《ISO19011:2018管理体系审核指南.doc》由会员分享,可在线阅读,更多相关《ISO19011:2018管理体系审核指南.doc(77页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、如有侵权,请联系网站删除,仅供学习与交流ISO19011:2018管理体系审核指南【精品文档】第 77 页ISO19011:2018管理体系审核指南前言ISO(国际标准化组织)是各国标准化团体(ISO成员团体)组成的世界性联合会。制定国际标准的工作通常由ISO的技术委员会完成。各成员团体若对某技术委员会确立的项目感兴趣,均有权参加该委员会的工作。与ISO保持联系的各国际组织(官方的或非官方的)也可参加有关工作。在电工技术标准化方面,ISO与国际电工委员会(IEC)保持密切合作关系。ISO / IEC指令第1部分描述了用于开发和保持本标准的程序。特别是,应注意不同类型的ISO文档所需的不同批准标
2、准。本文件是根据ISO / IEC指令第2部分的编辑规则起草的(见www.iso.org/directives)。本文中的某些内容可能涉及一些专利问题,对此应引起注意,ISO不负责识别任何或所有的此类专利权问题。在文件制定过程中已经确认的任何专利权的详细信息将在引言/或收到的专利声明ISO清单中(见www.iso.org/patents)。本文中使用的任何商标名称都是为方便用户而提供的信息,并不构成认可。有关标准的自愿性质的解释,与合格评定相关的ISO特定术语和表达的含义,以及ISO在技术性贸易壁垒(TBT)中遵守世界贸易组织(WTO)原则的信息,请参阅www.iso.org/iso/fore
3、word.html.本文件由ISO / PC 302管理体系审核指南项目委员会编写。第三版取消并取代了第二版(ISO 19011:2011),该版本已经过技术性修订。与第二版相比的主要差异如下:增加了基于风险方法的审核原则;扩大了审核方案管理的指南,包括审核方案风险;扩大审核实施的指南,特别是审核策划部分;扩大了审核员的一般能力要求;调整术语以反映过程而不是对象(“事项”);删除了附件中包含审核特定管理体系专业能力要求(由于太多的管理体系标准,将所有专业的能力要求包括在内是不切实际的);扩展附件A,以为审核(新)概念提供指南,如组织环境,领导作用和承诺,虚拟审核,合规和供应链。引言本文件第二版
4、自2011年出版以来,已经出版了许多新的管理体系标准,其中许多标准具有共同的结构、相同的核心要求以及共同的术语和核心定义。因此,有必要考虑更广泛的管理体系审核方法,并提供更通用的指导。审核结果可以为业务计划的分析方面提供输入,并且可以有助于识别改进需求和活动。审核可以依据一系列单独或组合的审核准则进行,包括但不限于:在一个或多个管理体系标准中定义的要求;有关相关方指定的方针和要求;法律和法规要求;组织或其他各方确定的一个或多个管理体系过程;与管理体系特定输出(如质量计划、项目计划)有关规定相关的管理体系策划。本文件提供的指南适用于所有规模和类型组织的不同范围和规模的审核,包括由大的审核组(通常
5、为大型组织)以及由单个审核员进行的审核,无论其是大型组织还是小型组织。本指南宜与审计方案的范围、复杂程度和规模相适宜。本文件注重于内部审核(第一方)和组织对其外部供方和其他外部相关方(第二方)进行的审核。本文件也可用于第三方管理体系认证以外的其他目的的外部审核。ISO/I EC 170211为管理体系第三方认证规定了要求。该文件可以提供有用的附加指导(见表1)表1-审核类型的区分第一方审核第二方审核第三方审核内部审核外部供方的审核认证和或委派审核其他外部相关方出于法律法规、行政监管和类似目的的审核为了简化本文件的可读性,文件中的“管理体系”是单数形式,但是读者可以结合自身的具体情况实施该指南。
