ISO19011:2018版新版《管理体系审核指南》已经于2018年7月发布了第三版,ISO19011是各企业及第三方认证机构广泛采用的审核指南,这次标准有哪些变化呢,我们一起先看一下
本标准由 ISO/PC302管理系统审核指南项目委员会编写的。
这次发布的第三版取代了第二版(ISO19011:2011)
主要变化点与第二版相比,主要区别如下:
—增加以风险为基础的审核原则;
—扩大审核方案管理的指导,包括审核方案风险;
—扩大审核实施的指导,特别是审核策划部分;
—扩大审核人员的一般能力要求;
—术语的调整以反映过程而不是对象(“事物”);
—删除附件包含的审核特定管理体系的专业能力要求(由于单个管理体系标准数量众多,所以包含 所有专业能力要求是不现实的);
—扩大附件 A,以提供关于审核(新)概念的指导,如组织环境、领导作用和承诺、虚拟审核、合规和供应链。
审核方案管理流程
上图对审核流程进行了一个总体说明
对于扩大的附录A,我们今天先学习第一部分
附录 A对审核员策划和控制审核的附加指南
1-A.1 -审核方法的应用
审核可以使用一系列审核方法来执行。在本附件中可以找到常用审核方法的说明。为审核所选择的审核方法取决于所确定的审核目标、范围和准则,以及持续时间和地点。还应考虑可获得的审核员能力和审 核方法的应用所产生的任何不确定性。运用不同审核方法的多样性和组合性,可以优化审核过程的效率和 效果。
审核的执行涉及被审核的管理体系内的个人与用于进行审核的技术之间的交互作用。表 A.1 提供了审核 方法的示例,这些方法可以单独使用或组合使用,以实现审核目标。如果审核涉及使用多个成员的审核组, 则可以同时使用现场方法和远程方法。
在策划阶段,审核方案管理人员或审核组长应对具体审核中有效运用审核方法负责。审核组长负责实施审核活动。
远程审核活动的可行性取决于几个因素(例如,实现审核目标的风险水平、审核员和受审核方之间的信任程度以及监管要求)。
在审核方案层面,应确保应用远程和现场审核方法的适当和平衡,以确保令人满意地实现审核方案目标。
- A.2 -过程方法
使用“过程方法”是根据 ISO/IEC 指令,第 1 部分,附件 SL 的所有 ISO 管理体系标准的要求。审核员应 该理解审核一个管理体系是审核一个组织的过程以及它们与一个或多个管理体系之间的相互作用。如果将 活动理解为相互关联的过程,并作为一个连贯的系统来管理,则可以更加有效和高效地实现一致的和可预 测的结果。
-A.3 -专业判断
审核人员应当在审核过程中运用专业判断,避免以牺牲管理体系预期结果为代价而专注于标准中每个 条款的具体要求。一些 ISO 管理体系标准条款并不适合在一套标准和一套程序或作业指导书的内容之间进行 比较地进行审核。在这些情况下,审核员应使用专业判断来确定条款的意图是否得到了满足。
- A.4 -绩效结果
审核员应该关注整个审核过程中管理体系的预期结果。虽然过程和它们所实现的很重要的,但是管理 体系的结果和它的绩效才是最重要的。同样重要的是考虑不同管理体系的整合程度及其预期结果。
在高风险或复杂的组织中,缺少过程或文件可能很重要,但在其他组织中则没有那么重要。
- A.5 -信息验证
在可行的情况下,审核员应考虑该信息是否提供足够的客观证据来证明满足要求,例如是:
a)完整的(所有预期内容包含在成文信息中);
b)正确的(内容符合标准、法规等其他可靠来源);
c)一致的(成文信息本身与相关文件一致);
d)当前的(内容是最新的)。 还应考虑被验证的信息是否提供足够的客观证据来证明满足要求。 如果信息的提供方式不同于预期(例如,由不同的个人、替代媒体),则应评估证据的完整性。
由于关于数据保护的适用规定,信息安全需要特别注意(特别是对于审核范围之外但是也包含在文件 中的信息)。
- A.6 -抽样
A6.1 总则
在审核过程中,如果检查所有可获得的信息不实际或不经济,则需进行审核抽样,例如记录太过庞大 或地域分布太过分散,无法证明对总体中的每个项目进行检查是合理的。对大群体的审核抽样是在所有可 用数据集中(群体)中选择少于 100%的项目,以获得和评价关于该群体某些特征的证据,从而形成关于该 群体的结论的过程。
审核抽样的目的是提供信息,以使审核员确信能够实现审核目标。 抽样的风险是从总体中抽取的样本也许不具有代表性,从而可能导致审核员的结论出现偏差,与对总
体进行全面检查的结果不一致。其他风险可能源于抽样总体内部的变异和所选择的抽样方法。 典型的审核抽样包括以下步骤:
a)明确抽样方案的目标;
b)选择抽样总体的范围和组成;
c)选择抽样方法;
d)确定样本量;
e)进行抽样活动;
f)收集、评价和报告结果并形成文件。
抽样时,应考虑可用数据的质量,因为抽样数量不足或数据不准确将不能提供有用的结果。选择适当的样本应根据抽样方法和所要求的数据类型,例如为了推断出特定行为模式或得出对总体的推论。 对样本的报告应考虑样本量、选择的方法以及基于这些样本和一定置信水平做出的估计。 审核可以采用判断抽样(见 A.6.2)或者统计抽样(见 A.6.3)。
A.6.2 基于判断的抽样
基于判断的抽样依赖于审核组的能力和经验(见第 7 章)。 对于基于判断的抽样,可以考虑如下:
a)审核范围内以前的审核经验;
b)实现审核目标的要求(包括法律法规要求)的复杂性;
c)组织的过程和管理体系要素的复杂性及其相互作用;
d)技术、人员因素或管理体系的变化程度;
e)以前识别的重大风险和改进机会;
f)管理体系的监视输出。
基于判断的抽样的缺点是,不能对审核结果和所达成的结论的不确定性的影响作出统计估计。
A.6.3 统计抽样
如果决定使用统计抽样,抽样方案应以审核目标和对抽样对象的总体特征的了解为基础。 统计抽样设计采用基于概率论的抽样选择过程。当每个样本只有两个可能的样本结果(例如正确/不正确或通过/失败)时,使用计数抽样。当样本结果发生在连续范围内时,使用计量抽样。
抽样方案应考虑被检查的结果是计数的还是计量的。例如,当评价完成的表单是否符合程序规定的要 求时,可以使用计数的方法。在检查食品安全事件或安全漏洞的发生数量时,计量的方法可能更合适。
影响审核抽样方案的因素有:
a)组织的环境、规模、性质和复杂性;
b)有能力的审核员人数;
c)审核频次;
d)单次审核时间;
e)任何外部要求的置信水平;
f)不良事件和/或意外事件的发生。
当制定统计抽样方案时,审核员愿意接受的抽样风险水平是一个重要的考虑因素。这通常被称为可接 受的置信水平。例如,5%的抽样风险对应于 95%的可接受置信水平。5%的抽样风险意味着审核员愿意接受 这样一种风险,即被检查的样本中,100 个样本中有 5 个(或 20 个样本中有 1 个)不能反映整个总体的实 际值。
在使用统计抽样时,审核员应适当记录所进行的工作。这应包括拟抽样的人口的说明、用于评价的抽 样标准(例如,什么是可接受的抽样)、所使用的统计参数和方法、所评价的抽样数目和所取得的结果。这应 该包括对要抽样的群体的描述、用于评价的抽样准则(例如,什么是可接受的样本)、所使用的统计参数和 方法、评价的样本数量和获得的结果。
