《ISO19011:2018管理体系审核指南.pdf》由会员分享,可在线阅读,更多相关《ISO19011:2018管理体系审核指南.pdf(75页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ISO19011:2018 管理体系审核指南 前 言 ISO(国际标准化组织)是各国标准化团体(ISO 成员团体)组成的世界性联合会。制定国际标准的工作通常由 ISO 的技术委员会完成。各成员团体若对某技术委员会确立的项目感兴趣,均有权参加该委员会的工作。与 ISO 保持联系的各国际组织(官方的或非官方的)也可参加有关工作。在电工技术标准化方面,ISO 与国际电工委员会(IEC)保持密切合作关系。ISO/IEC 指令第 1 部分描述了用于开发和保持本标准的程序。特别是,应注意不同类型的 ISO 文档所需的不同批准标准。本文件是根据 ISO/IEC 指令第 2 部分的编辑规则起草的(见www.i
2、so.org/directives)。本文中的某些内容可能涉及一些专利问题,对此应引起注意,ISO 不负责识别任何或所有的此类专利权问题。在文件制定过程中已经确认的任何专利权的详细信息将在引言/或收到的专利声明 ISO 清单中(见 www.iso.org/patents)。本文中使用的任何商标名称都是为方便用户而提供的信息,并不构成认可。有关标准的自愿性质的解释,与合格评定相关的 ISO 特定术语和表达的含义,以及 ISO 在技术性贸易壁垒(TBT)中遵守世 界 贸 易 组 织(WTO)原 则 的 信 息,请 参 阅www.iso.org/iso/foreword.html.本文件由ISO/P
3、C 302管理体系审核指南项目委员会编写。第三版取消并取代了第二版(ISO 19011:2011),该版本已经过技术性修订。与第二版相比的主要差异如下:增加了基于风险方法的审核原则;扩大了审核方案管理的指南,包括审核方案风险;扩大审核实施的指南,特别是审核策划部分;扩大了审核员的一般能力要求;调整术语以反映过程而不是对象(“事项”);删除了附件中包含审核特定管理体系专业能力要求(由于太多的管理体系标准,将所有专业的能力要求包括在内是不切实际的);扩展附件 A,以为审核(新)概念提供指南,如组织环境,领导作用和承诺,虚拟审核,合规和供应链。引 言 本文件第二版自 2011 年出版以来,已经出版了
4、许多新的管理体系标准,其中许多标准具有共同的结构、相同的核心要求以及共同的术语和核心定义。因此,有必要考虑更广泛的管理体系审核方法,并提供更通用的指导。审核结果可以为业务计划的分析方面提供输入,并且可以有助于识别改进需求和活动。审核可以依据一系列单独或组合的审核准则进行,包括但不限于:在一个或多个管理体系标准中定义的要求;有关相关方指定的方针和要求;法律和法规要求;组 织 或 其 他 各 方 确 定 的 一 个 或 多 个 管 理 体 系 过程;与管理体系特定输出(如质量计划、项目计划)有关规定相关的管理体系策划。本文件提供的指南适用于所有规模和类型组织的不同范围和规模的审核,包括由大的审核组
5、(通常为大型组织)以及由单个审核员进行的审核,无论其是大型组织还是小型组织。本指南宜与审计方案的范围、复杂程度和规模相适宜。本文件注重于内部审核(第一方)和组织对其外部供方和其他外部相关方(第二方)进行的审核。本文件也可用于第三方管理体系认证以外的其他目的的外部审核。ISO/I EC 170211 为管理体系第三方认证规定了要求。该文件可以提供有用的附加指导(见表 1)表 1-审核类型的区分 第一方审核 第二方审核 第三方审核 内部审核 外部供方的审核 认证和或委派审核 其他外部相关方 出于法律法规、行政监管和类似目的的审核 为了简化本文件的可读性,文件中的“管理体系”是单数形式,但是读者可以
6、结合自身的具体情况实施该指南。这也适用于“人员(单数)”和“人员(复数)”、“审核员(单数)”和“审核员(复数)”的使用。本文件拟适用于广泛的潜在使用者,包括审核员、实施管理体系的组织以及由于合同或法律法规要求需要实施管理体系审核的组织。本文的使用者可以应用这些指南制定其与审核相关的要求。本文档中的指南也可用于自我声明,对参与审核员培训或人员认证的组织有用。就灵活运用本文档的指南。正如本文所述,应根据组织管理体系的规模、成熟度水平、受审核组织的性质和复杂所实施的审核目标和范围的不同,来使用本指南。本标准采用的方法适用于两个或更多的不同领域的管理体系共同审核的场合。当这些管理体系整合为一个管理体
