（认证通用基础）审核技术相关总结

审核证据、审核发现和审核结论之间的关系

审核是一项评价活动,有它自身的活动特点和规律，ISO19011标准系统地阐述了相关的原则、流程和程序,并为管理体系的审核提供了指南,揭示了在审核活动中审核证据、审核发现、审核结论等之间的关系;并对审核检查表和记录信息的作用给予了清晰的描述:“审核组成员应收集和评审与其承担的审核工作有关的信息,并准备必要的工作文件,用于审核过程的参考和记录审核证据”

审核组通过收集和验证与审核准则有关的信息获得审核证据,并依据审核准则对审核证据进行评价,得出审核发现，在综合汇总分析所有审核发现的基础上，考虑此次审核目的而做出最终的审核结论。由此可见，审核准则是判断审核证据符合性的依据,审核证据是获得审核发现的基础,审核发现是做出审核结论的基础。

如何理解审核是一项技术评价活动？审核活动本身与审核活动的管理哪些事项有关？

(1) 通常审核均具有明确的目的。为实现其预期目的，审核员需遵循若干原则,并按照规定的程序实施审核活动。遵循这些原则是得出相应和充分的审核结论的前提，也是审核员独立工作时,在相似的情况下得出相似结论的前提。
(2) 审核员胜任审核任务所需的能办除通用的知识和技能以外,其对特定审核任务所需知识和技能的要求与某一技术领域有关、与专业有关，与审核人员对管理的理解和实践经验的积累有关。
|(3)审核是一种评价管理过程有效性、识别风险和确定满足要求的方法。为了有效地进行审核,需要收集有形和无形的证据。在对所收集的证据进行分析的基础上,采取纠正和改进措施。这对审核员的能力提出了要求和挑战。从大的概念上来理解,审核在各类型的认证活动中，即:管理体系认证、产品认证和服务认证中,均包含了审核方法的运用即审核的实施。
(4) 审核活动是一种集成的活动,被审核的对象是一个复杂的集合体。一个成功的审核项目不仅与现场审核中审核人员的能力表现有关,还与认证机构显性和隐性的认证过程的管理有关。所以,审核人员需要熟悉和掌握 GB/T 19011、ISO 17021-1、GB/T 27065 中有关审核过程的要求。
(5)审核活动客观地存在着风险。识别和评估审核风险是认证过程管理的重要方面。例如:审核抽样的目的是提供信息，而抽样的风险往往因为从总体中抽取的样本也许不具有代表性, 从而可能导致审核员的结论出现偏差，与对总体进行全面检查的结果不一一致。其他风险可能源于总体内部的变异和所选择的抽样方法。对审核风险进行识别和评估,进而采取有效的控制措施,以提高审核的有效性和提高认证结果的置信度,这是认证机构的责任。

对“审核”的理解：在 GB/T 19011 标准中,审核的定义是:“为获得审核证据并对其进行客观的评价，以确定通足审核准则的程度所进行的系统的、独立的并形成文件的过程”这一定义有以下几个方面值得关注:

(1)审核由一系列相关过程和活动构成。从审核的定义可看出,审核是-个过程。一个过程必须有确定的输人、输出、活动和资源，并通过过程方法对其进行管理,以实现过程的目标。

(2)在审核过程中,审核员通过采用适宜的审核方法,收集与审核准则有关的有形或无形的审核证据,依据审核准则对审核证据进行比较、分析和评价,以确定其满足审核准则的程度,从而得出审核发现和审核结论。

(3) 在“审核”定义中的“获得”“评价”和“确定”是三个典型的“活动”,既是审核过程的关键活动,也是审核关键技术的核心。

A“ 获得”客观证据的过程是一个取证的过程 ,涉及“抽样”。应根据抽样方案和所要求的数据类型,选择适当的样本。“获得”需要有适宜的方法,如:若决定使用统计抽样，抽样方案应基于审核目标和抽样总体的特征。审核可以采用条件抽样或者统计抽样。这些均涉及审核员审核时对审核技术的掌握和具体应用。

B“评价”所获得的客观证据并 C“确定"与审核准则的符合程度是审核的关键活动，也是审核技术的核心。基于抽样的审核活动,其最终的评价结果不是仅对样本负责,而是基于样本评价总体,从而对管理体系的符合性.有效性作出结论。首先应基于样本量、抽样的方法，以及基于这些样本和一定置信水平的估计对样本作出报告,然后通过对样本的报告评价总体的符合性和有效性水平。 审核的风险是客观存在的，其不确定性因素的来源有很多方面。审核是基于对受审核方管理体系的抽样,审核组所获取的审核证据来源于可获得信息的样本,抽样方法的局限性不保证受审核方的管理体系 100%符合要求。审核组通过审核方案的有效实施，以及现场审核技术的应用,将不确定性对审核目的的影响降到最低。

(4) 所谓“系统性”首先是指被审核的主体应体现其总体性、关联性、有序性和动态性的特征。另外,审核是一项正式、有序的活动,所实施审核严格按照规定的审核准则、程序和方法实施，审核程序要求确保审核组完整地实施审核,并充分、客观地评价组织的管理体系的各项活动、过程和结果。所谓“独立性”指审核人员与被审核的主体应不存在任何利益关系, 不参与被审核方的经营管理活动。第三方认证审核则应确保审核活动独立于受审核方而确保公正性。独立性是审核的本质特征,也是保证审核活动顺利进行的必要条件。

(5) 审核过程应“形成文件”是指审核过程的策划准备、实施、结果均要形成文件，如审核计划、检查表、记录审核证据的表单、不符合报告、审核报告等,从而体现审核活动的专业化和规范化。认证机构的内在管理过程中通常具有结构化的业务管理系统。其中将认证程序嵌入 ERP 系统,并已将审核活动使用到的各类表格内置化。又由于信息技术的广泛使用，审核组接受审核任务和将完成的审核项目资料提交均可实现网络化

重要术语

(1)评审:对客体实现所规定目标的适宜性、充分性和有效性的确定。

示例:管理评审、设计和开发评审、顾客要求评审、纠正措施评审和同行评审。

(2)评价:合格评定中选取和确定功能的组合的活动。

(3)监视:确定体系、过程、产品、服务或活动的状态。

(4)测量:确定数值的过程。

(5) 确定:查明一个或多个特性及特性值的活动。

(6) 验证:通过提供客观证据对规定要求已得到满足的认定。

(7) 确认:通过提供客观证据对特定的预期用途或应用要求已得到满足的认定。

(8)绩效:可测量的结果。

(9)有效性:完成策划的活动并得到策划结果的程度。

(10)风险:不确定性的影响。

审核关键技术的核心是评价技术。这项技术与认证领域内涉及的专业有关,与审核方法有关, 与审核能力涉及的知识和技能有关。

一、与审核技术有关的几个基本概念

审核技术是一项实践性很强的“实战型”技术。用“知行合一”的思想可以帮助我们理解审核技术的概念和内涵。

(一)“技术

什么是技术?广义地讲,技术是人类为了满足自身的需求和愿望,遵循自然规律,在长期利用和改造自然的过程中,积累起来的知识、经验、技巧和手段,是指人们从现实到达(或者说实现)理想目的的操作方法，包括相关的理论知识、操作经验及技巧。法国科学家狄德罗主编的《百科全书》给技术下了-一个简明的定义:“技术是为某一目的共同协作组成的各种工具和规则体系。”技术的这个定义,基本上指出了技术的主要特点,即目的性、社会性、多元性。任何技术从其诞生起就具有目的性。技术的社会性，技术的实现需要通过社会协作,得到社会支持，并受到社会多种条件的制约。技术的多元性,是指技术既可表现为有形的工具装备、机器设备、实体物质等硬件;也可以表现为无形的工艺、方法、规则等知识软件

