浅谈对管理体系两阶段审核的理解
根据GB/T27021-- 2007 《合格评定 管理体系审核认证机构的要求》管理体系的初次认证审核分两个阶段实施:第一阶段审核和第二阶段审核。
一、管理体系的第一阶段审核
1、实施第一阶段审核的必要性和可行性
管理体系审核是第三方管理体系认证审核活动的重要评价手段。第三方管理体系审核的特点之一,是实施审核的一方在大多数情况下,对受审核方情况事先并不了解。在以往的审核活动中,也通过各种方式在正式审核前了解受审核方的情况,以便确定审核的可行性,为审核做好准备。各机构对不同的管理体系采用对受审核方申请信息的评审、文件评审、初访、实施第一阶段审核等方式进行。GB/T27021—2007要求初次管理体系审核应有一个规范化的第一阶段审核。通常,针对每一个申请人的初次管理体系认证审核,基于以下方面的考虑,以确定在客户的场所实施第一阶段审核的必要性和可行性:
a)管理体系的复杂程度:
b)管理体系的成熟程度;
c)本机构的技术能力;
d)认证项目的风险程度。
为此,为确保满足第一阶段审核的目标要求,针对大多数管理体系的初次认证审核,给出下列到客户的场所实施第一阶段审核的情况或需考虑的因素:
1)复杂的管理体系,如:
a)客户的规模、结构及其职能复杂,如:集团公司(具有不同等级体系及其层面的活动);
b)客户的运作场所及现场复杂多样,如具有多个临时场所和/或多场所的客户
c) 体系覆盖了相当数量的产品/服务范围,或具有高度复杂的活动和过程;
d) 多个管理体系的结合审核;
2)新扩展的技术或认证领域;
3)对客户产品/服务、过程或活动中的相关技术或问题缺乏足够的了解或经验不足;
4)高风险项目,如:
a)法律法规或社会关注程度较高的行业,如:食品、药品、建筑、航空、核动力等行业;
b)基于质量/环境/职业健康安全/食品安全等相关因素的性质及其具有的高风险特性,如:CNAS-GC11、GC31、GC41 GC62等规范文件附表1“认证机构认证业务范围分类表”中带“★”号或风险等级标识为一级的各专业类别。
5)联合审核
2、 管理体系第一阶段审核的实施
对于第一阶段的审核应侧重于:策划、识别的充分性、适宜性;对控制方法的合理性及实施有效性的具有代表性的典型样本的抽样进行审核。
第一阶段审核应包括下列内容和要点:
1)审核受审核方的管理体系文件(以下简称 文审)。
文件评审的目的是确定文件所述管理体系与审核准则的符合性;了解受审核方管理体系涉及的产品、环境因素及其影响、危险源及风险、食品安全危害分析及关键控制点、过程、活动、职责、资源等方面的基本信息,为有效地策划和准备第二阶段审核(包括编制合理可行的审核计划)提供依据。通过文审应着重评审组织为了对质量/环境/职业健康安全/食品安全进行有效管理,是否按标准要求对下列内容进行了有效的策划:
a)建立适当的质量/环境/职业健康安全/食品安全方针;
b)对QMS应建立质量手册(可含程序文件),手册中是否规定了质量管理体系范围(是否存在删减,其描述是否具有合理性);是否识别和确定了应控制的过程、过程的顺序和相互作用,并制定了相应的控制准则和方法等;
c)是否按照QMS/EMS/OHSMS/FSMS的标准要求建立了形成文件的程序和记录:
程序文件是否满足相关标准的要求;
对EMS/OHSMS/FSMS相关标准的要素的要求;可以体现在一个程序文件中,也可以体现在多个程序文件中;
有相关联系的程序文件之间,其内容和接口是否清楚并协调;
程序文件与其它相关文件(如作业文件、表格等)接口是否协调一致;