7、系时,审核原则和过程与结合审核相同(有时称为“结合审核”)。本文为审核方案的管理、管理体系审核的策划和实施以及审核员和审核组的能力和评价提供指南。管理体系审核指南 1 范围 本文件提供了管理体系审核指南,包括审核原则,审核方案的管理和管理体系审核的实施,也对参与管理体系审核过程的人员的能力提供了评价指南,这些活动包括管理审核方案、审核员和审核组的人员。本标准适用于需要策划和实施管理体系内部审核、外部审核或需要管理审核方案的所有组织。只要对所需要的特定能力给予特殊考虑,本文件也可应用于其他类型的审核。2 规范性引用文件 本文件无规范性引用文件。3 术语和定义 下列术语和定义适用于本文件。ISO
8、和 IEC 在以下地址保持用于标准化的术语数据库:ISO 在线浏览平台:可在 https:/www.iso.org/obp获得;IEC Electropedia:可在http:/www.electropedia.org/获得。3.1 Audit 审核 为获得客观证据(3.8)并对其进行客观的评价,以确定满足审核准则(3.7)的程度所进行的系统的、独立的并形成文件的过程。注 1:内部审核,有时称为第一方审核,由组织自己或以组织的名义进行。注 2:通常,外部审核包括第二方和第三方审核。第二方审核由组织的相关方,如顾客或由其他人员以相关方的名义进行,第三方审核由外部独立的审核组织进行,如提供合格认证
9、/注册的组织或政府机构。【源自:ISO9000:2015,3.13.1,改写注已被修改】3.2 combined audit 多体系审核 在一个受审核方(3.13),对两个或两个以上管理体系(3.18)一起实施的审核(3.1)。注 1:当两个或两以上多个不同领域的管理体系整合为一个管理体系时,称为整合管理体系。【源自:ISO 9000:2015,3.13.2,改写】3.3 joint audit 联合审核 在一个受审核方(3.13),由两个或两个以上审核组织同时实施的审核(3.1)【源自:ISO 9000:2015,3.13.3】3.4 audit programme 审核方案 针对特定时间段
10、所策划并具有特定目标的一组(一次或多次)审核的安排。【源自:ISO 9000:2015,3.13.4,改写修改后的措辞已添加到定义中】3.5 audit scope 审核范围 审核的内容和界限 注 1:审核范围通常包括对实际和虚拟位置、职能、组织单元、活动和过程以及所涵盖时间段的描述。注 2:虚拟位置指允许个人在不同的物理位置使用在线环境执行工作或提供服务的位置。【源自:ISO 9000:2015,3.13.5,改写注 1 已被修改,注 2 为增加】3.6 audit plan 审核计划 对审核(3.1)活动和安排的描述 【源自:ISO9000:2015,3.13.6】3.7 audit cr
11、iteria 审核准则 用于与客观证据(3.8)进行比较的一组要求(3.23)注 1:如果审核准则是法律要求(包括法定或监管),审核发现(3.10)中经常使用“合规”或“不合规”。注 2:要求可能包括方针、程序、工作指示、法律要求、合同义务等。【源自:ISO 9000:2015,3.13.7,改写定义已被修改,注 1 和注2 为增加】3.8 objective evidence 客观证据 支持事物存在或其真实性的数据 注 1:客观证据可通过观察、测量、试验或其他方法获得。注 2:通常,用于审核(3.1)目的的客观证据,是由与审核准则(3.7)相关的记录、事实陈述或其他信息所组成并可验证。【源自
12、:ISO9000:2015,3.8.3】3.9 audit evidence 审核证据 与审核准则(3.7)有关并能够证实的记录、事实陈述或其他信息【源自:ISO 9000:2015,3.13.8】3.10 audit findings 审核发现 将收集的审核证据(3.9)对照审核准则(3.7)进行评价的结果 注 1:审核发现表明符合(3.20)或不符合(3.21)。注 2:审核发现可导致识别改进的风险、机会或记录良好实践。注 3:英文中,如果审核准则选自法律要求或法规要求,审核发现称为合规或不合规。【源自:ISO 9000:2015,3.13.9,改写注 2 和注 3 已被修改】3.11 a