(二)“专业”什么是专业?专业是专门的学问,所谓“术有专功”。

专门的学问/专门从事某种学业或职业/高等学校或中等专业学校所分的学业门类/产业部门的各业务部分。专业是指人类社会在科学技术进步、生活生产实践中,用来描述职业生涯某一阶段、某一人群，用来谋生,长时期从事的具体业务作业规范。

审核技术实践中审核员能力通常指:通用能力+某学科的水平+某--特定领域的知识和技能。后者中的学科和特定的知识和技能均涉及了某一“专业”。

(三)“技能”什么是技能?指能完成一定任务的活动方式。通常所论的“技能和技巧”是通过练习获得的。我们所学到的知识不能停留在领会水平,必须使它转化为相应的技能。技能可以分为动作技能、智力技能、交流的技能等。技能和能力不同，能力体现为顺利完成一项任务的个性心理特征。技能的形成以一定的能力为前提,也体现了能力发展的水平和差异。 (四)“方法”什么是方法?方法是指“通过一连串有特定逻辑关系的动作来完成特定任务,这些有特定逻辑关系的动作所形成的集合整体就称之为人们做事的一种方法。”学习和必要的时间与其他约束条件下的练习及操作，是可以完全掌握一种方法的。但方法的实施离不开人们的“态度”和“习惯”。

态度:思维感觉、信念和按照它们去行动的一种倾向。态度是--个人综合素质和能力的集中表现。从管理学的角度理解,不能统一人的思想，但可以统一人的目标。当人们有了一个确定的目标时,做事的态度是决胜的关键。态度不对的时候,做事的方法也自然会出现问题。习惯:是人们采用的几乎是潜意识的行为模式。很多情况下,人们更多按照习惯做事情。如果能够培养一个人的良好习惯,将极大限度地确保工作有更为有效的保障

对审核技术的基本认识

不同认证领域的认证人员需要根据自身所从事的具体认证领域,深人研究并掌握其涉及的审核技术,从理论知识、实践经验、操作技能和专门的方法等方面不断学习和实践，才能适应认证审核的需要。

(一)基本认识

首先,我们可以通俗理解:审核是个技术活儿。作为一项技术，审核与理论知识、实践经验操作技能和所掌握的方法等均有关系。例如:审核中需要对样本的抽样方案进行策划。这涉及了审核技术中的“选取”技术,所需要的基础理论包括数理统计和概率论的相关知识。审核员应掌握 GB/T 19011 标准中的重要概念,如:在标准的附录 A.6 中有这样的阐述:“抽样时, 应考虑可用数据的质量，因为抽样数量不足或数据不准确将不能提供有用的结果。”并“选择适当的样本应根据抽样方法和所要求的数据类型，例如为了推断出特定行为模式或得出对总体的推论。对样本的报告应考虑样本量、选择的方法以及基于这些样本和一定置信水平作出的估计。”

技术有目的性、社会性和多元性特点。审核技术也同样具有这些基本的属性。审核技术为实现认证的预期结果服务,而每一具体的认证领域认证又具有其特定目的。如,环境管理体系认证、信息安全管理体系认证、3C 强制性产品认证、服务认证等。

(二)审核技术关乎“专业”

在审核实践中,审核人员应具有的一定的专业水准。其专业特点体现在以下几个方面:

1 与审核有关的通用知识和技能(如，质量管理体系审核基础及技能);
2 某一学科的专业水平(等级)(如，计算机技术与应用专业大学本科四年的学历);
3 特定领域的专业知识和技能(如,计算机软件开发和系统集成专业知识和技能，涉及:网络通信基础、新网络技术条件下软件开发、模块设计、数据流图、软件构架技术、软件工程以及软件设计开发和系统集成质量管理的专业要求，如，基线和配置管理、测试和发布等)。

国际认可论坛 IAF 根据《欧共体经济活动统计分类》,编制发布《质量和环境管理体系认可范围》,将质量管理体系、环境管理体系和职业健康安全管理体系认证机构对管理体系认证业务活动划分为 39 个大类这些业务类别均与专业有关。通常情况下，认证机构会对所开展的认证业务活动的每一个类别进行专业分析,从而完成技术领域的划分，以确保有能力开展相应的认证审核活动。

技术领域是指“以与特定类型的管理体系及其与其结果有关的过程的共性为特征的领域”根据这个定义,认证机构须对各大类进行专业分析,基于专业特点和风险,识别每一认证业务范围中各小类专业所具备的特点对 39 个大类实施进一步的分类分组，从而确定每一技术领域的能力准则和能力评价准则同时,通过对技术领域的能力需求分析，识别技术领域内各专业小类之间的差异性，并遵循所确定的互通原则，为审核人员的能力拓展和持续保持能力提供依据。

(三)审核的核心技术是“评价技术”

认证审核是一-种合格评定活动,旨在为顾客、监管机构、产品和服务的提供者与其他利益相关方,针对特定的产品和服务符合规定的要求提供信任。而这份信任来自有能力的、公正的认证审核过程。有能力和公正的审核遵循合格评定的原则、方法与技术。GB/T27000《合格评定词汇和通用原则》提出并建立了各种认证活动普遍适用的合格评定功能法,确定了合格评定活动的关键技术。这些技术普遍适用于产品认证、体系认证和服务认证。

评价活动是合格评定功能法中的关键活动之一，而评价技术是审核的核心技术。对这项技术的掌握可以从以下几个方面理解:

(1) 评价过程也是一种决策过程。评价是指按照一定的标准(客观/主观、明确/模糊、定性/ 定量) ,对特定事物、行为、认识、态度等评价客体的价值或优劣好坏进行评判比较的-种认知过程,所以也是一种决策过程。
(2) 审核员须具备收集有形和无形证据的能力,并具有对收集的证据进行分析和综合评价,最终得出审核结论的能力。
(3) 有形证据通常是比较易于识别和评价的,而无形证据收集则对审核员有更高的要求。这一点通常与专业有关,与审核技能有关，与经验有关。认证检测技术服务的特性与其他服务是一-样的,服务是即时提供的,在交付之前无法对其进行验证,所以,认证活动涉及的所有职能的认证机构人员的能力是认证提供信任的必要条件。对具体项目进行评价时，由于过程的差异性和致因的复杂,使评价技术在应用层面具有相对复杂性。
(4) 由于审核的特征决定了审核基于样本评价的总体,所以综合评价在实际应用中具有显著的作用:综合评价能够对研究对象进行系统的描述;能够对研究对象的整体状态进行综合测定; 能够对研究对象的复杂表现进行层次分析;能够对研究对象进行聚类分析;能够有效地体现定量分析和定性分析相结合的分析方法。

具备国际互认条件的认证共性关键技术其主要内容包括:认证业务范围界定技术、认证能力模型及评价技术、认证方案技术、认证模式选择与应用、认证技术方法工具箱、产品和服务特性指标认知技术及测算模型、认证信度和效度量化评价技术等。认证关键技术研究与应用主要针对认证行业发展中的问题,发挥认证的作用和功能,解决认证技术难点和关键问题，更好地支持国家经济的发展。审核关键技术的研究和应用是其中重要活动之一，也是最基础、最关键的技术

审核技术的构成

审核员需要了解并掌握审核技术。根据 ISO 17000 标准,合格评定工具箱已对审核技术构成进行了理论基础性阐述。

(一)合格评定技术

合格评定可以适用于产品(包括服务)、过程、体系和人员。合格评定服务的各类使用者有其自身特定的需求,因此,不同类型的合格评定在实施时多有不同。但是所有类型的合格评定都遵循相同的基本方法。

