第一章审核基础知识

最新推荐文章于 2024-11-08 11:06:20 发布

坐井丶说天阔

最新推荐文章于 2024-11-08 11:06:20 发布

阅读量976

点赞数 17

分类专栏： CCAA 文章标签：笔记经验分享学习

本文链接：https://blog.csdn.net/m0_58620808/article/details/140503452

版权

CCAA 专栏收录该内容

7 篇文章 1 订阅

订阅专栏

学习要点;

审核的含义
与审核有关的重要术语
理解审核特征，掌握审核原则
审核在各类认证活动中的应用

第一节概述

审核是认证过程中最基本的活动，是审核方案的重要组成部分。其实施效果将直接影响到审核方案的意图和审核目标的达成。

一、什么是审核

审核，有审查核实的意思。而在某些领域里审核有其特定的技术含义和过程功能，如在人们日常生活中较多涉及的是会计学和财务审计中对“审核”一词的使用，其内容可以是:银行与出口企业通过对信用证的审核，履行双方应该共同承担的责任。英文 Audit 一词则含有审核和审计的意思。我国早在战国时期就出现了“审计”一词。

随着市场经济的发展，各类商品和服务的交换所需要的评价活动越来越多，需要有一种公正的制度对其安全性和符合性进行科学评价，以确保商品和服务的质量及其在市场流通的安全，从而使市场规范有序地发展，也可便利和促进国内外贸易。这一需求使以认证和认可为主要形式的合格评定制度在市场经济发展中得以发挥作用。例如，管理体系认证已经在全球范围成为一种潮流、一种模式、一种信赖和一种重要的评价手段。国际标准化组织在推出质量、环境管理体系国际标准之前，还没有哪一项管理标准在全世界范围内得到如此普遍的应用、受到如此的重视，能够如此流行。这其中重要的原因之一就是“审核”活动的作用。而这里所说的审核包括了管理体系认证、产品认证和服务认证中实施的审核活动。

在认证认可领域，依据相应标准所开展的各类认证活动中均存在审核过程的实施。以质量管理体系认证为例，其认证过程遵循 IS017021-1的要求，基本程序为:提出申请、申请评审与受理、签订认证合同、审核启动、审核实施、编制审核报告并批准和分发、复核认证决定、注册发证、证后监督及再认证。其中的审核过程为审核启动、一阶段审核(包括文件审核)、二阶段审核、编制审核报告、审核后续活动、审核完成。审核是认证全过程的关键活动，也是审核技术具体实施的重要环节。

二、与“审核”有关的国际标准

如:《管理体系审核指南》(ISO/IEC19011),《信息技术安全技术信息安全管理体系审核指南》(ISO/IEC27007)。IS019011 提供了管理体系审核的指南，包括审核原则、审核方案的管理和管理体系审核的实施，也对参与管理体系审核过程的人员的个人能力提供了评价指南，这些人员包括审核方案管理人员、审核员和审核组长。IS019011适用于需要实施管理体系内部审核、外部审核或需要管理审核方案的所有组织。只要对所需要的特定能力给予特殊考虑，IS019011就有可能应用于其他类型的审核。而IS027007标准是在IS019011的基础上，为信息安全管理体系(ISMS)审核方案管理、审核实施提供了指南，并对ISMS审核员能力提供了评价指南。

三、审核是审核员的基本功

掌握审核活动的特点，熟悉其活动的内在规律和逻辑性，并在实践中熟练运用审核方法，实现审核目标，:这是审核员的一项基本功。审核知识和技能是审核人员履行职责，胜任审核任务必须具备的。

审核是一项专门的与评价有关的技术活动。审核的特征决定了这项活动的特殊性和专属性，所以审核活动本身以及对其审核活动的管理与下列事项有关:

通常审核均具有明确的目的。为实现其预期目的，审核员需遵循若干原则，并按照规定的程序实施审核活动。遵循这些原则是得出相应和充分的审核结论的前提，也是审核员独立工作时，在相似的情况下得出相似结论的前提。
审核员胜任审核任务所需的能力，除通用的知识和技能以外，其对特定审核任务所需知识和技能的要求与某一技术领域有关、与专业有关，与审核人员对管理的理解和实践经验的积累有关
审核是一种评价管理过程有效性、识别风险和确定满足要求的方法。为了有效地进行审核，需要收集有形和无形的证据。在对所收集的证据进行分析的基础上，采取纠正和改进措施。这对审核员的能力提出了要求和挑战。从大的概念上来理解，审核在各类型的认证活动中，即:管理体系认证、产品认证和服务认证中，均包含了审核方法的运用即审核的实施。
审核活动是一种集成的活动，被审核的对象是一个复杂的集合体，一个成功的审核项目不仅与现场审核中审核人员的能力表现有关，还与认证机构显性和隐性的认证过程的管理有关。所以，审核人员需要熟悉和掌握GB/T19011、IS017021-1、GB/T27065中有关审核过程的要求。
审核活动客观地存在着风险。识别和评估审核风险是认证过程管理的重要方面。例如:审核抽样的目的是提供信息，而抽样的风险往往因为从总体中抽取的样本也许不具有代表性，从而可能导致审核员的结论出现偏差，与对总体进行全面检查的结果不一致。其他风险可能源于总体内部的变异和所选择的抽样方法。对审核风险进行识别和评估，进而采取有效的控制措施，以提高审核的有效性和提高认证结果的置信度，这是认证机构的责任。

第二节审核的基本概念和分类

一、审核的基本概念

管理体系认证中的审核活动普遍遵循 GB/T19011标准，以及产品认证、管理体系认证和服务认证技术规范中审核技术与方法涉及的典型术语、定义。审核员可以通过对“审核”和与审核有关的术语、定义学习理解掌握相关的基本概念。

（一）“审核”的定义

审核的定义是：‘’为获得客观证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。”----GB/T19011标准

（二）“审核”的理解

(1)审核由一系列相关过程和活动构成。从审核的定义可看出，审核是一个过程。一个过程必须有确定的输入，输出、活动和资源，并通过过程方法对其进行管理，以实现过程的目标。

(2)在审核过程中，审核员通过采用适宜的审核方法，收集与审核准则有关的有形或无形的审核证据，依据审核准则对审核证据进行比较、分析和评价，以确定其满足审核准则的程度，从而得出审核发现和审核结论。

(3)在“审核”定义中的“获得”“评价”和“确定”是三个典型的“活动”，既是审核过程的关键活动，也是审核关键技术的核心。

--“获得”客观证据的过程是一个取证的过程，涉及“抽样”。应根据抽样方案和所要求的数据类型，选择适当的样本。“获得”需要有适宜的方法，如:若决定使用统计抽样，抽样方案应基于审核目标和抽样总体的特征。审核可以采用条件抽样或者统计抽样。这些均涉及审核员审核时对审核技术的掌握和具体应用。
--“评价”所获得的客观证据并“确定”与审核准则的符合程度是审核的关键活动，也是审核技术的核心。基于抽样的审核活动，其最终的评价结果不是仅对样本负责，而是基于样本评价总体，从而对管理体系的符合性、有效性作出结论。首先应基于样本量、抽样的方法，以及基于这些样本和一定置信水平的估计对样本作出报告，然后通过对样本的报告评价总体的符合性和有效性水平。
--审核的风险是客观存在的，其不确定性因素的来源有很多方面。审核是基于对受审核方管理体系的抽样，审核组所获取的审核证据来源于可获得信息的样本，抽样方法的局限性不保证受审核方的管理体系100符合要求。审核组通过审核方案的有效实施，以及现场审核技术的应用，将不确定性对审核目的的影响降到最低。

(4)所谓“系统性”首先是指被审核的主体应体现其总体性、关联性、有序性和动态性的特征。另外，审核是一项正式、有序的活动，所实施审核严格按照规定的审核准则、程序和方法实施，审核程序要求确保审核组完整地实施审核，并充分、客观地评价组织的管理体系的各项活动、过程和结果。所谓“独立性”指审核人员与被审核的主体应不存在任何利益关系，不参与被审核方的经营管理活动。第三方认证审核则应确保审核活动独立于受审核方而确保公正性。独立性是审核的本质特征，也是保证审核活动顺利进行的必要条件。

