JCC-ZD-01-2016
2015版质量和环境管理体系标准
审核作业指导书
编制:崔 芳 审核:曹继明 批准:杨文东
北京中建协认证中心有限公司
发布日期:2016-01-01 实施日期:2016-01-01
1
0 目录
1 目的和适用范围
2 2015版管理体系标准主要变化和意义
1、2015版管理体系标准主要变化 2、2015版管理体系标准意义 3 审核方案调整及要求
1、对2015版管理体系标准审核的一般要求
2、基于“风险的思维+过程方法+PDCA”,更加关注输出、关注实现预期结果、关注绩效的审核思路
3、 对文件化信息的评审(见7.5)
4 对管理体系标准第4章“组织所处的的环境”的审核
4.1、理解组织及其所处的环境 4.2、理解相关方的需求和期望 4.3、确定管理体系范围
4.4、管理体系及其过程建立、实施、保持和持续改进 4.4.1、管理体系及所需的过程的建立、实施、保持和改进 4.4.2、过程的文件化信息确定、保持或保留 5 对管理体系标准第5章“领导作用”的审核
5.1、领导作用和承诺
5.1.1、对领导作用和承诺的总要求 5.1.2、以顾客为关注焦点 5.2、方针的建立、实施和保持
5.3、对组织的岗位、职责和权限进行分配、沟通和理解 6 对管理体系标准“策划”的审核
6.1、应对风险和机遇的措施
6.1.1、应对风险和机遇的措施总要求 6.1.2、应对措施的策划 6.1.2、确定环境因素 6.1.3、确定、获取和应用合规义务 6.1.4、应对措施的策划 6.2、目标及其实现的策划
6.2.1、目标的建立、监视、沟通和更新 6.2.2、实现目标措施的策划 6.3、变更的策划
2
7 对管理体系标准第7章“支持”的审核
7.1、确定并提供资源
7.1.1、对确定并提供资源的总要求 7.1.2、人员的确定及配备 7.1.3、对基础设施的管理 7.1.4、对过程运行环境的管理 7.1.5、对监视和测量资源的控制 7.1.6、组织的知识的确定、保持和获取 7.2、能力的确定和获得 7.3、确保意识 7.4、内外部信息交流 7.4.1、对信息交流总要求 7.4.2、内部信息交流 7.4.3、外部信息交流
7.5 、形成文件的信息的管理 7.5.1、 形成文件的信息的总要求 7.5.2、对文件化信息的创建和更新 7.5.3、对形成文件的信息的控制 8 对质量管理体系标准第8章“运行”的审核
8.1、 运行的策划和控制 8.2、 产品和服务的要求 8.2.1、 顾客沟通
8.2.2 产品和服务要求的确定 8.2.3 产品和服务要求的评审 8.3、 产品和服务的设计和开发
8.3.1、对产品和服务的设计和开发的总要求 8.3.2、设计和开发策划 8.3.3 、设计和开发输入 8.3.4 设计和开发控制 8.3.5、设计和开发输出 8.3.6、设计和开发更改
8.4、 外部提供的过程、产品和服务的控制
8.4.1 、外部提供的过程、产品和服务的控制总要求 8.4.2、对外部提供的过程、产品和服务控制类型和程度 8.4.3、组织提供给外部供方的信息
3
8.5、生产和服务提供 8.5.1、生产和服务提供的控制
8.5.2、对过程输出的标识和可追溯性控制 8.5.3、对顾客或外部供方的财产的控制 8.5.4 、防护控制
8.5.5、对交付后的活动的控制 8.5.6、更改控制 8.6、产品和服务的放行 8.7、不合格输出的控制
8 对环境管理体系标准第8章“运行”的审核 8.1、运行策划和控制 8.2、应急准备和响应 9 对管理体系标准第9章“绩效评价”的审核
9.1、监视、测量、分析和评价 9.1.1、监视、测量、分析和评价总要求 9.1.2 顾客满意 9.1.2、合规性评价 9.1.3、分析和评价 9.2、内部审核 9.3、管理评审
10 对管理体系标准第10章“改进”的审核
10.1、改进总要求 10.2、不合格和纠正措施 10.3、持续改进
附录:GB/T19001-2015、GB/T50430-2007、GB/T24001-2015、GB/T28001-2011对照表
4
1 目的和适用范围
1、目的
(1)本文件旨在指导2015版质量和/或环境管理体系标准初次认证审核,管理体系标准转换审核(结合监督或再认证审核、专项认证审核)的认证审核作业活动。
(2)保证和提升审核人员对于2015版管理体系标准的理解和审核实施,尤其是新版标准变化内容对审核能力和审核实践的影响。
2、适用范围
(1)适用于审核组编制检查表等审核工作文件,及现场审核抽样采信、对组织管理体系评价的依据或参考。
(2)本文件具有“完整性、精密性、穿透性”之特点,完全覆盖2015版质量管理体系和环境管理体系标准要求,现场审核时可以结合、独立使用。
(3)本文件在旧版管理体系标准基础上,考虑2015版管理体系标准主要变化及重要要求(例如变更管理等),按管理体系要求提出审核要点及应关注的审核证据。管理体系要求第4-10章条款与管理体系标准对应,结合覆盖质量和环境管理体系标准要求;对于环境管理体系特定要求的内容,例如6.1.2-6.1.3、8.1和8.2、9.1.2等在方框内加以区别。
(4)本文件将各管理体系要求完整、层次清晰地转化为若干“查什么?”(即审核要点),并给出相应的审核证据(理解和实施)和审核关注信息(对于标准变化和重点内容)。
(5)附录《GB/T19001-2015、GB/T50430-2007、GB/T24001-2015、GB/T28001-2011对照表》便于多体系结合审核参照使用。
2 2015版管理体系标准主要变化和意义
1、2015版管理体系标准主要变化 (1)调整标准结构和框架
按照ISO/IEC发布的工作导则第1部分之附件SL的附录2《高阶结构、相同的核心文本、通用术语和核心定义》,调整标准结构和框架,为新的ISO管理体系标准制定和原有标准的修订提供了一个统一的结构和模式,同时也提供了一个统一的文本,方便多个管理体系的整合。但这并不意味组织要调整自己管理体系文件的编排格式。
(2)战略性质量和环境管理
管理体系的成功实施取决于最高管理者领导下的组织各层次和职能承诺。组织可利用机遇,尤其是那些具有战略和竞争意义的机遇,预防或减轻有害的影响,增强有益的影响。通过将质量和环境管理融入到组织的业务过程、战略方向和决策制定过程,与其他业务的优先项相协调,并将质量和环境管理纳入组织的整体管理体系中,组织就能够有效地应对其风险和机遇,实现预期结果。
5
(3)基于风险的思维
强调“基于风险的思维”这一核心概念。新版标准中,识别风险并采取相应措施来消除风险、降低风险或者减缓风险的思想,贯穿在整个标准里。因此,预防措施贯穿于整个标准。风险管理体现了因果关系、关键少数等概念,要求从受不确定性影响的事物中,使有显著影响的风险可见可控,也使可能的机遇可见可用。
2015版标准去掉了“预防措施”这个术语。但是这个概念不仅依然存在,而且通过应对“风险”得到了加强。
(4)新要求4.1“理解组织及其环境”
对于每一个组织都是不一样的。当每个组织在设计管理体系的时候,要考虑外部和内部的因素,以及这些因素是否对组织要实现的目标和结果有帮助。组织所处的环境是其建立管理体系的出发点。或者说,组织可结合识别和评价这些因素,评价自己的管理体系是否适合于组织。
(5)新要求4.2“理解相关方的需求和期望”
4.2有着同样的重要意义。4.2规定的要求包括了组织确定与管理体系有关的相关方,并确定来自这些相关方的要求。然而,4.2并不意味着因管理体系要求的扩展而超出了管理体系标准的范围,标准的范围并没有发生变化,即:
对于质量管理体系:
——需要证实其具有持续地提供满足顾客要求和适用法律法规要求的产品和服务的能力;
——通过体系的有效应用,包括体系改进的过程,以及保证符合顾客和适用的法律法规要求,旨在增强顾客满意。
对于环境管理体系,实现组织环境管理体系的预期结果,这些结果将为环境、组织自身和相关方带来价值。与组织的环境方针保持一致的环境管理体系预期结果包括:
——提升环境绩效; ——履行合规义务; ——实现环境目标。
(6)通过领导作用提升管理体系
对最高管理者提出了更多的要求。这对于审核来说影响不小。新版标准的要求更加具体,使本要求的可审核性更好,但应考虑证据的搜集方式。无论如何,高级管理层的领导作用对于体系有效性是非常重要的。
2015版标准去掉了针对 “管理者代表”的具体(规定性的)要求。新版标准给予组织更多的灵活性。有很多种方法可以做到管理者代表过去所做的事情。如新版标准要求对管理体系的实施和绩效进行报告,确定管理体系的职责和权限,至于是否非得专人或是大家一起来做这件事,要取决于组织自己的决定。
(7)与程序和过程相关的文件化信息
6
用“形成文件的信息”替代了“文件化的程序和记录”,目前来看,形成文件的信息很大的程度上可能还是过去传统意义上的文件化的程序和文件化的记录,但是在当今信息化的时代,应注意面对企业管理系统IT化和今后的工厂智能化,这变化的意义对审核员能力和工作方式可能都意味着重大的提升要求。
2015版标准去掉了针对“质量手册”的具体(规定性的)要求,新版标准给予组织更多的灵活性。
(8)质量管理体系适用性
新版标准在其要求对组织质量管理体系的适用性方面不使用“删减”一词。然而,组织可根据其规模和复杂程度、所采用的管理模式、活动领域以及所面临风险和机遇的性质,对相关要求的适用性进行评审。新版标准在4.3中有关适用性方面的要求,规定了在什么条件下,组织能确定某项要求不适用于其质量管理体系范围内的过程。只有不实施某项要求不会对提供合格的产品和服务造成不利影响,组织才能决定该要求不适用。
(9)“产品和服务”替代了“产品”
变更原因是有很多服务业的组织还没能真正理解,现行标准里面每当提到产品的时候,实际上也隐含了服务。特别是谈到监视、测量的时候,人们立刻就会想到有形产品,而没有想到还有无形的服务。“产品”和“服务”虽是不同的两个定义,但在多数场合下,定义“产品”和“服务”是一起使用的。
(10)“外部提供的过程、产品和服务”替代“采购”,包括外包过程。
在2008版标准中, 4.1体现了“外包过程”, 7.4是关于“采购”,新版标准统一为“外部提供的过程、产品和服务”,目的就是确保对这些外部提供的过程、产品和服务加以控制,达到所需要的结果。新版标准8.4列举了所有的外部提供形式。
(11)组织的知识
这个是一个特别重要的新要求,对处于转型升级时期的企业具有重要意义。新版标准要求组织确定并管理其持有的知识,以确保其过程的运行,并能够提供合格的产品和服务。引入组织的知识的要求的目的是避免组织丧失其知识,鼓励组织获取知识。
(12)通过绩效提升实现持续改进
例如新要求“改进产品和服务以满足要求并关注未来的需求和期望”、“组织应持续改进环境管理体系的适宜性、充分性与有效性,以提升环境绩效”。
(13)特别的,对于环境管理体系主要变化包括:
1)从污染预防扩展到环境保护 (见5.2、6.1.1、6.1.2、6.1.3); 2)满足合规性义务(见6.1.3、9.1.2);
3)生命周期思想 (包括外包、相关方、供应链)(见6.1.2、8.1); 4)强调内外部信息交流(见7.4); 2、2015版管理体系标准意义
(1)鉴于上述变化,2015版标准不仅仅表现为实际要求的改变,更是理念上、方法上
7
的不同。可以说,这是一种思维方式的改变。2015版标准较之过去的标准,在管理体系完整性和活力机制方面有明显提升,使管理体系更能服务于组织目标的实现并创造价值。这些变化对企业和审核员提出了挑战。如果没有足够的专业和管理知识,以及将这些知识应用于工作实践和标准实施的能力,将无法体现2015版新增或变更要求的价值。因此,以标准换版为契机,认证机构审核员要切实加强对标准的认识和理解,学习掌握新知识,不断提升自身能力,这将对实现管理体系认证工作的整体提升有积极的现实意义。
(2)例如在ISO/IEC TS 17021 -3(CNAS - CC131:2014)文件中列出的质量管理体系审核员应具知识包括如下,结合新版标准的审核要求,这对审核员培养和选用有了更具体的知识和能力参考依据。
1)经营管理实务
——基本的企业质量管理概念; ——管理过程和相关术语。 2)客户的行业类别
——与客户行业类别相关的通用术语、过程和技术; ——相关行业的实务。 3)客户的产品、过程和组织。 (3)审核员所面临的挑战及应对的策略
1)例如新版标准增加了条款4.1“理解组织及其环境”,对审核员所开展的现场审核活功提出了挑战,同时也提出了更高的要求,审核人员面临以下问题:
——是否具有开放的知识结构?
——如何了解和评价组织对所处“环境”的分析和确定? ——如何把握和有效开展对最高管理层的审核?
2)审核员可能需要思考审核方式方法的改善和调整。在审核方案的策划阶段,对于组织(背景)环境要做尽可能细致的了解。因为组织的管理体系是在考虑了这些因素的基础上建立并实施的,所以审核员对于管理体系的评价也应以此为基础。
3)对于审核员审核方式方法的改善和调整更多的见本文件第3章和第4-10章的审核关注。
3 审核方案调整及要求
1、对2015版管理体系标准审核的一般要求
(1)随着新版标准的变化,管理体系认证审核可能会引发以下方面的调整: ——审核方案的策划(更关注审核方案策划的个性化);
一一一阶段审核(包括文件审核)的实施(审核员可能需要获取和依据除企业提供的文件以外的信息,才能做好审核准备工作);
——合理策划审核实施方式(基于过程的审核、远程电子化审核、大数据结果的采信
8
等);
——审核报告的价值实现(审核报告如何体现“评价技术”的价值,以适应新版标准“更加关注结果”的要求);
——当组织的管理体系不仅出于认证的目的,还在更深的层面上追求有效性和效率时,管理体系将显示出更强的开放性和包容性。提供认证服务的各方也可为这类组织在管理体系的内涵和外延方面提供更多的帮助。
(2)对新客户2015版管理体系标准认证依据初次审核程序实施。
(3)对结合监督或再认证审核、专项认证审核的获证客户管理体系标准转换审核可依据相应认证审核方案实施,如抽样、审核人日(适当增加)等,但审核方案应覆盖2015版标准全部要求,如可在管理层和客户职能部门层级覆盖全部管理体系标准要求。
(4)审核组应在《管理体系审核报告》、与受审核方沟通和发言中关注和评价组织对2015版管理体系标准主要变化所采取措施的实施情况、存在问题和改进建议。
(5)对获证客户2015版标准转换审核的一般要求包括:
(1)是否依据2015版管理体系标准识别既有管理体系的缺失和偏离,策划和实施管理体系标准转换或变更方案。
(2)是否确定适当的培训需求并实施。
(3)是否策划和实施必要的与程序和过程相关的文件化信息变更。 (4)是否策划和实施依据新版管理体系标准的内部审核和管理评审。
2、基于“风险的思维+过程方法+PDCA”,更加关注输出、关注实现预期结果、关注绩效的审核思路
(1)审核依据包括:
——《质量管理体系 要求》GB/T19001-2015
——《环境管理体系 要求及使用指南》GB/T24001-2015
(2)审核时需注意管理体系所包含的要求需要从系统或整体的角度进行考虑,审核不应当脱离其他条款孤立地使用管理体系标准的特定句子或条款,管理体系标准某些条款中的要求与其他条款中的要求之间存在着相互联系。例如:组织需要理解其环境方针中的承诺与其他条款规定的要求之间的联系。
(3)新版管理体系标准很清晰地体现了所有管理体系都应有的3个核心概念,即过程、基于风险的思维和PDCA循环。
1)“基于风险的思维”在前面已有阐述。
2)组织应识别并确定实现策划结果所需的过程。包括生产和服务提供的实现的过程和支持性的过程。组织所处环境不同,所要定义的过程也不同。组织对于过程要进行策划、实施、采取改进措施,以便下一次策划的时候更好。
3)使用PDCA循环来管理过程和体系。PDCA循环使组织能够对于出错的地方加以调整,并且能够进行持续的改进。
9
4)需要强调的是,2015版IS0 9001标准不是基于单纯的风险思维、PDCA循环和过程方法,而是三者的有机结合。
(4)关于输出和预期结果
1)新版管理体系标准中,“输出”定义为“过程的结果”,在术语的注中也给出了“组织的输出是产品还是服务,取决于其主要特性”的说明。ISO/TC 176/SC2有关修订2015版标准的战略计划中,明确指出“更加强调组织提供合格产品的能力,输出很重要”。另外,环境管理体系标准可帮助组织实现其环境管理体系的预期结果,这些结果将为环境、组织自身和相关方带来价值。与组织的环境方针保持一致的环境管理体系预期结果包括:
——提升环境绩效; ——履行合规义务; ——实现环境目标。
2)组织的客户对组织的评价,不是评价组织的体系多么完善,管理体系有多少程序文件,组织的设备有多少进行了校准,而是看组织的产品和服务是不是持续一致合格、是否实现预期结果。
3)管理体系认证期待结果也不仅仅是一组文件,而是向客户提供始终合格一致的产品和服务、实现预期结果。
4)因此,可以理解管理体系的输出之一为“提供合格、一致的产品和服务”、“提升环境绩效”、“履行合规义务”等,也可以理解为输出是标准中要求的“预期结果”。
5)对于输出,应该从“组织”和“过程”二个层面来考虑。新版管理体系标准4.4要求组织“确定这些过程所需的输入和期望的输出”。
(5)关于绩效
1)新版管理体系标准中,“绩效”定义为“可测量的结果”,术语的注中也给出了如下说明:“注l:绩效可能涉及定显的或定性的结果;注2:绩效可能涉及活动、过程、产品、服务、体系或组织的管理”。
2)新版管理体系标准提到“在管理体系中应用过程方法能够获得有效的过程绩效”、 “组织应评价管理体系的绩效和有效性”,此外在第5-10章中也多处提到“绩效”。由此可以看出,2015版标准对管理体系的评价不再只停留在“有效性”上,除评价有效性外,还要对“绩效”进行评价,包括各类“绩效”和效率。一个不考虑效率的组织是无法长期生存的。这也反映了组织各相关方对管理体系影响的关注。但应注意,管理体系的适用范围并未发生改变。
