前言(略)
引言
自本标准第二版于 2011 年出版以来, 已经出版了许多新的管理系统标准,其中许多标准具有共同的结 构、相同的核心要求以及共同的术语和核心定义。因此,需要考虑更广泛的管理体系审核方法,并提供更 通用的指导。审核结果可以为业务策划的分析方面提供输入, 并且可以有助于识别改进需求和活动。
审核可以针对不同的审核准则分别或组合进行,包括但不限于:【一道题】
——在一个或多个管理体系标准中确定的要求;
——有关利益方规定的政策和要求;
——法律和法规要求;
——组织或其他各方确定的一个或多个管理体系过程;
——与管理体系提供的特定输出有关的管理体系计划 (例如, 质量计划、项目计划)。
本标准为不同范围和规模的所有规模和类型的组织和审核提供指导,包括由大型审核团队进行的审核, 通常是大型组织的审核,以及由单个审计员进行的审核,无论是大型组织还是小型组织。本指南应视审核 方案的范围、复杂性和规模情况而应用。
本标准集中于内部审核 (第一方) 和组织对其外部提供者和其他外部利益方(第二方)进行的审核。 本标准也可用于第三方管理体系认证以外的其他目的的外部审核。ISO/IEC 17021-1 为第三方认证的审核管理 体系提供了要求;本标准可以提供有用的附加指导(参见表 1)。
表 1 不同类型的审核 【一道题】
| 第一方审核 | 第二方审核 | 第三方审核 |
| 内部审核 | 外部供应商审核 | 认证和/或认证审核 |
| 其他外部利益相关方审核 | 法定、 监管及类似 |
为了简化本标准的可读性,“管理系统”的单一形式是首选的, 但是读者可以根据自己的情况调整指南 的实施。这也适用于“个人”和“人们”、“审核员”和“审核员们”的使用。
本标准旨在适用于广泛的潜在用户,包括审核员、实施管理体系的组织和出于合同或监管原因需要进 行管理体系审核的组织。然而, 本标准的用户可以在开发自己的审核相关要求时应用本指南。
本标准中的指导也可以用于自我声明的目的, 并且可以对参与审核员培训或人员认证的组织有用。
本标准中的指导意图是灵活的。如文中不同点所示, 本指南的使用可能根据组织的管理体系的规模和成熟程度而不同。还应考虑要审核的组织的性质和复杂性,以及要实施审核的目的和范围。
当两个或多个不同领域的管理体系一起审核时, 本标准采用联合审核的方法。当这些体系集成到一个 单一的管理体系中时,审核的原则和过程与合并审核 (有时称为综合审核) 相同。
本标准对审核方案的管理、管理体系审核的策划和实施以及审核员和审核组的能力和评价提供指导。【一道题】
1 范围
本文件提供了关于管理体系审核的指南,包括审核原则、 审核方案管理和管理体系审核实施,以及关于评价参与审核过程的人员能力的指南。其中包括管理审核方案的人员、审计员和审核组。【一道题】
它适用于需要策划和实施管理体系内部或外部审核或管理审核方案的所有组织。
只要对于所需的特定能力予以特殊考虑,可将本文件应用于其他类型的审核。
2 规范性引用文件
本文件中没有规范性引用。
3 术语和定义
就本文件而言, 下列术语和定义适用。
ISO 和 IEC 在以下网址保持标准化使用的术语数据库:
ISO 在线浏览平台: https: //www .iso .org/obp
IEC 电子化平台:http://www.electropedia.org
3.1 审核 audit
为获取客观证据(3.8) 并客观地评价它,以确定审核准则 (3.7)的满足程度的系统、独立和形成文 件的过程。
注 1:内部审核,有时称为第一方审核, 是由组织本身或代表组织本身进行的。((组织自声明))
注 2:外部审核包括通常称为第二方和第三方审核的审核。第二方审核由与组织有利害关系的各方(如客户) 或由代表他们的其他人员进行。第三方审核由独立的审核组织进行, 例如提供合格证明/注册或政府 机构的审核组织。【一道题】
[资料来源:ISO9000:2015,3.13.1,修改-注销条目已被修改]
3.2 结合审核 combined audit
在两个或多个管理体系 (3.18)上对一个受审核方(3.13) 一起进行的审核 (3.1)
注 1:当两个或多个不同领域的管理体系合成到单个管理体系中时,这称为合成管理体系。 [资料来源:ISO9000:2015 ,3.13.2,修改]
3.3 联合审核 joint audit
两个或两个以上审核机构对一个受审核方(3.13) 进行的审核(3.1)
[资料来源:ISO9000:2015 ,3.13.3]
【一道题】 备忘:结合是多体系,联合是多机构。联合审核时注意审核方法对齐。
3.4 审核方案 audit programme
针对特定的时间段和针对特定的目的策划一组或多组审核(3.1) 的安排。
[来源:ISO9000:2015 ,3.13.4,修改-术语已被添加到定义中]
3.5 审核范围 audit scope
审核(3.1)的内容和界限
注 1 :审核范围一般包括物理和虚拟场所、功能、组织单元、活动和过程以及所覆盖的时间段的描述。 注 2:虚拟场所是指组织使用在线环境执行工作或提供服务的场所,该在线环境允许个人执行过程,而不管物理位置如何。
[来源:ISO9000:2015 ,3.13.5,修改-注释 1 的条目已被修改,注释 2 已加入条目]
3.6 审计计划 audit plan
审计 (3.1) 活动和安排的描述
[资料来源:ISO9000:2015 ,3.13.6]
3.7 审核准则 audit criteria
用于与客观证据(3.8) 进行比较的一组要求(3.23)
注 1:如果审核准则是法律的(包括法定的或监管的)要求, 则审核结果(3.10)中经常使用“合规” 或“不合规”这两个词。
注 2:要求可以包括方针、程序、工作指令、法律要求、合同义务等。
[来源:ISO9000:2015 ,3.13.7,修改-定义已更改,并已添加条目 1 和 2 的注释]
3.8 客观证据 objective evidence
支持某物存在或真实的数据
注 1 :可通过观察、测量、测试或其他手段获得客观证据。
注 2:用于审核(3.1) 目的的客观证据通常由记录、事实陈述或其他与审核准则(3.7) 相关且可核实的信息组成。
[资料来源:ISO9000:2015 ,3.8.3]
3.9 审计证据 audit evidence 【一道题】
与审核准则(3.7)相关且可核查的记录、事实或其他信息的陈述。
[资料来源:ISO9000:2015 ,3.13.8]
3.10 审核发现 audit findings【一道题】
收集的审核证据(3.9)对照审核准则(3.7)的评价结果。
注 1:审核结果表明符合(3.20) 或不符合(3.21)。((VS3.7 法律法规的“合规”/"不合规"))
注 2 :审核结果可引导识别风险、改进机会或记录良好实践。【一道题】
注 3:在英语中, 如果审核准则是从法定要求或法规要求中选择的,则审核结果称为合规或不合规。 [资料来源:ISO9000:2015 ,3.13.9,修改-注 2 和 3 已修改]
3.11 审核结论 audit conclusion
在考虑了审核目标和所有审核发现 (3.10) 后的审核(3.1) 结果。
[资料来源:ISO9000:2015 ,3.13.10]
【一道题】 .e.g 简单:请简述 3.7审核准则、3.9审计证据、3.10审核发现、3.11审核结论的关系
3.12 审核委托方 audit client
请求审核(3.1) 的组织或人员
注 1:在内部审核的情况下, 审核委托方也可以是被审核方(3.13) 或审核方案管理人员。外部审核的 要求可以来自监管机构、 合同方或潜在客户或现有客户等来源。
[资料来源:ISO 9000:2015 ,3.13.11,修改-注 1 的条目已被添加]
3.13 受审核方 auditee
整体或部分被审核的组织。
[资料来源:ISO9000:2015 ,3.13.12,修改]
3.14 审计组 audit team
实施审核 (3.1)的一个或多个人, 需要时由技术专家支持(3.16)
注 1:审核组(3.14) 中的一名审核员(3.15) 被任命为审核组长。
注 2:审核组可包括实习审核员。
[资料来源:ISO9000:2015 ,3.13.14]
【一道题】关于审核组中的角色:观察员、向导,技术专家、审核员、实习审核员、方案管理员。
3.15 审核员 auditor
实施审核 (3.1) 的人员。
[来源:ISO9000 :2015 年, 3.13.15 ]
3.16 技术专家 technical expert
向审核组(3.14)提供特定知识或专业技术的<审核>人员。
注 1:特定知识或专业技术与被审核的组织、活动、过程、产品、服务、法纪、 语言和文化有关。 注 2 :在审核组 (3.14) 中技术专家不作为审核员 (3.15)。
[来源:ISO9000 :2015 年, 3.13.16 ,修改-注 1 和注 2 已被修改]
3.17 观察员 observer
陪同审核组(3.14) 但不作为审核员(3.15) 的人员。
[资料来源:ISO9000:2015 ,3.13.17,修改]
3.18 管理体系 management system
组织建立方针和目标,以及实现这些目标的过程(3.24) 的相互关联或相互作用的一组要素。 注 1:管理体系可以针对单一领域或几个领域,例如质量管理、财务管理或环境管理。
注 2:管理体系要素规定了组织的结构、岗位和职责、策划、运行、方针、惯例、规则、理念、目标和实现这些目标的过程。
注 3:管理体系的范围可能包括整个组织、组织中可被识别的特定功能、组织中可被识别的特定部门, 或者跨组织的单一职能或多个职能。
[资料来源:ISO 9000:2015 ,3.5.3,修改-注 4 条目已被删除]
3.19 风险 risk
不确定性的影响
注 1 :影响是指偏离预期,可以是正面的或负面的。
注 2:不确定性是一种对某个事件,或是事件的局部的结果或可能性缺乏理解或知识方面的信息的情形。
注 3:风险通常是以潜在事件(如 ISO 指南 73:2009,3.5.1.3 中所定义) 和后果(如 ISO 指南 73:2009, 3.6.1.3 中所定义)或其组合为特征的。
