ISO19011XXXX管理体系审核指南.docx
《ISO19011XXXX管理体系审核指南.docx》由会员分享,可在线阅读,更多相关《ISO19011XXXX管理体系审核指南.docx(28页珍藏版)》请在冰豆网上搜索。
ISO19011XXXX管理体系审核指南
ISO19011:
2021管理体系审核指南
1ISO19011标准概述
1.1ISO19011标准制定
国际标准化组织〔ISO〕于2021年11月15日发布了ISO19011:
2021?
管理体系审核指南?
。
我国已经于2021年完成了GB/T19011新版标准的制定,等待发布。
1.2ISO19011标准概要
标准的7个章节
该标准共包括7章,其中:
第3章陈述了标准所使用的关键术语和定义。
致力于确保这些定义与其他标准中的定义不发生冲突。
第4章描述了审核所依据的原那么。
这些原那么有助于使用者理解审核的本质〔根本性质〕,对于理解5-7章中所陈述的指南也很重要。
第5章提供了关于建立和管理审核方案、建立审核方案目的以及协调审核活动的指南。
第6章提供了关于筹划和实施管理体系审核的指南。
第7章提供了有关管理体系员和审核组的能力和评价的指南。
标准的2个附录
附录A展示了第7章针对不同领域的应用指南。
附录B为审核员提供了筹划和实施审核的附加指南。
两个附录均为资料性附录
1.3新版标准的主要变化
名称的变化
标准的名称由?
质量和环境管理体系审核指南?
修改为?
管理体系审核指南?
适用范围的变化
扩大了适用范围:
适用于需要实施管理体系内部审核、外部审核或需要管理审核方案的所有组织。
术语和定义的变化
增加了6个术语及定义:
向导、风险、能力、观察员、合格、不合格、管理体系
修改了“能力〞、“审核方案〞的定义
主要技术内容变化
与ISO19011:
2002相比,除编辑性修改外,主要技术变化如下:
1)标准的适用范围从质量和环境管理体系审核拓展为任何管理体系审核;
2)明确了ISO19011和ISO17021的关系;
3)引入远程审核方法以及风险的概念;
4)将“保密性〞增加为新的审核原那么;
5)重新组织了第5、6和7章的内容;
6)新的附录B中包括了增加的信息,因而删除了“实用帮助〞框中的内容;
7)强化了能力确认和评价过程;
8)新的附录B包括了领域专门知识和技能的例如。
2引言
2.1ISO19011与ISO17021标准的关系
本标准第二版提供的指南虽然适用于所有使用者〔包括中小型组织〕,但主要注重通常所说的“内部审核〞〔第一方审核〕和“由顾客对其供方所进行的审核〞〔第二方审核〕。
那些与管理体系认证有关的审核应遵守ISO17021的要求,当然,本标准的指南对其也有帮助作用。
ISO19011与ISO17021范围之间的关系
内部审核
外部审核
供方审核
第三方审核
有时称为第一方审核
有时称为第二方审核
出于法律法规、行政监督或类似目的
出于认证的目的〔请见ISO17021:
2021的要求〕
2.2标准的性质
本标准不陈述要求,而是提供关于审核方案管理和管理体系审核的筹划和实施以及审核员和审核组能力和评价的指南。
2.3标准的使用
组织可以运行多个管理体系,使用者可以结合自身的具体情况实施该指南。
本标准拟适用于广泛的潜在使用者,包括审核员、实施管理体系的组织以及由于合同或法律法规要求需要实施管理体系审核的组织。
本标准的使用者可以应用这些指南制定其与审核相关的要求。
本标准的指南可以用于自我声明的目的,也适用于从事审核员培训或人员注册的组织。
应灵活运用本标准的指南。
正如本标准所述,应根据组织管理体系的规模、成熟度水平、受审核组织的性质和复杂程度及所实施的审核目标和范围的不同,来使用本指南。
3范围、标准性引用文件、定义
3.1范围