6、这也适用于“人员(单数)”和“人员(复数)”、“审核员(单数)”和“审核员(复数)”的使用。本文件拟适用于广泛的潜在使用者,包括审核员、实施管理体系的组织以及由于合同或法律法规要求需要实施管理体系审核的组织。本文的使用者可以应用这些指南制定其与审核相关的要求。本文档中的指南也可用于自我声明,对参与审核员培训或人员认证的组织有用。就灵活运用本文档的指南。正如本文所述,应根据组织管理体系的规模、成熟度水平、受审核组织的性质和复杂所实施的审核目标和范围的不同,来使用本指南。本标准采用的方法适用于两个或更多的不同领域的管理体系共同审核的场合。当这些管理体系整合为一个管理体系时,审核原则和过程与结合审核
7、相同(有时称为“结合审核”)。本文为审核方案的管理、管理体系审核的策划和实施以及审核员和审核组的能力和评价提供指南。管理体系审核指南1范围本文件提供了管理体系审核指南,包括审核原则,审核方案的管理和管理体系审核的实施,也对参与管理体系审核过程的人员的能力提供了评价指南,这些活动包括管理审核方案、审核员和审核组的人员。本标准适用于需要策划和实施管理体系内部审核、外部审核或需要管理审核方案的所有组织。只要对所需要的特定能力给予特殊考虑,本文件也可应用于其他类型的审核。2规范性引用文件本文件无规范性引用文件。3术语和定义下列术语和定义适用于本文件。ISO和IEC在以下地址保持用于标准化的术语数据库:
8、ISO在线浏览平台:可在https:/ www.iso.org / obp获得;IEC Electropedia:可在http:/ www.electropedia.org /获得。3.1Audit审核为获得客观证据(3.8)并对其进行客观的评价,以确定满足审核准则(3.7)的程度所进行的系统的、独立的并形成文件的过程。注1:内部审核,有时称为第一方审核,由组织自己或以组织的名义进行。注2:通常,外部审核包括第二方和第三方审核。第二方审核由组织的相关方,如顾客或由其他人员以相关方的名义进行,第三方审核由外部独立的审核组织进行,如提供合格认证/注册的组织或政府机构。【源自:ISO9000:201
9、5, 3.13.1,改写注已被修改】3.2combined audit多体系审核在一个受审核方(3.13),对两个或两个以上管理体系(3.18)一起实施的审核(3.1)。注1:当两个或两以上多个不同领域的管理体系整合为一个管理体系时,称为整合管理体系。【源自:ISO 9000:2015,3.13.2,改写】3.3joint audit联合审核在一个受审核方(3.13),由两个或两个以上审核组织同时实施的审核(3.1)【源自:ISO 9000:2015,3.13.3】3.4audit programme审核方案针对特定时间段所策划并具有特定目标的一组(一次或多次)审核的安排。【源自:ISO 90
10、00:2015,3.13.4,改写修改后的措辞已添加到定义中】3.5audit scope审核范围审核的内容和界限注1:审核范围通常包括对实际和虚拟位置、职能、组织单元、活动和过程以及所涵盖时间段的描述。注2:虚拟位置指允许个人在不同的物理位置使用在线环境执行工作或提供服务的位置。【源自:ISO 9000:2015,3.13.5,改写注1已被修改,注2为增加】3.6audit plan审核计划对审核(3.1)活动和安排的描述【源自:ISO9000:2015,3.13.6】3.7audit criteria审核准则用于与客观证据(3.8)进行比较的一组要求(3.23)注1:如果审核准则是法律要求
11、(包括法定或监管),审核发现(3.10)中经常使用“合规”或“不合规”。注2:要求可能包括方针、程序、工作指示、法律要求、合同义务等。【源自:ISO 9000:2015,3.13.7,改写定义已被修改,注1和注2为增加】3.8objective evidence客观证据支持事物存在或其真实性的数据注1:客观证据可通过观察、测量、试验或其他方法获得。注2:通常,用于审核(3.1)目的的客观证据,是由与审核准则(3.7)相关的记录、事实陈述或其他信息所组成并可验证。【源自:ISO9000:2015,3.8.3】3.9audit evidence审核证据与审核准则(3.7)有关并能够证实的记录、事实
