1、标准适用范围
该标准适用于需要策划和实施管理体系内部审核、外部审核或需要管理审核方案的所有组织,主要侧重于内部审核(第一方审核)和由组织对其外部供方和其他外部相关方所进行的审核(第二方审核),也可用于第三方认证以外的外部审核。
表1 不同类型的审核
第一方审核
|
第二方审核
|
第三方审核
|
内部审核
|
外部供方审核
|
认证和/或认可审核
|
其他外部相关方审核
|
法律、法规和类似的审核
|
该标准主要内容包括审核原则、审核方案管理和管理体系审核实施,以及评价参与审核过程的人员能力的指南。这些活动涉及审核方案管理人员、审核员和审核组。
2.1 审核原则
审核原则保证审核结论可靠的前提。本章主要阐释了诚实正直、公正表达、职业素养、保密性、独立性、基于证据的方法、基于风险的方法等7项审核原则。其中,基于风险的方法是本次修订新增的原则。
2.2 审核方案的管理
审核方案的范围和程度应基于受审核方的规模和性质,以及拟审核的管理体系的性质、功能、复杂程度、风险和机遇的类型以及成熟度等级。还应特别注意重要职能外包或存在多个地点/场所的情况。本章还列举了审核方案应包括的信息,其中包括本次修订新增的“与审核方案有关的风险和机遇及应对措施”以及审核类型等信息。
图1 审核方案的管理流程
如图1所示,本标准第5章“审核方案的管理”构成了一个PDCA循环。
这个PDCA循环的策划阶段包括确立审核方案目标、确定和评价审核方案的风险和机遇、建立审核方案。本章提供了确定目标、风险和机遇时可考虑哪些方面的因素及其示例。建立审核方案主要论述了审核方案管理人员的作用和职责、审核方案管理人员的能力、确立审核方案的范围和详略程度、确定审核方案资源。
实施审核方案环节阐述了审核方案管理人员在实施计划和协调方案内的所有活动时需完成的事项,主要包括规定每次审核的目标、范围和准则,选择和确定审核方法,选择审核组成员(第7章介绍了审核组成员需要的能力),为审核组长分配每次的审核职责、管理审核方案结果,管理和保持审核方案记录。
在监视审核方案环节,审核方案管理人员应对审核目标是否实现等结果进行评价,而审核发现等一些因素可能表明需要修改审核方案。
评审和改进审核方案是第5章PDCA循环的处置阶段。从审核方案评审中获得的经验教训则是审核方案改进的输入,即在未来确立审核方案目标时考虑以往审核方案的结果。
2.3 实施审核
这一章为作为审核方案一部分的审核活动的准备与实施提供了指南。实施审核的过程也构成了一个PDCA循环,其策划阶段的审核的启动、审核活动的准备与第5章的实施审核方案衔接。上一章的活动由审核方案管理人员负责,本章活动的责任人则是指定的审核组长。
审核的启动主要包括与受审核方建立联系、确定审核的可行性等活动。
审核活动的准备包括成文信息评审、审核的策划、审核组工作分配、准备审核所需的成文信息。评审受审核方的成文信息是为了了解受审核方的运行、成文信息概况,以便于审核策划。审核的策划应采用基于风险的方法,并包括或涉及审核目标、范围、准则等具体内容。
审核活动的实施主要包括为向导和观察员分配角色和职责、举行首次会议、审核中的沟通、审核信息的可获得性和访问、实施审核时的成文信息评审、收集和验证信息、形成审核发现、确定审核结论、举行末次会议。审核信息的可获得性和访问是本次修订的新增内容。由于对虚拟位置/场所的审核日益普遍,在何处、何时以及如何访问审核信息是选择审核方法的重要决定因素。图2概述了从收集信息到得出审核结论的典型过程。实施审核时的成文信息评审也属于一种收集信息的方法,其他方法包括访谈、观察等。通过对照审核准则评价审核证据来形成审核发现。当审核计划有规定时,具体的审核发现应包括符合事项和良好实践以及相应的支持证据、改进机会和对受审核方提出的任何建议。对审核发现的评审帮助形成审核结论。
审核报告的编制和分发主要阐述了审核报告应包括及可包括的要素。审核活动的实施、审核报告的编制和分发构成了本章PDCA循环的实施阶段。
从审核中获得的经验教训可为审核方案和受审核方识别风险和机遇,所以第6章PDCA循环的检查阶段“审核的完成”,以及如有审核后续活动,为第5章的监视审核方案提供输入。
2.4 审核员的能力和评价
这一章详细论述了审核员应具备的个人行为素质以及应用通用、特定知识和技能的能力,能力的获得、保持和提高,以及对审核员能力的评价过程。
2.5 审核员策划和实施审核的补充指南
该标准在附录中提供了审核员策划和实施审核的补充指南。本次修订新增了对一些新概念如何进行审核,例如如何审核组织环境、领导作用与承诺、合规和供应链。本次修订还引入了“虚拟审核”的概念,即审核使用在线环境开展工作或提供服务的过程。虚拟审核遵循标准的审核过程,同时应考虑适当的技术要求、审核员能力要求及一些注意事项。
3 本次修订的主要技术变化
除结构调整和编辑性改动外,本次修订的主要技术变化如下:
a) 审核原则新增基于风险的方法;
b) 扩充了管理审核方案的指南,包括审核方案的风险;
c) 扩充了实施审核的指南,特别是审核策划部分;
d) 扩充了审核员的通用能力要求;
e) 调整了术语,以反映过程而不是对象(事物);
f) 删除了包含审核特定管理体系专业能力要求的附录;
g) 扩充了附录A,以提供审核(新)概念的指南,例如组织环境、领导作用与承诺、虚拟审核、合规和供应链。