d)是否阐明了QMS/EMS/OHSMS/FSMS文件层次、结构、及相互关系或查询途径;
e)是否阐明了管理体系的各个职能与层次的组织结构与职责;规定有关的责任机制和信息交流机制,并确定了必要的资源能力;
f)对EMS/OHSMS/FSMS要素的描述是否覆盖并符合相关标准的要求,其内容是否符合相关的法律法规的要求;
g)识别应遵守的法律法规和其它要求;
h)是否清楚地描述了方针、目标、管理方案、前提方案、运行、监测、改进等有逻辑关系的要求/要素之间的接口关系;
i)对管理体系的全部活动进行审核和评审,并持续改进;
k)文件规定与组织实际情况或行业惯例是否存在明显不一致。
2 )评价客户的运作场所和现场的具体情况,并与客户的人员进行讨论,以确定第二阶段审核的准备情况。
在文件审查的基础上,通过对客户运作场所和现场巡视及调查、与主要管理者及相关人员的讨论交流,了解客户组织结构、职能、产品/服务、活动和过程等方面的特点,特别是管理体系过程的总体策划和实施情况,以确定客户第二阶段审核的准备情况。
3)审查组织理解和实施标准要求的情况,特别是对管理体系的关键绩效或重要的因素、过程、目标和运作的识别情况,主要进行下列内容的审核:
a)了解客户对关键或需要确认的过程/环境因素/危险源/危害分析及关键控制点的识别和评价的充分性、适宜性和控制方法的合理性;
b)了解客户方针和目标、指标、重要环境因素、重大危险源、前提方案和法律法规相关要求的一致性,目标、指标的量化和可测量性;
c) EMS/OHSMS管理方案的内容是否包括:①目的,②现状,③措施,④进度,⑤责任部门,⑥资金落实情况。
4)收集关于组织的管理体系范围、过程和场所的必要信息,以及相关的法律法规要求和遵守情况。
a)了解管理体系的建立、运行基本情况,重点检查组织文件描述的管理体系范围与现场运行情况是否一致;
b)调查组织的活动、产品和服务范围,组织范围和场地范围(现场分布和距离);
c)收集的法律法规是否覆盖组织的活动、产品和服务 ;
d)收集并核查有关产品质量监督抽查(发生时)/环境监测(发生时)/职业健康安全检查或监测(发生时)/食品安全检查或监测(发生时)情况;
e)了解并核查顾客/相关方对质量/环境/职业健康安全/食品安全投诉及处理情况;
f)收集组织周边环境 、厂区(包括车间、库房)平面图、人流图、物流图、工艺/服务流程图、给排水图(必要时)等必要信息;
g)收集并核查:
①营业执照;
②产品标准 /认证范围内产品的强制性产品认证证书 ;
③生产许可证 /卫生许可证/安全许可性 /特殊行业经营许可证/与“建筑”有关的资质证书;
④环评及验收报告 /职业健康安全评价报告,排污申报和排污许可证认证范围内主要污染物排放监测报告(环境监测);
⑤其它协议或资质性证明文件(如:地方商务主管部门提供的有关批发/零售市场经营组织的信誉证明材料/组织取水许可手续)。
5)审查第二阶段审核所需资源的配置情况,以确保审核组专业能力及审核人日配置的充分性,并与客户商定第二阶段审核的时间、路线安排等细节。
6) 结合可能的关键过程/重要环境因素/重大危险源/关键控制点充分了解客户的管理体系和现场运作,对客户的管理体系绩效要求有重大影响的过程或场所进行现场勘察,并与有关管理人员和作业人员交谈,以便为策划第二阶段审核提供关注点。
7)评价客户是否策划和实施了内部审核与管理评审,以及管理体系的
实施程度能否证明客户已为第二阶段审核做好准备。主要包括:
a) 审查内审和管理评审是否覆盖了管理体系范围内的活动及管理体系标准的要求,结论是什么?提出了哪些改进要求;