注 4:风险通常表示为事件的后果(包括情况的变化)和相关发生的可能性(如 ISO 指南 73 :2009, 3.6.1.1 所定义) 的组合。
[资料来源:ISO9000:2015 ,3.7.9,修改-注 5 和 6 已删除]
3.20 符合 conformity
满足要求(3.23)
[来源:ISO9000:2015 ,3.611,修改-注 1 条目已被删除]
3.21 不符合 nonconformity
不满足要求(3.23)
[资料来源:ISO9000:2015 ,3.69,修改-注 1 条目已被删除]
3.22 能力 competence
运用知识和技能实现预期结果的本领。
[资料来源:ISO9000:2015 ,3.104,修改-注释条目已被删除]
3.23 要求 requirement
明示的或通常隐含的或强制性的需要或期望
注 1:“通常隐含”所指的需要或期望对组织和利益相关方是习惯或惯例。【一道题】
注 2 :规定的要求是一种,例如在成文信息中,明示的要求。
[资料来源:ISO9000:2015 ,3.6.4,修改-注 3, 4, 5 和 6 已删除]
3.24 过程 process
利用输入实现预期结果的相互关联或相互作用的一组活动。【一道题】
[资料来源:ISO9000:2015 ,3.4.1,修改-注释条目已被删除]
3.25 绩效 performance
可测量的结果。
注 1 :绩效可以涉及定量的或定性的结果。
注 2:绩效可以涉及活动、过程(3.24)、产品、服务、 体系或组织的管理。
[资料来源:ISO 9000:2015 ,3.7.8,修改-注 3 条目已被删除]
3.26 有效性 effectiveness
完成策划的活动和实现策划的成果的程度。
[资料来源:ISO 9000:2015 ,3.7.11,修改-注 1 条目已被删除]
4 审核原则
审核的特征在于其遵循若干原则。这些原则应有助于使审核通过提供组织可以采取行动以提高其绩效 的信息成为支持管理方针和控制的有效和可靠的工具。坚持这些原则是提供相关和充分的审核结论的前提, 也是使审核员能够彼此独立地在类似情况下得出类似结论的前提。
第 5 至第 7 章所给出的指导原则基于下列七项原则:【几道题】
a) 诚信 b)公平表达 c)应有的职业素养 d)保密性 e)独立性f)基于证据的方法g) 基于风险的方法
a) 诚信:职业精神的基础
审核员和审核方案管理人员应:((可能给具体语句,单选对应哪项原则;也可能给原则多选判断))
—— 诚实、负责地履行自己的工作;
—— 只要有能力就只从事审核活动;
—— 以公正的方式从事工作,即在所有事务中保持公正和无偏见;
—— 对实施审核时可能对其判断产生的任何影响保持警觉。
b)公平表达:真实、准确地报告义务
审核结果、审核结论和审核报告应当真实、准确地反映审核活动。应当报告审核过程中遇到的重大障碍以及审核组与受审核方之间尚未解决的意见分歧。沟通要真实、准确、客观、及时、清晰、完整。
c)应有的职业素养:勤奋与判断力在审核中的运用
审核人员应当珍视其所执行任务的重要性以及审核委托方和其他利益相关方对其的信任。在工作中具有职业素养的一个重要因素是能够在所有审核情况下作出合理的判断。
d)保密性: 信息安全
审核员应审慎使用和保护其在履行职责过程中获得的信息。 审核信息不应被审核员或审核委托方为了个人利益而滥用,或者以损害被审核方合法利益的方式使用。这个概念包括正确处理敏感的或机密的信息。
e)独立性:审核的公正性和审核结论的客观性的基础 ((VS b)公平表达))
审核员应当在可行的情况下独立于受审核的活动,并且在所有情况下都应当以没有偏见和利益冲突的 方式行事。
对于内部审核,审核员应独立于被审核的职能,如果可行的话。 审核员应当在整个审核过程中保持客观性,以确保审核结果和结论仅基于审核证据。
对于小型组织, 内部审核员可能不可能完全独立于被审核的活动, 但是应该尽一切努力消除偏见并鼓励客观性。
f)基于证据的方法:在一个系统的审核过程中获得可靠的和可再现的审核结论的合理方法
审核证据应当是可验证的。一般来说,它应该基于可用信息的样本,因为审核是在有限的时间段和有 限的资源下进行的。应当适当使用抽样, 因为这与审核结论的置信度密切相关。
g) 基于风险的方法: 考虑风险和机遇的审核方法
基于风险的方法应当对审核的策划、实施和报告产生实质性影响, 以确保审核集中在对审核委托方来说重要的事项上,并且实现审核方案目标。
5 审核方案的管理
5.1 总则
应建立审核方案,其中可包括针对一个或多个管理体系标准或其他要求的审核,单独实施或合并实施 (结合审核)。【一道题】
审核方案的范围应基于受审核对象的规模和性质,以及审核对象的性质、功能、复杂性、 风险和机遇的类型以及所审核的管理体系的成熟程度。 【一道题】审核方案范围受哪些要素影响
当大多数重要功能外包和在其他组织的领导下管理时,管理体系的功能可能更加复杂。需要特别注意在什么地方作出最重要的决定, 以及什么构成了管理体系的最高管理层。【一道题】 关注点
在多个场所/地点(例如, 不同国家) 的情况下,或重要职能外包和在另一组织的领导下管理的情况下, 应特别注意审核方案的设计、 策划和确认。【一道题】
在规模较小或较不复杂的组织中,审核方案可以适当地调整。
为了了解受审核方的情况,审核方案应考虑受审核方:【一道多选题】
- ——组织目标;
- ——相关的外部和内部问题;
- ——有关利益相关方的需要和期望;
- ——信息安全和保密要求。
内部审核方案的规划,以及在某些情况下审核外部供应商的方案,可以为组织的其他目标作出贡献。 审核方案管理人员应确保审核的完整性得到保持, 以及不会对审核产生不适当的影响。
审核应优先考虑将资源和方法分配给管理体系中具有较高内在风险和较低绩效水平的事项。 应该指派有能力的人员来管理审核方案。【一道题】 g) 基于风险的审核原则
审核方案应包括使审核能够在规定的时限内有效和高效地进行的信息和确定的资源。信息应包括:【一道多选题】
a)审核方案的目标;
b)与审核方案有关的风险和机遇 (见 5.3) 及其解决措施;
c)审核方案内每项审核的范围(地域、边界、地点);
d) 审核的时间表(数量/持续时间/频率);
e) 审核类型, 如内部或外部;
f) 审核准则;
g) 拟采用的审核方法;
h)选择审核组成员的准则;
i)相关的文件信息。
- 在更详细的审核方案完成之前, 一些信息可能不可用。
- 应不断监视和测量审核方案的执行情况(见 5.6), 以确保实现其目标。应审查审核方案,以便确定变 化的需要和可能的改进机会(见 5.7)。
图 1 说明了审核方案管理的流程。
图 1—审核方案管理流程
5.2 审核方案目标的建立
审核委托方应确保建立审核方案目标以指导审核的策划与实施,并确保审核方案得到有效执行。 审核方案的目标应与审核委托方的战略方向相一致,并支持管理体系的方针和目标。
这些目标可以基于以下考虑: 【一道多选题】
a) 有关利益相关方的需要和期望,包括外部的和内部的;
b) 过程、产品、服务和项目的特点和要求,以及对它们的任何改变;
c) 管理制度要求;
d) 对外部供应商进行评估的需要;
e) 被审核者的绩效水平和管理体系的成熟程度,如相关绩效指标(如 KPIs)、不合格或事故的发生或利益相关方的投诉;
f) 识别受审核方的风险和机遇;
g) 以前审核的结果。
审核方案目标的示例可以包括:
——识别改进管理体系及其绩效的机会;
——评估受审核方确定其环境的能力;
——评估受审核方确定风险和机遇以及确定和实施有效行动以应对这些风险和机遇的能力;
——符合所有相关要求, 例如法定和规章要求、合规承诺、对管理体系标准的认证要求;
——获得并保持对外部供应商能力的信任;
——确定受审核方管理体系的持续适用性、充分性和有效性;
——评估管理体系目标与组织战略方向的兼容性和一致性。
5.3 确定和评估审核方案的风险和机遇
与受审核方环境相关的风险和机遇的存在,能够关联到审核方案,并且可以影响其目标的实现。 审核方案管理人员应确定并向审核委托方提出在开发审核方案和资源要求时所考虑的风险和机遇,以便能够适当地解决这些问题。
可能存在与以下诸项相关的风险:【一道多选题】
a) 策划,例如未能确定相关的审核目标, 并确定审计的范围、数量、持续时间、地点和时间表;
b) 资源,例如允许开发审核方案或实施审核的时间、设备和/或培训不足;
c) 审核组的选择,例如有效地实施审核的整体能力不足;
d) 沟通,例如无效的外部/内部沟通过程/渠道;
e) 实施, 例如审核方案内的审核工作协调不力,或未考虑信息安全和保密性;
f) 对成文信息的控制,例如对审核员和有关利益相关方要求的必要成文信息的无效确定,未能充分保护审核记录以证明审核方案的有效性;
g) 监督、审查和改进审计方案, 如对审核方案结果的无效监控;
h) 受审核方的协助与配合以及抽样的证据的有效性。
改进审核方案的机会可以包括:【一道多选题】
——允许在一次访问中进行多个审核;
——最小化到达场地的时间和距离;
——将审核组的能力与达到审核目标所需的能力水平相匹配;
——根据受审核方关键人员的可用性调整审核日期。
5.4 审核方案的建立
5.4.1 审核方案管理人员的作用和职责 【几道题】
审核方案管理人员应:【一道题】
a) 根据相关目标(见 5.2)和任何已知条件确定审核方案的范围;
b) 确定可能影响审核方案的外部和内部问题以及风险和机遇,并实施解决这些问题的行动,酌情将这些行动纳入所有相关的审核活动;
c) 通过分配角色、责任和授权,并酌情支持领导,确保审核组的选择和审计活动的总体能力;
d) 建立所有相关的过程, 包括:【一道题】
—— 协调和安排审核方案内的所有审核;
—— 确定审核目标、 审核范围和审核准则,确定审核方法,选择审核组;
—— 审核员评价;
—— 建立适当的外部和内部沟通过程;
—— 争议的解决和投诉的处理;
—— 审核的后续活动,如适用;
—— 向审核委托方和有关利益相关方报告。
e) 确定并确保提供所有必要的资源;
f) 确保准备和保持适当的成文信息, 包括审核方案记录;
g) 监督、评审和改进审核方案;
h) 将审核方案与审核委托方进行沟通,并酌情向有关利益相关方传达。
审核方案管理人员应请求审核委托方批准。
