ISO19011:2011管理体系审核指南1ISO19011标准概述1.1ISO19011标准制定国际标准化组织(ISO)于2011年11月15日发布了ISO19011:2011《管理体系审核指南》。我国已经于2012年完成了GB/T19011新版标准的制定,等待发布。1.2ISO19011标准概要1.2.1标准的7个章节该标准共包括7章,其中:第3章陈述了标准所使用的关键术语和定义。致力于确保这些定义与其他标准中的定义不发生冲突。第4章描述了审核所依据的原则。这些原则有助于使用者理解审核的本质(基本性质),对于理解5-7章中所陈述的指南也很重要。第5章提供了关于建立和管理审核方案、建立审核方案目的以及协调审核活动的指南。第6章提供了关于策划和实施管理体系审核的指南。第7章提供了有关管理体系员和审核组的能力和评价的指南。1.2.2标准的2个附录附录A展示了第7章针对不同领域的应用指南。附录B为审核员提供了策划和实施审核的附加指南。两个附录均为资料性附录1.3新版标准的主要变化1.3.1名称的变化标准的名称由《质量和环境管理体系审核指南》修改为《管理体系审核指南》1.3.2适用范围的变化扩大了适用范围:适用于需要实施管理体系内部审核、外部审核或需要管理审核方案的所有组织。1.3.3术语和定义的变化增加了6个术语及定义:向导、风险、能力、观察员、合格、不合格、管理体系修改了“能力”、“审核方案”的定义1.3.4主要技术内容变化与ISO19011:2002相比,除编辑性修改外,主要技术变化如下:1)标准的适用范围从质量和环境管理体系审核拓展为任何管理体系审核;2)明确了ISO19011和ISO17021的关系;3)引入远程审核方法以及风险的概念;4)将“保密性”增加为新的审核原则;5)重新组织了第5、6和7章的内容;6)新的附录B中包括了增加的信息,因而删除了“实用帮助”框中的内容;7)强化了能力确认和评价过程;8)新的附录B包括了领域专门知识和技能的示例。2引言2.1ISO19011与ISO17021标准的关系本标准第二版提供的指南虽然适用于所有使用者(包括中小型组织),但主要注重通常所说的“内部审核”(第一方审核)和“由顾客对其供方所进行的审核”(第二方审核)。那些与管理体系认证有关的审核应遵守ISO17021的要求,当然,本标准的指南对其也有帮助作用。ISO19011与ISO17021范围之间的关系内部审核外部审核供方审核第三方审核有时称为第一方审核有时称为第二方审核出于法律法规、行政监督或类似目的出于认证的目的(请见ISO17021:2011的要求)2.2标准的性质本标准不陈述要求,而是提供关于审核方案管理和管理体系审核的策划和实施以及审核员和审核组能力和评价的指南。2.3标准的使用组织可以运行多个管理体系,使用者可以结合自身的具体情况实施该指南。本标准拟适用于广泛的潜在使用者,包括审核员、实施管理体系的组织以及由于合同或法律法规要求需要实施管理体系审核的组织。本标准的使用者可以应用这些指南制定其与审核相关的要求。本标准的指南可以用于自我声明的目的,也适用于从事审核员培训或人员注册的组织。应灵活运用本标准的指南。正如本标准所述,应根据组织管理体系的规模、成熟度水平、受审核组织的性质和复杂程度及所实施的审核目标和范围的不同,来使用本指南。3范围、规范性引用文件、定义3.1范围本标准提供了管理体系审核的指南,包括审核原则、审核方案的管理和管理体系审核的实施,也对参与管理体系审核过程的人员的个人能力提供了评价指南,这些人员包括审核方案管理人员、审核员和审核组长。本标准适用于需要实施管理体系内部审核、外部审核或需要管理审核方案的所有组织。只要对所需要的特定能力给予特殊考虑,本标准有可能应用于其它类型的审核。3.2规范性引用文件本标准无规范性引用文件。列出本章是为了与其他管理体系标准的条款号相一致。