b. 通过内审和管理评审的记录和结论了解管理体系实施的水平。
3、对第一阶段审核不在客户的场所进行应予以控制
GB/T27021 9.2.3.1.1条款强调对于“大多数管理体系”而言,建议“至少部分”第一阶段审核活动在“客户的场所”进行。作为认证机构应关注其审核方式能否完成GB/T27021 9.2.3.1.1中的“绩效要求”。过去常有一种“组织规模小”则不需进行第一阶段审核的说法,从目前看,有些小组织的硬件配置、管理水平、人员素质状况,如果不在客户的场所进行第一阶段审核,难以实现第一阶段审核目的,风险甚大。因此,应针对每一个拟受审核客户的具体情况,进行仔细分析,适度调整第一阶段审核的实施方式。然而,无论任何时候,都应满足有关第一阶段审核的目标和要求。做到合理安排第一阶段审核。
不到客户的场所进行第一阶段审核时,审核组应完成文件审查并报告结果。
通过索取相关的资质证明、许可要求、初始评价报告、验收报告、检测报告等了解受审核方管理体系涉及的产品、环境因素及其影响、危险源及风险、食品安全危害分析及关键控制点、过程、活动、职责、资源等方面的基本信息,审验提供的内审和管理评审记录和文件报告或采取远程访问等形式收集客观证据。
不到客户的场所进行第一阶段审核也应将收集的客观证据形成审核记录,根据审核发现(包括开具的不符合项清单)做出审核结论,形成审核报告。
综上所述,第一阶段审核至少应形成第一阶段审核计划、文件审核报告、审核记录、不符合项报告/不符合项清单、审核报告等客观证据,评价组织管理体系的实施能否证明其已为第二阶段审核做好准备,并与组织有关人员进行讨论,确定第二阶段审核的准备情况和商定第二阶段审核的细节。
二、管理体系的第二阶段审核
第二阶段审核的目的是评价客户管理体系的实施情况,包括有效性。第二阶段审核应在客户的现场进行。第二阶段审核应依据认证标准的要求并基于第一阶段审核的结果,对客户的管理体系进行全面的符合性和有效性评价。考虑到第一阶段审核中收集到的有关关键或需要确认的过程/环境因素/危险源/危害分析和关键控制点及适用法律法规的识别;基础设施、工作环境、运作控制;国家/行业/地方的监督检查 ;顾客/相关方对质量/环境/职业健康安全/食品安全的投诉及处理;策划和实施了内部审核与管理评审,以及管理体系的实施程度等信息,已得到审核组与客户的共同确认,第二阶段审核时可以直接采用上述相关信息,但这并不意味着对这些内容涉及的条款可以不用再进行深入审核,第二阶段审核至少包括下列内容和要点:
1、与适用的管理体系标准或其他规范性文件的所有要求的符合情况及证据,因此在审核内容和要点方面要比第一阶段更全面、更深入。
a)体系范围内容包括管理体系覆盖的所有产品、过程和场所,如:管理层、各职能部门、车间(施工/服务现场)、库房及其它运行现场都要逐一进行审核;
b)体系采用的管理体系标准的全部条款都要进行深入的审查;
2、根据关键绩效目标和指标(与管理体系标准或其他规范性文件的期望一致),对质量/环境/职业健康安全/食品安全绩效进行系统监视、测量、报告和评审的情况,第一阶段对这方面的问题已作了初步了解 ,第二阶段应详细审核其符合性情况:
a)对管理体系绩效涉及的目标、指标、管理方案、操作性前提方案、关键控制点进行的监视、测量、检查、确认、验证、报告和评审等情况;
b)审核各项绩效监测记录和符合情况,特别是涉及产品质量、污染物排放、职业健康安全、食品安全关键控制点等目标的达成情况。
3、客户的管理体系和绩效中与遵守法律有关的方面:
需了解适用于受审核方相应管理体系/产品/服务的通用及特定的法律法规要求。受审核方应 :