13、udit conclusion 审核结论 考虑了审核目标和所有审核发现(3.10)后得出的审核(3.1)结果【源自:ISO 9000:2015,3.13.10】3.12 audit client 审核委托方 要求审核(3.1)的组织或个人 注 1:在内部审核的情况下,审核委托方也可以是受审核方(3.13)或审核方案管理员。外部审核可能来自监管机构、协议方或潜在、现顾客等的要求。【源自:ISO 9000:2015,3.13.11,改写注 1 为增加】3.13 auditee 受审核方 被审核的组织整体或其部分【源自:ISO 9000:2015,3.13.12,改写】3.14 audit team
14、 审核组 实施审核(3.1)的一名或多名人员,需要时,由技术专家(3.16)提供支持 注 1:审核组(3.15)中的一名审核员(3.14)被指定作为审核组长。注 2:审核组可包括实习审核员。【源自:ISO 9000:2015,3.13.14】3.15 auditor 审核员 实施审核(3.1)的人员【源自:ISO 9000:2015,3.13.15】3.16 technical expert 技术专家 向审核组(3.11)提供特定知识或专业技术的人员 注 1:特定知识或专业技术指与组织、活动、过程、产品、服务、审核领域以及语言或文化有关。注 2:审核组的技术专家(3.14)不作为审核员(3.1
15、5)。【源自:ISO 9000:2015,3.13.16,改写注 1 和注 2 已被修改】3.17 observer 观察员 随同审核组(3.14)但不作为审核员(3.15)的人员【源自:ISO 9000:2015,3.13.17,修改】3.18 management system 管理体系 组织建立方针和目标以及实现这些目标的过程(3.24)的相互关联或相互作用的一组要素。注 1:一个管理体系可以针对单一的领域或几个领域,如质量管理、财务管理或环境管理。注 2:管理体系要素规定了组织的结构、岗位和职责、策划、运行、方针、惯例、规则、理念、目标,以及实现这些目标的过程。注 3:管理体系的范围可
16、能包括整个组织,组织中可被明确识别的职能或可被明确识别的部门,以及跨组织的单一职能或或多个职能。【源自:ISO 9000:2015,3.5.3,改写注 4 已删除】3.19 risk 风险 不确定性的影响 注 1:影响是指偏离预期,可以是正面的或负面的。注 2:不确定性是一种对某个事件,或是事件的局部的结果或可能性缺乏理解或知识方面的信息的情形。注 3:通常,风险是通过有关可能事件(如 ISO 指南 73:2009 中所定义,3.5.1.3)的后果(如 ISO 指南 73:2009,3.6.1.3 中所定义)或两者的组合来描述其特性的。注 4:通常,风险是以某个事件的后果(包括情况的变化)及其
17、发生的可能性(如 ISOGuide 73:2009,3.6.1.1.1 中定义)的组合来表述的。【源自:ISO 9000:2015,3.7.9,改写注 5 和注 6 已被删除】3.20 Conformity 合格/符合 满足要求(3.23)【源自:ISO 9000:2015,3.6.11,改写注 1 已被删除】3.21 nonconformity 不合格/不符合 未满足要求(3.23)【源自:ISO 9000:2015,3.6.9,改写注 1 已被删除】3.22 competence 能力 应用知识和技能实现预期结果的本领【源自:ISO 9000:2015,3.10.4,改写注已被删除】3.2
18、3 requirement 要求 明示的、通常隐含的或必须履行的需求或期望 注 1:“通常隐含”是指组织和相关方的惯例或一般做法,所考虑的需求或期望是不言而喻的。注 2:规定要求是经明示的要求,如在成文信息中阐明。【源自:ISO 9000:2015,3.6.4,改写注 3,4,5 和 6 已被删除】3.24 process 过程 利用输入实现预期结果的相互关联或相互作用一组活动【源自:ISO 9000:2015,3.4.1,改写注已删除】3.25 performance 绩效 可测量的结果 注 1:绩效可能涉及定量的或定性的结果。注 2:绩效可能涉及活动、过程(3.24)、产品、服务、体系或组
19、织的管理。【源自:ISO 9000:2015,3.7.8,改写注 3 已被删除】3.26 Effectiveness 有效性 完成策划的活动并得到策划结果的程度【源自:ISO 9000:2015,3.7.11,改写注 1 已被删除】4 审核原则 审核的特征在于其遵循若干原则。这些原则有助于使审核成为支持管理方针和控制的有效与可靠的工具,并为组织提供可以改进其绩效的信息。遵循这些原则是得出相应和充分的审核结论的前提,也是审核员独立工作时,在相似情况下得出相似结论的前提。第 5 章第 7 章中给出的指南是基于下列七项原则。a)诚实正直:职业的基础 审核员和审核方案管理员应:以诚实和负责任的精神道德
