施通常由受审核方确定并在商定的期限内实施。适当时,受审核方应将这些措施的实施状况告知审核方案管理人员和审核组。
应对措施的完成情况及有效性进行验证。验证可以是后续审核活动的一部分。
.
7 审核员的能力和评价
7.1 总则
对审核过程的信心和达到其目标的能力取决于参与策划和实施审核的人员(包括审核员和审核组长)的能力。应通过一个过程对人员能力进行评价,该评价过程应考虑个人行为表现以及应用知识和技能的能力。这些知识和技能是通过教育、工作经历、审核员培训和审核经历获得的。评价过程应考虑审核方案及其目标的需要。7.2.3描述的知识和技能,有一些是所有管理体系领域的审核员通用的,其他的则是特定管理体系领域审核员专用的。没有必要要求一个审核组的所有人员具有相同的能力,但是审核组的整体能力相对于达到审核目标而言应是充分的。
审核员能力的评价应根据审核方案(包括其程序)进行策划、实施并形成文件,以提供客观、一致、公正和可靠的结果。评价过程应包括如下四个主要步骤:
a) 确定满足审核方案需求的审核人员能力;
b) 建立评价准则;
c) 选择适当的评价方法;
d) 实施评价。
评价过程的结果应为下列各项活动提供基础:
——按照5.4.4的内容选择审核组成员;
——确定提高能力的需求(例如更多的培训);
——审核员日常表现的评价。
审核员应通过持续专业发展活动和定期参加审核来形成、保持和提高他们的能力(见7.6)。
审核员和审核组长的评价过程见7.4和7.5。
审核员和审核组长的评价准则见7.2.2.和7.2.3。
审核方案管理人员的能力要求见5.3.2。
7.2 确定满足审核方案需求的审核人员能力
7.2.1 总则
在确定审核员适宜的知识和技能时,应考虑下列因素:
——被审核组织的规模、性质和复杂程度;
——被审核管理体系的领域;
——审核方案的目标和范围;
——其他要求(适用时),如外部机构提出的要求;
——审核过程在受审核方管理体系中的作用;
——被审核管理体系的复杂程度;
——审核目标实现过程中的不确定性。
这些信息应与7.2.3.2,7.2.3.3和7.2.3.4相匹配。
7.2.2 个人行为
审核员应具备必要的素质,使其能够按照第4章所描述的审核原则进行工作。审核员应在从事审核活动时展现职业素养,包括:
——有道德,即公正、可靠、忠诚、诚信和谨慎;
——思想开明,即愿意考虑不同意见或观点;
——善于交往,即灵活地与人交往;
——善于观察,即主动地认识周围环境和活动;
——有感知力,即能了解和理解处境;
——适应力强,即容易适应不同处境;
——坚定不移,即对实现目标坚持不懈;
——明断,即能够根据逻辑推理和分析及时得出结论;
——自立,即能够在同其他人有效交往中独立工作并发挥作用;
——坚韧不拔,即能够采取负责任的及合理的行动,即使这些行动可能是非常规的和有时可能导致分歧或冲突;
——与时俱进,即愿意学习,并力争获得更好的审核结果;
——文化敏感,即善于观察和尊重受审核方的文化;
——协同力,即有效地与其他人互动,包括审核组成员和受审核方人员。
7.2.3 知识和技能
7.2.3.1 总则
审核员应具有达到审核预期结果的必要知识与技能。所有审核员应具有通用的知识和技能,还应具有一些特定领域与专业的知识和技能。审核组长还应具备更多的领导审核组的知识和技能。
7.2.3.2 管理体系审核员的通用知识和技能
审核员应具有下列方面的知识和技能:
a) 审核原则、程序和方法:这方面的知识和技能使审核员能将适用的原则、程序和方法应用于不同的审核并保证审核实施的一致性和系统性。审核员应能够:
——运用审核原则、程序和方法;
——对工作进行有效地策划和组织;
——按商定的时间表进行审核;
——优先关注重要问题;
——通过有效的面谈、倾听、观察和对文件、记录和数据的评审来收集信息;
——理解并考虑专家的意见;
——理解审核中运用抽样技术的适宜性及其后果;
——验证所收集信息的相关性和准确性;
——确认审核证据的充分性和适宜性,以支持审核发现和审核结论;
——评定影响审核发现和审核结论的可靠性的因素;
——使用工作文件以记录审核活动;
——将审核发现形成文件,并编制适宜的审核报告;