本标准提供了管理体系审核的指南,包括审核原那么、审核方案的管理和管理体系审核的实施,也对参与管理体系审核过程的人员的个人能力提供了评价指南,这些人员包括审核方案管理人员、审核员和审核组长。
本标准适用于需要实施管理体系内部审核、外部审核或需要管理审核方案的所有组织。
只要对所需要的特定能力给予特殊考虑,本标准有可能应用于其它类型的审核。
3.2标准性引用文件
本标准无标准性引用文件。
列出本章是为了与其他管理体系标准的条款号相一致。
3.3术语和定义
标准给出了:
审核、审核准那么、审核证据、审核发现、审核结论、审核委托方、受审核方、审核员、审核组、技术专家、观察员、向导、审核方案、审核方案、审核范围、风险、能力、合格、不合格、管理体系共20个术语及其定义
新增:
向导、风险、观察员、合格、不合格、管理体系
向导:
由受审核方指定的协助审核组的人员
风险:
不确定性对目标的影响
观察员:
伴随审核组但不参与审核的人员。
有变化的定义:
能力、审核方案
能力:
应用知识和技能获得预期结果的本领。
[2002版:
经证实的个人素质以及经证实的应用知识和技能的本领]
其它术语和定义没有变化,或在ISO9000标准中有定义,这里限于篇幅不再列出。
4审核原那么
审核应当遵守的六项原那么,其中“保密性〞为新增加的要求
——老实正直
——公正表达
——职业素养
——保密性
——独立性
——基于证据的方法
4.1老实正直
老实正直:
职业的根底
审核员和审核方案管理人员应:
——以老实、勤勉和负责任的精神从事他们的工作;
——了解并遵守任何适用的法律法规要求;
——在工作中表达他们的能力;
——以不偏不倚的态度从事工作,即对待所有事务保持公正和无偏见;
——在审核时,对可能影响其判断的任何因素保持警觉。
公正表达:
真实、准确地报告的义务
审核发现、审核结论和审核报告应真实和准确地反映审核活动。
应报告在审核过程中遇到的重大障碍以及在审核组和受审核方之间没有解决的分歧意见。
沟通必须真实、准确、客观、及时、清楚和完整。
4.3职业素养
职业素养:
在审核中勤奋并具有判断力。
审核员应珍视他们所执行的任务的重要性以及审核委托方和其他相关方对他们的信任。
在工作中具有职业素养的一个重要因素是能够在所有审核情况下做出合理的判断。
4.4保密性
保密性:
信息平安
审核员应审慎使用和保护在审核过程获得的信息。
审核员或审核委托方不应为个人利益不适当地或以损害受审核方合法利益的方式使用审核信息。
这个概念包括正确处理敏感的、保密的信息。
4.5独立性
独立性:
审核的公正性和审核结论的客观性的根底。
审核员应独立于受审核的活动〔只要可行时〕,并且在任何情况下都应不带偏见,没有利益上的冲突。
对于内部审核,审核员应独立于被审核职能的运行管理人员。
审核员在整个审核过程应保持客观性,以确保审核发现和审核结论仅建立在审核证据的根底上。
对于小型组织,内审员也许不可能完全独立于被审核的活动,但是应尽一切努力消除偏见和表达客观。
4.6基于证据的方法
基于证据的方法:
在一个系统的审核过程中,得出可信和可重现的审核结论的合理的方法。
审核证据应是能够验证的。
由于审核是在有限的时间内并在有限的资源条件下进行的,因此审核证据是建立在可获得信息的样本的根底上。
应合理地进行抽样,因为这与审核结论的可信性密切相关。
5审核方案的管理
5.3审核方案定义
定义:
审核方案是针对特定时间段所筹划并具有特定目标的一组〔一次或屡次〕审核安排。
[2002版的定义:
针对特定时间段所筹划并具有特定目标的一组〔一次或屡次〕审核]
增加了“安排〞就将审核由“活动〞变成了“文件〞,是对审核活动进行筹划的结果。
1〕将“审核方案的目的〞改为“确立审核方案的目标〞,使审核方案的能够保持与管理体系目标的一致性;将结果——“审核方案的目的〞变成了一项活动“确立目标〞;
2〕审核将原来标准放在实施审核中的局部内容放在了审核方案中,包括:
