iso19011管理体系审核指南.docx

1、iso19011管理体系审核指南ISO19011:2018管理体系审核指南前言ISO（国际标准化组织）是各国标准化团体（ISO成员团体）组成的世界性联合会。制定国际标准的工作通常由ISO的技术委员会完成。各成员团体若对某技术委员会确立的项目感兴趣，均有权参加该委员会的工作。与ISO保持联系的各国际组织（官方的或非官方的）也可参加有关工作。在电工技术标准化方面，ISO与国际电工委员会（IEC）保持密切合作关系。ISO / IEC指令第1部分描述了用于开发和保持本标准的程序。特别是，应注意不同类型的ISO文档所需的不同批准标准。本文件是根据ISO / IEC指令第2部分的编辑规则起草的（见）。本文

2、中的某些内容可能涉及一些专利问题，对此应引起注意，ISO不负责识别任何或所有的此类专利权问题。在文件制定过程中已经确认的任何专利权的详细信息将在引言/或收到的专利声明ISO清单中（见）。本文中使用的任何商标名称都是为方便用户而提供的信息，并不构成认可。有关标准的自愿性质的解释，与合格评定相关的ISO特定术语和表达的含义，以及ISO在技术性贸易壁垒（TBT）中遵守世界贸易组织（WTO）原则的信息，请参阅本文件由ISO / PC 302管理体系审核指南项目委员会编写。第三版取消并取代了第二版（ISO 19011：2011），该版本已经过技术性修订。与第二版相比的主要差异如下：增加了基于风险方法的审

3、核原则；扩大了审核方案管理的指南，包括审核方案风险；扩大审核实施的指南，特别是审核策划部分；扩大了审核员的一般能力要求；调整术语以反映过程而不是对象（“事项”）；删除了附件中包含审核特定管理体系专业能力要求（由于太多的管理体系标准，将所有专业的能力要求包括在内是不切实际的）;扩展附件A，以为审核（新）概念提供指南，如组织环境，领导作用和承诺，虚拟审核，合规和供应链。引言本文件第二版自2011年出版以来，已经出版了许多新的管理体系标准，其中许多标准具有共同的结构、相同的核心要求以及共同的术语和核心定义。因此，有必要考虑更广泛的管理体系审核方法，并提供更通用的指导。审核结果可以为业务计划的分析方面

4、提供输入，并且可以有助于识别改进需求和活动。审核可以依据一系列单独或组合的审核准则进行，包括但不限于：在一个或多个管理体系标准中定义的要求；有关相关方指定的方针和要求；法律和法规要求；组织或其他各方确定的一个或多个管理体系过程；与管理体系特定输出(如质量计划、项目计划)有关规定相关的管理体系策划。本文件提供的指南适用于所有规模和类型组织的不同范围和规模的审核，包括由大的审核组（通常为大型组织）以及由单个审核员进行的审核，无论其是大型组织还是小型组织。本指南宜与审计方案的范围、复杂程度和规模相适宜。本文件注重于内部审核（第一方）和组织对其外部供方和其他外部相关方（第二方）进行的审核。本文件也可用

5、于第三方管理体系认证以外的其他目的的外部审核。ISO/I EC 170211为管理体系第三方认证规定了要求。该文件可以提供有用的附加指导（见表1）表1-审核类型的区分第一方审核第二方审核第三方审核内部审核外部供方的审核认证和或委派审核其他外部相关方出于法律法规、行政监管和类似目的的审核为了简化本文件的可读性，文件中的“管理体系”是单数形式，但是读者可以结合自身的具体情况实施该指南。这也适用于“人员（单数）”和“人员（复数）”、“审核员（单数）”和“审核员（复数）”的使用。本文件拟适用于广泛的潜在使用者，包括审核员、实施管理体系的组织以及由于合同或法律法规要求需要实施管理体系审核的组织。本文的使

6、用者可以应用这些指南制定其与审核相关的要求。本文档中的指南也可用于自我声明，对参与审核员培训或人员认证的组织有用。就灵活运用本文档的指南。正如本文所述，应根据组织管理体系的规模、成熟度水平、受审核组织的性质和复杂所实施的审核目标和范围的不同，来使用本指南。本标准采用的方法适用于两个或更多的不同领域的管理体系共同审核的场合。当这些管理体系整合为一个管理体系时，审核原则和过程与结合审核相同（有时称为“结合审核”）。本文为审核方案的管理、管理体系审核的策划和实施以及审核员和审核组的能力和评价提供指南。管理体系审核指南1范围本文件提供了管理体系审核指南，包括审核原则，审核方案的管理和管理体系审核的实施

