一、什么是审核?
审核是认证过程中最基本的活动,是审核方案的重要组成部分,其实施效果直接影响到审核方案的意图和审核目标的达成。
在认证认可领域,依据相应标准开展的各类认证活动中均存在审核过程的实施。
审核是认证全过程的关键活动,也是审核技术具体实施的重要环节。
本课程所阐述的有关审核的概念、内涵、审核技术及其实践,不仅仅局限于管理体系审核,还覆盖产品认证和服务认证过程中所涉及的各类现场的审核活动。
二、与“审核”有关的主要国际标准
ISO 19011《管理体系审核指南》(GB/T 19011-2021《管理体系审核指南》)
提供了管理体系审核的指南,包括审核原则、审核方案的管理和管理体系审核的实施,并对参与管理体系审核过程的人员的个人能力提供了评价指南。
ISO 17021-1:2015《合格评定 管理体系审核与认证机构的要求 第1部分:要求》(CNAS-CC01:2015《管理体系认证机构要求》)
ISO 17065:2012《合格评定 产品、过程和服务认证机构要求》(CNAS-CC02:2013《产品、过程和服务认证机构要求》)
ISO 17021-2:2016《合格评定 管理体系审核与认证机构要求 第2部分 实施环境管理体系审核及认证的能力要求》(CNAS-CC121:2017《环境管理体系审核及认证的能力要求》)
ISO 17021-3《合格评定 管理体系审核与认证机构要求 第3部分:实施质量管理体系审核及认证的能力要求》(CNAS-CC131:2017《质量管理体系审核及认证的能力要求》)
ISO 17021-10《合格评定 管理体系审核认证机构要求第10部分:职业健康安全管理体系审核认证能力要求》(CNAS-CC125:2018《职业健康安全管理体系审核及认证的能力要求》)
ISO 27007《信息技术 安全技术 信息安全管理体系审核指南》(GB/T28450:2020《信息技术 安全技术 信息安全管理体系审核指南》)
ISO 27006《信息技术 安全技术 信息安全管理体系审核和认证机构的要求》+ISO 27006:2015/AMD.1:2020第1号修改单(GB/T 25067-2020《信息技术 安全技术 信息安全管理体系审核和认证机构的要求》;CNAS-CC170:2015《信息安全管理体系认证机构要求》)
三、审核的基本概念
(一)审核的定义
为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。
(二)理解要点
1.审核是由一系列相关活动构成的过程。
2.在审核过程中,审核员通过采用适宜的审核方法,收集与审核准则有关的有形或无形的审核证据,依据审核准则对审核证据进行比较、分析和评价,以确定其满足审核准则的程度,从而得出审核发现和审核结论。
3.“获得”、“评价”和“确定”三个典型的活动,既是审核过程的关键活动,也是审核关键技术的核心。
“获得”审核证据的过程是一个需要采用适宜的方法进行取证的过程,涉及“抽样”,审核可以采用条件抽样或者统计抽样。
“评价”所获得的审核证据并“确定”与审核准则的符合程度是审核的关键活动,也是审核技术的核心。
4.审核的风险是客观存在的,其不确定性因素的来源有很多方面。审核组通过审核方案的有效实施,以及现场审核技术的应用,将不确定性对审核目的的影响降到最低。
5.“系统性”、“独立性”、“形成文件”是审核的特点。
“系统性”首先是指被审核的主体应体现其总体性、关联性、有序性和动态性的特征。其次,审核是一项正式、有序的活动,严格按照规定的审核准则、程序和方法实施,审核程序要求确保审核组完整地实施审核,并充分、客观地评价组织的管理体系的各项活动、过程和结果。
“独立性”是指审核人员与被审核的主体应不存在任何利益关系,不参与受审核方的经营管理活动。第三方认证审核则应确保审核活动独立于受审核方而确保公正性。
“形成文件”是指审核过程的策划准备、实施、结果均要形成文件,从而体现审核活动的专业化和规范化。
四、审核的分类
(一)按审核委托方划分的审核类型:第一方审核、第二方审核、第三方审核。
- 第一方审核(First-Party Audit):也称为内部审核。是由组织自己进行的审核,目的是评估和验证组织自身的管理体系、流程或产品的符合性。这种审核有助于组织识别改进的领域,确保符合内部标准和法规要求。
- 第二方审核(Second-Party Audit):是由与被审核组织有业务关系的另一方进行的审核。例如,供应商的客户可能会进行第二方审核,以确保供应商的产品或服务符合特定的质量或安全标准。第二方审核有助于建立业务关系中的信任,并确保供应商满足特定的要求。
- 第三方审核(Third-Party Audit):由独立于被审核组织和业务关系之外的认证机构进行。这种审核通常与认证过程相关,目的是提供客观的证据,证明被审核组织符合特定的国际或国家标准。第三方审核的结果可能导致认证证书的颁发,有助于增强外部利益相关者的信任,并且可能与国际贸易中的技术性贸易措施有关。
(二)按认证审核时序划分的审核类型:初次认证审核;监督审核;再认证审核。
初次认证审核:申请认证受理后的首次正式审核,分为第一阶段和第二阶段审核。
监督审核:组织获准认证后的定期审核(认可规范要求通常至少每个日历年一次;初次认证后的第一次监督审核应在认证决定日期起12个月内进行)。