3)管理体系有几个重要的因素,如,最高管理者的承诺、经校准的设备、有能力的人员、监视与测量、内审、管理评审、作业指导书、文件化的程序等,这些因素与过程的能力密切相关,这些因素在一组过程当中进行互动,过程互动的目的就是为了输出结果,即稳定满足要求的预期结果和产品获得有效性和效率。
(6)审核关注
10
1)所有利用资源实施行动以产生结果的工作都是一个过程。一个有效的过程就是其结果确能满足组织目的要求的过程。理解和控制影响过程结果的因素,就可控制过程的结果,这是管理的一个基本观念。
2)1994版管理标准带入了一种观念(尽管这也许非标准本意,只是当时标准强调合同环境下证实作用的一种表述),即管理就是遵守程序,典型的说法就是“写我所做的、做我所写的”。
3)而管理的关注点本应是结果实现和问题得以解决。这一观念的影响对认证审核可谓深远。因此,TC 176在1994版管理标准中提出了管理体系是由相互联系和相互作用的过程组成的观念,并在2000版标准中推出了过程方法的观念。尽管一再强调管理体系是过程驱动而非文件驱动,但至今审核员到组织审核的方式仍常问“是否有程序?”,然后依据程序搜集程序得以遵守的证据。
4)新版标准的核心理念之一是过程方法,这对于审核员继续强化这一概念以推行过程方法的应用会有显著作用。在审核实施中,应注意程序方法和过程方法的主要观念不同:
——程序方法:是以符合规则的方式完成任务,做被告知要做的事;
——过程方法:理解需求,寻找最佳方式实现需求;检查需求是否被满足,是否以最佳方式完成,组织对需求的理解是否仍然有效。 3、 对文件化信息的评审(见7.5)
(1)对新客户2015版管理体系标准认证的文件化信息评审依据初次审核程序实施,至少包括:
1)管理体系范围。
2)分派过程的职责和权限,可以是“组织结构图”、“岗位(部门)、职责和权限报告关系说明书”、“岗位(部门)、职责和权限矩阵”等。
3)方针。
4)应对风险和机遇的文件化信息,包括应对风险和机遇的措施等。 5)重要环境因素、合规义务的文件化信息。 6)目标。
7)必要的范围和程度上支持过程运行的形成文件的信息。
(2)对于结合监督或再认证审核、专项认证审核的获证客户管理体系标准转换应进行文件化信息评审,包括:
1)至少满足对新客户文件化信息评审内容的要求,包括应对风险和机遇的文件化信息等。
2)对既有文件化管理体系调整,关注将质量和环境管理纳入组织的整体管理体系的程度。
(3)适用时,依据对客户现场审核发现,编制《现场审核文件审查意见反馈单》以评价客户文件化信息的充分性。
11
(4)组织的管理体系应包括:
1)管理体系标准要求的形成文件的信息;
2)组织确定的为确保管理体系有效性所需的形成文件的信息。 (5)管理体系及过程在必要的范围和程度上,组织应: 1)保持形成文件的信息以支持过程运行; 2)保留确信其过程按策划进行的形成文件的信息。
(6)对于不同组织,管理体系形成文件的信息的多少与详略程度可以不同,取决于: ——组织的规模,以及活动、过程、产品和服务的类型; ——过程的复杂程度及其相互作用; ——人员的能力。
(7)迄今为止,许多使用管理体系标准的组织已为其管理体系制定了书面程序和记录。使用形成文件的信息这一说法并不改变上述内容;这种替代说法更多反映了许多组织使用电子媒介手段记录支持其过程和管理体系运行的数据和信息的发展动态和实践。组织可使用最初并非以管理体系的目的而创建的文件化信息。管理体系的文件化信息可与组织实施的其他管理体系信息相整合。文件化信息不一定以手册的形式呈现。
(8)2015版管理体系标准明示建立管理体系过程(注:分别标注Q、E适用,不标注为QE同时适用)、保持文件化信息的要求见下表:
管理体系标准 4.3确定管理体系的范围 Q4.4管理体系及其过程 4.4.1 组织应按照本标准的要求,建立、实施、保持和持续改进质量管理体系,包括所需过程及其相互作用。 组织应确定质量管理体系所需的过程及其在整个组织中的应用。 建立过程的要求 保持文件化信息的要求 应保持范围的文件化信息 4.4.2 在必要的范围和程度上,组织应: a)保持形成文件的信息以支持过程运行; b)保留确信其过程按策划进行的形成文件的信息。 E4.4环境管理体系 组织应根据本标准的要求建立、实 施、保持并持续改进环境管理体系,包括所需的过程及其相互作用。 5.2方针 E6.1应对风险和机遇的措施 E6.1.1总则 E6.1.2环境因素 组织应建立、实施并保持满足6.1.1至6.1.4的要求所需的过程。 方针应作为文件化信息可获得并保持。 组织应保持: ——需要应对的风险和机遇的文件化信息; ——6.1.1至6.1.4中所需过程的文件化信息,其程度应足以确信这些过程按策划实施。 组织应保持: ——需要应对的风险和机遇的文件化信息; ——6.1.1至6.1.4中所需过程的文件化信息,其程度应足以确信这些过程按策划实施。 组织应建立、实施并保持满足6.1.1至6.1.4的要求所需的过程。 12
组织应保持以下内容的文件化信息: ——环境因素及相关环境影响; ——用于确定其重要环境因素的准则; ——重要环境因素。 E6.1.3合规义务 组织应建立、实施并保持满足6.1.1至6.1.4的要求所需的过程。 组织应保持: ——需要应对的风险和机遇的文件化信息; ——6.1.1至6.1.4中所需过程的文件化信息,其程度应足以确信这些过程按策划实施。 组织应保持其合规义务的文件化信息。 ——6.1.1至6.1.4中所需过程的文件化信息,其程度应足以确信这些过程按策划实施。 组织应保持有关目标的文件化信息。 组织应保留适当的形成文件的信息,作为监视和测量资源适合其用途的证据。 当不存在溯源标准时,应保留作为校准或检定(验证)依据的形成文件的信息 组织应保留适当的文件化信息作为能力的证据。 适当时,组织应保留文件化信息,作为其信息交流的证据。 组织的管理体系应包括: a)本标准要求的文件化信息; b)组织确定的实现管理体系有效性所必需的文件化信息。 e)在必要的范围和程度上,确定并保持、保留形成文件的信息 (注:8.5.1a)为“可获得形成文件的信息” 组织应保持必要的文件化信息,以确信过程已按策划得到实施。 组织应保持必要的文件化信息,以确信过程按策划予以实施。 8.2.3.2 适用时,组织应保留与下列方面有关的形成文件的信息: a)评审结果; b)产品和服务的新要求。 E6.1.4措施的策划 组织应建立、实施并保持满足6.1.1至6.1.4的要求所需的过程。 6.2.1目标 Q7.1.5 监视和测量资源 Q7.1.5.1总则 Q7.1.5.2 测量溯源 7.2能力 E7.4信息交流 E7.4.1总则 7.5文件化信息 7.5.1总则 Q8运行 Q8.1运行策划和控制 E8运行 E8.1运行策划和控制 E8.2应急准备和响应 Q8.2 产品和服务的要求 Q8.2.3 产品和服务要求的评审 Q8.3 产品和服务的设计和开发 Q8.3.1 总则 Q8.3.2 设计和开发策划
组织应建立、实施并保持与环境管理体系有关的内部与外部信息交流所需的过程 组织应建立、实施、控制并保持满足管理体系要求以及实施6.1和6.2所识别的措施所需的过程 组织应建立、实施并保持对6.1.1中识别的潜在紧急情况进行应急准备并做出响应所需的过程。 组织应建立、实施和保持适当的设计和开发过程,以确保后续的产品和服务的提供。 j)证实已经满足设计和开发要求所需的形成文件的信息。 13
Q8.3.3 设计和开发输入 Q8.3.4 设计和开发控制 Q8.3.5 设计和开发输出 Q8.3.6 设计和开发更改 组织应保留有关设计和开发输入的形成文件的信息。 f)保留这些活动的形成文件的信息。 组织应保留设计和开发输出的形成文件的信息。 组织应保留下列形成文件的信息: a)设计和开发更改; b)评审的结果; c)更改的授权; d)为防止不利影响而采取的措施。 确定外部供方的评价、选择、绩效监视以及再评价的准则,并加以实施。对于这些活动和由评价引发的任何必要的措施,组织应保留形成文件的信息。 a)可获得形成文件的信息,以规定以下内容: 1)所生产的产品、提供的服务或进行的活动的特性; 2)拟获得的结果。 当有可追溯要求时,组织应控制输出的唯一性标识,且应保留所需的形成文件的信息以实现可追溯。 若顾客或外部供方的财产发生丢失、损坏或发现不适用情况,组织应向顾客或外部供方报告,并保留相关形成文件的信息。 组织应保留形成文件的信息,包括有关更改评审结果、授权进行更改的人员以及根据评审所采取的必要措施。 组织应保留有关产品和服务放行的形成文件的信息。 8.7.2 组织应保留下列形成文件的信息,以: a)描述不合格; b)描述所采取的措施; c)描述获得的让步; d)识别处置不合格的授权。 组织应保留适当的文件化信息,作为监视、测量、分析和评价结果的证据。 组织应保留文件化信息,作为合规性评价结果的证据。 组织应保留文件化信息,作为审核方案实施和审核结果的证据。 Q8.4 外部提供的过程、产品和服务的控制 Q8.4.1 总则 Q8.5.1 生产和服务提供的控制 Q8.5.2 标识和可追溯性 Q8.5.3 顾客或外部供方的财产 Q8.5.6 更改控制 Q8.6 产品和服务的放行 Q8.7 不合格输出的控制 9.1监视、测量、分析和评价 9.1.1总则 E9.1.2合规性评价 组织应建立、实施并保持评价其合 规义务履行情况所需的过程。 9.2 内部审核 9.2.2 内部审核方案
组织应建立、实施并保持一个或多个内部审核方案 14
9.3管理评审 10.2不符合和纠正措施 组织应保留文件化信息,作为管理评审结果的证据。 组织应保留文件化信息作为下列事项的证据: ——不符合的性质和所采取的任何后续措施; ——任何纠正措施的结果。
(9)审核关注
1)过程可能形成也可能不形成文件,组织应当创建并保持充分的文件化信息,以确保实施适宜、充分和有效的管理体系。首要关注点应当放在管理体系的实施和管理体系绩效包括环境绩效,而非复杂的文件化信息控制系统。
2)除了2015版管理体系标准特定条款所要求的文件化信息外,组织可针对透明性、责任、连续性、一致性、培训,或易于审核等目的,选择创建附加的文件化信息。
3)应注意 “形成文件的程序”(如规定、控制或支持某一过程)已被2015版标准中“保持形成文件的信息”的要求所代替。同样, “记录”已被“保留形成文件的信息”的要求所代替。
4)新标准对审核员在审核过程中提出了更高要求。将从过去的单纯依赖于文件和记录的审核真正转换到基于“过程方法”的审核。审核时不能单一使用传统的“有文件吗?”“有记录吗?”等问答方式,而应更多地关注组织是否充分识别出了管理体系范围内的过程及其相互关系,从系统角度判断组织过程运行、尤其跨部门运行的过程的影响因素及其对应的风险控制措施实施效果,进而借助于过程地图等工具判断组织为确保其过程有效运行和监控所需的过程是否有必要形成文件。
4 对管理体系标准第4章“组织所处的的环境”的审核
4.1、理解组织及其所处的环境
1、如何理解组织及其所处的环境以确定问题和解决问题? (1)什么是组织环境?
1)组织环境是一个新概念,对其的理解至关重要。组织环境是指对组织建立和实现目标的方法有影响的内部和外部因素的组合。它不仅适用于营利性组织,同样适用于非营利性组织或公共服务组织。
2)构成组织环境的社会是一个由各个要素有机联系、功能高度分化的系统。组织要在环境中存在和活动,就必须适应环境特定的功能要求。环境系统决定着不同类型的组织的不同目标,组织与环境的关系状态还影响到目标的形成,因此组织环境具有综合性、复杂性和不确定性的特点。
(2)组织环境与组织目的是什么?
1)对组织环境的理解是一个过程,这个过程确定了影响组织的目的、目标和可持续性
15
的各种因素。它既需要考虑内部因素——例如:组织的价值观、文化、知识和绩效,也需要考虑外部因素——例如:法律的、技术的、竞争的、市场的、文化的、社会的和经济的环境。
2)组织的形成是为了实现某一特定目的,且该目的驱使着组织所做的每一件事。一个组织要想长期生存发展,自然应清楚地定位自己的社会角色和为社会能做的贡献。组织的目的可被表达为其愿景、使命、方针和目标。
——组织使命:使命是一个企业存在的目的和意义,或企业存在的理由,是企业存续发展对企业自身及社会的价值与意义;
——组织愿景:愿景是企业使命的形象化与具体化,由于社会分工的存在以及特定企业在资源及其察赋等方面的差异性与局限性,每个企业只能在特定的领域或方面以特定的方式来表达和实现其使命,从而表现为不同的企业愿景。
——企业战略目标:是企业在一定时期内,为完成企业使命及愿景所要达到的结果,也是衡量企业经营活动的标准。
(3)组织环境如何构成?组织环境可分为组织的外部环境和内部环境。 1)组织外部环境的构成
——经济环境(包括宏观经济和微观经济)。组织的宏观经济环境就是指在国家和地区的水平上给组织造成市场机会或环境威胁的社会力量;可理解为泛指一个国家的社会制度、执政党的性质、政府的方针、政策,以及国家制定的有关法律、法规等。组织必须明确其所在国家和政府目前禁止哪些事情,允许哪些事情以及鼓励哪些事情,从而使组织活动符合全社会利益并受到某些方面的保护和支持。组织的微观经济环境主要包括:所在地区消赞者水平、消费偏好、就业程度等。微观经济环境因素会直接决定企业目前及未来的市场规模。
——政治环境。政治环境就是指一个国家或地区在一定时期内的政治大背景。政治环境的好坏影响着宏观经济形势,从而也影响着组织的生产经营活动。政治环境分析的内容,如:我国提出了优化产业结构,转变经济增长方式,以信息化带动工业化,以工作化促进信息化,实施科教兴国战略筹。这一切都对企业生产经营活动有着决定性的影响,指导着企业正确地确定自己的经营方向、经营目标、经营方针、经营战略和策略。
——技术环境。社会科技的进步会促进了组织活动过程中物质条件的改善和技术水平的改进,从而使利用这些物质条件进行活动的组织取得更高的效率。技术环境对组织活动成果有着重要的影响。技术进步了,企业现有产品就可以被采用了新技术的竞争产品所取代。产品更新换代以后,组织现有的生产设施和工艺方法可能显得落后,生产作业人员的操作技能和知识结构可能不再符合要求。
——自然环境。通常是指组织所处地区的地理位置、自然资源的状况。我国地域辽阔,各地区自然条件和资源差异较大,沿海地区与内陆地区的经济发展条件和水平也完全不同。
2)组织内部环境的构成
16
——组织使命。组织使命是指该组织(作为一个子系统)在社会(大系统)中所处的地位、所起的作用、承担的义务以及扮演的角色。组织使命体现组织的根本目的;它既是反映外界社会对本组织的要求,又体现着组织的创办者或高层领导人的追求和抱负。
——组织资源。组织资源是组织拥有的,或者可以直接控制和运用的各种要素。这些要素既是组织运行和发展所必需的,又是通过管理活动的醌置整合,能够起到增值的作用、为组织及其成员带来利益的。
——组织文化(企业文化)。企业文化,或称组织文化,是一个组织由其价值观、信念、仪式、符号、处事方式等组成的、组织所特有的文化形象。文化是企业的灵魂,企业文化产生自然的影响力,牵制人的思想,驱动人的行为,是一种非制度的强大驱动力。
2、组织是否确定与其宗旨和战略相关并影响其实现管理体系预期结果的能力的外部和内部问题(因素)?是否对这些内部和外部问题(因素)的相关信息进行监视和评审?
(1)组织应理解内外部问题(包括正面和负面),这些问题可能会影响到管理体系达成期望结果的能力。
(2)组织应意识到这些内外部问题可能是不断变化的,因此应定期进行监控及评审与之相关的信息。监视和评审活动视需要随时可能发生,监视和评审活动可以包括:
——对来自与内部、外部的各类信息进行监视,以及信息的获取、分析和利用,例如国家和国际新闻、网站、国家统计部门和其它政府部门出版物、行业和技术出版物、本地和国家会议、行业协会等。
——针对基于组织环境分析所确定的解决方案进行评审。 ——评审的结果应可作为组织决策的输入。
(3)审核关注,理解组织所处的环境可用于其建立、实施、保持并持续改进其管理体系(见4.4),及对管理体系特定要求提供了必要的信息基础,例如:4.1所确定的内外部问题可能给组织或管理体系带来风险和机遇(见6.1.1至6.1.3),组织可从中确定那些需要应对和管理的风险和机遇(见6.1.4,6.2,7,8和9.1),确定管理体系范围(见4.3)、过程(见4.4)、方针(见5.2)等。
3、组织如何确定与其宗旨和战略相关并影响其实现管理体系预期结果的能力的外部和内部问题(因素)?有关活动和输出是什么?
(1)组织环境分析的方法
由于组织环境的确定影响组织的目的、目标和可持发展的各种因素。因此需要采用可行方法对内部因素(例如:组织的价值观、文化、知识和绩效)和外部因素(例如:法律的、技术的、竞争的、市场的、文化的、社会的和经济的)进行分析。
1)SWOT分析法
SWOT分析法是用来确定企业自身的竞争优势、竞争劣势、机会和威胁,从而将公司的战略与公司内部资源、外部环境有机地结合起来的一种科学的分析方法。SWOT分析方法从某种意义上来说隶属于企业内部分析方法,即根据企业自身的既定内在条件进行分析。由
17
于企业是一个整体,并且由于竞争优势来源的广泛性,所以,在做优劣势分析时必须从整个价值链的每个环节上,将企业与竞争对手做详细的对比。加产品是否新颖,制造工艺是否复杂,销售渠道是否畅通,以及价格是否具有竞争性等。如果一个企业在某一方面或几个方面的优势正是该行业企业应具备的关键成功要素,那么,该企业的综合竞争优势也许就强一些。
2)行业环境分析
行业是组织生存、发展的空间,也是对企业生产经营活动最直接产生影响的环境。组织开展行业环境分析具有更强的针对性:
——行业的经济特性是什么? ——行业中发挥作用的竞争力有哪些?
——行业中的变革驱动因素有哪些?它们有何影响? ——竞争地位最强和最弱的公司分别有哪些? ——决定成败的关键因素有哪些? ——行业吸引力是什么?