选择审核方法、选择审核组成员、为审核组长分配每次审核的职责。
适用的审核方法〔附录B中的内容〕
审核员与受审核方之间的相互作用程度
审核员的位置
现场
远程
有人员互动
进行面谈;
在受审核方参与的情况下完成检查表和问卷表
在受审核方参与的情况下进行文件评审;
抽样
借助交互式的通信手段
——进行交谈;
——完成检查表和问卷;
——在受审核方参与的情况进下进行文件评审
无人员互动
进行文件评审〔例如记录、数据分析〕
观察工作情况;
进行现场巡视;
完成检查表;
抽样〔例如产品〕
进行文件评审〔例如记录、数据分析〕;
在考虑社会和法律法规要求的前提下,通过监视手段来观察工作情况
分析数据
备注:
1〕现场审核活动在受审核方的现场进行。
远程审核活动在受审核方现场以外地方进行,无论距离远近。
2〕互动的审核活动包括受审核方人员和审核组之间的相互交流。
非互动的审核活动不存在与受审核代表的交流,但需要使用设备、设施和文件。
3〕增加了风险控制的要求;
4〕增加了对审核方案结果的管理;
5〕增加了审核方案的记录要求;
6〕进一步明确了审核组长的职责;
7〕其它一些编辑性修改。
5.1总那么
需要实施审核的组织应建立审核方案,以便确定受审核方管理体系的有效性。
审核方案可以包括针对一个或多个管理体系标准的审核,可单独实施,也可结合实施。
最高管理者应确保建立审核方案的目标,并指定一个或多个胜任的人员负责管理审核方案。
审核方案的范围与程度应基于受审核组织的规模和性质,以及受审核管理体系的性质、功能、复杂程度以及成熟度水平。
应优先配置审核方案所确定的资源,以审核管理体系的重大事项。
这些重大事项可能包括产品质量的关键特性、健康和平安的相关危险源或重大环境因素及其控制措施。
注:
这个概念通常称之为基于风险的审核。
本标准没有给出基于风险审核的进一步指南。
审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源,并可以包括以下内容:
——审核方案和每次审核的目标;
——审核的范围与程度、数量、类型、持续时间、地点、日程安排;
——审核方案的程序;
——审核准那么;
——审核方法;
——审核组的选择;
——所需的资源,包括交通和食宿;
——处理保密性、信息平安、健康和平安,以及其它类似事宜的过程。
应监视和测量审核方案的实施以确保到达其目标。
应评审审核方案以识别可能的改良。
5.2确立审核方案的目标
最高管理者应确保审核方案的目标得到确立,以指导审核的筹划和实施,并应确保审核方案的有效实施。
审核方案的目标应与管理体系的方针和目标相一致并予以支持。
这些目标可以基于以下方面的考虑:
a)管理的优先事项;
b)商业意图和其他的业务意图;
c)过程、产品和工程的特性及其变化;
d)管理体系要求;
e)法律法规和合同要求,以及组织承诺遵守的其他要求;
f)供方评价的需要;
g)相关方〔包括顾客〕的需求和期望;
h)发生失效、事件和顾客投诉时所反映出的受审核方的绩效水平;
i)受审核方所面临的风险;
j)以往审核的结果;
k)受审核的管理体系的成熟度水平。
审核方案的目标可以包括以下各项:
——促进管理体系及其绩效的改良;
——满足外部要求,例如管理体系标准认证;
——验证与合同要求的符合性;
——获得和保持对供方能力的信心;
——确定管理体系的有效性;
——评价管理体系的目标与管理体系方针、组织的总体目标的兼容性和一致性。
5.3建立审核方案
审核方案管理人员的作用和职责
审核方案管理人员应:
——确定审核方案的范围和程度;
——识别和评估审核方案的风险;
——明确审核的责任;
——建立审核方案的程序;
——确定所需的资源;
——确保审核方案的实施,包括明确每次审核的目标、范围和准那么,确定审核方法,选择审核组和评价审核员;
