新版CCAA备考-管理体系认证基础（教材总结）

新版CCAA考试管理体系认证基础（教材总结）《管理体系认证基础》考前复习重点管理学基础管理的定义：管理是指在特定的时空中，通过策划、组织、领导、控制等活动来协调一切可运用的资源，实现个人或组织既定目标的过程。定义包含的含义：特定的时空是管理的必要条件、实现目标是管理的根本目的（特定目标可以是组织的也可以是个人的，个人目标应与组织的趋同，效率+效果）、协调资源是管理的本质。管理的性质：自然属性&社会属性，科学性&艺术性，动态性&创新管理职能：策划（对未来活动进行的一种预先的谋划，e.g.研究活工协作关系，e.g.组织结构、人员配备、组织运行、组织监督）、领导（管理者利用组织所赋予的权利去指挥影响和激励组织成员为实现目标而努力工作的过程，e.g.指挥、协调、激励）、控制（保证组织各部门各环节能按预定要求运作而实现组织目标的一项管理工作活动，e.g.拟定标准、寻找偏差、下达纠偏指令）。管理层级：管理层级和管理宽度是反比例关系。表现形式（扁平式营管理层或战术计划层、下层——执行管理层或操作层。管理层级的设计，共四步：按照组织的纵向职能分工，初步确定基本的管理层级→按照组织的有效管理宽度，推算出具体的管理层级→按照提高组织管理效率的要求，确定具体的管理层级→按照组织的不同部分的具体特点，对管理层级做出局部调整，确定最终管理层级。西方管理思想的4个发展阶段：早期管理思想阶段（产生于19世纪末前古典管理理论阶段（产生于19世纪末20世纪初行为科学理论阶段（产生于20世纪30年代现代管理理论阶段（产科学管理理论：泰勒（科学管理之父组织管理理论：法约尔（欧洲伟大的管理学先驱行政管理理论：韦伯（组织理论之父）。麦克格雷的理论：X理论（假设人性是好逸恶劳的Y理论（认为人们愿意承担责任、有主动性与创造性等）且前景美好。管理学基本原理l系统——集合性、层次性、相关性系统原理的要点：整体性、动态性、开放性、综合性、层次性、环境适应性l人本（以人为本）主要观点：尊重人、依靠人、发展人、为了人l责任——分工合理、职责明确效益是有效产出与投入之间的一种比例关系。氛围社会效益和经济效益。经济效益是社会效益的基础，社会效益是促进经济效益提高到重要条件。效益的评价没有一个绝对的标准。应用：重视经济效益、有正确的管理战略、努力提高管理系统的效率、追求长期稳定的高效益。管理信息的特征：价值的不确定性、内容的可干扰性、形式和内容的更替性管理体系概论质量管理发展阶段：质量检验阶段（20世纪前）→统计质量管理阶段（20世纪20年代）→全面质量管理阶段（20世纪50年代）。1987年ISO/TC176发布了ISO9000质量体系系列标准。1996年ISO/TC207发布了ISO140ISO/IEC27000-ISMS信息安全管理体系系列标准。2011年ISO发布了ISO50000EnMS能源管理体系系列标准。运用过程方法过程：利用输入实现预期结果的相互关联或相互作用的一组活动。过程方法：系统地识别和管理组织所应用的过程及其活动，将活动作为相互关联、功能连贯的过程组成的系统来理解和管理时，可更加有效和高效地得到一致的、可预知的结果。采用过程方法所选择的具体要求（原文见下图简化①确定MS目标和实现目标所需的过程，及过程的输入输出；②确定过程顺序和相互作用；③确定过程应用的准则和方法；④确定过程所需资源；⑤规定责、权、义务；⑥评价变更，确保预期结果；⑦确保信息，监视、分析和评价绩效。优势（原文见下图简化①提高关注关键过程结果和改进机会能力；②增值角度考虑过程，通过协调一致过程构成的体系，得到一致、可预知的结果，持续满足要求；③通过过程的有效管理，资源的高效利用、跨职能壁垒的减少获得有效的过程绩效，提升整体绩效；④能向相关方提供关于其一致性、有效性和效率方面的信任。PDCA循环（戴明环）八个步骤：1)分析现状、找出存在的问题，并尽可能用数据加以说明；2)分析产生的问题的各种影响因素；3)在影响问题的诸因素中，找出主要的影响因素；4)针对影响的主要因素，制定措施，提出改进计划，并预计其效果；5)按照制定的计划组织实施；6)根据计划的要求，检查实际执行的结果，看是否达到了预期的效7)根据检查的结果进行总结，把成功的经验和失败的教训都形成一定的标准或规定，巩固已经取得的经验，同时防止重蹈覆辙8)提出这一循环中尚未解决的问题，将其转入下一次的PDCA循环，在进行处理和持续改进。三个特点：闭环管理、环中有环、螺旋上升。建立风险管理思维风险：不确定性的影响。影响是指偏离预期结果或者目标，可以是正面的或负面的。原则：1)风险管理创造和保护价值；2)风险管理指整合所有组织过程中的部分；3)风险管理支持决策；4)风险管理有助于解决不确定问题；5)风险管理具备系统性、结构化和及时性；6)风险管理基于最可用的信息；7)风险管理是量体裁衣的；8)风险管理要考虑人文因素；9)风险管理是透明和包容的；10)风险管理师动态、迭代和应对变化的；11)风险管理可以实现组织的持续改进。益处：l提高实现目标的可能性；l鼓励主动性管理；l在整个组织意识到识别和处理风险的需求；l改进机会和威胁的识别能力；l符合相关法律法规要求和国际规范；l改进强制性和自愿性报告；l提高利益相关方的信心和信任；l为决策和规划建立可靠的根基；l加强控制；l有效地分配和利用风险处理的资源；l提高运营的效果和效率；l增强健康安全绩效，以及环境保护；l改善损失预防和事件管理；l提高组织的学习和应变能力。预防措施：为消除潜在不合格或其他潜在不期望情况的原因，所采取的措施。追求持续成功实施战略和方针的有效途径：l将战略和方针在组织的各个层级上转化成可度量的目标，为每个目标设定完成期限、职责和权力分配；l明确实现这些目标所需的活动和过程，提供和部署所需的资源；l定期评估过程运行状况，对偏离或可能偏离结果的任何事项采取适当的纠正和预防行动，包括对改变和创新的决定；l持续分析环境的变化，持续分析利益相关方的需求和期望，持续试试持续改进，包括对战略和方针的调整。持续改进的核心内容：鼓励组织在其所有层级建立改进目标；对各层级人员进行教育和培训，使其懂得如何应用基本工具和方法实现改进目标；确保员工有能力成功的促进和完成改进项目；开发和展开过程，以在整个组织内实施改进项目；跟踪、评审和审核改进项目的策划、实施、完成和结果；将改进与新的或变更的过程、产品和服务的开发结合在一起予以考虑；赞赏和表彰改进。持续改进的益处：有助于组织提高过程绩效、过程能力、顾客和利益相关方的满意程度；增强对调查和确定根本原因及后续的预防和纠正措施的关注；提高对内外部风险和机遇的预测和反应能力；增加对渐进性和突破性改进的考虑；更好地利用学习来改进；增强创新动力。关注绩效绩效：可测量的结果。管理体系有效性最有利的体现：实现或超越预期结果，即管理体系以顾客为关注焦点组织最重要的管理领域：产品和服务质量。质量管理的主要关注点：满足顾客要求并努力超越顾客的期望。以顾客为关注焦点是质量管理的第一原则、核心思想。强调领导作用益处：l提高实现组织目标的有效性和效率；l组织的过程更加协调；l改善组织各层次、各职能间的沟通；l开发和提高组织及其人员的能力，以获得期望的结果。提倡全员参与循证决策循证决策：将数据和信息及其不确定性经过科学加工后形成证据，基于证据实施决策的理论。既可以支持运行层面，也可以支持战略层面。益处：l改进决策过程；l改进对实现目标的过程绩效和能力的评估；l改进运行的有效性和效率；l提高评审、挑战和改变意见和决策的能力；l提高证实以往决策有效性的能力。关系管理管理体系通用术语和核心定义1)组织：为实现目标，由职责、权限和相互关系构成自身功能的一个人或一组人。