3)其他分析方法,如价值链分析组织还可以采用价值链分析、企业竞争态势分析等。 (2)对于组织环境的分析还可以有很多的方法,甚至包括组织多年形成的一种应对内外部环境变化的行之有效的方法和行动。对组织环境的分析其目的是确定解决方法,所以无论所选择的方法或简或繁,其考虑的方面至少会涉及:
——识别与认识机会与挑战;
——正确的认识与把握管理者的任务与目标; ——准确把握问题的现状与趋势; ——把握组织的条件和环境; ——明确解决问题的方向与思路。
(3)这些问题是组织的重要议题,也是需要探讨和讨论的问题,或是对组织实现其设定的管理体系预期结果的能力造成影响的变化着的情况。与组织所处的环境可能相关的内、外部问题示例如下:
1)外部的文化、社会、政治、法律、监管、财务、技术、经济、自然以及竞争环境,包括国际的、国内的、区域的和地方的;
2)组织内部特征或条件,例如:其活动、产品和服务、战略方向、文化与能力(即:人员、知识、过程、体系)。
3)特别的对于环境管理,与气候、空气质量、水质量、土地使用、现存污染、自然资源的可获得性、生物多 样性等相关的、可能影响组织目的或受组织环境因素影响的环境状况等。
(4)涉及的有关活动及输出
1)通常情况下,一个组织的经营管理活动与其所处的行业地位、市场份额、客户群、
18
发展时期等因素密切相关,由于组织环境的不确定性和受多因素影响的复杂性,客观上促使经营管理者会做出审慎的分析,并在此基础上做出经营管理的决策。
2)组织可以通过以下方式(或证据)显示相关活动的发生: ——企业的网站;
——新业务或新产品开发的可行性分析; ——企业的年度社会责任报告; ——企业的经营发展规划; ——年度或例行的行政工作报告;
——管理者经营生产分析、决策(通过对最高管理者审核或交谈)等。 (5)审核关注管理体系与组织环境的适宜性
1)新增加了4.1“理解组织及其环境”,完整地提出了对影响管理体系提供期望结果能力相关因素的理解、评审、确定的要求。过去在管理体系认证实践中涉及的体系“适宜性”时,无论企业和审核员都有云里雾里踩不到实地的感觉。新版标准至少提供了一种机制,使企业的管理体系能更好地融合于企业的经营活动和环境之中,为更好解决管理体系与企业经营管理的结合提供了一个途径。
2)在审核过程中也需考虑关注管理体系“适宜性”的问题,因为认证审核并未要求审核员直接评价管理体系是否“适宜”,而是要求审核员评价体系是否符合标准要求和有能力提供期望的结果。依据新版标准的要求,审核员将关注组织在评价和改进自身管理体系的适宜性方面,管理机制的存在和运行。新版标准的变化和所表述的管理概念和原理,有助于将审核的关注点调整到管理体系期望的结果上来。
4.2、理解相关方的需求和期望
1、组织是否确定与管理体系有关的相关方?
(1)由于相关方对组织持续提供符合顾客要求和适用法律法规要求的产品和服务、实现预期结果的能力具有影响或潜在影响,相关方的概念超越了仅关注顾客,这至关重要。新版标准首次明确提出理解相关方的需求和期望,过程的输入巳由原来的“顾客要求”变更为“顾客及其相关方的要求”。
(2)识别相关方是理解组织环境这一过程的组成部分。组织的生存,客观上离不开相关方,“共生”是永恒的自然生存法则。基于管理学对管理二重性的研究和认知,不难理解管理体系的建立和实施必须理解相关方与组织的关系,并将其管理纳入到企业的经营管理之中。这种有效的管理可以使组织在更大的范围内获益,其积极的影响对组织具有深远意义。
(3)相关方的识别和确定是一系列的活动,通过这些活动的开展,可系统有效地确定对组织质量管理体系存在影响或潜在影响的相关方。组织可能开展以下活动:
1)识别其与质量和环境管理有关的相关方(如:行业组织、工业集团、消费者的代表、获得认证的组织的客户等);
19
2)客观认识本组织相关方的要求,并用可行的方式回应它们表达的关注(如:产品安全告知书、对产品交付后有害物质处理的措施、产品质量投诉处理程序等);
3)承认相关方在关注的组织的管理体系方面的利益和合法权利; 4)认识到某些相关方能对组织的管理活动产生重大影响; 5)评估并考虑相关方接触、参与及影响本组织的相应能力;
6)甚至需要考虑可能受到某一决策影响的相关方的意见,即使它们在本组织的治理中暂时没有被正式视为相关方。
(4)组织使用“共生”法则确定相关性,如对组织绩效或决策的潜在影响或损坏;利益相关方产生风险及机遇的能力;被组织决策或活动影响的能力等。组织应将那些对管理体系有影响的各方判定为相关方,以下是一些潜在相关方的例子:
——顾客;
——最终用户或受益人; ——业主,股东; ——银行; ——外部供应商;
——雇员及其它为组织工作者; ——法律法规及监管机关; ——地方社区团体; ——非政府组织。 (5)审核关注:
1)各组织都有许多相关方。不同相关方有各种不同的利益,有时是相互竞争的利益。各相关方与组织可以有共同的利益,也可以有相互冲突的利益。例如,社区居民的利益可以包括一个企业的积极影响(比如就业).也可以包括一个企业的负面影响(比如污染)。
2)某些相关方是组织整体的某一部分。这可以包括该组织的成员或雇员,以及该组织的相关方或其他业主。应当承认,这些相关方在该组织的目的和成功中分享一种共同利益,而这并不意味着它们有关该组织的利益都是同样的。
3)某些相关方属于有组织的团体,它们有目的地向特定组织表述自己的利益。而另外一些利益相关方可能根本不是有组织的,正因为如此,他们才可能被忽略或无视。这个问题对于弱势群体可能显得特别重要。比如在食品安全的问题上,农药残留和重金属招标对于广大消费者而言,是无力从更专业和更量化的角度去阐述诉求的。
2、组织是否确定这些相关方的有关需求和期望(即要求)?是否确定这些需求和期望中哪些将成为其合规义务?是否对这些相关方及其要求的相关信息进行监视和评审?
(1)为了解相关方的需求及期望,组织可进行下列活动: 1)通过下列方式收集信息: ——头脑风暴;
20
——游说和网络; ——水平对比; ——主动调查;
——监视顾客和其他相关方需求、期望及满意。 2)通过以下方面建立确定相关性的准则: ——对组织绩效或决策的潜在影响或损害; ——利益相关方产生风险及机遇的能力; ——被组织决策或活动影响的能力。
3)组织利用所建立相关的准则,并利用该准则,判定利益相关方及其相关要求。 (2)组织应意识到各利益相关方及其要求可能是不断变化的,因此应定期进行监控及评审。
(3)相关方的要求会表现在很多方面,例如可包括: ——顾客对事物的要求,如符合性,价格,安全性; ——已与顾客或外部供应商达成的合同; ——行业规范及标准;
——许可,执照或其它授权形式; ——条约,公约及草案; ——和公共机构及顾客的协议; ——组织契约合同的承担义务。
(4)相关方的要求不一定是组织必需满足的要求。一些相关方的要求体现了强制性的需求和期望,因为这些需求和期望已被纳入法律、法规、规章、政府或甚至法庭判决的许可和授权中。组织可决定是否自愿接受或采纳相关方的其他需求和期望(例如:纳入合同关系或签署自愿性协议)。一旦组织采纳,这些需求和期望则成为组织的要求,即成为合规义务,并在策划环境管理体系(见4.4)时必须予以考虑。对组织合规义务更详细的分析见6.1.3。
(5)审核关注
1)8.2.2产品和服务要求的确定是4.2的特定要求。
2)组织对那些已确定与其有关的内外部相关方所明示的需求和期望有一个总体的(即高层次非细节性的)理解。组织在确定这些需求和期望中哪些他们必须满足或选择满足时,即合规义务(见6.1.3)时,需考虑其所获得的知识。
3)同4.1一样,理解相关方需求和期望可用于其建立、实施、保持并持续改进其管理体系(见4.4),及对管理体系特定要求提供了必要的信息基础,例如:4.1所确定的相关要求包括合规义务可能给组织或管理体系带来风险和机遇(见6.1.1至6.1.3),组织可从中确定那些需要应对和管理的风险和机遇(见6.1.4,6.2,7,8和9.1),确定管理体系范围(见4.3)、过程(见4.4)、方针(见5.2)等。
21
4.3、确定管理体系范围
1、组织是否确定管理体系的范围?
(1)组织在确定管理体系的边界和适用性,以界定其范围时,组织应考虑: 1)经营方针及战略,包括4.1和4.2中的问题和因素: ——相关的外部及内部事宜; ——可能影响管理体系的相关方要求。 2)产品及服务;
3)其组织单元、职能和物理边界;管理体系的基础设施,包括不同现场及活动; 4)其实施控制与施加影响的权限和能力,考虑外包、由外部供应的相关过程、产品和服务;
5)组织知识。
(2)为确定管理体系范围,应通过下列活动获取输入信息:
1)特别的对于质量管理体系,需评估对于标准要求的适应性,并对不适用的要求进行调整。如果质量管理体系标准的全部要求适用于组织确定的质量管理体系范围,组织应遵循本标准的全部要求。
2)特别的对于环境管理体系,环境管理体系的可信性取决于组织边界的选取。组织应运用生命周期观点考虑其对活动、产品和服务能够实施控制或施加影响的程度。范围的确定不应用来排除具有或可能具有重要环境因素的活动、产品、服务或设施,或规避其合规义务。范围是对在其环境管理体系边界内组织运行的、真实的并具代表性的阐述,且不应当对相关方造成误导。
3)基于已识别的事宜影响,组织能力,相关方及法律要求,对已收集信息进行分析; 4)确定为确保产品及服务一致性,以及提升顾客满意度和实现预期结果所需的过程、产品及服务。
(3)组织的管理体系范围应作为形成文件的信息,可获得(包括为相关方获取)并得到保持。形成文件的信息包括对不适用要求的理由说明,管理体系范围应描述所覆盖的产品和服务类型。
(4)审核关注
1)管理体系的范围旨在明确管理体系所适用的物理和组织边界,尤其是如果组织属于某大型组织的一部分时,组织可自主灵活地界定其边界。可选择在整个组织内实施本标准,或只在组织的特定部分实施,前提是该部分的最高管理者有权限建立管理体系。
2)根据4.1、4.2的新要求,已很难在管理体系范围中排除任何部门或过程。当然这并不意味着认证审核必须到达所有现场,因涉及证据收集完全可能在其他地点即可完成。在过去的工作实践中,常有在管理体系范围中忽略不直接构成组织订单处理和完戍业务循环组成部分的职能部门的现象,例如财务、行政、后期、公关、接单前的营销等。但在一个经营组织内不可能有与组织相关方无直接或间接关系的部门。
22
3)从审核实践出发,由于新版标准4.1、4.2以及第6章内容的增加,任一时期的审核活动对认证范围、审核范围、管理体系范围的关注都将更加强化。
2、组织是否合理的理解和应用质量管理体系“适用性”?
(1)“适用性”即:“组织可依据其规模和复杂程度、所采用的管理模式、活动领域以及所面临风险和机遇的性质,对相关要求的适用性进行评审”。这是新版标准变化的一个值得关注的方面。
(2)组织应深刻理解其用意,更加主动地思考与应用范围有关的各种情况,使其对标准要求的应用与组织的内、外部环境相适应。
(3)由于新版标准有关要求的变化,可能需重新考虑过去的一些习惯做法。例如,过去按顾客要求生产可构成排除产品设计开发要求的理由,而根据新版标准对设计开发的定义,只有不对最终产品(和服务)定义增添任何技术细节时,方可认为无产品设计开发活动;再如过去只要产品/服务中没有供应商提供的产品,即构成排除“采购”要求的理由,而新版标准8.4涉及外部提供的产品过程和服务,包括资源提供。因此很难有排除8.4要求的场合。
(4)实际上,组织按过程方法建立质量管理体系,只要能表达本组织相应过程确能保证实现管理体系期望的结果即可,不必要把很多精力用在寻找排除标准某条要求的理由上。组织大量存在的情况是:可能开展一个活动就能同时满足标准中几个条款的要求(如服务规范的制定),也可能要通过很多活动才能满足标准某一条款的要求(如工序控制)。证实纳入的合理性比证实排除的合理性更有意义,也更方便和具有价值。
(5)在确定标准的某个要求是否适用于组织时,可尝试回答下列问题来寻找答案: ——如果没有这个要求会出现什么问题? ——满足这个要求会增强顾客的信任吗?
——如果组织对这个要求不承担责任,那么谁对此负责?
——这是所要求的过程,但却外包给了第三方,组织的责任是什么? (6)审核关注,
1)组织是否合理、适宜地评估标准要求的适应性,并对不适用的要求进行调整。列明这些不适用要求不会影响达成产品或服务一致性的能力和责任。
2)如果组织确定质量管理体系标准的某些要求不适用于其质量管理体系范围,应说明理由。
3)如果质量管理体系标准的全部要求适用于组织确定的质量管理体系范围,组织应遵循标准的全部要求
4)除非组织所确定的不适用于其质量管理体系的标准要求不影响组织确保其产品和服务合格以及增强顾客满意的能力或责任,否则不能声称符合本标准要求。
4.4、管理体系及其过程建立、实施、保持和持续改进
23
4.4.1、管理体系及所需的过程的建立、实施、保持和改进 1、组织是否确定管理体系所需的过程及其在整个组织中的应用?
(1)确定管理体系所需的过程,特别是考虑其在组织中的应用,通过标准4.4.1a)—h)的识别和确定使得管理体系完全纳入组织的经营管理之中,例如:设计和开发、采购、人力资源、营销和市场等。
(2)组织应对于过程有清晰的认识,一个过程: ——是一组相互关联或相互作用的活动; ——将输入转为输出;
——通过对过程的控制和检查,促进绩效提升及改进推广。
(3)倡导组织在建立、实施管理体系以及提高其有效性时采用过程方法,通过满足顾客和相关方要求、因对风险和机遇而增强顾客满意、实现预期结果。
1)将相互关联的过程作为一个体系加以理解和管理,有助于组织有效和高效地实现其预期结果。这种方法使组织能够对体系过程之间相互关联和相互依赖的关系进行有效控制,以增强组织整体绩效。
2)过程方法包括按照组织的方针和战略方向,对各过程及其相互作用,系统地进行规定和管理,从而实现预期结果。可通过采用PDCA循环以及始终基于风险的思维,对过程和完整的体系进行管理,旨在有效利用机遇并防止发生非预期结果。
3)在管理体系中应用过程方法能够: ——理解并持续满足要求; ——从增值的角度考虑过程; ——获得有效的过程绩效;
——在评价数据和信息的基础上改进过程。
(4)应用过程方法通常包括过程的确定和过程的管理两个方面。
1)过程的确定。组织首先要结合管理的宗旨和顾客要求、适用的法律法规要求,确定组织的方针和目标;随后确定为实现方针和目标所需的过程、过程的顺序和相互关系;并确定负责过程的部门或人员以及必需的文件。
2)过程的管理(包括过程策划)。组织应对所确定的每一个过程实施管理。过程管理是在确定过程的输入和输出的基础上,进行过程策划包括确定所需的活动和资源、确定对过程和活动的监视和测量的要求;按确定的结果实施测量、监视和控制;对测量、监视和控制的结果进行分析,并识别改进过程的机会。
(4)审核关注
1)若管理体系标准针对组织内一个或多个特定部分实施,组织应采用其他部分制定的方针、过程和文件化信息来满足本标准的要求,只要它们适用于那个(些)特定部分(见4.3)。
2)对于环境管理体系,对确定过程更加予以明示强调,如6.1.1“组织应建立、实施
24
并保持满足6.1.1至6.1.4的要求所需的过程”等。
2、如何确定过程及这些过程所需的输入和期望的输出?
(1)首先要考虑4.1、4.2获得的知识,确定组织目的、管理宗旨,及识别其顾客和其他相关方以及他们的需求和期望,以确定组织的预定输出。可通过:
1)收集、分析、确定影响组织目的、宗旨和预期结果能力的内外部问题。
2)收集、分析和确定顾客和其他相关方的要求,和其他的需求与期望。经常与顾客和其他相关方沟通来确保持续了解他们的要求、需求与期望。
3)确定将要应用到组织内的质量管理、环境管理、职业健康与安全管理、商业风险、社会责任和其他管理体系学科的要求。
(2)根据这些要求、需求和期望,确立组织的方针和目标,可通过最高管理者决定组织应致力于哪些市场并制定相关的政策。然后管理者应根据这些方针,为预定的输出建立目标(即产品、环境绩效、职业健康与安全绩效)
(3)识别产生预定输出所需的所有过程。可通过确定取得预定输出所需的过程。这些过程包括管理、支持、资源、运行和评价与改进的过程。识别所有过程的输出和输入,加上供方、顾客和其他相关方(可能是内部的和外部的)。
(4)确定过程内的活动,即确定达到预定的过程输出所需的活动。 1)确定过程所要求的输入和输出。
2)确定将输入转变为所需要的输出所需要的活动。
3)确定和规定在过程中的活动的顺序和相互作用。确定每一活动将如何开展。 4)注意在某些情况下,顾客会规定过程实施的方法。
(5)审核关注,管理体系的建设是一项长期的工作。管理体系是一个不断发展的动态系统,组织及其管理体系具有应变能力以适应变化的环境。还需要认识到,不是所有的系统、过程和活动都可以被预先确定,因此,组织需要具有灵活性,以适应复杂的组织环境。
3、如何确定这些过程的顺序和相互作用?
(1)确定和制定过程网络和他们相互作用的描述,可考虑下列内容: ——每个过程的顾客; ——每个过程的输入和输出; ——哪些过程相互作用; ——接口和他们的特性是什么; ——相互作用的过程的时间安排和顺序; ——顺序的有效性和效率。
(2)可以使用例如模块图、矩阵和流程图等方法和工具来支持过程顺序和它们相互作用的确定。
4、(过程策划)如何确定和应用所需的准则和方法(包括监视、测量和相关绩效指标),以确保这些过程有效的运行和控制?
25
(1)确定和应用所需的准则和方法,包括应在何处和如何应用监视与测量。这应该是用于过程的控制和改进,以及对预定的过程输出而言。确定记录结果的需求。
(2)确定过程控制和过程绩效的测量和监视准则,以确定过程的有效性和效率,考虑下列的因素:
1)与要求的符合性;
2)顾客满意;供方绩效;交付及时; 3)订交货间的时间;故障率;废品; 4)过程费用;事故频次。
(3)审核关注:8.1运行的策划和控制是4.4的的特定要求。 5、(过程策划)是否确定这些过程所需的资源并确保其可用性? (1)确定每个过程有效运行所需的资源。 (2)资源的例子包括: 1)人力资源; 2)基础设施; 3)工作环境; 4)信息; 5)天然资源; 6)材料; 7)财政资源。
6、(过程策划)是否分派这些过程的职责和权限?
