ISO19011：2018管理体系审核指南

资源描述

《ISO19011：2018管理体系审核指南》由会员分享，可在线阅读，更多相关《ISO19011：2018管理体系审核指南（75页珍藏版）》请在金锄头文库上搜索。

1、ISO19011:2018 管理体系审核指南前言 ISO （国际标准化组织）是各国标准化团体（ISO 成员团体）组成的世界性联合会。制定国际标准的工作通常由 ISO 的技术委员会完成。各成员团体若对某技术委员会确立的项目感兴趣，均有权参加该委员会的工作。与 ISO 保持联系的各国际组织（官方的或非官方的）也可参加有关工作。在电工技术标准化方面，ISO 与国际电工委员会（IEC）保持密切合作关系。 ISO / IEC 指令第 1 部分描述了用于开发和保持本标准的程序。特别是，应注意不同类型的 ISO 文档所需的不同批准标准。本文件是根据 ISO / IEC 指令第 2 部分的编辑

2、规则起草的（见www.iso.org/directives）。本文中的某些内容可能涉及一些专利问题，对此应引起注意，ISO 不负责识别任何或所有的此类专利权问题。在文件制定过程中已经确认的任何专利权的详细信息将在引言/或收到的专利声明 ISO 清单中（见 www.iso.org/patents）。本文中使用的任何商标名称都是为方便用户而提供的信息，并不构成认可。有关标准的自愿性质的解释，与合格评定相关的 ISO 特定术语和表达的含义，以及 ISO 在技术性贸易壁垒（TBT）中遵守世界贸易组织（ WTO ）原则的信息，请参阅www.iso.org/iso/

3、foreword.html. 本文件由ISO / PC 302管理体系审核指南项目委员会编写。第三版取消并取代了第二版（ISO 19011：2011），该版本已经过技术性修订。与第二版相比的主要差异如下：增加了基于风险方法的审核原则；扩大了审核方案管理的指南，包括审核方案风险；扩大审核实施的指南，特别是审核策划部分；扩大了审核员的一般能力要求；调整术语以反映过程而不是对象（“事项”）；删除了附件中包含审核特定管理体系专业能力要求（由于太多的管理体系标准，将所有专业的能力要求包括在内是不切实际的）; 扩展附件 A，以为审核（新）概念提供指南，如组织环境，领导作用和承诺，虚拟审

4、核，合规和供应链。引言本文件第二版自 2011 年出版以来，已经出版了许多新的管理体系标准，其中许多标准具有共同的结构、相同的核心要求以及共同的术语和核心定义。因此，有必要考虑更广泛的管理体系审核方法，并提供更通用的指导。审核结果可以为业务计划的分析方面提供输入，并且可以有助于识别改进需求和活动。审核可以依据一系列单独或组合的审核准则进行，包括但不限于：在一个或多个管理体系标准中定义的要求；有关相关方指定的方针和要求；法律和法规要求；组织或其他各方确定的一个或多个管理体系过程；与管理体系特定输出(如质量计划、项目计划)有关规

5、定相关的管理体系策划。本文件提供的指南适用于所有规模和类型组织的不同范围和规模的审核，包括由大的审核组（通常为大型组织）以及由单个审核员进行的审核，无论其是大型组织还是小型组织。本指南宜与审计方案的范围、复杂程度和规模相适宜。本文件注重于内部审核（第一方）和组织对其外部供方和其他外部相关方（第二方）进行的审核。本文件也可用于第三方管理体系认证以外的其他目的的外部审核。 ISO/I EC 170211 为管理体系第三方认证规定了要求。该文件可以提供有用的附加指导（见表 1）表 1-审核类型的区分第一方审核第二方审核第三方审核内部审核外部供方的审核认证和或委派审核其他外部

6、相关方出于法律法规、行政监管和类似目的的审核为了简化本文件的可读性，文件中的“管理体系”是单数形式，但是读者可以结合自身的具体情况实施该指南。这也适用于“人员（单数）”和“人员（复数）”、“审核员（单数）”和“审核员（复数）”的使用。本文件拟适用于广泛的潜在使用者，包括审核员、实施管理体系的组织以及由于合同或法律法规要求需要实施管理体系审核的组织。本文的使用者可以应用这些指南制定其与审核相关的要求。本文档中的指南也可用于自我声明，对参与审核员培训或人员认证的组织有用。就灵活运用本文档的指南。正如本文所述，应根据组织管理体系的规模、成熟度水平、受审核组织的性质和复杂所实施的

7、审核目标和范围的不同，来使用本指南。本标准采用的方法适用于两个或更多的不同领域的管理体系共同审核的场合。当这些管理体系整合为一个管理体系时，审核原则和过程与结合审核相同（有时称为“结合审核”）。本文为审核方案的管理、管理体系审核的策划和实施以及审核员和审核组的能力和评价提供指南。管理体系审核指南 1 范围本文件提供了管理体系审核指南，包括审核原则，审核方案的管理和管理体系审核的实施，也对参与管理体系审核过程的人员的能力提供了评价指南，这些活动包括管理审核方案、审核员和审核组的人员。本标准适用于需要策划和实施管理体系内部审核、外部审核或需要管理审核方案的所有组织。只要对

8、所需要的特定能力给予特殊考虑，本文件也可应用于其他类型的审核。 2 规范性引用文件本文件无规范性引用文件。 3 术语和定义下列术语和定义适用于本文件。 ISO 和 IEC 在以下地址保持用于标准化的术语数据库： ISO 在线浏览平台：可在 https:/ www.iso.org / obp获得； IEC Electropedia：可在http:/ www.electropedia.org /获得。 3.1 Audit 审核为获得客观证据（3.8）并对其进行客观的评价，以确定满足审核准则（3.7）的程度所进行的系统的、独立的并形成文件的过程。注 1：内部审核，有时称为第一方审核，由组织

9、自己或以组织的名义进行。注 2：通常，外部审核包括第二方和第三方审核。第二方审核由组织的相关方，如顾客或由其他人员以相关方的名义进行，第三方审核由外部独立的审核组织进行，如提供合格认证/注册的组织或政府机构。【源自：ISO9000:2015, 3.13.1，改写注已被修改】 3.2 combined audit 多体系审核在一个受审核方（3.13），对两个或两个以上管理体系（3.18）一起实施的审核（3.1）。注 1：当两个或两以上多个不同领域的管理体系整合为一个管理体系时，称为整合管理体系。【源自：ISO 9000:2015，3.13.2，改写】 3.3 joint au

10、dit 联合审核在一个受审核方（3.13），由两个或两个以上审核组织同时实施的审核（3.1）【源自：ISO 9000:2015，3.13.3】 3.4 audit programme 审核方案针对特定时间段所策划并具有特定目标的一组（一次或多次）审核的安排。【源自：ISO 9000:2015，3.13.4，改写修改后的措辞已添加到定义中】 3.5 audit scope 审核范围审核的内容和界限注 1：审核范围通常包括对实际和虚拟位置、职能、组织单元、活动和过程以及所涵盖时间段的描述。注 2：虚拟位置指允许个人在不同的物理位置使用在线环境执行工作或提供服务的位置。【源自：IS

11、O 9000:2015，3.13.5，改写注 1 已被修改，注 2 为增加】 3.6 audit plan 审核计划对审核（3.1）活动和安排的描述【源自：ISO9000:2015，3.13.6】 3.7 audit criteria 审核准则用于与客观证据（3.8）进行比较的一组要求（3.23）注 1：如果审核准则是法律要求（包括法定或监管），审核发现（3.10）中经常使用“合规”或“不合规”。注 2：要求可能包括方针、程序、工作指示、法律要求、合同义务等。【源自：ISO 9000:2015，3.13.7，改写定义已被修改，注 1 和注2 为增加】 3.8 objective e

12、vidence 客观证据支持事物存在或其真实性的数据注 1：客观证据可通过观察、测量、试验或其他方法获得。注 2：通常，用于审核（3.1）目的的客观证据，是由与审核准则（3.7）相关的记录、事实陈述或其他信息所组成并可验证。【源自：ISO9000:2015，3.8.3】 3.9 audit evidence 审核证据与审核准则（3.7）有关并能够证实的记录、事实陈述或其他信息【源自：ISO 9000:2015，3.13.8】 3.10 audit findings 审核发现将收集的审核证据（3.9）对照审核准则（3.7）进行评价的结果注 1：审核发现表明符合（3.20）或不符合

13、（3.21）。注 2：审核发现可导致识别改进的风险、机会或记录良好实践。注 3：英文中，如果审核准则选自法律要求或法规要求，审核发现称为合规或不合规。【源自：ISO 9000:2015，3.13.9，改写注 2 和注 3 已被修改】 3.11 audit conclusion 审核结论考虑了审核目标和所有审核发现（3.10）后得出的审核（3.1）结果【源自：ISO 9000:2015，3.13.10】 3.12 audit client 审核委托方要求审核（3.1）的组织或个人注 1：在内部审核的情况下，审核委托方也可以是受审核方（3.13）或审核方案管理员。外部审核可能来

14、自监管机构、协议方或潜在、现顾客等的要求。【源自：ISO 9000:2015，3.13.11，改写注 1 为增加】 3.13 auditee 受审核方被审核的组织整体或其部分【源自：ISO 9000:2015，3.13.12，改写】 3.14 audit team 审核组实施审核（3.1）的一名或多名人员，需要时，由技术专家（3.16）提供支持注 1：审核组（3.15）中的一名审核员（3.14）被指定作为审核组长。注 2：审核组可包括实习审核员。【源自：ISO 9000:2015，3.13.14】 3.15 auditor 审核员实施审核（3.1）的人员【源自：ISO 900