12、陈述或其他信息【源自:ISO 9000:2015,3.13.8】3.10audit findings审核发现将收集的审核证据(3.9)对照审核准则(3.7)进行评价的结果注1:审核发现表明符合(3.20)或不符合(3.21)。注2:审核发现可导致识别改进的风险、机会或记录良好实践。注3:英文中,如果审核准则选自法律要求或法规要求,审核发现称为合规或不合规。【源自:ISO 9000:2015,3.13.9,改写注2和注3已被修改】3.11audit conclusion审核结论考虑了审核目标和所有审核发现(3.10)后得出的审核(3.1)结果【源自:ISO 9000:2015,3.13.10】3
13、.12audit client审核委托方要求审核(3.1)的组织或个人注1:在内部审核的情况下,审核委托方也可以是受审核方(3.13)或审核方案管理员。外部审核可能来自监管机构、协议方或潜在、现顾客等的要求。【源自:ISO 9000:2015,3.13.11,改写注1为增加】3.13auditee受审核方被审核的组织整体或其部分【源自:ISO 9000:2015,3.13.12,改写】3.14audit team审核组实施审核(3.1)的一名或多名人员,需要时,由技术专家(3.16)提供支持注1:审核组(3.15)中的一名审核员(3.14)被指定作为审核组长。注2:审核组可包括实习审核员。【源
14、自:ISO 9000:2015,3.13.14】3.15auditor审核员实施审核(3.1)的人员【源自:ISO 9000:2015,3.13.15】3.16technical expert技术专家向审核组(3.11)提供特定知识或专业技术的人员注1:特定知识或专业技术指与组织、活动、过程、产品、服务、审核领域以及语言或文化有关。注2:审核组的技术专家(3.14)不作为审核员(3.15)。【源自:ISO 9000:2015,3.13.16,改写注1和注2已被修改】3.17observer观察员随同审核组(3.14)但不作为审核员(3.15)的人员【源自:ISO 9000:2015,3.13.
15、17,修改】3.18 management system 管理体系组织建立方针和目标以及实现这些目标的过程(3.24)的相互关联或相互作用的一组要素。注1:一个管理体系可以针对单一的领域或几个领域,如质量管理、财务管理或环境管理。注2:管理体系要素规定了组织的结构、岗位和职责、策划、运行、方针、惯例、规则、理念、目标,以及实现这些目标的过程。注3:管理体系的范围可能包括整个组织,组织中可被明确识别的职能或可被明确识别的部门,以及跨组织的单一职能或或多个职能。【源自:ISO 9000:2015,3.5.3,改写注4已删除】3.19risk风险不确定性的影响注1:影响是指偏离预期,可以是正面的或负
16、面的。注2:不确定性是一种对某个事件,或是事件的局部的结果或可能性缺乏理解或知识方面的信息的情形。注3:通常,风险是通过有关可能事件(如ISO指南73:2009中所定义,3.5.1.3)的后果(如ISO指南73:2009,3.6.1.3中所定义)或两者的组合来描述其特性的。注4:通常,风险是以某个事件的后果(包括情况的变化)及其发生的可能性(如ISOGuide 73:2009,3.6.1.1.1中定义)的组合来表述的。【源自:ISO 9000:2015,3.7.9,改写注5和注6已被删除】3.20Conformity合格/符合满足要求(3.23)【源自:ISO 9000:2015,3.6.11
17、,改写注1已被删除】3.21nonconformity不合格/不符合未满足要求(3.23)【源自:ISO 9000:2015,3.6.9,改写注1已被删除】3.22competence能力应用知识和技能实现预期结果的本领【源自:ISO 9000:2015,3.10.4,改写注已被删除】3.23requirement要求明示的、通常隐含的或必须履行的需求或期望注1:“通常隐含”是指组织和相关方的惯例或一般做法,所考虑的需求或期望是不言而喻的。注2:规定要求是经明示的要求,如在成文信息中阐明。【源自:ISO 9000:2015,3.6.4,改写注3,4,5和6已被删除】3.24process 过程