(1)确定过程的所有者、为每个过程分配职责和权限。管理者应确定确保每个过程和其相互作用的实施、保持和改进的个人的角色和责任。这样的一个人通常被称为“过程所有者”。
(2)为管理过程的相互作用,建立一支对所有过程有一个总体看法,并包括来自每个相互作用过程的代表的“过程管理团队”可能是很有用的。
(3)审核关注增加了“规定与这些过程相关的责任和权限”的要求。ISO文件N544将确定过程所有者作为识别过程的一项主要内容。所谓“过程所有者”,为“确保每个过程和其相互作用的实施、保持和改进”的人员。在过程管理中经常涉及跨部门或多部门协调的工作,因此在过程管理活动中,确定过程所有者及其作用和权责通常是成功过程管理的基本条件。另外,新版标准管理原则中“全员参与”突出整个组织内各级人员的胜任、授权和参与,这是提高组织创造和提供价值能力的必要条件。
7、(过程策划)是否应对按照6.1的要求所确定的风险和机遇?
(1)新版标准增加了“应按照6.1的要求确定风险和机遇”的要求。这对管理并非全新课题。管理科学很多工具本来就是处理有不确定性影响的对象,包括过程结果和影响过程结果的因素。只是过去常用“不合格”“缺陷”“偏差”等字样来描述“与期望的偏离”(IS0
26
9000术语“风险”中关于“影响”的注解)。因此,除典型工具DFMEA、PFMEA外,很多质量工具,特别是处理质地波动的工具,本质上都是该过程的风险应对措施。
(2)审核关注结合6.1“在管理体系过程中整合并实施风险和机遇应对措施(见4.4)、评价这些措施的有效性”。审核员可以对所评估过程的风险应对措施证据(包括文件化信息)为出发点,了解组织风险认识和评估的信息,对6.1要求的满足情况作出判断或补充。
8、是否评价这些过程,实施所需的变更,以确保实现这些过程的预期结果? (1)按策划实施过程和它们的活动。组织对过程实施的策划包括但不限于: ——沟通; ——意识; ——培训; ——变更管理; ——管理层参与;
——适用的评审活动,实施测量、监视、控制和评价。
(2)对照过程所确定和应用所需的准则和方法(包括监视、测量和相关绩效指标),评价和验证过程和它的活动,确认过程的特性和它的活动与组织的目的是一致的,验证在 所识别的所有要求和预期结果得到满足。如果不是的话,考虑需要什么额外的过程活动,对过程和过程活动重新或在确定、实施所需的变更,对过程加以改进。
(3)对组织管理体系变更管理见6.3。 9、是否改进过程和管理体系? (1)对过程进行分析
1)评价从监视和测量所获得的过程数据,来量化过程绩效。必要时,使用统计的方法。 2)将过程绩效测量的结果与所确定的过程要求比较,以确认过程的有效性、效率和任何纠正措施的需求。
3)根据过程绩效数据来识别过程改进的机会。 4)适当时,向最高管理者报告过程绩效。 (2)对过程进行改进
1)应确定实施纠正措施的方法,以消除问题(例如错误、缺陷、缺少适当的过程控制)的根本原因。实施纠正措施并验证它的有效性。
2)一旦达到策划的过程要求,组织应持续地把努力集中在把过程绩效改进到更高水平的行动上。
3)应规定和实施改进的方法(例如过程的简化、增加效率、改进有效性、降低过程的周期时间等例子)。验证改进的有效性。
4)可以使用风险分析工具来识别潜在问题。这些潜在问题的根本原因也应得到识别和纠正,避免在具有所识别的类似风险的所有过程中出现。
4.4.2、过程的文件化信息确定、保持或保留
27
1、组织如何确定、保持或保留过程的文件化信息? (1)确定那些要形成文件的过程和如何形成文件。
(2)过程存在于组织内部,且最初的方法应限定于以最适当的方式识别和管理它们。没有必须形成文件的过程“目录”或清单。形成文件的主要目的是使各过程始终如一和稳定地运行。
(3)组织应根据下面的因素来确定哪些过程要形成文件: 1)组织的规模和活动的类型; 2)其过程的复杂性和它们的相互作用; 3)过程的重要性和具有能力人员的可得性。
(4)当必须把过程形成文件时,可使用很多不同的方法,如。
(5)超出控制过程运行所需的额外文件化信息需求可能取决于管理体系标准所列要求之外的其它要求,例如顾客强制性要求和组织特定要求。
(6)组织开展的管理实践活动的典型输出可能包括:图形表示法、书面指导书、书面程序、检查清单、流程图、工作指导书、手册、指南、表格、记录、标准样品、视觉媒体、或电子的方法如网站/内网、数据服务器、软件等。
(7)审核关注
1)新版标准仍对过程维持和保留形成文件的信息提出了要求,不再有“将其形成文件”的要求,可以理解为新版标准前版标准笼统文件化的一种合理修正。关于形成文件信息要求关注见7.5。
5 对管理体系标准第5章“领导作用”的审核
5.1、领导作用和承诺
5.1.1、对领导作用和承诺的总要求 1、如何证实领导作用和承诺?
(1)为了证明领导作用和承诺,最高管理者负有管理体系有关的特定职责,应当亲自参与或进行指导。最高管理者可向他人委派这些行动的职责,但有责任确保这些行动得到实施。获取审核证据至少包括与最高领导者交谈或审核,汇总评价,包括对最高领导者:
——行为、态度和决定之间的一致性; ——日常的态度; ——以身作则; ——有效的内部沟通; ——书面承诺;
——管理体系绩效结果。
(2)最高管理者的领导作用是整体管理体系建立、实施、监视与测量以及持续改进其有效性的基本必要条件。
28
(3)最高管理者可以证实其领导作用和对管理体系的承诺的有10个方面,审核关注以下5个方面属于新的要求:
1)最高管理者应为管理体系的有效性承担责任; 2)最高管理者应确保管理体系与组织的业务过程整合; 3)最高管理者应促进过程方法的使用和基于风险的思维; 4)最高管理者应确保管理体系实现其预期的结果;
5)支持其他相关管理角色以证实其在其职责范围内的领导作用。
(4)针对这10个方面要求,审核时应如何获得审核证据?整齐划一的审核方式是不合适甚至是不存在的,但应具备以下几个前提条件:
1)对于标准要求有透彻的理解;
2)理解受审核方的产品和服务的性质并具备相关知识; 3)理解受审核方的管理文化; 4)理解受审核方经营的内外部环境; 5)熟悉主流的风险管理方法;
6)理解、认同并身体力行审核员行为准则; 7)有意愿通过提供认证审核服务为客户增加价值。
(5)获取审核证据的渠道和方式并不唯一,但通过与最高管理者的交谈,听取最高管理者对于如何实践领导作用和承诺的直接解释是不可缺少的途径。审核不应机械地按条款顺序逐条审核,而是应该在理解标准的基础上灵活运用过程方法。
2、最高管理者是否为管理体系的有效性承担责任?
(1)强调最高管理者应对管理体系的有效性承担责任。因为最高管理者是在组织的最高层具有决策权的人员,他们负责建立组织统一的目的和方向,确定组织的愿景和战略。与此相关的最高管理者的决策过程的输出,就是方针和目标制定过程的输入。正是最高管理者的决策决定了组织管理体系的策略、方向和评价指标体系。
(2)审核时应通过与最高管理者的沟通,了解最高管理者在管理体系中的主管职责分工、质量和环境责任分担机制。审核中应关注,各管理者在管理体系所担当的岗位和职责得到明确定义,以及与其岗位和职责相适应的权限配置,这是其承担责任的前提。各管理者按其岗位和职责分工在管理体系的建立、实施、保持与持续改进中主动行使权限,是其承担责任的保证。
3、是否确保建立方针和目标?是否确保其与组织的战略方向和所处的环境相一致? (1)最高管理者负责确定组织特定时期的战略方向。审核时结合4.1、4.2、6.1,与最高管理者沟通,了解组织特定时期的战略方向,了解和判断最高管理者如何基于风险的思维,对组织经营的外部政治、经济、社会环境因素(如采用PESTEL分析模型,即对于组织经营环境的政治因素、经济因素、社会因素、技术因素、环境因索、法律因素进行综合分析的宏观环境分析工具),以及组织管理文化、员工素质、组织的过程、产品和承诺服务
29
的性质等内部环境因素进行分析,评价其对组织实现其战略方向的影响、存在的风险与机会。
(2)通过审核沟通应了解,最高管理者如何通过合理组织和充分沟通,确保建立与组织战略方向一致并与组织环境相一致的方针,并与组织的过程、产品和服务相关的职能和层次上,建立与方针相一致的目标。
(3)审核时结合5.2、6.2,特别应予以关注:
1)方针的建立,应能够体现组织在其经营的内外部环境因素的背景下其对过程、产品和服务的质量和环境方面的追求,并能够支持组织实现其战略方向;
2)目标的建立,应遵从方针和SMART原则,应体现组织的过程、产品和服务的质量特性和环境影响满足要求方面的内容。
4、是否确保将管理体系要求融入组织的业务过程、与组织的业务整合?
(1)最高管理者应指挥和控制组织管理体系的设计,使其以业务需求为驱动,以实现期望的业务结果、满足顾客及相关方要求和法律法规要求为导向,体现组织业务生命周期过程的性质和特点。审核时应通过与最高管理者沟通,了解组织管理体系的设计的总体宗旨与要求。
(2)组织业务过程自动化程度不同时,其管理体系的设计也应不同,这种差异将体现在各过程的输入输出呈现形式的差异以及控制方式的差异等方面。组织面向不同类型客户对是否涉及使用者健康和安全、是否涉及地区性环境安全等,其管理体系设计的差异将体现在客户对质量和环境需求的水平和等级、质量和环境需求的获取、沟通与传递方式、质量和环境需求满足程度的验证方法和机制等方面。
(3)最高管理者应将管理体系能否与业务整合作为评价管理体系设计效果的准则。管理体系的设计,应能够提升组织实现其期望的业务结果的有效性和效率,能够保持管理体系运行的持续一致性,并具有良好的健壮性和自我改进能力。
(4)审核关注,结合4.4、6.1.2、6.2、9.3等审核,通过对受审核方管理体系过程的输入输出的相关证据的评审,综合分析、评价判断组织管理体系与组织业务整合的程度。
5、是否促进过程方法和基于风险的思维的使用?
(1)结合6.1,审核时应与最高管理者沟通其如何实践基于风险的思维,使组织能够以更敏捷、更具有弹性、更具有可持续性的方式适应现代社会的环境和未来发展需求。
(2)最高管理者是否采取措施,帮助员工学习和掌握过程方法应用的知识、技能和工具,学习和掌握风险管理的原理、知识、技能和工具,将过程方法的使用和风险识别与管理系统性地融人管理体系的结构化设计中,不断推行风险意识教育,使过程方法的应用和基于风险的思维成为员工的普遍工作习惯,成为组织的管理文化的有机构成部分。
(3)关于风险评估工具的使用,审核时可关注组织是否应用波特五力(即供应商的议价能力、购买者的议价能力、潜在竞争者进人的能力、替代品的替代能力、行业内竞争者现在的竞争能力)分析模型、PESTEL分析模型、SWOT(即优势、劣势、机会和威胁)分析
30
模型等。但需注意不要求组织使用正式的风险管理框架来识别风险和机遇,组织可以选择适合他们的方式来识别风险和机遇。
6、是否确保可获得管理体系所需的资源?
(1)结合7.1,审核时应与最高管理者沟通以下方面的事项:
1)组织管理体系运行所需的资源的类型、程度或量的需求以怎样的机制得到充分识别; 2)如何根据风险评估和识别机会的结果,针对实现期望的业务结果、实现方针和目标的需求,确定资源保障的优先顺序和阈值,确定提供资源的途径、维护资源可用性的搜术和方法。必要时,应考虑关键资源和/或瓶颈资源的冗余配置以及应急预案,以确保管理体系有效运行;
3)资源提供与维护的常态过程。
(2)审核时还应关注所需的资源的类型、程度或数量与组织的产品和服务的性质以及过程的复杂程度的关系,以及组织风险管理过程中对于资源的可用性与连续性的考虑。
7、是否就有效管理的重要性和符合管理体系要求的重要性进行沟通?
(1)关于管理体系的符合性和有效性以及满足要求的重要性的沟通,结合7.4审核时既应关注常态机制,也应关注与专项主题、非预期情景、紧急或突发情景下的沟通机制,并关注沟通结果和后续措施。
(2)最高管理者应确保以下方面的事项:
1)管理体系过程接口设计合理并得到执行,符合管理体系要求应作为各管理体系过程的运行准则予以定义和执行。
2)与管理体系有效性和符合管理体系要求的有关事务的权限及报告关系得到清晰明确的定义。
3)针对特定时期、特定范围的管理体系事务能够定期在规定范围内得到沟通、识别问题,就改进措施进行有效决策。
4)针对非预期情景、紧急或突发情况有应急沟通机制。 8、是否确保管理体系实现其预期的结果?
(1)建立适合于组织战略发展方向的管理体系,这首先应是最高管理者的认知。审核关注管理体系PDCA的运行有效性和绩效,综合汇总、评价。
(2)管理体系的设计应适合于组织实现产品和服务的符合性、提升管理体系绩效包括环境绩效、实现业务结果和目标、满足顾客要求和合规要求的目的,审核时应关注最高管理者如何确保管理体系的关键过程、重要过程都得到有效运行,以及是否建立了有效的机制,监视、测量、改进管理体系的绩效,确保其能够持续地实现其期望的结果。
(3)审核时还应与最高管理者沟通的事项是,当组织的内外部环境发生变化时,最高管理者如何确保及时针对变化识别风险和机会,并根据风险评估的结果对管理体系进行必要的更新。
(4)组织用以评价其管理体系绩效的准则或指标体系,是否充分体现了组织经营战略
31
拟实现的预期结果,且在组织自身的绩效监视测量中予以应用,这一点非常重要。
9、是否指导并支持员工对管理体系的有效性做出贡献?
(1)最高管理者应按照管理体系过程的性质和特点,合理设计和配置岗位,应确保人员能力与岗位住务职责的适宜性,对于关键岗位、重要岗位,尤其应确保人员的知识、技能、意识或对于满足要求的重要性的认知与其岗位职责相适宜。
(2)结合5.3,审核时应关注最高管理者如何确保明确定义人员岗位职责以及相关的质量和环境责任,并确保相应岗位人员知晓。
(3)结合7.2、7.3、7.4,审核时还应关注最高管理者如何建立有效的机制,为人员的工作提供充分必要的知识与技能方面的指导,和/或培训、技术、工具等资源方面的支持,帮助人员在其工作中为管理体系有效性做出贡献。最高管理者还应在组织中建立良好的环境和机制,使人员愿意为质量管理体系的有效性做出贡献。
10、是否促进改进包括持续改进?
(1)最高管理者应确保改进过程是组织管理体系中的有效构成部分,该过程应至少包含以下活动:
1)改进机会的识别;
2)改进优先顺序的判断和决策; 3)改进目标的确定; 4)改进措施的选择和决策; 5)改进效果的跟踪和评价。
(2)最高管理者应为改进过程的有效执行提供充分必要的支持。
(3)结合对第9、10章审核,关注过程方法在组织改进中的应用以及改进工具的有效使用。
11、是否支持其他相关管理人员在其职责范围内证实其领导作用?
(1)各管理岗位在其职责范围内的领导作用,是管理体系能够在该范围内得到保持和持续改进的基本必要条件。各个组织单元范围内的管理体系的有效运行,是组织整体管理体系有效性的充分条件。
(2)审核时应关注其他管理岗位在其职责范围内的质量和环境责任是否清晰明确,是否与其岗位和职责相适应,以及最高管理者如何为其它管理岗位在其职责范围内发挥领导作用给予充分必要的授权,提供充分必要的资源,包括技术支持资源等。
5.1.2、以顾客为关注焦点
1、最高管理者如何证实其以顾客为关注焦点的领导作用和承诺? (1)组织确定和理解顾客要求及适用的法规要求,可考虑: ——法律法规要求及顾客需求;
——技术及法律法规要求的调查与研究结果; ——水平对比的数据;
32
——市场趋势、统计及预测信息; ——质量工具的应用结果;
——顾客满意信息的监视结果(见9.1.2)。
(2)针对上述要求的信息,进行理解、转化的活动包括: ——在确定顾客要求和达成共识方面与顾客进行双向沟通; ——将组织目标与顾客需求及期望关联起来; ——在组织中沟通顾客需求及期望;
——对顾客满意信息的监视结果进行分析,并采取适当措施; ——确定对产品和服务符合性或顾客满意有影响的风险和机会。
(3)上述活动的输出可以是,组织在考虑了风险和机会的基础上进行决策和制定相应措施,如建立或修订方针、行动准则,进行资源配置等,以确保增强顾客满意。
(4)最高管理者需要确保与已确定的风险和机会相适应的措施都得到了实施,并实现期望结果。如未达到,需进行PDCA管理循环以确保为进一步改进分配相应职责,直到满足顾客需求及期望。
(5)审核关注:
1)审核时应与最高管理者沟通,了解组织的质量文化,了解组织是否将以顾客为关注焦点、实现满足顾客要求和法律法规要求、向顾客交付价值,实现期望的业务结果,作为管理体系的核心导向。
2)围绕以顾客为关注焦点,按照新要求——即基于风险的思维方法,识别影响产品和服务符合性及顾客满意的风险和机会,并予以处理。
3)审核时应特别关注的是,组织建立的识别风险与机会的过程和/或程序方法,是否能够识别在产品和服务的全生命周期过程中所有影响产品和服务的符合性、影响组织增强顾客满意的能力的风险源,是否能够评估这些风险、评价其中的机会,是否能够依据风险评估的结果,评估、决策和实施需耍的措施,以解决风险或利用机会,使产品和服务符合要求并增强顾客满意。
4)最高管理者应在组织中培育意识和环境、建立过程,使组织的各相关职能/岗位能够主动地关注、识别和理解顾客当前的需求以及未来的期望,及时了解政治、经济、社会、技术的发展趋势对顾客需求和期望的影响,及时了解顾客需求和期望的变化,并能够以敏捷、高效的方式及时对顾客需求和期望的变化做出响应。
5.2、方针的建立、实施和保持
1、最高管理者是否制定、实施和保持方针?