15、0:2015，3.13.15】 3.16 technical expert 技术专家向审核组（3.11）提供特定知识或专业技术的人员注 1：特定知识或专业技术指与组织、活动、过程、产品、服务、审核领域以及语言或文化有关。注 2：审核组的技术专家（3.14）不作为审核员（3.15）。【源自：ISO 9000:2015，3.13.16，改写注 1 和注 2 已被修改】 3.17 observer 观察员随同审核组（3.14）但不作为审核员（3.15）的人员【源自：ISO 9000:2015，3.13.17，修改】 3.18 management system 管理体系组织建立方针和目

16、标以及实现这些目标的过程（3.24）的相互关联或相互作用的一组要素。注 1：一个管理体系可以针对单一的领域或几个领域，如质量管理、财务管理或环境管理。注 2：管理体系要素规定了组织的结构、岗位和职责、策划、运行、方针、惯例、规则、理念、目标，以及实现这些目标的过程。注 3：管理体系的范围可能包括整个组织，组织中可被明确识别的职能或可被明确识别的部门，以及跨组织的单一职能或或多个职能。【源自：ISO 9000:2015，3.5.3，改写注 4 已删除】 3.19 risk 风险不确定性的影响注 1：影响是指偏离预期，可以是正面的或负面的。注 2：不确定性是一种对某个事件，或是事件的

17、局部的结果或可能性缺乏理解或知识方面的信息的情形。注 3：通常，风险是通过有关可能事件（如 ISO 指南 73：2009 中所定义，3.5.1.3）的后果（如 ISO 指南 73：2009,3.6.1.3 中所定义）或两者的组合来描述其特性的。注 4：通常，风险是以某个事件的后果（包括情况的变化）及其发生的可能性（如 ISOGuide 73：2009,3.6.1.1.1 中定义）的组合来表述的。【源自：ISO 9000:2015，3.7.9，改写注 5 和注 6 已被删除】 3.20 Conformity 合格/符合满足要求（3.23）【源自：ISO 9000:2015，3.6.11

18、，改写注 1 已被删除】 3.21 nonconformity 不合格/不符合未满足要求（3.23）【源自：ISO 9000:2015，3.6.9，改写注 1 已被删除】 3.22 competence 能力应用知识和技能实现预期结果的本领【源自：ISO 9000:2015，3.10.4，改写注已被删除】 3.23 requirement 要求明示的、通常隐含的或必须履行的需求或期望注 1：“通常隐含”是指组织和相关方的惯例或一般做法，所考虑的需求或期望是不言而喻的。注 2：规定要求是经明示的要求，如在成文信息中阐明。【源自：ISO 9000:2015，3.6.4，改写注 3,

19、4,5 和 6 已被删除】 3.24 process 过程利用输入实现预期结果的相互关联或相互作用一组活动【源自：ISO 9000:2015，3.4.1，改写注已删除】 3.25 performance 绩效可测量的结果注 1：绩效可能涉及定量的或定性的结果。注 2：绩效可能涉及活动、过程（3.24）、产品、服务、体系或组织的管理。【源自：ISO 9000:2015，3.7.8，改写注 3 已被删除】 3.26 Effectiveness 有效性完成策划的活动并得到策划结果的程度【源自：ISO 9000:2015，3.7.11，改写注 1 已被删除】 4 审核原则审核的特征在

20、于其遵循若干原则。这些原则有助于使审核成为支持管理方针和控制的有效与可靠的工具，并为组织提供可以改进其绩效的信息。遵循这些原则是得出相应和充分的审核结论的前提，也是审核员独立工作时，在相似情况下得出相似结论的前提。第 5 章第 7 章中给出的指南是基于下列七项原则。 a) 诚实正直：职业的基础审核员和审核方案管理员应：以诚实和负责任的精神道德地从事他们的工作；只在有能力的情况下从事审核活动；以不偏不倚的态度从事工作，即对待所有事务保持公正和无偏见；在审核时，对可能影响其判断的任何因素保持警觉。 b）公正表达：真实、准确地报告的义务审核发现、审核结论和审核报告应真实和

21、准确地反映审核活动。应报告在审核过程中遇到的重大障碍以及在审核组和受审核方之间没有解决的分歧意见。沟通必须真实、准确、客观、及时、清晰和完整。 c）职业素养：在审核中勤奋并具有判断力审核员应珍视他们所执行任务的重要性以及审核委托方和其他相关方对他们的信任。在工作中具有职业素养的一个重要因素是能够在所有审核情况下做出合理的判断。 d）保密性：信息安全审核员应审慎使用和保护在审核过程中获得的信息。审核员或审核委托方不应为个人利益不适当地或以损害受审核方合法利益的方式使用审核信息。这个概念包括正确处理敏感、保密的信息。 e）独立性：审核公正性和审核结论客观性的基础审核员应独立

22、于受审核的活动（只要可行时），并且在任何情况下都应不带偏见，没有利益上的冲突。对于内部审核，如可行，审核员应独立于被审核的职能。审核员在整个审核过程中应保持客观性，以确保审核发现和审核结论仅建立在审核证据的基础上。对于小型组织，内审员也许不可能完全独立于被审核的活动，但是应尽一切努力消除偏见和体现客观。 f）基于证据的方法：在一个系统的审核过程中，得出可信和可重现的审核结论的合理方法审核证据应是能够验证的。由于审核员是在有限的时间内并在有限的资源条件下进行的，因此审核证据是建立在可获得信息的的样本的基础上。应合理地进行抽样，因为这与审核结论的可信性密切相关。 g）基于风险的

23、方法：一种考虑风险和机遇的审核方法基于风险的方法宜对审核的策划、实施和报告产生实质性影响，以确保审核关注于对审核委托方具有重要意义的事项，并实现审核方案目标。 5 审核方案的管理 5.1 总则应建立可能包括针对一个或多个管理体系标准或其他要求的审核方案，可单独实施，也可结合实施（多体系审核）。审核方案的范围和程度应基于受审核方的规模和性质，以及审核的管理体系性质、功能、复杂程度、风险和机会的类型和其成熟度水平。当大多数重要功能外包、受其他组织的管理之下时，管理体系的功能可能会更加复杂。需要特别注意的是最重要决策的地方以及管理体系的最高管理者组成。对于多个地点/位置（如不同国

24、家），或重要职能外包及在其他组织领导下管理的情况时，宜特别注意审核方案的设计、策划和验证。对于规模较小或较不复杂的组织，审核方案可适当调整。为了理解受审核方的背景，审核方案应考虑受审核方的：组织目标; 相关的内外部因素; 有关相关方的需求和期望; 信息安全和保密要求。内部审核方案的策划，以及在某些情况下审核外部供方的方案策划，可以为促进组织的其他目标做出安排。管理审核方案的人员应确保审核的完整性得到保持，并且不会对审核产生不当影响。审核应优先考虑将资源和方法分配到具有较高固有风险和较低绩效水平的管理体系中的事项上。应指派有能力的人员管理审核方案。审核方案应包括在规定的期限

25、内能够有效和高效地实施审核的信息和确定的资源。这些信息应包括： a）审核方案的目标; b）与审核方案相关的风险和机遇（见 5.3）以及应对措施; c）审核方案内每次审核的范围（范围、界限、地点）; d）审核的日程安排（数量/持续时间/频次）; e）审核类型，如内部或外部； f）审核准则； g）采用的审核方法； h）选择审核组成员的准则； i）相关的成文信息。在完成更详细的审核计划之前，某些信息可能无法使用。应持续地监视和测量审核方案的实施（见 5.6）以确保达到其目标。应评审审核方案以识别变更的需求和可能的改进机会（见 5.7）。图 1 所示是审核方案的管理流程。 https:/ 注 1

26、：图中表示了 PDCA 循环在本文件中的应用。注 2：图中章/条号指的是本文件的相关条款。图 1 - 审核方案的管理流程 5.2 确立审核方案的目标审核委托方应确保审核方案的目标得到确立，以指导审核的策划和实施，并应确保审核方案的有效实施。审核方案的目标应与审核委托方的战略方向相一致，并支持管理体系的方针和目标。这些目标可以基于以下方面的考虑： a）包括内外部有关相关方的需求和期望; b）过程、产品、服务和项目的特性和要求及其变化; c）管理体系要求; d）外部供方评价的需要; e）在相关绩效指标（如 KPI），发生失效、事件或相关方投诉时所反映出的受审核方的绩效水平和管理体系

27、的成熟度水平; f）确定的受审核方所面临的风险和机遇; g）以往审核的结果。审核方案目标的示例可包括下列各项：确定管理体系及其绩效的改进机会；评价受审核方确定其背景的能力；评价受审核方确定风险和机遇的能力，以及确定和采取有效应对措施的能力；满足所有相关要求，如法律法规要求、合规义务、管理体系标准认证的要求；获得和保持对外部供方能力的信心；确定受审核方管理体系的持续适宜性，充分性和有效性；评价管理体系的目标与组织战略方向的兼容性和一致性。 5.3 确定和评价审核方案的风险和机遇与受审核方环境有关的风险和机遇可能与审核方案相关并影响审核方案的目标实现。审核方案管理员在制定审

28、核方案和资源要求时，应确定并向审核委托方提供所考虑的风险和机遇，以便对其适当应对。可能存在以下风险： a）策划，例如未能设定合适的审核目标和未能确定审核范围和详略程度、数量、持续时间、地点和日程安排; b）资源，例如没有足够的时间、设备和培训制定审核方案或实施审核; c）审核组的选择，例如不具备有效实施审核的整体能力; d）沟通，如外部/内部沟通过程/渠道的无效; e）实施，例如在审核方案内未能有效协调审核，或未考虑信息安全和保密性; f）成文信息的控制，例如未能有效确定审核员和有关相关方所必需的文件信息，未能适宜地保护用于证明审核方案有效性的审核记录; g）监视、评审和改进审核方案，