——确保管理和保持适当的审核方案记录;
——监视、评审和改良审核方案。
审核方案管理人员应将审核方案内容报告最高管理者,并在必要时获得批准。
审核方案管理人员的能力
审核方案管理人员应具备有效地和高效地管理审核方案及其相关风险的必要的能力,并具备以下方面的知识和技能:
——审核原那么、程序和方法;
——管理体系标准和引用文件;
——受审核方的活动、产品和过程;
——与受审核方活动、产品有关的适用的法律法规要求和其他要求;
——受审核方的顾客、供方和其他相关方〔适用时〕。
审核方案管理人员应参加适当的持续开展活动,以保持管理审核方案所需的知识和技能。
确定审核方案的范围和详略程度
审核方案管理人员应确定审核方案的范围和详略程度,这取决于受审核方的规模和性质、受审核的管理体系的性质、功能、复杂程度和成熟度水平以及其他重要事项。
注:
在某些情况下,根据受审核方的结构或活动,审核方案可能只包括一次审核〔例如一个小型工程活动〕。
影响审核方案范围和详略程度的其它因素包括:
——每次审核的目标、范围、持续时间和审核次数,适用时,还包括审核后续活动;
——受审核活动的数量、重要性、复杂性、相似性和地点;
——影响管理体系有效性的因素;
——适用的审核准那么,例如有关管理标准的安排、法律法规要求、合同要求以及受审核方承诺的其他要求;
——以往的内部或外部审核的结论;
——以往的审核方案的评审结果;
——语言、文化和社会因素;
——相关方的关注点,例如顾客抱怨或不符合法律法规要求;
——受审核方或其运作的重大变化;
——支持审核活动的信息和沟通技术的可获得性,尤其是使用远程审核方法的情况〔见附录B.1〕;
——内部和外部事件的发生,如产品故障、信息平安泄密事件、健康和平安事件、犯罪行为和环境事件。
识别和评估审核方案风险
在建立、实施、监视、评审和改良审核方案过程中存在多种风险,这些风险可能影响审核方案目标的实现。
审核方案管理人员在制定审核方案时应考虑这些风险。
这些风险可能与以下事项相关:
——筹划,例如未能设定适宜的审核目标和未能确定审核方案范围和详略程度;
——资源,例如没有足够的时间制定审核方案或实施审核;
——审核组的选择,例如审核组不具备有效地实施审核的整体能力;
——实施,例如没有有效地沟通审核方案;
——记录及其控制,例如未能适宜地保护用于证明审核方案有效性的审核记录;
——监视、评审和改良审核方案,例如没有有效地监视审核方案的结果。
建立审核方案的程序
审核方案管理人员应建立一个或多个程序,用于规定以下事项〔适用时〕:
——在考虑审核方案风险的根底上,筹划和安排审核日程;
——确保信息平安和保密性;
——保证审核员和审核组长的能力;
——选择适当的审核组并分配任务和职责;
——实施审核,包括采用适当的抽样方法;
——适用时,实施审核后续活动;
——向最高管理者报告审核方案的实施概况;
——保持审核方案的记录;
——监视和评审审核方案的绩效和风险,提高审核方案的有效性。
识别审核方案资源
识别审核方案资源时,审核方案管理人员应考虑:
——开发、实施、管理和改良审核活动所必需的财务资源;
——审核方法;
——能够胜任特定审核方案目标的审核员和技术专家;
——审核方案范围和程度以及风险;
——旅途时间和费用、食宿和其他审核需要;
——信息和沟通技术的可获得性。
5.4实施审核方案
总那么
审核方案管理人员应通过开展以下活动实施审核方案:
——与有关方面沟通审核方案的相关局部,并定期通报进展情况;
——确定每次审核的目标、范围和准那么;
——协调和安排审核日程以及其他与审核方案相关的活动;
——确保选择具备所需能力的审核组;
——为审核组提供必要的资源;
——确保按照审核方案和协商一致的时间框架实施审核;
——确保记录审核活动并且妥善管理和保持记录。
规定每次审核的目标、范围和准那么
