2-3 建立审核方案 学习笔记
最后更新:2022-09-26:12:09:21审核方案建立的过程是审核过程管理的重要组成部分,也是有效展开审核活动的基础。
通过对审核服务提供过程的设计,识别和确定审核的全过程。
最高管理者应确保建立审核方案的目标,并指定一个或多个胜任的人员负责管理审核方案。
应优先配置审核方案所确定的资源,以确保审核实施的有效性。
这些重大事项可能包括产品质量的关键特性、健康和安全的相关危险源,或重大环境因素及其控制措施。
审核委托方应制订与审核方案有关活动的管理程序,为开展审核活动提供路径。
一、审核方案管理人员的作用和职责
审核方案管理人员应根据相关目标,确定审核方案的范围和任何已知的限制; 确定可能影响审核方案的外部和内部问题、风险和机遇,并采取行动应对,将这些行动纳人所有相关的审核方案中; 通过合理分配角色、职责和权限,以及有效地组织和协调,确保审核组的选择和审核活动的总体能力。
审核方案管理人员的职责:
第一,直接负责审核活动实施的职责。包括:
- ——确定审核方案的目的和审核方案的范围和程度;
- ——规定职责,制订程序;
- ——识别所需要的资源;
- ——监视、评审和改进审核方案;
第二主要体现为对进审核方案的管理职责,即:需要审核方案管理人员采取措施,确保活动有效实施方面的职责的实施。包括:
——确保审核方案的有效实施,并为其提供支持;
——确保有关审核方案实施和管理的文件与记录的有效管理。
二、审核方案管理人员的能力
审核方案管理人员应具备有效、高效地管理审核方案的必需的能力,并具备下表中所列的知识和技能:
| 知识和技能 | 认证职能 | ||
|---|---|---|---|
| 实施中评审确定 (审核组能力/选择审核组成员/审核时间) |
复核审核报告&认证决定 | 审核及领导审核组 | |
| 业务管理实践的知识 | √(见A.2.1) | ||
| 审核原则、实践和技巧的知识 | √(见A.3.1) | √(见A.2.2) | |
| 特定管理体系标准和(或)规范性文件的知识 | √(见A.4.1) | √(见A.3.2) | √(见A.2.3) |
| 认证机构过程的知识 | √(见A.4.2) | √(见A.3.3) | √(见A.2.4) |
| 客户的业务领域的知识 | √(见A.4.3) | √(见A.3.4) | √(见A.2.5) |
| 客户的产品、过程和组织的知识 | √(见A.4.4) | √(见A.2.6) | |
| 与客户组织中的各个层级相适应的语言技能 | √(见A.2.7) | ||
| 作记录和撰写报告的技能表达技能 | √(见A.2.8) | ||
| 表达技能 | √(见A.2.9) | ||
| 面谈技能 | √(见A.2.10) | ||
| 审核管理技能 | √(见A.2.11) | ||
一理解审核员的能力以及审核组整体能力的概念;
一理解审核技术的应用(对受审核方开展审核所需要运用的知识和技能):
——具有最基本的组织和协调能力,掌握基本的IT化工具为其对项目的管理提供技术支撑;
一了解与受审核活动相关的技术和业务;
一了解与受审核方活动、产品有关的适用法律法规要求和其他要求。
适当考虑风险管理、项目和过程管理以及信息和沟通技术(ICT) 的知识。
审核方案管理人员参加持续发展活动,及时掌握管理审核方案所需的知识和技能。
三、确定审核方案的资源
审核方案的资源指实施与审核方案有关活动所需要的资源。
审核方案的资源包括:
设施资源(审核期间的办公设施);
人力资源;
技术资源;
时间资源(审核时间、审核人员路途所需时间);
后勤资源(审核人员的交通和食宿安排);
其他资源(如:通信工具)。
识别和提供审核资源时,主要考虑:
- 开展新审核之前有关的活动,需要做出财务和技术资源的准备。
- 审核技术资源的准备。
四、确定审核方案的程序
审核方案管理人员应当根据实际需要制订一个或多个程序,用于规定与审核方案的制订与实施有关的控制方法和手段。
(一)审核方案的程序的基本内容
程序内容通常应当包括:
程序的编制可以考虑其审核活动的特征;
按照客户需求的分类进行编制;
基于项目管理理论考虑,制订用于“项目”的审核方案程序。
(二)认证机构通常制订的审核方案程序
(1)认证申请受理及认证合同评审程序;
(2)审核人员管理程序 ;
(3)审核管理程序 ;
(4)审核组管理程序,涉及:
——管理体系变更或某种特定情况出现以后的活动安排;
——审核人员及其他资源管理方面的安排;