29、例如没有有效地监视审核方案的结果; h）受审核方的可用性与配合，以及可供取样证据的可用性。改进审核方案的机会可包括：允许在一次访问中实施多种审核; 尽量减少前往现场的时间和距离; 使审核组的能力水平与实现审核目标所需的能力水平相匹配; 使审核日期与受审核方关键人员的可用性保持一致。 5.4 建立审核方案 5.4.1 审核方案管理人员作用和职责审核方案管理员应： a）根据相关目标（见 5.1）和任何已知的约束确定审核方案的范围和程度; b）确定可能影响审核方案的外部和内部因素、风险和机遇及其应对的实施措施，适当时，并将这些措施整合到所有相关的审核活动中; c）适当时，通过分配岗位、

30、职责和权限以及领导支持，确保审核组的选择和审核活动的总体能力; d）建立如下相关过程：审核方案内所有审核的协调和安排; 明确审核目标、审核范围和准则、确定审核方法和选择审核组; 评价审核员; 适当时，建立外部和内部沟通过程; 争议解决和投诉处理; 审核的后续行动（如适用）; 适当时，向审核委托方和有关相关方报告。 e）确定并确保所需资源的提供； f）确保准备和保持适当的成文信息，包括审核方案记录； g) 监视、评审和改进审核方案； h) 与审核委托方（适当时，与有关相关方）沟通审核方案。审核方案管理员应获得审核委托方的批准。 5.4.2 审核方案管理员的能力审核方案管理员应具备有效地和高

31、效地管理审核方案及其相关的风险、机遇以及内外部因素的必要的能力，包括以下方面的知识： a）审核原则（见第 4 章）、方法和过程（第 A.1 和 A.2 节）; b）管理体系标准，其他相关标准和参考/指南文件; c）有关受审核方及其环境的信息（如，外部/内部因素、有关相关方及其需求和期望、受审核方的业务活动、产品、服务和过程）; d）适用的法律法规要求以及与受审核方业务活动相关的其他要求。适当时，可考虑风险管理、项目和过程管理以及信息通信技术（ICT）的知识。审核方案管理人员应参加适当的持续发展活动，以保持管理审核方案所需的能力。 5.4.3 确定审核方案的范围和详略程度审核方案管理

32、员应确定审核方案的范围和详略程度，这取决于受审核方提供的有关其环境的信息（见 5.3）。注：在某些情况下，根据受审核方的结构或活动，审核方案可能只包含一次审核（例如一个小型项目或组织）。影响审核方案范围和详略程度的其他因素可能包括以下内容： a）每次审核的目标、范围、持续时间和审核的次数、报告方法，适用时，还包括审核后续活动; b）管理体系标准或其他适用准则; c）受审核活动的数量、重要性、复杂性、相似性和地点; d）影响管理体系有效性的因素; e）适用的审核准则，例如相关管理体系标准的安排、法律法规要求以及组织承诺的其他要求; f）适当时，以往的内部或外部审核和管理评审的结果; g）以

33、往的审核方案的评审结果; h）语言，文化和社会因素; i）相关方的关注点，例如顾客报怨、不遵守法律法规要求以及组织承诺的其他要求或供应链问题; j）受审核方的环境或其运作及相关风险和机遇的重大变化; k）支持审核活动的信息和沟通技术的可获得性，尤其是使用远程审核方法的情况（见 A.16）; I）内部和外部事件的发生，如产品或服务的不合格、信息安全泄漏事件、健康和安全事件、犯罪行为或环境事件; m）业务风险和机遇，包括其应对措施。 5.4.4 确定审核方案资源确定审核方案的资源时，审核方案管理员应考虑： a）开发、实施、管理和改进审核活动所必需的财务和时间资源; b）审核方法（见 A.1）;

34、c）能够胜任特定审核方案目标的审核员和技术专家的个体与总体的可获得性; d）审核方案的范围和程度（见 5.4.3）以及审核方案的风险和机遇（见 5.3）; e）旅途时间和费用、食宿和其他审核需要; f）不同时区的影响; g）信息和沟通技术的可获得性（例如，使用支持远程协作的技术建立远程审核所需的技术资源）; h）所需工具、技术和设备的可获得性; i）在确定审核方案建立期间所必需成文信息的可获得性（见A.5）; j）与设施有关的要求，包括任何安全许可和设备（例如背景调查、个体防护设备、穿着洁净室服装的能力）。 5.5 实施审核方案 5.5.1 总则一旦建立了审核方案（见 5.4.3）并确定

35、了相关资源（见5.4.4），就必须实施方案内所有活动的策划和协调。审核方案管理员应： a）使用已建立外部和内部沟通渠道与有关相关方沟通审核方案的相关部分，包括相关的风险和机遇，并定期通报进展情况； b）确定每次审核的目标、范围和准则； c）选择审核方法（见 A.1）； d）协调和安排与审核日程以及其他与审核方案相关的活动； e）确保审核组具备所需的能力（见 5.5.1）； f）为审核组提供必要的个人和整体资源（见 5.4.4）； g）确保按照审核方案实施审核、管理在部署方案期间出现的风险、机遇和其他情况（即意外事件）； h）确保妥善管理和保持有关审核活动的相关成文文件（见5.5.7）； i

36、）确定和实施审核方案监视所需的运行控制（见 5.6）； j）评审审核方案，以确定其改进的机会（见 5.7）。 5.5.2 规定每次审核的目标、范围和准则每次审核都应基于确定的审核目标、范围和准则。这些应与总体审核方案的目标相一致。审核目标规定每次审核应完成什么，可以包括下列内容： a）确定所审核的管理体系或其一部分与审核准则的符合程度； b）评价管理体系的能力，以协助组织满足相关的法律法规要求以及组织所承诺的其他要求； c）评价管理体系在实现其预期结果方面的有效性； d）识别管理体系的潜在改进机会； e）评价受审核方管理体系在其环境和战略方向上的适宜性和充分性； f）评价管理体系在建

37、立和实现目标以及在不断变化的环境下有效应对风险和机遇、包括实施相关措施的能力。审核范围应与审核方案和审核目标相一致。包括诸如要审核的地址、职能、活动和过程以及审核覆盖的时期等内容。审核准则作为确定符合性的依据。可能包括以下一项或多项：适用的方针、过程、程序、包括目标的绩效准则、法律法规要求、管理体系要求、受审核方确定的环境和风险、机遇的信息（包括相关的外部/内部相关方要求）、行业行为规范或其他策划的安排。如果审核目标、范围或准则发生变化，应根据需要修改审核方案并将其传达给相关方，适当时予以批准。当同时审核多个领域时，审核目标、范围和准则与每个领域的相关审核方案的一致是非常重要

38、的。某些领域可能反映整个组织的范围，而其他领域可能反映整个组织的子集范围。 5.5.3 选择和确定审核方法审核方案管理员应根据确定的审核目标、范围和准则，选择和确定审核方法以有效和高效地实施审核。审核可以在现场、远程或组合进行。在考虑相关风险和机会的基础上，应适当平衡这些方法的使用。当两个或两个以上的审核组织对同一受审核方进行联合审核时，管理不同审核方案的人员应就审核方法达成一致，并考虑对审核资源和审核策划的影响。如果受审核方运行两个或个不同领域的管理体系，审核方案也应包括结合审核的情况。 5.5.4 选择审核组成员审核方案管理员应指定审核组成员，包括审核组组长和特定审核所需要

39、的技术专家。应在考虑实现规定范围内每次审核目标所需要的能力的基础上，选择审核组。如果只有一名审核员，该审核员应承担审核组长的适用的全部职责。注：第 7 章提供了确定审核组成员所要求的能力的指南，并描述了评价审核员的过程。为保证审核组的整体能力，应采取下列步骤：识别达到审核目标所需的能力; 选择审核组成员以使审核组具备必要的能力。在确定特定审核的审核组的规模和组成时，应考虑以下因素： a）考虑到审核范围和准则，实现审核目标所需的审核组的整体能力； b）审核的复杂程度； c）审核是结合审核还是联合审核； d）选定的审核方法； e）确保客观性和公正性，以避免审核过程中的任何利益冲突；

40、 f）审核组成员的工作能力以及与受审核方代表和有关相关有效协作的能力； g）相关的外部/内部因素，例如审核所用的语言以及受审核方的社会和文化特征。这些方面可以通过审核员自身的技能或通过技术专家的支持予以解决，同时考虑到口译员的需求； h）所审核过程的类型和复杂程度。适当时，审核方案管理员宜就审核组的组成咨询审核组长。如果审核组的审核员没有具备所必要的能力，应有相应能力的技术专家来支持审核组。审核组可以包括实习审核员，但实习审核员应在审核员的指导和帮助下参与审核。在审核过程中，如出现了利益冲突和能力方面的问题，审核组的组成可能有必要进行变更。如果出现这种情况，应在变更前，由相关方

41、（例如审核组组长、审核方案管理员、审核委托方或受审核方）解决。 5.5.5 为审核组长分配每次的审核职责审核方案管理员应向审核组长分配实施每次审核的职责。应在审核实施前的足够时间内分配职责，以确保有效地策划审核。为确保有效地实施每次审核，应向审核组长提供下列信息： a）审核目标； b）审核准则和任何有关的成文信息； c）审核范围，包括需审核的组织、职能以及过程； d）审核过程和相关方法； e）审核组的组成； f）受审核方的联系方式、审核活动的地点、期限和持续时间； g）实施审核所需的资源； h）评价和关注已识别达到审核目标的风险和机遇所需的信息； i)支持审核组长与受审核方互动以

