7实施审核30课件.ppt

实施审核 （一） 第七章 1/30 6.2 审核的启动 ? 标准中的图 2 给出了典型的审核活动概述。 6.2.1 总则 指定的组长对审核的实施负责 6.2.2 与受审核方建立初步联系 联系可以是正式的也可以是非正式的。联系的 目的是： 详见标准 6.2.3 确定审核的可行性 应考虑是否具备下列因素： 详见标准 2/30 审核活动的准备 6.3.1 审核准备阶段的文件评审 ? 目的： —— 收集信息，例如过程、职能方面的信息， 以准备审核活动和适用的工作文件； —— 了解体系文件范围和程度的概况以发现可 能存在的差距。 ? 适用时，文件可包括 MS 文件和记录，以及以 往的审核报告。 ? 审核员应该考虑： 3/30 审核活动的准备 —— 文件中所提供的信息是否： —— 完整 ( 文件中包含所有期望的内容 ) ； —— 正确 ( 内容符合标准和法规等可靠来源 ) ； —— 一致 ( 文件本身以及与相关文件都是一致 的 ) ； —— 现行有效（内容是最新的）； —— 所评审的文件是否覆盖审核的范围并提供 足够的信息来支持审核目标； —— 依据审核方法确定的对信息和通信技术的 4/30 审核活动的准备 利用，是否有助于审核的高效实施。 应依据适用的数据保护法规对信息安全予以特 别关注 ( 特别是包含在文件中但在审核范围之 外的信息 ) 。 ? 文件评审可以表明受审核方管理体系文件控制 的有效性。 ? 评审应考虑受审核方管理体系和组织的规模、 性质和复杂程度以及审核目标和范围。 6.3.2 编制审核计划 5/30 审核活动的准备 ? 组长根据审核方案和所提供的文件中包含的信 息编制，要求： —— 应考虑审核活动对受审核方的 过程 的影响 —— 为各方之间就审核的实施达成一致提供依 据。 ? 目的：便于有效地 安排和协调 审核活动 ，以达 达到目标。 ? 详细程度：应反映审核的范围和复杂程度，以 及实现审核目标的不确定因素。 。 审核委托方、审核组和受审核方 6/30 审核活动的准备 ? 编制时，应考虑： —— 适当的抽样技术；（ 参见 6.4.6 ） —— 审核组的组成及其整体能力； —— 审核对组织形成的风险。（ 参见术语 ） ? 结合审核：应特别关注 不同 MS 的操作过程 与 相互抵触的目标 及 优先事项 之间的 相互作用 。 ? 初次审核和随后的审核、内部和外部审核，内 容和详略程度可以有所不同。 ? 应具有充分的灵活性，以允许调整。 7/30 审核活动的准备 ? 应包括或涉及的内容： 详见标准 ? 计划可由委托方评审和接受，并应提交受审核 方。如有异议，应解决。 6.3.3 审核组工作分配 ? 对具体的过程、活动、职能或场所的审核工作 分配给审核组每位成员。 ? 分配时，应考虑 独立性和能力 、 资源的有效利 用 以及各类人员的不同作用和职责。 ? 可随着审核的进展调整所分配的工作。 8/30 审核活动的准备 6.3.4 准备工作文件 ? 成员应收集和评审与其承担的工作有关的信息 ，并准备必要的工作文件，用于参考和记录审 核证据。包括： —— 检查表； —— 审核抽样计划； —— 记录信息的表格。 ? 准备时，应针对每份文件考虑： a ) 使用这份工作文件将产生哪些审核记录？ 如支持性证据、审核 发现和会议记录 9/30 审核活动的准备 b ) 哪些审核活动与此特定工作文件相关联？ c ) 谁将是此工作文件的使用者？ d ) 准备此工作文件需要哪些信息？ ? 对于结合审核，应通过下列活动避免重复： —— 汇集不同准则的类似要求； —— 协调相关检查表和问卷的内容。 ? 工作文件应充分关注审核范围内管理体系的所 有要素，提供的形式可以是任何媒介。 ? 关于检查表 10/30 审核活动的准备 ? 检查表： 是审核员开展审核的检查内容清单， 或者说是审核大纲。也是审核员在审核中所使 用的一种有用的工具。 ? 其作用： —— 保证审核过程始终围绕着审核目的； —— 保证审核的深入和完整性； —— 审核路线的清晰、合理、有效； —— 保持审核的节奏和连续性； —— 审核的时间管理员； 11/30 —— 避免审核员的偏见和随意性； —— 能提供沟通的方法； —— 使用后提供审核已经执行的客观证据； —— 用于策划未来审核的一个信息依据。 ? 核心内容 —— 查什么（包含了审核准则）； —— 查的对象（包括部门、人员）； —— 怎么查（收集审核证据的方法）。 ? 类别：与审核计划相同 审核活动的准备 12/30 ? 标准条款检查表 P82 —— 依据标准某一条款的要求，逐一审核，包 括其分条款及其他相关的要求。 —— 该检查表对标准的要求不会遗漏，且可确 保过程的连贯性。 —— 往往发生一个过程跨越数个职能部门，审 核计划和