2)相关方：可影响决策或活动、受决策或活动所影响、或自认为受决策或活动影响的个人或组织。3)要求：明示的、通常隐含的或必须履行的需求或期望。4)管理体系：组织建立方针和目标以及实现这些目标的过程的相关关联或相互作用的一组要素。5)最高管理者：在最高层指挥和控制组织的一个人或一组人。6)有效性：完成策划的活动并得到策划结果的程度。7)方针：由最高管理者正式发布的组织的宗旨和方向。8)目标：要实现的结果。可以是战略的、战术的或操作层面的。9)风险：不确定性因素的影响。影响是指偏离预期，可以是正面的或负面的。10)能力：应用知识和技能实现预期结果的本领。11)成文信息：组织需要控制和保持的信息其载体。“要求组织制——“保留成文信息”。12)过程：利用输入实现预期结果的相互关联或相互作用的一组活13)绩效：可测量的结果。14)外包：安排外部组织承担组织的部分职能或过程。15)监视：确定体系、过程、产品、服务或活动的状态。16)测量：确定数值的过程。17)审核：为获得客观证据并对其进行客观的评价，以确定满足审核准则的程度所进行的一组系统的、独立的并形成文件的过程。（内部审核可以由与正在被审核的活动无责任关系的人员进行，以正式独立性。二方审核由组织的相关方，如顾客或其他人员以18)（不）合格未）满足要求。19)纠正：为消除已发现的不合格所采取的措施。20)纠正措施：为消除不合格的原因并防止再发生所采取的措施。为了防止不合格再发生。21)预防措施：为消除潜在不合格或其他潜在不期望情况的原因所采取的措施。为了防止发生。22)持续改进：提高绩效的循环活动。管理体系常用术语1)组织环境：对组织建立和实现目标的方法有影响的内部和外部因素的组合。2)客体：可感知或想象到的任何事物。产品、服务、过程、活动、人员、组织、体系、资源、程序、未来的状态等。3)程序：为进行某项活动或过程所规定的路径。4)文件：信息及其载体。5)规范：阐明要求的文件。6)记录：阐明所取得的结果或提供所完成活动的证据的文件。7)可追溯性：追溯客体的历史、应用情况或所处位置的能力。8)基础设施：组织运行所必须的设施、设备和服务的系统。9)顾客：能够或实际接受为其提供的，或应其要求提供的产品或服务的个人或组织。10)供方：提供产品或服务的组织。11)输出：过程的结果。12)产品：在组织和顾客之间未发生任何交易的情况下，组织能够产生的输出。13)服务：至少有一项活动必需在组织和顾客之间进行的组织的输出。主要要素：无形的。涉及：在顾客提供的有形/无形产品上所完成的活动；无形产品的交付；为顾客创造氛围。14)质量：客体的一组固有特性满足要求的程度。不包括赋予的特15)特性：可区分的特征。可以是固有的或赋予的，可以是定性的或定量的。16)验证：通过提供客观证据对规定要求已得到满足的认定。17)确认：通过提供客观证据对特定的预期用途或应用要求已得到满足的认定。18)检验：对符合规定要求的确定。检验的结果可表明合格、不合格或合格的程度。19)测量设备：为实现测量过程所必需的测量仪器、软件、测量标准、标准物质或辅助设备或它们的组合。为确保测量的准确性，对测量设备应按照规定周期进行校准或检定。管理体系审核的主要术语1)审核方案：针对特定时间段所策划并具有特定目标的一组（一次或多次）审核安排。活动和过程、覆盖的时期。3)审核计划：对审核活动和安排的描述。4)审核准则：用于与审核证据进行比较的一组方针、程序或要求。5)审核证据：与审核准则有关并能够证实的记录、事实陈述或其他信息。可以使定性的或定量的，只要能够证实都属于审核证据。6)审核发现：将收集的审核证据对照审核准则进行评价的结果。7)审核结论：考虑了审核目标和所有审核发现后得出的审核结果。是管理评审的重要输入。8)准则是判断审核证据符合性的依据，证据是获得审核发现的基础，发现是做出结论的基础。管理体系认证认可的主要术语1)认证：由认证机构证明产品、服务、管理体相关技术规范的强制性要求或者标准的合格评定活动。2)认可：由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活3)公正性：客观性的存在。4)认证审核：由独立于客户和依赖认证的各方的审核组织实施的、对客户的管理体系进行以认证为目的的审核。5)认证方案：应用相同的规定要求、特定规则与程序，与管理体系有关的合格评定制度。管理体系实现过程一、MS的建立（一）大概过程：策划启动（认识MS、成立工作组、宣贯）→策划信息及内容→创建体系文件→MS运行（二）MS的策划信息及内容MS的策划是组织对拟建立的管理体系的统筹规划、系统分析和整体设计。1．理解组织所处的生存环境和相关方的需求和期望；3．在MS范围内确定管理过程及过程之间的相互关系；4．确定岗位、职责和权限；5．策划应对风险和机遇的措施；6．评审管理体系所在领域的初始状况；7．制定方针和目标。方针：适合于组织的宗旨和环境并支持其战略（三）创建体系文件1．创建体系文件的前提条件；2．体系文件的详略程度——规模、产过活服类型、复杂程度及相互作用、人的能力；3．创建体系文件的原则——系统协调、融合优化、可操作；4．体系文件的类型——纲领性、程序性、作业性、记录性；5．评审、批准、宣贯二、MS的运行试运行的目的：验证MS文件的有效性和协调性，并对暴露的问题采取纠正和改进措施，从而进一步完善MS。运行过程中的主要管理事项：(1)过程内和过程间的信息沟通（内部沟通(2)组织与外部的信息沟通与协调（外部沟通(3)员工的能力管理与提高；(4)基础设施的配置与运行；(5)供方、顾客及其他相关方的关系管理；(6)特定领域的控制，如产品质量、环境因素、危险源、能源使(7)外包方的管理；(8)运行过程中的变更控制；三、绩效评价（一）过程绩效评价：主要通过对过程的监视、测量和分析的结果进行评价通过对过程的监视和测量，可获得并分析过程运行的数据和信息，运用对比法和统计理论可以判定过程结果的符合性，分析导致结果的有利和不利原因，判断将来的发展趋势，完成对过程绩效的综合评价。（二）合规性评价：对组织应遵守的法律法规和其他要求进行评价。时机：建立方针，绩效评价，有变化，人员履行，风险和机遇。主要方法：主要通过对相关信息和数据收集分析的方式开展。可以与过程绩效评价、内审一并开展。评价的频次和时机依据合规义务的要求。是管理评审的输入。（三）管理体系评价：主要通过内审、管理评审、自我评价等方式关键词：评价MS运行的符合性和有效性。采取应对风险和机遇的措施，包括纠正和纠正措施。内审审核方案：可以由一次或多次审核组成，每次审核不一定覆盖整个MS，单审核方案应确保覆盖MS范围内的所有组织单元、职能、体系要素。组织为了确保MS的适宜性、充分性、有效性，并与其战略方向保持一致所开展的MS评审活动。输入：1)合规性评价结果2)内外部审核结果3)顾客及其他外部相关方的反馈信息4)过程业绩5)特定领域绩效业绩，包括目标实现程度6)纠正、纠正措施、应对风险的措施执行情况7)以往管评的跟踪措施9)资源的充分性输出：1)持续改进的机会2)资源的需求3)MS变更的需求，即需改进的领域和措施建议四、MS的持续改进渐进性改进&突破性改进。MS标准的高层结构一、高层结构的作用l提高相关方之间的沟通效率l帮助组织实现其预期效果l提高MS运行的兼容性l鼓励MS标准的创新l鼓励全球贸易自由二、核心内容l相同的标准框架和条款标题l相同的通用术语和核心定义l相同的条款核心文本三、标准框架与PDCA4-10章=核心条款：4-6章=策划、7-8章=实施、9章=检查、10章=改进四、高层结构的管理思维战略思维、风险思维、过程思维、系统思维五、核心条款文本描述方式组织环境（高层结构第4章）一、理解组织及其环境4.1组织应确定与其宗旨和战略方向相关并影响其实现XMS预期结果的能力的各种外部和内部因素。