42、获得审核方案有效性的信息。适用时，提供的信息还应包括下列内容：与审核员和（或）受审核方的语言不同的情况下，审核工作和报告的语言；需要的审核报告输出以及分发给谁；审核方案要求的，与保密和信息安全有关的事宜；审核员的健康、安全和环境安排；旅行或进入远程站点的要求；安全和授权要求；评审活动，例如上次审核的后续行动；与其他审核活动协调，例如当不同的团队在联合审核或在不同地点审核类似或相关的过程时。当进行联合审核时，重要的是实施审核的各组织在开始审核前，就各自职责，特别是对被指定为本次审核的审核组长的权限达成一致。 5.5.6 管理审核方案结果审核方案管理员应确保下列活动得到实

43、施： a）评价审核方案内每次审核的目标实现情况； b）评审和批准有关审核范围和目标实现的审核报告； c）评审应对审核发现而采取措施的有效性； d）将审核报告提交给有关相关方； e）确定后续审核的必要性。适用时，审核方案管理员应考虑：与组织的其他区域沟通审核结果和最佳实践，以及对其他过程的影响。 5.5.7 管理和保持审核方案记录审核方案管理员应确保审核记录的形成、管理和保持，以证明审核方案的实施。应建立过程以确保与审核记录相关的安全和保密需求的信息得到规定。记录可能包括下列内容： a）与审核方案相关的记录，如：审核日程安排；审核方案的目标、范围和程度；阐述审核方案风险、机遇以

44、及相关的外部和内部因素的记录；审核方案有效性的评审记录。 b）与每次审核相关的记录，如：审核计划和审核报告；客观的审核证据和审核发现；不合格报告；纠正和纠正措施报告；审核后续活动报告。 c）与审核组相关的记录，如：审核组成员的能力和绩效评价；审核组、审核组成员及审核组组成的选择准则；能力的保持和提高。记录的形式和详细程度应证明达到了审核方案的目标。 5.6 监视审核方案审核方案管理员应确保评价： a）日程安排是否符合、审核方案目标是否实现； b）审核组成员的绩效，包括审核组长和技术专家； c）审核组实施审核计划的能力； d）来自审核委托方、受审核方、审核员、技术专家和其他

45、相关方的反馈； e）整个审核过程成文信息的充分和适宜。某些因素可能表明需要修改审核方案。可能包括对下列内容的变更；审核发现；经证实的受审核方管理体系有效性和成熟度水平；审核方案的有效性；审核范围或审核方案范围；受审核方的管理体系；标准和组织承诺的其他要求；外部提供者；确定的利益冲突；审核委托方的要求。 5.7 评审和改进审核方案审核方案管理员和审核委托方应评审审核方案，以评定是否达到目标。从审核方案评审中得到的经验教训应用于改进审核方案的输入。审核方案管理员应确保下列内容：评审审核方案的总体实施情况；识别改进的区域和机会；必要时启用审核方案变更；根据 7.6

46、评审审核员的持续专业发展；报告审核方案的结果，必要时，与审核委托方、有关相关方进行评审。审核方案评审应考虑下列各项： a）审核方案监视的结果和趋势； b）与审核方案过程和相关成文信息的符合性； c）有关相关方进一步的需求和期望； d）审核方案记录； e）可替代的或新的审核方法； f）可替代的或新的评价审核员的方法； g）应对风险、机遇措施以及与审核方案相关的内部和外部因素的有效性； h）与审核方案有关的保密和信息安全事宜。 6 实施审核（实施由 “Performing” 替换为 “Conducting” ） 6.1 总则本条款作为审核方案一部分，为每次特定审核的准备和实施提供了指南。

47、图 2 给出了典型审核的实施活动概述。本条款的适用程度取决于特定审核的目标和范围。 6.2 审核启动 6.2.1 总则在审核完成（见 6.6）之前，指定的审核组长（见 5.5.5）都应对审核的实施负责。启动一项审核应考虑图 1 中的步骤；然而，根据受审核方、审核过程和具体情形的不同，顺序可有所不同。 6.2.2 与受审核方建立联系审核组长应确保与受审核方联系： a）确认与受审核方代表的沟通渠道； b）确认实施审核的权限； c）提供有关审核目标、范围、准则、方法和审核组组成（包括任何技术专家）的相关信息； d）请求有权使用用于策划审核的相关信息，包括组织已确定的风险、机遇及其应对的

48、信息； e）确定与与受审核方的活动、过程、产品和服务相关的适用法律法规要求和其他要求； f）确认与受审核方关于保密信息的披露程度和处理的协议； g）对审核做出安排，包括日程安排； h）确定特定场所的访问、健康安全、安保、保密或其他要求； i）就观察员的到场和审核组向导或口译人员的需求达成一致意见； j）针对具体审核，确定受审核方的关注事项或风险； k）与受审核方或审核委托方解决有关审核组组成的问题。 6.2.3 确定审核的可行性应确定审核的可行性，以确信能够实现审核目标。确定可行性应考虑是否具备下列因素： a）策划和实施审核所需的充分和适当的信息； b）受审核方的充分合作

49、； c）实施审核所需的足够时间和资源。注：资源包括适当的访问权限和适宜的信息和通信技术。当审核不可行时，应向审核委托方提出替代建立并与受审核方协商一致。 6.3 审核活动的准备 6.3.1 成文信息的评审应评审受审核方的相关管理体系成文信息，以：收集信息，例如过程、职能方面的信息，以理解受审核方的运行情况，并准备审核活动和适用的审核工作文件（见6.3.4）；了解成文信息范围和程序的概况，以确定与审核准则的可能符合发生，并发现可能的关注领域，例如缺陷、遗漏或冲突。成文信息应包括但不限于：管理体系文件和记录，以及以往的审核报告。审核应考虑受审核方的组织环境，包括其规模、性质、复

50、杂程度以及相关的风险和机遇。还应考虑审核的范围、准则和目标。注：如何进行信息核实的指南可参见 A.5。 6.3.2 审核计划 6.3.2.1 基于风险方法的计划审核组长应采用基于风险的方法，根据审核方案和受审核方提供的成文信息计划审核。审核计划应考虑审核活动对受审核方的过程的风险，并为审核委托方、审核组和受审核方之间就审核的实施达成一致提供依据。审核计划应便于有效地安排和协调审核活动，以达成目标。审核计划的详细程度应反映审核的范围和复杂程度，以及未达成审核目标的风险。在计划审核时，审核组长应考虑如下内容： a）审核组的组成及其整体能力； b）适当的抽样技术（见 A.6）； c

51、）提高审核活动有效性和效率的机会； d）因无效审核计划导致的审核目标达成风险； e）审核对受审核方形成的风险。受审核方的风险可能来自于审核组成员的到来对于受审核方的健康安全、环境和质量及其产品、服务、人员或基础设施（例如对洁净室设施的污染）产生的不利影响。对于结合审核，应特别关注不同管理体系的操作过程与相互抵触的目标以及优先事项之间的相互作用。 6.3.2.2 审核计划详述对于初次审核和随后的审核、内部审核和外部审核，审核计划的内容和详略程度可能有所不同。审核计划应具有充分的灵活性，以允许随着审核活动的进展而进行必要的调整。审核计划应解决或处理下列内容： a）审核目标； b）

52、审核范围，包括组织及其职能以及要审核的过程； c）审核准则和引用成文信息； d）实施审核活动的地点（物理和虚拟）、日期、预期的时间和期限，包括与受审核方管理者的会议； e）审核组需要熟悉的受审核方的设施和过程（例如，通过参观物理位置或评审信息和通信技术）； f）使用的审核方法，包括所需的审核抽样的范围，以获得足够的审核证据； g）审核组成员、向导、观察员或口译人员的作用和职责； h）基于考虑相关风险和机遇的基础上，为审核活动配置适当的资源。适当时，审核计划应考虑：明确受审核方本次审核的代表；当审核员和（或）受审核方的语言不同时，审核的工作和审核报告所用的语言；审核报告的主

53、题；后勤和沟通安排，包括受审核现场的特定安排；针对实现审核目标的风险和出现的机遇而采取的特定措施；保密和信息安全的相关事宜；来自以往审核或其他来源的后续措施，例如：获得的教训、项目评审；所策划审核的后续活动；在联合审核的情况下，与其他审核活动的协调。审核计划应提交给受审核方。审核计划的任何问题都应在审核组长、受审核方，必要时，以及审核方案管理员（如有必要）之间得到解决。 6.3.3 审核组工作分配审核组长可在审核组内协商，将对具体过程、活动、职能或场所的审核工作以及适当的决策权分配给审核组每位成员。应考虑审核员的公正性、客观性和能力、资源的有效利用以及审核员、实习审核员和

54、技术专家的不同作用和职责。适当时，审核组长应召开审核组会议，以分配工作并决定可能的改变。为确保实现审核目标，可随着审核的进展调整所分配的工作。 6.3.4 准备审核的成文信息审核组成员应收集和评审与其承担的审核工作有关的信息，并准备审核的成文信息（可以使用任何形式的适宜媒介）。审核的成文信息可包括但不限于： a）物理或数据检查表； b）审核抽样详述； c）视听资料。这些媒介的使用不应限制审核活动的范围和程度，因其可随着审核中收集信息的结果而发生变化。注：准备审核工作文件的指南见 A.13。准备和产生的审核的成文信息，应至少保存到时审核完成或审核方案规定的时限。关于审核完成