5.4.2 审核方案管理人员的能力
审核方案管理人员应具有有效和高效地管理方案及其相关风险和机遇以及外部和内部问题的必要能 力,包括:
a) 审核原则(见第 4 条)、方法和过程(见 A.1 和 A.2);
b) 管理体系标准、其他相关标准和参考/指导文件;
c) 关于受审核方及其背景的信息 (例如, 受审核方的外部/内部问题、 利益相关方及其需要和期望、业务活动、产品、服务和过程);
d) 适用于受审核方业务活动的法律法规要求和其他要求。
适当时,可以考虑风险管理、项目和过程管理以及信息和通信技术 (ICT) 的知识。 审核方案管理人员应参与适当的可持续发展活动,以保持管理审核方案的必要能力。
5.4.3 建立审核方案的范围【几道题】
审核方案管理人员应确定审核方案的范围。这取决于受审核方提供的关于其环境的信息(见 5.3)。
注:在某些情况下,取决于受审核方的结构或其活动,审核方案可能仅由单个审核组成 (例如,一个小型项目或组织)。
影响审核方案范围的其他因素可以包括:
a) 每次审核的目的、范围与持续时间和要进行的审核数量、报告方法,以及审核后续活动,如果适用的话;
b) 管理体系标准或其他适用准则;
c) 受审核活动的数量、重要性、复杂性、相似性和地点;
d) 影响管理体系有效性的因素;
e) 适用的审核准则,例如对有关管理体系标准的策划安排、法定和规章要求以及该组织所承诺的其他要求;((对客户的SLA 、内部管理制度等))
f) 以前的内部或外部审核和管理评审的结果, 如果合适的话;
g) 以前审核方案评审的结果;
h) 语言、文化和社会问题;
i) 有关各方的关注点,例如客户投诉、不符合法定和规章要求以及组织承诺的其他要求,或供应链问题;
j) 受审核方的环境或运行以及相关风险和机遇的重大变化;
k) 提供信息和通信技术以支持审核活动, 特别是使用远程审核方法时 (见 A.16);
l) 发生产品或者服务不合格、信息安全泄露、健康安全事故、犯罪行为、环境事故等内部和外部事件;
m) 业务风险和机遇,包括应对它们的措施。
5.4.4 确定审核方案资源
在确定审核方案的资源时,审核方案管理人员应考虑:
a) 制定、实施、管理和改进审核活动所需的财政和时间资源;
b) 审核方法(见 A.1);
c) 具有适合特定审核方案目标的能力的审核员和技术专家的个人和整体的可用性;
d) 审核方案的范围(见 5.4.3)和审核方案的风险和机遇 (见 5.3);
e) 行程时间和费用、住宿及其他审核需求;
f) 不同时区的影响;
g) 信息和通信技术的可用性 (例如, 利用支持远程协作的技术来建立远程审核所需的技术资源);
h) 任何工具、技术和设备的可用性;
i) 在建立审核方案期间确定的必要成文信息的获得(见 A.5);【一道题】
j) 与设施有关的要求,包括任何安全许可和设备 (例如, 环境检查、个人防护装备、穿着洁净室服装的能力)。
5.5 审计方案的实施 【几道题】
5.5.1 总则
一旦建立了审核方案 (见 5.4.3) 并确定了相关资源 (见 5.4.4),就需要实施作业计划和协调方案内的所有活动。
审核方案管理人员应:
a) 利用既定的外部和内部沟通渠道, 将审核方案的有关部分,包括所涉及的风险和机遇传达给相关的利益相关方,并定期向其通报审核方案的进展情况;
b) 确定每次审核的目标、范围和准则;【一道题】
c) 选择审核方法(见 A.1);
d) 协调和安排审核和与审核方案有关的其他活动;
e) 确保审核组具备必要的能力(见5.5.4);
f) 向审核组提供必要的人员和全部资源(见 5.4.4);
g) 确保根据审核方案进行审核,管理在方案实施期间出现的所有运行风险、机遇和问题(即意外事件);
h) 确保有关审核活动的相关成文信息得到妥善管理和保持 (见 5.5.7);
i) 确定和实施审核方案监控所需的运行控制(见5.6);
j) 评审审核方案,以确定其改进的机会(见 5.7)。
5.5.2 确定每次审核的目标、范围和准则
每次审核都应基于明确的审核目标、范围和准则。这些应该与整个审核方案的目标一致。 审核目标界定每次审核应完成什么,并可包括以下内容:【一道题】
a) 以审核准则确定受审核的管理体系或其部分的符合程度;
b) 评估管理体系协助组织满足相关法定和规章要求以及组织所承诺的其他要求的能力;
c) 评估管理体系在实现其预期结果方面的有效性;
d) 识别潜在的改进管理体系的机会;
e) 评估管理体系对于受审核方的环境和战略方向的适宜性和充分性;
f) 评估管理体系在不断变化的背景下建立和实现目标和有效处理风险和机遇的能力,包括相关行动的实施。
审核范围应与审核方案和审核目标相一致。它包括要审核的场所、职能、活动和过程以及审核所涵盖的时间段等因素。
审核准则是确定符合性的依据。这可以包括以下一项或多项:适用的方针、过程、程序、 包括目标的绩效准则、法定和规章要求、管理体系要求、由受审核方确定的环境和风险和机遇的信息 (包括相关的外部/内部利益相关方要求)、行业行为规范或其他策划的安排。【一道题】
如果审核目标、范围或准则有任何变化, 应根据需要修改审核方案,并通知有关各方,以酌情批准。【一道题】
当同时对多个领域进行审核时,审核目标、范围和准则必须与每个领域的相关审核方案相一致。一些领域可能反映整个组织的范围, 而另一些领域可能反映整个组织的部分范围。【一道题】
5.5.3 选择和确定审核方法
审核方案管理人员应根据确定的审核目标、范围和准则,选择并确定有效和高效地进行审核的方法。审核可以现场、远程或作为一个组合。这些方法的使用,除了别的以外,应基于考虑相关风险和机遇, 适当平衡。
当两个或两个以上审核组织对同一受审核方进行联合审核时,不同审核方案的管理人员应就审核方法达成一致,并考虑对审核资源和计划的影响。【一道题】
如果受审核方运行两个或更多个不同领域的管理体系,则联合审核可以包括在审核方案中。
5.5.4 选择审核组成员
审核方案管理人员应指定审核组的成员, 包括组长和特定审核所需的任何技术专家。
选择审核组应考虑在限定的范围内实现每次审核目标所需的能力。如果只有一名审核员,该审核员应履行审核组长的所有适用职责。
注:第 7 章包含关于确定审核组成员所需的能力的指导, 并描述了评价审核员的过程。 为确保审核组的整体能力,应履行以下步骤:
——识别实现审核目标所需的能力;
——选择审核组成员,以便使审核组具有必要的能力。
在确定具体审核的审核组规模和组成时, 应考虑以下事项:【一道题】
a) 审核组的整体能力需要达到审核目标, 同时考虑审核范围和准则;
b) 审核的复杂性;
c) 审核是否是结合审核或联合审核;
d) 所选择的审核方法;
e) 避免审核过程中的任何利益冲突,确保客观性和公正性;
f) 审核组成员工作能力以及与受审核方的代表和有关利益相关方互动的能力;
g) 相关的外部/内部问题, 如审核语言,以及受审核方的社会和文化特征。这些问题可以通过审核员自己的技能或通过技术专家的支持来解决, 同时考虑到对口译员的需要;
h) 受审核过程的类型和复杂性。
在适当情况下, 审核方案管理人员应就审核组的组成与组长协商。
如果审核组中的审核员没有涵盖必要的能力, 可用具有额外能力的技术专家支持审核组。 实习审核员可以包括在审核组中,但应在审核员的指导下参与审核。【一道题】
在审核期间,可能需要改变审核组的组成,例如, 如果出现利益冲突或权限问题。如果出现这种情况, 应在作出任何改变之前,与适当的各方 (例如,审核组长、审核方案管理人员、审核委托方或受审核方) 讨论该问题。
5.5.5 向审核组长分配审核职责
审核方案管理人员应将实施每次审核的职责分配给审核组长。
为确保审核工作的有效策划,应在预定的审核日期之前的足够时间内分配审核任务。 为确保有效实施每次审核,应向审核组长提供以下信息:【一道题】
a) 审核目标;
b) 审核准则和任何相关的文件信息;
c) 审核范围,包括对于组织及其职能和受审核的过程的识别;
d) 审核过程和相关方法;
e) 审核组的组成;
f) 受审核方的联系方式、审核活动的地点、时间和期限;
g) 进行审核所必需的资源;
h) 评估和处理识别的风险和机遇以实现审核目标所需的信息;
i) 支持审核组长与受审核方就审核方案有效性进行互动的信息。
分配信息还应适当地包括以下内容: 【一道题】
——审核用的工作和报告语言, 在审核人员或受审核方或双方的语言与之不同的情况下;
——需要的审核报告内容和发放对象;
——审核方案所要求的与保密和信息安全有关的事项;
——审核员的任何健康、安全和环境安排;
——出行或进入远程站点的要求;
——任何安全和授权要求;
——任何复审的活动,例如以前审核的后续行动;
——与其他审核活动的协调,例如,在不同地点或在联合审核的情况下, 不同的审核组正审核相似或相关的过程时。
在进行联合审计时,在开始审核之前,进行审核的组织必须就每一方的具体责任,特别是关于被任命的审核组长的权威达成协议。
5.5.6 管理审核方案结果
管理审核方案的人员应确保实施以下活动:【一道题】
a) 对审核方案内的每个审核目标的实现进行评价;
b) 评审和批准关于审核范围和目标的履行的审核报告;
c) 评审处置审核发现的措施的有效性;
d) 向有关相关方分发审核报告;
e) 确定任何后续审核的必要性。
管理审核方案的人员应酌情考虑:
——将审核结果和最佳实践传达给组织的其他领域,以及
——对其他过程的影响。
5.5.7 管理和保持审核方案记录 【一道题】
管理审核方案的人员应确保审核记录的形成、管理和保持,以表明审计方案的实施情况。应当建立过程以确保与审核记录相关的任何信息安全和保密需求得到满足。
记录可以包括以下内容:
a)与审核方案有关的记录,如:
——审核时间表;
——审核方案目标和范围;
——审核方案的风险和机遇以及相关的外部和内部因素的处置;
——对审核方案有效性的评价。
b)与每次审核相关的记录,如:
——审核计划和审核报告;
——审核证据和调查结果;
——不合格报告;
——纠正和纠正措施报告;
——审核跟踪报告。
c) 审核组涉及以下主题的相关记录:
——审核组成员的能力和绩效评价;
——审核组和审核组成员的选择准则和审核组的组成;;
——能力的保持和提高。
记录的形式和详略应表明已经实现审核方案的目标。