——维护信息、数据、文件和记录的保密性和安全性;
——直接或通过翻译人员,进行口头或书面的有效沟通;
——理解与审核有关的各类风险。
b) 管理体系和引用文件:这方面的知识和技能使审核员能理解审核范围并运用审核准则,应包括:
——管理体系标准或用作审核准则的其他文件;
——适用时,受审核方和其他组织对管理体系标准的运用;
——管理体系各组成部分之间的相互作用;
——了解引用文件的层次关系;
——引用文件在不同的审核情况下的运用。
c) 组织概况:这方面的知识和技能使审核员能理解受审核方的结构、业务和管理实践,应包括:
——组织的类型、治理、规模、结构、职能和相互关系;
——通用的业务和管理概念,过程和相关术语,包括策划、预算和人员管理;
——受审核方的文化和社会习俗。
d) 适用的法律法规要求、合同要求和适用于受审核方的其他要求:这方面的知识和技能使审核员能了解适用于组织的法律法规和合同要求,并在此环境下开展工作。与法律责任或受审核方活动和产品有关的知识和技能包括:
——法律、法规及其主管机构;
——基本的法律术语;
——合约及责任。
7.2.3.3 管理体系审核员的特定领域与专业的知识与技能
审核员应具有特定领域和专业的知识与技能,以适应管理体系特定领域和专业的审核。
虽然不要求审核组成员都具有相同的能力,但审核组的整体能力应足以实现审核目标。
审核员的特定领域和专业的知识和技能包括:
——特定领域管理体系的要求、原则及其运用;
——与特定领域和专业有关的法律法规要求,如审核员应知晓与法律责任、受审核方的义务、活动及产品相关的要求。
——与特定领域有关的相关方的要求;
——特定领域的基础知识,业务经营的基础知识,特定技术领域的方法、技术、过程和实践,应足以使审核员能审核管理体系,并形成适当的审核发现及审核结论;
——与被审核的特定专业、业务性质或工作场所有关的特定领域的知识,应足以使审核员能评价受审核方的活动、过程和产品(商品或服务);
——与特定领域与专业有关的风险管理原则、方法和技术,以使审核员能评估和控制与审核方案有关的风险。
注:审核员专业知识和技能的指南和说明示例见附录A。
7.2.3.4 审核组长的通用知识和技能
审核组长应当具有管理和领导审核组的知识和技能,以便审核能有效和高效地进行。审核组长应具有必要的知识和技能,以便:
a)平衡审核组成员的强项与弱项;
b)建立审核组成员间的和谐工作关系;
c)管理审核过程,包括:
——对审核进行策划并在审核中有效地利用资源;
——对达到审核目标的不确定性进行管理;
——在审核期间保护审核组成员的健康和安全,包括确保审核员遵守相关健康和安全、安保的要求;
——协调和指挥审核组成员;
——指导和指挥实习审核员;
——必要时,预防和解决冲突。
d) 代表审核组与审核方案管理人员、审核委托方和受审核方进行沟通;
e) 引导审核组得出审核结论;
f) 编制和完成审核报告。
7.2.3.5 多领域管理体系审核的知识和技能
多领域管理体系审核组的审核员应至少具有审核一个领域管理体系的能力并理解不同管理体系之间的相互关系和协同作用。
多领域管理体系审核组长应理解每一领域管理体系标准的要求,并意识到审核组成员在不同领域的知识和技能方面的局限。
7.2.4 审核员能力的获得
审核员知识和技能可通过下列途径获得:
——正规的教育和(或)培训以及工作的经历,这些应有助于获得被审核的管理体系领域和专业方面的知识和技能;
——包含审核员通用知识和技能的培训课程;
——在相关技术、管理或专业岗位的工作经历,这些岗位应与判断、决策、问题解决、以及与管理人员、专业人员、同行、顾客和其他相关方沟通有关;
——在相同领域审核员监督下获得的审核经历。
7.2.5 审核组长
审核组长应具有附加的审核经历来获得7.2.3所要求的知识和技能。这种附加的审核经历应是在不同的审核组长指导下获得的。
7.3 审核员评价准则的建立
准则应是定性的(如,在工作中或培训中经证实的个人行为、知识或技能表现)和定量的(如工作年限、受教育年限、审核次数、审核培训小时数)。
7.4 选择适当的审核员评价方法