20、地从事他们的工作;只在有能力的情况下从事审核活动;以不偏不倚的态度从事工作,即对待所有事务保持公正和无偏见;在审核时,对可能影响其判断的任何因素保持警觉。b)公正表达:真实、准确地报告的义务 审核发现、审核结论和审核报告应真实和准确地反映审核活动。应报告在审核过程中遇到的重大障碍以及在审核组和受审核方之间没有解决的分歧意见。沟通必须真实、准确、客观、及时、清晰和完整。c)职业素养:在审核中勤奋并具有判断力 审核员应珍视他们所执行任务的重要性以及审核委托方和其他相关方对他们的信任。在工作中具有职业素养的一个重要因素是能够在所有审核情况下做出合理的判断。d)保密性:信息安全 审核员应审慎使用和保护
21、在审核过程中获得的信息。审核员或审核委托方不应为个人利益不适当地或以损害受审核方合法利益的方式使用审核信息。这个概念包括正确处理敏感、保密的信息。e)独立性:审核公正性和审核结论客观性的基础 审核员应独立于受审核的活动(只要可行时),并且在任何情况下都应不带偏见,没有利益上的冲突。对于内部审核,如可行,审核员应独立于被审核的职能。审核员在整个审核过程中应保持客观性,以确保审核发现和审核结论仅建立在审核证据的基础上。对于小型组织,内审员也许不可能完全独立于被审核的活动,但是应尽一切努力消除偏见和体现客观。f)基于证据的方法:在一个系统的审核过程中,得出可信和可重现的审核结论的合理方法 审核证据应
22、是能够验证的。由于审核员是在有限的时间内并在有限的资源条件下进行的,因此审核证据是建立在可获得信息的的样本的基础上。应合理地进行抽样,因为这与审核结论的可信性密切相关。g)基于风险的方法:一种考虑风险和机遇的审核方法 基于风险的方法宜对审核的策划、实施和报告产生实质性影响,以确保审核关注于对审核委托方具有重要意义的事项,并实现审核方案目标。5 审核方案的管理 5.1 总则 应建立可能包括针对一个或多个管理体系标准或其他要求的审核方案,可单独实施,也可结合实施(多体系审核)。审核方案的范围和程度应基于受审核方的规模和性质,以及审核的管理体系性质、功能、复杂程度、风险和机会的类型和其成熟度水平。当
23、大多数重要功能外包、受其他组织的管理之下时,管理体系的功能可能会更加复杂。需要特别注意的是最重要决策的地方以及管理体系的最高管理者组成。对于多个地点/位置(如不同国家),或重要职能外包及在其他组织领导下管理的情况时,宜特别注意审核方案的设计、策划和验证。对于规模较小或较不复杂的组织,审核方案可适当调整。为了理解受审核方的背景,审核方案应考虑受审核方的:组织目标;相关的内外部因素;有关相关方的需求和期望;信息安全和保密要求。内部审核方案的策划,以及在某些情况下审核外部供方的方案策划,可以为促进组织的其他目标做出安排。管理审核方案的人员应确保审核的完整性得到保持,并且不会对审核产生不当影响。审核应
24、优先考虑将资源和方法分配到具有较高固有风险和较低绩效水平的管理体系中的事项上。应指派有能力的人员管理审核方案。审核方案应包括在规定的期限内能够有效和高效地实施审核的信息和确定的资源。这些信息应包括:a)审核方案的目标;b)与审核方案相关的风险和机遇(见 5.3)以及应对措施;c)审核方案内每次审核的范围(范围、界限、地点);d)审核的日程安排(数量/持续时间/频次);e)审核类型,如内部或外部;f)审核准则;g)采用的审核方法;h)选择审核组成员的准则;i)相关的成文信息。在完成更详细的审核计划之前,某些信息可能无法使用。应持续地监视和测量审核方案的实施(见 5.6)以确保达到其目标。应评审审
25、核方案以识别变更的需求和可能的改进机会(见 5.7)。图 1 所示是审核方案的管理流程。https:/ 注 1:图中表示了 PDCA 循环在本文件中的应用。注 2:图中章/条号指的是本文件的相关条款。图 1-审核方案的管理流程 5.2 确立审核方案的目标 审核委托方应确保审核方案的目标得到确立,以指导审核的策划和实施,并应确保审核方案的有效实施。审核方案的目标应与审核委托方的战略方向相一致,并支持管理体系的方针和目标。这些目标可以基于以下方面的考虑:a)包括内外部有关相关方的需求和期望;b)过程、产品、服务和项目的特性和要求及其变化;c)管理体系要求;d)外部供方评价的需要;e)在相关绩效指标