二、理解相关方的需求和期望4.2组织应确定：与XMS有关的相关方；相关方的要求。三、确定MS范围4.3组织应确定XMS的边界和适用性，应考虑4.1&4.2。范围应作为成文信息提供。四、MS组织应按本标准的要求建立、实施、保持和持续改进XMS，包括所需过程及其相互作用。领导作用（高层结构第5章）一、领导作用与承诺5.1最高管理者应通过下述方面证实其对XMS的领导作用和承诺：l确保制定XMS的方针目标，并于组织环境相适应，与战略方向相一致；l确保XMS要求融入组织的业务过程；l确保XMS所需的资源是可获得的；l沟通有效的X管理和复核XMS要求的重要性；l确保XMS实现其预期结果；l指导和支持员工为XMS的有效性做出贡献；l促进持续改进；l支持其他相关管理者在其职责范围内发挥领导作用。二、方针方针：是MS的重要组成部分，是对特定MS意图和方向的文件化表达。5.2制定的方针应：l适应组织的宗旨；l包括满足适用要求的承诺；方针应：l可获取并保持成文信息；l在组织内部沟通；l适宜时，可为有关相关方所获取。三、组织的岗位、职责和权限5.3最高管理者应分配职责和权限：l确保XMS符合本标准要求；l向最高管理者报告XMS的绩效。策划（高层结构第6章）属于PDCA的P环节。MS的建立、实施、保持和持续改进中的建立环节。基于风险思维和系统思维，策划是在组织环境和领导作用的基础上，提出应对风险和给予的措施以及目标实现策划的要求。一、应对风险和机遇的措施6.1策划时，组织应考虑4.1&4.2，并确定需要应对的风险和机遇，l确保XMS能够实现预期结果；l预防或减少不利影响；组织应策划：l应对风险和机遇的措施l如何：在XMS过程中整合并实施这些措施；评估这些措施的有l与X方针保持一致l考虑适用的要求l予以监视和沟通组织应保持X目标的成文信息策划如何实现目标时，应确定：做什么、需要什么资源、谁负责、何时完成、如何评价结果。支持（高层结构第7章）PDCA的D环节。过程管理中，属于资源配置环节。一、资源7.1组织应确定并提供所需的资源，以建立、实施、保持和持续改进XMS。资源需求是策划的输出。二、能力7.2组织应：l确定在其控制下的人员所需具备的能力，这些能力影响X绩效；l给予适当的教育、培训或经验，确保人员是胜任的；l适用时，采取措施以获得所需的能力，并评价措施的有效性；l保留适当的成文信息，作为人员能力的证据。人的能力是过程能力的一部分。三、意识7.3组织应确保人员意识到：l他们对XMS有效性的贡献，包括改进X绩效的益处l不符合XMS要求的后果四、沟通7.4组织应确定与XMS相关的内外部沟通：沟通什么、何时沟通、与谁沟通五、成文信息7.5.1XMS应包括：本标准要求的成文信息；组织所确定的、为确保XMS有效性所需的成文信息7.5.2创建和更新组织应确保：标识和说明、形式和载体、评审和批准，以确保适宜性和充分性。7.5.3成文信息的控制在需要的场合和时机，均可获得并适用；予以妥善保护为控制，组织应进行：l分发、访问、检索和使用l存储和防护，包括保持可读性l更改控制（e.g.版本控制）l保留和处置形成记录并保存。运行（高层结构第8章）PDCA的D环节。MS的建立、实施、保持和持续改进的实施和保持环节。8.1为满足要求并实施6.1确定的措施，组织应：l建立过程准则l按照准则实施过程控制l在必要的范围和程度上，保留成文信息以确信过程已经按策划运对外包的控制类型和程度取决于外包的性质、风险和机遇。绩效评价（高层结构第9章）PDCA的C环节。是改进的重要输入。一、监视、测量、分析和评价9.1组织应确定l需要监视和测量什么l需要用什么方法进行监视、测量、分析和评价，以确保结果有效l何时实施监视和测量l何时对监视和测量的结果进行分析和评价组织应保留适当的成文信息作为结果的证据。应评价XMS的绩效和有效性。运行策划和控制是最重要的衡量对象。结果可以是定量的、定性的。测量是确定数值的过程，一种定量表达。二、内审9.2组织应按照策划的时间间隔进行内审，提供：l是否符合：自身XMS的要求，本标准的要求l是否得到有效的实施和保持a)依据有关过程的的重要性，对组织产生影响的变化和以往的审核结果，策划、制定、实施和保持审核方案（频次、方法、职责、策划要求、报告）b)规定每次审核的审核准则和范围c)选择审核员并实施审核过程的客观性和公正性d)及时采取适当的纠正和纠正措施e)保留成文信息，作为实施审核方案和审核结果的证据内审是系统的、独立的、形成文件的过程，实施、保持和改进的全面评价过程。三、管理评审9.3最高管理者应按照策划的时间间隔对组织的XMS进行评审，以确保其持续的适宜性、充分性和有效性，并与组织的战略方向保持一致。管理评审应包括并考虑：a.以往管理评审所采取的措施的情况b.与XMS相关的内外部因素的变化c.XMS绩效的信息，包括其趋势（不合格及纠正措施、监视和测量结果、审核结果）d.持续改进的机会输出：包括与持续改进机会和XMS变更的需求相关的决定。组织应保留成文信息，作为管评结果的证据。改进（高层结构第10章）一、不合格和纠正措施10.1发生不合格时，组织应l对不合格做出应对（采取措施以控制和纠正不合格、处置后果）l通过下列活动，评价是否要采取措施，消除产生不合格的原因，避免再次发生或在其他场合发生（评审和分析NC、确定NC的原因、确定是否存在或可能发生类似的NC）l实施所需的措施l评审采取的纠正措施的有效性l需要时，变更XMS纠正措施应与NC产生的影响相适应。组织应保留成文信息，作为证据（NC性质及采取的措施、纠正措不合格：未能满足要求。处置不符合：控制不符合-纠正不符合-对不符合采取纠正措施。对不符合采取措施取决于不合格所产生的影响+组织可承担的风险和创造的机遇。二、持续改进10.2组织应持续改进XMS的适宜性、充分性和有效性。持续改进是提高绩效的循环活动。特定管理体系特征及原理质量管理体系QMS益处：l可稳定提供满足顾客要求以及使用的法律法规要求的产品和服务的能力l促成增强顾客满意的机会l应对与组织环境和目标相关的风险和机遇l证实符合规定的QMS要求的能力实施QMS标准不需要组织统一不同QMS架构，形成与标准条款结构一致的文件，在组织内适用标准的特定术语。满意度和MS的有效性，可作为内审的依据，也可用于认证或合同GB/T19004/ISO9004《追求组织的持续成功质量管理方法》组织的持续成功取决于其长期、均衡地满足顾客和其他相关方的需求和期望的能力。为组织选择超出ISO9001标准的要求提供了指南。提供了自我评价方法模型，能使组织全面了解其绩效和MS成熟度的情况。GB/T19002/ISO/TS9002《QMSISO9001:2015应用指南》该标准不用于审核或评价目的。适用于广泛的潜在使用者：审核员、实施MS的组织以及由于合同或法定要求需要实施MS审核的组织、从事审核员培训或人员注册的组织。GB/T19022/ISO10012《测量管理体系测量过程和测量设备的要求》QMS系列标准的特征表现：理论性、要求性、改进性、评价性、关联性和独立性QMS系列标准的作用：l对于组织—这些特征都可以在组织中加以应用；l对于组织的投资方、供方、员工、顾客—可以增强他们对组织的信心；l对于政府监管方—可以将部分QMS标准加以推广或作为要求加l对于组织的其他相关方—可以按照需求，把QMS系列标准中的一个或几个标准应用于合作或义务的协议，如合格评定、消除贸易壁垒。信息安全管理体系ISMSISO/IEC27001信息技术服务管理体系ITSMSISO/IEC20000MSCB管理基础一、MS认证机构概念lMS认证实施方：MS认证机构；MS认证对象：组织的MS；认证的依据：相关技术规范和特定MS标准。