应选择表2中的两种或更多的方法来进行评价。在使用表2时,应注意下列事项:
——列出的方法提供了一个可选范围,但可能不适用所有情况;
——列出的各种方法在可信程度上可能有所不同;
——应当结合运用多种方法进行评价以确保结果的客观、一致、公平和可信。
表2 可能的评价方法
评价方法 | 目标 | 示例 |
对记录的评审 | 对审核员背景的验证 | 对教育、培训、工作经历记录、专业证书以及审核经历记录的分析 |
反馈 | 提供关于审核员表现的信息 | 调查表、问卷表、个人资料、证书、投诉、表现评价、同行评审 |
面谈 | 评价个人行为和沟通技巧,验证信息,测试知识,获得更多信息 | 个人交谈 |
观察 | 评价人人行为以及运用知识和技能的能力 | 角色扮演、见证评审、岗位表现 |
测试 | 评价个人行为、知识和技能及其应用 | 口试、笔试、心理测试 |
审核后的评审 | 提供有关审核员在审核活动期间的表现信息,识别优势和不足 | 评审审核报告,与审核组长、审核组成员交谈、受审核方的反馈信息(适用时) |
7.5 进行审核员评价
收集的个人信息应与7.2.3中的准则进行比照。当拟参与审核方案的人员不能满足准则要求时,则应增加更多的培训、工作或审核经历,并进行后续的再评价。
7.6 保持并提高审核员能力
审核员和审核组组长应不断提高他们的能力。审核员应通过定期参加管理体系审核和持续专业发展来保持他们的审核能力。持续专业发展应包括能力的保持和提高,获得的方式诸如:更多的工作经历,培训,个人学习,辅导,参加会议、研讨、论坛或其他相关活动。
审核方案管理人员应建立合适的运行机制,对审核组长和审核员的表现进行持续评价。
持续专业发展活动应考虑以下方面:
——实施审核的组织和个人的需求变化;
——审核实践;
——相关标准以及其他要求。
附 录 A
(资料性附录)
审核员专业知识和技能的指南和说明示例
A.1 总则
本附录提供了管理体系审核员的专业知识和技能的一般示例,旨在作为指南帮助审核方案管理人员选择或评价审核员。
可以给出管理体系审核员的专业知识和技能的其他示例。为了保证可比性,建议在给出这类示例时尽可能地遵循相同的总体结构。
A.2 运输安全管理领域审核员的专业知识和技能说明示例
运输安全管理的相关知识和技能及其方法、技术、过程和实践的应用,应足以使审核员能够审核该管理体系并形成适当的审核发现和结论。
示例如下:
——安全管理术语;
——理解安全系统方法;
——风险评估和减缓;
——与运输安全管理有关的人员因素分析;
——人的行为和相互作用;
——人、机器、过程和工作环境的相互作用;
——潜在的危害和影响安全的其他工作场所因素;
——事件调查和监视安全绩效的方法以及实践;
——运行事件和事故的评价;
——制定主动的和被动的绩效测量方法和指标。
注:更多信息见ISO/PC 241就道路交通安全管理体系正在制定的ISO 39001标准。
A.3 环境管理领域审核员专业知识和技能说明示例
环境管理的相关知识和技能及其方法、技术、过程和实践的应用,应足以使审核员能够审核该管理体系并形成适当的审核发现和结论。
示例如下:
——环境术语;
——环境指标和统计;
——测量科学和监测技术;
——生态系统和生物多样性的相互作用;
——环境介质(例如空气、水、土地、动物、植物);
——确定风险的技术(例如环境因素和(或)影响评价,包括评价重要性的方法);
——生命周期评价;
——环境绩效评价;
——污染预防和控制(例如现有最好的污染控制或能效技术);
——源头削减、废弃物最少化、重新使用、回收和处理实践以及过程;
——有害物质的使用;
——温室气体排放核算和管理;
——自然资源管理(例如化石燃料、水、植物和动物、土地);
——环境设计;
——环境报告和披露;
——产品延伸责任;
——可再生和低碳技术。
注:更多信息见ISO/TC 207就环境管理所制定的相关标准。
A.4 质量管理领域审核员的专业知识和技能说明示例
质量管理的相关知识和技能及其方法、技术、过程和实践的应用,应足以使审核员能够审核该管理体系并形成适当的审核发现和结论。
示例如下:
——与质量、管理、组织、过程及产品、特性、符合性、文件、审核和测量过程相关的术语;
——以顾客为关注焦点、与顾客相关的过程、顾客满意的监视和测量、投诉处理、行为规范、争议解决;
——领导作用——最高管理者的作用,追求组织的持续成功——质量管理方法,通过质量管理实现财务和经济效益、质量管理体系和卓越模式;
——人员参与、人员因素、能力、培训和意识;
——过程方法、过程分析、能力和控制技术、风险处理方法;
——管理的系统方法(质量管理体系的原理、质量管理体系和其他管理体系的关注点、质量管理体系文件)、类型和价值、项目、质量计划、技术状态管理;
——持续改进、创新和学习;
——基于事实的决策方法、风险评估技术(风险识别、分析和评价)、质量管理评价(审核、评审和自我评价)、测量和监视技术、对测量过程和测量设备的要求、根本原因分析、统计技术;
——过程和产品(包括服务)的特性;
——与供方互利的关系、质量管理体系要求和对产品的要求、不同行业对质量管理的特定要求。
注:更多信息见ISO/TC 176就质量管理所制定的相关标准。
A.5 记录管理领域审核员的专业知识和技能说明示例
记录管理的相关知识和技能及其方法、技术、过程和实践的应用,应足以便审核员能够审核该管理体系并形成适当的审核发现和结论。
示例如下:
——记录、记录管理过程和记录管理体系方面的术语;
——制定绩效测量方法和指标;
——通过交谈、观察和确认来调查和评价记录操作;
——对业务流程中生成的记录进行抽样分析。记录的关键特性、记录系统、记录过程和控制;
——风险评估(如从未能形成、保持和控制组织业务过程的充分记录的角度来评估风险);
——形成、收集和控制记录的过程的绩效和充分性;
——评估记录系统的充分性和绩效(包括形成和控制记录的业务系统)、所用技术工具以及已配备的设施和设备的适宜性;
——评价整个组织内所需的不同记录管理能力水平并评估该能力;
——为了定义和管理记录及记录系统所需的内容、背景、结构、表述和控制信息(元数据)的重要性;
——开发专用于记录的工具的方法;
——用于形成、收集、转换和迁移以及长期保存电子和(或)数码记录的技术;
——记录过程的授权文件的标识和重要性。
注:更多信息见ISO/TC 46/SC 11就记录管理所制定的相关标准。
A.6 连续性管理领域审核员的专业知识和技能说明示例
恢复力、安全、就绪和连续管理的相关知识和技能及其方法、技术、过程和实践的应用,应足以使审核员能够审核该管理体系并形成适当的审核发现和结论。
示例如下:
——关于恢复力、安全、预案、响应、连续性和复原管理的过程、科学和技术;
——情报的收集和监视方法;
——管理干扰性事件的风险(预测、避免、预防、保护、缓解、响应干扰性事件及从中恢复);
——风险评估(资产识别和评价;风险识别、分析、评价)和影响分析(与人、有形和无形资产以及环境相关);
——风险处理(适应的、主动的和被动的措施);
——信息完整性和敏感性的方法以及实践;
——人员安全和防护的方法;
——资产保护和物理安全的方法以及实践;
——预防、阻止和安全管理的方法及实践;
——事件缓解、响应和危机管理的方法以及实践;
——连续、应急和恢复管理的方法以及实践;
——监视、测量和报告绩效的方法以及实践(包括演习和测试方法)。
注:更多信息见ISO/TC 8、ISO/TC 223和ISO/TC 247就恢复力、安全性、预案以及持续性的管理所制定的相关标准。
A.7 信息安全管理领域审核员的专业知识和技能的说明示例
信息安全管理的相关知识和技能及其方法、技术、过程和实践的应用,应足以使审核员能够审核该管理体系并形成适当的审核发现和结论。
示例如下:
——ISO/IEC 27000、ISO/IEC 27001、ISO/IEC 27002、ISO/IEC 27003、ISO/IEC 27004和ISO/IEC 27005等标准中的指南;
——顾客和相关方需求的识别和评价;
——与信息安全领域相关的法律法规[例如,知识产权;组织记录的内容、保护和保持;数据保护和隐私权;定;反恐;电子商务;电子和数字签名;工作场所监督;工作场所人因工效学;通讯的拦截和数据的监视(例如电子邮件),计算机滥用,电子证据收集、渗透测试等等];