26、(如 KPI),发生失效、事件或相关方投诉时所反映出的受审核方的绩效水平和管理体系的成熟度水平;f)确定的受审核方所面临的风险和机遇;g)以往审核的结果。审核方案目标的示例可包括下列各项:确定管理体系及其绩效的改进机会;评价受审核方确定其背景的能力;评价受审核方确定风险和机遇的能力,以及确定和采取有效应对措施的能力;满足所有相关要求,如法律法规要求、合规义务、管理体系标准认证的要求;获得和保持对外部供方能力的信心;确定受审核方管理体系的持续适宜性,充分性和有效性;评价管理体系的目标与组织战略方向的兼容性和一致性。5.3 确定和评价审核方案的风险和机遇 与受审核方环境有关的风险和机遇可能与审核方
27、案相关并影响审核方案的目标实现。审核方案管理员在制定审核方案和资源要求时,应确定并向审核委托方提供所考虑的风险和机遇,以便对其适当应对。可能存在以下风险:a)策划,例如未能设定合适的审核目标和未能确定审核范围和详略程度、数量、持续时间、地点和日程安排;b)资源,例如没有足够的时间、设备和培训制定审核方案或实施审核;c)审核组的选择,例如不具备有效实施审核的整体能力;d)沟通,如外部/内部沟通过程/渠道的无效;e)实施,例如在审核方案内未能有效协调审核,或未考虑信息安全和保密性;f)成文信息的控制,例如未能有效确定审核员和有关相关方所必需的文件信息,未能适宜地保护用于证明审核方案有效性的审核记录
28、;g)监视、评审和改进审核方案,例如没有有效地监视审核方案的结果;h)受审核方的可用性与配合,以及可供取样证据的可用性。改进审核方案的机会可包括:允许在一次访问中实施多种审核;尽量减少前往现场的时间和距离;使审核组的能力水平与实现审核目标所需的能力水平相匹配;使审核日期与受审核方关键人员的可用性保持一致。5.4 建立审核方案 5.4.1 审核方案管理人员作用和职责 审核方案管理员应:a)根据相关目标(见 5.1)和任何已知的约束确定审核方案的范围和程度;b)确定可能影响审核方案的外部和内部因素、风险和机遇及其应对的实施措施,适当时,并将这些措施整合到所有相关的审核活动中;c)适当时,通过分配岗
29、位、职责和权限以及领导支持,确保审核组的选择和审核活动的总体能力;d)建立如下相关过程:审核方案内所有审核的协调和安排;明确审核目标、审核范围和准则、确定审核方法和选择审核组;评价审核员;适当时,建立外部和内部沟通过程;争议解决和投诉处理;审核的后续行动(如适用);适当时,向审核委托方和有关相关方报告。e)确定并确保所需资源的提供;f)确保准备和保持适当的成文信息,包括审核方案记录;g)监视、评审和改进审核方案;h)与审核委托方(适当时,与有关相关方)沟通审核方案。审核方案管理员应获得审核委托方的批准。5.4.2 审核方案管理员的能力 审核方案管理员应具备有效地和高效地管理审核方案及其相关的风
30、险、机遇以及内外部因素的必要的能力,包括以下方面的知识:a)审核原则(见第 4 章)、方法和过程(第 A.1 和 A.2 节);b)管理体系标准,其他相关标准和参考/指南文件;c)有关受审核方及其环境的信息(如,外部/内部因素、有关相关方及其需求和期望、受审核方的业务活动、产品、服务和过程);d)适用的法律法规要求以及与受审核方业务活动相关的其他要求。适当时,可考虑风险管理、项目和过程管理以及信息通信技术(ICT)的知识。审核方案管理人员应参加适当的持续发展活动,以保持管理审核方案所需的能力。5.4.3 确定审核方案的范围和详略程度 审核方案管理员应确定审核方案的范围和详略程度,这取决于受审核
31、方提供的有关其环境的信息(见 5.3)。注:在某些情况下,根据受审核方的结构或活动,审核方案可能只包含一次审核(例如一个小型项目或组织)。影响审核方案范围和详略程度的其他因素可能包括以下内容:a)每次审核的目标、范围、持续时间和审核的次数、报告方法,适用时,还包括审核后续活动;b)管理体系标准或其他适用准则;c)受审核活动的数量、重要性、复杂性、相似性和地点;d)影响管理体系有效性的因素;e)适用的审核准则,例如相关管理体系标准的安排、法律法规要求以及组织承诺的其他要求;f)适当时,以往的内部或外部审核和管理评审的结果;g)以往的审核方案的评审结果;h)语言,文化和社会因素;i)相关方的关注点