1. 选取：选取包括策划和准备活动。其目的是收集产生后续功能所需要的所有信息和输人，选取活动无论在数量,还是在复杂程度上都有很大差异。通常,对合格评定对象的选取可能需要某些考虑,对象可能是大量的相同产品、正在进行的生产、持续的过程或体系,或者可能包括若干场所。
2. 确定：进行确定的目的是获得关于合格评定的对象或其样本满足规定要求情况的完整信息。很多确定活动没有特定的名称或叫法。如按规定要求对涉及或其他描述性信息的审查或分析。常见作为确定的典型活动，如，检测、检查、审核和同行评审。
3. 检测：检测是应用最为普遍的合格评定技术。“按照程序确定合格评定对象的一个或多个持性的活动。”在检测用于合格评定的情况下,其特性应包括在‘规定要求”中,构成合格评定的重点。
4. 检查：检查是合格评定的一种形式,具有悠久历史。在 ISO 17000 中对检查有如下定义:‘审查产品设计、产品、过程或安装并确定其与特定要求的符合性,或根据专业判断确定其为通用要求的符合性的活动。'检查覆盖非常广泛的领域及特性。例如，它可能包括商品和产品货物监管，对量值、质量、安全性、适应性的确定,以及工厂、安装、运行体系的符合性和设计适应性。
5. 审核：ISO 19011《管理体系审核指南》提供了审核指南。ISO 9000 和 ISO 14000 系列标准强调了审核作为控制和验证一个组织有效实施质量和环境管理工具的重要性。审核也是诸如外部认证/注册等合格评定活动,及对供应链评价和监督必不可少的部分。
6. 评价：ISO/IEC 17065 给出了评价的定义:“合格评定活动中的选取和确定功能的组合。”其适用范围覆盖了收集符合性证据相关的一系列活动。这些活动包括检测、检验和审核,同时也适用于其他活动。例如，医生分析和判断对病人所做的各类化验和检测,以支持其最终作出适合病人治疗和康复的诊断报告和医疗方案。

(二)根据 ISO 17000 对审核技术的进一步理解

ISO17000 标准指出:合格评定与管理体系、计量、标准化及统计等其他领域相互影响。” “国家质量基础设施”包括法律制度、仪器设备、机构人员等硬件和软件设施,是经济吐会可持续发展的战略支持,是质量强国的根基，具备技术属性、生产属性和贸易属性三重特征, 计量是质量监管的基础,为保障标准化、认证认可和检验检测的开展提供量化基础,主要解决量的准确性,推动社会化大生产从经验走向科学,是促进贸易达成的前提和基础;标准是质量监管的依据,为保障计量、认证认可和检验检测的开展提供统一的依据,主要解决量的一致性,深化了社会化大生产的分工与专业程度,是建立最佳贸易秩序的基本准则;包含认证认可和检验检测在内的合格评定是质量监管的重要手段,是推动标准实施提高标准化和计量管理水平的重要途径,主要解决量的符合性,提高了社会化大生产产品与服务质量水平,是推动贸易便利化的重要工具。(援引自《中国特色质检技术体系建设纲要》根据以上对合格评定相关概念和理论的了解与认识，我们需要站在更高层面和更宽泛的领域对审核技术进行研究和实践。审核人员应掌握的有关审核技术涉及对标准化、计量、检验、检测等相关技术的理解和应用。在深人研究质量强国基本理论过程中，关键的一环是加强技术体系的项层设计,开展关键性技术研究,夯实支撑质量发展和质量安全的理论和基础、实现理论和技术融合。 其关键技术的构成主要指:支撑认证认可的评价技术、支撑认证认可的检测验证技术、支撑 认证认可的质量可靠性技术。二、审核的基本方法可以采用一系列的审核方法实施审核。ISO 19011 标准中附录给出了常用的审核方法的说明。选择审核方法取决于所规定的审核目标、范围和准则，以及持续的时间和地点。还应考虑可获得的审核员能力和应用审核方法出现的任何不确定性,选择适当的审核方法。灵活运用各种不同的审核方法及其组合,可以使得审核过程及其结果的效率和有效性最佳化。

(一)审核技术路线

审核技术路线如图 4-1 所示,也展示了收集审核证据、形成审核发现、得出审核结论的思路和步骤。按图 4-1 所示,我们大致可以得出从获取信息到经评价后确定为审核证据,直至形成审核发现这样一条清晰的技术路线。步骤之间不可分割,最终实现证据的收集、审核发现的形成和分级,汇总后得出审核结论。整个过程始终将管理体系实现期望的结果作为关注的焦点。通过审核记录、审核发现和审核报告等实现对审核证据的可重查性和可追溯性。

(二)审核的基本方法

抽样：ISO 17021-1《合格评定;管理体系认证机构要求》标准的 9.4.4.1 条款指出:“在审核中应通过适当的抽样来获取与审核目的、范围和准则相关的信息(包括与职能、活动和过程之间的接口有关的信息),并对这些信息进行验证,使之成为审核证据。”

ISO19011《管理体系审核指南》标准中附录 B.3“抽样”条款指出:“在审核过程中,如果检查所有可获得的信息不实际或不经济,则需进行审核抽样。例如记录太过庞大或地域分布太过分散，以至于无法对总体中的每个项目进行检查。为了对总体形成结论,对大的总体进行审核抽样，就是在全部数据批(总体)中,选择小于 100%数量的项目以获取并评价总体某些特征的证据。”

审核抽样的目的是提供信息,以使审核员确信能够实现审核目标。

抽样的风险是从总体中抽取的样本也许不具有代表性，可能导致审核员的结论出现偏差,与对总体进行全面检查的结果不一-致。其他风险可能源于抽样总体内部的变异和所选择的抽样方法。

典型的审核抽样包括以下步骤:

1 明确抽样方案的目标;
2 选择抽样总体的范围和组成;
3 选择抽样方法;
4 确定样本量;
5 进行抽样活动;
6 收集、评价和报告结果并形成文件。

抽样时,应考虑可用数据的质量,因为抽样数量不足或数据不准确将不能提供有用的结果。应根据抽样方法和所要求的数据类型(为了推断出特定行为模式或得出对总体的推论)选择适当的样本。对样本的报告应考虑样本量、选择的方法以及基于这些样本和一定的置信水平做出的估计。如果决定要使用统计抽样,抽样方案应基于审核目标和抽样总体的特征。

统计抽样设计使用一种基于概率论的样本选择过程。

当每个样本只有两种可能的结果时(例如正确或错误,通过或不通过)使用计数抽样。当样本的结果是连续值时使用计量抽样。

抽样方案应当考虑检查的结果是计数的还是计量的。例如，当要评价完成的表格与程序规定的要求的符合性时，可以使用计数抽样。当调查食品安全事件或安全漏洞的数量时,计量抽样可能更加合适。

(三)审核思路

审核活动应遵循特定的方式,并实现对过程的系统评价。面对复杂的审核对象,审核活动并不是离散的,有效的审核通过审核方案的策划确定审核目标,并针对审核的具体情况选择和确定特定的审核路线和方式。审核的思路一旦确定,在其指引下编制详细的审核计划，以利于审核证据的获取。

1. 审核方式总概有以下几种方式:

(1) 顺向追踪。按照事物的自然逻辑、根据组织过程识别的结果进行审核。如,从生产制造的第一-道工序到最后一道工序(不是逐道工序的查，而是利用抽样方案，面对“总体”从中抽样审核);从影响的因素查至其结果;或从接收客户的订单跟踪到产品服务的交付。
(2) 逆向追溯。依然是按照管理过程的运行进行审核,但为更方便获得审核证据并对其进行评价，可采用反向查证的方式。如,审核员可以从了解组织某过程当前的过程绩效入手,确定质量目标实现的情况,进而从过程的实施查程序的规定,从质量目标实现的趋势情况追溯目标的制订、过程的识别，以及过程拥有者及其职责的规定,达到从形成的结果查影响过程的有效性和效率。以及影响过程质量的因素。
(3) 基于过程的审核。详细见“基于过程的审核"部分的阐述。
(4) 按照部门的分工审核。这种审核是以部门为核心安排审核时间和审核技术路线的一-种审核方式。一个部门往往担当若干过程的职能，因此，审核时需要关注其主责的过程和在其中仅起配合作用的过程职责,进而在对于部门审核时不遗漏主要过程,还兼顾到过程的相互关系和作用

2. 审核的关注点和正确方式的选择

(1) 审核的关注点。审核的关注点首先是组织的总体目标、过程绩效如何和正在实现的程度。应始终关注在实现组织目标方面管理体系运行的趋势如何;第二是顾客和法律法规的要求是什么?是如何被组织识别、确定并被纳入合规管理的?在实现管理体系的期望结果方面, 过程是否有效;第三是在审核中应关注组织的最高管理者对审核过程及认证服务的期望。
(2) 审核方式的正确选择。由于审核是在有限的时间内、有限的资源条件下进行的，故审核的基本方法是“抽样”。审核抽样过程客观的存在着不确定性。这也反映了基于“样本”的审核具有一定的局限性。得出审核结论和根据审核结论采取措施的受审核方，都应关注这种不确定性。为了降低抽样造成的不确定性,审核抽样应遵循“明确总体、合理抽样”的原则，针对所选择的信息源，,明确样本总量,并从中抽取代表性的样本与足够的样本量,进行查证。审核员可以根据特定的审核线索,选择合适的审核方式。例如，当发现过程的某个绩效实现情况较差,或者具象到某--产品特性的合格率偏低,那么,对该过程的审核就可以围绕这个问题展开。

另外一个重要的方面，就是审核员应根据审核目标的不同，通过审核方案的策划选择适宜的审核方式,并确定审核的技术路线。例如，初次认证审核、监督审核、再认证审核、特殊审核的抽样方案都是不同的。再如:某--组织在监督审核时的审核路线安排,就与组织管理体系上一年度运行情况和体系的变化情况有关。

(四)收集审核证据的方法

在审核过程中,与审核目的、范围和准则有关的信息，包括与职能、活动和过程之间接口有关的信息,应当通过适当的抽样进行收集并验证。只有能够证实的信息方可作为审核证据。审核证据应当予以记录。

1. 信息的作用

在审核中所收集信息的代表性、相关性、充分性、适宜性与证实性将影响审核实施的有效性。确定充分和适当的信息源,采用适宜的方法收集信息并进行证实,是寻找审核证据,形成审核发现与得出可信的审核结论的基础。

2. 信息的收集

在审核过程中,需要根据审核目的所规定任务并对照审核准则要求,在审核范围中确定要审核的项目和相关的问题,然后确定适当的信息源,并确定抽取的样本量以及验证信息的方法，以寻找客观证据(这也是检查表与抽样计划通常所包括的内容)。

3. 信息与审核证据的关系

审核证据应与审核准则有关,并且是可证实的,在审核中收集的与审核准则有关的信息。审核证据建立在获取的信息样本的基础上。只有能够得到证实的,方可作为审核证据。

4. 收集信息的方法

审核过程中收集信息的方法除与审核所用技术有关外,还与审核人员与受审核方相关人员的相互作用有关。可以单独或者组合地运用审核方法，以实现审核目标。如果一次审核涉及使用多名成员组成的审核组,可以同时使用现场和远程的方法。远程的审核指可以借助交互通信手段的审核:

1 进行交谈(电话、QQ 对话、远程视频);
2 完成检查单或问卷;
3 文件审查。

所有审核方法的应用,需经过有效的策划,审核方案管理人员或审核组长都应对具体审核中有效运用审核方法负责。审核组长负责审核活动的具体实施。审核方法是实现审核目标的手段,需要参与审核的各方恰当地扮演好角色，让技术真正在认证的实践中发挥作用。

在审核方案中,应确保包含了对适宜和平衡地进行现场审核方法的应用，以确保圆满实现审核方案的目标。这里包括对检查单和审核作业指导性文件的使用。下面的示例是以“审核要点”表达现场审核方法的-一种方式。

(五)对纠正措施的验证

对纠正措施有效性的验证应关注以下方面:

(1)不符合原因分析是否准确?
(2)是否针对不符合项的原因确定了切实可行的纠正措施计划?
(3)纠正措施计划是否按规定的时间期限实施?
(4) 纠正措施的实施情况是否进行了自我验证?是否有效?
(5) 纠正措施计划及实施结果是否有相应的记录?纠正措施引起的文件化信息的更改是否形成文件?是否得以实施?
(6) 纠正措施的实施结果能否起到防止同类不符合项再次发生的效果?

(六)跟踪验证的流程

审核员按审核目的实施纠正措施的跟踪验证,通常按以下步骤:

(1)审核员确定不符合项;
(2) 受审核方代表确认不符合项;
(3) 审核员提出纠正措施要求，包括完成纠正措施时间的要求及跟踪验证方式的要求。纠正措施的完成时间，如第三方认证根据认证机构规定执行。
(4) 受审核方制订纠正措施计划并实施纠正措施。制订和实施的纠正措施必须能够消除产生不符合的原因,不能只是纠正。
(5) 受审核方自我验证纠正措施并记录。受审核方完成纠正措施后,应实施自我验证，检查是否还有类似问题产生，确认纠正措施已达到消除产生不符合原因的效果，确保今后不再发生类似问题。
(6) 审核员将跟踪验证的结果形成书面报告,提交委托方(如认证机构)。

5. 调查取证的方法技能

现场审核可以通过现场观察、查阅文件和记录、与当事人交谈等方式进行。

(1) 善于提问。审核员在现场审核中基本是按照检查单,对有关审核事项的相关信息进行询问。这需要在自然、和谐的气氛下进行。提问往往是审核交谈的开始。提问的技巧方法是实践获得的。归纳一- 下提问的方式可以是:开放式提问、封闭式提问和澄清式提问。无论哪一种,都需要审核员在现场结合实际需要，灵活掌握和运用。

(2) 注意倾听。审核员要注意听取谈话对象的回答,并从中捕捉有用的信息。有些“无形证据”的获取往往非常重要。

(3) 仔细观察。审核员要仔细观察现场的环境、设备设施、人员的表现、运作的状态，包括各类应具备的条件。发现有问题时，要深人核查以确定客观证据。客观证据是建立在观察、测量、检验和试验或其他手段所获事实的基础上,被证明真实的信息。

(4) 做好记录。审核员在现场审核的过程中需要“口问手记”,对调查取证的信息做好记录。所做的记录包括:时间、地点、事件、人物等。重要的客观证据涉及的文件的编号、记录的日期和标识等应适当记录。当审核中评价可能是一项不符合时,审核记录应适当详细。审核员应在对某--片段的审核结束时,记录中给出当时的评价结果，即:以上审核的结果评价基本符合,或存在不符合,或符合。

(5) 善于追踪验证。审核员必须善于观察和判断,追踪不同来源所获取的对同一问题的信息, 从差别中判断过程的真实状况，客观的评价符合的程度。审核员必须善于追踪管理体系运行的来龙去脉，发现主要问题、识别主要因素、确定关键环节,为每一一次成功的审核提供有力的手段。