l认证机构：证明产品、服务、过程、体系或人员复核规定要求或者标准的合格评定机构。lMS认证机构：证明MS体系符合规定要求或者标准的合格评定机构。除完成审核活动外，还必须根据评价结论做出能否授予、保持、暂停、撤销、更新的认证决定，并颁发相应的认证文件。l审核机构：从事对产品/服务、过程、体系或人员复核规定要求实施审核活动的合格评定机构。lMS审核机构仅就组织的MS与规定要求（标准或其他规范性文件）的复合型进行评价并得出评价结论。二、MS认证机构的特征（一）法律地位：我国的法人（机关、事业、事业、社团）。（二）公正性（实际存在着得并被感知到的客观性）认证的价值取决于第三方通过公正、有能力的评定所建立的公信力l以客观地且无偏见的方式实施认证活动；l识别已存在的和潜在的利益冲突，且对其主动管理以确保客观性；lCB和从事MS审核的个人，独立于与人争活动的结果有利益关系的任何其他组织或个人；l意识到实施认证活动以及做出认证决定证明所应承担的责任和CB应：保持客观性；识别、避免、减轻、管理利益冲突；确保独威胁来源：某种关系、某种活动、认证人员、财务方面的自身利益。（三）信息公开和保密l公开：公开性、信息的可获取性、信息保密和公开的可质疑性。l保密的信息：客户申请认证的资料及文件、审核（含文件审核和现场审核）中所获取的有关信息、客户（含潜在客户）档案、通过其他渠道获取的客户保密信息、其他专门确定/约定的保密信息。l可披露的保密信息：法律责任，书面同意l不属于保密责任：出版物公布的关于认证客户状态信息和相关信息；特定客户被授予认证、保持、暂停、撤销资格、扩大或缩小范围的事实，及认证范围的情况信息；客户已公开的信息；CB从其他合法渠道获取的有关客户公开信息。（四）风险管理认证风险：CB或认证人员失误、获证企业活动发生偏离对认证有效性的影响程度与发生的可能性的组合。不包括认证经营性风险、自然灾害。认证风险对策：风险承担、风险规避、风险转移、风险控制。（五）申诉、投诉处理1）申诉：认证申请方或获证组织请认证机构重新考虑其关于认证资格所做决定的证实请求。一般不需要外部机构或法庭作出决定。2）投诉：任何组织或个人对认证机构的认证活动表达不满意并期望得到回复的行为。认证认可中的申诉是一种特定投诉。l处理原则——对申诉和投诉的接受、确认、调查以及决定采取何种应对措施的过程描述；——跟踪并记录申投诉，包括解决所采取的措施；——确保采取适宜的措施l处理过程：沟通-受理-原始评估-答复及通知处理意见-跟踪-结束（六）认证证书与标志l认证证书：在第三方认证制度的程序下，表明组织的MS符合规定的MS标准和（或）产品特性符合特定标准，以及其他任何补充规定的文件。l徽标：CB使用的一种符号，作为表明其身份的一种形式，通常具有自己的风格。l认证标志：在第三方认证制度的程序下，依法注册的商标或其他受保护的符号，它是按照CB的规则颁发的，表明一个组织所运行的体系已被证明为可信并符合某一特定标准的要求。l认可标识：依法注册的商标或其他受保护的符号，它是按照AB的规则颁发的，表明一个机构所运行的体系已被证明为为可信或有关产品或人员符合某一特定标准的要求。a.获证客户的名称和地理位置b.授予认证、扩大或缩小认证范围，更新认证的生效日期（不早于作出相关认证决定日期）c.认证有效期或应进行再认证的日期d.唯一的识别代码e.审核客户时所用的MS标准和（或）其他规范性文件f.认证范围，使用时，包括每个场所相应的认证范围g.认证机构信息，可使用其他标识，不能产生误导h.认证用标准和（或）其他规范性文件所要求的任何其他信息i.认证徽标、标志、认可标识，互认标识j.在颁发经过修改的认证文件时，区分新文件与任何已作废文件认证认可监督管理部门和CNAS备案：认证证书内容、格式样本。（七）认可认可：表明合格评定机构具备实施特定合格评定工作能力的第三方证明，由AB按照相关国际标准或国家标准，对从事认证。检测和检验等活动的合格评定机构实施评审，证实其满足相关标准要求，进一步证明其具有从事认证、检测和检验等活动的技术能力和管理能力。并颁发认可证书。为MSCB有能力实施其承担的任务提供了保证，降低了拟认证组织和获证组织的顾客的风险。作用：a.证实MSCB具备实施特定合格评定活动的能力b.增强政府使用MS认证结果的信心，降低行政监管风险和成本c.通过多边或双边互认协议，促进MS认证结果的国际湖人，促进对外贸易d.促进健康、安全、社会服务等非贸易领域规范性、质量和能力等方面的提高e.帮助MSCB进行系统、规范的技术评价和持续监督，有助于MSCB及其客户实现自我改进和自我完善建立依据lCB要求通用部分：GBT27021.1-2017《合格评定MS审核CB的使用原则和要求》lCB要求的特定领域部分：GBT27021.2-2017《合格评定MS审核CB机构要求第2部分：EMS审核认证能力要求》、GBT27021.3-2016《合格评定MS审核CB的要求第3部分：QMS审核认证的能力要求》l国家认证认可相关制度，如CB管理办法，认可规则。CB对过程思维的应用一、战略和方针目标(1)子过程：战略和方针目标的制定、展开、考评；(2)输入：CB所处环境分析、MS认证相关方需求分析、市场和顾客需求分析、市场和业务推进中信息反馈、过程改进需要；(3)输出：组织结构、MS、过程、方针、目标、措施、预算、关键绩效指标、新业务开发、HR规划、市场和业务推进计划等。MS认证能力及认证过程最重要的认证能力：认证人员的能力。CB实施能力管理的基础：认证业务范围分类。CB的责任：对认证业务范围内的认证能力管理。MS认证业务范围及技术领域分析技术领域分析：研究39大类产品或过程的共性特征、研究同一类产品或过程中的差异性、考虑CB审核员和相关工作人员的专业技术能力、考虑CB的管理方式、不同MS对产品和过程的划分准则并不相同认证风险分析风险级别：高中低风险；一二三级风险、有限风险、特殊风险MS认证人员通用能力要求一、通用认证职能包括：认证申请评审、选择审核组、策划审核活动、审核实施、认证决定。（一）认证申请评审范围、特殊问题、多场所、季节性生产、审核时间、建立认证协议/合同、签订认证协议/合同（二）选择审核组确定所需资源、确定可用的能力资源、评审所选资源的公正性（三）策划审核活动验证审核范围、评审实施历史状况、确认资源需求、确认出行计划、建立或确认审核策略和方法、分配审核组角色责任和活动、建立审核计划、评审审核的后勤安排、考虑历次审核和纠正措施的结果、考虑相关法规要求、策划审核组准备会（四）审核实施文审、首次会议确认审核相关事项、审核、审核组内部沟通、确定所有的NC和改进机会、末次会议并确认相关事项、验证NC纠正措施的有效性、完成审核。（五）认证决定评审做出认证决定必要的报告和其他相关信息、必要时与审核组就审核发现交换意见、做出认证决定二、通用能力要求（一）MS审核员能力要求l业务管理实践知识l审核原则、实践和技巧知识l特定MS标准和或规范性文件知识lCB过程的知识l客户业务领域（经济活动）的知识l客户产品、过程和组织的知识l与客户组织中的各个层级相适应的语言技能l做记录和撰写报告的技能l表达技能（二）复核审核报告、认证决定人员的能力要求该职能可由一人或多人完成。l审核原则、实践和技巧知识l特定MS标准和或规范性文件知识lCB过程的知识l客户业务领域的知识（三）申请评审人员的能力要求该职能可由一人或多人完成。l特定MS标准和或规范性文件知识lCB过程的知识l客户业务领域的知识l客户产品、过程和组织的知识MS认证过程主要过程：认证前的活动、初次认证策划、审核实施、认证决定、监督认证、再认证。