ISO19011 管理体系审核指南第四版QMS备考必备最新标准.docx
《ISO19011 管理体系审核指南第四版QMS备考必备最新标准.docx》由会员分享,可在线阅读,更多相关《ISO19011 管理体系审核指南第四版QMS备考必备最新标准.docx(50页珍藏版)》请在冰豆网上搜索。
ISO19011管理体系审核指南第四版QMS备考必备最新标准
INTERNATIONALISO
STANDARD19011
国际标准
4stedition
第四版
2018-07
Guidelines
forauditingmanagementsystems
管理体系审核指南
前言
ISO(国际标准化组织)是一个世界性的国家标准机构联合会(ISO成员机构)。
编制国际标准的工作通常是通过ISO技术委员会进行的。
对已设立技术委员会的主题感兴趣的每个成员机构都有权派代表参加该委员会。
与ISO保持联络各国际组织,政府和非政府组织,也参与这项工作。
ISO与国际电工委员会(IEC)在电工技术标准化的所有问题上密切合作。
ISO/IEC导则第1部分描述了用于开发本标准以及用于进一步维护本标准的过程。
应特别注意不同类型的ISO文件是需要不同的批准准则。
本标准是按照ISO/IEC导则第2部分的编辑规则起草的(参见www.iso.org/directives)。
注意到本标准的某些元素可能是专利权的主体。
ISO不应负责识别任何或所有此类专利权利。
在文件制定过程中识别的任何专利权的细节将纳入引言和/或ISO已收专利声明的清单中(见www.iso.org/patentss)。
在本标准中使用的任何商品名称都是为了方便用户而提供的信息,并不构成背书。
有关标准自愿性质的解释,有关合格评定的ISO特定术语和表达的含义,以及关于ISO在技术性贸易壁垒(TBT)中遵守世界贸易组织(WTO)原则的信息,请参阅以下网址:
www.iso.org/iso/foreword.html。
本标准由ISO/PC302,管理系统审核指南项目委员会编写的。
这第三版取代了第而版(ISO19011:
2011),这已在技术上进行了修订。
与第二版相比,主要区别如下:
——增加以风险为基础的审核原则;
——扩大审核方案管理的指导,包括审核方案风险;
——扩大审核实施的指导,特别是审核策划部分;
——扩大审核人员的一般能力要求;
——术语的调整以反映过程而不是对象(“事物”);
——删除附件包含的审核特定管理体系的专业能力要求(由于单个管理体系标准数量众多,所以包含所有专业能力要求是不现实的);
——扩大附件A,以提供关于审核(新)概念的指导,如组织环境、领导作用和承诺、虚拟审核、合规和供应链。
引言
自本标准第二版于2011年出版以来,已经出版了许多新的管理系统标准,其中许多标准具有共同的结构、相同的核心要求以及共同的术语和核心定义。
因此,需要考虑更广泛的管理体系审核方法,并提供更通用的指导。
审核结果可以为业务策划的分析方面提供输入,并且可以有助于识别改进需求和活动。
审核可以针对不同的审核准则分别或组合进行,包括但不限于:
——在一个或多个管理体系标准中确定的要求;
——有关利益方规定的政策和要求;
——法律和法规要求;
——组织或其他各方确定的一个或多个管理体系过程;
——与管理体系提供的特定输出有关的管理体系计划(例如,质量计划、项目计划)。
本标准为不同范围和规模的所有规模和类型的组织和审核提供指导,包括由大型审核团队进行的审核,
通常是大型组织的审核,以及由单个审计员进行的审核,无论是大型组织还是小型组织。
本指南应视审核方案的范围、复杂性和规模情况而应用。
本标准集中于内部审核(第一方)和组织对其外部提供者和其他外部利益方(第二方)进行的审核。
本标准也可用于第三方管理体系认证以外的其他目的的外部审核。
ISO/IEC17021-1为第三方认证的审核管理体系提供了要求;本标准可以提供有用的附加指导(参见表1)。