55、后所形成的成文信息的保存见 6.6。审核组成员在任何时候应妥善保管审核过程中创建的涉及保密或知识产权信息的成文信息。 6.4 审核活动的实施 6.4.1 总则审核活动通常如图 1 所示的顺序实施。为了适应特定的审核情况，顺序有可能不同。 6.4.2 向导和观察员的作用和职责如果需要，向导和观察员可以在审核组长、审核委托方和/或受审核方的允许后陪同审核组。他们不应影响或干扰审核的进行。如果不能确保如此，审核组长有权拒绝观察员在某些审核活动中出场。观察员应承担由审核委托方和受审核方约定的访问、健康安全、环境、安保和保密的任何安排。受审核方指派的向导应协助审核组，并根据审核组长或指派

56、的审核员的要求行动。他们的职责应包括以下内容： a）协助审核员确定面谈的人员并确认时间和地点； b）安排访问受审核方的特定场所； c）确保审核组成员和观察员了解和遵守有关场所的访问、健康和安全、环境、安保、保密和其他问题的规则，并处理任何风险； d）适当时，代表受审核方见证审核； e）需要时，在收集信息的过程中，做出澄清或提供帮助。 6.4.3 召开首次会议首次会议的目的是： a）确认所有与会者（例如受审核方，审核组）对审核计划的安排达成一致； b）介绍审核组及其作用； c）确保所策划的审核活动能够实施。应与受审核方管理者及适当的受审核的职能、过程的负责人一起召开首次会议。

57、在会议期间，应提供提问的机会。会议的详略程度应与受审核方对审核过程的熟悉程度一致。在许多情况下，例如小型组织的内部审核，首次会议可简单地包括即将实施的审核的沟通和对审核性质的解释。对于其他审核情况，会议可能是正式的，并应保留出席人员的记录。会议应由审核组长主持。适当时，考虑下列内容：其他与会者，包括观察员和向导、口译人员，并概述与会者的职责；因审核组成员的到场对组织可能形成风险进行管理的审核方法。适当时，考虑确认下列项目：审核目的、范围和准则；审核计划和受审核方的其他相关安排，例如末次会议的日期和时间，审核组与受审核方管理者之间的任何临时会议，以及所需的任何变动；审核

58、组和受审核方之间的正式沟通渠道；审核所使用的语言；在审核中将及时向受审核方通报审核进展情况；审核组所需的资源和设施的可获得性；有关保密和信息安全事宜；与审核组访问、健康安全、安保、紧急和其他的有关安排；现场可能影响审核实施的活动。适当时，应考虑提供下列信息的介绍：报告审核发现的方法，包括任何分级准则的信息；审核可能被终止的条件；如何处理审核期间可能的审核发现；受审核方对审核发现、审核结论（包括抱怨和申诉）的反馈渠道。 6.4.4 审核中的沟通在审核期间，可能有必要对审核组内部以及审核组与受审核方、审核委托方、可能的外部相关方（例如监管机构）之间的沟通做出正式的安排，尤

59、其是法律法规要求强制性报告不符合的情况。审核组应定期讨论以交换信息，评定审核进展情况，以及需要时重新分配审核组成员的工作。在审核中，适当时，审核组长应定期向受审核方、审核委托方通报审核进展、重要发现及相关情况。如果审核中收集的证据显示存在紧急和重大的风险，应及时报告受审核方，适当时向审核委托方报告。对于超出审核范围之外的引起关注的问题，就能予记录并向审核组人报告，以便可能时向审核委托方和受审核方通报。当获得的审核证据表明不能达到审核目标时，审核组长应向审核委托方和受审核方报告原因，以确定适当的措施。这些措施可以包括改变审核计划、审核目标或审核范围或终止审核。随着审核活

60、动的进行，出现的任何变更审核计划的需求都应经评审和接受，适当时，经审核方案管理员和审核委托方批准，并提交给受审核方。 6.4.5 审核信息的可获得性和访问选择的审核方法取决于确定的审核目标、范围和准则以及持续时间和场所。该场所指能为审核组获得特定审核活动所需信息的位置。可以包括物理的和虚拟的场所。何处、何时以及如何访问审核信息对审核是至关重要。这与信息的创建、使用和/或存储的位置无关。基于这些因素，需要确定审核方法（见表 A.1）。审核可以使用多种方法。审核环境也可意味着在审核中需要改变方法。 6.4.6 审核实施阶段的成文信息评审应评审受审核方的相关成文信息，以：确定文件所述的体系

61、与审核准则的符合性；收集信息以支持审核活动。注：如何验证信息的指南见 A.5。只要不影响实施的有效性，文件评审可以与其他审核活动相结合，并贯穿在审核的全过程。如果在审核计划所规定的时间框架内提供的文件不适宜、不充分，审核组长应告知审核方案管理员和受审核方。应根据审核目标和范围决定审核是否继续进行或暂停，直到有关成文信息的问题得到解决。 6.4.7 信息的收集和验证在审核中，应通过适当的抽样方式收集与审核目标、范围和准则有关的信息，包括与职能、活动和过程间接口有关的信息，并应在切实可行的范围内予以验证。注 I：有关信息验证请参见 A.5。注 2：抽样指南请参见 A.6 只有能

62、够接受一定程度验证的信息方可作为审核证据。如果验证程度较低，审核员应使用其专业判断来确定其可作为证据的可信程度。导致审核发现的审核证据应予以记录。在收集客观证据中，审核组如果发现了新的、变化的情况、风险或机会，则应予以关注。图 2 给出了从收集信息到得出审核结论的典型过程概述。图 2 收集和验证信息的典型过程概述收集信息的方法包括但不限于下列内容：面谈；观察；成文信息评审。注 3：信息源选择和观察指南见 A.14 注 4：访问受审核方场所指南见 A.15。注 5：如何进行面谈的指南见 A.17 6.4.8 形成审核发现应对照审核准则评价审核证据以确定审核发现。审核发现能

63、表明符合或不符合审核准则。当审核计划有规定时，具体的审核发现应包括具有证据支持的符合事项和良好实践、改进机会以及对受审核方的建议。应记录不符合及支持不符合的审核证据。可以根据组织环境及其风险对不符合进行评级。该分级可以是定量的（例如 1 至 5）和定性的（例如次要的，主要的）。应与受审核方一起评审不符合，以获得承认，并确认审核证据的准确性，使受审核方理解不符合。应努力解决对审核证据或审核发现有分歧的问题，并在审核报告中记录尚未解决的问题。审核组应根据需要在审核的适当阶段评审审核发现。注 1：识别和评价审核发现的附加指南见 A.18 注 2：与法律法规要求或其他要求相关的

64、审核准则的符合性或不符合性，有时称为合规性或不合规性。 6.4.9 确定审核结论 6.4.9.1 末次会议的准备审核组在末次会议之前应充分讨论，以： a）根据审核目标，评审审核发现以及在审核过程中所收集的其他适当信息； b）考虑审核过程中固有的不确定性因素，对审核结论达成一致； c）如果审核计划中有规定，提出建议； d）讨论审核后续行动（适用时）。 6.4.9.2 审核结论的内容审核结论应陈述如下内容： a）管理体系与审核准则的符合程度及其稳健程度，包括管理体系满足预期结果的有效性、确定的风险及受审核方为应对风险而采取措施的有效性； b）管理体系的有效实施、保持和改进； c）审核目标的完

65、成情况，审核范围的覆盖情况，以及审核准则的履行情况； d）为识别趋势从其他受审核领域、或联合审核或以往审核获得的类似的审核发现。如果审核计划中有规定，审核结论可提出改进的建议或今后审核活动的建议。 6.4.10 举行末次会议末次会议应提出审核发现和审核结论。末次会议应由审核组长主持，并由受审核方的管理者参加，适用时，包括：已接受审核的职能或过程的人员；审核委托方；审核组的其他成员；审核委托方和/或受审核方确定的其他有关相关方。适用时，审核组长应告知受审核方在审核过程中遇到的可能降低审核结论可信程度的情况。如果管理体系有规定或与审核委托方达成协议，与会者应就针对审核发现而制定

66、行动计划的时间框架达成一致。详略程度应考虑管理体系在实现受审核方目标方面的有效性，包括考虑其环境、风险和机遇。末次会议还应考虑受审核方对审核过程的熟悉程度，以确保向与会者提供相一致的程度。在一些情况下，会议可能是正式的，并保持会议纪要，包括出席人员的记录。对于另一些情况，例如内部审核，末次会议可以不太正式，只是沟通审核发现和审核结论。适当时，末次会议应向受审核方阐明下列内容： a）告知受审核方所收集的审核证据是基于已获得的信息样本，并不一定完全代表受审核方过程的整体有效性； b）报告的方法； c）如何根据商定的过程处理审核发现； d）未充分处理审核发现的可能后果； e）以受审核方管

67、理者理解和认同的方式提出审核发现和审核结论； f）任何相关的审核后续活动（例如纠正措施的实施和评审、审核投诉的处理、申诉过程）。应讨论审核组与受审核方之间关于审核发现或审核结论的分歧，并尽可能予以解决。如果不能解决，应予以记录。如果审核目标有规定，可以提出改进建议的机会，并强调该建议没有约束性。 6.5 审核报告的编制和分发 6.5.1 审核报告的编制审核组长应根据审核方案报告审核结论。审核报告应提供完整、准确、简明和清晰的审核记录，并包括或引用以下内容： a）审核目标； b）审核范围，尤其是应明确组织（受审核方）以及审核的职能或过程； c）明确审核委托方； d）明确审核组和受审核方在审

68、核中的参与人员； e）进行审核活动的日期和地点； f）审核准则； g）审核发现和相关证据； h）审核结论； i）关于对审核准则遵守程度的陈述； j）审核组与受审核方之间没有解决的分歧意见； k）审核本身是一种抽样活动，因此，审核证据审查的代表性有一定的风险。适当时，审核报告还可以包括或引用以下内容：包括日程安排的审核计划；审核过程综述，包括遇到可能降低审核结论可靠性的障碍；确认在审核范围内，已按审核计划达到审核目标；确认在审核范围内，但没有覆盖到的领域，包括因正常理由引起的证据、资源或机密性的可获得性问题；审核结论综述及支持审核结论的主要审核发现；识别的良好实践；商定的后续行动