5.6 监视审核方案 【一道题】
管理审核方案的人员应确保评价:
a) 日程安排是否得到满足以及审核目标得到实现;
b) 审核组成员的表现,包括审核组长和技术专家;
c) 审核组执行审核计划的能力;
d) 审核委托方、受审核人员、审核人员、技术专家和其他相关方的反馈; e)整个审核过程中成文信息的充分性和充分性。
一些因素可以表明需要修改审核方案。这些可以包括:
- ——审核发现;
- ——经证实的受审核方管理体系的有效性和成熟度;
- ——审核计划的有效性;
- ——审核范围或审核方案范围;
- ——受审核方的管理制度;
- ——标准和组织所要求的其他要求;
- ——外部供应商;
- ——确定的利益冲突;
- ——审核委托方的要求。
5.7 评审和改进审核方案
管理审核方案的人员和审核委托方应评审审核方案,以评估其目标是否已经实现。从审核方案评审中吸取的教训应作为改进方案的输入。
管理审核方案的人员应确保以下各项: 【一道题】
——评审审核方案的全面实施;
——识别改进的领域和机会;
——在必要时对审核方案作出变更;
——评审审核人员的持续专业发展, 按照7.6;
——报告审核方案以及与审核委托方和有关相关方评审的结果,适当时。
审核方案评审应考虑以下事项: 【一道题】
- a) 审核方案监视的结果和趋势;
- b) 审核方案流程和相关文件信息的符合性;
- c)有关相关方的需求和期望的演变;
- d) 审核方案记录;
- e) 可替代达或新的审核方法;
- f) 可替代的或新的审核员评价方法;
- g)处置与审核方案有关的风险和机遇以及内部和外部因素的措施的有效性;
- h)与审核方案有关的保密和信息安全问题。
6 实施审核
6.1 总则
本章包含对于作为审核方案的一部分的具体审核的准备和实施的指导。图 2 提供了在典型审核中执行的活动的概述。本章的适用范围取决于具体审核的目的和范围。
6.2 审核的启动
6.2.1 总则
实施审核的责任应该由指定的审核组长(见 5.5.5) 承担, 直到审核完成(见6.6)。
为了启动审核,应该考虑图 1 中的步骤;然而, 顺序可能因审核对象、过程和特定审核环境而不同。
6.2.2 与受审核方建立联系
审核组长应确保与受审核方进行联系:
a) 确认受审核方代表的沟通渠道;
b) 确认进行审核的权限;
c) 提供有关审核目标、范围、 准则、方法和审核组组成的相关信息,包括任何技术专家;
d) 请求获得用于策划的目的的相关信息,包括关于组织已确定的风险和机遇以及如何应对这些风险和机遇的信息;
e) 确定适用的法律法规要求以及与受审核者的活动、过程、产品和服务有关的其他要求;
f) 确认与受审核方关于保密信息披露的程度和处理的协议;
g) 对审核进行安排,包括日程表;
h) 确定任何特定地点的访问、健康和安全、防护、保密等安排;
i) 同意观察员的出席及审核组对向导或翻译人员的需求;
j) 确定与具体审核有关的受审核方利益、关注或风险的任何领域;
k) 解决审核组与受审核方或审核委托方的组成问题。
6.2.3 确定审核的可行性
应确定审核的可行性,为审核目标的实现提供合理的信心。
可行性的确定应考虑以下可用因素:
a) 用于策划和实施审核的充分和适当的信息;
b) 受审核方的充分合作;
c) 有足够的时间和资源进行审核。
注: 资源包括有权使用充分和适当的信息及通信技术。
在审核不可行的情况下, 应与受审核方达成协议, 向审核委托方提出替代方案。
6.3 审核活动的准备
6.3.1 实施成文信息的评审
应评审受审核方的相关管理体系成文信息,以便:
——收集信息,了解受审核方的运行情况,准备审核活动和适用的审核工作文件(见3.3.4),例如过程、 职能;
——建立成文信息的范围的概览, 以确定是否符合审核准则,并发现可能存在的问题,如缺陷、遗漏或冲突。
成文信息应包括但不限于: 管理体系文件和记录,以及以前的审核报告。评审应考虑受审核方组织的范围, 包括其规模、性质和复杂性, 以及相关风险和机遇。它还应考虑审核范围、 准则和目标。【一道题】
注:在 A.5 中提供了如何验证信息的指南。
6.3.2 审核策划
6.3.2.1 基于风险的规划方法
审核组长应根据审核方案中的信息和受审核方提供的成文信息,采用基于风险的方法来策划审核。
审核策划应考虑审核活动对受审核方过程的风险,为审核委托方、审核组和受审核方就审核行为达成协议提供依据。 策划应促进审核活动的有效调度和协调, 以便有效地实现目标。
审核计划的详细程度应反映审核的范围和复杂性,以及未实现审计目标的风险。在进行审核计划时, 审核组长应考虑以下事项:【一道题】
- a) 审核组的构成及其整体能力;(人员)
- b) 适当的抽样技术(见 A.6);(技术)
- c) 提高审核活动的有效性和效率的机会;(效率)
- d) 由于审核计划的无力造成的实现审核目标的风险;(风险)
- e) 由审核计划造成的受审核方的风险。
审核组成员的存在可能对受审核方的健康和安全、环境和质量及其产品、服务、人员或基础设施 (例 如,洁净室设施中的污染) 的安排产生不利影响, 从而对受审核方造成风险。
对于结合审核,应特别关注不同管理体系的操作过程与相互抵触的目标以及优先事项之间的相互作用。
6.3.2.2 审核计划细节
审核计划的规模和内容可以不同, 例如, 在初始审核和后续审核之间,以及在内部审核和外部审核之 间。 审核计划应具有足够的灵活性, 以允许随着审核活动的进展而发生必要的变化。
审核计划应包括或涉及以下内容:【一道题】
a) 审计目标;
b) 审核范围,包括组织及其职能的识别, 以及受审核的过程;
c) 审核准则和任何参考文献信息;
d) 要进行的审核活动的地点(实体和虚拟)、日期、预期时间和持续时间,包括与受审核方管理者的 会议;
e) 审核组需要熟悉受审核方的设施和过程 (例如, 通过实地考察或评审信息和通信技术);
f) 要使用的审核方法, 包括为了获得足够的审核证据需要进行审核抽样的程度;
g) 审核组成员的岗位和职责,以及向导和观察员或翻译人员;
h) 在考虑与拟审核的活动有关的风险和机遇的基础上分配适当的资源。
审核计划应酌情考虑:【一道题】
- —— 明确审核中受审核方的代表;
- —— 审核工作语言和报告语言, 如果与审核员或受审核方或两者的语言不同时;
- —— 审核报告主题;
- —— 后勤和通信安排,包括对受审核地点的具体安排;
- —— 为达到审核目标和产生机遇而采取的任何具体措施;
- —— 与保密和信息安全有关的事项;
- —— 来自先前审核或其他来源的任何后续活动,如经验教训、项目评审;
- —— 对所计划的审核的任何后续活动;
- —— 与其他审核活动的协调,在联合审计的情况下。
审核计划应提交给受审核方。审核计划的任何问题应当在审核组长、受审核方和(如果必要的话) 管 理审核方案的人员之间解决。
6.3.3 审核组工作的分配
审核组组长与审核组协商后,应将审核具体过程、活动、职能或地点的职责,分配给每个组成员, 并酌情分配决策权。此项分配应兼顾公正性、客观性和审核员能力以及资源的有效利用,还有审核员、 实习审核员和技术专家的不同作用和责任。
审核组会议应由审核组组长酌情召开,以分配工作任务并决定可能的变更。为了确保审核目标的实现, 可以在审核工作进行过程中对工作任务进行变更。
6.3.4 审核用文件信息的准备
审核组成员应搜集和评审与审核任务有关的信息,并利用任何适当的媒体为审核准备成文信息。审核用成文信息可以包括但不限于:
a)物理的或数字化的检查表;
b)审核抽样方案;
c)视听信息。
这些媒体的使用不应该限制审核活动的范围, 审核活动可能由于在审核期间收集的信息而改变。 备注: 审核工作文件的编制在 A.13 中给出。
为审核准备和产生的成文信息应至少保留到审核完成或审核方案中规定的时间。在审核完成后保留成文信息在 6.6 中描述。在审核过程中创建的涉及机密或专有信息的成文信息应当由审核组成员始终适当地加以保护。
6.4 审核活动的实施
6.4.1 总则
审核活动通常按照图 1 所示的定义顺序进行。这个顺序可以根据具体审计的情况而改变。
6.4.2 向导和观察员的作用和职责的分配
如有需要,向导和观察员获得审核组长、 审核委托方和/或受审核方的批准, 可陪同审核组。不得影响或干扰审核工作的进行。如果不能保证这一点,审核组组长应有权拒绝观察员出席某些审核活动。
对于观察员来说,关于访问、健康和安全、环境、防护和保密的任何安排应受审核委托方和受审核方之一管理。
由受审核方指定的向导应协助审核组,并应审核组长或被指派的审核员的要求采取行动。他们的责任 应包括:
a) 协助审核员识别参加面试的人员以及确认时间和地点;
b) 安排访问受审核方的特定地点;
c) 确保审核组成员和观察员了解和遵守关于访问、健康和安全、环境、防护、保密和其他问题的特定地点安排的规则,并处理任何风险;
d) 在适当情况下,代表受审核方见证审核;
e) 在需要时提供澄清或协助收集信息。
6.4.3 举行首次会议 【一道题】
首次会议的目的是:
a)确认所有参与者(如受审核方、审核组) 对审核计划的同意;
b)介绍审核组及其作用;
c) 确保所策划的审核活动能够实施。
首次会议应当与受审核方的管理者以及适当的负责受审核的职能或过程的负责人一起举行。会议期间, 应提供提问的机会。
会议详细程度应与受审核方对审核过程的熟悉程度相一致。在许多情况下, 例如小型组织的内部审核, 首次会议可能只是简单地包括沟通正在进行审核以及解释审核的性质。
对于其他审核情况, 会议可能是正式的,并应保留出席记录。会议应由审核组长主持。 适当时应介绍下列事项:
——其他参加者,包括观察员和向导、翻译人员和他们的作用概要;
——对于由于审核组成员的到场而导致的组织风险的管理的审核方法;
应适当考虑下列事项的确认:
——审核目的、范围和准则;
——审核计划和与受审核方有关的其他相关安排,如末次会议的日期和时间, 审核组与受审核方管理者之间的任何临时会议, 以及所需的任何变更;
——审核组与受审核方之间的正式沟通渠道;
——审核期间使用的语言;
——在审核过程中, 受审核方对审核进度的理解
——是否有审核组所需的资源和设施;
——有关保密及信息安全的事宜;
——审核组的关于访问、健康和安全、防护、紧急情况和其他的安排;