另外,至关重要的是,收集信息的方法不仅仅是查阅文件和记录,还包括面谈和观察。有些管理体系还会包括对过程绩效的测量，如环境管理体系有关环境绩效的检测。又比如信息安全管理体系审核中对服务器存储空间冗余的测量,等等。再就是通过观察收集信息

基于过程的审核

研究审核的方法必须基于对审核对象的分析和理解。无论是管理体系认证、产品认证或服务认证其中一个重要的环节就是对其组织的过程进行审核，并对过程在实现预期结果的能力方面的总体评价。我们必须了解组织的经营活动并掌握管理体系的特征和各过程的特点。管理体系的特征

任何一个组织的业务活动都是客观存在的。其业务由具有各自功能的过程组成。组织的这些过程相互关联并相互作用，且通常表现为复杂的过程网络。为实现预期的结果,组织需要将管理所需的相互关联的过程作为一个体系来加以管理和控制。

任何一个组织的质量管理体系的设计和实施都会受到以下方面的影响: 组织的业务环境及其与该环境相关的各种风险和机遇;

组织的顾客及其相关方不断变化的需求; 组织预期的目标;

所提供的产品和服务; 所采用的资源和过程; 组织的规模和结构。

组织将根据内、外部环境的变化及相关方的需求,确定组织的经营战略,从而确定出质量方针和目标。组织根据所确定的目标、自身现有的资源和管理习惯来确定所需的质量管理过程, 策划并建立组织的质量管理体系。

同样的产品和服务、同样的业务活动,每个组织为此所确定的质量管理体系过程的多少和负责程度可能是不同的。管理体系的运行方式也会不同。

组织拥有可被确定、测量和改进的过程。这些过程相互作用,产生与组织的目标相一致的结果,并跨越职能界限。某些过程可能是关键的，而另外一些则不是。过程具有相互关联的活动和输人,以实现输出。(援引自 ISO 9000 2.4.1.3“过程”组织的人员在过程中协调配合, 开展他们的日常活动。依靠对组织目标的理解,某些活动可被预先规定。而另外--些活动则是由于外界刺激的反应,来确定其性质并予以执行。(援引自 ISO 9000 2.4.1.4“活动”) 评价组织的质量管理体系,应遵从组织已确定的质量管理体系过程,并围绕与组织业务过程相关的活动,对照相应的审核准则来进行评价。只有这样的审核方法才易于被受审核组织所理解和接受，也切合组织的实际运行情况。

过程的特点、类型和确定

在 ISO90002015 中对“过程”有这样的阐述:“组织拥有可被确定、测量和改进的过程。这些过程相互作用,产生与组织的目标和跨部门职能相一致的结果。某些过程可能是关键的，而另外一些则不是。过程具有内部相关的活动和输人，以提供输出。”我们可以围绕以上的阐述来理解过程的特点,从而为过程方法的应用奠定基础。

1.过程的特点

ISO9000：2015 给出了过程的定义:“利用输人提供预期结果的相互关联或相互作用的一组活动”。对于一个组织来说,过程是客观存在,组织的任何活动都是通过过程及过程网络来实现的。然而，组织可以根据管理的需要去划分和定义运营所需要的所有过程。

通常情况下,过程是首尾相互链接的，即一个过程的输出是另一个过程的输人。这样,过程之间的连接就构成了-一个过程网络(或称之为过程系统) ,并以此来实现其系统功能和过程预期的输出结果

根据标准 GB/T 19001 标准中 4.4.1 条款中 a)项至 h)项的要求,每个组织都应确定实现其经营目标所必须的过程的数量和类型。一个过程可以成为组织现有的一个(或多个)过程的组成部分,也可以由组织根据不同于 GB/T 19001 标准中的要求进行界定。

(1) 在一个组织的管理系统中,过程通常被界定为管理过程、支持过程和运作过程。这三大过程构成了所有组织的管理体系。
(2) 组织应确定其过程所需的输人和期望的输出;应从实施过程所需事项的角度考虑过程需要的输入;应从顾客期望或后续过程的期望角度考虑输出;输入和输出可以是有形的(如材料.零件或设备)，也可以是无形的(如数据、信息或知识)。
(3) 当确定这些过程的顺序和相互作用时,应考虑与前后过程的输人和输出的链接;表明过程的顺序和相互作用细节的方法取决于组织的性质;可以使用不同方法，例如保留.或保持成文信息(如过程图或流程图)或更简单的方法,例如口头描述这些过程的顺序和相互作用。
(4)为确保过程有效(即获得策划的结果)，组织应确定和应用过程控制准则和方法;监视和测量准则可以是过程参数，也可以是产品和服务规范;绩效评价应与监视和测量相关,或与组织的质量目标(准则)相关;其他绩效评价方法包括报告、图表或审核结果。
(5) 应确定支持过程所需的资源,例如人员、基础设施、过程运行环境、组织知识及监视和测量资源(见 ISO 9001:2015 第 7.1 条) ;对资源可获得性的考虑应包括现有内部资源及可从外部供方获得资源的能力和约束。
(6) 应确定这些过程的活动,并确定完成这些活动的人员,由此规定组织过程的职责和权限;职责和权限可以用成文信息描述,例如组织结构图、程序文件、运行方针及岗位职责,也可以采用更简单的口头指示方法。
(7) 与过程相关的风险和机遇的应对措施(见 ISO 9001 :2015 第 6.1 条)，应确保得到实施。
(8)利用制订的监视测量准则获得过程绩效数据;分析和评价这些数据;并实施所需的变更以确保这些过程始终实现预期结果。

典型的过程类型

从过程的功能的角度,组织可以将其 QMS 过程分为以下几种类型:

(1) 组织管理类的过程:包括战略策划、制订方针和策略、设定目标、确保沟通、确保为了组织质量目标和产品的预期结果可获得必要资源,以及管理评审等相关过程。

(2) 资源管理类的过程:包括一切提供资源的过程,而这些资源是实现组织的质量目标及产品的预期结果所必需的。

(3) 产品和服务提供的运作过程:这包括能实现组织产品的预期结果的- -切过程(包括外包过程)。

(4) 测量、分析与改进过程:包括为绩效分析和改进有效性与效率所进行的测量和收集数据的过程。这可以是测量、监视、审核、绩效分析与改进等过程。测量过程通常作为组织管理、资源和产品实现过程的-部分,分析与改进过程一般作为独立过程,并与其他过程相互作用。分析与改进过程从其他过程的测量结果得到输入,并为其他过程的改进提供输出。仅仅划分过程,不是组织确定过程的真正目的。而搞清楚过程的输人和输出关系,并对过程的接口进行有效管理,从而使过程的预期目标最大化，才是组织识别过程和管理过程的真正目的所在。

过程的识别和确定

过程的确定是组织的责任。前提是对组织每-一个过程的识别。确定过程的步骤和方法:

(1)识别并明确组织的顾客要求和适用法规的要求,进而确定组织的方针和目标。
(2) 根据顾客和法规的要求及组织的目标确定必须的过程和所需的资源。
(3) 基于组织的总体利益,从有利于管理的角度，确定过程的责任者,定义过程的具体目标或指标。
(4) 确定产品和服务提供过程及类型和数量,从产品和服务的特性出发界定这些过程的功能。包括识别和确定外包的过程以及特殊或关键过程。
(5) 确定过程所需的监视、测量、分析和改进的过程,为组织过程的优化、持续的改进、提升提供方法。

基于过程的审核

作为审核方法的一种 ,基于过程的审核是一种审核的思路和方法。其与往常以标准条款要求为出发点去寻找审核证据,并做出判断的审核思路不同。基于过程的审核方法的出发点是受审核方的实际业务各过程和相关活动。