18、利用输入实现预期结果的相互关联或相互作用一组活动【源自:ISO 9000:2015,3.4.1,改写注已删除】3.25performance绩效可测量的结果注1:绩效可能涉及定量的或定性的结果。注2:绩效可能涉及活动、过程(3.24)、产品、服务、体系或组织的管理。【源自:ISO 9000:2015,3.7.8,改写注3已被删除】3.26Effectiveness有效性完成策划的活动并得到策划结果的程度【源自:ISO 9000:2015,3.7.11,改写注1已被删除】4审核原则审核的特征在于其遵循若干原则。这些原则有助于使审核成为支持管理方针和控制的有效与可靠的工具,并为组织提供可以改进其绩
19、效的信息。遵循这些原则是得出相应和充分的审核结论的前提,也是审核员独立工作时,在相似情况下得出相似结论的前提。第5章第7章中给出的指南是基于下列七项原则。a)诚实正直:职业的基础审核员和审核方案管理员应:以诚实和负责任的精神道德地从事他们的工作;只在有能力的情况下从事审核活动;以不偏不倚的态度从事工作,即对待所有事务保持公正和无偏见;在审核时,对可能影响其判断的任何因素保持警觉。b)公正表达:真实、准确地报告的义务审核发现、审核结论和审核报告应真实和准确地反映审核活动。应报告在审核过程中遇到的重大障碍以及在审核组和受审核方之间没有解决的分歧意见。沟通必须真实、准确、客观、及时、清晰和完整。c)
20、职业素养:在审核中勤奋并具有判断力审核员应珍视他们所执行任务的重要性以及审核委托方和其他相关方对他们的信任。在工作中具有职业素养的一个重要因素是能够在所有审核情况下做出合理的判断。d)保密性:信息安全审核员应审慎使用和保护在审核过程中获得的信息。审核员或审核委托方不应为个人利益不适当地或以损害受审核方合法利益的方式使用审核信息。这个概念包括正确处理敏感、保密的信息。e)独立性:审核公正性和审核结论客观性的基础审核员应独立于受审核的活动(只要可行时),并且在任何情况下都应不带偏见,没有利益上的冲突。对于内部审核,如可行,审核员应独立于被审核的职能。审核员在整个审核过程中应保持客观性,以确保审核发
21、现和审核结论仅建立在审核证据的基础上。对于小型组织,内审员也许不可能完全独立于被审核的活动,但是应尽一切努力消除偏见和体现客观。f)基于证据的方法:在一个系统的审核过程中,得出可信和可重现的审核结论的合理方法审核证据应是能够验证的。由于审核员是在有限的时间内并在有限的资源条件下进行的,因此审核证据是建立在可获得信息的的样本的基础上。应合理地进行抽样,因为这与审核结论的可信性密切相关。g)基于风险的方法:一种考虑风险和机遇的审核方法基于风险的方法宜对审核的策划、实施和报告产生实质性影响,以确保审核关注于对审核委托方具有重要意义的事项,并实现审核方案目标。5审核方案的管理5.1总则应建立可能包括针
22、对一个或多个管理体系标准或其他要求的审核方案,可单独实施,也可结合实施(多体系审核)。审核方案的范围和程度应基于受审核方的规模和性质,以及审核的管理体系性质、功能、复杂程度、风险和机会的类型和其成熟度水平。当大多数重要功能外包、受其他组织的管理之下时,管理体系的功能可能会更加复杂。需要特别注意的是最重要决策的地方以及管理体系的最高管理者组成。对于多个地点/位置(如不同国家),或重要职能外包及在其他组织领导下管理的情况时,宜特别注意审核方案的设计、策划和验证。对于规模较小或较不复杂的组织,审核方案可适当调整。为了理解受审核方的背景,审核方案应考虑受审核方的:组织目标;相关的内外部因素;有关相关方