(5)审核过程应“形成文件”是指审核过程的策划准备、实施、结果均要形成文件，如审核计划、检查表、记录审核证据的表单、不符合报告、审核报告等，从而体现审核活动的专业化和规范化。认证机构的内在管理过程中通常具有结构化的业务管理系统。其中将认证程序嵌入ERP系统，并已将审核活动使用到的各类表格内置化。又由于信息技术的广泛使用，审核组接受审核任务和将完成的审核项目资料提交均可实现网络化。

二、审核的分类

审核的类型基于审核的定义。根据IS019011《管理体系审核指南》审核定义的注释和ISO/IEC17021,审核分类：

按审核委托方分为内部审核(第一方审核)和外部审核(包括第二方和第三方审核);
按认证审核的时期序列分为初次审核、监督审核和再认证审核;
在特殊情况下的审核包括结合(多体系)审核、联合审核及认证范围扩大的审核、提前较短时间通知的审核。
审核还可以按认证领域来进行分类。

（一）按审核委托方划分的审核类型

按照审核委托方划分的审核类型为:第一方审核、第二方审核、第三方审核。每一类型审核的目的、所依据的审核准则均不同。

1.第一方审核

第一方审核又称内部审核，由组织自己或以组织的名义对自身进行的审核。这种审核为有效的管理评审和改进措施提供信息。

(1)审核目的。第一方审核主要用于管理评审和组织其他内部目的，也可作为组织自我合格声明的基础。以管理体系为例，第一方审核的主要目的为:

保障管理体系正常运行和改进的需要。组织建立了形成文件的管理体系并予以实施，在运行过程中常常会出现诸多问题，需组织建立一个自我发现问题、自我完善和自我改进的机制。有效的内部审核可以帮助组织发现管理体系运行过程中的问题，促进组织实施改进，从而使组织的管理体系得以有效实施和保持。
作为一种管理手段。组织通过实施内部审核，评价自身管理的现状、优劣，发现问题并及时采取改进措施，从而加强组织的运作管理，促进组织内部管理有效性的提高。
为外部审核前做准备。为顺利通过第二方或第三方的审核，组织安排进行内部审核，及时发现存在的问题，并及时采取改进措施，以便于顺利通过外部审核。

(2)审核准则。第一方审核的依据主要是组织自己制定的符合相关标准要求的管理体系文件和相关联产品的法律、法规、标准及其合同等。

2.第二方审核

第二方审核是由组织的相关方(如顾客)或由其他人员以相关方的名义进行的审核。

(1)审核目的。第二方审核的目的可以是:

合同前的评定(选择合格供方)。即在有合同意向时，对组织进行初步评定，以确定是否选择作为合格的供方。
在有合同关系的情况下，验证组织的管理体系是否正常运行，管理体系和产品质量能否持续满足要求，从而促进供方改进管理体系，给组织以持续的信心。
沟通和加强供需双方对质量要求的共识。

(2)审核准则。第二方审核的依据主要是合同，适用的法律、法规和标准等也是第二方审核的准则。

3.第三方审核

第三方审核是由外部独立于第一方和第二方之外的审核组织(如被认可的认证机构或其委托的审核机构)进行的审核。这种审核按照规定的程序和方法进行。

在第三方审核中，由被认可的认证机构或其委托的审核机构，依据认证方案的要求实施的以认证为目的的审核，其结果通常是对受审核方的管理体系或产品和服务是否符合规定要求给出书面证明(合格证书)，又叫认证或注册。

(1)审核目的。第三方审核的目的可以是:

确定管理体系是否符合规定要求；
确定管理体系实现规定目标的有效性；
确定受审核方是否可以认证/注册；
为受审核方提供改进的机会；
为潜在的顾客提供信任；
减少重复的第二方审核；
确定满足适用的法律、法规及合同要求的能力。