3.3术语和定义标准给出了:审核、审核准则、审核证据、审核发现、审核结论、审核委托方、受审核方、审核员、审核组、技术专家、观察员、向导、审核方案、审核计划、审核范围、风险、能力、合格、不合格、管理体系共20个术语及其定义新增:向导、风险、观察员、合格、不合格、管理体系向导:由受审核方指定的协助审核组的人员风险:不确定性对目标的影响观察员:伴随审核组但不参与审核的人员。有变化的定义:能力、审核方案能力:应用知识和技能获得预期结果的本领。[2002版:经证实的个人素质以及经证实的应用知识和技能的本领]其它术语和定义没有变化,或在ISO9000标准中有定义,这里限于篇幅不再列出。4审核原则审核应当遵守的六项原则,其中“保密性”为新增加的要求——诚实正直——公正表达——职业素养——保密性——独立性——基于证据的方法4.1诚实正直诚实正直:职业的基础审核员和审核方案管理人员应:——以诚实、勤勉和负责任的精神从事他们的工作;——了解并遵守任何适用的法律法规要求;——在工作中体现他们的能力;——以不偏不倚的态度从事工作,即对待所有事务保持公正和无偏见;——在审核时,对可能影响其判断的任何因素保持警觉。4.2公正表达公正表达:真实、准确地报告的义务审核发现、审核结论和审核报告应真实和准确地反映审核活动。应报告在审核过程中遇到的重大障碍以及在审核组和受审核方之间没有解决的分歧意见。沟通必须真实、准确、客观、及时、清楚和完整。4.3职业素养职业素养:在审核中勤奋并具有判断力。审核员应珍视他们所执行的任务的重要性以及审核委托方和其他相关方对他们的信任。在工作中具有职业素养的一个重要因素是能够在所有审核情况下做出合理的判断。4.4保密性保密性:信息安全审核员应审慎使用和保护在审核过程获得的信息。审核员或审核委托方不应为个人利益不适当地或以损害受审核方合法利益的方式使用审核信息。这个概念包括正确处理敏感的、保密的信息。4.5独立性独立性:审核的公正性和审核结论的客观性的基础。审核员应独立于受审核的活动(只要可行时),并且在任何情况下都应不带偏见,没有利益上的冲突。对于内部审核,审核员应独立于被审核职能的运行管理人员。审核员在整个审核过程应保持客观性,以确保审核发现和审核结论仅建立在审核证据的基础上。对于小型组织,内审员也许不可能完全独立于被审核的活动,但是应尽一切努力消除偏见和体现客观。4.6基于证据的方法基于证据的方法:在一个系统的审核过程中,得出可信和可重现的审核结论的合理的方法。审核证据应是能够验证的。由于审核是在有限的时间内并在有限的资源条件下进行的,因此审核证据是建立在可获得信息的样本的基础上。应合理地进行抽样,因为这与审核结论的可信性密切相关。5审核方案的管理5.3审核方案定义定义:审核方案是针对特定时间段所策划并具有特定目标的一组(一次或多次)审核安排。[2002版的定义:针对特定时间段所策划并具有特定目标的一组(一次或多次)审核]增加了“安排”就将审核由“活动”变成了“文件”,是对审核活动进行策划的结果。5.4与2002版标准的主要变化说明1)将“审核方案的目的”改为“确立审核方案的目标”,使审核方案的能够保持与管理体系目标的一致性;将结果——“审核方案的目的”变成了一项活动“确立目标”;2)审核将原来标准放在实施审核中的部分内容放在了审核方案中,包括:选择审核方法、选择审核组成员、为审核组长分配每次审核的职责。适用的审核方法(附录B中的内容)审核员与受审核方之间的相互作用程度审核员的位置现场远程有人员互动进行面谈;在受审核方参与的情况下完成检查表和问卷表在受审核方参与的情况下进行文件评审;抽样借助交互式的通信手段——进行交谈;——完成检查表和问卷;——在受审核方参与的情况进下进行文件评审无人员互动进行文件评审(例如记录、数据分析)观察工作情况;进行现场巡视;完成检查表;抽样(例如产品)进行文件评审(例如记录、数据分析);在考虑社会和法律法规要求的前提下,通过监视手段来观察工作情况分析数据备注:1)现场审核活动在受审核方的现场进行。远程审核活动在受审核方现场以外地方进行,无论距离远近。