69、计划（如果有）；关于内容保密性质的声明；对审核方案或后续审核的影响。 6.5.2 审核报告的分发实施。适当时，受审核方应将这些措施的实施状况告知审核方案管理员和/或审核组。应对措施的完成情况及有效性进行验证。验证可以是后续审核活动的一部分。应将结果报告给审核方案管理员，并向审核委托方报告以进行管理评审。 7 审核员的能力和评价 7.1 总则对审核过程的信心和达到目标的能力取决于参与实施审核的人员（包括审核员和审核组长）的能力。应通过一个过程对人员能力进行定期评价，该评价过程考虑个人行为表现以及应用知识和技能的能力。这些知识和技能是通过教育、工作经历、审核员培训和审核经历获得

70、的。评价过程应考虑审核方案及其目标的需要。7.2.3 中描述的知识和技能，有一些是所有管理体系领域的审核员通用的，其他的则是特定管理体系审核员专用的，没有必要要求一个审核组的所有人员具有相同的能力。但是审核组的整体能力相对于达到审核目标而言就是充分的。审核员能力的评价应进行规划、实施并形成文件，以提供客观、一致、公正和可靠的结果。评估过程应包括以下四个主要步骤： a）确定满足审核方案需求的能力要求； b）建立评价准则； c）选择适当的评价方法; d）实施评价。评价过程的结果应为下列各项活动提供基础：选择审核组成员（如 5.5.4 所述）；确定提高能力的需求（例如更多的培

71、训）；审核员日常表现的评价。审核员应通过持续专业发展活动和定期参加审核来形成、保持和提高他们的能力（见 7.6）。审核员和审核组长的评价过程见 7.3,7.4 和 7.5。审核员和审核组长的评价准则见 7.2.2 和 7.2.3 中以及 7.1中建立的准则。审核方案管理员的能力要求见 5.4.2。 7.2 确定审核员能力 7.2.1 概述 7.2.1 总则在确定一次审核的所需能力时，应考虑与下列事项相关的审核员的知识和技能： a）受审核方的规模、性质、复杂程度、产品、服务和过程； b）审核方法； c）被审核管理体系的领域； d）被审核管理体系的复杂程度和过程； e）应对管

72、理体系风险和机遇的类型和级别； f）审核方案的目标和范围； g）审核目标实现过程中的不确定性； h）其他要求（适用时），例如审核委托方或其他有关相关方提出的要求。这些信息应与 7.2.3 相匹配。 7.2.2 个人行为审核员应具备必要的特质，使其能够按照第 4 章所描述的审核原则进行工作。审核员应在从事审核活动时展现职业素养。期望的职业行为包括： a）有道德，即公正、可靠、忠诚和谨慎； b）思想开明，即愿意考虑不同意见或观点； c）善于外交，即灵活地与他人交往； d）善于观察，即主动地认识周围环境和活动； e）有感知力，即能了解和理解处境； f）适应力强，即容易适应不

73、同处境； g）坚定不移，即对实现目标坚持不懈； h）明断，即能够根据逻辑推理和分析及时得出结论； i）自立，即能够在同其他人有效交往中独立工作并发挥作用； j）刚毅，即能够采取负责任的及合理的行动，即使这些行动可能是非常规的和有时可能导致分歧或冲突； k）与时俱进，即愿意从现实中学习； I）文化敏感，即善于观察和尊重受审核方的文化； m) 协同力，即有效地与其他人互动，包括审核组成员和受审核方人员。 7.2.3 知识和技能 7.2.3.1 总则审核员应具备： a）达到审核预期结果的必要知识和技能； b）通用能力和一定的特定领域与专业的知识和技能。审核组长应具备更多的领导审核

74、组的知识和技能。 7.2.3.2 管理体系审核员的通用知识和技能审核员应具备下列方面的知识和技能： a）审核原则、过程和方法：这方面的知识和技能能使审核员确保审核实施的一致性和系统性。审核员应能够：理解与审核相关的风险和机遇类型以及基于风险的方法的审核原则；对工作进行有效地规划和组织；按商定的时间表进行审核；优先关注重要问题；直接或通过口译人员，进行口头和书面的有效沟通；通过有效的面谈、倾听、观察和对成文信息（包括记录和数据）的评审来收集信息；理解审核中运用抽样技术的适宜性及其后果；理解并考虑技术专家的意见；从开始到结束的审核过程，适当时包括与其他过程和不同职能的相互关

75、系；验证所收集信息的相关性和准确性；确认审核证据的充分性和适宜性，以支持审核发现和审核结论；评定影响审核发现和审核结论的可靠性的因素；将审核活动和审核发现形成文件，并编写审核报告；保持信息的机密性和安全性。 b）管理体系标准和其他参考：该领域的知识和技能使审核员能够理解审核范围并运用审核准则，应包括：用于制定审核准则或方法的管理体系标准或其他规范或指南/支持文件；受审核方和其他组织对管理体系标准的运用；管理体系过程之间的关系和互动；理解多个标准或参考引用文件的重要性和优先级；标准或参考在不同的审核情况下的运用。 c）组织及其背景：该领域的知识和技能使审核员能理解受审核方

76、的结构、目的和管理实践，应包括：影响管理体系的有关相关方的需求和期望；组织类型、治理、规模、结构、职能和相互关系；通用的业务和管理概念、过程和相关术语，包括策划、预算和人员管理；受审核方的文化和社会习俗。 d）适用的法律法规要求和其他要求：在该领域的知识和技能使审核员能了解适用于组织的要求并在此环境下开展工作。与法律责任或受审核方活动、过程、产品和服务有关的知识和技能包括：法律法规及其主管机构；基本的法律术语；合约及责任。注：法律法规要求的意识并不意味着法律技能、管理体系审核也并不应被视为法律的合规性审核。 7.2.3.3 审核员的特定领域与专业能力审核组应具有特定领域

77、和专业的整体能力，以适应管理体系特定领域和专业的审核。审核员的特定领域和专业能力包括： a）管理体系要求、原则及其应用； b）受审核方适用的管理体系标准相关的特定领域和专业的基础知识； c）特定领域和专业方法、技术、过程和实践的应用，确保审核组能够在规定的审核范围内评估的一致性，并形成适当的审核发现及审核结论； d）与特定领域与专业有关的原则、方法和技术，以使审核员能确定和评估与审核目标相关的风险和机遇。 7.2.3.4 审核组长的通用能力为了促进审核的有效和高效地进行，审核组长应有权： a）根据审核组各成员的具体能力策划审核并分配审核任务； b）与受审核方的高层管理人员讨论

78、战略问题，以确定他们在评估风险和机遇时是否考虑过这些问题； c）建立和保持审核组成员之间的协同工作关系； d）管理审核过程，包括：在审核过程中有效地利用资源；对达到审核目标的不确定性进行管理；在审核期间保护审核组成员的健康和安全，包括确保审核员遵守相关的健康和安全、安保的要求；指挥审核组成员；指导和指挥实习审核员；必要时，预防和解决审核期间可能发生的冲突和问题，包括审核组内部的冲突和问题。 e）代表审核组与审核方案管理员、审核委托方和受审核方进行沟通； f）引导审核组得出审核结论； g）编制和完成审核报告。 7.2.3.5 多领域审核的知识和技能在审核多领域管理体系时，

79、审核组成员应理解不同管理体系之间的相互关系和协同作用。审核组长应理解所审核的每一管理体系标准的要求，并意识到在不同领域的的能力局限。注：多领域同时实施或审核可以作为结合审核进行，也可作为覆盖多领域的一个整合管理体系的审核来完成。 7.2.4 审核员能力的获得审核员能力可通过下列途径获得： a）成功地完成涵盖通用审核员知识和技能的培训课程； b）在相关技术、管理或专业岗位的工作经历，这些岗位应与判断、决策、问题解决以及与管理人员、专业人员、同行、顾客和其他相关方沟通有关； c）有助于发展整体能力的特定管理体系领域和专业的教育/培训和经验； d）在相同领域审核员监督下获得的审核经历。

80、注：成功完成培训课程取决于课程类型。对于具有考试成分的课程，它意味着成功通过考试。对于其他课程，它可能意味着参加和完成课程。 7.2.5 审核组长能力的获得审核组长应具有附加的审核经历来获得 7.2.3.4 中描述的能力。这种附加的审核经历应是在不同的审核组长指导下获得的。 7.3 审核员评价准则的建立准则应是定性的（如，在工作或培训中经证实的个人行为、知识或技能表现）和定量的（如，工作年限、受教育年限、审核次数、审核培训小时数）。 7.4 选择适当的审核员评估方法应使用表 2 中给出的两种或更多的方法来进行评价。在使用表 2 时，应注意下列事项： a）列出的方法提供了一个可选范围，

81、但可能并不适用所有情况； b）列出的各种方法在可信程度上可能有所不同； c）应当结合运用多种方法进行评价以确保结果的客观、一致、公平和可信。表 2 审核员评价方法评估方法目标示例对记录的评审对审核员背景的验证对教育、培训、工作经历记录，专业证书以及审核经历记录的分析反馈提供关于审核员表现的信息调查表、问卷表、个人资料、证书、投诉，表现评价，同行评审面谈评价所需的专业和沟通技巧，验证信息，测试知识并获得更多信息个人交谈观察评价所需的专业以及运用知识和技能的能力角色扮演，见证审核，岗位表现测试评价所需的专业、知识和技能及其应用口试、笔试，心理测试审核后