(2)审核准则。第三方审核的依据主要是管理体系标准和与产品有关的标准及其他规定要求，其次还包括受审核方的管理体系文件和适用的法律、法规、标准及其他要求等。

（二）按认真审核时序划分的审核类型

按照审核时序划分的审核类型为:初次认证审核，监督审核和再认证审核。初次认证审核是申请认证受理后的首次正式审核，分为第一阶段和第二阶段审核。监督审核获证是组织获准认证后的定期审核(认可规范通常要求至少每个日历年一次)。再认证是组织在获准认证有效期届满前重新申请的认证审核(认可规范要求每一个再认证周期通常为三年)。
在产品认证和服务认证中，定期监督审核的时间间隔及再认证的周期均通过认证方案予以策划和实施。

（三）在特殊情况下的审核类型

1.结合(多体系)审核

结合审核是两个或两个以上不同领域的管理体系被一起审核，如质量管理体系与环境管理体系，职业健康安全管理体系等一起被审核。结合审核的客体即受审核方是同一个，审核的对象是两个或两个以上的管理体系。结合审核也可以是管理体系与产品和(或)服务和过程的审核的结合。

除了IS019011《管理体系审核指南》有关审核方案管理的指南之外，认证机构在审核结合审核方案及对其实施管理时还需要考虑以下因素:

结公审核的目的；
结合审核所涉及的管理体系标准和/或规范性文件；
结合审核中各管理体系所涉及的技术领域；
结合审核的风险识别，如:与每一管理体系相关的法律、法规要求的情况，对受审核组织及其所建立的管理体系的信任度，受审核组织的行业风险和社会关注度，认证机构现有认证资源的配置基础等；
根据结合审核的风险识别，认证应采取的控制和降低认证风险的措施；
结合审核有效性的保证措施，主要涉及:审核组的能力、组织各管理体系的成熟度、根据审核的性质确定过程和活动、审核报告的编制等；
对两阶段审核要求及其审核内容与结合审核计划的协调作出安排。

2.联合审核

“联合”是指两个或两个以上审核组织之间的合作,“审核”是指两个或两个以上审核组织一起审核,审核的对象是同一个受审核方。通常受审核方已将两个或两个以上管理体系要求(也可以包括产品和<或>服务和过程的规定和要求)整合在一个单一的体系中。

3.特殊审核

(1)扩大范围的审核。根据获证组织的需要，由认证机构安排的对获证组织所申请的产品、活动、过程或组织区域等扩大的范围进行的审核。这类审核可以和监督审核同时进行。

(2)提前较短时间通知的审核。提前较短时间通知的审核是当认证的有效性可能遇到威胁，存在较大认证风险时，认证机构会对获证组织实施“提前较短时间通知”的审核。

（四）按领域划分的审核类型

审核还可以按认证领域的不同，划分为管理体系审核、产品审核/审查、过程审核、服务认证中的服务管理审核等。

就认证而言，对管理体系认证可针对不同的管理体系认证领域进行分类，如质量管理体系审核、环境管理体系审核、职业健康安全管理体系审核、食品安全管理体系审核、信息安全管理体系审核，等等。对产品也可分为对产品质量审核/检查、产品安全性审核/审査等。对服务和过程可分为对服务和过程的质量。安全和生态认证的审核/审查。

三、与“审核”有关的重要术语及概念

（一）审核准则

审核准则的定义:“用于与审核证据进行比较的一组方针，程序或要求”。----GB/T19011 标准

审核准则的作用是作为审核证据进行比较的依据。审核准则可以包括适用的方针、程序或要求,“要
求”可以是标准要求，法律法规要求，管理体系要求、合同要求或行业规范等。

不同类型或不同目的的审核，其审核准则不尽相同。通常，第三方管理体系认证审核时，审核准则是指管理体系应遵循的标准，如:IS09001《质量管理体系要求》、IS014001《环境管理体系要求及使用指南》受审核方证实管理体系符合性和有效性的成文信息，以及有关的法律法规等。