——在信息安全管理方面的过程、科学和技术;
——风险评估(识别、分析和评价)和在技术、威胁和脆弱性方面的趋势;
——信息安全风险管理;
——信息安全控制(电子的和物理的)的方法和实践;
——信息完整性和敏感性的方法和实践;
——信息安全管理体系和相关控制有效性的测量和评价方法和实践;
——绩效测量、监视和记录的方法和实践(包括测试、审核和评审)。
注:更多信息见由ISO/IEC JTC 1/SC 27就信息安全管理制定的相关标准。
A.8 职业健康安全管理领域审核员的专业知识和技能的说明示例
A.8.1 通用知识和技能
职业健康安全管理的相关知识和技能及其方法、技术、过程和实践的应用,应足以使审核员能够审核该管理体系并形成适当的审核发现和结论。
示例如下:
——危险源辨识,包括那些在工作场所影响人体机能的因素(例如物理、化学和生物因素,性别、年龄、生理缺陷或者其他生理、心理或健康因素);
——风险评价,确定控制措施,和风险沟通[确定控制措施宜基于控制措施的层级选择顺序(见GB/T 28001-2011,4.3.1)];
——健康和人员因素的评价(包括生理和心理因素)和评定原则;
——暴露的监视方法及其职业健康安全风险评价(包括上述人员因素之外的或与职业健康相关的)和消除或者减小这些暴露的相关策略;
——人的行为,人与人的相互作用及人与机器、过程和工作环境的相互作用(包括工作环境、人因工效和安全设计原则,信息和沟通技术);
——组织所要求的不同类型和层级的职业健康安全能力的评价和该能力的评定;
——鼓励员工参与的方法;
——鼓励员工健康生活和自律(与吸烟、毒品、酒精、体重相关因素、锻炼、压力和进攻性行为等有关)的方法,包括他们的工作时间和私人生活;
——主动和被动的绩效测量方法和指标的制定、使用和评价;
——识别潜在的紧急情况以及应急计划,预防,响应和恢复的原则和实践;
——事件(包括事故和工作相关的疾病)调查和评价的方法;
——与健康相关信息的确定和使用(包括工作相关的暴露和疾病监视数据),但应特别关注这些信息的特殊方面的机密性;
——医学信息的理解(包括医疗术语以及充分理解有关预防伤害和健康损害的数据);
——“职业暴露限量”值的体系;
——监测和报告职业健康安全绩效的方法;
——理解与职业健康安全相关的法律法规和其他需求,使得审核员能够评价职业健康安全管理体系。
A.8.2 与受审核行业相关的知识和技能
与受审核行业相关的知识和技能应能使审核员掌握行业情况,以审核管理体系并形成适当的审核发现和结论。
示例如下:
——与特定运作和行业相关的过程、设备、原材料、有毒有害物质、过程循环、维护、后勤,工作流程的组织、工作实践、倒班制、组织文化、领导作用、行为和其他事项;
——典型的危险源和风险,包括与行业相关的健康和人员因素。
注:更多信息见由OHSAS项目组就职业健康安全管理制定的相关标准。
附 录 B
(资料性附录)
审核员策划和实施审核的补充指南
B.1 审核方法的应用
可以采用一系列的审核方法实施审核。本附录给出了常用的审核方法的说明。选择审核方法取决于所规定的审核目标、范围和准则以及持续的时间和地点。应考虑可获得的审核员能力和应用审核方法出现的任何不确定性。灵活运用各种不同的审核方法及其组合,可以使得审核过程及其结果的效率和有效性最佳化。
审核绩效与受审核管理体系的相关人员的相互作用和审核所用技术有关。可以单独或者组合的运用表B.1提供的审核方法示例以实现审核目标。如果一次审核使用多名成员组成的审核组,可以同时使用现场和远程的方法。
注:有关现场访问的附加信息见B.6。
表B.1 适用的审核方法
审核员在受审核方之间的相互作用程度 | 审核员的位置 | |
现场 | 远程 | |
有人员互动 | 进行面谈; 在审核方参与的情况下完成检查表和问卷表; 在受审核方参与的情况下进行文件评审; 抽样 | 借助交互式的通信手段; ——进行交谈; ——完成检查表和问卷; ——在受审核方参与的情况下进行文件评审; |