表1—不同类型的审核
第一方审核
第二方审核
第三方审核
内部审核
外部供应商审核
认证和/或认证审核
其他外部利益相关方审核
法定、监管及类似
为了简化本标准的可读性,“管理系统”的单一形式是首选的,但是读者可以根据自己的情况调整指南的实施。
这也适用于“个人”和“人们”、“审核员”和“审核员们”的使用。
本标准旨在适用于广泛的潜在用户,包括审核员、实施管理体系的组织和出于合同或监管原因需要进行管理体系审核的组织。
然而,本标准的用户可以在开发自己的审核相关要求时应用本指南。
本标准中的指导也可以用于自我声明的目的,并且可以对参与审核员培训或人员认证的组织有用。
本标准中的指导意图是灵活的。
如文中不同点所示,本指南的使用可能根据组织的管理体系的规模和成熟程度而不同。
还应考虑要审核的组织的性质和复杂性,以及要实施审核的目的和范围。
当两个或多个不同领域的管理体系一起审核时,本标准采用联合审核的方法。
当这些体系集成到一个单一的管理体系中时,审核的原则和过程与合并审核(有时称为综合审核)相同。
本标准对审核方案的管理、管理体系审核的策划和实施以及审核员和审核组的能力和评价提供指导。
管理体系审核指南
1范围
本文件提供了关于管理体系审核的指南,包括审核原则、审核方案管理和管理体系审核实施,以及关于评价参与审核过程的人员能力的指南。
其中包括管理审核方案的人员、审计员和审核组。
它适用于需要策划和实施管理体系内部或外部审核或管理审核方案的所有组织。
只要对于所需的特定能力予以特殊考虑,可将本文件应用于其他类型的审核。
2规范性引用文件
本文件中没有规范性引用。
3术语和定义
就本文件而言,下列术语和定义适用。
ISO和IEC在以下网址保持标准化使用的术语数据库:
ISO在线浏览平台:
https:
//www.iso.org/obp
IEC电子化平台:
http:
//www.electropedia.org
3.1
审核audit
为获取客观证据(3.8)并客观地评价它,以确定审核准则(3.7)的满足程度的系统、独立和形成文件的过程。
注1:
内部审核,有时称为第一方审核,是由组织本身或代表组织本身进行的。
注2:
外部审核包括通常称为第二方和第三方审核的审核。
第二方审核由与组织有利害关系的各方(如客户)或由代表他们的其他人员进行。
第三方审核由独立的审核组织进行,例如提供合格证明/注册或政府机构的审核组织。
[资料来源:
ISO9000:
2015,3.13.1,修改-注销条目已被修改]
3.2
结合审核combinedaudit
在两个或多个管理体系(3.18)上对一个受审核方(3.13)一起进行的审核(3.1)
注1:
当两个或多个不同领域的管理体系合成到单个管理体系中时,这称为合成管理体系。
[资料来源:
ISO9000:
2015,3.13.2,修改]
3.3
联合审核jointaudit
两个或两个以上审核机构对一个受审核方(3.13)进行的审核(3.1)
[资料来源:
ISO9000:
2015,3.13.3]
3.4
审核方案auditprogramme
针对特定的时间段和针对特定的目的策划一组或多组审核(3.1)的安排。
[来源:
ISO9000:
2015,3.13.4,修改-术语已被添加到定义中]
3.5
审核范围auditscope
审核(3.1)的内容和界限
注1:
审核范围一般包括物理和虚拟场所、功能、组织单元、活动和过程以及所覆盖的时间段的描述。
注2:
虚拟场所是指组织使用在线环境执行工作或提供服务的场所,该在线环境允许个人执行过程,而不管物理位置如何。
[来源:
ISO9000:
2015,3.13.5,修改-注释1的条目已被修改,注释2已加入条目]
3.6
审计计划auditplan
审计(3.1)活动和安排的描述
[资料来源:
ISO9000:
2015,3.13.6]