在实际的审核活动中，当审核证据与审核准则中的法律法规要求有关时，涉及“合规”与“不合规”常以审核发现的方式提出。

（二）审核证据

审核证据的定义：“与审核准则有关的并且能够证实的记录、事实陈述或其他信息。”----GB/T19011标准

(1)审核证据是能够证实的记录、事实陈述或其他信息。在审核过程中，审核者可以通过查阅文件和记录、听取有关责任人的口头陈述、现场观察、实际测定等方式来获得所需要的信息。作为审核证据的信息应是真实的、客观存在的。

此外，还应关注到对“审核证据”的理解与以下定义有关，即:

客观证据:“证明某事物存在或真实性的数据”；
数据:“关于客体的事实”；
信息:“有意义的数据”。

(2)在审核中收集与审核准则有关的信息并能够证实，强调的是审核的专属性，不同的管理体系各自遵循不同的管理体系标准要求。标准构成了认证审核的依据。

(3)审核证据是建立在获取的信息样本的基础上的。道听途说、假设、主观臆断、猜测等无法证实的信息不能作为审核证据，更不能用来形成审核发现(包括不符合)。

(4)审核证据可以是定性的，如:员工的质量意识;也可以是定量的，如:质量管理体系对产品交检合格率这一质量目标实现情况的测量结果，环境管理体系运行中污水排放指标等。在审核过程中，不要求也没必要对获得的所有信息进行逐一的证实，但当评价管理体系过程结果的有效性需要时，这些信息应该是能够被证实的，即可重查、可再现。

(5)审核证据的获得是审核员的一项基本技能。在很多情况下，审核员的审核过程始终都在关注过程的结果是件不容易的事。通常审核的客体是一个多水平、多侧面、多因素的集合体，审核证据的获取会受到各种因素的干扰而变得不那么容易。在现场审核中，审核员要了解其信息源和信息点的关系，基于风险思维、运用过程方法获得审核证据。

(6)证据的真实性是指作为证据的事实必须是客观存在的真实现象，而不是猜测和虚构的东西，这是证据的最基本特性之一。在审核中审核员必须予以全面客观审核确定。审核证据的合法性，一方面是审核证据必须与其应遵守的相关法律、法规有关，与受审核方所选定的审核所依据的标准有关;另一方面是审核证据的收集必须符合相关审核程序，在双方约定的认证合同的环境下规范实施。

（三）审核发现

审核发现的定义是:“将收集到的审核证据对照审核准则进行评价的结果。”----GB/T19011 标准

(1)审核发现是将已经收集到的审核证据对照审核准则进行比较，从而得出评价结果。需要强调的是审核发现判定的依据是审核准则，而不能是审核人员个人的经验与偏好。

(2)审核发现可以表明其结果是符合或不符合审核准则，因此，审核发现既有正面的，也有负面的。此外，如果审核的目的有相应规定，审核发现还能用于识别改进的机会。

(3)若审核准则为法律法规或其他要求，审核发现的表述实际可以理解为合规或不合规。

(4)审核发现带有一定的主观性(人们很难做到完全客观)，所以审核员必须意识到，当审核发现用符合或不符合的样本信息描述时，特别是通过样本信息评价总体时，一定要考虑到这种主观性给审核结论带来的风险。

（四）评审结论

审核结论的定义是:“考虑了审核目标和所有审核发现后得出的审核结果。”----GB/T19011标准

1.审核结论以审核发现为基础

这是在考虑了审核目的和所有的审核发现的基础上，基于对审核组的每一位审核人员得出的审核发现,汇总、评价后得出的审核结果。其结论的得出需要审核组进行系统分析和全面评价。

2.审核结论与审核目的和审核发现密切相关

不同目的的审核，其审核结论也不同。以识别改进需求为目的的内部审核，其审核目的是确认本组织的管理体系是否符合策划的要求，验证其是否有效地运行，其审核结论是在对体系符合性和有效性评价的基础上提出改进的建议。若以认证注册为目的的第三方审核，审核结论则应是确定管理体系符合审核准则的程度，得出是否推荐认证注册的结论。

3.IS017021-1标准9.4.6条款“准备审核”结论中的规定。规定中列出，对审核组的要求有:

对照审核目的和审核准则，审查审核发现和审核中获得任何其他适用的信息，并对其不符合进行分级;
考虑审核过程中内在的不确定性，就审核结论达成共识;
就任何必要的跟踪活动达成一致;
确认审核方案的适宜性，或识别任何为将来的审核所需要的修改（例如:审核时间或日期、监督频次、审核组能力）。

（五）审核证据、审核发现和审核结论之间的关系

从审核的定义出发，审核结论的得出是基于审核证据并对照审核准则进行评价的结果。从图1-1中可清晰地看出其中的逻辑关系。

四、审核常用的术语与定义

评审:对客体实现所规定目标的适宜性、充分性和有效性的确定。示例:管理评审、设计和开发评审、顾客要求评审、纠正措施评审和同行评审。
评价:合格评定中选取和确定功能的组合的活动。
监视:确定体系、过程、产品、服务或活动的状态。
测量:确定数值的过程。
确定:查明一个或多个特性及特性值的活动。
验证:通过提供客观证据对规定要求已得到满足的认定。
确认:通过提供客观证据对特定的预期用途或应用要求已得到满足的认定。
绩效:可测量的结果。
有效性:完成策划的活动并得到策划结果的程度。
风险:不确定性的影响。

第三节审核原则

一、审核的特征

审核是为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的，独立的并形成文件的过程。审核的定义揭示了审核目的和审核特点，而审核的“系统的”“独立性”“形成文件’的三个特点莫定了审核的基础，揭示了审核具有的公正性、客观性和独立性的基本特征。审核的特征体现在必须遵循的若干审核原则中。

二、审核遵循的原则

审核原则包括以下内容。

(一)诚实正直：职业的基础

这项原则是对一名合格审核员、审核方案管理人员的基本要求。诚实、正直、勤勉、严谨，以不偏不倚的态度从事工作，是每一位审核员和审核方案管理人员应具备的道德品质，是确保审核人员正确实施审核工作的最基本的职业道德和素质要求。

诚信是为人之本。诚信就是言行一致不作假。守信用就是能够履行跟别人约定的事情而取得信任。

(二)公正表达：真实、准确地报告的义务

这项原则是每个合格审核员(组)应尽的责任。客观准确地报告审核工作是审核员的责任和义务。作为审核员，不论是收集审核证据，还是形成审核发现，都要以客观事实为依据，以审核准则为尺度，不受任何外界因素的干扰。审核员应将审核发现、审核结论以书面或口头的方式，真实淮确地向受审核方和审核委托方报告;对审核过程中遇到的重大障碍以及审核组与受审核方之间存在的没有解决的分歧意见，审核组应如实向审核委托方及有关方报告。沟通必须真实、准确、客观、及时、清楚和完整。

(三)职业素养：在审核中勤奋并具有判断力

这项原则要求审核员要充分认识自己执行审核任务的重要性，珍视审核委托方和其他相关方对自己的信任。在审核工作中应熟知相关专业，勤勉熟练地开展审核工作并准确作出判断，这是一个合格审核员应具备的职业素养。在审核工作中熟练运用审核技术与技巧，认真做好审核工作，是每一个审核员应具备的能力，也是确保职业素养的重要因素。具有职业素养的一个重要因素是能够在所有审核情况下做出合理的判断。

(四)保密性：信息安全

这项原则要求审核员应审慎使用和保护在审核过程中获得的信息。审核员或审核委托方应正确处理敏感的、保密的信息，而不应为个人利益不适当地或以损害受审核方合法利益的方式使用审核信息。需保密的信息可包括受审核方的技术、商业秘密，以及所获得的与受审核方有关的其他审核信息。

(五)独立性：审核的公正性和审核结论客观性的基础

这项原则是审核的公正性和审核结果客观性的基础。审核员应独立于受审核的活动(只要可行时)，并且在任何情况下都应不带偏见，没有利益上的冲突。对于内部审核，审核员应独立于被审核职能的运行管理人员。审核员在整个审核过程应保持独立性与客观性，确保得出的审核发现和审核结论建立在审核证据的基础上。