(1)方针的建立,是否能够体现组织在其经营的内外部环境因素的背景下其对过程、产品和服务在质量和环境方面的意图和追求,并能够支持组织实现其战略方向。
(2)方针是否能使组织能够制定其目标(见6.2),采取措施满足要求、实现管理体系的预期结果,并实现持续改进(见10)
33
(3)特别的对于环境管理体系:
1)关注并评价保护环境的承诺。保护环境的承诺不仅是通过污染预防防止有害的环境影响,还要保护自然环境免遭因组织的活动、产品和服务而导致的危害与退化。组织追求的特定承诺应当与其所处的环境,包括当地的或地区的环境状况相关。这些承诺可能提及,例如:水质量、再循环或空气质量的问题,并可能包括与减缓和适应气候变化、保护生物多样性与生态系统,以及环境修复相关的承诺。
2)关注并评价组织履行其合规义务的承诺,尤其是满足适用法律法规要求的承诺。审核组可跟踪并评价:
——确定合规义务;
——确保按照这些合规义务实施运行; ——评价合规义务的履行情况; ——纠正不符合。
(4)可考虑下列输入以建立方针:
——基于组织使命、愿景、指导原则及核心价值观建立的战略方向; ——组织活动、产品和服务的性质、规模和环境影响; ——组织成功所需的改进程度及类型; ——期望或渴望达到的顾客满意度; ——利益相关方的需求及期望; ——实现预计结果所需资源; ——利益相关方的潜在贡献。
(5)审核关注建立、实施和保持方针所需开展的活动,应能够确定以下事项: 1)最高管理者是否依据明确的组织的战略方向,充分考虑影响组织运营的内部、外部的环境因素,考虑顾客要求、法律法规要求、各利益相关方的需求和期望,针对组织的过程、产品和服务的性质、特点和环境影响,在识别了风险和机会的基础上,建立方针。
2)组织的宗旨、环境,以及(适用时)组织使命、愿景、指导原则及价值观之间的任何不一致;
3)方针应为建立目标提供的框架是什么?拟实现的目标应如何表述?将使用什么准则来评价目标是否实现?
4)如何证实满足要求的承诺得到履行(如通过阶段评审、验证及确认等); 5)能够用来证实组织履行其持续改进承诺的绩效度量及分析。 2、组织对所制定的方针管理如何管理?
(1)是否保持文件化信息?方针文件可根据组织的管理习惯考虑以任何介质和方式发布,包括纸介质、电子版、网络共享平台等,并针对这些不同的发布方式,考虑和安排获取方针文件的适宜途径和方法。例如,当以纸介质或其它物理介质形式发布时,考虑和安排文件分发的对象、场所;当以电子版方式发布时,考虑文件分发对象的发放路径的可用
34
性,如电子邮箱;当以网络共享平台发布时,应考虑和安排文件分发对象的访问权限和访问手段。
(2)是否在组织内得到沟通?审核时应特别关注,对于方针所表达的意图和方向,组织应有统一、受控的解释,但该“解释”是否形成文件,取决于组织的管理习惯。正式的质量方针及其解释需要传达到所有在组织控制下工作、代表组织工作、影响管理体系绩效的人员应安排适宜的培训和教育活动,使质虽方针在组织内得到普遍一致的理解,并确保所有相关人员在其工作中主动应用方针中所阐述的原则。
(3)是否可为相关方获取?审核时应关注,对于那些影响或可能影响组织的管理体系、或其感知会受组织管理体系影响的利益相关方(如顾客、供方等其他相关方),组织如何以适当的方式,使这些利益相关方可获得组织的质量方针,如考虑正式或非正式发放,采用物理介质或电子方式传输等。
5.3、对组织的岗位、职责和权限进行分配、沟通和理解
1、对组织的岗位、职责和权限进行分配、沟通和理解的输入或依据、方法是什么? (1)输入或依据可包括: ——已定义的过程及组织架构图;
——人员能力方面,需确保分配的职责和所需能力保持一致;
——可用资源方面,主要考虑人力资源,但仍需要考虑会影响责任分配的资源; ——组织方针、内部规则、岗位描述、工作指南等,来确保已分配职责和相关文件化信息的一致性;
——法律法规要求、职业道德规范及必需的资格,来确保相关要求和职责分配相匹配: ——通过绩效目标及评估结果,来确保合适人员履行对实现预期绩效水平的承诺; ——组织所用的其它管理体系以确保不同管理体系之间的职责分配保持一致。 (2)结合4.4.1“分派这些过程的职责和权限”,对于每个过程的分工和职责都需要确定(见4.4.1)。可考虑通过一些活动来定义组织岗位、职责和权限(见4.4)。例如流程分析与梳理、流程再造等,及人力资源管理的岗位分析、对实际绩效评价结果和计划结果的分析,以及对岗位描述及支持文档信息的创建和修订,但需注意前者和后者的出发点有差异。
(3)识别的特定岗位和职责可分派给某一个人,有时被称为“管理者代表”,但这不是新版标准特定要求,也可由几个人分担,或分派给最高管理层的某成员。
(4)对于岗位、职责和权限分配输出进行内部沟通(见7.4)。 (5)审核关注:
1)新的一个显著的变化是,不再提及“管理者代表”这一特定岗位。在以往的管理体系实践中,很多情况下“管理者代表”被理解为“管理者”的“代表”,可代表管理者行使管理职责和权限,从而使最高管理者在管理体系中的职责成为虚设。新版标准很好地解决了这一误解。
35
2、最高管理者是否确保组织内相关岗位的职责、权限得到分派、沟通和理解? (1)最高管理者是否分派职责和权限,以: 1)确保管理体系符合管理体系标准的要求; 2)确保各过程获得其预期输出;
3)报告管理体系的绩效包括环境绩效及其改进机会(见10.1),特别是向最高管理者报告;
4)确保在整个组织推动以顾客为关注焦点;
5)确保在策划和实施质量管理体系变更时保持其完整性。 (2)审核关注
1)组织内相关岗位的职责、权限得到分派、沟通和理解的目的旨在5个“确保”,其中“确保各过程获得其预期输出”是提出的新要求,体现了更关注结果的意图。
2)最高管理者应确保以适合于组织实现其期望的业务结果、满足顾客要求和适用法律法规要求为目的,来确定岗位、职责和权限。审核时应并关注:
——岗位、职责的划分是否适合于组织的管理文化?
——岗位、职责的划分是否考虑了其产品和服务的生命周期全过程?是否适合于其过程、产品和服务的性质和特点?
——是否为其质量管理体系过程设计的岗位、职责赋予了清晰定义? ——职责的指派与岗位是否相适应?
——对于各岗位授权的范围和程度是否适合于相应人员完成其所担当角色的职责所需?
3)审核时还应关注,最高管理者有责任确保这些已定义的岗位和职责分配到具体的人员。对于过程较为复杂、规模较大的组织,可能会有某一岗位由多人承担的情况。反之,在较小型、过程较为简单的组织,可能会有某个人员担当多种岗位的情况。另一种情景是,在信息和自动化技术应用程度较高的组织,也会存在使用很少的人员完成多种岗位任务的情况。
4)审核时应关注,对于向具体人员分配岗位和职责时,最高管理者是否确保授予人员与其岗位和职责相适应的权限,授权的程度应足以使人员按规定要求完成其职责范围内的任务,同时不应超越其完成任务所需的权限。应避免因授权不足或授权混乱而造成各过程不能按规定要求交付预期的输出的情况。
5)审核时还应关注谁(可以是管理者代表)负责向最高管理者报告管理体系的绩效和改进的机会。这一岗位和职责应明确定义、指派到具体人员。该岗位为完成其职责,应被授权可获得和访问管理体系各过程的绩效信息和数据。这些信息和数据须来源于每一个管理体系过程单元,可通过已定义的岗位、职责、权限和报告关系逐级汇聚,也可通过大数据分析等技术的应用以更智能、更便利的方式获取。
6)审核时还应关注在全组织范围负责促进以顾客为关注焦点的意识的岗位和职责的指
36
派。该岗位应被授权可获得和访问关于组织管理体系各过程对于顾客需求和期望的反应的敏捷性和有效性方面的信息和数据,分析其中的风险和机会以及教训,分析改进的合理优先顺序,将相应的改进决策反馈至各管理体系过程,促使决策实际得到执行。
7)审核时还应关注负责管理体系的变更事项的岗位和职责的指派。该岗位的职责应包括对管理体系的变更进行控制和管理的所有相关活动。变更的提出可源于产品和服务的技术改进措施的执行、过程模式改进措施的执行、以及纠正和预防措施的执行。该岗位应被授权可实行或组织实行针对变更的风险评估活动,包括评估变更可能带来的与现有的正在运行中的过程活动酌冲突、变更可能带来的阶梯效应(正面的以及负面的)等。
8)关于变更的控制,审核时还应关注,所有的变更在实施前都须得到批准。对于重大变更,应在实施前针对风险制定必要的应急预案。在某些情况下,变更的实施可能需要较长一段时期才能完成。负责控制变更的岗位应被授权组织或跟踪对变更的部署的进展,在发现不利情况时,及时调整部署计划。该岗位应被授权在变更实施完成后的特定时期内,实行或组织实行对变更实施效果以及对业务过程的影响的评审。
3、对岗位、职责和权限的分配和沟通、理解的输出是什么? (1)分配和沟通岗位、职责和权限的输出可能包括:
——必要的文件化信息,例如岗位描述、工作指南、手册、程序等; ——培训需求; ——口头指导;
——针对设施/设备的约束性使用条件配备必要的技术手段; ——对处理过程运行中的信息的必要控制,或数据访问限制。
(2)一个组织岗位、职责和权限的定义和指派方式,和该组织的管理模式和文化密切相关,这些因素决定一个组织的组织结构。常见的组织结构包括直线制、职能制、直线职能制、事业部制、超事业部制、矩阵制结构等,审核时应关注这几种类型的组织结构对于组织的文化、管理体系的设计及运行有效性的影响。
(3)对于岗位、职责、权限的定义既应包括各级管理层,也应包括执行层;既应包括组织、管理与协调活动相关的岗位和职责,也应包括各类任务的执行活动相关的岗位和职责。各岗位和职责的定义应适合于确保各过程交付预期的输出的目的,而且是充分的和必要的。
(4)审核时应特别关注组织每一过程的岗位、职责和权限三个要素的协调一致性。组织的岗位、职责和权限的定义和指派的呈现形式的实例包括组织结构图与“岗位、职责和权限报告关系说明书”“岗位、职责和权限矩阵”等。
6 对管理体系标准“策划”的审核
6.1、应对风险和机遇的措施
6.1.1、应对风险和机遇的措施总要求
37
1、在策划管理体系时,组织是否考虑4.1、4.2、4.3及所确定需要应对的风险和机遇,以确保管理体系能够实现其预期结果、增强有利影响及避免或减少不利影响、实现改进?
(1)在建立管理体系时,组织应识别出希望达到的目标和期望的结果。在策划过程中,组织需了解可能影响这些目标和期望结果的因素,其中可包括对相关风险和机遇的识别,并应考虑外部、内部环境,以及利益相关方对管理体系达成其目标结果的影响。在识别利益相关方的需求时,可以识别和确定管理体系的风险与机遇。在识别风险和机遇时,组织可关注提升正面效果,创造新机会并预防或降低不良效应(预防措施)。此即采纳“基于风险的思维”。
(2)组织可利用机遇,尤其是那些具有战略和竞争意义的机遇,预防或减轻有害影响,增强有益影响。通过将质量和环境管理融入到组织的业务过程、战略方向和决策制定过程,与其他业务的优先项相协调,并将质量和环境管理纳入组织的整体管理体系中,组织就能够有效地应对其风险和机遇。
(3)审核关注:
1)相较于2008版是新增加的要求,强调了组织应基于风险的思维和方法进行管理体系策划,围绕组织所识别的管理体系中的所有业务流程、管理流程和支持流程加以应用,并尽可能嵌入到组织的所有流程中。
2)“预防措施”这一概念通过“基于风险的思维”进行了表述。6.1.1至6.1.4的要求,继续了业务与体系管理与策划的“无缝衔接”。
3)所有类型和规模的组织在卖现其目标和预期结果的经营活动中,都面临内部和外部(见4.1、4.2、4.3)、使组织不能确定是否及何时实现其目标和预期结果的各种因素和影响。这些事件发生的概率及其影响程度是无法事先准确或相对准确预知的。这些事件将对经营活动产生影响,从而影响组织目标和预期结果实现。这种在一定环境下和一定限期内客观存在的、影响组织目标和预期结果实现的各种不确定性因素就是风险。所谓机遇就是对组织有利的时机、境遇、条件、环境。
2、组织是否建立、实施并保持所需的过程,确定与环境因素(见6.1.2)、合规义务(见6.1.3)、4.1和4.2中识别的相关因素(问题)和要求相关的需要应对的风险和机遇?组织是否确定其管理体系范围内的潜在紧急情况,特别是那些可能具有环境影响的潜在紧急情况?
(1)6.1.1至6.1.4建立过程的总体目的在于确保组织能够实现其管理体系的预期结果,预防或减少非预期影响以实现持续改进。组织可通过确定其需要应对的风险和机遇,策划措施进行处理来确保实现。这些风险和机遇可能与环境因素(见6.1.2)、合规义务(见6.1.3),4.1和4.2识别的其他问题或其他相关方的需求和期望有关。
(2)基于4.1、4.2,组织存在很多类型的风险
1)从来源上分为内部风险(包括经营风险、资产风险、财务风险和行为风险)和外部风险(包括行业风险、市场风险、项目风险、政策风险和股市风险);
38
2)从性质上来讲,分为组织所处的环境风险、过程风险[包括营运风险、授权风险、信息处理/技术风险、诚信风险、金融风险(信誉风险翻流动性风险)]以及决策风险(包括经营性决策风险、财务性决策风险和战略性决策风险)。
3)国资委发布的《中央企业全面风险指引》,将风险划分为战略风险、法律风险、市场风险、财务风险和营运风险五类,如果组织属于央企可以参照执行。
4)重点关注管理体系所有与过程相关的风险。 (3)特别的对于环境管理体系
1)与环境因素(见6.1.2)有关的风险和机遇:环境因素可能产生与有害环境影响、有益环境影响和其他对组织的影响有关的风险和机遇。某项重要环境因素可能导致一种或多种重大环境影响,因此可能导致需要处理的风险和机遇,以确保组织能够实现其环境管理体系的预期结果。可将确定与环境因素有关的风险和机遇作为重要性评价的一部分,也可单独确定。
2)与合规义务(见6.1.3)有关的风险和机遇的审核证据:例如:未履行合规义务可损害组织的声誉或导致诉讼;或更多地履行合规义务,能够提升组织的声誉。
3)也可能来源于组织存在与其他问题有关的风险和机遇,包括环境状况,或相关方的需求和期望,这些都可能影响组织实现其环境管理体系预期结果的能力。例如:
——由于员工文化或语言的障碍,未能理解当地的工作程序而导致的环境泄漏; ——因气候变化而导致的可影响组织的建筑物或场地的洪涝的增强; ——由于经济约束导致缺乏可获得的资源来保持一个有效的环境管理体系; ——通过政府财政资助引进新技术,可能改善空气质量; ——旱季缺水可能影响组织排放控制设备的运行能力。
4)组织需应对的风险和机遇还可包括来源于紧急情况,紧急情况是非预期的或突发的事件,需要紧急采取特殊应对能力、资源或过程加以预防或减轻其实际或潜在的后果。紧急情况可能导致有害环境影响或对组织造成其他影响。组织在确定潜在的紧急情况(例如:火灾、化学品溢出、恶劣天气)时,应当考虑以下内容:
——现场危险物品(例如:易燃液体、贮油箱、压缩气体)的性质; ——紧急情况最有可能的类型和规模;
——附近设施(例如:工厂、道路、铁路线)的潜在紧急情况。
(4)不要求使用正式的风险管理框架来识别风险和机遇。组织可以选择适合他们的方式来识别风险和机遇。
1)在战略层次方面,可以使用的工具如SWOT分析(强项、弱项、机遇及威胁)、环境分析( PESTLE)(政治、经济、社会、技术、法律)以及波特五力行业分析。
2)简单的方法可以包括询问 “如果,什么”问答。
3)基于风险思考的思维,其应用可以帮助组织建立主动预防的企业文化,关注更好地完成工作,以及改进工作方式。
39
4)所识别的风险与机遇输出可体现在: ——企业的网站;
——新业务或新产品开发的可行性分析; ——企业的年度社会责任报告; ——企业的经营发展规划; ——年度或例行的行政工作报告;
——管理者经营生产分析、决策(通过对最高管理者审核或交谈); ——重要环境因素及其环境影响、环境状况分析; ——合规义务分析、合规性评价等。 (5)审核关注
1)识别风险和机遇(见6.1.1-6.1.3)是措施的策划和建立质量和环境目标(见6.2)的输入。关注组织是否建立、实施并保持确定需要应对的风险和机遇所需的过程。
2)审核组应了解组织尽管须确定和应对风险和机遇,但并不要求进行正式的风险管理或文件化的风险管理过程。组织可自行选择确定风险和机遇的方法。方法可涉及简单的定性过程或完整的定量评价,这取决于组织运行所处的环境。
3、组织是否保持需要应对的风险和机遇的文件化信息?是否保持6.1.1至6.1.4中所需过程的文件化信息,其程度应足以确信这些过程按策划实施?
(1)4.4.1中,组织确定了管理体系所需的过程,包括对这些过程风险和机遇的处理,并考虑必要的形成文件的信息需求。
(2)4.4.2中,组织应保持足以支持过程运行的形成文件的信息,并保留足以确信过程已按策划要求实施的形成文件的信息。
6.1.2、应对措施的策划
1、组织是否建立、实施并保持所需的过程,采取措施管理其重要环境因素和合规义务、应对6.1.1所识别的风险和机遇?
(1)组织需在高层面上策划管理体系中应采取的措施,以管理其重要环境因素、合规义务,以及6.1.1识别的、组织优先考虑的风险和机遇,以实现其管理体系的预期结果。
(2)应对风险和机遇的可行办法可以包括:避免风险、为了抓住机遇而承担风险、消除风险源、改变发生的可能性或后果、分担风险,或者在知情决策下与风险“共舞”(保持风险)。
(3)机遇可能导致采用新实践,推出新产品,开辟新市场,赢得新顾客,建立合作伙伴关系,利用新技术以及其他可取和可行的事物,以应对组织或其顾客需求。
(3)应对风险和机遇的措施应与其重要环境因素和合规义务,及对于产品和服务符合性的潜在影响相适应。组织应针对已确定的风险确定风险管控的优选顺序,识别为解决风险、利用机遇所需要开展的全部活动,并对这些活动的步骤、方法和职责等要求做出舰定,并将其融入到管理体系过程中加以实施。通过应对风险和机遇措施的实施,可以降低风险
40
发生、提高机遇利用的概率,以确保目标和预期结果得以实现。
2、组织如何在其管理体系过程(见6.2,7,8和9.1)中或其他业务过程中融入并实施这些措施、评价这些措施的有效性(见9.1)?