再认证审核:组织在获准认证有效期届满前重新申请的认证审核(认可规范要求每一个再认证周期通常为三年)。
注:在产品认证和服务认证中,定期监督审核的时间间隔及再认证审核的周期均通过认证方案予以策划和实施。
(三)特殊情况下的审核类型
1.结合(多体系)审核
两个或两个以上不同领域的管理体系被一起审核。结合审核的受审核方是同一个,审核的对象可以是两个或两个以上的管理体系,也可以是管理体系与产品和(或)服务和过程的审核的结合。
除ISO 19011《管理体系审核指南》有关审核方案管理的指南之外,认证机构在对结合审核方案进行审核及管理时还需要考虑以下因素:
1)结合审核的目的;
2)结合审核所涉及的管理体系标准和/或规范性文件;
3)结合审核中各管理体系所涉及的技术领域;
4)结合审核的风险识别以及应采取的控制和降低认证风险的措施;
5)结合审核有效性的保证措施;
6)对两阶段审核要求及其审核内容与结合审核计划的协调作出安排。
(三)在特殊情况下的审核类型
1.结合(多体系)审核
两个或两个以上不同领域的管理体系被一起审核。结合审核的受审核方是同一个,审核的对象可以是两个或两个以上的管理体系,也可以是管理体系与产品和(或)服务和过程的审核的结合。
2.联合审核
两个或两个以上审核组织之间合作,一起对同一个受审核方实施审核。
3.特殊审核,包括:扩大认证范围的审核;提前较短时间通知的审核。
扩大认证范围的审核:根据获证组织的需要,由认证机构安排的对获证组织所申请的产品、活动、过程或组织区域等扩大的范围进行的审核。这类审核可以和监督审核同时进行。
提前较短时间通知的审核:当认证的有效性可能遇到威胁,存在较大认证风险时,认证机构会对获证组织实施提前较短时间通知的审核。
(四)按领域划分的审核类型:
按认证领域的不同划分为:管理体系审核;产品审核/审查;过程审核;服务认证中的服务管理审核等。
管理体系认证可按不同的管理体系认证领域分为质量管理体系审核、环境管理体系审核、职业健康安全管理体系审核、食品安全管理体系审核、信息安全管理体系审核等等。
产品认证可分为产品质量审核/检查、产品安全性审核/审查等。
服务和过程认证可分服务和过程的质量、安全和生态认证的审核/审查。
五、与“审核”有关的重要术语和定义
(一)审核准则
用于与审核证据进行比较的一组方针、程序或要求。
理解要点:
审核准则的作用是作为与审核证据进行比较的依据。
审核准则可以包括适用的方针、程序或要求。
不同类型或不同目的的审核,其审核准则不尽相同。
(二)审核证据
与审核准则有关并能够证实的记录、事实陈述或其他信息。
理解要点:
审核证据可以来源于记录、事实陈述或其他信息,但是,并非所有的记录、事实陈述或其他信息都能够作为审核证据。
作为审核证据的记录、事实陈述或其他信息应该与审核准则有关。不同类型、不同审核目的的审核,其审核准则是不同的,因此,与审核准则无关的记录、事实陈述或其他信息不能作为审核证据。
作为审核证据的记录、事实陈述或其他信息应该是能够证实的,以确保审核证据的真实性、可靠性和客观性。
审核证据可以是定性的,也可以是定量的信息。
(三)审核发现
将收集到的审核证据对照审核准则进行评价的结果。
理解要点:
审核发现是将已经收集到的审核证据对照审核准则进行比较评价后得出的结果。
评价判定审核发现的依据是审核准则,而不是审核员个人的经验与偏好。
审核发现可以是符合审核准则的(正面的),也可以是不符合审核准则的(负面的)。
如果审核的目的有相应规定.审核发现可以引导识别改进的机会或记录良好实践。
如果审核准则是法律法规或其他要求,审核发现可表述为“合规”或“不合规”。
审核发现带有一定的主观性,应考虑主观性给审核结论带来的风险。
(四)审核结论
考虑了审核目标和所有审核发现后得出的审核结果。
理解要点:
审核结论以审核发现为基础,是汇总、系统分析和全面评价审核组每位审核人员的所有审核发现后得出的最终审核结果。
审核结论与审核目的密切相关,不同目的的审核,其审核结论也不同。
审核结论不是由某一位审核员作出的,而是由审核组共同作出的。
在ISO 17021-1标准的“9.4.6准备审核结论”中规定:
在末次会议前,由审核组长负责,审核组应:
a)对照审核目的和审核准则,审查审核发现和审核中获得的任何其他适用的信息,并对不符合分级;
b)考虑审核过程中内在的不确定性,就审核结论达成一致;
c)就任何必要的跟踪活动达成一致;
d)确认审核方案的适宜性,或识别任何为将来的审核所需要的修改(例如:认证范围、审核时间或日期、监督频次、审核组能力)。
六、审核常用的术语和定义
评审:对客体实现所规定目标的适宜性、充分性和有效性的确定。
评价:合格评定中选取和确定功能的组合的活动。
监视:确定体系、过程、产品、服务或活动的状态。
测量:确定数值的过程。
确定:查明一个或多个特性及特性值的活动。
验证:通过提供客观证据对规定要求已得到满足的认定。
确认:通过提供客观证据对预期用途或应用要求已得到满足的认定。
绩效:可测量的结果。
有效性:完成策划的活动并得到策划结果的程度。
风险:不确定性的影响。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