1.基于过程的审核具有以下特征

(1) 过程导向,多关注组织的实际过程活动及过程的接口而非文件,不仅包括是否遵守程序,还包括程序是否正确、重要的过程是否被识别出来并进行了充分的控制(必要时文件化)、过程接口的管理。
(2) 顾客导向,不仅考虑认证客户的需要，同时考虑客户的顾客(从被认证组织采购或接受产品的人)的需要,在每个过程中关注与客户顾客的要求如何被分解和落实。将审核发现与组织提供合格产品能力的影响相关联,为组织的顾客相信其体系有效地产生期望的产品提供信心。
(3) 结果导向,包括每个过程的绩效和体系的总体绩效。总体绩效与每个过程绩效的相互关联及有效性。多关注过程的结果而非仪是文件和纪录,收集并信任除纪录以外的其他形式的证据。
(4) 价值导向(对认证客户的改进是有用的),利用“P D-C-A”评价组织过程为达到预期目标的有效性,重点关注影响产品质量形成的产品或服务实现过程、支持过程和管理过程中影响预期产品或服务的关键因素。
(5) 关注组织过程和体系的持续改进。通过对过程绩效的系统分析,发现过程的波动和改进点，促进组织在体系管理方面的改进，提供增值服务。

基于过程的审核方法与技巧

“方法”一词希腊文中含有“沿着”和“道路”的意思,表示人们活动所选择的正确途径或道路。“方法”一词在我国不仅使用早,而且与希腊文“方法”一词涵义相一致，即认为“方法”,就是“行事之条理也。”当然,谈到方法自然是为完成任务,就要解决具体的手段问题,就如同过河可以用船也可以用桥。不能解决船或桥的问题,过河就是一句空话。而具体怎样使用船和利用桥过河就是方法问题。如一个有经验的指挥官，当率领大队人马过一座简易桥时，总会下达齐步走的口令,并变队形为一行或两行,让桥能承受队伍的通过，以防止超重或正步走时产生的共振,造成桥梁倒塌。同样用船过河时，也要根据船的大小和结构,河面宽窄,水流速度以及风力和水浪的大小，决定船上划桨的人数,每次坐船过河的人数以及划船过河的航线。这些都是属于使用船的方法。

(1) 基于过程的审核与依据标准逐条款的要求进行审核的方法完全不同。组织的过程贯穿所有相关部门或职能。某--个过程的实施和有效性的判定会涉及多个标准条款，也会随着业务流程自然在部门之间协调运行。组织业务过程的设计和实施不是按照标准设计好的，而是在经营中根据生存的需要自然形成和客观存在的。审核中的“对标”是审核员的事情，而组织依据标准的要求建立和实施管理体系的目的是实现自己的经营目标。基于这个分析，审核计划在安排时就应以过程为对象，如:产品的设计过程、采购过程、生产或外包过程、售后服务过程等。一旦过程确定后,通过计划安排显示具体审核时间和标准那些条款的要求与这个过程有关。

(2) 各类管理体系标准在自身的进化过程中，管理体系获得升级。例如质量管理体系,最早的ISO 9001 :9004 的 20 个要素,就是按照条款做好 S 检查单,并围绕其所列问题回答“是”与“否”。ISO 9001 :2000 标准从发布就确立了过程方法的主导地位。我们已经开始尝试基于过程的审核方法,因为这更接近于受审核组织的运作方式。而 2015 版的 ISO 9001 更是将过程方法、PDCA 循环和基于风险的方法完全整合在一起使用，更有力地支撑了管理体系为组织的生存和持续发展奠定管理基础。

基于过程的审核的准备步骤

(1) 首先,应当获得对组织业务过程的总体了解,理解组织的宗旨和业务目标,并仔细审查组织的成文信息。

(2) 然后,完成以下针对过程的活动:

识别组织的产品和服务及影响质量的主要过程; 检查过程之间的相互关系和相互作用;

确定所有过程是否被整合成一个系统，以及是否考虑了标准的所有要求;

对体系的过程进行分析,包括:识别每个过程的负责人、确定每个过程的输人、输出和约束条件(控制和资源限制)、确定每个过程的 PDCA 活动、针对每个过程编制审核用的检查清单。

(3)最好的做法是在初次认证审核前，编制三年一个认证周期的审核方案。方案中包括对组织各主过程和子过程的确认及完整周期内审核覆盖情况的策划。可以用“矩阵图”的方式给出直观的表述,为后续的审核计划安排提供便利。

基于过程的审核从查证过程开始。审核员需要花费-定时间在现场审核前通过审核计划的安排来了解和熟悉组织的过程,初步了解过程是怎样运行的，审核是从这里开始的。许多过程跨越职能或者涉及多个部门。审核员应当通过分析-个过程的 PDCA(也就是这个过程的来龙去脉)，识别标准的哪些条款是这个过程必须满足的，且基于风险确定过程管理的优先级,然后通过审核方法的运用使审核顺利开展。

在审核中,审核员应当先与过程负责人面谈。过程负责人能够提供关于过程运行情况的最佳信息。此外还应当与其他关键人员面谈，以完整地了解过程运行情况。如果发现问题,则需要与有关人员讨论标准的适用条款。这时应当准确引用标准中的语言,并在必要时进行澄

清。审核员应当对每个过程的运行逐一进行审查以获得客观证据。如果有审核发现,特别是形成了不符合,审核员应当与过程负责人和其他有关人员进行交谈,描述审核发现，特别是在不符合的事实上达成共识，为过程的责任人真正有效地采取纠正措施提供过程的增值。

审核员还可以识别改进机会。改进机会不是审核发现，而是基于标准提出的改进建议。

审核轨迹

审核轨迹是在 ISO9001 审核实践工作组(APG)的《质量管理体系标准及支持性文件应用工具箱》中提出的。其概念的内涵认为“审核轨迹"是一个系统化的基于特定样本,用来收集关于一系列相互关联过程的输出满足期望结果的证据的方法。因为证据必须有轨迹，且清晰明确。审核轨迹的提出促使从事审核方案管理和审核计划编制的人员,有意识地去设计和规划一次有效审核的技术路线。审核轨迹将清晰展现证据链,使得每一次对所选样本的审核结果都构成完整审核结论得出的有用信息。

审核组长在策划审核时，必须了解被审核组织所生产产品的特性、生产的流程和工艺,并了解组织设计→采购→生产加工→检验、试验→不合格品的控制→入库→销售,以及售后服务各过程及相互关系，根据了解到的情况,再策划和编制审核计划，以确保审核组每一位审核员对样本的选择有清晰的目标，并确保各小组之间的样本审核能够形成完整的证据链。例如,审核员在审核中会去生产车间进行审核。审核员能够观察到现场正在进行着什么，能够识别当时所生产的产品的订单编号。基于这个信息(订单编号)，审核员应该能够很容易地在销售部门识别出与顾客所确定的关于该产品或服务的规格和质量特性要求,并可据此抽取相关样本。这一思路意味着审核组有能力通过检查该过程,判定所发生的事物得到控制并且满足规范要求的程度以对采购活动的审核为例。审核员需要识别针对所抽取的订单(审核样本),了解采购的物料品种和规格型号等。这些在采购需求清单中应已作出规定。审核员需要理解过程的输人、输出和所需要开展的活动。所以，审核轨迹应能显示审核员是否了解了采购信息清单是怎么来的?谁来对此负责?根据采购清单编制的采购计划需要谁来审批或核查?按照标准的要求对于供方的评价、选择和再评价是需要控制的。这个过程又是谁来负责的?当采购计划有特殊要求时,如何确保采购过程有效?等等。