无人员互动 | 进行文件评审(例如记录、数据分析); 观察工作情况; 进行现场巡视; 完成检查表; 抽样(例如产品) | 进行文件评审(例如记录、数据分析); 在考虑社会和法律法规要求的前提下,通过监视手段来观察工作情况; 分析数据 |
现场审核活动在受审核方的现场进行。远程审核活动在受审核方现场以外地方进行,无论距离远近。 互动的审核活动包括受审核方人员和审核组之间的相互交流。非互动的审核活动不存在与受审核方式代表的交流,但需要使用设备、设施和文件。 |
在策划阶段,审核方案管理人员或审核组长应对具体审核中有效运用审核方法负责。审核组长负责实施审核活动。
远程审核活动的可行性取决于审核员和受审核方人员之间的信任程度。
在审核方案中,应确保适宜和平衡地应用远程和现场审核方法,以确保圆满实现审核方案的目标。
B.2 实施文件评审
审核员应该考虑:
——文件中所提供的信息是否:
——完整(文件中包含所有期望的内容);
——正确(内容符合标准和法规等可靠的来源);
——一致(文件本身以及与相关文件都是一致的);
——现行有效(内容是最新的);
——所评审的文件是否覆盖审核的范围并提供足够的信息来支持审核目标;
——依据审核方法确定的对信息和通信技术的利用,是否有助于审核的高效实施。应依据适用的数据保护法规对信息安全予以特别关注(特别是包含在文件中但在审核范围之外的信息)。
注:文件评审可以表明受审核方管理体系文件控制的有效性。
B.3 抽样
B.3.1 总则
在审核过程中,如果检查所有可获得的信息不实际或不经济,则需进行审核抽样,例如记录太过庞大或地域分布太过分散,以至于无法对总体中的每个项目进行检查。为了对总体形成结论,对大的总体进行审核抽样,就是在全部数据批(总体)中,选择小于100%数量的项目以获取并评价总体某些特征的证据。
审核抽样的目的是提供信息,以使审核员确信能够实现审核目标。
抽样的风险是从总体中抽取的样本也许不具有代表性,从而可能导致审核员的结论出现偏差,与对总体进行全面检查的结果不一致。其他风险可能源于抽样总体内部的变异和所选择的抽样方法。
典型的审核抽样包括以下步骤:
——明确抽样方案的目标;
——选择抽样总体的范围和组成;
——选择抽样方法;
——确定样本量;
——进行抽样活动;
——收集、评价和报告结果并形成文件。
抽样时,应考虑可用数据的质量,因为抽样数量不足或数据不准确将不能提供有用的结果。应根据抽样方法和所要求的数据类型(如为了推断出特定行为模式或得出对总体的推论)选择适当的样本。
对样本的报告应考虑样本量、选择的方法以及基于这些样本和一定置信水平做出的估计。
审核可以采用条件抽样(见B.3.2)或者统计抽样(见B.3.3)。
B.3.2 条件抽样
条件抽样依赖于审核组的知识、技能和经验(见第7章)。
对于条件抽样,可以考虑以下方面:
——在审核范围内的以前的审核经验;
——实现审核目标的要求的复杂性(包括法律法规要求);
——组织的过程和管理体系要素的复杂性及其相互作用;
——技术、人员因素或管理体系的变化程度;
——以前识别的关键风险领域和改进的领域;
——管理体系监视的结果。
条件抽样的缺点是,可能无法对审核发现和审核结论的不确定性进行统计估计。
B.3.3 统计抽样
如果决定要使用统计抽样,抽样方案应基于审核目标和抽样总体的特征。
——统计抽样设计使用一种基于概率论的样本选择过程。当每个样本只有两种可能的结果时(例如正确或错误,通过或不通过)使用计数抽样。当样本的结果是连续值时使用计量抽样。
——抽样方案应当考虑检查的结果是计数的还是计量的。例如,当要评价完成的表格与程序规定的要求的符合性时,可以使用计数抽样。当调查食品安全事件或安全漏洞的数量时,计量抽样可能更加合适。
——影响审核抽样方案的关键因素是:
——组织的规模;
——胜任的审核员的数量;
——年中审核的频次;
——单次审核时间;
——外部所要求的置信水平。
——当制订统计抽样方案时,审核员能够接受的抽样风险水平是一个重要的考虑因素,这通常称为可接受的置信水平。例如,5%的抽样风险对应95%的置信水平。5%的抽样风险意味着审核员能够接受被检查的100个样本中有5个(或20个中有1个)不能反映其真值,该真值通过检查总体样本得出。