3.7
审核准则auditcriteria
用于与客观证据(3.8)进行比较的一组要求(3.23)
注1:
如果审核准则是法律的(包括法定的或监管的)要求,则审核结果(3.10)中经常使用“合规”或“不合规”这两个词。
注2:
要求可以包括方针、程序、工作指令、法律要求、合同义务等。
[来源:
ISO9000:
2015,3.13.7,修改-定义已更改,并已添加条目1和2的注释]
3.8
客观证据objectiveevidence
支持某物存在或真实的数据
注1:
可通过观察、测量、测试或其他手段获得客观证据。
注2:
用于审核(3.1)目的的客观证据通常由记录、事实陈述或其他与审核准则(3.7)相关且可核实的信息组成。
[资料来源:
ISO9000:
2015,3.8.3]
3.9
审计证据auditevidence
与审核准则(3.7)相关且可核查的记录、事实或其他信息的陈述
[资料来源:
ISO9000:
2015,3.13.8]
3.10
审核发现auditfindings
收集的审核证据(3.9)对照审核准则(3.7)的评价结果。
注1:
审核结果表明符合(3.20)或不符合(3.21)。
注2:
审核结果可引导识别风险、改进机会或记录良好实践。
注3:
在英语中,如果审核准则是从法定要求或法规要求中选择的,则审核结果称为合规或不合规。
[资料来源:
ISO9000:
2015,3.13.9,修改-注2和3已修改]
3.11
审核结论auditconclusion
在考虑了审核目标和所有审核发现(3.10)后的审核(3.1)结果。
[资料来源:
ISO9000:
2015,3.13.10]
3.12
审核委托方auditclient
请求审核(3.1)的组织或人员
注1:
在内部审核的情况下,审核委托方也可以是被审核方(3.13)或审核方案管理人员。
外部审核的要求可以来自监管机构、合同方或潜在客户或现有客户等来源。
[资料来源:
ISO9000:
2015,3.13.11,修改-注1的条目已被添加]
3.13
受审核方auditee
整体或部分被审核的组织。
[资料来源:
ISO9000:
2015,3.13.12,修改]
3.14
审计组auditteam
实施审核(3.1)的一个或多个人,需要时由技术专家支持(3.16)
注1:
审核组(3.14)中的一名审核员(3.15)被任命为审核组长。
注2:
审核组可包括实习审核员。
[资料来源:
ISO9000:
2015,3.13.14]
3.15
审核员auditor
实施审核(3.1)的人员。
[来源:
ISO9000:
2015年,3.13.15]
3.16
技术专家technicalexpert
向审核组(3.14)提供特定知识或专业技术的<审核>人员。
注1:
特定知识或专业技术与被审核的组织、活动、过程、产品、服务、法纪、语言和文化有关。
注2:
在审核组(3.14)中技术专家不作为审核员(3.15)。
[来源:
ISO9000:
2015年,3.13.16,修改-注1和注2已被修改]
3.17
观察员observer
陪同审核组(3.14)但不作为审核员(3.15)的人员。
[资料来源:
ISO9000:
2015,3.13.17,修改]
3.18
管理体系managementsystem
组织建立方针和目标,以及实现这些目标的过程(3.24)的相互关联或相互作用的一组要素。
注1:
管理体系可以针对单一领域或几个领域,例如质量管理、财务管理或环境管理。
注2:
管理体系要素规定了组织的结构、岗位和职责、策划、运行、方针、惯例、规则、理念、目标和实现这些目标的过程。
注3:
管理体系的范围可能包括整个组织、组织中可被识别的特定功能、组织中可被识别的特定部门,或者跨组织的单一只职能或多个职能。
。
[资料来源:
ISO9000:
2015,3.5.3,修改-注4条目已被删除]