7、，也对参与管理体系审核过程的人员的能力提供了评价指南，这些活动包括管理审核方案、审核员和审核组的人员。本标准适用于需要策划和实施管理体系内部审核、外部审核或需要管理审核方案的所有组织。只要对所需要的特定能力给予特殊考虑，本文件也可应用于其他类型的审核。2规范性引用文件本文件无规范性引用文件。3术语和定义下列术语和定义适用于本文件。ISO和IEC在以下地址保持用于标准化的术语数据库：ISO在线浏览平台：可在 / obp获得；IEC Electropedia：可在 /获得。Audit审核为获得客观证据（）并对其进行客观的评价，以确定满足审核准则（）的程度所进行的系统的、独立的并形成文件的过程。注1

8、：内部审核，有时称为第一方审核，由组织自己或以组织的名义进行。注2：通常，外部审核包括第二方和第三方审核。第二方审核由组织的相关方，如顾客或由其他人员以相关方的名义进行，第三方审核由外部独立的审核组织进行，如提供合格认证/注册的组织或政府机构。【源自：ISO9000:2015, ，改写注已被修改】combined audit多体系审核在一个受审核方（），对两个或两个以上管理体系（）一起实施的审核（）。注1：当两个或两以上多个不同领域的管理体系整合为一个管理体系时，称为整合管理体系。【源自：ISO 9000:2015，改写】joint audit联合审核在一个受审核方（），由两个或两个以上审核组

9、织同时实施的审核（）【源自：ISO 9000:2015，】audit programme审核方案针对特定时间段所策划并具有特定目标的一组（一次或多次）审核的安排。【源自：ISO 9000:2015，改写修改后的措辞已添加到定义中】audit scope审核范围审核的内容和界限注1：审核范围通常包括对实际和虚拟位置、职能、组织单元、活动和过程以及所涵盖时间段的描述。注2：虚拟位置指允许个人在不同的物理位置使用在线环境执行工作或提供服务的位置。【源自：ISO 9000:2015，改写注1已被修改，注2为增加】audit plan审核计划对审核（）活动和安排的描述【源自：ISO9000:2015，】

10、audit criteria审核准则用于与客观证据（）进行比较的一组要求（）注1：如果审核准则是法律要求（包括法定或监管），审核发现（）中经常使用“合规”或“不合规”。注2：要求可能包括方针、程序、工作指示、法律要求、合同义务等。【源自：ISO 9000:2015，改写定义已被修改，注1和注2为增加】objective evidence客观证据支持事物存在或其真实性的数据注1：客观证据可通过观察、测量、试验或其他方法获得。注2：通常，用于审核（）目的的客观证据，是由与审核准则（）相关的记录、事实陈述或其他信息所组成并可验证。【源自：ISO9000:2015，】audit evidence审核证

11、据与审核准则（）有关并能够证实的记录、事实陈述或其他信息【源自：ISO 9000:2015，】audit findings审核发现将收集的审核证据（）对照审核准则（）进行评价的结果注1：审核发现表明符合（）或不符合（）。注2：审核发现可导致识别改进的风险、机会或记录良好实践。注3：英文中，如果审核准则选自法律要求或法规要求，审核发现称为合规或不合规。【源自：ISO 9000:2015，改写注2和注3已被修改】audit conclusion审核结论考虑了审核目标和所有审核发现（）后得出的审核（）结果【源自：ISO 9000:2015，】audit client审核委托方要求审核（）的组织或个人

12、注1：在内部审核的情况下，审核委托方也可以是受审核方（）或审核方案管理员。外部审核可能来自监管机构、协议方或潜在、现顾客等的要求。【源自：ISO 9000:2015，改写注1为增加】auditee受审核方被审核的组织整体或其部分【源自：ISO 9000:2015，改写】audit team审核组实施审核（）的一名或多名人员，需要时，由技术专家（）提供支持注1：审核组（）中的一名审核员（）被指定作为审核组长。注2：审核组可包括实习审核员。【源自：ISO 9000:2015，】auditor审核员实施审核（）的人员【源自：ISO 9000:2015，】technical expert技术专家向审核