一、MS典型认证流程认证周期为3年。认证前的活动-初次认证策划（包括扩大认证范围）-审核实施（包括现场审核及其后续工作）-认证决定-监督认证（可包括特殊审核）-再认证。二、认证过程管理可公开获取的认证信息；受理、评审和批准；审核准备；审核；审核报告；复核报告；批准认证；颁发证书；监督、再认证；证书、标志使用管理；申诉、投诉处理。三、认证前的活动l客户与CB的信息交流l认证申请的评审l审核方案及审核时间认证周期的审核方案覆盖全部的MS要求。初次审核方案（初次审核+认证决定后的第一、二年的监督审核&第定算起。审核方案的确定和后续调整需考虑：客户的规模，其MS、产品和过程的范围与复杂程度，经证实的MS有效性水平，以前的审核结监督审核：至少每个日历年一次。初次认证后的第一次监督审核：认证决定日期起12个月内进行。CB应建立文件化的确定审核时间的程序。l认证协议四、初次认证策划和审核实施（一）确定审核目标、范围和准则l审核目的由CB确定。l审核范围和准则由CB和客户商讨确定。l审核目的：确定MS或其部分与审核准则的符合性；确定MS确保客户满足使用的法律、法规及合同要求的能力；确定MS在确保客户可以合理预期实现其规定目标方面的有效性；适用时，识别MS的潜在改进区域。l审核准则：用作确定符合性的依据，包括：MS标准、客户指定的MS过程和文件。（二）选择审核组要求：实现审核目的能力+公正性。（三）审核计划内容：审核目的、审核准则、审核范围、现场审核活动的日期和场所、预计现场审核活动持续时间、审核组成员及同行人员角色与职（四）初次认证第一阶段目的：审核客户文件化的MS信息；评价客户现场的具体情况，与客户讨论以确定二阶段的准备情况；审查客户理解和实施标准要求的情况，特别是关键绩效或重要因素、过程、目标和运作的识别情况；收集MS范围的必要信息；评审二阶段所需资源的配置情况，商讨第二阶段细节；结合MS标准或其他规范性文件充分了解客户MS和现场运作，为二阶段提供关注点；评价客户是否策划和实施了内审、管评，MS的实施程度能否证明客户为二阶段做好准备。一二阶段的间隔时间：考虑客户解决第一阶段识别任何需关注问题所需时间。（五）初次认证第二阶段目的：评价客户MS的实施情况，包括有效性。1)与使用的MS标准或其他规范性文件的所有要求的符合情及证据；2)依据关键绩效目标指标，对绩效进行的监视、测量、报告、评审；3)MS的能力以及在符合使用法律法规要求和合同要求方面的绩效；4)客户过程的运作控制；6)针对客户方针的管理职责过程：首次会议-审核中的沟通-获取和验证信息-确认和记录审核发现-准备审核结论-末次会议-审核报告-客户对NC的原因分析-验证纠正和纠正措施的有效性。审核组对一二阶段手机的所有信息和证据进行分析，评审审核发现，就审核结论达成一致。（六）认证决定l定义：CB对申请组织或客户做出的授予或拒绝认证、扩大或缩小认证范围、暂停或恢复认证、撤销认证或更新认证的决定。l审核组应向CB提供的支持文件信息：①审核报告；②对NC的意见，适用时，对纠正和纠正措施的意见；③对申请评审信息的确认；④对是否达到审核目的的确认；⑤对是否授予认证的推荐性意见，附带的任何条件或评论。l认证决定人员应确保：审核组提供的信息足以确定认证要求的满足情况和认证范围；对所有严重NC，CB已经审查、接受和验证了纠正和纠正措施；对所有的轻微NC，CB已审查和接受了纠正和纠正措施的计划。lCB不能再第二阶段结束后的6个月内，验证严重NC的纠正和纠正措施，应在推荐认证前重复一次第二阶段。（七）监督活动l年度监督审核至少每个日历年一次。现场审核，不一定是对生个体系的审核。内审和管评；对上次审核中确定的不符合的措施；MS在实现获证客户目标和个MS的预期结果方面的有效性；为持续改进而策划的活动的进展；持续的运作控制；任何变更；标志的使用和/或其他对认证资格的引用。引发情况：扩大认证范围；认证准的的重大变更；任何运行的重大变更；重大MS事故、重大相关方投诉等；国家认证认可监管部门的要求；CB依据日常监督所收集的信息，认为有必要时。l暂停、撤销或缩小认证范围引发情况：获证MS持续地或严重地不满足认证要求；获证客户不允许按要求的频次实施监督或再认证审核；获证客户主动请求暂停。暂停不超过6个月。（八）再认证对获证客户在一个认证周期内，确认其MS的整体持续符合性和有效性，以及与认证范围的持续相关性和适宜性。需要第一阶段：MS、组织或MS的运作环境有重大变更。l结合内外部变更看到的整个MS的有效性，认证范围持续相关性和适宜性；lMS在实现获证客户目标和MS预期结果方面的有效性。对于严重NC，CB应规定实施纠正和纠正措施的时限，这些措施应在认证到期前得到实施和验证。管理体系专项认证技术审核方案管理的应用审核方案管理是认证过程的主要环节，审核方案是对审核实施的集合管理。至少包括：初次认证、监督和再认证活动的一组审核安排。一、概述二、确立审核方案的目标目标应与审核客户的战略方向和MS的方针和目标保持一致。利益相关方的需求和期望（内外部过程、产品、服务和项目的特性和要求，它们的任何变化；MS要求：供方评价的需要；认证客户的业绩水平和MS的成熟度；识别认证客户的风险和机会；以往的审核结果。三、识别和评价方案的风险风险：策划不重复；资源配备不足；信息沟通不畅；执行过程偏离目标；检测、审查、改进审核方案不及时。和详略程度，识别风险（一）明确方案管理人员的岗位和责任（二）方案管理人员的能力（三）确定审核方案的范围l每次审核的目标、范围和持续时间，要进行的审核数量、报告方法以及适用的审核跟踪；lMS标准或其他适用标准；l审核活动的数量、重要性、复杂性、相似性、地点；l影响MS有效性的因素；l适用的审核准则；l以往的内外审核和管理审查的结果；l以往审核方案审查的结果；l语言、文化和社会因素；l相关方的关注点，如客户投诉等；l对受审核方的背景或业务以及相关风险和机会的重大变更；l提供信息和通信技术以支持审核活动，特别是远程审核；l发生产品或服务不合格、信息安全泄露、卫生安全事件、犯罪行为或环境事件等内外部事件；l业务风险和机遇。（四）确定审核方案资源l开发、实施、管理和改进审核活动所需的财政时间资源；l具有与特定审核方案目标相适应的能力的审核员和技术专家的个人和全面可用性；l审核方案的范围、风险和机会；l出差时间和费用，住宿和其他审核需求；l不同时区的影响l信息和通信技术的可用性；l所需的任何工具、技术、设备；l制定方案期间所确定的，必要的文件化资料；l与设施相关的要求。五、实施审核方案：人员工作；每次的目范准；方法；选择审核组；分配职责；审核计划；调整；管理结果；记录（一）方案管理人员活动工作：l内外部沟通，包括风险和机会，定期向有关方面通报审核工作的进展情况；l为每次审核确定目标、范围和标准；l确定审核方法；l协调和安排审核与审核方案有关的其他活动；l确保审核组具备必要的能力；l向审核组提供必要的资源；l确保按照审核方案进行审核，管理方案运作的所有业务风险、机会和问题；l确保有关审核活动的文件化信息得到适当的管理和维护；l定义和执行监测所需的运行控制；l评审审核方案，确定改进机会。（二）规定每次审核目的、范围、准则和审核方法l确定拟审核的MS或其一部分是否符合审核准则；l评价MS的能力，以确保协助组织满足相关法律法规要求或组织承诺的其他要求的能力；l评价MS在满足预期结果方面的有效性；l识别MS潜在的改进机会；l根据受审核方所处环境和战略方向评价MS的适宜性和充分性应与审核方案和审核目的一致，包括：被审核地点、职能、活动、过程、审核所涵盖的时期。是用作确定符合性的依据，包括：适用的方针、过程、程序、绩效标准、目标、法律和监管要求、MS要求、审核组确定的环境、风险、机遇相关信息、行业行为准则或其他策划的安排。