——与有关方面就审核方案进行沟通;
一对相关活动进行协调和做出口程安排;
——对审核员专业发展实施初步评价和继续培训/保持;
——审核组的组建、审核人日的适宜安排;
一对审核组提供必要的技术资源;
一对审核过程发生的意外问题的反馈和控制;
一审核证据收集和审核报告的控制;
一审核的后续跟踪等。
五、确定审核方案的范围和详略程度
审核方案管理人员应确定审核方案的范围和详略程度。
审核方案的范围和详略程度取决于受审核方的规模和性质、受审核方管理过程的性质、功能、复杂程度和成熟度水平以及其他重要事项。
确定审核方案的范围和详略程度这项工作的目的是确保审核方案的制订与实施是适宜的。
(一)影响审核方案的范围和详略程度的主要因素
- (1)每一次审核的目标、范围、持续时间和审核次数,适用时,还包括审核后续活动;
- (2)受审核组织的规模、性质、审核活动的数量、重要性、复杂性、相似性和地点;
- (3)适用的审核准则;
- (4)以往的审核结果和以往的审核方案评审的结果,对审核方案评审的结果,可能导致对审核方案的调整和改进;
- (5)语言、文化和社会因素,审核员应了解受审核组织所在地域的文化和社会习俗;
- (6)相关方的关注点。
(二)认证机构确定审核方案应考虑的方面
GB/T27021标准明确了审核方案的对象应是一个具体的客户组织。即:审核方案不 应仅局限于某一个认证制度类别(如:QMS认证、EMS认证) ,认证机构所确定的审核方案 既有用于通用审核活动的普适化的审核方案,更应针对具体组织特点制订适用的审核方 案,从而降低认证审核活动的风险。 在财务审计领域,《牛津会计审核词典》对审计方案的定义是针对某一审计对象所需做 的全部测试列表.其作用在于保证审计信誉和对审计质量进行控制。尽管这一定义与GB/T 19011标准中对“审核方案”的定义有差别,但它提示了我们一个审核方案本应达成的目标。 基于认证机构的审核实践,认证机构确定审核方案时通常考虑了以下几个方面:(1)认证机构在确定审核方案时,宜基于以下方面的考虑(不限于)来获取与认证客户相关的认证信息,并与认证客户的要求和期望达成一致。
一认证客户的组织规模及拟审核的场所;
一产品/服务、活动/过程的复杂程度及风险程度;
一认证客户管理体系的成熟度或有效性水平;
一相关方的关注点;
一法律法规及其行业性的强制要求;
一以往的审核结论或以往审核方案的评审结果;
一认证客户组织或其运作的重大变化;
一认证客户所处的地域、文化、语言等。
(2)审核方案输入的客户信息包括:
组织名称、隶属关系、所有制、组织结构、规模及其职能;一拟申请的认证类型;
一拟申请认证的范围(产品/服务、过程/活动、区域);
一生产/服务活动的特点(包括生产/服务活动的连续性、周期性、季节性、阶段性);
一管理体系覆盖的有效人数;
——有关删减和分包情况;
一倒班情况和时间安排;
一多场所及其分布情况(固定场所、临时场所和流动性场所);
一近期发生的、对体系运作有重大影响的投诉、事故或曝光情况;
一相关的行政许可和法律法规要求;
一管理体系的现状及有效性水平;
一拟申请认证的时间;
一使用的语言等。
(3)审核方案应随审核的类型及认证客户的规模、性质和复杂程度而定,并宜输出:
一审核目标;一审核准则和其他规范性文件;
一审核频次;
一审核范围;
一审核时机;
一审核时间的确定;
一审核组要求;
一审核内容和要求(包括抽样要求和关注重点)等。
(4)审核频次。
认证机构应根据与每个认证客户签订的认证协议和/或认证客户变化的信息来确定并调整其审核频次。
通常,一个认证周期的审核频次包括初次认证审核、两次监督审核和认证到期前的再认证审核。
当认证客户与认证机构签订的认证协议规定一个认证周 期为四次或以上审核频次时,可按照认证协议的要求确定审核频次。 ——当管理体系、组织或管理体系的运作环境(如法律的变更)有重大变更时,再认证 审核活动可能需要有第一阶段,此类变更可能在认证周期中的任何时间发生,认证机构可 能需要实施特殊审核。该特殊审核可能需要或不需要两阶段审核。—-当出现下列情况时,应在审核方案中考虑调整相应的审核频次,如可包括缩短审 核周期、增加审核频次或是增加提前较短时间通知的审核:
2.认证客户发生影响认证基础的重大变更,如所有权、规模、产品/服务、人员、设备变 化等;
3.国家行政主管部门的要求或抽查的结果,
(5)已认可的认证转换审核方案。在确立审核方案时,认证机构应根据获证客户认证 转换的申请,充分考虑该客户以往的审核信息,包括:
一产品/服务质量的状况;
一顾客满意情况和投诉;
一质量、环境、职业健康安全监督和抽查情况;
一上次审核的不合格情况;
一文证审核机构意见和难以结论充分等
(6)扩大认证范围审核方案。
在确立该类审核方案时,可考虑客户拟扩大认证范围所涉及的产品、过程和活动及其场所与原认证范围的相关性。当拟扩大的认证范围与原有 认证范围的相关程度低,如完全不同的产品、重要环境因素或危险源产生的影响完全不同 时,该审核方案的范围宜充分覆盖拟扩大范围所涉及的产品、过程、活动和场所,包括对管 理体系文件评审,以及为满足扩大范围的认证要求而需要的审核活动。当这一审核与监 督同时进行时,其审核时间宜为监督审核的时间与扩大认证范围所需审核时间之和(可考 虑因部分管理活动或过程合并审核,而减少相应的审核时间)。(7) 多体系结合审核方案。
结合审核方案除了ISO 17021标准中9.1.3条款的要求及 GB/T19011《管理体系审核指南》有关审核方案管理的指南之外,认证机构在制订结合审 核方案及对其实施管理时还应考虑的因素包括,但不限于:一结合审核所涉及的管理体系标准和/或规范性文件。
一结合审核中各管理体系所涉及的技术领域。
一结合审核的风险识别
一根据结合审核的风险识别,认证应采取的控制和降低认证风险的措施。
一结合审核有效性的保证措施。
(8)对两阶段审核要求及其审核内容与结合审核计划的协调做出安排。
若承担两阶段审核任务的组长分别由不同的人员担任时,结合审核方案还应对此情况做出充分的安排.以确保第二阶段的审核组长能够获取必要的信息,保证其对有关的审核要求和审核内容有充分的理解。 关于审核要求在审核方案中的考虑:通常可包括对产品、过程、活动及其场所的抽样要求、审核关注的重点和两阶段审核的安排等。②对具有多场所(包括临时场所)的认证项目,应根据其业务范围的类别、生产/服务活动的特点,并考虑其活动和过程的典型性和代表性、差异性和兼容性,按照CNAS-CC 11文件要求对多场所实施抽样;
③对多场所认证客户,针对其总部和各场所之间的管理职能和接口,提出审核中需关注的重点和要求;
④近期发生过质量、环境、职业健康安全和食品安全事故的认证项目,提出与上述结果相关的审核事项和关注重点;
⑤对认证客户存在有重大变更(如所有权、领导层、组织结构、业务范围等变更)的情况,提出针对变更内容的审核要求;
⑥针对上一次审核的薄弱环节,提出本次审核的关注点。
六、识别和评价审核方案的风险
识别和评价风险为审核方案策划的基础;
基于风险的思维应用于审核方案的策划和实施,有助于审核方案建立和有效的实施。
审核的风险是客观存在的,其造成原因是多方面的。
认证机构对于审核风险的管理也是一个需要长期坚持的任务。
对审核方案的管理,从有效性的角度看,其实质体现的就是风险管理思想,在通过样本审核评价总体时,客观地存在着抽样的合理性和审核的有效性以及评价的客观性及综合因素所带来的风险。
GB/T19011中明确以下事项可能存在风险:
一资源,例如缺乏足够的时间、装备、培训来制订审核方案或实施审核;
一审核组的选择,例如审核组不具备有效地实施审核的整体能力;
一沟通,例如没有有效地沟通审核方案,或不考虑信息安全和保密性;
一实施,例如抽样方案的合理性以及样本的代表性;
一成文信息控制,例如无法确定审核员和相关利益方所需的必要成文信息,未能适宜地保护用于证明审核方案有效性的记录;
一监督、评审和改进审核方案,例如没有有效地监视审核方案的结果。
一审核时间不充分,如涉及专业审核的设计和制造安排时间短;
——审核组的构成不合理,不具备能力,专业性缺乏,大型审核中的专业审核员少,无法覆盖充分;
——审核组内部无有效的沟通机制,审核前中无沟通,仅传递不符合项信息;
一审核准备不充分,企业运行环境和产品特点不清楚,工作文件准备不充分;
一审核计划不合理,任务分配不当;审核方案长期无改进和动态更新;审核时企业管理层不在现场,由部门领导接受审核;
——现场审核时,审核员缺少审核技能,审核仅为符合性评审,缺少对有效性和适宜性的审核能力;审核过程中的抽样不具有代表性;缺乏应有的通过样本审核评价总体能力。
有效利用FMEA潜在失效模式和后果分析工具,会得到较多的潜在失效模式,可系统防范风险。
为了更好地避免审核方案实施中的风险,增加审核方案的价值,使审核组的能力水平与实现审核目标所需的能力水平相匹配,应在审核方案的策划过程中强化风险管理的意识.分析风险和机遇.并始终将风险控制措施嵌人审核方案合理的过程中予以有效实施。