——能够影响审核工作进行的现场活动。
应酌情考虑就下列项目提供信息:
—— 报告审核结果的方法,包括评分准则(如有的话);
—— 终止审核的条件;
—— 如何处理审核过程中可能出现的问题;
—— 由受审核方就审核发现或结论作出反馈 (包括投诉或申诉) 的任何系统。
6.4.4 审核期间的沟通
在审核期间,可能有必要作出正式安排, 以便在审核组内以及与受审核方、 审核委托方也可能与外部相关方 (例如监管部门) 进行沟通, 特别是当法律法规要求需要对不符合项进行强制性报告时。
审核组应定期召开会议, 根据需要交换信息, 评估审核进度,以及在审核组成员之间重新分配工作。
在审核期间,审核组长应定期向受审核方和审核委托方传达进度、重要发现和任何关注。在审核期间收集的证据表明存在直接和重大风险,应当立即报告给受审核方,并酌情报告给审核委托人。对于审核范围之外的任何问题, 都应注意并向审核组长报告, 以便与审核委托方和受审核方进行可能的沟通。
如果可用的审核证据表明无法实现审核目标, 审核组长应向审核委托方和受审核方报告原因,以确定适当的行动。这样的行动可能包括审核计划、 审核目标或审核范围的变更或终止审核。对审核计划可能随着审核活动进展而任何变得明显需要的变更,应由管理审核方案的人员和审核委托方酌情评审和接受, 并提交给受审核方。
6.4.5 审核信息的可用性和可访问性
为审核所选择的审核方法取决于所确定的审核目标、范围和准则, 以及持续时间和场所。该场所是审 核组可以使用特定审核活动所需信息的场所。可能包括物理场所和虚拟场所。
在何处、何时以及如何访问审核信息,对审核至关重要。这与创建、使用和/或存储信息的位置无关。 基于这些问题,需要确定审核方法(见表 A.1)。 审核可以使用多种方法。此外, 审核环境可能意味着在审 核期间需要变更方法。
6.4.6 审核期间成文信息的评审
应评审受审核方的相关成文信息,以便:
——根据文件确定体系是否符合审核准则;
——收集信息以支持审核活动。
注:A.5 中提供了关于如何验证信息的指南。
评审可以与其他审核活动结合在一起,并且可以在整个审核过程中池逊进行, 只要这不会影响审核工作的有效性。
如果在审核计划规定的时间内无法提供足够的成文信息,审核组长应通知管理审核方案的人员和受审核方。根据审核的目标和范围, 应决定是否继续进行审核,或暂停审核,直到成文信息问题得到解决。
6.4.7 信息的收集和验证
在审核过程中, 应通过适当抽样收集与审核目标、范围和准则有关的信息,包括与职能、活动和过程之间的接口有关的信息, 并应尽可能加以验证。
只有经过某种程度验证的信息才能被接受为审核证据。在验证程度较低的情况下, 审核员应使用其专业判断来确定可将其作为证据的可信度。应记录导致审核发现的审核证据。如果在收集客观证据的过程中,审核组意识到任何新的或改变的情况,或风险或机遇,审核组应相应地予以处理。
注 1 :验证信息见 A.5。
注 2 :关于抽样的指导意见见 A.6
图 2 提供了一个从收集信息到得出审计结论的典型过程的概述。
收集信息的方法包括但不限于以下内容:
——访谈;
——观察;
——评审成文信息。
注 3:在 A.14 中给出了选择信息源和观察的指南。
注 4:在 A.15 中给出了访问受审核方场所的指南。
注 5:在 A.17 中给出了进行访谈的指南。
6.4.8 审核发现的形成
为了确定审计发现,应根据审核准则对审核证据进行评价。审计发现可以表明符合或不符合审核准则。 当审核计划有规定时, 具体审核发现应包括符合性和良好的实践以及它们的支持证据、改进机会和向受审核方提出的任何建议。
应记录不符合项及其支持的审核证据。
不符合项可以根据组织的环境及其风险进行分级。这种评分可以是定量的 (如 1 至 5 分),也可以是定性的 (如较小的、重要的)。应与受审核方一起评审,以便确认审计发现是准确的,并理解不符合项。应尽 一切努力解决与审核证据或调查结果有关的任何分歧意见。未解决的问题应记录在审核报告中。
审核组应根据需要在审核过程中的适当阶段评审审核发现。
注 1 :A.18 对审计发现的识别和评价提出了附加的指南。
注 2:与法律法规要求或其他要求相关的审核准则的符合性或不符合性,有时被称为合规性或不合规性。
6.4.9 确定审核结论
6.4.9.1 末次会议的准备
审核组应在末次会议前进行协商,以便:
a) 根据审核目标,评审审核发现和审核期间收集的任何其他适当信息;
b) 考虑到审核过程中固有的不确定性,商定审核结论;
c) 做建议准备,如果审核计划有规定的话;
d) 讨论审核后续活动,视情况而定。
6.4.9.2 审核结论内容
审核结论应解决以下问题:
a) 符合审核准则的程度和管理体系的稳健性,包括管理体系在满足预期结果方面的有效性、风险的识别以及受审核方为应对风险而采取的行动的有效性;
b) 管理体系的有效实施、保持和改进;
c) 审核目标的实现、审核范围的覆盖和审核准则的履行;
d) 在已审核的不同领域中获得的或来自为确定趋势的目的联合的或以前的审核中的类似审核发现。 如果审核计划中有规定,审核结论可提出改进的建议或今后审核活动的建议。
6.4.10 举行末次会议
应召开一次末次会议,以提交审核发现和结论。
末次会议应由审核组长主持,并有受审核方的管理者出席,并酌情包括:
- ——受审核的职能或程序的负责人;
- ——审核委托方;
- ——审核组其他成员;
- ——审核委托方和/或受审核方确定的其他有关相关方。
如果适用,审核组长应当向受审核方告知在审核过程中遇到的可能降低对审核结论的信心的情况。如果在管理体系中或与审核委托方的协议中有规定,则参与者应当就解决审核发现的行动计划的时间框架达成一致。
会议的详略程度应该考虑管理体系在实现受审核方目标方面的有效性,包括考虑其环境以及风险和机 遇。
在末次会议期间,还应考虑受审核方对审核过程的熟悉程度, 以确保向与会者提供正确的详细程度。对于一些审核情况,会议可以是正式的,会议记录, 包括出席记录,应保持。在其他情况下,例如内部审核,末次会议可能不那么正式,而仅由传达审核发现和审核结论组成。
在会议结束时, 应适当地向受审核方解释下列事项:
a) 告知所收集的审核证据是基于可获得的信息样本,并且不一定充分代表受审核方过程的总体有效性;
b) 报告的方法;
c) 如何根据商定的过程处置审核发现;
d) 未充分处置审核发现的可能后果;
e) 以受审核方管理者理解和承认的方式提出审核发现和结论;
f) 任何相关的审核后续活动 (例如,实施和评审纠正措施,处理审核投诉、 申诉的程序)。
关于审核组和受审核方之间的审核发现或结论的任何分歧意见都应当讨论,如果可能的话,应当予以解决。如果没有解决,应该被记录下来。如果审核目标有规定,可提出改进机会的建议。应该强调的是,建议并不具有约束力。
6.5 审核报告的准备和分发
6.5.1 审核报告的准备
审核组长应根据审核方案报告审核结论。审核报告应提供完整、准确、 简洁和明确的审核记录,并应 包括或引用下列内容:
a) 审核目标;
b) 审核范围,特别是明确受审核的组织(受审核方) 及其职能或过程;
c) 明确审核委托方;
d) 明确审核组和受审核方参与者;
e) 进行审核活动的日期和地点;
f ) 审核准则;
g) 审核发现和相关证据;
h) 审核结论;
i) 对审核准则遵循程度的声明;
j) 审核组与受审核方之间未解决的分歧意见;
K) 审核本质上是种抽样运作;因此, 审核证据的风险是不具代表性的。
审核报告也可酌情包括或引用以下内容:
—— 包括时间安排的审核计划;
—— 审核过程摘要, 包括可能降低审核结论可靠性的任何障碍;
—— 确认审核目标已根据审核计划在审核范围内实现;
—— 审核范围内未包括的任何领域, 包括任何证据、资源或机密性问题,并附有相关理由;
—— 概述审核结论和支持审核结论的主要审核发现;
—— 已确定的良好实践;
—— 商定的后续活动计划,如果有的话;
—— 内容的保密性声明;
—— 对审核计划或后续审核的任何启示。
6.5.2 审核报告的分发
审核报告应当在约定的期限内提交。
如果延迟,应将原因告知受审核方和管理审核方案的人员。 审核报告应根据审核方案,酌情注明日期、经评审和批准。
然后,应将审核报告分发给审核方案或审核计划中确定的有关相关方。
在分发审核报告时, 应考虑采取适当措施确保保密。
6.6 审核的完成
当所有计划的审核活动都已执行, 或者按照与审核委托方的其他约定 (例如, 可能出现意外情况, 妨碍按照审核计划完成审核工作),审核工作即告结束。
与审核有关的成文信息应按协议由参与方根据审核方案和适用要求保留或处置。
除非法律规定, 审核组和管理审核方案的人员在没有得到审核委托方的明确批准和在适当情况下得到受审核方的批准的情况下,不应向任何其他方面披露在审核期间获得的任何信息或审核报告。如果需要披露审核文件的内容,应尽快通知审核委托方和受审核方。
从审核中吸取的教训可以为审核方案和受审核方确定风险和机遇。
6.7 审核后续活动的实施
根据审核目标, 审核结论可以表明采取纠正、或纠正措施或改进机会的需要。这些措施通常由受审核方在约定的时间内确定和承担。适当时,受审核方应随时向管理审核方案的人员和/或审核组通报这些措施 的实施状况。
这些措施的完成和有效性应该得到验证。此验证可能是后续审核活动的一部分。结果应报告给管理方案的人员,并报告给审核委托方进行管理评审。
7 审核员的能力与评价
7.1 总则
——确定提高能力的必要性(例如附加的培训);
——审核员业绩的持续评价。
审核人员应通过持续专业发展和定期参与审核来发展、保持和提高能力(见7.6)。 在 7.3 、7.4 和 7.5 中描述了评价审核员和审核组长的过程。
审核员和审核组长应根据 7.2.2 和 7.2.3 中规定的准则以及 7.1 中建立的准则进行评价。 在 5.4.2 中描述了管理审核方案的人员所需的能力。
7.2 确定审核人员能力
7.2.1 总则
在决定审核的必要能力时,应考虑到审核员以下有关的知识和技能:
a)受审核方的规模、性质、复杂性、产品、服务和流程;
b) 审核方法;
c) 拟审核的管理体系领域;
d) 待审核的管理体系的复杂性和流程;
e) 管理体系所应对的风险和机遇的类型和级别;