结合审核时，目的、范围、标准必须与每个MS的审核方案一致。（三）审核组成员的选择l考虑到审核范围和标准，为实现审核目的所需的审核组整体能力；l结合审核or联合审核；l确保审核过程的客观性和公正性，避免利益冲突；l审核组共同的工作能力，与受审核方代表和利益相关方代表有效合作和互动的能力；l相关的内外部问题，如，语言、文化；l审核过程的类型和复杂性（四）为ATL分配每次的审核职责为ATL提供信息：l审核目的l审核准则，相关文件化信息l审核过程及相关方法l受审核方联系方式、地点、时间和审核活动的持续时间l实施审核所需的资源l评价和关注已识别为实现审核目的的风险和机会所需的信息l支持ATL与受审核方就审核方案的有效性进行互动的信息l审核与报告用语言l审核报告内容和分发范围l保密和信息安全相关事项l审核员的健康安全环境安排l旅行或访问偏远地点的要求l安全和授权要求l任何需要评审的行动l与其他审核活动协调（五）管理审核方案结果方案管理人员应实施：l评价方案内每次审核目的的实现情况l评审和批准关于完成审核范围和目标的审核报告l评审为处理审核发现而采取行动的有效性l向利益相关方分发审核报告l确定后续审核的必要性应考虑：向组织的其他区域沟通审核结果和最佳实践；对其他过程（六）管理和保持审核方案记录l与审核方案有关的记录l与每次审核有关的记录l审核组：审核组成员的能力和绩效评价、审核组、审核组成员、审核组组成的选择条件和能力的保持、提高记录的形式和详细程度应证明审核方案的目标已经实现。六、审核方案评价与改进（一）评价审核方案评价内容：l是否符合时间进度、达到审核方案目标l审核组成员的绩效l审核组实施审核计划的能力l审核委托方、受审核方、审核员、技术专家、相关方的反馈l整个审核过程中文件化信息的充分性（二）修改方案影响因素:l已证实的受审核方MS的有效性和成熟度l审核方案的有效性l审核范围或方案范围l标准和组织承诺的其他要求l审核委托方的要求（三）改进审核方案改进方案的输入：l监视方案的结果和趋势l符合方案过程和相关文件化信息l利益相关方不断变化的需求和期望l其他或新的审核方法l评价审核员的备选方法或新方法l处理与方案有关的风险和机会，处理内外部问题的行动的有效性l与方案有关的机密性和信息安全问题认证范围与审核范围确定方法一、认证范围（第三方CB提供证明，承担证明责任的范围）信息包括：l获证客户名称+地理位置（多场所——总部+所有场所）l与活动、产品和服务类型相关的认证范围，每个场所l获证客户所用的MS标准和（或）其他规范性文件l认证生效日期，认证有效期，或与认证周日一致的应再认证日期l授予认证、扩大缩小认证范围、更新认证的生效日期二、审核范围（审核的内容和界限）包括：实际位置、组织单元、活动或过程、审核所覆盖的时期、多体系审核中所有MS的范围审核时间的确定方法一、基本概念l审核时间：为客户组织策划并完成一次完整且有效的MS审核所需的时间。包括：现场时间、现场外文件审查、与客户互动、编写报告等。l有效人数：认证范围内设计的所有人员，包括认证范围内的非固定人员（如，承包商）和兼职人员（换算：30名4小时兼职=15名全职）二、初次审核时间（一）基准审核时间确定因素：行业特点、风险高低、过程复杂程度、有效员工数。一阶段现场≥1人日（有效雇员小于10人、风险低可降低至0.5人二阶段现场≥70%*（一阶段+二阶段）or≥80%~90%（一阶段非现（二）增加审核时间的因素l工作场所现场很大l法规管制程度高的行业，如，航天、药品、核能等l高度复杂过程或数量多的互不相同的活动l外包职能或过程l高风险活动，相关MS规定的高风险行业l相关方意见l行业特点，如高用能行业、环境保护敏感行业（三）减少审核时间的因素l认证标准的体系范围不适用的要素，如QMS无设计过程l现场很小l体系成熟l对客户MS很了解l客户准备的好，如已获得另一个第三方合格评定制度的认证或承认l部分员工在组织场所外工作，需通过记录审查进行审核l低风险、低复杂程度、过程单一l倒班员工从事相同活动，并有证据表明所有班次表现相同三、监督审核时间每年监督审核总时间约为初次认证审核时间的⅓,通常≥1审核人四、再认证审核时间五、临时场所审核时间通常需要现场审核。替代部分现场的方式：l面对面或电视电话会议进行访谈l远程访问同MS有关系的临时场所有关记录或其他电子化场所l通过电视电话会议及其他技术的远程审核宜完整地记录审核方法，充分证明审核方法的有效性。六、多场所的审核时间首先要确定是否允许抽样。l不允许抽样单独确定各场所：有效人员、过程复杂程度、风险、认证目的总审核时间≥所有工作集中在一个场所时计算出的审核时间除非特殊情况，单个被抽样场所审核时间减少量≤50%，通常减少量最大为30%。七、外部提供智能或过程的审核时间一般情况，不需直接对外包方进行审核。若认为外包过程可能会对MS产生负面影响、较大风险，需要增加附加的审核时间。多场所审核与认证方法一、抽样：（一）条件每个场所均运行非常相似的过程、活动。（二）抽样考虑l体系情况：内审、管评或以前认证审核的结果，投诉及纠正预防措施，MS及实施复杂程度，MS成熟度和组织的理解度，特定MS（e.g.环境因素，职业健康安全风险程度）（三）抽样准则一部分按要求的因素选取（类似于单场所审核一部分随机；选取有代表性的不同场所，确保认证范围内覆盖的所有过程都被审核到；同时，至少25%的样本随机抽取，其余部分的选择应考虑产所之间的差异尽可能大。（四）抽样数量（向上取整）l初次认证审核：监督审核：y=0.6F再认证审核：同初次认证审核，若证明MS在认证周期内是有效监督审核：y=0.6F（五）增加场所（认证后的增加）（六）审核安排l不适合抽样的两次监督审核随机抽样部分应不同。l适合抽样的应按照可抽样部分和剩余不适用抽样的场所建立整体的审核方案。二、审核与认证（一）申请与评审必要信息：lMS运行范围、拟认证范围、适用的子范围l各场所的法律、合同安排l各场所提供的过程、活动，识别中心职能l向所有场所提供的过程、活动的集中化程度l不同场所之间的接口l确定适用、不适用抽样的场所l纳入考虑的其他相关因素l审核组的能力要求l识别MS覆盖的过程、活动的复杂程度和规模范围识别各场所是否被抽样覆盖）（三）审核时间通常，单个被抽样场所审核时间的减少量≤50%，允许审核时间减少量最大为30%，单一MS运行中心职能以及任何可能的集中化过程允许缩减最大为20%。（四）审核计划l认证范围及每个场所的子范围l考虑多个MS标准的情况下，每个场所的MS标准l拟审核的过程、活动l每个场所的审核时间l分派审核组（五）初次认证审核（六）不符合与认证对任何独立场所的NC应调查，以确定其他场所是否可能受影响。决定过程中，任意场所出现严重NC，在得到满意的纠正措施前应拒绝对整个多场所组织所列的场所进行认证。在认证过程中，CB不允许组织为克服由于某个场所存在NC造成的问题，而从认证范围中删除存在NC的场所。（七）认证文件（八）监督审核可抽样的多场所组织：每个场所审核时间计算符合（三）审核时间不能抽样的：监督基于对30%场所的审核+对中心职能的审核。二次监督选取场所通常不应包括一次监督多选取的场所。（九）再认证审核可抽样的：每个场所审核时间计算符合（三）审核时间的要求；不能抽样的：按照初次认证审核。结合审核应用方法保证措施：保证措施：审核组能力；计划考虑两阶段安排；计划考虑体系数量、一体化程度、成熟度；计划覆盖每个体系要求的过程活动；提供足够时间；审核深度，关注要求、抽样量，重要过程、活动、场所；报告清楚表明要求的符合性，分析NC；NC涉及纠正和纠正措施AL策划、组织、协调能力；AT人员能力；各体系技术专家需求；组成及任务分配——考虑体系成熟度，任务与情况相适应基于过程的QMS审核方法一、概念（一）定义：以auditee的过程、过程间相互关系、过程目标和过程绩效指标作为审核路径或审核追踪线索所实施的QMS审核。