GB/T19011《管理体系审核指南》以及GB/T27021《合格评定管理体系审核认证机构要求》第九章,提供了审核要求和指南。标准强调了审核作为控制和验证一个组织有效实施的管理工具的重要性,是组织进行自我完善、自我诊断、改进自身运行效率所必不可少的。
(一)审核的特征
GB/T19011将审核活动视为系统、独立和文件化的过程,是获取审核证据并客观评价审核证据以确定符合审核准则的程度的一系列活动。
审核准则被用作判断符合性的依据。可以是组织依据其战略制定的方针、目标、规定、程序或要求,也可以是适用的政策、标准、法律和法规、合同要求或工业/商业部门的行为守则等,也可是诸如GB/T19001《质量管理体系要求》、GB/T24001《环境管理体系要求及使用指南》、GB/T22080《信息技术安全技术信息安全管理体系要求》、GB/T31595
《公共安全业务连续性管理体系指南》、GB/T33173《资产管理管理体系要求》、GB/T28843《食物冷链物流追溯管理要求》、GB/T36132《绿色工厂评价通则》等国家标准。
审核证据可以是能够被验证的与审核准则有关的记录、事实陈述或审核准则相关的其他信息。审核证据可以是定性的或是定量的。
(二)典型的审核形式
(1)内部审核。有时被称作第一方审核,由被审核组织自身或其代表为管理评审或其他内部目的提出并予以实施的审核,可以形成组织自我符合性声明的依据。在许多情况下,尤其在中小型组织内,可以由与正在被审核的活动无责任关系,无偏见以及无利益冲突的人员进行,以证实独立性。
(2)外部审核。通常被称为第二方审核或第三方的审核。第二方审核由那些对被审核组织有关的相关方委托或提出,例如顾客或其代表。第三方审核由外部、独立的审核组织委托进行的审核,例如由管理体系认证机构按照GB/T19001《质量管理体系要求》标准或GB/T24001《环境管理体系要求及使用指南》标准要求进行符合性认证进行的审核。
(3)结合审核。当多个管理体系审核同时接受审核时(例如,一个客户同时接受GB/T19001《质量管理体系要求》标准与GB/T24001《环境管理体系要求及使用指南》标准的审核),称之为结合审核。
(4)一体化审核。一个客户已将两个或两个以上管理体系标准要求的应用整合在一个单一的管理体系中,并按照一个以上标准接受审核,被称作一体化审核。
(5)联合审核。当两个或两个以上审核机构合作审核同一个客户,称之为联合审核。
(三)审核的实施方法
(1)可以采用一系列选定的方法实施审核。选择什么样的审核方法取决于审核目标的规定,审核范围和准则以及持续的时间和地点。在选择审核方法时应考虑审核员的能力和应用审核方法时可能出现的任何风险(不确定性)。在审核中可以灵活运用各种不同的审核方法及其组合,以便使审核过程及其结果的效率和有效性最佳化。
(2)审核的有效性与受审核方管理体系的相关人员的相互作用和审核所用的技术有关。可以单独或者组合运用表3-5可选审核方法中提供的审核方法,如果一次审核使用多名成员组成的审核组,那么可以同时使用现场审核和远程审核的方法。
现场审核活动在受审核方的现场进行。远程审核活动在受审核方现场以外的地方进行,无论距离远近互动的审核活动包括受审核方人员和审核组之间的相互交流。非互动的审核活动不存在与受审核方代表的交流,但需要使用设备、设施和文件在策划阶段,审核方案管理人员或审核组长应对具体审核中有效运用审核方法负责,审核组长负责实施审核活动。
(3)在审核方案中,应确保适宜和平衡地应用远程和现场审核方法,以确保圆满实现审核方案的目标。
远程审核活动的可行性取决于审核员和审核人员之间的信任程度,远程审核需要的设备和技术等。
典型的审核过程可有下列内容:
——识别信息源;
——通过适当的抽样和验证,收集信息;
——根据信息确定审核证据;
——对照审核准则评价信息和证据;
——确定审核发现;
——评审审核发现和证据;
——做出审核结论。
收集审核证据的方法包括面谈、活动观察和文件评审等。
(四)审核的抽样方案和抽样计划
(1)抽样方案:包括抽样准则、抽样方法、样本数量与母本的比例、抽样时机、母本的确定(管理体系范围与认证范围关系,添加新场所前后母本)。
(2)抽样计划:针对特定认证项目而言,是审核方案策划的内容之一,包括对特定组织多场所中安排审核的场所名称、地址和审核时间段安排,需要时说明审核的主要内容。需要以文字说明考虑了哪些因素和作出这样安排的合理性。