3.19
风险risk
不确定性的影响
注1:
影响是指偏离预期,可以是正面的或负面的。
注2:
不确定性是一种对某个事件,或是事件的局部的结果或可能性缺乏理解或知识方面的信息的情形。
注3:
风险通常是以潜在事件(如ISO指南73:
2009,3.5.1.3中所定义)和后果(如ISO指南73:
2009,
3.6.1.3中所定义)或其组合为特征的。
注4:
风险通常表示为事件的后果(包括情况的变化)和相关发生的可能性(如ISO指南73:
2009,3.6.1.1所定义)的组合。
[资料来源:
ISO9000:
2015,3.7.9,修改-注5和6已删除]
3.20
符合conformity
满足要求(3.23)
[来源:
ISO9000:
2015,3.611,修改-注1条目已被删除]
3.21
不符合nonconformity
不满足要求(3.23)
[资料来源:
ISO9000:
2015,3.69,修改-注1条目已被删除]
3.22
能力competence
运用知识和技能实现预期结果的本领。
[资料来源:
ISO9000:
2015,3.104,修改-注释条目已被删除]
3.23
要求requirement
明示的或通常隐含的或强制性的需要或期望
注1:
“通常隐含”所指的需要或期望对组织和利益相关方是习惯或惯例。
注2:
规定的要求是一种,例如在成文信息中,明示的要求。
[资料来源:
ISO9000:
2015,3.6.4,修改-注3,4,5和6已删除]
3.24
过程process
利用输入实现预期结果的相互关联或相互作用的一组活动。
[资料来源:
ISO9000:
2015,3.4.1,修改-注释条目已被删除]
3.25
绩效performance
可测量的结果。
注1:
绩效可以涉及定量的或定性的结果。
注2:
绩效可以涉及活动、过程(3.24)、产品、服务、体系或组织的管理。
[资料来源:
ISO9000:
2015,3.7.8,修改-注3条目已被删除]
3.26
有效性effectiveness
完成策划的活动和实现策划的成果的程度。
[资料来源:
ISO9000:
2015,3.7.11,修改-注1条目已被删除]
4审核原则
审核的特征在于其遵循若干原则。
这些原则应有助于使审核通过提供组织可以采取行动以提高其绩效的信息成为支持管理方针和控制的有效和可靠的工具。
坚持这些原则是提供相关和充分的审核结论的前提,也是使审核员能够彼此独立地在类似情况下得出类似结论的前提。
第5至第7章所给出的指导原则基于下列七项原则:
a)诚信:
职业精神的基础审核员和审核方案管理人员应:
——诚实、负责地履行自己的工作;
——只要有能力就只从事审核活动;
——以公正的方式从事工作,即在所有事务中保持公正和无偏见;
——对实施审核时可能对其判断产生的任何影响保持警觉。
b)公平表达:
真实、准确地报告义务
审核结果、审核结论和审核报告应当真实、准确地反映审核活动。
应当报告审核过程中遇到的重大障碍以及审核组与受审核方之间尚未解决的意见分歧。
沟通要真实、准确、客观、及时、清晰、完整。
c)应有的职业素养:
勤奋与判断力在审核中的运用审核人员应当珍视其所执行任务的重要性以及审核委托方和其他利益相关方对其的信任。
在工作中具有职业素养的一个重要因素是能够在所有审核情况下作出合理的判断。
d)保密性:
信息安全审核员应审慎使用和保护其在履行职责过程中获得的信息。
审核信息不应被审核员或审核委托方为了个人利益而滥用,或者以损害被审核方合法利益的方式使用。
这个概念包括正确处理敏感的或机密的信息。
e)独立性:
审核的公正性和审核结论的客观性的基础审核员应当在可行的情况下独立于受审核的活动,并且在所有情况下都应当以没有偏见和利益冲突的方式行事。
对于内部审核,审核员应独立于被审核的职能,如果可行的话。
审核员应当在整个审核过程中保持客观性,以确保审核结果和结论仅基于审核证据。