每次审核应基于形成文件的审核目标、范围和准那么。
这些应由审核方案管理人员加以规定,并与总体审核方案的目标相一致。
审核目标规定每次审核应完成什么,可以包括以下内容:
——确定所审核的管理体系或其一局部与审核准那么的符合程度;
——确定活动、过程和产品与要求和管理体系程序的符合程度;
——评价管理体系的能力,以确保满足法律法规和合同要求以及受审核方所承诺的其他要求;
——评价管理体系在实现特定目标方面的有效性;
——识别管理体系的潜在改良之处。
审核范围应与审核方案和审核目标相一致。
包括诸如地址、组织单元、被审核的活动和过程以及审核覆盖的时期等内容。
审核准那么作为确定合格的依据,可能包括适用的方针、程序、标准、法律法规要求、管理体系要求、合同要求、行业行为标准或其他筹划的安排。
如果审核目标、范围或准那么发生变化,应根据需要修改审核方案。
当对两个或更多的管理体系同时进行审核〔结合审核〕时,审核目标、范围和准那么与相关审核方案的目标保持一致是非常重要的。
选择审核方法
审核方案管理人员应根据规定的审核目标、范围和准那么,选择和确定审核方法以有效地实施审核。
注:
附录B给出了如何确定审核方法的指南。
当两个或多个审核组织对同一受审核方进行联合审核时,管理不同审核方案的人员应就审核方法达成一致,并考虑对审核资源和审核筹划的影响。
如果受审核方运行两个或多个领域的管理体系,审核方案也应包括结合审核。
选择审核组成员
审核方案管理人员应指定审核组成员,包括审核组长和特定审核所需要的技术专家。
应在考虑实现规定范围内每次审核目标所需要的能力的根底上,选择审核组。
如果只有一名审核员,该审核员应承当审核组长的适用的全部职责。
注:
第7章提供了确定审核组成员所要求的能力的指南,并描述了评价审核员的过程。
在确定特定审核的审核组的规模和组成时,应考虑以下因素:
a)考虑到审核范围和准那么,实现审核目标所需要的审核组的整体能力;
b)审核的复杂程度以及是否是结合审核或联合审核;
c)所选定的审核方法;
d)法律法规要求、合同要求和受审核方所承诺的其他要求;
e)确保审核组成员独立于被审核活动以及防止任何利害冲突的需要〔见第4章e〕独立性原那么〕;
f)审核组成员共同工作的能力以及与受审核方的代表有效协作的能力;
g)审核所用语言以及受审核方特定的社会和文化特性。
这些方面可以通过审核员自身的技能或通过技术专家的支持予以解决。
为了保证审核组的整体能力,应采取以下步骤:
——识别到达审核目标所需要的知识和技能;
——选择审核组成员以使审核组具备所有必要的知识和技能。
如果审核组的审核员没有具备所有必要的能力,审核组应包含具备相关能力的技术专家。
技术专家应在审核员的指导下工作,但不能作为审核员实施审核。
审核组可以包括实习审核员,但实习审核员应在审核员的指导和帮助下参与审核。
在审核过程中,出现了利益冲突和能力方面的问题,审核组的规模和组成可能有必要加以调整。
如果出现这种情况,在调整前,有关方面〔例如审核组长、审核方案管理人员、审核委托方或以审核方〕应进行讨论。
为审核组长分配每次的审核职责
审核方案管理人员应向审核组长分配实施每次审核的职责。
应在审核实施前的足够时间内分配职责,以确保有效地筹划审核。
为确保有效地实施每次审核,应向审核组长提供以下信息:
a)审核目标;
b)审核准那么和引用文件;
c)审核范围,包括需审核的组织单元、职能单元以及过程;
d)审核方法和程序;
e)审核组的组成;
f)受审核方的联系方式、审核活动的地点、日期和持续时间;
g)为实施审核所配置的适当资源;
h)评价和关注已识别到达审核目标的风险所需的信息。
适用时,提供的信息还应包括以下内容“
——在审核员和〔或〕受审核方的语言不同的情况下,审核工作和报告的语言;
——审核方案要求的审核报告内容和分发范围;