32、,例如顾客报怨、不遵守法律法规要求以及组织承诺的其他要求或供应链问题;j)受审核方的环境或其运作及相关风险和机遇的重大变化;k)支持审核活动的信息和沟通技术的可获得性,尤其是使用远程审核方法的情况(见 A.16);I)内部和外部事件的发生,如产品或服务的不合格、信息安全泄漏事件、健康和安全事件、犯罪行为或环境事件;m)业务风险和机遇,包括其应对措施。5.4.4 确定审核方案资源 确定审核方案的资源时,审核方案管理员应考虑:a)开发、实施、管理和改进审核活动所必需的财务和时间资源;b)审核方法(见 A.1);c)能够胜任特定审核方案目标的审核员和技术专家的个体与总体的可获得性;d)审核方案的范围
33、和程度(见 5.4.3)以及审核方案的风险和机遇(见 5.3);e)旅途时间和费用、食宿和其他审核需要;f)不同时区的影响;g)信息和沟通技术的可获得性(例如,使用支持远程协作的技术建立远程审核所需的技术资源);h)所需工具、技术和设备的可获得性;i)在确定审核方案建立期间所必需成文信息的可获得性(见A.5);j)与设施有关的要求,包括任何安全许可和设备(例如背景调查、个体防护设备、穿着洁净室服装的能力)。5.5 实施审核方案 5.5.1 总则 一旦建立了审核方案(见 5.4.3)并确定了相关资源(见5.4.4),就必须实施方案内所有活动的策划和协调。审核方案管理员应:a)使用已建立外部和内部
34、沟通渠道与有关相关方沟通审核方案的相关部分,包括相关的风险和机遇,并定期通报进展情况;b)确定每次审核的目标、范围和准则;c)选择审核方法(见 A.1);d)协调和安排与审核日程以及其他与审核方案相关的活动;e)确保审核组具备所需的能力(见 5.5.1);f)为审核组提供必要的个人和整体资源(见 5.4.4);g)确保按照审核方案实施审核、管理在部署方案期间出现的风险、机遇和其他情况(即意外事件);h)确保妥善管理和保持有关审核活动的相关成文文件(见5.5.7);i)确定和实施审核方案监视所需的运行控制(见 5.6);j)评审审核方案,以确定其改进的机会(见 5.7)。5.5.2 规定每次审核
35、的目标、范围和准则 每次审核都应基于确定的审核目标、范围和准则。这些应与总体审核方案的目标相一致。审核目标规定每次审核应完成什么,可以包括下列内容:a)确定所审核的管理体系或其一部分与审核准则的符合程度;b)评价管理体系的能力,以协助组织满足相关的法律法规要求以及组织所承诺的其他要求;c)评价管理体系在实现其预期结果方面的有效性;d)识别管理体系的潜在改进机会;e)评价受审核方管理体系在其环境和战略方向上的适宜性和充分性;f)评价管理体系在建立和实现目标以及在不断变化的环境下有效应对风险和机遇、包括实施相关措施的能力。审核范围应与审核方案和审核目标相一致。包括诸如要审核的地址、职能、活动和过程
36、以及审核覆盖的时期等内容。审核准则作为确定符合性的依据。可能包括以下一项或多项:适用的方针、过程、程序、包括目标的绩效准则、法律法规要求、管理体系要求、受审核方确定的环境和风险、机遇的信息(包括相关的外部/内部相关方要求)、行业行为规范或其他策划的安排。如果审核目标、范围或准则发生变化,应根据需要修改审核方案并将其传达给相关方,适当时予以批准。当同时审核多个领域时,审核目标、范围和准则与每个领域的相关审核方案的一致是非常重要的。某些领域可能反映整个组织的范围,而其他领域可能反映整个组织的子集范围。5.5.3 选择和确定审核方法 审核方案管理员应根据确定的审核目标、范围和准则,选择和确定审核方法
37、以有效和高效地实施审核。审核可以在现场、远程或组合进行。在考虑相关风险和机会的基础上,应适当平衡这些方法的使用。当两个或两个以上的审核组织对同一受审核方进行联合审核时,管理不同审核方案的人员应就审核方法达成一致,并考虑对审核资源和审核策划的影响。如果受审核方运行两个或个不同领域的管理体系,审核方案也应包括结合审核的情况。5.5.4 选择审核组成员 审核方案管理员应指定审核组成员,包括审核组组长和特定审核所需要的技术专家。应在考虑实现规定范围内每次审核目标所需要的能力的基础上,选择审核组。如果只有一名审核员,该审核员应承担审核组长的适用的全部职责。注:第 7 章提供了确定审核组成员所要求的能力的