23、的需求和期望;信息安全和保密要求。内部审核方案的策划,以及在某些情况下审核外部供方的方案策划,可以为促进组织的其他目标做出安排。管理审核方案的人员应确保审核的完整性得到保持,并且不会对审核产生不当影响。审核应优先考虑将资源和方法分配到具有较高固有风险和较低绩效水平的管理体系中的事项上。应指派有能力的人员管理审核方案。审核方案应包括在规定的期限内能够有效和高效地实施审核的信息和确定的资源。这些信息应包括:a)审核方案的目标;b)与审核方案相关的风险和机遇(见5.3)以及应对措施;c)审核方案内每次审核的范围(范围、界限、地点);d)审核的日程安排(数量/持续时间/频次);e)审核类型,如内部或外
24、部; f)审核准则;g)采用的审核方法;h)选择审核组成员的准则;i)相关的成文信息。在完成更详细的审核计划之前,某些信息可能无法使用。应持续地监视和测量审核方案的实施(见5.6)以确保达到其目标。应评审审核方案以识别变更的需求和可能的改进机会(见5.7)。图1所示是审核方案的管理流程。注1:图中表示了PDCA循环在本文件中的应用。注2:图中章/条号指的是本文件的相关条款。 图1 -审核方案的管理流程5.2确立审核方案的目标审核委托方应确保审核方案的目标得到确立,以指导审核的策划和实施,并应确保审核方案的有效实施。审核方案的目标应与审核委托方的战略方向相一致,并支持管理体系的方针和目标。这些目
25、标可以基于以下方面的考虑:a)包括内外部有关相关方的需求和期望;b)过程、产品、服务和项目的特性和要求及其变化;c)管理体系要求;d)外部供方评价的需要;e)在相关绩效指标(如KPI),发生失效、事件或相关方投诉时所反映出的受审核方的绩效水平和管理体系的成熟度水平;f)确定的受审核方所面临的风险和机遇;g)以往审核的结果。审核方案目标的示例可包括下列各项:确定管理体系及其绩效的改进机会;评价受审核方确定其背景的能力;评价受审核方确定风险和机遇的能力,以及确定和采取有效应对措施的能力;满足所有相关要求,如法律法规要求、合规义务、管理体系标准认证的要求;获得和保持对外部供方能力的信心;确定受审核方
26、管理体系的持续适宜性,充分性和有效性;评价管理体系的目标与组织战略方向的兼容性和一致性。5.3确定和评价审核方案的风险和机遇与受审核方环境有关的风险和机遇可能与审核方案相关并影响审核方案的目标实现。审核方案管理员在制定审核方案和资源要求时,应确定并向审核委托方提供所考虑的风险和机遇,以便对其适当应对。可能存在以下风险:a)策划,例如未能设定合适的审核目标和未能确定审核范围和详略程度、数量、持续时间、地点和日程安排;b)资源,例如没有足够的时间、设备和培训制定审核方案或实施审核;c)审核组的选择,例如不具备有效实施审核的整体能力;d)沟通,如外部/内部沟通过程/渠道的无效;e)实施,例如在审核方
27、案内未能有效协调审核,或未考虑信息安全和保密性;f)成文信息的控制,例如未能有效确定审核员和有关相关方所必需的文件信息,未能适宜地保护用于证明审核方案有效性的审核记录;g)监视、评审和改进审核方案,例如没有有效地监视审核方案的结果;h)受审核方的可用性与配合,以及可供取样证据的可用性。改进审核方案的机会可包括:允许在一次访问中实施多种审核;尽量减少前往现场的时间和距离;使审核组的能力水平与实现审核目标所需的能力水平相匹配;使审核日期与受审核方关键人员的可用性保持一致。5.4建立审核方案5.4.1审核方案管理人员作用和职责审核方案管理员应:a)根据相关目标(见5.1)和任何已知的约束确定审核方案
28、的范围和程度;b)确定可能影响审核方案的外部和内部因素、风险和机遇及其应对的实施措施,适当时,并将这些措施整合到所有相关的审核活动中;c)适当时,通过分配岗位、职责和权限以及领导支持,确保审核组的选择和审核活动的总体能力;d)建立如下相关过程:审核方案内所有审核的协调和安排;明确审核目标、审核范围和准则、确定审核方法和选择审核组;评价审核员;适当时,建立外部和内部沟通过程;争议解决和投诉处理;审核的后续行动(如适用);适当时,向审核委托方和有关相关方报告。e)确定并确保所需资源的提供;f)确保准备和保持适当的成文信息,包括审核方案记录;g)监视、评审和改进审核方案;h)与审核委托方(适当时,与