(六)基于证据的方法

这是在一个系统的过程中，得出可信的和可重现的审核结论的合理方法。

“证据”是能够证明某事物的真实性的有关事实和材料。“审核证据”是“与审核准则有关的并且能够证实的记录、事实陈述或其他信息”。

“基于证据的方法”就是以证据为基础的一种方式，遵循这种合理的方式也是一项审核原则。在审核的过程中，审核员绝不能凭主观臆想和推测下结论，必须获得证据，从而得出审核结论。

(七)基于风险的方法

这是考虑了风险和基于证据的审核方法。

基于风险的方法应考虑审核过程对审核计划实施和审核报告的影响，目的是确保受审核方的重要事项被审核关注并达成审核方案的目的。

任何审核客观上都存在着风险，在一定程度上必然受到时间、资源和各种条件的限制。一是审核员在有限时间内和有限的资源条件下，不可能对被审核的管理体系覆盖的所有活动都审核到，使得审核通常采用抽样的方式进行;二是有时由于保密要求或其他原因，审核员未必能够接触到所有有关的信息，因此审核只能建立在可以获得的抽样信息的基础上。

三、遵循审核原则的意义

原则是根本性的真理，它构成了行动的基础。原则可以不断地被应用于类似的情况，以帮助你实现目标。

审核作为一项合格评定中重要的关键活动在国际上已开展多年，其理论与实践日臻完善。不但组织自身建立和实施其管理体系需要审核，需方和待验的评价也需要审核，第三方机构从事的认证工作更是以审核活动为核心。为使审核结果有价值且为审核有关的各方接受，就应该遵循审核原则。
对一个认证机构所实施的管理体系认证审核，每项审核活动均按同一程序和规则进行，都遵循同样的审核原则。只有这样，不同的审核组和(或)审核员对同一管理体系(性质、规模、结构以及管理体系的类型等)的审核才能得出相似的结论。

在国家认证认可制度体系下，国家授权的认可机构和其经认可的每一认证机构都按照国际通行的认可规范和审核应遵循的原则策划、实施和规范认可活动与认证审核活动，其所颁发的认证证书具有同样的效力。显而易见，共同遵守约定的审核原则是国际上对认可与认证证书相互承认的基础。

管理体系认证(如对组织的环境管理体系、质量管理体系或信息安全管理体系的认证)是一种保证方法，用于确保组织已实施了与其方针及相关国际管理体系标准的要求一致的，用以管理其活动、产品和服务相关方面的体系。IS017021-1《管理体系认证机构要求》规定了管理体系审核和认证机构的要求。对从事质量、环境及其他管理体系审核与认证的机构提出了通用的要求。该标准并未就所有可能发生的情况给出特定要求,但阐述了七项原则作为认可要求的基础,并要求认证机构通过应用这些原则作为决策的指南。

第四节认证中的审核活动

一、审核是认证的关键活动之一

(1)“选取”，包括:

明确符合性评定所依据的标准或其他文件的规定；
选取拟被评定对象样品；
统计抽样技术的规范(适宜时)。

(2)“确定”，包括:

为确定评定对象的规定特性而进行的测试；
对评定对象物理特性的检查；
对评定对象相关的体系和记录的审核；
对评定对象的质量评估；
对评定对象的规范和图纸的审查。

(3)“复核与证明”，包括:

评定从确定阶段收集的评定对象符合规定要求的证据；
返回确定阶段，以解决不符合项的问题；
拟定并发布符合性声明；
在合格产品上加贴符合性标志。

(4)“监督”，包括:

在生产现场或通往市场的供应链中进行确定活动；
在市场中进行确定活动；
在使用现场进行确定活动；
评审确定活动的结果；
返回确定阶段，以解决不符合项的问题；
拟定并发布持续符合性确认书；
如果有不符合项，启动补救和预防措施。