通过对过程检查而确定有关过程结果活动、资源和行为是否被有效并高效地管理。（二）特征：顾客导向，过程导向，结果导向，价值导向，关注QMS的持续改进。（三）具体体现l判断QMS整体绩效还是审核一个具体过程，都以其绩效目标的实现与改进情况为基础l参照受审核方的业务流程，并按照受审核方所确定的一定数量和类型的QMS过程及其之间的内在联系，来策划审核路径，实施l始终以满足受审核方的顾客要求和法律法规要求作为审核的关注点，并以产品实现类的过程作为审核主线l在对产品实现类过程审核的同时，关注与之相关的QMS其他过程的作用和绩效l针对每一个过程的审核，以过程绩效指标为切入点，通过追踪绩效表现以及过程间输出与输入的关系，从系统的角度评价该过程在QMS中的作用和有效性l从QMS整体角度，关注法规、顾客和相关方要求的实现情况、过程间接口和过程绩效情况等方面，并对QMS的适宜性和有效性做出综合评价（四）基于过程的QMS审核的益处l审核以过程及其绩效为切入点，以受审核方绩效表现为主要线索，可以适时调整审核路径，使审核始终处于一种动态的判断过程，从QMS整体判断过程活动与标准的符合性，提高审核的有效性l基于实际业务流程设计审核路径，关注每一个过程的顾客要求及过程有效性，有利于发现QMS与其实际运行是否一致l关注质量目标的行动性及其与过程系统性的关系，关心过程间接口，有利于发现部门目标与过程目标是否一致，即系统与子系统是否协调l容易发现过程接口和部门接口间的缺陷和系统性问题l审核员是围绕与过程相关的活动提问，使审核方法更容易被理解l提高审核的深度和增值作用二、基于过程的QMS审核的实施基础（一）受审核方制定了符合其实际情况的质量方针和目标，建立和有效运行了QMS。明确了过程的绩效指标，通过监视绩效指标获得的信息来分析和改进过程及其绩效。（二）审核组于过程的审核”知识，能够理解并掌握“基于过程的审核”思路方法和技巧l成员有能力根据受审核方的实际业务流程和已确定的过程，结果QMS标准要求，形成有关已确定的过程之间相互关系的概念l组长有能力通过对过程的了解，而对审核活动进行策划，编制审核计划，在审核中有效合理地利用审核组资源l成员了解受审核方产品和业务流程及其活动（三）准备步骤a)了解业务过程，理解宗旨和业务目标，审查成文信息；b)完成必要活动：①识别产品和服务及影响质量主要过程；②检查过程之间相互关系和作用；③确定所有过程是否被整合，及是否考虑标准所有要求；④对体系过程分析，负责人、输入输出、控制和资源限制、过程PDCA活动、针对每个过程编制检查清单；c)初次认证审核前，编制认证周期审核方案：主过程、子过程确认及完整周期内审核覆盖情况的策划。（四）策划基于过程的审核需获得的受审核方信息（五）基于过程的二阶段审核计划（六）审核组的内部沟通（七）实施基于过程的二阶段审核二阶段审核关注问题，4个是否：过程被识别和定义、职责被分配、程序得到实施和保持、结果上过程有效。常用的审核方法：l针对过程结果实施；l针对过程绩效指标及采取的措施实施：满足要求——测量方法外，持续改进，新目标进展有效性；不满足要求——原因及措施，跟踪落实。人员能力培养提升，程序改进变更，文件/记录改进。l通常审核负责人。l对auditee以策划的过程实施审核《审核概论》一、审核类型l目的：管评、自我声明的基础、保障MS正常运行和组织其他内l准则：MS标准、相关法律法规、自己制定的符合标准的体系文l目的：签合同前评定是否满足合同要求；已有合同关系，验证MS是否正常运行，产品质量能否持续满足要求。l准则：合同、适用的法律法规、标准。l目的：确定体系符合规定要求；实现目标的有效性；确定可以认证注册；提供改进的机遇；为潜在顾客提供信任；减少重复的二方审核；确定满足法律法规及合同要求的能力。l准则：MS标准、与产品有关的标准、有关法律法规、其他规定要求、组织的MS文件。二、审核方案1.定义：针对特定时间段所策划、并具有特定目标的一组（一次或多次）审核的安排。审核计划：对审核活动和安排的描述。二者区别：定义，目的，范围，内容，制定者，管理与实施，其他2.流程：确立目标→识别评价风险→建立审核方案→实施方案→监评改。l确立目标考虑：相关方需求期望；产/过/服特性要求及变化；体系要求；供方评价需要；体系成熟度业绩水平；风险机遇；以往l建立方案：管理人员作用职责；管理人员能力；资源；程序；范围和详略程度；识别风险。l实施方案：人员工作；每次目范准；方法；选择审核组；分配职责；审核计划；调整；管理结果；记录。地点日程安排（数量/持续时间/频次审核类型（内外部审核准则；审核方法；选择审核组成员准则；成文信息；资源配备。3.确定审核方案考虑（体现组织特点①组织的基本信息；②方案随认证类型、规模、性质、复杂程度而定；③审核频次；④已认可的认证转换审核方案；⑤扩大范围的审核方案；⑥多体系结合审核方案；⑦两阶段和结合审核计划协调安排；⑧外包4.审核方案风险：策划不充分；资源不足；审核组能力不够；沟通不畅；实施协调不力；信息安全保密性；成文信息的控制无效；监评改结果无效；配合；抽样。l风险控制——进一步识别重要因素并记录，包括：①最高管理者意识承诺；②合规性；③抽样合理性；④产过服特点及发生事故的可能性；⑤对QES影响的设备先进性、可靠性、能力和运行有效性、维保情况；⑥人员素质能力；⑦审核组HS；⑧误导性声明；⑨应急机制；⑩政府相关方意见。③相关方进一步需求和期望；④审核方案记录；⑤可替代的新审核方法；⑥可替代的新审核员评价方法；⑦应对风险和机遇措施的有效性；⑧保密和信息安全事宜。l改进：可借助于审核方、委托方、审核员、技术专家、观察员、见证评审员、利益相关方、审核管理人员的反馈信息。CB应在适当的时机对审核方案的适宜性、有效性进行综合评审，以识别改进机遇，并采取必要的纠正和预防措施。审核方案的改进结果可同时作为CB持续改进的信息输入或重要依据。6.审核六阶段：审核启动阶段（建立联系，确定可能性）→准备阶段（文审、计划、工作分配、审核工作文件）→实施阶段（首次会议、文审、沟通、向导和观察员、收集和验证信息、形成审核发现、准备审核结论、末次会议）→报告编制分发（编制、分发）→完成→后续活动（措施确定、实施、报告、验证）。——目的：收集信息，了解运行，准备工作文件；了解范围和程度，确定符合准则，发现关注点。——内容：体系文件和记录（方针、目标、范围、体系整体情况、过程及相互作用、重要文件、标准规范以前报告；其他。——文审实施：评审完整性、正确性、复合型、一致性、系统性、协调性、有效性、统一性；书面意见，文审报告通知审核委托方和审核方案管理人员及受审核方；ATL提出文审报告，形成结论，判断风险，决定现场活动；ATL对改正后文件再评审，知道问题解决。——注意：以准则为依据，不超出标准；不用咨询口气；未要求统一架构、格式，不强求数量、格式；不强求文件充分性。——目的：审查文件与审核准则的符合性有效性，时机，贯穿整个——注意：直接相关；抽取足够样本；关注文件有效性、充分性和适宜性，关注职责划分、接口关系、具体要求、实施控制的方法和程序，记录要求信息；关注内容完整性和真实性，及符合性。l文审报告：受审核方名称、审核准则、评审文件名称、评审的内容、评审意见和/或不符合、评审结论、文件评审人员（ATL和审核员）及评审日期等。文审报告没有统一格式，CB可根据文审要求和内容自行设计文审报告。8.审核计划：是对一次具体审核活动和安排的描述，是关于一次审核活动所需时间和日程活动的文件，是ATL对一次审核活动策划的结果。