29、有关相关方)沟通审核方案。审核方案管理员应获得审核委托方的批准。5.4.2审核方案管理员的能力审核方案管理员应具备有效地和高效地管理审核方案及其相关的风险、机遇以及内外部因素的必要的能力,包括以下方面的知识:a)审核原则(见第4章)、方法和过程(第A.1和A.2节);b)管理体系标准,其他相关标准和参考/指南文件;c)有关受审核方及其环境的信息(如,外部/内部因素、有关相关方及其需求和期望、受审核方的业务活动、产品、服务和过程);d)适用的法律法规要求以及与受审核方业务活动相关的其他要求。适当时,可考虑风险管理、项目和过程管理以及信息通信技术(ICT)的知识。审核方案管理人员应参加适当的持续发
30、展活动,以保持管理审核方案所需的能力。5.4.3确定审核方案的范围和详略程度审核方案管理员应确定审核方案的范围和详略程度,这取决于受审核方提供的有关其环境的信息(见5.3)。注:在某些情况下,根据受审核方的结构或活动,审核方案可能只包含一次审核(例如一个小型项目或组织)。影响审核方案范围和详略程度的其他因素可能包括以下内容:a)每次审核的目标、范围、持续时间和审核的次数、报告方法,适用时,还包括审核后续活动;b)管理体系标准或其他适用准则;c)受审核活动的数量、重要性、复杂性、相似性和地点;d)影响管理体系有效性的因素;e)适用的审核准则,例如相关管理体系标准的安排、法律法规要求以及组织承诺的
31、其他要求;f)适当时,以往的内部或外部审核和管理评审的结果;g)以往的审核方案的评审结果;h)语言,文化和社会因素;i)相关方的关注点,例如顾客报怨、不遵守法律法规要求以及组织承诺的其他要求或供应链问题;j)受审核方的环境或其运作及相关风险和机遇的重大变化;k)支持审核活动的信息和沟通技术的可获得性,尤其是使用远程审核方法的情况(见A.16);I)内部和外部事件的发生,如产品或服务的不合格、信息安全泄漏事件、健康和安全事件、犯罪行为或环境事件;m)业务风险和机遇,包括其应对措施。5.4.4确定审核方案资源确定审核方案的资源时,审核方案管理员应考虑:a)开发、实施、管理和改进审核活动所必需的财务
32、和时间资源;b)审核方法(见A.1);c)能够胜任特定审核方案目标的审核员和技术专家的个体与总体的可获得性;d)审核方案的范围和程度(见5.4.3)以及审核方案的风险和机遇(见5.3);e)旅途时间和费用、食宿和其他审核需要;f)不同时区的影响;g)信息和沟通技术的可获得性(例如,使用支持远程协作的技术建立远程审核所需的技术资源);h)所需工具、技术和设备的可获得性;i)在确定审核方案建立期间所必需成文信息的可获得性(见A.5);j)与设施有关的要求,包括任何安全许可和设备(例如背景调查、个体防护设备、穿着洁净室服装的能力)。5.5 实施审核方案5.5.1总则一旦建立了审核方案(见5.4.3)
33、并确定了相关资源(见5.4.4),就必须实施方案内所有活动的策划和协调。审核方案管理员应:a)使用已建立外部和内部沟通渠道与有关相关方沟通审核方案的相关部分,包括相关的风险和机遇,并定期通报进展情况;b)确定每次审核的目标、范围和准则;c)选择审核方法(见A.1);d)协调和安排与审核日程以及其他与审核方案相关的活动;e)确保审核组具备所需的能力(见5.5.1);f)为审核组提供必要的个人和整体资源(见5.4.4);g)确保按照审核方案实施审核、管理在部署方案期间出现的风险、机遇和其他情况(即意外事件);h)确保妥善管理和保持有关审核活动的相关成文文件(见5.5.7);i)确定和实施审核方案监
34、视所需的运行控制(见5.6);j)评审审核方案,以确定其改进的机会(见5.7)。5.5.2规定每次审核的目标、范围和准则每次审核都应基于确定的审核目标、范围和准则。这些应与总体审核方案的目标相一致。审核目标规定每次审核应完成什么,可以包括下列内容:a)确定所审核的管理体系或其一部分与审核准则的符合程度;b)评价管理体系的能力,以协助组织满足相关的法律法规要求以及组织所承诺的其他要求;c)评价管理体系在实现其预期结果方面的有效性;d)识别管理体系的潜在改进机会;e)评价受审核方管理体系在其环境和战略方向上的适宜性和充分性;f)评价管理体系在建立和实现目标以及在不断变化的环境下有效应对风险和机遇、