a)有用于识别、保持、更新和应用所有适用法律法规要求的方法。
b)对自身合规性进行了评审,并能恰当地证实与法律法规要求的符合性。
c)在监视管理体系过程输出与要求的符合性时,确保法律法规要求构成过程输入。
4、客户过程的运作控制:
“运作控制”,即为满足运作要求而进行的活动。运作控制的要素主要有:建立过程的要求和准则,对照要求和准则实施必要监控,对监控发现的异常或不足采取纠正措施,对不同的管理体系的关注点应有所侧重,宜如下:
a)质量管理体系宜重点关注资源管理、设计和开发(必要时)、采购产品的验证、关键生产/服务提供、产品的监视和测量、不合格品控制过程及生产/服务提供场所;
b)环境管理体系宜重点关注重要环境因素涉及的部门和场所的运作控制,如:动力装置场所、危险化学品仓库、污染物治理设施、固废堆放场所和作业现场,还要检查对相关方施加影响的情况;
c)职业健康安全管理体系宜重点关注重大危险源涉及的部门和场所及高风险作业活动场所的运作控制如:高空作业、铅冶炼、高粉尘作业、机械加工、使用有毒化学品车间等。还要检查已识别的职业健康安全风险控制要求通报供方和合同方及职业健康管理、劳动保护和职业病的防治情况;
d)食品安全管理体系宜重点关注食品生产的基础设施、生产布局,环境卫生状况满足相关食品生产的前提要求的程度,认证范围内产品的危害分析、关键控制点满足食品安全要求的程度。
e) 客户过程的运作控制还包括EMS/OHSMS/FSMS应急准备和响应实施情况;不符合、纠正和预防措施的控制情况等;
5、内部审核和管理评审;
a)核查内审的策划和实施是否符合所采用标准和制定的程序文件的要求;
b)核查管理评审的策划和实施是否符合所采用标准及相应文件的要求,是否由最高管理者亲自主持了管理评审活动;其输入、输出的信息;输出信息中的决定及相应改进措施的实施情况;
通过a)和b)评价内审和管理评审符合性和有效性的可信度。
6、针对客户方针的管理职责;
客户方针的管理职责包括针对组织宗旨,制定相应管理方针政策,确保方针为员工理解并在运营中实施,监视方针的实施并评审方针的适宜性。审核员应:
a)与管理者交谈,了解他们对相应管理体系的态度和承诺;
b)通过管理评审记录,评价最高管理者在建立、实施、监视和更新方针中的承诺和参与;
c)评估管理层是否已有效地将方针落实在组织各职能和层面,是否逐级建立并实施了相应的目标,以确保方针的实现;
d)与员工交谈,验证其是否具有所需的质量/环境/职业健康安全/食品安全意识、是否理解方针与其自身活动的联系;
e)搜集通过适当的沟通方式有效传达方针的证据。
7、规范性要求、方针、绩效目标和指标( 管理体系标准或其他规范性文件的期望一致)、适用的法律要求、职责、人员能力、运作、程序、绩效数据和内部审核发现和审核结论之间的联系:
综上所述,审核组应对在第一阶段和第二阶段审核中收集的所有信息和证据进行分析,以评审审核发现并就审核结论达成一致,形成初次认证的推荐性审核结论。
为使认证机构做出认证决定,审核组至少应向认证机构提供以下信息:
a)审核报告;
b)对不符合的意见,适用时,还包括对客户采取的纠正和纠正措施的意见;
c)对提供给认证机构用于申请评审(见GB/T27021 9.2.2)的信息的确认;
d)对是否授予认证的推荐性意见及附带的任何条件或评论。
认证机构应在评价审核发现和审核结论及任何其他相关信息(如公共信息、客户对审核报告的意见)的基础上做出认证决定。
TAG:
上一篇: 关于企业主附名称和母子证问题的探讨
下一篇: 《卓越绩效评价准则》简介