13、组（）提供特定知识或专业技术的人员注1：特定知识或专业技术指与组织、活动、过程、产品、服务、审核领域以及语言或文化有关。注2：审核组的技术专家（）不作为审核员（）。【源自：ISO 9000:2015，改写注1和注2已被修改】observer观察员随同审核组（）但不作为审核员（）的人员【源自：ISO 9000:2015，修改】 management system 管理体系组织建立方针和目标以及实现这些目标的过程（）的相互关联或相互作用的一组要素。注1：一个管理体系可以针对单一的领域或几个领域，如质量管理、财务管理或环境管理。注2：管理体系要素规定了组织的结构、岗位和职责、策划、运行、方针、惯例、

14、规则、理念、目标，以及实现这些目标的过程。注3：管理体系的范围可能包括整个组织，组织中可被明确识别的职能或可被明确识别的部门，以及跨组织的单一职能或或多个职能。【源自：ISO 9000:2015，改写注4已删除】risk风险不确定性的影响注1：影响是指偏离预期，可以是正面的或负面的。注2：不确定性是一种对某个事件，或是事件的局部的结果或可能性缺乏理解或知识方面的信息的情形。注3：通常，风险是通过有关可能事件（如ISO指南73：2009中所定义，）的后果（如ISO指南73：2009,中所定义）或两者的组合来描述其特性的。注4：通常，风险是以某个事件的后果（包括情况的变化）及其发生的可能性（如IS

15、OGuide 73：2009,中定义）的组合来表述的。【源自：ISO 9000:2015，改写注5和注6已被删除】Conformity合格/符合满足要求（）【源自：ISO 9000:2015，改写注1已被删除】nonconformity不合格/不符合未满足要求（）【源自：ISO 9000:2015，改写注1已被删除】competence能力应用知识和技能实现预期结果的本领【源自：ISO 9000:2015，改写注已被删除】requirement要求明示的、通常隐含的或必须履行的需求或期望注1：“通常隐含”是指组织和相关方的惯例或一般做法，所考虑的需求或期望是不言而喻的。注2：规定要求是经明示的

16、要求，如在成文信息中阐明。【源自：ISO 9000:2015，改写注3,4,5和6已被删除】process 过程利用输入实现预期结果的相互关联或相互作用一组活动【源自：ISO 9000:2015，改写注已删除】performance绩效可测量的结果注1：绩效可能涉及定量的或定性的结果。注2：绩效可能涉及活动、过程（）、产品、服务、体系或组织的管理。【源自：ISO 9000:2015，改写注3已被删除】Effectiveness有效性完成策划的活动并得到策划结果的程度【源自：ISO 9000:2015，改写注1已被删除】4审核原则审核的特征在于其遵循若干原则。这些原则有助于使审核成为支持管理方针

17、和控制的有效与可靠的工具，并为组织提供可以改进其绩效的信息。遵循这些原则是得出相应和充分的审核结论的前提，也是审核员独立工作时，在相似情况下得出相似结论的前提。第5章第7章中给出的指南是基于下列七项原则。a)诚实正直：职业的基础审核员和审核方案管理员应：以诚实和负责任的精神道德地从事他们的工作；只在有能力的情况下从事审核活动；以不偏不倚的态度从事工作，即对待所有事务保持公正和无偏见；在审核时，对可能影响其判断的任何因素保持警觉。b）公正表达：真实、准确地报告的义务审核发现、审核结论和审核报告应真实和准确地反映审核活动。应报告在审核过程中遇到的重大障碍以及在审核组和受审核方之间没有解决的分歧意见

18、。沟通必须真实、准确、客观、及时、清晰和完整。c）职业素养：在审核中勤奋并具有判断力审核员应珍视他们所执行任务的重要性以及审核委托方和其他相关方对他们的信任。在工作中具有职业素养的一个重要因素是能够在所有审核情况下做出合理的判断。d）保密性：信息安全审核员应审慎使用和保护在审核过程中获得的信息。审核员或审核委托方不应为个人利益不适当地或以损害受审核方合法利益的方式使用审核信息。这个概念包括正确处理敏感、保密的信息。e）独立性：审核公正性和审核结论客观性的基础审核员应独立于受审核的活动（只要可行时），并且在任何情况下都应不带偏见，没有利益上的冲突。对于内部审核，如可行，审核员应独立于被审核的职能

19、。审核员在整个审核过程中应保持客观性，以确保审核发现和审核结论仅建立在审核证据的基础上。对于小型组织，内审员也许不可能完全独立于被审核的活动，但是应尽一切努力消除偏见和体现客观。f）基于证据的方法：在一个系统的审核过程中，得出可信和可重现的审核结论的合理方法审核证据应是能够验证的。由于审核员是在有限的时间内并在有限的资源条件下进行的，因此审核证据是建立在可获得信息的的样本的基础上。应合理地进行抽样，因为这与审核结论的可信性密切相关。g）基于风险的方法：一种考虑风险和机遇的审核方法基于风险的方法宜对审核的策划、实施和报告产生实质性影响，以确保审核关注于对审核委托方具有重要意义的事项，并实现审核方