在“审核轨迹”的思路指引下,正确的样本选择显然十分重要。

审核的起点是所选择的样本,并识别事物的过程路径和控制方式及手段。重要的是样本应该是有关联的，应关注事物存在的时间和空间的逻辑关系。但情况往往是,审核员在过程的不同阶段均进行了抽样。这些样本彼此之间没有关联或与初始的样本之间没有联系,这意味着审核员无法验证被审核的过程是否有效。审核员只能检查是否正确填写:特定的记录(这样的审核可能使得管理体系的过程驱动变成了“空想”)。尽管程序、表格、检查表等都是为了确保过程得到有效的管理和控制,但重要的是，审核员应理解来自其所审核的过程对上述文件的需求。无形的证据客观存在于受审核组织的业务流程中。这需要审核员去观察、休会, 以及去验证。

真如果不花点时间去理解受审核方产品或服务的特性，包括适用的法律法规要求，第二方或第三方审核员是无法实施对一个组织的审核的。“审核轨迹”是一种专业化的审核方法, 使审核员能够识别过程的薄弱环节,并决定组织是否有能力满足特定的要求。“审核轨迹” 的方法可适用于所有内部以及第二或第三方的审核

远程审核技术

在当今计算机信息技术和网络技术迅速发展、多学科知识积累和多种技术有机结合的技术背景下,企业的管理模式和管理方式正在发生大变革。综合运用管理技术、计算机信息技术等技术的新管理模式将逐步取代传统管理模式，企业的信息处理能力及经营计划与控制能力将迅速提高。组织在管理体系运行和控制方面对电子介质的依赖性不断增强。这就要求认证机构及其审核员考虑新的方法，以确保审核的有效和高效。他们需要重新确定对过程及相关文件(包括记录)进行评价的方式,以验证其是否符合审核准则。2008 年,IAF 发布了《计算机辅助审核技术在获得认可的管理体系认证中的使用》。CNAS 依据此文件编制了 CNAS-CC14。有效应用 CAAT 的目标是:

(1) 认证机构及其组织可以用 CAAT 加强常规的审核过程,从而提供一套具有充分灵活的未作限定的方法以满足行业的要求。

(2) 确保对 CAAT 的使用有足够的控制，包括由 CNAS 实施充分的监督,以防止滥用 CAAT,并避免过度的商业压力对认证过程完整性与可信性可能造成的损害。

这种计算机辅助审核技术(CAAT)的示例有:

1 电视电话会议;
2 网络会议;
3 通过网络及逆行交互式通信;
4 通过电子方式远程访问管理体系文件和(或)管理体系过程。

注：2020 年 12 月 24 日 CCAA 中国认证认可协会发布了团体标准《远程审核指南》

实施审核的认证机构和受审核方应当商定审核员将如何访问和使用电子文件信息。这可能需要考虑以下方面:

允许审核组成员有机会熟悉受审核方的电子文件信息系统(包括在审核计划里为此安排充足的时间);

受审核方信息技术设施的使用政策;

访问指导书、必要的访问安全许可、相关的组织文件和记录;

确保审核员在审核中和审核后对电子文件和记录予以保密的保障措施和过程。审核组织应当确保所挑选的审核组有足够能力对电子文件信息系统进行有效的审核。

远程审核(Remote Audit)。在 ISO 17021-1 标准 9.4.1 条款中指出:“当审核的任何部分以电子手段实施时,或拟审核的场所为虛拟场所时，认证机构应确保具有适当能力的人员实施此类活动。在此类审核活动中获得的证据应足以让审核员对相关要求的符合性作出有根据的决定。”

“现场”审核可以包括对包含管理体系审核相关信息的电子化场所的远程访问，也可以使用电子手段实施审核。使用信息技术,在客户物理现场以外的地方通过互联网连接，在线实施的客户现场审核活动，如基于互联网的交互式通信、网络会议、电视电话会议、视频通话直播、AR 虚拟现实等。该信息技术应用并不影响审核人员对受审核组织审核现场特征、资源环境、体系运行状况等有效证据的获取。

随着我国认证事业的发展,基础技术研究和实践的活动一直都在进行。其中，各类专题研究均有清晰的目标方向，也都不乏课题的输出。如:中国合格评定国家认可中心(CNAS)从 2007年就开始成立专门的认证有效性关键技术课题组,设立了 9 个方面的课题研究方向进行深入研究和探讨，并将课题腧出的 9 个指南文件公开发布，供认证机构和人员参考使用。研究的输出结果涉及：多场所认证技术、基于过程的审核、确定审核时间、两阶段审核、审核方案管理、审核记录的适度性、审核报告编制等。在后续的时间里,认可委 CNAS 还不断发布有关技术类文件,如:《能源管理体系(EnMS)能源绩效参数和能源基准的建立方法及认证审核》。另外，由 ISO/TC 176 设立的 ISO 9001: 2000 审核实践小组以及 IAF 共同编制的《ISO 9001 审核实践指南》中,多篇文字广泛涉及了审核技术的研究和论述。

工具原指工作时所需用的器具,后引申为达到、完成或促进某一事物的手段。工具箱能让我们工作起来得心应手,为实现目的提供手段。

方法与手段在完成任务的过程中紧密相联,但有所区别。审核任务的完成离不开具体方法与手段的运用。审核员必须对方法与手段的涵义进行界定，做到有效结合,以完成审核任务实现。

工具的使用：审核组的“准备工作文件”进行了规定。这些工作文件可包括:

检查表;

审核抽样方案;

记录信息(如支持性证据、审核发现和会议记录)的表格

(1) 检查表的编制和使用。审核员应学习和掌握以上审核工作文件。如,检查表作为审核员审核中使用的一-种辅助工具,在形式上,无论是与审核记录表合二为一,还是各自单独存在,作为收集客观证据的工具,对于现场审核证据获取均十分重要。两者在运用上也可具有一定的灵活性。为某一特定审核编制并得到正确使用的检查表,可以帮助审核员更好地开展审核工作,有助于基于审核的特征,在遵循审核原则的基础上，确保审核员独立工作时,在相似情况下得出相似的结论。

(2) 抽样方案的确定。审核信息的收集首先识别信息的来源,并根据样本总量和其他信息确定抽样方案。抽样方案的策划是审核方案制定的组成部分,也是最终制订具体审核计划中必须要清晰表述的主要内容。从审核风险控制的角度出发,抽样方案的制订和实施也会直接影响审核结论的得出。

(3) 审核记录表格的使用。审核记录是对审核证据的客观描述,是形成审核发现的基础。就第三方审核而言,审核记录为评价受审核组织管理体系的运行结果是否满足相关标准的要求提供了支持性的客观证据。

认证机构作出认证决定时要求审核组向认证机构提供的信息中至少应包括审核报告、对于不符合的意见等。审核报告以审核记录为基础,是对审核活动中(包括文件评审和现场审核活动)形成的所有审核发现的归纳和总结,是基于审核目的并对所有审核发现进行分析、评价的结果。

审核记录可以有多种体现形式，包括书面记录、电子数码图像、录音、照片、复印件、标识图形或它们的组合。认证机构可灵活地选择编写审核记录的方式和方法。重要的是应确保审核记录清晰、可信和可证实。

基于互联网大数据的审核证据的获取和利用

当今社会已经全面进人互联网的世界,大数据已经成为各行业不可或缺的资源和财富。机构可应用大数据技术、数字音视频技术、GIS 技术等实现客户基本信息必要性及有效性核查、客户合规情况核查、审核范围、运行时间核准、体系文件符合性审查、认证机构业务匹配。必要时,还可以进行客户现场运行环境远程初访(GPS 定位)。