l作用：审核计划为审核委托方、审核组和受审核方之间就审核的事实达成一致意见提供了依据，是指导现场审核工作的重要依据。l内容：目标；准则和引用成文信息；范围；活动日期、场所；持续时间；审核员、同行人员；熟悉设施和过程的需求；审核方法、抽样程度；配置资源。l适用时考虑：代表；语言；报告主题；后勤和沟通安排；应对风险机遇的行动；保密和信息安全；以往审核后续行动；策划审核的后续活动；联合审核的协调。l编制时考虑：风险、范围、目标；审核类型和阶段；审核工作量和时间；多场所抽样；任务分配；审核路线。提高有效性和效率的机会；实现审核目标的风险；实施审核造成的受审核方的风险。l影响审核工作量时间因素：标准要求；规模及复杂程度；技术和规范环境；分包情况；以前的审核结果；场所数量、规模、地理位置、多场所；产过活的风险；结合、联合、一体化审核。l编制时，注意：有效性和效率；会议时间；审核路线和方式；审核无遗漏，安排合规；关键过程、区域有足够人力和时间；人员分配合理；专业人审专业过程；人员配置分工合理。l目标内容：①确定符合度；②评价合规及承诺的能力；③评价预期结果有效性；④识别改进机遇；⑤评价环境和战略的适宜性和充分性；⑥评价实现目标、应对风险和机遇的能力，措施的实施能力。审核范围应与审核方案和审核目标相一致。9.审核报告：目范准、委托方、受审方、审发现和证据、结论、未解决分歧意见、风险。——适当时，包括：计划、过程综述、达到目标、未覆盖区域、主要审核发现、良好实践、后续活动计划、保密陈述、对审核方案和后续审核的影响。l关注点：①总目标、过程绩效实现程度；②识别、确定顾客和法律法规要求，实现期望结果，过程有效；③最高管理者对审核过成绩认证服务的期望。l方法：1-1现场有人互动；访谈；检查表、问卷；文审；抽样；1-2现场无人互动：文审；观察；现场巡视；检查表；抽样。2-1远程有人互动：访谈；远程观察；检查表、问卷；文审；2-2远程无人互动：文审；观察；分析数据。l方式：顺向追踪、逆向追溯；基于过程审核；按照部门的分工审核。——①计划的控制：委托方、审核组、受审方同意确认；通常按计划审核，进行进度控制；特殊可调整；调整后及时沟通，总审核时间一般不变；——②活动的控制：依据计划，按检查表策划路线、方法实施，注意：明确总体、合理抽样；辨识关键过程注重有效性证据；注意相关影响；审核客观性控制；审核气氛的控制；审核规范纪律的控制；——③结果的控制：审核以可追溯的客观事实为基础，以准则为依据，在规定领域范围从事审核；NC应以客观事实做依据，并得到受审核方理解、确认；ATL对审核全过程进行控制；审核发现。审核结论应在审核组内部充分讨论，达成共识，作出公正、客观的结论。l综合评价：①文件化信息符合性；②方针、目标指标适宜性和实现能力；③实现预期结果；④绩效符合要求程度；⑤相关方满意度；⑥运行结果的合规性；⑦自我完善持续改进机制的建立与作用；⑧员工意识和参与；⑨投诉、抱怨；⑩其他。l符合性和有效性评价：①基于组织内外部环境所面临风险和机遇是否得到了充分的考虑；②MS与相关标准的符合程度，以及实现程度；③MS实施的有效程度；④建立实施自我完善、自我改进MS有效性机制情况。——目的：文审；评价现场，讨论确定二阶准备；审查理解和实施标准情况，关键绩效或重要因素、过程、目标和运作的识别；收集范围信息；审查二阶所需资源，商定二阶细节；了解运作，提供关注点；评价内审与管评，证明二阶做好准备。——要求：了解概况，安排二阶事宜，确定重点；有重点审核；问题清单通知客户；不要正式审核计划，应有审核报告，不必满足所有要求。——重点：①评价现场具体情况，讨论确定二阶准备情况；②理解实施标准情况，目标、设备设施、职责、过程程序等识别；③收集体系范围信息，多场所，适用法律法规要求信息；④查二阶审核所需资源配置情况，讨论二阶审核时间、位置、说明等细节；⑤结合标准、规范了解现场运作能力及管理水平，提供二阶关注点；⑥评价内审与管评，查QMS运行情况。——目的：判断符合准则所有要求；体系有效运行；方针目标有效实施；判断遵守程序；确定通过审核，推荐认证。——内容：符合情况及证据；依据目标指标，监视、测量、报告和评审绩效；体系能力、合规要求、合同要求、绩效；运作控制；内审和管评；方针的管理职责。——重点：①现场审核体系、产品规范、工艺作业指导书要求是否执行、是否充分，抽查记录；②监视、测量、报告和评审的相关资料；③体系能力、合规要求、合同顾客要求的绩效，抽查记录；④内审与管评资料；⑤人员职责权限规定及落实情况；⑥设备记录，特种设备的检定证书；⑦现场观察人员操作符合工艺作业指导书，人员能力满足要求，特殊岗位人员资质；⑧查不合格控制程序；⑨查风险管理。12.检查表是审核策划性成果。l作用：保持目标清晰和明确；保持内容周密和完整；保持节奏连续性；减少偏见和随意性；记录存档。l内容：审核项目、内容和要点—查什么；审核的方法—怎么查。l依据：标准；文件化信息；法律法规、标准、规范、要求；有关信息；合同；审核计划。l思路——PDCA：过程确定、职责规定、输入/出；实施和保持；结果满足预期目标；改进。l要点：依据标准确定内容；应用过程方法设计检查表；列出部门主要过程、审核内容和方法；典型问题，关键过程、因素，突出主要职能或过程；抽样有代表性；注意逻辑顺序、步骤、协调性和完整性、可操作性。l编制，注意：不能脱离准则，结合实际；切忌无可操作性；忽视方法和抽样；风险。l使用，注意：自己的工作文件；内容是纲要，切忌照本宣科；按表检查，不随意偏离；不局限；综合运用方法。l时机：检查所有信息是不实际或不经济的，需抽样。e.g.记录多，地域分布太过分散，无法对总体中的每个项目进行检查。为了对总体形成结论，选择＜100%数据项目抽样，获取评价总体某些特征的证据。l目的：提供信息，使审核员确信能够实现审核目标。抽样；收集、评价和报告结果形成文件。l方法：条件抽样，统计抽样（简单随机、等距、分层、整群）。l影响因素：组织环境、性质、规模、复杂程度；具备能力审核员数量；审核频次；单次审核时间；外部要求置信水平；不良事件和/或意外事件的发生。l风险：样本无代表性；总体差异；抽样方法。l降低风险：考虑可用数据质量；根据抽样方法和数据类型，选择样本。应考虑样本量、选择的方法、基于样本置信水平。l合理抽样：保证样本量；分层抽样；适度均衡抽样；独立随机抽样；覆盖全面。l原则：明确总体，合理抽样。l方案：应基于审核目标和抽样总体的特征。分析和绩效指标；抽样方案信息，抽样和测量过程信息；其他报告；数据库和网站；模拟和建模。l收集验证步骤：信息源；抽样收集信息；审核证据；对照审核准则评价；审核发现；评审发现；审核结论。嗅、触、看的综合应用文件记录评审。活动、过程观察，证实面谈、记录准确性和真实性；实际测量证实活动和过程结果或记录符合性、有效性和真实性；其他，如对比，验证信息真实性。l记录证据注意：①记录内容：审核取证时间、地点、对象、主题事件、主要过程和活动实施概要、观察的事实、凭证材料、涉及的文件化信息、标识等；②全面反映审核的情况，记录有无问题的信息，主要活动、关键区域信息，为审核报告提供依据；③有问题信息，反应NC事实主要情节清楚，可追溯性必要信息；④应清楚、准确、具体、具有重查性，只有完整、准确的审核证据才能作为作出正确判断的依据；⑤无遗漏审核要点。15.审核记录包括：①文审记录；②审核计划；③样本选择方案，多场所抽样建议；④检查表；⑤现场审核过程记录，审核证据、审核发现、会议和沟通等记录；⑥审核报告；⑦NC报告；⑧审核后续活动报告；⑨其他记录。——WHEN，包括：①首末次会议；②审核组内部及与受审核方沟通；③