二、管理体系认证、产品认证和服务认证中的审核活动

认证活动经历了一个多世纪的发展。20世纪80年代至90年代初，国际组织开始实施以国际标准和规则为依据的国际认证制度，如:IEC的电工产品安全认证制度。与此同时，为更加便于贸易，减少重复审核，英国率先制定了评价供方质量管理体系的英国国家标准(BS5750标准)。IS0于1997年发布了《质量管理和质量保证标准》，即IS09000系列标准，我国政府从而推动了世界范围的质量管理体系认证活动的开展。2001年8月，为了履行加入WTO时的承诺，我国政府成立了由国务院直接授权的统一监督管理认证认可工作的国家认证认可监督管理委员会(CNCA)。2008年《中华人民共和国认证认可条例》的颁布和实施，标志着我国认证认可工作进入了一个新的发展时期。

《认证认可条例》明确，在统一的认证制度框架下，我国的认证共分为三类，即:管理体系认证、产品认证和服务认证。

（一）管理体系认证中的审核

管理体系认证(如对组织的质量管理体系、环境管理体系、职业健康安全管理体系或信息安全管理体系的认证)是一种保证方法，用于确保组织已实施了与其方针及相关国际管理体系标准的要求一致的、用以管理其活动、产品和服务相关方面的体系。

管理系统认证是“与管理体系有关的第三方证明”，是一种“证实”活动。审核的实施为这种“证实’提供了用于评价的充分客观证据与有用信息。现场审核的一致性和有效性直接决定了认证的有效性。

(二)产品认证中的审核活动

产品认证是由第三方通过检验评定企业的质量管理体系和样品型式试验来确认企业的产品、过程或服务是否符合特定要求，是否具备持续稳定地生产符合标准要求产品的能力，并给予书面证明的程序。

国际标准化组织通过对世界各国和地区所采用的产品认证模式的分析，总结给出了产品认证的模式。GB/T27067《合格评定产品认证基础和产品认证方案》中提出了6种产品认证方案。GB/T27053《合格评定产品认证中利用组织质量管理体系的指南》概述了认证机构制订和实施产品认证方案中利用组织质量管理体系的通用方法。该标准所含方法仅适合于产品认证。在产品认证方案中，认证机构可能要采取各种方法证明是否符合规定要求，包括评定申请人的质量管理体系。认证机构宜安排对申请的组织进行现场检查，并成立检查组。检查组成员须熟悉合格评定程序、熟悉认证方案包括的质量管理体系要求，以及熟悉GB/T19011推荐的检查方法。

产品认证中的认证方案做出的相关安排，包括审核活动，如:产品认证中的验厂审核或生产线一致性检查。

(三)在服务认证中的服务管理审核

GB/T27067提出的“方案类型6”，主要适用于服务和过程审核。该标准对服务认证和过程审核给出了以下阐述：

服务通常是无形的，但确定活动并不仅仅局限于无形的评价(比如组织程序有效性、管理滞后和响应能力等)。在某种情况下，可以通过对服务中有形要素涉及的服务过程、资源及管理过程的评价、作为表明符合性的支持性证据。例如，针对公共交通的质量而进行的对车辆清洁检查。

对过程审核，情况非常类似。例如，适用时，焊接过程的确定活动可以是对焊接样品焊缝的检测和检。

对服务和过程审核，这种方案的监督环节宜包括对管理体系的周期性审核，以及对服务与过程的周期性评价。

本章小结

审核是合格评定的基本活动，是审核的关键技术及核心。从广义上理解，审核将在管理体系认证、产品认证以及服务认证中得到应用。

审核是一项专门的活动。审核的特征决定了这项活动的特殊性和专属性。审核必须遵循若干原则。遵循这些原则是得出相应和充分的审核结论的前提，也是审核员独立工作时，在相似的情况下得出相似结论的前提。

掌握审核活动的特点并熟悉其活动的内在逻辑性，在实践中熟练运用审核方法实现审核目标，是审核员的一项基本功。

审核活动客观上存在风险。识别和评估审核方案的风险是认证过程管理的重要方面。审核活动是一个集成的活动。被审核的对象是一个复杂的集合体。一个成功的审核项目不仅与审核现场审核人员的表现有关，还与认证机构显性和隐性的认证过程的管理有关。所以，审核人员需要熟悉和掌握 GB/T27021、GB/T27065、GB/T19011中有关审核过程的要求。

思考题