20、案目标。5审核方案的管理总则应建立可能包括针对一个或多个管理体系标准或其他要求的审核方案，可单独实施，也可结合实施（多体系审核）。审核方案的范围和程度应基于受审核方的规模和性质，以及审核的管理体系性质、功能、复杂程度、风险和机会的类型和其成熟度水平。当大多数重要功能外包、受其他组织的管理之下时，管理体系的功能可能会更加复杂。需要特别注意的是最重要决策的地方以及管理体系的最高管理者组成。对于多个地点/位置（如不同国家），或重要职能外包及在其他组织领导下管理的情况时，宜特别注意审核方案的设计、策划和验证。对于规模较小或较不复杂的组织，审核方案可适当调整。为了理解受审核方的背景，审核方案应考虑受审核

21、方的：组织目标;相关的内外部因素;有关相关方的需求和期望;信息安全和保密要求。内部审核方案的策划，以及在某些情况下审核外部供方的方案策划，可以为促进组织的其他目标做出安排。管理审核方案的人员应确保审核的完整性得到保持，并且不会对审核产生不当影响。审核应优先考虑将资源和方法分配到具有较高固有风险和较低绩效水平的管理体系中的事项上。应指派有能力的人员管理审核方案。审核方案应包括在规定的期限内能够有效和高效地实施审核的信息和确定的资源。这些信息应包括：a）审核方案的目标;b）与审核方案相关的风险和机遇（见）以及应对措施;c）审核方案内每次审核的范围（范围、界限、地点）;d）审核的日程安排（数量/持续

22、时间/频次）;e）审核类型，如内部或外部； f）审核准则；g）采用的审核方法；h）选择审核组成员的准则；i）相关的成文信息。在完成更详细的审核计划之前，某些信息可能无法使用。应持续地监视和测量审核方案的实施（见）以确保达到其目标。应评审审核方案以识别变更的需求和可能的改进机会（见）。图1所示是审核方案的管理流程。&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1 注1：图中表示了PDCA循环在本文件中的应用。注2：图中章/条号指的是本文件的相关条款。 图1 -审核方案的管理流程确立审核方案的目标审核委托方应确保审核方案的目标得到确立，以指导审核的策划和实施，并应确保审核方案

23、的有效实施。审核方案的目标应与审核委托方的战略方向相一致，并支持管理体系的方针和目标。这些目标可以基于以下方面的考虑：a）包括内外部有关相关方的需求和期望;b）过程、产品、服务和项目的特性和要求及其变化;c）管理体系要求;d）外部供方评价的需要;e）在相关绩效指标（如KPI），发生失效、事件或相关方投诉时所反映出的受审核方的绩效水平和管理体系的成熟度水平;f）确定的受审核方所面临的风险和机遇;g）以往审核的结果。审核方案目标的示例可包括下列各项：确定管理体系及其绩效的改进机会；评价受审核方确定其背景的能力；评价受审核方确定风险和机遇的能力，以及确定和采取有效应对措施的能力；满足所有相关要求，如

24、法律法规要求、合规义务、管理体系标准认证的要求；获得和保持对外部供方能力的信心；确定受审核方管理体系的持续适宜性，充分性和有效性；评价管理体系的目标与组织战略方向的兼容性和一致性。确定和评价审核方案的风险和机遇与受审核方环境有关的风险和机遇可能与审核方案相关并影响审核方案的目标实现。审核方案管理员在制定审核方案和资源要求时，应确定并向审核委托方提供所考虑的风险和机遇，以便对其适当应对。可能存在以下风险：a）策划，例如未能设定合适的审核目标和未能确定审核范围和详略程度、数量、持续时间、地点和日程安排;b）资源，例如没有足够的时间、设备和培训制定审核方案或实施审核;c）审核组的选择，例如不具备有效