f) 审核方案的目标和范围;
g) 实现审核目标的不确定性:
h) 其他要求,如审核委托方或其他有关相关方在适当情况下提出的要求。
这些信息应该与 7.2.3 中列出的信息相匹配。
7.2.2 个人行为
审核员应具备必要的素质,使其能够按照第 4 条所述的审核原则行事。审核员在执行审核活动时应表 现出职业素养。期望的职业素养包括:
a)遵循职业道德, 即公平、可靠、忠诚、诚信和谨慎;
b) 思想开放,即愿意考虑不同意见或观点;
c)善于交往,即人际交往灵活;
d) 善于观察,即积极观察周围环境和活动;
e) 洞察力,即意识到并能够理解情况;
f)适应力强,即能够适应不同的情况;
g) 专注,即坚持不懈,专注于实现目标;
h) 果断,即能够根据逻辑推理和分析及时得出结论;
i) 自立,即能够在与他人有效互动的同时独立行动和发挥作用;
j) 坚韧: 能够以刚毅的态度行事,即能够以负责任和合乎道德的方式行事, 即使这些行动并不总是受 欢迎, 有时可能导致分歧或对抗;
k)与时俱进,即愿意从情况中学习;
l) 文化敏感性, 即善于观察和尊重受审核方的文化;
m) 协作精神,即有效地与他人交互,包括审核组成员和受审核方人员。
7.2.3 知识和技能
7.2.3.1 总则
7.2.3.2 管理体系审核员的一般知识和技能
审核员应具备:
a)实现预期的审核结果所必需的知识和技能;
b) 领域通用的能力和水平以及专业特有的知识和技能。
审核组长应具备领导审核组所必要的知识和技能。
7.2.3.2 管理体系审核员的一般知识和技能
审核员应具备以下领域的知识和技能。
a) 审核原则、过程和方法:这方面的知识和技能使审核员能够确保以一致和系统的方式进行审核。 审核员应该能够:
—— 了解与审核有关的风险和机遇的类型以及基于风险的审核方法的原则;
——有效的计划和组织工作;
——在约定的时间内实施审核;
——优先处理重要事项;
——有效地口头和书面交流(亲自或通过翻译人员);
——通过有效的访谈、倾听、观察和审查成文信息,包括记录和数据, 收集信息;
——理解使用抽样技术进行审核的适宜性和后果;
——理解并考虑技术专家的意见;
——审核从开始到结束全过程,在适当的情况下,包括与其他过程和不同职能的相互关系;
——验证所收集资料的相关性和准确性;
——确认审核证据的充分性和适宜性,以支持审核发现和结论;
——评估可能影响审核发现和结论可靠性的因素;
——记录审核活动和审核结果, 并编制报告;
——维护信息的机密性和安全性。
b) 管理体系标准和其他参考文献:这方面的知识和技能使审核员能够理解审核范围和应用审核准则, 并应包括以下内容:
——用于制定审核准则或方法的管理体系标准或其他规范性或指导/支持文件;
——受审核方和其他组织对管理体系标准的应用;
——管理体系程序之间的关系和相互作用;
—— 了解多个标准或参考文献的重要性和优先级;
——标准的应用或对不同审核情况的参考。
c) 组织及其环境: 这方面的知识和技能使审核员能够理解受审核方的结构、目的和管理实践,并应包括以下内容:
——影响管理体系的有关相关方的需求和期望;
——组织类型、治理、规模、结构、职能和相互关系;
——通用业务和管理概念、过程和相关术语, 包括策划、预算和人员管理;
——受审核方的文化和社会面貌。
d) 适用的法律法规要求和其他要求:这方面的知识和技能使审核员能够了解组织的要求,以及其中的 工作。特定于法律责任或受审核方的活动、流程、产品和服务的知识和技能应包括以下内容:
——法律法规要求及其主管机构;
——基本的法律术语;
——合同和责任。
注: 对法律法规要求的认识并不意味着法律专业知识,管理体系审核不应被视为法律合规审核。
7.2.3.3 审核员的专业和特定领域的能力
审核组应该具有适合于审核特定类型的管理体系和专业的集体专业和特定领域能力。
审核员的专业和特定领域能力包括:
a)管理体系的要求和原则及其应用;
b)受审核方应用的管理体系标准有关的领域和专业的基本情况;
c) 应用专业和特定领域的方法、技术、过程和做法,使审核组能够评估所界定的审核范围内的符合性, 并产生适当的审核发现和结论;
d) 与专业与领域有关的原则、方法和技术,以便审核员能够确定和评估与审核目标相关的风险和机遇。
7.2.3.4 审核组长的通用能力
为了便于有效和高效的带领审核,审核组组长应具备以下能力:
a) 根据每个审核组成员的具体能力策划审核工作, 并分配审核任务;
b) 与受审核方的最高管理者讨论战略问题,以确定他们在评价风险和机遇时是否考虑过这些问题;
c) 建立和维护审核组成员之间的合作工作关系;
d) 管理审核过程,包括:
——在审核期间有效利用资源;
——管理实现审核目标的不确定性;
——在审核过程中保护审核组成员的健康和安全, 包括确保审核人员遵守有关的健康和安全安排;
——指导审核组成员;
——对实习审核员提供指挥和指导;
——根据需要, 预防和解决审核期间可能发生的冲突和问题, 包括审核组内部的冲突和问题。
e) 代表审核组与管理审核方案的人员、审核委托方和受审核方进行沟通;
f) 带领审核组达成审核结论;
g) 编制并完成审核报告。
7.2.3.5 多领域审核的知识和技能
当审核多领域管理体系时,审核组成员应该理解不同管理体系之间的交互关系和协同作用。
审核组长应该理解每个被审核的管理体系标准的要求,并认识到审核员在每个领域中的能力局限性。 注: 同时进行的多领域审核可以作为结合审核或作为覆盖多领域的综合管理体系的审核来完成。
7.2.4 审核员能力的获得
审核员的能力可以通过以下的组合获得:
a) 成功地完成涵盖审核员通用知识和技能的培训课程;
b) 相关技术、管理或专业职位的经验,包括判断、决策、解决问题和与管理者、专业人士、同龄人、 客户和其他有关相关方的沟通;
c) 有助于发展整体能力的特定管理体系领域和专业的教育/培训和经验;
d) 在同一领域的审核员的监督下获得的审核经验。
注: 培训课程的顺利完成将取决于课程的类型。对于具有考试组成部分的课程,它可以意味着顺利通过考试。对于其他课程, 它可以意味着参与和完成课程。
7.2.5 审核组长能力的获得
审核组长应该获得附加的审核经验来培养 7.2.3.4 所描述的能力。这种附加的经验应该是在不同的审核组长的指挥和指导下获得的。
7.3 建立审核员评价准则
准则应当是定性的 (例如在培训中或在工作场所中表现出期望的行为、知识或技能的表现) 和定量的 (例如工作经验和教育年限、实施审核次数、 审核培训时间)。
7.4 选择合适的审核员评价方法
应使用表 2 中给出的两种或多种方法进行评价。在使用表 2 时, 应注意下列事项:
a)概述的方法代表一系列选项, 并且可能不适用于所有情况;
b)概述的各种方法的可信度可能不同;
c)应使用多种方法来确保客观、一致、公平和可靠的结果。
表 2 — 审核员评价方法
| 评价方法 | 目标 | 示例 |
| 对记录的评审 | 对审核员背景的验证 | 对教育、培训、工作经历记录,专 业证书以及审核经历记录的分析 |
| 反馈 | 提供关于审核员表现的信息 | 调查表、问卷表、个人资料、证书、 投诉, 表现评价,同行评审 |
| 面谈 | 评价所期望的专业行为和沟通技 巧, 验证信息和测试知识,并获取 其他信息 | 个人访谈 |
| 观察 | 评价期望的职业行为和应用知识 和技能的能力 | 角色扮演、见证审核、在职绩效 |
| 测试 | 评价期望的行为和知识和技能及 其应用 | 口试和笔试、心理测试 |
| 审核后评审 | 提供审核员员在审核活动中表现 的信息,确定优势和改进的机会 | 评审审核报告,与审核组长、审核 组进行面谈以及,如果合适的话, 来自受审核方反馈。 |
7.5 实施审核员评价
审核员收集的信息应与 7.2.3 中的标准进行比较。当被审计的审核员不参加审计计划时,应进行额外的 培训、工作或审计经验, 并应进行后续的再评估。
所收集的关于被评价的审核员的信息应与 7.2.3 中规定的准则进行比较。当预计被评价的审核员参与审 核项目不满足准则时,应承担额外的培训、工作或审核经验, 并随后进行重新评估。
7.6 保持和提高审核员能力
审核员和审核组组长应不断提高自身能力。审核人员应通过定期参与管理体系审核和持续专业发展来 保持其审核能力。这可以通过增加工作经验、培训、自学、培训、参加会议、研讨会和会议或其他有关活 动等方式来实现。
管理审核方案的人员应建立适当的机制, 不断评价审核人员和审核组长的业绩。
持续专业发展活动应考虑以下因素:
a) 个人和负责进行审核的组织的需要的变化;
b)审核实务的发展, 包括技术的应用;
c)相关标准,包括指南/支持文件及其他要求;
d)领域或专业的变化。
附录 A
(资料性附录)
对审核员策划和控制审核的附加指南
A.1 审核方法的应用
审核可以使用一系列审核方法来执行。在本附件中可以找到常用审核方法的说明。为审核所选择的审 核方法取决于所确定的审核目标、范围和准则,以及持续时间和地点。还应考虑可获得的审核员能力和审 核方法的应用所产生的任何不确定性。运用不同审核方法的多样性和组合性, 可以优化审核过程的效率和 效果。
审核的执行涉及被审核的管理体系内的个人与用于进行审核的技术之间的交互作用。表 A.1 提供了审核 方法的示例,这些方法可以单独使用或组合使用, 以实现审核目标。如果审核涉及使用多个成员的审核组, 则可以同时使用现场方法和远程方法。
注:在 A.15 中提供关于访问物理位置的附加信息。
表 A.1 审核方法 【几道题】
| 审核员与受审核方之间的 相互作用程度 | 审核员位置 | |
| 现场 | 远程 | |
| 有人员互动 | 进行面谈; 在受审核方参与的情况下完成检 查表和问卷表; 在受审核方参与的情况下进行文 件评审; 抽样 | 借助交互式的通信手段: ——进行交谈; ——用遥控器进行观察工作; ——完成检查表和问卷; ——在受审核方参与的情况下进 行文件评审 |
| 无人员互动 | 进行文件评审(例如记录、数据分 析); 观察工作情况; 进行现场巡视; 完成检查表; 抽样(例如产品) | 进行文件评审(例如记录、数据分 析); 在考虑社会和法律法规要求的前 提下, 通过监视手段来观察工作情 况; 分析数据 |