82、的评审提供有关审核员在审核活动期间的表现，确定改进的优势和机遇评审审核报告，与审核组长，审核组成员交谈，受审核方的反馈信息（如适用） 7.5 进行审核员评估收集的有关审核员评价的信息应与 7.2.3 中的准则进行比照。当拟参与审核方案的受评价审核员不能满足准则要求时，则就增加更多的培训、工作或审核经历，并进行后续的再评价。 7.6 维持和提高审核员能力审核员和审核组长应不断提高他们的能力。审核员应通过定期参与管理体系审核和持续专业发展来保持他们的审核能力。这可以通过诸如获得更多的工作经历、培训、个人学习、辅导、出席会议、研讨、论坛或其他相关活动来实现。审核方案管理员应建立合适

83、的运行机制，对审核组长和审核员的表现进行持续评价。持续专业发展活动应考虑以下方面： a）实施审核的组织和个人的需求变化； b）审核实践的发展，包括技术的使用； c）相关标准（包括指南/支持文件）和其他要求； d）专业或领域的变化。附录 A（资料性附录）审核员策划和实施审核的补充指南 A.1 审核方法的应用可以采用一系列的审核方法实施审核。本附录给出了常用的审核方法的说明。选择审核方法取决于所规定的审核目标、范围和准则以及持续的时间和地点。应考虑可获得的审核员能力和应用审核方法出现的任何不确定性。灵活运用各种不同的审核方法及其组合，可以使得审核过程及其结果的效率和有效性最

84、佳化。审核绩效与受审核管理体系的相关人员的相互作用和审核所用技术有关。可以单独或组合的运用表 A.1 提供的审核方法示例以实现审核目标。如果一次审核使用多名成员组成的审核组，可以同时使用现场和远程方法。注：有关访问物理场所的附加信息见 A.15. 表 A.1-审核方法审核员与受审核方之间的相互作用程度审核员的位置现场远程有人员互动进行面谈；在受审核方参与的情况下完成检查表和问卷表；在受审核方参与的情况下进行文件审查；抽样。借助交互式的通信手段：进行交谈；用远程指南观察工作实施；完成检查表和问卷；在受审核方参与的情况下进行文件评审。

85、无人员互动进行文件评审（例如记录、数据分析）；观察工作情况；进行现场巡视；完成检查表；抽样（例如产品）。进行文件审查（例如记录、数据分析）；在考虑社会和法律法规要求的前提下，通过监视手段来观察工作情况；分析数据。现场审核活动在受审核方的现场进行。远程审核活动在受审核方现场以外地方进行，无论距离远近。互动的审核活动包括受审核方人员和审核组之间的相互交流。非互动的审核活动不存在与受审核方代表的交流，但需要使用设备、设施和文件。在策划阶段，审核方案管理员或审核组长应对具体审核中有效运用审核方法负责。审核组长负责实施审核活动。远程审核活动的可行性取决于多种因素（例如，实现审

86、核目标的风险程度、审核员和受审核方人员及监管要求之间的信任程度）。在审核方案中，应确保适宜和平衡地应用远程和现场审核方法，以确保圆满实现审核方案的目标。 A.2 审核的过程方法根据 ISO / IEC指令，第 1 部分，附录 SL，“过程方法”的使用是所有 ISO 管理体系标准的要求。审核人员应该理解，管理体系的审核就是审核与一个或多个管理体系标准相关的组织的过程及其相互关系。将活动作为相互关联、功能连贯的过程组成的体系来理解和管理时，可更加有效和高效地得到一致的、可预知的结果。 A.3 专业判断审核员应在审核过程中运用专业判断，避免以牺牲管理体系预期结果为代价而集中于标准

87、各条款的具体要求。一些 ISO 管理体系标准条款不容易在一组准则与程序或工作指令之间进行比照审核。在此情况下，审核员应运用其专业判断来确定是否符合条款的意图。 A.4 绩效结果审核人员应在整个审核过程中关注管理体系的预期结果。虽然过程及其实现很重要，但管理体系的结果及其绩效才是最重要的。考虑不同管理体系的整合程度及其预期结果同样也很重要。在高风险或复杂的组织中缺乏过程或文档可能很重要，但在其他组织中则不那么重要了。 A.5 信息验证在可行的情况下，审核员应考虑信息是否提供足够的客观证据来证明要求已经得到满足，例如： a）完整（所有预期内容已经包含在成文信息中）； b）正确（内

88、容符合其他可靠来源，如标准和法规）； c）一致（成文信息本身和相关文件一致）； d）当前（内容是最新的）。还应考虑被验证的信息是否提供足够的客观证据来证明要求已经被满足。如果以预期外的方式提供的信息（例如，由不同的个人、替代媒介），则应评估证据的完整性。由于数据保护的适用规定，需要特别注意信息安全（特别是那些不在审核范围内但又包含在文件中的信息）。 A.6 抽样 A.6.1 总则在审核过程中，如果检查所有可获得的信息不实际或不经济，则需进行审核抽样，例如记录太过庞大或地域分布太过分散，以至于无法对总体中的每个项目进行检查。为了对总体形成结论，对大的总体进行审核抽样，就是在全部

89、数据批（总体）中，选择小于 100数量的项目以获取并评价总体某些特征的证据。审核抽样的目的是提供信息，以使审核员确信能够实现审核目标。抽样的风险是从总体中抽取的样本也许不具有代表性，从而可能导致审核员的结论出现偏差，与对总体进行全面检查的结果不一致。其他风险可能源于抽样总体内部的变异和所选择的抽样方法。典型的审核抽样包括以下步骤： a）明确抽样的目标； b）选择抽样总体的范围和组成； c）选择抽样方法； d）确定样本量； e）进行抽样活动； f）收集、评价和报告结果并形成文件。抽样时，应考虑可用数据的质量，因为抽样数量不足或数据不准确将不能提供有用的结果。应根据抽样方

90、法和所要求的数据类型（如为了推断出特定行为模式或得出对总体的推论）选择适当的样本。对样本的报告应考虑样本量、选择的方法以及基于这些样本和一定置信水平做出的估计。审核可以采用条件抽样（参见 A6.2）或者统计抽样（参见A6.3）。 A.6.2 条件抽样条件抽样依赖于审核组的能力和经验（见第 7 章）。对于条件抽样，可以考虑以下方面： a）在审核范围内的以前的审核经验； b）实现审核目标的要求的复杂性（包括法律法规要求）； c）组织的过程和管理体系要素的复杂性及其相互作用； d）技术、人为因素或管理体系的变化程度； e）以前识别的关键风险领域和改进的机会； f）管理体系监视的结果。条件

91、抽样的缺点是，可能无法对审核发现和审核结论的不确定性进行统计估计。 A.6.3 统计抽样如果决定使用统计抽样，抽样方案应基于审核目标和抽样总体的特征。统计抽样设计使用一种基于概率论的样本选择过程。当每个样本只有两种可能的结果时（例如正确或错误，通过或不通过）使用计数抽样。当样本的结果是连续值时使用计量抽样。抽样方案应当考虑检查的结果是计数的还是计量的。例如，当要评价完成的表格与程序规定的要求的符合性时，可以使用计数抽样。当调查食品安全事件或安全漏洞的数量时，计量抽样可能更加合适。影响审核抽样方案的因素可能是： a）组织的背景、规模、性质和复杂程度； b）胜任的审核员的数量；

92、c）审核的频次； d）单次审核的时间； e）外部所要求的置信水平； f）发生不良状况和/或意外事件。当制订统计抽样方案时，审核员能够接受的抽样风险水平是一个重要的考虑因素。这通常称为可接受的置信水平。例如， 5的抽样风险对应 95%的置信水平。 5%的抽样风险意味着审核员能够接受被检查的 100 个样本中有 5 个（或 20 个中有 1 个）不能反映其真值，该真值通过检查总体样本得出。当使用统计抽样时，审核员应适当描述工作情况，并形成文件。这应该包括抽样总体的描述，用于评价的抽样准则（例如，什么是可接受的样本），使用的统计参数和方法，评价的样本数量以及获得的结果。 A.7 管理

93、体系内的合规性审核审核组应考虑受审核方是否有有效的过程，以： a）确定其法律法规要求以及其承诺的其他要求； b）管理其活动、产品和服务，以遵守这些要求； c）评估其合规情况。除了本文中给出的通用指南之外，当评价受审核方实施的过程以确保遵从相关要求时，审核组应考虑受审核方是否： 1）有一个有效的过程来识别合规要求的变化，并将其视为变更管理的一部分； 2）有能力的人员管理其合规流程； 3）根据监管机构或其他相关方的要求，保持并提供有关其合规状态的适当的成文信息； 4）在其内部审核方案中包括合规要求； 5）解决任何不遵守的情况； 6）在管理评审中考虑合规绩效。 A.8 环境的审

94、核许多管理体系标准要求组织确定其环境，包括有关相关方的需求和期望以及外部和内部因素。为此，组织可以使用各种技术进行战略分析和规划。审核员应确认已为此制定了适宜的过程并得到有效利用，以便使其结果为确定管理体系范围和建立管理体系提供可靠的依据。为此，审核员应考虑与下列内容相关的客观证据： a）使用的过程或方法； b）促成该过程的个人的适合性和能力； c）过程的结果； d）结果应用于确定管理体系的范围和建立； e）适当时，定期评审其环境。审核员应具有相关领域的知识和组织管理工具的理解，以便判断确定环境过程的有效性。 A.9 领导作用和承诺的审核许多管理体系标准增加了对最高管理者