——当使用统计抽样时,审核员应适当描述工作情况,并形成文件。这应包括抽样总体的描述,用于评价的抽样准则(例如:什么是可接受的样本),使用的统计参数和方法,评价的样本数量以及获得的结果。
B.4 准备工作文件
当准备工作文件时,审核组应针对每份文件考虑下列问题:
a) 使用这份工作文件时将产生哪些审核记录?
b) 哪些审核活动与此特定的工作文件相关联?
c) 谁将是此工作文件的使用者?
d) 准备此工作文件需要哪些信息?
对于结合审核,准备的工作文件应通过下列活动避免审核活动的重复:
——汇集不同准则的类似要求;
——协调相关检查表和问卷的内容。
工作文件应充分关注审核范围内管理体系的所有要素,提供的形式可以是任何媒介。
B.5 信息源的选择
可根据审核的范围和复杂性选择不同的信息源。信息源可能包括:
——与员工和其他人员交谈;
——观察活动和周围的工作环境与条件;
——文件,例如方针、目标、计划、程序、标准、指导书、执照和许可证、规范、图纸、合同和订单;
——记录,例如检验记录、会议纪要、审核报告、监视方案和测量结果的记录;
——数据汇总、分析和绩效指标;
——有关受审核方抽样方案和抽样、测量过程的控制程序的信息;
——其他来源的报告,例如顾客的反馈,外部调查与测量,来自外部机构和供应商评级的其他信息;
——数据库和网站;
——模拟和建模。
B.6 受审核方现场访问指南
在现场访问中,尽量减少审核活动与受审核方工作过程的相互干扰,并确保审核组成员的健康和安全,应考虑以下方面:
a) 策划访问时:
——确保能够进入审核范围所确定的受审核方的相关场所;
——向审核员提供有关现场访问的足够信息(例如简介),这些信息涉及的方面包括安保、健康(例如检疫)、职业健康安全、文化习俗,适用时,还包括要求的预防接种和清洁;
——适用时,与受审核方确认提供审核组所需的个人防护装备(PPE);
——除了非计划的特别审核,确保受访人员知道审核目标和范围;
b) 现场活动时:
——避免任何对操作过程不必要的干扰;
——确保审核组适当地使用个人防护装备;
——确保应急程序得到沟通(例如紧急出口,集合地点);
——安排沟通以尽量减少分歧;
——依据审核范围确定审核组的规模以及向导和观察员的数量,以尽可能的避免干扰运作过程;
——即使具备能力或持有执照,除非经明确许可,不要触摸或者操作任何设备;
——如果在现场访问期间发生事件,审核组长应与受审核方(如果需要,包括审核委托方)一起评审该状况,就是否中断、重新安排或继续审核达成一致;
——如果拍照或是视频录像,应预先征得管理人员的同意并考虑安全和保密事宜。避免未经本人许可就给个人拍照;
——如果复制任何类型的文件,应预先征得许可并考虑保密和安全事宜;
——作笔记时,应避免收集个人信息,除非出于审核目标或是审核准则的要求。
B.7 面谈
面谈是一种重要的收集信息的方法,并且应以适于当时情境和受访人员的方式进行,面谈可以是面对面进行,也可以通过其他沟通方法。但是,审核员应考虑如下内容:
——受访人员应来自承担审核范围涉及的活动或任务的适当的层次和职能部门;
——通常在受访人员正常的工作时间和工作地点(可行时)进行;
——在面谈之前和面谈期间应尽量使受访人员放松;
——应解释面谈和做笔记的原因;
——面谈可以从请受访人员描述其工作开始;
——注意选择提问的方式(例如:开放式、封闭式、引导式提问);
——应与受访人员总结和评审面谈结果;
——应感谢受访人员的参与和合作。
B.8 审核发现
B.8.1 确定审核发现
当确定审核发现时,应考虑以下内容:
——以往审核记录和结论的跟踪;
——审核委托方的要求;
——非常规活动的发现,或者改进的机会;
——样本量;
——审核发现的分类(如果存在这种情况)。
B.8.2 记录符合性
对于符合性的记录,应考虑如下内容:
——明确判断符合的审核准则;
——支持符合性的审核证据;
——符合性陈述(适用时)。
B.8.3 记录不符合
对于不符合的记录,应考虑如下内容:
——描述或引用审核准则;
——不符合陈述;
——审核证据;
——相关的审核发现(适用时)。