2)互动的审核活动包括受审核方人员和审核组之间的相互交流。非互动的审核活动不存在与受审核代表的交流,但需要使用设备、设施和文件。3)增加了风险控制的要求;4)增加了对审核方案结果的管理;5)增加了审核方案的记录要求;6)进一步明确了审核组长的职责;7)其它一些编辑性修改。5.1总则需要实施审核的组织应建立审核方案,以便确定受审核方管理体系的有效性。审核方案可以包括针对一个或多个管理体系标准的审核,可单独实施,也可结合实施。最高管理者应确保建立审核方案的目标,并指定一个或多个胜任的人员负责管理审核方案。审核方案的范围与程度应基于受审核组织的规模和性质,以及受审核管理体系的性质、功能、复杂程度以及成熟度水平。应优先配置审核方案所确定的资源,以审核管理体系的重大事项。这些重大事项可能包括产品质量的关键特性、健康和安全的相关危险源或重大环境因素及其控制措施。注:这个概念通常称之为基于风险的审核。本标准没有给出基于风险审核的进一步指南。审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源,并可以包括以下内容:——审核方案和每次审核的目标;——审核的范围与程度、数量、类型、持续时间、地点、日程安排;——审核方案的程序;——审核准则;——审核方法;——审核组的选择;——所需的资源,包括交通和食宿;——处理保密性、信息安全、健康和安全,以及其它类似事宜的过程。应监视和测量审核方案的实施以确保达到其目标。应评审审核方案以识别可能的改进。5.2确立审核方案的目标最高管理者应确保审核方案的目标得到确立,以指导审核的策划和实施,并应确保审核方案的有效实施。审核方案的目标应与管理体系的方针和目标相一致并予以支持。这些目标可以基于以下方面的考虑:a)管理的优先事项;b)商业意图和其他的业务意图;c)过程、产品和项目的特性及其变化;d)管理体系要求;e)法律法规和合同要求,以及组织承诺遵守的其他要求;f)供方评价的需要;g)相关方(包括顾客)的需求和期望;h)发生失效、事件和顾客投诉时所反映出的受审核方的绩效水平;i)受审核方所面临的风险;j)以往审核的结果;k)受审核的管理体系的成熟度水平。审核方案的目标可以包括以下各项:——促进管理体系及其绩效的改进;——满足外部要求,例如管理体系标准认证;——验证与合同要求的符合性;——获得和保持对供方能力的信心;——确定管理体系的有效性;——评价管理体系的目标与管理体系方针、组织的总体目标的兼容性和一致性。5.3建立审核方案5.3.1审核方案管理人员的作用和职责审核方案管理人员应:——确定审核方案的范围和程度;——识别和评估审核方案的风险;——明确审核的责任;——建立审核方案的程序;——确定所需的资源;——确保审核方案的实施,包括明确每次审核的目标、范围和准则,确定审核方法,选择审核组和评价审核员;——确保管理和保持适当的审核方案记录;——监视、评审和改进审核方案。审核方案管理人员应将审核方案内容报告最高管理者,并在必要时获得批准。5.3.2审核方案管理人员的能力审核方案管理人员应具备有效地和高效地管理审核方案及其相关风险的必要的能力,并具备以下方面的知识和技能:——审核原则、程序和方法;——管理体系标准和引用文件;——受审核方的活动、产品和过程;——与受审核方活动、产品有关的适用的法律法规要求和其他要求;——受审核方的顾客、供方和其他相关方(适用时)。审核方案管理人员应参加适当的持续发展活动,以保持管理审核方案所需的知识和技能。5.3.3确定审核方案的范围和详略程度审核方案管理人员应确定审核方案的范围和详略程度,这取决于受审核方的规模和性质、受审核的管理体系的性质、功能、复杂程度和成熟度水平以及其他重要事项。注:在某些情况下,根据受审核方的结构或活动,审核方案可能只包括一次审核(例如一个小型项目活动)。影响审核方案范围和详略程度的其它因素包括:——每次审核的目标、范围、持续时间和审核次数,适用时,还包括审核后续活动;——