(1)策划的措施可包括建立目标(见6.2),或可独立或整合融入其他的管理体系过程。也可通过其他管理体系提出一些措施,例如:通过那些与职业健康安全或业务连续性有关的管理体系;或通过与风险、财务或人力资源管理相关的其他业务过程提出一些措施。
(2)策划的措施还包括,为管理体系过程建立合适的控制,或针对机遇建立新的过程。有很多措施都可被组织选用来解决风险。管理方面的典型实例是开发各种控制活动,包括过程、产品及服务的检查、监视和测量;校准;产品及过程设计;纠正措施;规定、方法和作业指导书;培训及使用有能力人员等方面。
(3)通过评价市场需求可识别机遇,例如提供新产品和服务,或使用新技术来建立诸如顾客或供应链在线服务的更好系统。对管理体系过程进行绩效分析,则可识别出减少浪费或提高结果和绩效的机遇。审核关注组织评价这些措施的有效性的证据。
(4)审核关注,例如对风险与机遇识别——应对措施——与管理体系过程和业务过程融合——变更导致可能的文件化信息示例如下表:
风险与机遇识别 人员能力不足 产品滞销 产品出现质量问题 产品出现质量问题 内部管理混乱 经济危机影响出口 产品滞销 资金链断裂 资金沉淀 …… 应对措施 定期考核 严谨积极的营销体系 提高质量 提高质量 工作留痕 提高国内订单量 研发新产品 相关方沟通,清欠 寻求投资机遇 …… 过程融入 人员全面绩效评价 顾客关系管理 质量管理 提供生产设施与环境 信息化管理 区域市场开发 设计与研发 沟通过程 资本运作 …… 可能的文件化信息 考核管理办法 市场营销管理制度 质量管理制度 安全生产管理制度 文件管理制度 应急管理办法 技术管理制度 应急管理办法 资金管理办法 …… 6.1.2、确定环境因素 1、组织是否建立、实施并保持确定环境因素所需的过程?是否确定其环境因素和相关环境影响,进而确定那些需要通过其环境管理体系进行管理的重要环境因素? (1)审核关注组织确定其环境因素和相关环境影响是否体现了保护环境的承诺(而不仅仅限于污染预防)。全部地或部分地由环境因素给环境造成的任何有害或有益的变化称为环境影响。环境影响可能发生在地方、区域或是全球范围,且可能是直接的、间接的或自然累积
41
的影响。 (2)环境因素和环境影响之间是因果关系。确定其环境因素时,组织可能考虑下列事项: 1)向大气的排放 2)向水体的排放; 3)向土地的排放; 4)原材料和自然资源的使用; 5)能源使用; 6)能量释放,例如:热能、辐射、振动(噪音)和光能; 7)废物和(或)副产品的产生; 8)空间的使用。 (3)审核应检查组织是否建立和运用准则确定重要环境因素。组织所使用的方法与准则应当提供一致的结果。环境准则是评价环境因素首要的和最低的准则。可能与环境因素有关的准则包括,例如:类型、规模、频次等,可能与环境影响有关的准则包括,例如:规模、严重程度、持续时间、暴露时间等,也可运用其他准则。当仅考虑某项环境准则时,一项环境因素可能不是重要环境因素,但当考虑了其他准则时,它或许可能达到或超过确定重要性的门槛值。这些其他准则可能包括组织的问题,例如:法律要求或相关方的关注。这些其他准则的运用不应使重要因素基于其环境影响而降级。 (4)审核关注组织适当时应在其各层次和职能间沟通其重要环境因素。 (5)重要环境因素可能导致与有害环境影响(威胁)或有益环境影响(机会)相关的风险和机遇。审核可结合6.1.1予以关注。 2、组织确定环境因素时,是否考虑生命周期观点? (1)审核关注不要求组织进行详细的生命周期评价,只需认真考虑可被组织控制或影响的生命周期阶段就足够了。产品或服务的典型生命周期阶段包括原材料获取、设计、生产、运输和(或)交付、使用、寿命结束后处理和最终处置。 (2)审核关注组织确定环境因素的范围是否包括其产品和服务的上游和下游的业务链条,并结合运行策划和控制(见8.1)进行审核。适用的生命周期阶段将根据活动、产品和服务的不同而不同。 3、组织确定环境因素时,是否考虑变更(包括已纳入计划的或新的开发,以及新的或修改的活动、产品和服务)、异常状况和可合理预见的紧急情况? (1)组织需要确定其环境管理体系范围内的环境因素,必须考虑与其现在的及过去的活动、产品和服务,计划的或新的开发,新的或修改的的活动、产品和服务相关的预期的和非预期的输入和输出。 (2)运用的方法应当考虑6.1.1中识别的正常的和异常的运行状况、关闭与启动状态,以及可合理预见的紧急情况。应当注意之前曾发生过的紧急情况。 (3)关于将环境因素作为变更管理的一部分的信息见6.3。 42
4、组织是否确定存在其能够施加影响的环境因素? (1)除组织能够直接控制的环境因素外,组织是否确定是否存在其能够施加影响的环境因素。这些环境因素可能与组织使用的由其他方提供的产品和服务有关,也可能与组织向外部提供的产品和服务有关,包括外包过程相关的产品和服务。 (2)对于组织向其他方提供的产品和服务,组织可能仅对产品和服务的使用与寿命结束后处理具有有限的影响。但任何情况下均由组织确定其能够实施控制的程度,其能够施加影响的环境因素,以及其选择施加这种影响的程度(见8.1)。例如应当考虑与组织活动、产品和服务相关的环境因素: ——其设施、过程、产品和服务的设计和开发; ——原材料的获取,包括开采; ——运行或制造过程,包括仓储; ——设施、组织资产和基础设施的运行和维护; ——外部供方的环境绩效和实践; ——产品运输和服务交付,包括包装; ——产品存储、使用和寿命结束后处理; ——废物管理,包括再利用、翻新、再循环和处置。 5、组织是否保持与环境因素相关的文件化信息? (1)组织应保持以下内容的文件化信息: ——环境因素及相关环境影响; ——用于确定其重要环境因素的准则; ——重要环境因素。 6.1.3、确定、获取和应用合规义务 1、组织是否建立、实施并保持确定、获取和应用合规义务所需的过程? (1)组织需详细确定其在4.2中识别的适用于其环境因素的合规义务,并确定这些合规义务如何适用于组织。 (2)合规义务包括组织须遵守的法律法规要求,及组织须遵守的或选择遵守的其他要求。 适用时,与组织环境因素相关的强制性法律法规要求可能包括: 1)政府机构或其他相关权力机构的要求; 2)国际的、国家的和地方的法律法规; 3)许可、执照或其他形式授权中规定的要求; 4)监管机构颁布的法令、条例或指南; 5)法院或行政的裁决。 (3)合规义务也包括组织须采纳或选择采纳的,与其环境管理体系有关的其他相关方的要求。适用时,这些要求可能包括: ——与社会团体或非政府组织达成的协议; 43
——与公共机关或客户达成的协议; ——组织的要求; ——自愿性原则或业务守则; ——自愿性环境标志或环境承诺; ——组织签订的合同约定的义务; ——相关的组织标准或行业标准。 (4)合规义务应用与诸多过程或活动有关,例如4.2、4.3、5.1、5.2、6.1.1-6.1.4、6.2、7.2-7.5、8、9、10等。 (5)合规义务可能会给组织带来风险和机遇。审核可结合6.1.1予以关注。 2、在建立、实施、保持和持续改进其环境管理体系时,是否考虑这些合规义务? (1)合规义务几乎贯穿于整个环境管理体系。审核关注组织在建立、实施、保持和持续改进其环境管理体系,是否有效考虑和应用合规义务。 (2)审核关注组织是否保持其合规义务的文件化信息,包括合规义务的确定、获取和应用。 6.1.4、应对措施的策划 见6.1.2。
6.2、目标及其实现的策划
6.2.1、目标的建立、监视、沟通和更新
1、组织是否在相关职能、层次和管理体系所需的过程建立目标?
(1)目标的建立和目标达成的策划,可帮助组织达成组织目标的一致性。组织需在过程或各职能级别中设立合适的目标,以确保战略方向和方针的实施。需认真考虑以确保目标在过程和各职能级别是可行的。
(2)最高管理者可从战略层面、战术层面或运行层面来制定目标。战略层面包括组织的最高层次,其目标能够适用于整个组织。战术和运行层面可能包括针对组织内具体单元或职能的目标,应当与组织的战略方向相一致。
1)战略和方针是根据成功方案的实现方法以及优先顺序而成立的,而成功方案则是通过具有未来的机会的选定以及竞争优势因素在这些机会中的应用等描述而成的。为了实现该战略和方针,组织的所有职能必须配合机会以及优先顺序的应用而开展活动并取得成果。组织围绕战略、方针,并在组织各个层次、部门和职能设定实现方针应达到的目标。
2)合理设定可实现的目标。战略是在组织的使命、愿景及价值标准的基础上,进一步指明了组织在现在和将来为持续保持竞争优势并实现持续成功而所需的组织全局的计划和策略。战略的具体涉及组织应实现的重要竞争优势因素的多项事项。对于每一个相关事项,有必要逐一设定预期目标。作为应完成目标的具体例子,可列举出包括知识和技术在内的
44
资源的获得、业务程序的有效性、供应链的管理以及管理体系的成熟度等。
(3)从战术层面或运行层面,组织应在相关职能、层次、过程上建立与方针、战略、愿景相一致的目标或绩效指标,并应在横向——同级部门(基于业务关联或服从)、纵向——最高管理层、中层、基层,基于各自承担的职能设立或分解,此时需要进一步考虑与组织的组织绩效管理相衔接。每个不同的层次都有相应的过程,应明确其关键过程和关键过程绩效指标(即KPI)或绩效参数。
(4)审核时应关注与第5章相联系。目标的制定是在方针的框架下进行,战略策划或规划方针应由最高管理者亲自组织完成,目标系统的制定反映着管理层的集体智慧,也是管理层集体智慧的结晶。
2、组织如何建立目标?是否考虑与预期结果有关的各种因素? (1)首先目标建立应当组织战略与方针(5.3)保持一致。
1)“与方针保持一致”指目标是与最高管理者在方针中做出的承诺保持完全的对应和协调,包括持续改进的承诺。
2)方针可被用于作为设定目标的框架或标杆。例如成为“行业最佳”,则组织需决定对其而言怎么样才是“行业最佳”的表现。这可能要求理解组织环境。进行市场分析以判定组织目前的地位。设立为提高顾客满意及目前地位所必要的绩效和目标。
(2)目标应可测量(可行时)。例如必须实现的某个时间段或某个量值。可选择参数来评价可测量的目标的实现情况。“可测量”指可能使用与规定尺度有关的定性的或定量的方法,以确定是否实现了目标。“可行时”表示某些情况下可能无法测量目标。但重要的是组织需能够确定目标是否得以实现。
(3)建立目标时,应考虑:
1)对于质量目标考虑了适用的要求,并与产品和服务符合性及提升顾客满意度相关。例如规定产品的功能或性能需求;按时按量按质交付,产品规范或服务水平协议。
2)对于环境目标,还应考虑:
——组织的重要环境因素。但审核组应了解“必须考虑重要环境因素”的要求并不意味着必须针对每项重要环境因素制定一个环境目标,而是制定环境目标时应优先考虑这些重要环境因素。
——相关的合规义务或法律、法规和其它要求。
3)依据6.1开展相关活动作为目标策划的输入,即识别风险和机遇和应对措施的策划(见6.1.1-6.1.4)是建立质量和环境目标的输入。
4)依据4.1、4.2、4.4和6.1开展相关活动作为目标策划的输入,这些输入涉及组织环境、顾客和相关方期望和需求,可能包括:近三或五年的经营业绩、市场占有率、顾客及相关方满意情况等;历史最好成本、销收、利润、市场占有率等;组织的现状和能力,例如企业在国际、国内、行业中所处的位置,竞争对手的信息,产品和服务过程的业绩,供方及合作伙伴的发展预测,核心竞争力等;体制和运行机制、以往的经验和教训、目前
45
存在的重大缺陷和问题;资源的情况,不足还是过剩,需求的方向;相关方的需求和期望;目前所处的位置及由此带来的外部客观环境,包括政策环境等等。
(4)目标建立方法可采用采用智思、比较、测量、分析、预测、开拓等方法,通过分析内、外部环境,分析和预测顾客及相关方的需求和期望,识别组织的强项和弱项。在此基础上,经过上上下下反复地讨论、修改,做出科学、合理、高于现状的定位。例如可考虑使用SMART原则来设立,即设立具体的、可度量的、可达到的、相关的、有时限的目标。也可使用平衡计分卡、商用智能表(一种实现企业度量信息数据和关键绩效指标数据可视化的工具)等监控目标的其它方法。
(5)目标根据产品和服务的类型、企业的规模等因素,可以有不同的形式和类型 1)按水平可以分为领先型、赶超型(赶超国际、国内、同行或其它)、改进型(纵向比较)。
2)按量化与否分可以分为定量型和定性型。定量型通常考虑项目、基准、目标值、期限、验证方法、实现对策或关键绩效参数、绩效的差异性分析等七要素。定性的通常要突出项目、期限两要素。
3)按时间要求可以分为长期目标、中期目标和短期目标。长期目标通常指超过5年的目标,中期目标通常指3~5年的目标,短期目标通常指当年目标。
4)按层次可以分为组织的总目标、部门目标、班组目标和个人目标。 3、目标是否得到监视、沟通和更新?组织是否保持目标的文件化信息?
(1)对目标完成情况进行监控、评价。例如实现目标的进度——进度报告、顾客反馈、管理评审等。审核应关注组织的绩效结果,对绩效进行评价以判断目标是否实现良好的管理实践,及监督或纠偏机制的有效性。
(2)必要的沟通,例如将目标知会给销售部门的会议,识别制造订单要求的产品会议等,与在组织控制下工作的、具备影响实现目标能力的人员沟通目标。
(3)进行适当的修订——对于影响达成目标能力的变动,组织需考虑并采取必要行动,以确保新事宜或需求得到处理;考虑与预期结果有关的各种因素变化对目标予以变更或修订,和增加附加或新的目标。
(4)组织应保持与目标相关的形成文件的信息。 6.2.2、实现目标措施的策划
1、组织是否规定为策划实现目标所要做的活动?