38、指南,并描述了评价审核员的过程。为保证审核组的整体能力,应采取下列步骤:识别达到审核目标所需的能力;选择审核组成员以使审核组具备必要的能力。在确定特定审核的审核组的规模和组成时,应考虑以下因素:a)考虑到审核范围和准则,实现审核目标所需的审核组的整体能力;b)审核的复杂程度;c)审核是结合审核还是联合审核;d)选定的审核方法;e)确保客观性和公正性,以避免审核过程中的任何利益冲突;f)审核组成员的工作能力以及与受审核方代表和有关相关有效协作的能力;g)相关的外部/内部因素,例如审核所用的语言以及受审核方的社会和文化特征。这些方面可以通过审核员自身的技能或通过技术专家的支持予以解决,同时考虑到口
39、译员的需求;h)所审核过程的类型和复杂程度。适当时,审核方案管理员宜就审核组的组成咨询审核组长。如果审核组的审核员没有具备所必要的能力,应有相应能力的技术专家来支持审核组。审核组可以包括实习审核员,但实习审核员应在审核员的指导和帮助下参与审核。在审核过程中,如出现了利益冲突和能力方面的问题,审核组的组成可能有必要进行变更。如果出现这种情况,应在变更前,由相关方(例如审核组组长、审核方案管理员、审核委托方或受审核方)解决。5.5.5 为审核组长分配每次的审核职责 审核方案管理员应向审核组长分配实施每次审核的职责。应在审核实施前的足够时间内分配职责,以确保有效地策划审核。为确保有效地实施每次审核,
40、应向审核组长提供下列信息:a)审核目标;b)审核准则和任何有关的成文信息;c)审核范围,包括需审核的组织、职能以及过程;d)审核过程和相关方法;e)审核组的组成;f)受审核方的联系方式、审核活动的地点、期限和持续时间;g)实施审核所需的资源;h)评价和关注已识别达到审核目标的风险和机遇所需的信息;i)支持审核组长与受审核方互动以获得审核方案有效性的信息。适用时,提供的信息还应包括下列内容:与审核员和(或)受审核方的语言不同的情况下,审核工作和报告的语言;需要的审核报告输出以及分发给谁;审核方案要求的,与保密和信息安全有关的事宜;审核员的健康、安全和环境安排;旅行或进入远程站点的要求;安全和授权
41、要求;评审活动,例如上次审核的后续行动;与其他审核活动协调,例如当不同的团队在联合审核或在不同地点审核类似或相关的过程时。当进行联合审核时,重要的是实施审核的各组织在开始审核前,就各自职责,特别是对被指定为本次审核的审核组长的权限达成一致。5.5.6 管理审核方案结果 审核方案管理员应确保下列活动得到实施:a)评价审核方案内每次审核的目标实现情况;b)评审和批准有关审核范围和目标实现的审核报告;c)评审应对审核发现而采取措施的有效性;d)将审核报告提交给有关相关方;e)确定后续审核的必要性。适用时,审核方案管理员应考虑:与组织的其他区域沟通审核结果和最佳实践,以及 对其他过程的影响。5.5.7
42、 管理和保持审核方案记录 审核方案管理员应确保审核记录的形成、管理和保持,以证明审核方案的实施。应建立过程以确保与审核记录相关的安全和保密需求的信息得到规定。记录可能包括下列内容:a)与审核方案相关的记录,如:审核日程安排;审核方案的目标、范围和程度;阐述审核方案风险、机遇以及相关的外部和内部因素的记录;审核方案有效性的评审记录。b)与每次审核相关的记录,如:审核计划和审核报告;客观的审核证据和审核发现;不合格报告;纠正和纠正措施报告;审核后续活动报告。c)与审核组相关的记录,如:审核组成员的能力和绩效评价;审核组、审核组成员及审核组组成的选择准则;能力的保持和提高。记录的形式和详细程度应证明
43、达到了审核方案的目标。5.6 监视审核方案 审核方案管理员应确保评价:a)日程安排是否符合、审核方案目标是否实现;b)审核组成员的绩效,包括审核组长和技术专家;c)审核组实施审核计划的能力;d)来自审核委托方、受审核方、审核员、技术专家和其他相关方的反馈;e)整个审核过程成文信息的充分和适宜。某些因素可能表明需要修改审核方案。可能包括对下列内容的变更;审核发现;经证实的受审核方管理体系有效性和成熟度水平;审核方案的有效性;审核范围或审核方案范围;受审核方的管理体系;标准和组织承诺的其他要求;外部提供者;确定的利益冲突;审核委托方的要求。5.7 评审和改进审核方案 审核方案管理员和审核委托方应评
44、审审核方案,以评定是否达到目标。从审核方案评审中得到的经验教训应用于改进审核方案的输入。审核方案管理员应确保下列内容:评审审核方案的总体实施情况;识别改进的区域和机会;必要时启用审核方案变更;根据 7.6 评审审核员的持续专业发展;报告审核方案的结果,必要时,与审核委托方、有关相关方进行评审。审核方案评审应考虑下列各项:a)审核方案监视的结果和趋势;b)与审核方案过程和相关成文信息的符合性;c)有关相关方进一步的需求和期望;d)审核方案记录;e)可替代的或新的审核方法;f)可替代的或新的评价审核员的方法;g)应对风险、机遇措施以及与审核方案相关的内部和外部因素的有效性;h)与审核方案有关的保密