B.8.4 与多个准则相关的审核发现的处理
在审核中,有可能识别出与多个准则相关的审核发现。在结合审核中,当审核员识别出与一个准则相关的审核发现时,应考虑到这一审核发现对其他管理体系中相应或类似准则的可能影响。
根据审核委托方的安排,审核员也可能提出:
——分别对应每个准则的审核发现;或
——与多个准则相关的一个审核发现。
根据审核委托方的安排,审核员可以指导受审核方应对这些审核发现。
参 考 文 献
[1] GB/T 2828.4 计数抽样检验程序 第4部分:声称质量水平的评定程序
[2] GB/T 19000-2008 质量管理体系 基础和术语
[3] GB/T 19001 质量管理体系 要求
[4] GB/T 24001 环境管理体系要求及使用指南
[5] GB/T 24050 环境管理 术语
[6] GB/T 24405.1 信息技术 服务管理 第1部分:规范(服务管理体系要求)
[7] GB/T 22000 食品安全管理体系 食品链中各类组织的要求
[8] GB/T 22080/ISO/IEC 27001 信息技术 安全技术 信息安全管理体系 要求
[9] GB/T 22081/ISO/IEC 27002 信息技术 安全技术 信息安全管理实用规则
[10] GB/T 28001-2011 职业健康安全管理体系 要求
[11] ISO/IEC 17021:2011,Conformity assessment—Requirements for bodies providing audit and certification of management systems
[12] ISO/IEC 27000,Information technology—Security techniques—Information security management systems—Overview and vocabulary
[13] ISO/IEC 27003,Information technology—Security techniques—Information security management system implementation guidance
[14] ISO/IEC 27004,Information technology—Security techniques—Information security management—Measurement
[15] ISO/IEC 27005,Information technology—Security techniques—Information security risk management
[16] ISO 28000,Specification for security management systems for the supply chain
[17] ISO 303011),Information and documentation—Management system for records—Require-ments
[18] ISO 31000,Risk management—Principles and guidelines
[19] ISO 390012),Road traffic safety(RTS)management systems—Requirements with guidance for use
[20] ISO 50001,Energy management systems—Requirements with guidance for use
[21] ISO Guide 73:2009,Risk management—Vocabulary
[22] ISO 9001 审核实践组文件可从以下网址获得:www.iso.org/tc176/ISO 9001 Auditing-PracticesGroup
[23] ISO 19011 附加指南2)可从以下网址获得:www.iso.org/19011auditing
1) 待发布。
2) 制定中。