25、实施审核的整体能力;d）沟通，如外部/内部沟通过程/渠道的无效;e）实施，例如在审核方案内未能有效协调审核，或未考虑信息安全和保密性;f）成文信息的控制，例如未能有效确定审核员和有关相关方所必需的文件信息，未能适宜地保护用于证明审核方案有效性的审核记录;g）监视、评审和改进审核方案，例如没有有效地监视审核方案的结果;h）受审核方的可用性与配合，以及可供取样证据的可用性。改进审核方案的机会可包括：允许在一次访问中实施多种审核;尽量减少前往现场的时间和距离;使审核组的能力水平与实现审核目标所需的能力水平相匹配;使审核日期与受审核方关键人员的可用性保持一致。建立审核方案审核方案管理人员作用和职责审核

26、方案管理员应：a）根据相关目标（见5.1）和任何已知的约束确定审核方案的范围和程度;b）确定可能影响审核方案的外部和内部因素、风险和机遇及其应对的实施措施，适当时，并将这些措施整合到所有相关的审核活动中;c）适当时，通过分配岗位、职责和权限以及领导支持，确保审核组的选择和审核活动的总体能力;d）建立如下相关过程：审核方案内所有审核的协调和安排;明确审核目标、审核范围和准则、确定审核方法和选择审核组;评价审核员;适当时，建立外部和内部沟通过程;争议解决和投诉处理;审核的后续行动（如适用）;适当时，向审核委托方和有关相关方报告。e）确定并确保所需资源的提供；f）确保准备和保持适当的成文信息，包括审

27、核方案记录；g)监视、评审和改进审核方案；h)与审核委托方（适当时，与有关相关方）沟通审核方案。审核方案管理员应获得审核委托方的批准。审核方案管理员的能力审核方案管理员应具备有效地和高效地管理审核方案及其相关的风险、机遇以及内外部因素的必要的能力，包括以下方面的知识：a）审核原则（见第4章）、方法和过程（第和节）;b）管理体系标准，其他相关标准和参考/指南文件;c）有关受审核方及其环境的信息（如，外部/内部因素、有关相关方及其需求和期望、受审核方的业务活动、产品、服务和过程）;d）适用的法律法规要求以及与受审核方业务活动相关的其他要求。适当时，可考虑风险管理、项目和过程管理以及信息通信技术（I

28、CT）的知识。审核方案管理人员应参加适当的持续发展活动，以保持管理审核方案所需的能力。确定审核方案的范围和详略程度审核方案管理员应确定审核方案的范围和详略程度，这取决于受审核方提供的有关其环境的信息（见）。注：在某些情况下，根据受审核方的结构或活动，审核方案可能只包含一次审核（例如一个小型项目或组织）。影响审核方案范围和详略程度的其他因素可能包括以下内容：a）每次审核的目标、范围、持续时间和审核的次数、报告方法，适用时，还包括审核后续活动;b）管理体系标准或其他适用准则;c）受审核活动的数量、重要性、复杂性、相似性和地点;d）影响管理体系有效性的因素;e）适用的审核准则，例如相关管理体系标准的

29、安排、法律法规要求以及组织承诺的其他要求;f）适当时，以往的内部或外部审核和管理评审的结果;g）以往的审核方案的评审结果;h）语言，文化和社会因素;i）相关方的关注点，例如顾客报怨、不遵守法律法规要求以及组织承诺的其他要求或供应链问题;j）受审核方的环境或其运作及相关风险和机遇的重大变化;k）支持审核活动的信息和沟通技术的可获得性，尤其是使用远程审核方法的情况（见）;I）内部和外部事件的发生，如产品或服务的不合格、信息安全泄漏事件、健康和安全事件、犯罪行为或环境事件;m）业务风险和机遇，包括其应对措施。确定审核方案资源确定审核方案的资源时，审核方案管理员应考虑：a）开发、实施、管理和改进审核活

30、动所必需的财务和时间资源;b）审核方法（见）;c）能够胜任特定审核方案目标的审核员和技术专家的个体与总体的可获得性;d）审核方案的范围和程度（见）以及审核方案的风险和机遇（见）;e）旅途时间和费用、食宿和其他审核需要;f）不同时区的影响;g）信息和沟通技术的可获得性（例如，使用支持远程协作的技术建立远程审核所需的技术资源）;h）所需工具、技术和设备的可获得性;i）在确定审核方案建立期间所必需成文信息的可获得性（见）;j）与设施有关的要求，包括任何安全许可和设备（例如背景调查、个体防护设备、穿着洁净室服装的能力）。 实施审核方案总则一旦建立了审核方案（见）并确定了相关资源（见），就必须实施方案内所有活动的策划和协调。审核方案管理员应：a）使用已建立外部和内部沟通渠道与有关相关方沟通审核方案的相关部分，包括相关的风险和机遇，