45、和信息安全事宜。6 实施审核(实施由“Performing”替换为“Conducting”)6.1 总则 本条款作为审核方案一部分,为每次特定审核的准备和实施提供了指南。图 2 给出了典型审核的实施活动概述。本条款的适用程度取决于特定审核的目标和范围。6.2 审核启动 6.2.1 总则 在审核完成(见 6.6)之前,指定的审核组长(见 5.5.5)都应对审核的实施负责。启动一项审核应考虑图 1 中的步骤;然而,根据受审核方、审核过程和具体情形的不同,顺序可有所不同。6.2.2 与受审核方建立联系 审核组长应确保与受审核方联系:a)确认与受审核方代表的沟通渠道;b)确认实施审核的权限;c)提供有
46、关审核目标、范围、准则、方法和审核组组成(包括任何技术专家)的相关信息;d)请求有权使用用于策划审核的相关信息,包括组织已确定的风险、机遇及其应对的信息;e)确定与与受审核方的活动、过程、产品和服务相关的适用法律法规要求和其他要求;f)确认与受审核方关于保密信息的披露程度和处理的协议;g)对审核做出安排,包括日程安排;h)确定特定场所的访问、健康安全、安保、保密或其他要求;i)就观察员的到场和审核组向导或口译人员的需求达成一致意见;j)针对具体审核,确定受审核方的关注事项或风险;k)与受审核方或审核委托方解决有关审核组组成的问题。6.2.3 确定审核的可行性 应确定审核的可行性,以确信能够实现
47、审核目标。确定可行性应考虑是否具备下列因素:a)策划和实施审核所需的充分和适当的信息;b)受审核方的充分合作;c)实施审核所需的足够时间和资源。注:资源包括适当的访问权限和适宜的信息和通信技术。当审核不可行时,应向审核委托方提出替代建立并与受审核方协商一致。6.3 审核活动的准备 6.3.1 成文信息的评审 应评审受审核方的相关管理体系成文信息,以:收集信息,例如过程、职能方面的信息,以理解受审核方的运行情况,并准备审核活动和适用的审核工作文件(见6.3.4);了解成文信息范围和程序的概况,以确定与审核准则的可能符合发生,并发现可能的关注领域,例如缺陷、遗漏或冲突。成文信息应包括但不限于:管理
48、体系文件和记录,以及以往的审核报告。审核应考虑受审核方的组织环境,包括其规模、性质、复杂程度以及相关的风险和机遇。还应考虑审核的范围、准则和目标。注:如何进行信息核实的指南可参见 A.5。6.3.2 审核计划 6.3.2.1 基于风险方法的计划 审核组长应采用基于风险的方法,根据审核方案和受审核方提供的成文信息计划审核。审核计划应考虑审核活动对受审核方的过程的风险,并为审核委托方、审核组和受审核方之间就审核的实施达成一致提供依据。审核计划应便于有效地安排和协调审核活动,以达成目标。审核计划的详细程度应反映审核的范围和复杂程度,以及未达成审核目标的风险。在计划审核时,审核组长应考虑如下内容:a)
49、审核组的组成及其整体能力;b)适当的抽样技术(见 A.6);c)提高审核活动有效性和效率的机会;d)因无效审核计划导致的审核目标达成风险;e)审核对受审核方形成的风险。受审核方的风险可能来自于审核组成员的到来对于受审核方的健康安全、环境和质量及其产品、服务、人员或基础设施(例如对洁净室设施的污染)产生的不利影响。对于结合审核,应特别关注不同管理体系的操作过程与相互抵触的目标以及优先事项之间的相互作用。6.3.2.2 审核计划详述 对于初次审核和随后的审核、内部审核和外部审核,审核计划的内容和详略程度可能有所不同。审核计划应具有充分的灵活性,以允许随着审核活动的进展而进行必要的调整。审核计划应解
50、决或处理下列内容:a)审核目标;b)审核范围,包括组织及其职能以及要审核的过程;c)审核准则和引用成文信息;d)实施审核活动的地点(物理和虚拟)、日期、预期的时间和期限,包括与受审核方管理者的会议;e)审核组需要熟悉的受审核方的设施和过程(例如,通过参观物理位置或评审信息和通信技术);f)使用的审核方法,包括所需的审核抽样的范围,以获得足够的审核证据;g)审核组成员、向导、观察员或口译人员的作用和职责;h)基于考虑相关风险和机遇的基础上,为审核活动配置适当的资源。适当时,审核计划应考虑:明确受审核方本次审核的代表;当审核员和(或)受审核方的语言不同时,审核的工作和审核报告所用的语言;审核报告的