(1)组织可通过策划“4WIH”活动实现预期目标,即What-要做什么;What-所需资源;Who-由谁负责;When-何时完成;HoW-如何评价结果。
1)例如,目标展开活动首先将战略目标按实现该目标所需的知识、技术、业务程序能力以及系统要素的成熟度等逐一进行分解,将分解的结果分配给组织的各个级别层次和部门,同时决定实现目标的日程计划以及任务和负责人。展开目标后,要明确展开的风险——例如展开后的联络沟通和资源的分配等,并采取必要的措施。在进行了风险应对的基础
46
上,应提供必要的资源,以便将展开的活动转入正式实施。
2)如SMART之类技术的应用能帮助组织实现目标的策划,因其能确保目标是有时限的、相关的并且是可实现的。组织还需要识别谁负责去完成目标,并确保有充足的资源可提供(见第7章),以及如何评价结果。对是否达成特定目标的评价结果可作为管理评审的一部分进行评审,其它策划方式有项目管理、建立关键里程碑、制定关键绩效指标( KPI)或举行经常性的审查或反馈会议等。
(3)选择参数来评价可测量的目标的实现情况。对运行、管理或状况的条件或状态的可度量的表述。“可测量”指可能使用与规定尺度有关的定性的或定量的方法,以确定是否实现了环境目标。“可行时”表示某些情况下可能无法测量环境目标。但重要的是组织需能够确定环境目标是否得以实现。
(4)审核关注组织是否考虑如何能将实现目标的措施融入其业务过程(见6.1.2)。 6.3、变更的策划
1、组织是否考虑变更目的及其潜在后果?是否确定需要对管理体系进行变更? (1)组织需要对管理体系变更进行评估,因为它可能影响组织持续、稳定提供满足顾客和法律要求的产品和服务,以及提高顾客满意度和实现预期结果的能力。考虑变更的目的和任何潜在的后果,变更有可能带来好的结果,也可能带来风险和挑战,在组织日常活动中,多数变更会对管理体系造成影响,例如:
1)变更可能导致反应式行为。例如返工、不合格品的隔离等。监视这些情况及其随时间的变化趋势,有助于识别出为降低此类情况而开展经策划的改进和变更的机遇。
2)其它变更可能更具颠覆性,要求更多前瞻性策划。例如获取新产品线或提供新服务。 (2)基于风险思考的方法识别策划管理体系变更,组织可基于下列因素: 1)组织所处的内外部环境的变化;
2)利益相关方的需求、期望及其他相关方面的任何变化; 3)监视、测量、分析及评价的结果,包括所识别的趋势和反馈; 4)已识别的风险和机遇的评审。
(3)组织可通过多种途径识别变更的需求,例如管理评审的一部分、审核结果、不符合项评审、投诉分析、过程绩效分析、组织环境变化、顾客及利益相关方的需求变更等。
1)组织应特别关注外部动态发生的变化,包括技术、市场、竞争或法律法规环境发生重大变化的征兆或早期迹象。当外部环境(包括:国家/行业/地方法律法规、技术、竞争、文化、社会、经济和自然环境方面)和内部环境(包括:公司的治理结构、政策、战略、承/诺、理念、价值观和资源、文化以及与相关方的关系)发生重大变化。 2)组织机构发生调整、生产工艺发生重大变化,需改进或更新现存的质量管理体系时。如:工厂新产品线的迁移、改变加工方法以改进不符合输出的趋势、在服务或生产过程使用新软件系统(例如开放顾客在线下单)。这些变更对质量管理体系完整性的影响需要经过组织的评估,并采取必要措施来预防不利影响。方式可包括项目管理方法的应用,或新系
47
统在过程中实际应用前对其进行性能测试及确认测试。
3)管理体系的建立和实施的初始阶段;为满足新要求,调整、充实现存的管理体系时;诸多管理体系集成或一体化时。
(3)变更包括以下示例:
——计划的对产品、过程、运行、设备或设施的变更,如项目(含外包)、合同、组织结构、工艺、技术、设备设施、作业过程、作业环境、材料、信息系统、能源采购和能源消费结构、新/改/扩建项目、安全/环保设施的变更(包括永久性变更和暂时性变更)等。
——员工或外部供方(包括合同方)的变更;
——与环境因素、环境影响和相关技术有关的新信息; ——合规义务的变更,如政策法规、标准等。
2、当组织确定需要对管理体系进行变更,变更是否按所策划的方式实施(见4.4)? (1)组织在对管理体系的变更进行策划和实施时,应保持管理体系的完整性。体系变更的策划应充分。如在工艺方法发生变更后,工艺文件要发生变更,对工人也需要进行工艺培训,这些都要系统考虑,以保持体系的完整。变更管理涉及:
——保持管理体系(见4.4); ——岗位、职责和权限(见5.3);
——风险和机遇(见6.1.1)和环境因素(见6.1.2); ——资源(见7.1)及内部信息交流(见7.4.2); ——运行策划和控制(见8.1);
——内部审核方案(见9.2.2);以及管理评审(见9.3)。
(2)在策划管理体系的必要变更时,应提前预防变更造成的不良影响,并确保在可控的条件下进行。组织应在变更前识别风险和机遇。组织可采取论证、小试、模拟实验、理论计算等方法确定变更的可行性。包括对变更实施过程中可能带来的新风险的预判和评估,变更方案得到批准后。方可实施。
(3)变更策划应确保资源的可获取性。体系变更后,关键是资源能否动态满足要求,如有的组织从单一的产品扩展为多元化的产品,资源能否动态满足,这都是策划面临的重要问题。
(4)变更策划还应充分考虑职责和权限的分配或调整。组织职能和权限进行重大调整时,应确保相应文件的变更,同时确保员工能够对形成文件的信息进行沟通和学习,以确保体系的完整性。
(5)评价变更的有效性。变更过程中如需增加新的控制措施或对现有控制措施进行修改,通常需要得到书面许可,并在进行风险评估和确定应对措施后方可实施。主管部门应对变更方案进行评审,对变更实施过程及变更后风险控制的有效性进行全程监控,并组织对变更的有效性进行评价。
48
(6)审核关注组织应对变更管理进行策划,对影响理体系有效运行的相关变更信息和事务进行动态识别,评估风险和机遇,并制定应对措施,对变更前、变更中、变更后全过程加以控制,从而降低或消除风险,赢得最有力的环境、机遇和条件,为组织健康发展提供支持。
7 对管理体系标准第7章“支持”的审核
7.1、确定并提供资源
7.1.1、对确定并提供资源的总要求
1、组织是否确定并提供为建立、实施、保持和持续改进管理体系所需的资源? (1)资源是管理体系有效运行和改进,以及提升管理体系绩效包括环境绩效所必需的。最高管理者应当确保那些负有管理职责的人员得到必需的资源支持。
(2)资源可能包括人力资源、自然资源、基础设施、技术和财务资源。例如:人力资源包括专业技能和知识;基础设施资源包括组织的建筑、设备、地下储罐和排水系统等。
(3)审核关注组织资源的确定和提供机制(见5.1)。应对需要什么资源和确保资源提供作出决策,包括外部提供的资源(见8.4),这适用于7.1的所有子要求(7.1.1-7.1.6)。
2、组织是否考虑现有内部资源的能力和局限性,是否需要从外部供方获得的资源? (1)在确定所需资源时,组织应考虑目前能力,例如现有材料、人力资源及其能力、机械设备、信息和设施等。组织在评审自己目前所具有的能力时,应识别各种现有制约,即为减少不利影响或达成目标需要什么,以及需要什么措施,是否需要从外部供方获得的资源。
(2)审核关注组织是否在建立、实施、保持和持续改进管理体系时,围绕所确定的管理体系范围分析、评估现有内部资源的能力和受限条件,识别出组织内部现有资源中不能满足顾客需求和适用的法律法规要求的环节和需进一步匹配的外部资源,制定资源配置计划并按照计划提供所需的资源。外部提供的过程、产品和服务的控制在8.4中做了规定。
7.1.2、人员的确定及配备
1、组织是否确定并配备所需的人员,以有效实施管理体系并运行和控制其过程? (1)组织应确定有效实施管理体系及其过程所需的人员数量。应考虑人员的相关经验、现有工作量和资格。以使其能够履行在管理体系中的职能和工作。
(2)为实现某个目标,组织可决定聘用外部人员或将服务外包给备选的供应商。这种情况下,组织可考虑培训,建立服务水平协议或对服务供方进行审核,以此确保达到了必要的人员绩效。此外还应考虑7.2中的能力要求。
(3)审核关注
1)相较于2008版标准要求,更加关注组织在选人、用人方面的要求,包括用人需求的提出、招聘到合适的人员(选对人)和员工异动(把人放对位置)等人力资源管理要求,必要时组织需要编制与业务规划相匹配的人力资源规划。组织应采取各种措施识别有效运
49
行管理体系所需的人力资源,包括与岗位工作量相匹配的人员数量(定编)、适任的人员,确保所有直接或间接影响绩效的人员必须与岗位适任要求相匹配,这项工作可以和人力资源管理体系中的“三定”有案同步进行
2)鉴于企业管理已经从提高劳动生产率到提升组织效率,目前更加强调人的效率对组织持续成功的重要性,所以人的“选、用、育、留”对提升组织的核心竞争力至关重要。组织通常抱怨的执行力问题,更多关注的是流程和制度原因,但实际上很多都是由于选人、用人不合理导致的,即没有在合适的时间将合适的人员放在合适的岗位上。如服务行业在选择直接面向顾客提供服务的一线人员时,需要采取必要的性格测试等手段以确保选对人。领导者除了选对人、用对人,还要善于培养人的能力和激励人的工作潜能。随着组织的专业化分工越来越细,出现了劳务外包、临时聘用等多种低成本劳动力管理手段,人力资源管理出现了组织将部分专业工作和不增值的工作任务外包给第三方服务供方的情况,组织需要考虑服务外包过程中的风险控制和必要的尽职调查,尤其是对涉密、技术敏感等岗位人员的配置需要加强风险管控,包括签署服务水平协议,并进一步明确特定的聘用标准、界定哪些岗位的人员配置不能使用外包劳动力和受限制的聘用人员。
3)审核时应关注,对外包服务提供人员和外部服务供方的能力评估和风险管控是否到位,一线操作人员中的特殊工种和关键、敏感岗位的人员配置是否符合特定的要求,尤其应关注组织对外部服务供方的任何变更如何进行及时应对。
7.1.3、对基础设施的管理
1、组织是否确定、提供并维护所需的基础设施,以运行过程并获得合格产品和服务? (1)基础设施可包括: 1)建筑物和相关设施; 2)设备,包括硬件和软件; 3)运输资源; 4)信息和通信技术。
(2)组织确定运行过程和实现目标必要的基础设施,并对提供和维护必要的基础设施进行策划。
(3)在确定必要的基础设施时,组织应考虑需要哪些设施、设备、计算机软件、服务和/或运输,才能提供合格的产品和服务。基础设施的需求可以基于顾客、法律法规要求以及组织知识所需。
(4)基础设施可依据组织提供的产品和服务的类型而变化。对于传统的制造和装配过程而言,基础设施包括制造、包装、配送、运输和IT系统使用的设施。对于服务组织而言,基础设施可包括使用IT系统、办公室和行业专家。例如提供健康服务或咨询服务;使用互联网系统和核心办公室,如网上采购和中心配送办公室,网上银行和办公室。
(5)在确定基础设施的需求时,组织可通过开展差距分析来检查目前的基础设施、识别新需求及需要采取的行动,例如制定设备维护计划、策划替换现有的基础设施、定期测
50
试信息和通讯系统、定期检测设备和基础设施。
(6)审核关注
1)鉴于SAP(R/3模块化企业管理解决方案)、ERP(企业资源计划系统)、MES(生产执行系统)等业务信息系统和E-HR、CRM等支持功能的管理信息系统的应用越来越普及,需要系统考虑管理体系范围内所需要建立的业务和管理流程是否均与组织当前使用的信息系统保持协调一致。组织的基础设施的配置状况很大程度上决定了自身的生产能力和采购规模。基础设施的配置应尽可能结合目标客户的各类需求和期望及技术标准等要求,考虑设备设施的合理选型、是否需要集中采购、利用率和单台设备运行成本等问题,同时也要结合组织的不同发展阶段考虑采购成本问题和可持续发展问题。
2)鼓励组织尽可能建立基础设施的需求提出和分析、选型、购置、安装、使用、维护保养、检修、报废的全生命周期管理模式,必要时可采用TPM等先进的管理工具,也可以借鉴IS0 55000《资产管理》系列标准的适用要求。这是组织提高基础设施完好率和利用率、降低设备运行成本、提高设备使用寿命的有效途径。
2、组织如何维护所需的基础设施?
(1)设备的使用和管理部门应定期评定重要设备的技术状况/等级,在此基础上制定适宜的设备保养、检修计划,并按计划实施。设备经检验、检修后发现达不到应有的技术状况时,如果决定继续使用,则应该明确其使用的限制条件,同时也应明确决策者、使用者、监护者应承担的责任。在作出设备“带病”运行的决定前,应对其可能造成的影响进行风险评估(对产品质量的影响、对设备使用寿命的影响、可能增加的修理费用等等),并保留参与评估人员签署的评估报告。
(2)有条件时,单台设备韵运行成本(单位运行时间能耗、维修保养的直接费用;折旧等)、利用率/有效使用小时数,技术状况及变化情况、带故障运行时间、使用/操作人员及变化情况等等,均应建立台账,并按照本标准条款9.1.3的要求进行统计、分析和比较。经过多个周期后,就会沉淀很多有用的数据和信息。通过数据挖掘、分析和利用,这些数据和信息将导致设备管理工作的持续循环改进。
(3)当组织需要采用融资租赁模式租赁设备时,应关注并明确要求供方提供的设备符合规定要求,对重要设备的技术状况应进行确认,对租赁设备也应考虑将供方纳入采购控制范畴。
(4)审核关注,随着工业4.0和中国制造2025战略的不断深入,越来越多的智能化设备设施将普遍采用,其选型、完好状态对其后产品和服务的质量影响较大,如服务行业直接提供给客户使用的智能化、可穿戴服务设施。审核员在现场审核过程中需要紧密围绕组织正在运行的SAP/ERP/MES/CRM等各类业务信息系统和管理信息系统开展现场审核的抽样,可能在一次现场审核中需要借助计算机完成全部审核任务。
7.1.4、对过程运行环境的管理
1、组织是否确定、提供并维护所需的环境,以运行过程并获得合格产品和服务?
51
(1)适当的过程运行环境可能是人为因素与物理因素的结合,例如(注:由于所提供的产品和服务不同,这些因素可能存在显著差异):
1)社会因素(如无歧视、和谐稳定、无对抗);
2)心理因素(如缓解紧张情绪、预防职业倦怠、保证情绪稳定); 3)物理因素(如温度、热量、湿度、照明、空气流通、卫生、噪声等)。
(2)运行环境根据组织所提供的产品和服务类型而异。某些情况下,环境可能仅需要考虑温度、卫生、气流和噪音等物理问题。为了实现产品符合性,诸如清洁等的物理问题可能至关重要,例如在清洁的室内环境中制造计算机芯片。
(3)社会和心理因素对产品和服务质量的影响有时也很重要,尤其服务行业中,服务提供过程中的社会和心理因素对服务质量影响更大,需要重点关注。例如考虑人为因素,如一线服务人员的心态直接影响到服务提供质量;充足的人员轮班、排班或停工时间,以预防人员精疲力尽,如对飞行员的飞行时间控制,提供货运或配送服务的驾驶员的驾驶时间控制以防止疲劳驾驶。
(4)在确定了过程运行环境后,应在必要时适当维护和控制运行环境以确保产品和服务持续满足要求。
(5)审核关注:组织应根据其业务和管理流程中所暴露的各类风险来识别、提供、维护和管理为达到产品和服务符合要求的过程运行所需的环堍(如:物资/档案文件的储存条件;油漆作业时对温度和湿度的要求;车工对照明的要求;空气流动对焊接质量的影响;每天对作业场所进行的“工完料尽场地清”管理等等)。特别是服务行业,因为服务提供过程所需的环境通常直接暴露在服务现场并直接影响到顾客满意,所以更需要加强服务提供过程中的运行环境质量控制。例如日本企业在工作环境管理方面所采用的“5S”管理模式,就是一个非常成功的例子。
7.1.5、对监视和测量资源的控制
1、当利用监视或测量来验证产品和服务符合要求时,组织是否确定并提供确保结果有效和可靠所需的资源?
(1)组织应确保所提供的资源
1)适合所进行的监视和测量活动的类型; 2)得到维护,以确保持续适合其用途。
(2)监视和测量所需的资源可能因组织提供的产品和服务的类型及建立的管理体系过程而异。在某些情况下,简单检查或监视就足以确定质量状态。而在其它情况下,测量则是必需的,而且还可能要求测量设备经检定或校准、或既要检定也要校准。
(3)监视意为观察、检查质量状态。它可以是简单的检查,以确保数量准确、订单完整,如以量规检查某工件正确与否,或服务提供过程中询问顾客还有什么需要。测量考虑的是通过使用适当的测量资源确定数量、大小或尺寸。其中包括使用可溯源到国家或国际测量标准、经校准或验证的设备。对于服务而言,它包括使用已知并经确认的服务反馈模
52
式,例如社会服务模式。
(4)组织需要在确定产品和服务符合性时考虑监视和测量的重要性。为确保监视和测量的结果有效,组织应确定对相应过程和/或产品和服务,需要监视和/或测量哪些内容。然后确定进行上述监视和测量所需的资源,并确保其适于所要求的监视和测量。
(5)无论是制造业还是服务业,均需基于其行业产品质量特性的不同,选用不同的监视、测量设备、手段和方法并与所进行的监视、测量活动保持一致,并通过采取维护措施确保持续满足使用要求。
(6)审核关注应结合不同行业所需要的监视或测量手段,评估组织是否配置了适宜的监视或测量设备或资源。应尽可能采用逆向审核的方法,从现场实际执行的工艺技术标准、质量验收标准中抽样,获取所需要的监视或测量资源并进一步查阅证实是否配置到位。尤其在服务行业和软件行业中,组织配置的监视或测量资源不是显性化的,需要熟悉该领域的行业专家提供技术支持予以判断。
2、组织是否保留适当的形成文件的信息,作为监视和测量资源适合其用途的证据? (1)应能够获得形成文件的信息以证明所选择的监视和测量资源符合预期的目的。这些形成文件的信息可包括为确保结果有效,规定了监视和测量资源所需的检查频率的进度计划,和证明可追溯到国家标准或任一使用的替代依据的信息。
(2)某些情况下,可能需要专业/主题专家来评估是否正确提供了产品和服务,例如餐厅的主厨、评价看护提供情况的合适的社会工作者、提供保健服务的医学专业人士。
3、当要求测量溯源或组织认为测量溯源是信任测量结果有效的前提时,对照能溯源到国际或国家标准的测量标准,是否按照规定的时间间隔或在使用前对测量设备进行校准和(或)检定(验证)?当不存在上述标准时,是否保留作为校准或检定(验证)依据的形成文件的信息?
(1)如果测量设备用于验证符合要求并为测量结果的准确性提供信任,组织应考虑如何验证和/或校准、控制、存放、使用测量设备并维护其准确性。
(2)测量系统可能包括软件、设备及其它装置(例如汽油泵,用于控制过程参数的控制信号)的组合。在这种情况下,整个测量系统都应适用于测量目酌。
(3)应根据在确定产品和服务符合性时测量的风险和重要性,制定测量设备的校准计划和维修检查。
(4)对照能溯源到国际或国家标准的测量标准进行校准或检定,校准或检定周期应符合相关要求。当某台/套测量设备目前还没有相关国际或国家的测量标准时,组织应制定并保留该台/套测量设备的形成文件的自校规程,并在规定的时间间隔内、由有相应能力/资质的人员进行校准。
(5)校准、检定或试验人员应具有相应的资质或专业培训背景,在允许或规定的范围内工作(许多试验工作要求两个试验人员进行,但很多情况下提供的证据表明没有满足这项要求,如:出示的试验报告上只有一个试验人员的签署等)。
53
(6)审核关注:对列入强制性校准或检定的监视和测量设备设施、非强制性规定的检验/试验用计量器具、作为工具使用的计量器具、设备上的表计、低值易耗计量器具、自检自校计量器具/工装、监视和测量软件或装置等,组织应按照《中华人民共和国计量法》建立校准和/或检定规程并执行校准和/或检定或其它任何确保其准确度的适宜方法。
4、测量设备是否予以识别,以确定其校准或检定状态?
(1)测量设备的校准或检定或其它合适的状态应该能够易于识别。
(2)测量设备停用后应予以封存和标识,启用封存的测量设备前,应对其进行校准或检定或任何确保其准确度的其它手段。
5、测量设备是否予以保护,防止可能使校准状态和随后的测量结果失效的调整、损坏或劣化?
(1)应及时发现和纠正测量设备的不正确使用/存放方法(如:将计量器具/工装/模具随意放置导致变形、不按照规定的操作规程使用或调整计量器具、在不满足检验和试验条件的环境中使用计量器具、将计量器具长期放置在不满足储存条件的环境中等)。
(2)监视和测量资源搬运(特别是远距离搬运)应有防止其失准/失效的措施。 6、当发现测量设备不符合预期用途时,组织是否确定以往测量结果的有效性是否受到不利影响,必要时应采取适当的措施?
(1)一旦发现某台/套监视系统或测量设备失准/失效,应立即停用,并对该台/套监视系统或测量设备以往的监视或测量结果进行追溯和评价,直至确认其某一时段以前的测量结果为有效时为止。批量产品/自动生产线的首检制度和适宜的中间抽检是及时发现监视和测量设备(包括工装、监视和测量软件)失效的有效方法。
(2)在服务行业使用问卷调查表的方式进行测量时,应围绕调查目标设计问卷并及时优化设计内容,以确保问卷内容与调查目标一致。在涉及基准、样板或标准动作等示范性测量工具或手段的使用时应做好其日常维护并确保持续准确度。应适时维护和动态监控信息系统中使用的自动校验功能性软件,以确保持续有效。
(3)评审的结果从无需采取措施到需要召回产品都有可能。这取决于对产品和服务符合性可能造成的风险。
7.1.6、组织的知识的确定、保持和获取
1、组织是否确定所需的知识,以运行过程并获得合格产品和服务?