95、的要求。这些要求包括通过对管理体系的有效性负责并履行一系列责任来展示其承诺和领导作用。包括最高管理者应该自己承担的任务以及可以授权的其他任务。审核员应获得客观证据证明，最高管理层参与管理体系相关决策的程度，以及证实其有效性的承诺。这可通过评审相关过程的结果（例如方针、目标、可用资源、最高管理者的沟通）以及通过与员工面谈来确定最高管理者参与度来实现。审核员还应该与最高管理层面谈，以确认他们对与其管理体系相关领域特定问题有充分的了解，以及他们的组织在其中运作的环境，以便他们能够确保管理体系实现其预期的结果。审核员不仅应关注最高管理者的领导作用，适当时，还应审核其他管理层级的领导作用

96、和承诺。 A.10 风险和机遇的审核作为个人审核工作的一部分，可以包括对组织风险和机遇的确定和管理。这项审核工作的核心目标是：确保风险和机遇识别过程的可信度；确保风险和机遇确定和管理的正确性；评审组织是如何应对其确定的风险和机遇。对组织确定其风险和机遇方法的审核不应作为独立活动来执行。在整个管理体系审核期间，包括与最高管理者面谈时，这应该是隐含的。审核员应按照以下步骤行事，并收集如下客观证据： a）组织用于确定其风险和机遇的输入。其中可包括：外部和内部因素的分析；组织的战略方向；与其管理体系领域及其要求有关的相关方；潜在的风险来源，如环境因素和安全危害等。 b）评估风

97、险和机遇的方法，这些方法可能因专业和领域而异。组织对其风险和机遇的处理，包括其希望接受的风险水平及其控制方式，将要求审核员运用专业判断。 A.11 生命周期一些特定领域的管理体系要求对其产品和服务应用生命周期观点。审核员不应认为这是应用生命周期方法的要求。生命周期观点包括考虑组织对其产品和服务生命周期各阶段的控制和影响。生命周期的各阶段包括原材料的获取、设计、生产、运输/交付、使用、报废处理和最终处置。这种方法能够使组织识别那些领域，在考虑其范围时，它可以最小化其对环境的影响同时为组织增加价值。审核员应该运用他们的专业判断来评估组织如何运用生命周期观点来制定战略，以及： a）产

98、品或服务的生命； b）组织对供应链的影响； c）供应链的长度； d）产品的技术复杂性。如果组织根据自身需要，将多个管理体系组合成一个管理体系时，审核员应关注与生命周期有关考虑的任何重叠。 A.12 供应链审核可能要求对供应链进行特定要求的审核。供方审核方案应根据供方和外部供方的类型建立适宜的审核准则。供应链审核的范围可能不同，例如完整的管理体系审核、单一过程的审核、产品审核、配置审核。 A.13 准备审核工作文件当准备审核工作文件时，审核组应针对每份文件考虑下列问题： a）使用这份工作文件时将产生哪些审核记录？ b）哪些审核活动与此特定工作文件相关联？ c）谁将是这份工作文

99、件的使用者？ d）准备这份工作文件需要哪些信息？对于结合审核，准备的工作文件应通过下列活动避免审核活动的重复：汇集不同准则的类似要求；协调相关检查表和问卷的内容。审核工作文件应充分关注审核范围内管理体系的所有要素，提供的形式可以是任何媒介。 A.14 信息源的选择可根据审核的范围和复杂性选择不同的信息源，信息源可能包括： a）与员工和其他人员交谈； b）观察活动及周围的工作环境和条件； c）成文信息，例如方针、目标、计划、程序、标准、指导书、执照和许可证、规范、图纸、合同和订单； d）记录，例如检验记录、会议纪要、审核报告、监视方案和测量结果的记录； e）数据汇总、分析和

100、绩效指标； f）有关受审核方抽样方案和抽样、测量过程的控制程序的信息； g）其他来源的报告，例如顾客的反馈、外部调查与测量、来自外部机构和外部供方评级的其他信息； h）数据库和网站； i）模拟和建模。 A.15 受审核方现场访问在现场访问中，尽量减少审核活动与受审核方工作过程的相互干扰，并确保审核组成员的健康和安全，应考虑以下方面： a）策划访问时：确保能够进入审核范围所确定的受审核方的相关场所；向审核员提供有关现场访问的足够信息，这些信息涉及的方面包括安保、健康（例如检疫）、职业健康安全、文化习俗和工作时间，适用时，还包括要求的预防接种和清洁；适用时，与受审核方确认

101、提供审核组所需的个人防护设备（PPE）；与受审核方确认有关移动设备和相机使用的安排，包括记录信息，如地点和设备的照片，屏幕截图或文件复印件，活动视频和访谈，同时考虑到安全和保密问题；除了非计划的特别审核，确保受访人员知道审核目标和范围。 b）现场活动时：避免任何对操作过程不必要的干扰；适用时，确保审核组适当地使用个人防护装备 PPE；确保应急程序得到沟通（例如紧急出口，集合地点）；安排沟通以尽量减少分歧；依据审核范围确定审核组的规模以及向导和观察员的数量，以尽可能地避免干扰运作过程；即使具备能力或持有执照，除非经明确许可，不要触摸或者操作任何设备；如果在现场访问期间发生事

102、件，审核组长应与受审核方（如果需要，包括审核委托方）一起评审该状况，就是否中断、重新安排或继续审核达成一致；如果复制任何媒介的文件，应预先征得许可并考虑保密和安全事宜；作笔记时，应避免收集个人信息，除非出于审核目标或是审核准则的要求。 c）虚拟审核活动：确保审核组使用商定的远程访问协议，包括请求的设备、软件等；如果拍摄任何类型文件的屏幕截图，应事先征得许可，并考虑保密和安全事宜，避免未经许可的记录个人情况；如果在远程访问期间发生事件，审核组长应与受审核方（如果需要，包括审核委托方）一起评审该状况，就是否中断、重新安排或继续审核达成一致；使用远程位置的平面图/图表作为参考；在审

103、核休息期间保持对隐私的尊重。无论媒介类型如何，一旦不再需要保留时，考虑已获得信息和审核证据的处理需要。 A.16 虚拟活动和场所审核当组织使用在线环境实施工作或提供服务时，实施虚拟审核，该在线环境允许人员在任何物理场所执行过程（例如公司内部网络、“计算云”）。虚拟位置的审核有时被称为虚拟审核。远程审核是指在“面对面”方法不可能或不希望采用时，使用技术访问受审核方，收集信息等。虚拟审核遵循标准的审核过程，同时使用技术证实客观证据。受审核方和审核组应确保虚拟审核的适当技术要求，可包括：确保审核组使用商定的远程访问协议，包括请求的设备、软件等；在审核前进行技术检查以解决技术问题；

104、确保提供和传达应急计划（例如，访问中断，替代技术的应用），包括在必要时提供附加的审核时间。审核员能力应包括：审核时使用适宜电子设备及其他技术的科技技能；具有远程控制审核的虚拟会议经验在进行首次会议或虚拟审核时，审核员应考虑下列内容：与虚拟或远程审核相关的风险；使用远程位置的平面图/图表作为参考或电子信息的映射；促进预防背景噪音干扰和中断；事先要求获得许可，以获得文件复制的截图或任何类型的录音，并考虑保密和安全事宜；在审核休息期间确保机密性和隐私，例如关闭麦克风、暂停摄录。 A.17 面谈面谈是收集信息的重要手段，并且应以适于当时情境和受访人员的方式进行，面谈可以是面对面进

105、行，也可以通过其他沟通方法。但是，审核员应考虑下列内容： a）受访人员应来自承担审核范围涉及的活动或任务的适当层次和职能部门； b）通常在受访人员正常的工作时间内和工作地点（可行时）进行； c）在面谈之前和面谈期间，应尽量使受访人员放松； d）应解释面谈和做笔记的原因； e）面谈可以从请受访人员描述其工作开始； f）应注意仔细选择提问的方式（例如：开放式、封闭式、引导式提问、欣赏式探询）； g）意识到在虚拟环境中有限的非语言交流；相反，重点应放在用于寻找客观证据的问题类型上； h）应与受访人员总结和评审面谈结果； i）应该感谢受访人员的参与和合作。 A.18 审核发现 A.

106、18.1 确定审核发现当确定审核发现时，应考虑以下内容： a）以往审核记录和结论的追踪； b）审核委托方的要求； c）支持审核发现的客观证据的准确性、充分性和适当性； d）实现审核活动计划及达到审核结果的程度； e）非常规活动的发现，或者改进的机会； f）样本量； g）审核发现的分类（如果存在这种情况）。 A.18.2 记录符合性对于符合性的记录，应考虑如下内容： a）明确判断符合的审核准则的描述或引用； b）支持符合性和有效性的审核证据（适用时）； c）符合性陈述（适用时）。 A.18.3 记录不符合对于不符合的记录，应考虑如下内容： a）审核准则的描述或引用；

107、 b）审核证据； c）不符合陈述； d）相关的审核发现（适用时）。 A.18.4 与多个准则相关的审核发现的处理在审核中，有可能识别出与多个准则相关的审核发现。在结合审核中，当审核员识别出与一个准则相关的审核发现时，应考虑到这一审核发现对其他管理体系中相应或类似准则的可能影响。根据审核委托方的安排，审核员也可能提出： a）分别对应每个准则的审核发现，或： b）与多个准则相关的一个审核发现。根据审核委托方的安排，审核员可以指导受审核方应对这些审核发现。参考文献 1ISO 9000:2015,质量管理体系-基础和术语 2 ISO 9001,质量管理体系要求 3 ISO Guide 73:2009, Risk management-Vocabulary 4ISO/IEC 17021. Conformity assessment-Requirements for bodies providing audit and certification of managementsystems- Part 1: Requirements

展开阅读全文

ISO19011：2018管理体系审核指南

最新文档