——如果审核方案有所要求,与保密和信息平安有关的事宜;
——审核员的健康和平安要求;
——平安和授权要求;
——后续活动,例如来自以往的审核〔适用时〕;
——在联合审核的情况下与其它审核活动的协调。
当进行联合审核时,重要的是实施审核的各组织在开始审核前,就各自的职责,特别是对被指定为本次审核的审核组长的权限达成一致。
管理审核方案结果
审核方案管理人员应确保以下活动得到实施:
——评审和批准审核报告,包括评价审核发现的适宜性和充分性;
——评审根本原因分析以及纠正措施和预防措施的有效性;
——将审核报告提交给最高管理者和其他有关方面;
——确定后续审核的必要性。
管理和保持审核方案记录
审核方案管理人员应确保审核记录的形成、管理和保持,以证明审核方案的实施。
应建立过程以确保与审核记录相关的保密需求得到规定。
记录应包括以下各项内容:
a)与审核方案相关的记录,如:
——形成文件的审核方案的目标、范围和程度;
——阐述审核方案风险的记录;
——审核方案有效性的评审记录;
b)与每次审核相关的记录,如:
——审核方案和审核报告;
——不符合报告;
——纠正措施和预防措施报告;
——审核后续活动报告〔适用时〕;
c)与审核人员相关的记录,如:
——审核组成员的能力和绩效评价;
——审核组和审核组成员的选择;
——能力的保持和提高。
记录的形式和详细程度应证明到达了审核方案的目标。
5.5监视审核方案
审核方案管理人员应监视审核方案的实施,并关注以下需求:
a)评价与审核方案、日程安排和审核目标的符合性;
b)评价审核组成员的绩效;
c)评价审核组实施审核方案的能力;
d)评价来自最高管理者、受审核方、审核员和其他相关方的反应。
某些因素可能决定是否需要修改审核方案,如:
——审核发现;
——经证实的管理体系有效性水平;
——审核委托方或受审核方的管理体系的变化;
——标准要求、法律法规要求、合同要求和受审核方所承诺的其他要求的变化;
——供方的变更。
5.6评审和改良审核方案
审核方案管理人员应评审审核方案,以评定是否到达目标。
从审核方案评审中得到的经验教训应用于持续改良审核方案过程的输入。
审核方案评审应考虑以下各项:
a)审核方案监视的结果和趋势;
b)与审核方案程序的符合性;
c)相关方进一步的需求和期望;
d)审核方案记录;
e)可替代的或新的审核方法;
f)解决与审核方案相关风险的措施的有效性;
g)与审核方案有关的保密和信息平安事宜。
审核方案管理人员应评审审核方案的总体实施情况,识别改良区域,必要时修改审核方案,并应:
——根据第7.4、7.5和7.6条评审审核员的持续专业开展活动;
——向最高管理者报告审核方案的评审结果。
6实施审核
6.1总那么
标准第6章主要是对审核过程给出了指南,包括8个条款,即总那么、审核的启动、审核活动准备、审核活动的实施、审核报告的编制和分发、审核完成和审核后续活动的实施。
与上一版标准相比,整体结构上没有大的变化,但一些条款有变化,如审核启动局部条款调整到“审核方案的实施〞中了。
6.2审核的启动
总那么
从审核开始直到审核完成,指定的审核组长都应对审核的实施负责。
启动一项审核应考虑图2中的步骤:
然而,根据受审核方、审核过程和具体情形的不同,顺序可以有所不同。
与受审核方建立初步联系
审核组长应与受审核方就审核的实施进行初步联系,联系可以是正式的也可以是非正式的。
建立初步联系的目的是:
——与受审核方的代表建立沟通渠道;
——确认实施审核的权限;
——提供有关审核目标、范围、方法和审核组组成〔包括技术专家〕的信息;
——请求有权使用用于筹划审核的相关文件和记录;
——确定与受审核方的活动和产品相关的适用法律法规要求、合同要求和其他要求;
——确认与受审核方关于保密信息的披露程度和处理的协议;
——对审核做出安排,包括日程安排;
——确定