对于小型组织,内部审核员可能不可能完全独立于被审核的活动,但是应该尽一切努力消除偏见并鼓励客观性。
f)基于证据的方法:
在一个系统的审核过程中获得可靠的和可再现的审核结论的合理方法审核证据应当是可验证的。
一般来说,它应该基于可用信息的样本,因为审核是在有限的时间段和有限的资源下进行的。
应当适当使用抽样,因为这与审核结论的置信度密切相关。
G)基于风险的方法:
考虑风险和机遇的审核方法基于风险的方法应当对审核的策划、实施和报告产生实质性影响,以确保审核集中在对审核委托方来说重要的事项上,并且实现审核方案目标。
5审核方案的管理
5.1总则
应建立审核方案,其中可包括针对一个或多个管理体系标准或其他要求的审核,单独实施或合并实施(结合审核)。
审核方案的范围应基于受审核对象的规模和性质,以及审核对象的性质、功能、复杂性、风险和机遇的类型以及所审核的管理体系的成熟程度。
当大多数重要功能外包和在其他组织的领导下管理时,管理体系的功能可能更加复杂。
需要特别注意在什么地方作出最重要的决定,以及什么构成了管理体系的最高管理层。
在多个场所/地点(例如,不同国家)的情况下,或重要职能外包和在另一组织的领导下管理的情况下,应特别注意审核方案的设计、策划和确认。
在规模较小或较不复杂的组织中,审核方案可以适当地调整。
为了了解受审核方的情况,审核方案应考虑受审核方:
——组织目标;
——相关的外部和内部问题;
——有关利益相关方的需要和期望;
——信息安全和保密要求。
内部审核方案的规划,以及在某些情况下审核外部供应商的方案,可以为组织的其他目标作出贡献。
审核方案管理人员应确保审核的完整性得到保持,以及不会对审核产生不适当的影响。
审核应优先考虑将资源和方法分配给管理体系中具有较高内在风险和较低绩效水平的事项。
应该指派有能力的人员来管理审核方案。
审核方案应包括使审核能够在规定的时限内有效和高效地进行的信息和确定的资源。
信息应包括:
a)审核方案的目标;
b)与审核方案有关的风险和机遇(见5.3)及其解决措施;
c)审核方案内每项审核的范围(地域、边界、地点);
d)审核的时间表(数量/持续时间/频率);
e)审核类型,如内部或外部;
f)审核准则;
g)拟采用的审核方法;
h)选择审核组成员的准则;
i)相关的文件信息。
在更详细的审核方案完成之前,一些信息可能不可用。
应不断监视和测量审核方案的执行情况(见5.6),以确保实现其目标。
应审查审核方案,以便确定变化的需要和可能的改进机会(见5.7)。
图1说明了审核方案管理的流程。
注1:
此图说明了P-D-C-A循环在本标准中的应用。
注2:
章节/条款编号指的是本文件的相关章节/条款。
图1—审核方案管理流程
5.2审核方案目标的建立
审核委托方应确保建立审核方案目标以指导审核的策划与实施,并确保审核方案得到有效执行。
审核方案的目标应与审核委托方的战略方向相一致,并支持管理体系的方针和目标。
这些目标可以基于以下考虑:
a)有关利益相关方的需要和期望,包括外部的和内部的;
b)过程、产品、服务和项目的特点和要求,以及对它们的任何改变;
c)管理制度要求;
d)对外部供应商进行评估的需要;
e)被审核者的绩效水平和管理体系的成熟程度,如相关绩效指标(如KPIs)、不合格或事故的发生或利益相关方的投诉;
f)识别受审核方的风险和机遇;
g)以前审核的结果。
审核方案目标的示例可以包括:
——识别改进管理体系及其绩效的机会;
——评估受审核方确定其环境的能力;
——评估受审核方确定风险和机遇以及确定和实施有效行动以应对这些风险和机遇的能力;
——符合所有相关要求,例如法定和规章要求、合规承诺、对管理体系标准的认证要求;
——获得并保持对外部供应商能力的信任;
——确定受审核方管理体系的持续适用性、充分性和有效性;
——评估管理体系目标与组织战略方向的兼容性和一致性。