| 现场审核活动在受审核方的现场进行。远程审核活动在受审核方现场以外任何地方进行,无论距离远 近。 互动的审核活动涉及受审核方人员和审核组之间的互动。非互动的审核活动不涉及与受审核方代表的 互动,但涉及与设备、设施和文件的互动。 | ||
在策划阶段,审核方案管理人员或审核组长应对具体审核中有效运用审核方法负责。审核组长负责实 施审核活动。
远程审核活动的可行性取决于几个因素 (例如, 实现审核目标的风险水平、审核员和受审核方之间的 信任程度以及监管要求)。
在审核方案层面,应确保应用远程和现场审核方法的适当和平衡, 以确保令人满意地实现审核方案目 标。
A.2 过程审计方法
使用“过程方法”是根据 ISO/IEC 指令, 第 1 部分, 附件 SL 的所有 ISO 管理体系标准的要求。审核员应 该理解审核一个管理体系是审核一个组织的过程以及它们与一个或多个管理体系之间的相互作用。如果将 活动理解为相互关联的过程,并作为一个连贯的系统来管理,则可以更加有效和高效地实现一致的和可预 测的结果。
A.3 专业判断
审核人员应当在审核过程中运用专业判断,避免以牺牲管理体系预期结果为代价而专注于标准中每个 条款的具体要求。一些 ISO 管理体系标准条款并不适合在一套标准和一套程序或作业指导书的内容之间进行 比较地进行审核。在这些情况下,审核员应使用专业判断来确定条款的意图是否得到了满足。
A.4 绩效结果
审核员应该关注整个审核过程中管理体系的预期结果。虽然过程和它们所实现的很重要的, 但是管理 体系的结果和它的绩效才是最重要的。同样重要的是考虑不同管理体系的整合程度及其预期结果。
在高风险或复杂的组织中,缺少过程或文件可能很重要, 但在其他组织中则没有那么重要。
A.5 信息验证
在可行的情况下,审核员应考虑该信息是否提供足够的客观证据来证明满足要求, 例如是: a)完整的 (所有预期内容包含在成文信息中);
b)正确的 (内容符合标准、法规等其他可靠来源);
c)一致的 (成文信息本身与相关文件一致);
d) 当前的 (内容是最新的)。
还应考虑被验证的信息是否提供足够的客观证据来证明满足要求。
如果信息的提供方式不同于预期 (例如, 由不同的个人、替代媒体),则应评估证据的完整性。
由于关于数据保护的适用规定,信息安全需要特别注意(特别是对于审核范围之外但是也包含在文件 中的信息)。
A.6 抽样【非常重要】
A6.1 总则
在审核过程中, 如果检查所有可获得的信息不实际或不经济,则需进行审核抽样,例如记录太过庞大或地域分布太过分散, 无法证明对总体中的每个项目进行检查是合理的。 对大群体的审计抽样是在所有可 用数据集中 (群体) 中选择少于 100%的项目,以获得和评价关于该群体某些特征的证据,从而形成关于该群体的结论的过程。
审核抽样的目的是提供信息,以使审核员确信能够实现审核目标。
抽样的风险是从总体中抽取的样本也许不具有代表性,从而可能导致审核员的结论出现偏差,与对总体进行全面检查的结果不一致。其他风险可能源于抽样总体内部的变异和所选择的抽样方法。
典型的审核抽样包括以下步骤:
a) 明确抽样方案的目标;
b) 选择抽样总体的范围和组成;
c) 选择抽样方法;
d) 确定样本量;
e) 进行抽样活动;
f) 收集、评价和报告结果并形成文件。
抽样时, 应考虑可用数据的质量, 因为抽样数量不足或数据不准确将不能提供有用的结果。 选择适当 的样本应根据抽样方法和所要求的数据类型,例如为了推断出特定行为模式或得出对总体的推论。
对样本的报告应考虑样本量、选择的方法以及基于这些样本和一定置信水平做出的估计。 审核可以采用判断抽样(见 A.6.2) 或者统计抽样(见 A.6.3)。
A.6.2 基于判断的抽样
基于判断的抽样依赖于审核组的能力和经验(见第 7 章)。
对于基于判断的抽样,可以考虑如下:
a) 审核范围内以前的审核经验;
b)实现审核目标的要求(包括法律法规要求) 的复杂性;
c)组织的过程和管理体系要素的复杂性及其相互作用;
d)技术、 人员因素或管理体系的变化程度;
e) 以前识别的重大风险和改进机会;
f)管理体系的监视输出。
基于判断的抽样的缺点是,不能对审核结果和所达成的结论的不确定性的影响作出统计估计。
A.6.3 统计抽样
如果决定使用统计抽样, 抽样方案应以审核目标和对抽样对象的总体特征的了解为基础。
统计抽样设计采用基于概率论的抽样选择过程。当每个样本只有两个可能的样本结果 (例如正确/不正 确或通过/失败) 时,使用计数抽样。当样本结果发生在连续范围内时, 使用计量抽样。
抽样方案应考虑被检查的结果是计数的还是计量的。例如, 当评价完成的表单是否符合程序规定的要 求时, 可以使用计数的方法。在检查食品安全事件或安全漏洞的发生数量时,计量的方法可能更合适。
影响审核抽样方案的因素有:
a) 组织的环境、规模、性质和复杂性;
b) 有能力的审核员人数;
c) 审核频次;
d)单次审核时间;
e) 任何外部要求的置信水平;
f) 不良事件和/或意外事件的发生。
当制定统计抽样方案时, 审核员愿意接受的抽样风险水平是一个重要的考虑因素。这通常被称为可接 受的置信水平。例如,5%的抽样风险对应于 95%的可接受置信水平。5%的抽样风险意味着审核员愿意接受 这样一种风险, 即被检查的样本中, 100 个样本中有 5 个 (或 20 个样本中有 1 个) 不能反映整个总体的实际值。
在使用统计抽样时,审核员应适当记录所进行的工作。这应包括拟抽样的人口的说明、用于评价的抽 样标准(例如,什么是可接受的抽样)、所使用的统计参数和方法、所评价的抽样数目和所取得的结果。这应 该包括对要抽样的群体的描述、用于评价的抽样准则(例如, 什么是可接受的样本)、所使用的统计参数和 方法、评价的样本数量和获得的结果。
A.7 管理体系合规性审核
审核组应考虑受审核方是否有有效的程序:
a)确定其法律法规要求及其所需的其他要求;
b)管理其活动、产品和服务,以满足这些要求;
c)评价其遵守情况。
除了本标准中给出的一般指南之外,当评价受审核方为确保符合相关要求而执行的过程时, 审核组应 当考虑受审核方是否:
1) 具有识别合规性需求的变化并将其视为变更管理的一部分的有效过程; 2)有能胜任的人员管理其合规过程;
3) 根据监管机构或其他利害关系方的要求,保持并提供关于其合规状态的适当成文信息;
4) 包括其内部审核方案的合规要求;
5) 解决任何不符合情况;
6) 管理评审中考虑合规性绩效。
A.8 环境审核
许多管理体系标准要求组织确定其环境, 包括相关相关方的需求和期望以及外部和内部因素。要做到 这一点,组织可以使用各种技术进行战略分析和策划。
审核员应确认已经为此开发了适当的过程并有效地加以使用,其结果为确定管理体系的范围和发展提 供可靠的基础。要做到这一点, 审核员应考虑与以下有关的客观证据:
a) 使用的过程或方法;
b) 参与该过程的人员的适宜性和能力;
c) 过程的结果;
d) 应用结果确定管理系统的范围和发展;
e) 对环境进行适当的定期评审。
审核员应该具有相关专业特定的知识和对组织可以使用的管理工具的理解,以便对用于确定环境的过 程的有效性做出判断。
A.9 对领导作用和承诺的审核
许多管理体系标准提高了对高层管理的要求。
这些要求包括通过对管理体系有效性负责和履行一些责任来展示承诺和领导作用。这些包括高层管理 者应该承担的任务和其他可以委派的任务。
审核员应获得客观证据,证明最高管理者参与与管理体系相关的决策的程度, 以及其如何表明对确保 其有效性的承诺。这可以通过评审相关过程的结果(例如, 方针、目标、可用资源、来自最高管理者的沟 通)和约谈工作人员来确定最高管理者的参与程度来实现。
审核员还应该与最高管理者进行面谈,以确认他们充分了解与其管理体系相关的特定领域的问题, 以 及他们的组织所处的环境,以便他们能够确保管理体系达到预期结果。
审核员不仅应关注最高管理者的领导作用,还应酌情审核其他管理者的领导作用和承诺。
A.10 对风险与机遇的审核
作为单个审核任务的一部分,可以包括组织风险和机遇的确定和管理。此项审核任务的核心目标是: ——确保风险和机遇识别过程的可靠性;
——确保风险和机遇得到正确的确定和管理;
——评审组织如何处理其确定的风险和机遇。
对组织确定风险和机遇的方法的审核不应作为独立活动进行。在管理体系的整个审核过程中,包括与 最高管理者面谈时, 都应该隐含这一点。 审核员应当按照下列步骤行事,收集客观证据:
a) 组织用于确定其风险和机遇的投入,可能包括:
——对外部和内部因素的分析;
——组织的战略方向;
——与特定领域的管理体系及其要求有关的有关方面;
——潜在的风险来源,例如环境方面、安全隐患等。
b)评价风险和机遇的方法,不同领域和行业的风险和机遇不同。
组织对其风险和机遇的应对,包括它希望接受的风险水平以及如何控制风险, 将需要审核员应用专业 判断。
A.11 生命周期
一些特定专业的管理体系需要应用生命周期的角度来看他们的产品和服务。审核员不应认为这是采用 生命周期方法的要求。生命周期观点包括考虑组织对产品和服务生命周期各个阶段的控制和影响。生命周 期的阶段包括原材料的获取、设计、生产、运输/交付、使用、寿命终点处理和最终处置。这种方法使组织 能够识别那些区域,在考虑它的范围时,它可以最小化它对环境的影响,同时为组织增加价值。审计员应 利用其专业判断,了解组织如何从其战略和以下方面应用生命周期观点:
这种方法使组织能够识别那些在考虑其范围时可以在为组织增加价值的同时尽量减少其对环境的影响 的领域。审核员应运用其专业判断来判断组织如何从其战略和以下方面应用生命周期观点:
a)产品或服务的寿命;
b)组织对供应链的影响;
c)供应链的长度;
d)产品的技术复杂性。
如果一个组织已经将几个管理体系整合到一个单一的管理体系中以满足其自身的需要,那么审核员应该仔细地检查关于生命周期考虑的任何重叠。
A.12 供应链审核
可以要求对供应链进行特定要求的审核。供应商审核方案应制订适用于供应商和外部供应商类型的审 核准则。供应链审核的范围可以是不同的, 例如,完整的管理体系审核、 单一的过程审核计、产品审核、 配置审核。
A.13 准备工作文件
当准备工作文件时, 审核组应针对每份文件考虑下列问题。
a) 使用这份工作文件时将产生哪些审核记录?