在审核方案策划过程中,机构可应用大数据技术、GIS 技术，时间戳技术,AI 技术等进行审核方案策划,包括自动匹配专业小类、GPS 定位确定人员到、离场、人日核算、审核员智能匹配、审核计划智能生成等。必要时,可增加人工核准流程,确保审核方案合理、合规审核中的审核技术应用。

审核技术的应用,体现在认证活动的全过程。其中,选取、确定、评价自始至终贯穿在审核活动中。在这项技术的应用中,审核人员围绕产品和服务及其相关质量、环保、安全等的管理活动，这些将涉及计量和标准化应用及管理技术、质量技术方法等。同时,依据认证认可标准规范、规则和程序使用相应的检验、检测、审核、评价活动。

1.产品特性、服务特性和过程特性

对某一组织产品和服务特性的识别、对组织过程特性的识别，这直接关乎认证过程的有效性和认证结果的可信度。组织的管理体系为经营管理服务,管理体系的最终期望结果是产品和服务符合规定的要求,组织具有满足法律法规和持续满足顾客要求的能力。

(1)特性。特性是可区分的特征。特性可以是固有的也可以是赋予的;特性可以是定性的也可以是定量的。有各种类别的特性:物理的、感官的行为的、时间的、人因工效的、功能的。
(2)功能。功能的定义是对象能够满足某种需求的一种属性。凡是满足使用者需求的任何一种属性都属于功能的范畴。满足使用者现实需求的属性是功能,而满足使用者潜在需求的属性也是功能。功能作为满足需求的属性带有客观物质性和主观精神性两方面，称为功能的二重性。产品功能是指这个产品所具有的特定性能,即产品总体的功用或用途。产品功能是指产品能够做什么或能够提供什么功效。
(3) 性能。性能是指产品所具有的性质与效用，通常情况下指产品的质量,性能越高表示其质量特性等级越高。
(4) 功能和性能的区别。功能是一个产品有哪些用途,它能干什么。性能是这个产品在干具体事情时候表现得怎么样。例如，一部手机可以打电话、发短信、玩游戏、听歌、看电影、拍照,等等,这些就是手机的功能。而这部手机打电话怎么样(接收信号好不好),发短信又如何(打字方不方便) ,玩游戏爽不爽(电池是否经用，会不会白屏关机) ,，听歌看电影棒不棒(画面音质是否很赞) ,拍照强不强(照片分辨率是否为 1080P，像素高不高),等等,这些就是手机的性能。

对产品和服务特性的识别

审核中对产品和服务特性以及过程特性的识别至关重要,以质量管理体系审核为例:顾客要求的产品具有满足其需求和期望的特性。这些需求和期望在产品规范中表述,并集中归结为顾客要求。顾客要求可以由顾客以合同方式规定或由组织自己确定。产品要求可由顾客规定, 或由组织通过预测顾客的要求规定,或由法规规定。产品要求有时与相关的过程要求一起,被包含在诸如技术规范、产品标准、过程标准、合同协议和法规要求中。

产品和服务的质量不仅包括其预期的功能和性能,还涉及顾客对其价值和受益的感知。 审核员的审核方法和专业背景应能覆盖被审核组织产品和服务特性及其过程的特性,并通过审核证据的获取,判定组织的管理体系满足:

产品和服务的要求得到规定(包括适用的法律法规的要求、组织认为必要的要求); 提供的产品和服务能够满足所声明的要求

产品和服务的特性决定了不同的过程特性

审核过程中,审核员需要理解:组织是根据产品特性来确定过程的。

软件、硬件、流程性材料和服务由于其产品特性不同，形成的过程不同，导致其控制的方式、手段和途径自然也不同;

服务是一种特殊的产品,它与硬件产品不同之处在于必须与客户有接触，服务是提供方与客户在互动中完成的,其质量形成的机理与硬件产品完全不同。

审核员不能用审核硬件产品的一套方法去审核一个软件产品形成的过程。审核员需要掌握这一概念,从而理解质量的形成机理，从而指导审核活动的实施。

评价技术

认证认可技术是自然科学和社会科学相结合的综合评价技术，包括评价要求、评价指标、评价程序、评价方法以及评价制度等主要内容在内的评价技术、质量保证技术以及支撑的检验检测技术。

支撑认证认可的评价技术，主要包括：认证认可活动的选取技术、认证认可活动的确定技术、认证认可活动的证明技术、认证认可活动的监督技术和认证认可活动的支撑技术。

评价活动对审核员的要求

审核是一种评价管理体系有效性的方法。评价活动对审核员的要求是--种综合能力。其要点是:

(1) 通常是通过样本评价总体,审核员要具有统计学和概率论方面的基本知识和技能;
(2) 评价的过程会经过必要的分析、判断和比较等思维的过程,对审核人员的逻辑性和方法论的运用提出了要求;
(3) 评价结论的得出基于公正、客观的审核发现。

管理体系过程的评价

(1)对管理体系过程的评价可以综合对下列问题的回答,以确定评价的结果。即:

过程是否被识别并适当规定; 职责是否已被分配;

程序是否得到实施和保持;

在实现所要求的结果方面，过程是否有效。

(2)认证审核的最终评价。

审核结论的得出，从图 4-4 模型图中可以里看出，管理体系的综合评价和审核结论的得出依赖于对审核发现的汇总评价,而审核发现的得出是审核的核心活动。在图中三个圆圈部分的活动直接关系到审核活动的质量，以及审核发现的真实可信性;审核报告作为审核活动的最终载体,亦即认证审核服务这一产品的载体，显然其审核报告的可信度和质量直接来自以上模型中的各项活动。“抽样”“审核”“评价”各项活动又通过审核工作文件予以体现。其中，通过审核记录、审核发现和审核报告等实现对审核证据的可重查性和可追溯性。

审核技术的应用应满足认可规范的要求

认证的有效性有赖于认证机构遵循认可规范的要求，并履行其机构的职责和义务。按技术在应用层面上应完全嵌入认证机构依据 ISO 17021 或 ISO 17065 所建立起来的证流程中。从申请评审→评价审核的可行性→启动审核→一阶段审核→二阶段审核→审核的实施→报告审核结果→提交审核报告→认证决定 ,直至批准认证、颁发认证证书，审核组所实施审核的每一步骤，均体现认可规范所规定的技术路线和准则要求,也是核技术的基本依据。如:ISO 17021-1 标准中 9.3.1.2.2 条款规定了一阶段审核要完成的各方面的事项。审核技术要研究和实践的就是如何通过适当的审核方法使之实现和完认证机构通常会将对审核技术研究的结果作为结构化的文件和表单予以发布,方便审核核员在现场审核中的实施。

在 GB/T 19000:2016 标准 2.4.2 条款中有这样一段论述:

“审核是一种评价质量管理体系有效性的方法，以识别风险和确定是否满足要求。为有效地进行审核,需要收集有形和无形的证据。在对收集的证据进行分析的基础上,采纠正和改进的措施。所获取的知识可能会带来创新，使质量管理体系的绩效达到更高水平。”

支撑认证认可的评价技术主要包括:认证认可活动的选取技术、认证认可活动的确定认证认可活动的评价技术、认证认可活动的监督技术和认证认可活动的支撑技术。

借助具体的审核方法,以实现关键技术在审核活动中的具体应用。

审核证据必须有轨迹,且清晰明确。

喵呜刷题：让学习像火箭一样快速，快来微信扫码，体验免费刷题服务，开启你的学习加速器！

（认证通用基础）审核技术相关总结

最热门资讯

JAVA工程师面试指导--猎头内部资料

常见面试问题100问！