5.3确定和评估审核方案的风险和机遇
与受审核方环境相关的风险和机遇的存在,能够关联到审核方案,并且可以影响其目标的实现。
审核方案管理人员应确定并向审核委托方提出在开发审核方案和资源要求时所考虑的风险和机遇,以便能够适当地解决这些问题。
可能存在与以下诸项相关的风险:
a)策划,例如未能确定相关的审核目标,并确定审计的范围、数量、持续时间、地点和时间表;
b)资源,例如允许开发审核方案或实施审核的时间、设备和/或培训不足;
c)审核组的选择,例如有效地实施审核的整体能力不足;
d)沟通,例如无效的外部/内部沟通过程/渠道;
e)实施,例如审核方案内的审核工作协调不力,或未考虑信息安全和保密性;
f)对成文信息的控制,例如对审核员和有关利益相关方要求的必要成文信息的无效确定,未能充分保护审核记录以证明审核方案的有效性;
g)监督、审查和改进审计方案,如对审核方案结果的无效监控;
h)受审核方的协助与配合以及抽样的证据的有效性。
改进审核方案的机会可以包括:
——允许在一次访问中进行多个审核;
——最小化到达场地的时间和距离;
——将审核组的能力与达到审核目标所需的能力水平相匹配;
——根据受审核方关键人员的可用性调整审核日期。
5.4审核方案的建立
5.4.1审核方案管理人员的作用和职责
审核方案管理人员应:
a)根据相关目标(见5.2)和任何已知条件确定审核方案的范围;
b)确定可能影响审核方案的外部和内部问题以及风险和机遇,并实施解决这些问题的行动,酌情将这些行动纳入所有相关的审核活动;
c)通过分配角色、责任和授权,并酌情支持领导,确保审核组的选择和审计活动的总体能力;
d)建立所有相关的过程,包括:
——协调和安排审核方案内的所有审核;
——确定审核目标、审核范围和审核准则,确定审核方法,选择审核组;
——审核员评价;
——建立适当的外部和内部沟通过程;
——争议的解决和投诉的处理;
——审核的后续活动,如适用;
——向审核委托方和有关利益相关方报告。
e)确定并确保提供所有必要的资源;
f)确保准备和保持适当的成文信息,包括审核方案记录;
g)监督、评审和改进审核方案;
h)将审核方案与审核委托方进行沟通,并酌情向有关利益相关方传达。
审核方案管理人员应请求审核委托方批准。
5.4.2审核方案管理人员的能力
审核方案管理人员应具有有效和高效地管理方案及其相关风险和机遇以及外部和内部问题的必要能力,包括:
a)审核原则(见第4条)、方法和过程(见A.1和A.2);
b)管理体系标准、其他相关标准和参考/指导文件;
c)关于受审核方及其背景的信息(例如,受审核方的外部/内部问题、利益相关方及其需要和期望、业务活动、产品、服务和过程);
d)适用于受审核方业务活动的法律法规要求和其他要求。
适当时,可以考虑风险管理、项目和过程管理以及信息和通信技术(ICT)的知识。
审核方案管理人员应参与适当的可持续发展活动,以保持管理审核方案的必要能力。
5.4.3建立审核方案的范围
审核方案管理人员应确定审核方案的范围。
这取决于受审核方提供的关于其环境的信息(见5.3)。
注:
在某些情况下,取决于受审核方的结构或其活动,审核方案可能仅由单个审核组成(例如,一个小型项目或组织)。
影响审核方案范围的其他因素可以包括:
a)每次审核的目的、范围与持续时间和要进行的审核数量、报告方法,以及审核后续活动,如果适用的话;
b)管理体系标准或其他适用准则;
c)受审核活动的数量、重要性、复杂性、相似性和地点;
d)影响管理体系有效性的因素;
e)适用的审核准则,例如对有关管理体系标准的策划安排、法定和规章要求以及该组织所承诺的其他要求;
f)以前的内部或外部审核和管理评审的结果,如果合适的话;
g)以前审核方案评审的结果;
h)语言、文化和社会问题;
i)有关各方的关注点,例如客户投诉、不符合法定和规章要求以及组织承诺的其他要求,或供应链问题;
j)受审核方的环境或运
升级会员 