35、包括实施相关措施的能力。审核范围应与审核方案和审核目标相一致。包括诸如要审核的地址、职能、活动和过程以及审核覆盖的时期等内容。审核准则作为确定符合性的依据。可能包括以下一项或多项:适用的方针、过程、程序、包括目标的绩效准则、法律法规要求、管理体系要求、受审核方确定的环境和风险、机遇的信息(包括相关的外部/内部相关方要求)、行业行为规范或其他策划的安排。如果审核目标、范围或准则发生变化,应根据需要修改审核方案并将其传达给相关方,适当时予以批准。当同时审核多个领域时,审核目标、范围和准则与每个领域的相关审核方案的一致是非常重要的。某些领域可能反映整个组织的范围,而其他领域可能反映整个组织的子集范围
36、。5.5.3选择和确定审核方法审核方案管理员应根据确定的审核目标、范围和准则,选择和确定审核方法以有效和高效地实施审核。审核可以在现场、远程或组合进行。在考虑相关风险和机会的基础上,应适当平衡这些方法的使用。当两个或两个以上的审核组织对同一受审核方进行联合审核时,管理不同审核方案的人员应就审核方法达成一致,并考虑对审核资源和审核策划的影响。如果受审核方运行两个或个不同领域的管理体系,审核方案也应包括结合审核的情况。5.5.4选择审核组成员审核方案管理员应指定审核组成员,包括审核组组长和特定审核所需要的技术专家。应在考虑实现规定范围内每次审核目标所需要的能力的基础上,选择审核组。如果只有一名审核
37、员,该审核员应承担审核组长的适用的全部职责。注:第7章提供了确定审核组成员所要求的能力的指南,并描述了评价审核员的过程。为保证审核组的整体能力,应采取下列步骤:识别达到审核目标所需的能力;选择审核组成员以使审核组具备必要的能力。在确定特定审核的审核组的规模和组成时,应考虑以下因素:a)考虑到审核范围和准则,实现审核目标所需的审核组的整体能力;b)审核的复杂程度;c)审核是结合审核还是联合审核;d)选定的审核方法;e)确保客观性和公正性,以避免审核过程中的任何利益冲突;f)审核组成员的工作能力以及与受审核方代表和有关相关有效协作的能力;g)相关的外部/内部因素,例如审核所用的语言以及受审核方的社
38、会和文化特征。这些方面可以通过审核员自身的技能或通过技术专家的支持予以解决,同时考虑到口译员的需求;h)所审核过程的类型和复杂程度。适当时,审核方案管理员宜就审核组的组成咨询审核组长。如果审核组的审核员没有具备所必要的能力,应有相应能力的技术专家来支持审核组。审核组可以包括实习审核员,但实习审核员应在审核员的指导和帮助下参与审核。在审核过程中,如出现了利益冲突和能力方面的问题,审核组的组成可能有必要进行变更。如果出现这种情况,应在变更前,由相关方(例如审核组组长、审核方案管理员、审核委托方或受审核方)解决。5.5.5为审核组长分配每次的审核职责审核方案管理员应向审核组长分配实施每次审核的职责。
39、应在审核实施前的足够时间内分配职责,以确保有效地策划审核。为确保有效地实施每次审核,应向审核组长提供下列信息:a)审核目标;b)审核准则和任何有关的成文信息;c)审核范围,包括需审核的组织、职能以及过程;d)审核过程和相关方法;e)审核组的组成;f)受审核方的联系方式、审核活动的地点、期限和持续时间;g)实施审核所需的资源;h)评价和关注已识别达到审核目标的风险和机遇所需的信息;i)支持审核组长与受审核方互动以获得审核方案有效性的信息。适用时,提供的信息还应包括下列内容:与审核员和(或)受审核方的语言不同的情况下,审核工作和报告的语言;需要的审核报告输出以及分发给谁;审核方案要求的,与保密和信
40、息安全有关的事宜;审核员的健康、安全和环境安排;旅行或进入远程站点的要求;安全和授权要求;评审活动,例如上次审核的后续行动;与其他审核活动协调,例如当不同的团队在联合审核或在不同地点审核类似或相关的过程时。当进行联合审核时,重要的是实施审核的各组织在开始审核前,就各自职责,特别是对被指定为本次审核的审核组长的权限达成一致。5.5.6管理审核方案结果审核方案管理员应确保下列活动得到实施:a)评价审核方案内每次审核的目标实现情况;b)评审和批准有关审核范围和目标实现的审核报告;c)评审应对审核发现而采取措施的有效性;d)将审核报告提交给有关相关方;e)确定后续审核的必要性。适用时,审核方案管理员应