b) 哪些审核活动与此特定的工作文件相关联?
c) 谁将是此工作文件的使用者?
d) 准备此工作文件需要哪些信息?
对于结合审核, 准备的工作文件应通过下列活动避免审核活动的重复:
——汇集不同准则的类似要求;
——协调相关检查表和问卷的内容。
工作文件应充分关注审核范围内管理体系的所有要素,提供的形式可以是任何媒介。
A.14 信息来源的选择
所选择的信息来源可以根据审核的范围和复杂性而变化, 并且可以包括以下内容:
a) 与员工和其他人员交谈;
b) 观察活动和周围的工作环境与条件;
c) 文件,例如方针、目标、计划、程序、标准、指导书、执照和许可证、规范、图纸、合同和订单;
d) 记录,例如检验记录、会议纪要、审核报告、监视方案和测量结果的记录;
e) 数据汇总、分析和绩效指标;
f) 有关受审核方抽样方案和抽样、测量过程的控制程序的信息;
g) 其它来源的报告, 例如顾客的反馈,外部调查与测量, 来自外部机构和供应商评级的其它信息;
h) 数据库和网站;
i) 模拟和建模。
A.15 受审核方现场访问
为尽量减少审核活动与受审核方工作过程之间的干扰,并确保审核组在访问期间的健康和安全,应考 虑以下事项:
a)访问策划:
——确保能够进入审核范围所确定的受审核方的相关场所;;
—— 向审核员提供有关现场访问的足够信息, 这些信息涉及的方面包括安保、健康(例如检疫)、职业 健康安全、文化习俗和探访时间,适用时,还包括所要求和建议的的疫苗接种和检查;
——适用时,与受审核方确认提供审核组所需的个人防护装备(PPE);
——在考虑到安全和保密事项的情况下, 与受审核方确认关于移动设备和照相机的使用的安排,包括 记录信息, 如地点和设备的照片、屏幕截图副本或文件复印件、活动和访谈视频;
——除了非计划的特别审核外, 确保受访人员了解审核目标和范围。
b) 现场活动:
——避免任何对操作过程不必要的干扰;
——确保审核组适当地使用个人防护装备;
——确保应急程序得到沟通(例如紧急出口, 集合地点);
——安排沟通以尽量减少分歧;
——依据审核范围确定审核组的规模以及向导和观察员的数量,以尽可能的避免干扰运作过程;
—— 即使具备能力或持有执照, 除非经明确许可, 不要触摸或者操作任何设备;
——如果在现场访问期间发生事件,审核组长应与受审核方(如果需要, 包括审核委托方) 一起评审 该状况,就是否中断、重新安排或继续审核达成一致;
——如果复制任何类型的文件, 应预先征得许可并考虑保密和安全事宜;——作笔记时, 应避免收集个人信息,除非出于审核目标或是审核准则的要求。
c)虚拟审核活动:
——确保审核组使用约定的远程访问协议,包括所需求的设备、软件等;
——如使用任何形式文件的屏幕截图副本,应事先征得许可,并考虑保密和安全问题,避免未经允许而记录个人;
——如在远程访问期间发生事故, 审核组长应与受审核方一起评审情况, 如有必要, 应与审核委托方 一起评审,并就是否应中断、重新安排或继续审核达成一致;
——使用远程场所的平面图/示意图,以供参考;
——在审核期间保持对隐私的尊重。
在过后的一段时间内, 一旦不再需要保留信息和审计证据, 需要考虑信息和审计证据的处理,不论媒介的类型如何。
A.16 虚拟活动和场所的审核
当组织执行工作或使用在线环境提供服务,允许人员不考虑物理位置执行过程时(例如公司内部网、“计 算云”),会进行虚拟审核。虚拟场所的审核有时被称为虚拟审核。远程审核是指在“面对面”的方法不可 能或不需要时, 使用技术来收集信息。
虚拟审核遵循标准审核过程,同时使用技术来验证客观证据。受审核方和审核组应确保对虚拟审核的 适当技术要求, 其可包括:
——确保审核组使用约定的远程访问协议,包括所需的设备、软件等;
——在审核前进行技术检查,解决技术问题;
——确保应急计划可用和得到沟通(如中断访问、使用替代技术),包括在必要时提供额外审核时间。 审核员能力应包括:
——在审核时使用适当的电子设备和其他技术的技术技能;
——有助于会议实际进行远程审核的经验。
审核员在首次会议或审核时,应考虑以下事项:
——与虚拟审核或远程审核相关的风险;
——使用远程场所的平面图/示意图来参考或映射电子信息;
——促进防止背景噪音干扰及中断;
——事先申请许可拍摄文件或任何类型记录的屏幕截图,并考虑保密和安全事项;
——确保在审核中断期间的机密和隐私,例如通过麦克风静音、摄像暂停。
A.17 进行面谈
面谈是一种重要的收集信息的方法,并且应以适于当时情境和受访人员的方式进行, 面谈可以是面对面进行,也可以通过其他沟通方法。但是,审核员应考虑如下内容:
a)应与从事审核范围内活动或任务的适当级别和职务的人员进行面谈;
b)面试通常应在正常工作时间内进行,并在实际情况下在被采访人的正常工作场所进行;
c) 在面谈之前和面谈期间应尽量使受访人员放松;
d) 应解释面谈和做笔记的原因;
e) 面谈可以从请受访人员描述其工作开始;
f) 注意选择提问的方式(例如: 开放式, 封闭式, 引导式提问);
g) 意识到虚拟环境中有限的非语言交流;相反,应该关注在寻找客观证据时应该使用的问题类型;
h) 应与受访人员总结和评审面谈结果;
i) 应感谢受访人员的参与和合作。
A.18 审核发现
A.18.1 确定审审核发现
在确定审核发现时, 应考虑以下事项:
a) 以往审核记录和结论的跟踪;
b) 审核委托方的要求;
c)支持审核发现的客观证据的准确性、充分性和适当性;
d) 所策划的审核活动及所策划的结果的实现程度;
e)超常活动或改进机会的发现;
f)样本量;
g)审核发现的分类(如果有的话)。
A.18.2 记录符合性
对于符合性记录,应考虑下列事项:
a)对所符合的审核准则的说明或引用;
b)审核证据,以支持符合性和有效性,如适用;
c)符合性陈述,如果适用的话。
A.18.3 记录不符合
对于不符合的记录, 应考虑如下内容:
a) 描述或引用审核准则;
b) 审核证据;
c) 不符合陈述;
d) 相关的审核发现(适用时)。
A.18.4 与多个准则相关的发现的处理
在审核中,有可能识别出与多个准则相关的审核发现。在结合审核中,当审核员识别出与一个准则相 关的审核发现时,应考虑到这一审核发现对其他管理体系中相应或类似准则的可能影响。
根据审核委托方的安排, 审核员也可能提出:
a) 分别对应每个准则的审核发现;或
b) 与多个准则相关的一个审核发现。
根据审核委托方的安排, 审核员可以指导受审核方应对这些审核发现。
参考文献
〔1〕ISO9000:2015,质量管理体系-基础和词汇
〔2〕ISO 9001,质量管理体系-要求 1
〔3〕ISO 指南 73:2009,风险管理-词汇表
〔4〕ISO/IEC 17021-1,合格评定 对提供管理体系审核和认证的机构的要求 第 1 部分:要求