41、考虑:与组织的其他区域沟通审核结果和最佳实践,以及对其他过程的影响。5.5.7管理和保持审核方案记录审核方案管理员应确保审核记录的形成、管理和保持,以证明审核方案的实施。应建立过程以确保与审核记录相关的安全和保密需求的信息得到规定。记录可能包括下列内容:a)与审核方案相关的记录,如:审核日程安排;审核方案的目标、范围和程度;阐述审核方案风险、机遇以及相关的外部和内部因素的记录;审核方案有效性的评审记录。b)与每次审核相关的记录,如:审核计划和审核报告;客观的审核证据和审核发现;不合格报告;纠正和纠正措施报告;审核后续活动报告。c)与审核组相关的记录,如:审核组成员的能力和绩效评价;审核组、审核
42、组成员及审核组组成的选择准则;能力的保持和提高。记录的形式和详细程度应证明达到了审核方案的目标。5.6监视审核方案审核方案管理员应确保评价:a)日程安排是否符合、审核方案目标是否实现;b)审核组成员的绩效,包括审核组长和技术专家;c)审核组实施审核计划的能力;d)来自审核委托方、受审核方、审核员、技术专家和其他相关方的反馈;e)整个审核过程成文信息的充分和适宜。某些因素可能表明需要修改审核方案。可能包括对下列内容的变更;审核发现;经证实的受审核方管理体系有效性和成熟度水平;审核方案的有效性;审核范围或审核方案范围;受审核方的管理体系;标准和组织承诺的其他要求;外部提供者;确定的利益冲突;审核委
43、托方的要求。5.7评审和改进审核方案审核方案管理员和审核委托方应评审审核方案,以评定是否达到目标。从审核方案评审中得到的经验教训应用于改进审核方案的输入。审核方案管理员应确保下列内容:评审审核方案的总体实施情况;识别改进的区域和机会;必要时启用审核方案变更;根据7.6评审审核员的持续专业发展;报告审核方案的结果,必要时,与审核委托方、有关相关方进行评审。审核方案评审应考虑下列各项:a)审核方案监视的结果和趋势;b)与审核方案过程和相关成文信息的符合性;c)有关相关方进一步的需求和期望;d)审核方案记录;e)可替代的或新的审核方法;f)可替代的或新的评价审核员的方法;g)应对风险、机遇措施以及与
44、审核方案相关的内部和外部因素的有效性;h)与审核方案有关的保密和信息安全事宜。6 实施审核(实施由“Performing”替换为“Conducting”)6.1 总则本条款作为审核方案一部分,为每次特定审核的准备和实施提供了指南。图2给出了典型审核的实施活动概述。本条款的适用程度取决于特定审核的目标和范围。6.2 审核启动6.2.1 总则在审核完成(见6.6)之前,指定的审核组长(见5.5.5)都应对审核的实施负责。启动一项审核应考虑图1中的步骤;然而,根据受审核方、审核过程和具体情形的不同,顺序可有所不同。6.2.2 与受审核方建立联系审核组长应确保与受审核方联系:a) 确认与受审核方代表的
45、沟通渠道;b) 确认实施审核的权限;c) 提供有关审核目标、范围、准则、方法和审核组组成(包括任何技术专家)的相关信息;d) 请求有权使用用于策划审核的相关信息,包括组织已确定的风险、机遇及其应对的信息;e) 确定与与受审核方的活动、过程、产品和服务相关的适用法律法规要求和其他要求;f) 确认与受审核方关于保密信息的披露程度和处理的协议;g) 对审核做出安排,包括日程安排;h) 确定特定场所的访问、健康安全、安保、保密或其他要求;i) 就观察员的到场和审核组向导或口译人员的需求达成一致意见;j) 针对具体审核,确定受审核方的关注事项或风险;k) 与受审核方或审核委托方解决有关审核组组成的问题。6.2.3 确定审核的可行性应确定审核的可行性,以确信能够实现审核目标。确定可行性应考虑是否具备下列因素:a) 策划和实施审核所需的充分和适当的信息;b) 受审核方的充分合作;c) 实施审