(1)组织的知识是组织特有的知识,通常从其经验中获得。是为实现组织目标所使用和共享的信息。人员及其经验是组织知识的基础。这些经验和知识的获取及分享可产生整合效应,从而创造出新的或更新的组织知识。
(2)组织的知识可以基于:
1)内部来源(如知识产权;从经历获得的知识;从失败和成功项目得到的经验教训;获取和分享未形成文件的知识和经验;过程、产品和服务的改进结果);
2)外部来源(如标准;学术交流;专业会议;从顾客或外部供方收集的知识)。
54
(3)组织知识管理价值链包括知识获取、知识分享、知识创新和知识应用四个环节。组织应及时识别、确定和维护过程运行和实现产品和服务的符合性所需的各类知识,包括但不限于:
1)设计、工艺、制造、服务过程中获取的经验教训、失效分析等,包括对各类疏失、突发事件、特殊质量问题的应对措施等;
2)典型、批量、惯性问题的发生情况处置方法、结果记录、分析和结论意见等; 3)先进的管理理念、管理方法、最佳实践、工作方法、技能技艺、检测方法等; 4)科研成果、工艺成果、QC成果等;
5)产品性能说明书、产品使用说明书、产品故障分析、产品维护指南等; 6)知识产权(含专利和企业标准)等。 (4)审核关注
1)知识管理相较于2008版标准是新增加的要求。组织应考虑建立知识管理过程。知识管理是在获取、吸收、传播和应用知识方面支持组织的一组过程。知识管理的目的是“在正确的时间、正确的地段,具有正确的知识”。组织知识管理的对象界定为对过程运作和实现产品/服务符合性所需知识。这类知识主要指组织特定的知识,通常由经验获取。
2)组织在开展知识管理工作的时候,应把知识管理工作放在组织战略的高度进行考虑,建立专门知识管理人员和机构对其负责,从而实现其知识管理的持续改善,将知识管理真正固化为组织核心竞争能力构建的长效工具、方法和机制。
2、所需的知识是否予以保持,并在必要范围内可得到? (1)在确定和维护组织知识时,组织可考虑: 1)从失败、临近失败的情况和成功中汲取经验教训; 2)获取组织内部人员的知识和经验;
3)从顾客、供应商和合作伙伴方面收集知识;
4)获取组织内部存在的知识(隐性的和显性的).例如辅导和继任计划; 5)与竞争对手比较;
6)与相关方分享组织知识,以确保组织的可持续性; 7)根据改进的结果更新必要的组织知识。
(2)组织应采用多方式获取所需的知识,如编辑发布、邮件采集、网页监采和建立经验库、知识库和行业数据库等。鼓励组织建立经验反馈系统,必要时导人知识管理信息系统,适时识别、获取和分享与产品和服务符合性有关的各类知识,涉及知识产权保护的应严格按照国内外知识产权保护相关法规执行。
(3)组织应采取各种措施和借助必要的工具方法,将获取的各类知识应用到流程各个环节,包括及时更新必要的作业流程和标准,以确保管理体系有效运行。组织可以从知识的生成、编码和转移三个阶段分类导人具体的工具和方法。
1)在知识的生成阶段,可以借助于各种综合型的搜索引擎(如百度)和垂直的搜索引
55
擎(如地图搜索)等,及时获取外部知识。也可利用数据总结、分类、聚类和关联规则等各类数据挖掘工具,获取原始数据中隐含的、有意义的高价值知识。还可以利用知识合成工具将凌乱的知识加以合成,形成一个体系或相互关联的关系,清楚地将不同的内容联系起来以供使用,以确保能够及时使用相关业务周围的关联知识。
2)在知识的编码阶段,为便于传播和使用,通常按照流程知识、事实知识、编目知识和文化知识四大类,对获取的知识实施标准化编撰。通过建立知识仓库存储知识条目以及与之相关的事件、知识的使用记录、来源线索等相关信息,以实现隐性知识的显性化、杂乱知识的有序化。或建立知识地图,方便组织的人员在短时间内找到所需要的知识,以大大缩短知识获取的时间。
3)在知识的转移阶段,组织应使用各种知识转移工具以确保知识及时流动,如建立网上培训系统和知识推送系统等,让组织员工及时获取公司战略等相关知识信息,让知识创造价值。
(4)审核关注:
1)知识管理虽然是新的要求,但是对于组织而言,组织的知识一直存在于现有管理体系中并在日常经营管理中实际应用。审核员应在审核开始前进行充分和必要的知识储备,尤其围绕所认证的管理体系范围获取必需的知识并在现场审核过程中加以验证。对于部分已经导人知识管理系统的组织,审核员可以围绕该系统开展审核,判断组织是否能通过识别、收集和应用所需的知识为组织创造价值,并确保知识在组织内的流动以实现知识共享、经验分享,为组织的持续改进提供支持和各类信息资源。
2)当出现以下问题时,应引起审核员的关注,如:保留的大量数据从未进行分析;重复投资开发已存在的知识;同类问题在本组织内重复发生;解决问题后并未纳入规范;重要的隐性知识掌握在少数几个员工手中,又无防止流失的措施;相同工作因人不同而绩效差异极大等。
3、为应对不断变化的需求和发展趋势,组织是否审视现有的知识,确定如何获取更多必要的知识和知识更新?
(1)作为组织创新的一部分,知识创新始终随着时代的进步保持同步发展。尤其是在互联网时代,知识的更新瞬息万变,组织应随着内外部环境的变化及时创新知识结构,确保可持续发展。
(2)审核可结合4.1、4.2、6.1进行,关注组织知识管理的充分性和适宜性。 7.2、能力的确定和获得
1、组织是否确定在其控制下工作,对组织管理体系绩效包括环境绩效及有效性、履行合规义务的能力有影响的人员所需的能力?
(1)组织可以采取多种方式确定能力要求。这可包括任职标准、岗位说明书、特定的服务水平协议,明确说明绩效准则和能力要求。
(2)如使用到外部提供,可能需要一些其它的控制措施,例如开展外包过程审核,检
56
验外部供应商的产品和服务,制定规定所需的能力要求的合同和服务水平协议。组织根据能力对确保符合要求的重要性的不同,采取相应的不同措施。
(3)审核关注能力要求适用于那些可能影响管理体系绩效及有效性能力、在组织控制下工作的人员(代替“代表组织工作的人员”),例如从事检验、测试、审核、客户投诉处理、设计开发、质量技术、特殊工种等直接影响质量绩效的关键、敏感岗位的人员。
(4)特别对于EMS,这些人员影响组织环境绩效、履行合规义务的能力,包括: 1)其工作可能造成重大环境影响的人员; 2)被委派了环境管理体系职责的人员,包括: 3)确定并评价环境影响或合规义务; 4)为实现环境目标做出贡献; 5)对紧急情况做出响应; 6)实施内部审核; 7)实施合规性评价。
2、组织如何基于适当的教育、培训或经历,确保这些人员能够胜任工作? (1)组织应识别和界定在组织控制下的从事影响绩效和效率的岗位,并对该岗位影响工作质量的因素进行分析。进行岗位分析和岗位能力分析,是满足“适任”要求的前提,如岗位分析可以进行横向的对比和水平的对比。
(2)通过上述对比分析或采用其它合理方法分析后,从教育、培训或技能、经历等经验方面确定其能力。组织有必要建立每个岗位的胜任力模型,明确岗位的适任条件,确定员工能力考核的方法和准则。
(3)组织的各级管理人员应基于所管辖岗位的能力标准,适时地评价在岗人员是否持续满足其能力要求。可以和组织的员工绩效考核工作相结合,基于不同的绩效考核周期监控在岗人员在考核周期内的绩效表现,并通过采用绩效面谈、培训等多种手段确保人员能力持续满足。
3、组织是否确定与其管理体系相关和环境因素的培训需求?是否适当时采取措施以获得所必需的能力?
(1)适当措施可能包括,例如:向现有员工提供培训和指导,或重新委派其职务;或聘用、雇佣胜任的人员。
(2)审核关注组织是否适时提出培训要求,尤其强调与其管理体系相关和环境因素的培训需求,综合考虑组织人力资源规划、自身人才培养目标、绩效考核结果、各岗位的培训需求,统筹考虑培训预算安排,汇总形成培训计划并采用师带徒、脱产培训、业余培训等多种措施组织实施。培训手段应多样化,应基于培训需求并以达到培训目的为主,不能为培训而培训,更不能为认证而培训。
(3)当法律法规/内部有要求时,相关岗位人员必须持有效的资质证书,并在证书规定的范围内开展工作。
57
(4)在有条件的情况下,应该考虑到提供延伸服务所需要的技能培训。 4、是否评价所采取措施的有效性?
组织围绕培训目标设计培训有效性评价方式和内容,可通过对理论、实际操作、业绩进行评定和观测等方法,确定受训人员是否具备了所需能力、知识和技能,必要时可提出再培训需求。组织可以开展培训管理体系的PDCA循环运行。
5、组织是否保留适当的文件化信息作为能力的证据? 7.3、确保意识 1、组织如何确保意识?
(1)意识教育和内部沟通是组织企业文化建设的一部分,组织需从核心价值观层面构建组织的企业文化并固化和推广,通过提升高层、中层和基层管理人员及其他各类人员的质量、环境意识进而提升公司的产品和服务质量、质量和环境管理绩效。
(2)对质量和环境方针的认知不应当理解为需要熟记承诺或在组织控制下工作的人员保存有文件化的方针的复本。而是这些人员应当意识到方针的存在、目的及他们在实现承诺中所起的作用,包括他们的工作如何能影响组织履行其合规义务的能力。
(3)对组织员工来说,除了能力提升方面的培训以外,还必须接受意识方面的培训,这涉及组织核心价值观的培训和养成,例如方针目标、红线或底线意识的形成。必须使员工认识到满足顾客或相关方要求和法规要求的重要性,以及不能满足这些要求所造成的不良后果。
(4)通过培训和内部信息交流,使员工提高质量和环境意识,意识到自己从事活动与组织发展的关联性和重要性,鼓励员工参与管理和改进,进一步为实现管理目标作出贡献。培训的形式应多样化、有灵活性,研讨会也是一种有价值的培训。
(5)通过培训和内部信息交流,组织内所有部门和每一个人都应知晓各自应承担的相关质量和环境责任、管理目标、与他们的工作相关的重要环境因素和相关的实际或潜在的环境影响,认识到质量和环境保护是自己的事情,而不仅仅是质量和环境控制保证人员的责任。每一位员工,必须清楚自己所做的每一项工作可能产生的负面影响,以及降低这些影响的控制措施和目标/指标,并在绩效考核的约束氛围中自觉实施。
(6)组织应对新员工进行入职培训,其内容应包括组织在质量和环境方面的战略定位和发展规划、管理方针和管理目标及其职责。
(7)审核关注:确保员工意识的效果体现在其岗位业绩及表现。 7.4、内外部信息交流 7.4.1、对信息交流总要求
1、组织是否建立、实施并保持与管理体系有关的内部与外部信息交流所需的过程? (1)组织需考虑管理体系有效性及其合规义务,确定“4W1H”即需要沟通的内容和沟通对象、最佳的沟通方法以及沟通的时机,还需决定由谁提供沟通。
1)组织内部与外部信息交流的主要内容包括但不限于:
58
——市场信息;
——各项工作的职责和权限,及其接口;
——法规要求/技术规范要求/上级或行业要求; ——相关方的要求和期望,以及顾客反馈的信息; ——对相关方施加影响; ——策划的结果;
——过程控制和改进的要求; ——资源需求/提供/配置信息; ——产品要求及其检验结果; ——管理绩效考核和完成情况; ——体系实施/变更的有关信息; ——审核/评审结论; ——数据统计和分析的信息; ——决议/决定。
(2)审核关注就EMS而言,信息交流使组织能够提供并获得与其环境管理体系相关的信息,包括与其重要环境因素、环境绩效、合规义务和持续改进建议相关的信息。信息交流是一个双向的过程,包括在组织的内部和外部。
(3)审核关注就EMS而言,信息交流应确保一致性且真实可信: ——透明化,即组织对其获得报告内容的方式是公开的; ——适当性,以使信息满足相关方的需求,并促使其参与; ——真实性,不误导那些相信信息报告的人员; ——事实性、准确性与可信性; ——不排除相关信息; ——使相关方可理解;
——信息交流可作为变更管理的一部分。
2、组织是否对其管理体系相关的信息交流做出响应?
(1)组织所接收的信息可能包括相关方对组织环境因素管理有关的特定信息的需求,或可能包括对组织实施管理的方式的总体印象或看法。这些印象和看法可能是正面或是负面的。若是负面看法(例如:投诉),则重要的是组织要及时给出清晰的回复。对这些投诉进行事后分析能得出有价值的信息,可用于寻找改进管理体系的机会。
3、组织适当时是否保留文件化信息,作为其信息交流的证据? 7.4.2、内部信息交流
1、组织是否在其各职能和层次间就管理体系的相关信息进行内部信息交流,适当时包括交流管理体系的变更?
(1)内部信息交流的对象包括但不限于:
59
——工作有接口关系的不同的职能部门之间; ——工作有接口关系的不网层次岗位之间; ——领导与不同层次的员工之间;
——部门/岗位与有工作接口关系的相关方之间。
(2)组织内部信息交流可使用非正式的沟通的方式,例如简报、电子邮件、企业内网等。根据待沟通的问题的重要性,内部信息交流可能也需要较正式的方法,例如书面报告或规范。沟通的主要方式/工具包括但不限于:
——文件资料传递;
——例会/专题会议/座谈; ——口头/书面汇报; ——培训/技术交底; ——网络信息平台;
——警示标志/统一的辨识标志;
——通知、通报、内部刊物、声像和电子媒体。
(3)审核关注内部信息交流内容适当时包括交流管理体系的变更(见6.3),以确保实现管理体系有效性和预期结果。
2、组织如何确保其内部信息交流过程能够促使在其控制下工作的人员对持续改进做出贡献?
(1)审核关注组织是否确保其内部信息交流过程能够促使在其控制下工作的人员对持续改进做出贡献(见7.3)。
7.4.3、外部信息交流
1、组织是否按其建立的信息交流过程的规定及其合规义务的要求,就环境管理体系的相关信息进行外部信息交流?
(1)外部信息交流的对象包括但不限于:工作有接口关系的外部相关方之间,如政府、协会、媒体、公益组织、社区、母公司之间,顾客、供应商、外包/外购产品和服务的外部相关方等。
(2)外部信息交流可能需要更正式的方式,例如报告、规范、发票、服务水平协议等。 (3)审核关注:
1)组织应围绕管理体系前期策划所识别的各利益相关方及其期望(见4.2)、合规义务(见6.1.3)策划和确定不同的沟通方式、时机和责任,尤其对组织外部直接影响到管理绩效的各相关方,更应该加强沟通管理和及时反馈。沟通方式应该明确并保持相对固定,沟通的有效性和及时性应通过检查和追溯“可利用信息”/“免责证据”进行评估。
2)采用一种方式可能就足以满足多个不同相关方的需求,而对于个别相关方提出的特殊需求,可能需要多种信息交流方式。
3)在审核时通常关注组织是否围绕各利益相关方的需求和期望做出了合理的沟通安排,
60
此时一份详细的沟通计划或安排可能是必要的,通过与管理人员的面谈也可以获取这方面信息。
7.5 、形成文件的信息的管理 7.5.1、 形成文件的信息的总要求
1、对文件化信息评审见本文件第3章第3节。 7.5.2 、对文件化信息的创建和更新
1、在创建和更新形成文件的信息时,组织是否确保适当的控制?
(1)在创建和更新形成文件的信息时,组织应决定形成文件信息所适用的标识、格式和媒介,以及如何评审和批准这些信息。
(2)根据组织所运行的过程和体系的不同组织在创建和更新形成文件的信息时所采用的方式和手段也不尽相同。组织可使用电子手段,包括允许编辑和批准,也可以使用硬拷贝系统,并以书面形式规定发布,评审和控制文件的职责。
(3)审核关注:
1)新版标准相较于2008版而言,淡化了文件和记录的要求,在管理体系的文件化方面赋予了组织更多的弹性和灵活性,着重强调要建立的是一个文件化的管理体系,而不是一个文件体系。只有在用于沟通信息、提供所策划的活动完成的证据、或经验分享时才有可能需要形成文件的信息,不能以认证为目的或为接受外部检查而将质量管理体系过度文件化。
2)形成文件的信息不是越多越好,而是应该与组织的规模、活动类型、过程、产品利服务、过程及其相互作用的复杂程度、人员的能力相适应。这些形成文件的信息包括书面文件、计算机硬盘或CD光盘中存放的文件、以及录音、录像、样板/示范、照片或图样等。典型的文件有:政策性文件(如方针)、跨部门的流程性管理文件、操作规程/标准等操作性文件和报告、裆案等证实性文件。
3)形成文件的信息通常包括组织内部产生的文件和源自外部的文件。内部文件包括从规章制度层面考虑建立的制度、办法、规定和实施细则,从企业标准化层面考虑建立的工作标准、管理标准和技术标准——如图样、规程、作业指导书、样板/示范、服务蓝图、工艺流程等,以及执行前述各类文件过程中所产生的各类记录、档案,还有组织发布的与质盈管理体系有关的红头文件。同时组织还要考虑来自于外部的文件,如适用的国际公约、规范、标准、法律法规和技术规格书等。应更多地关注服务行业存放在服务现场的指南性文件、告知、示范/样板等和电商/IT企业存放在业务信息系统和管理信息系统中的电子媒介文档。
4)证实性的形成文件的信息是指对完成的活动或达到的结果提供客观证据的文件。按标准要求规定的记录或组织自身或其相关方需要的记录,其形式(或类型)可采用任何媒体。
5)管理体系策划和编制必要的文件时,不仅需要考虑如何使所策划的这些管理体系文
61
件与组织现有的规章制度体系、企业标准化体系等固有的文件化管理体系保持衔接和一致,还应考虑其充分性、符合性、可操作性、可考核性、5WIH原则、非正常情况下的工作步骤。文件修改的及时性如何保证、文件修改的信息如何收集和传递、如何使文件修改的成本降到最低/方法最简单,是策划的重要内容。
6)对形成文件的信息的控制也包括对其编制、批准、发放、使用、更改、再次批准、标识、回收和作废等全过程进行管理。在形成文件的信息发布前,应由授权的人员对其批准,确保文件充分性,文件的编制人员应对其符合性负责。文件的审核人员除了应对其符合性负责外,还必须对其可操作性负责,文件的批准人应对其实施的后果负责。组织应控制文件修改、发放、回收、标识以防止误用作废文件。对于作废/失效文件的非预期使用、或使用不适用的有效文件所导致的不良后果,应该明确其责任的界定方法和原则。文件的发放对象应在每个文件发放前明确,以确保能够在使用处及时获得适用文件的有效版本。受控文件的流向应确保能够追溯。
7.5.3、对形成文件的信息的控制
1、是否对形成文件的信息的获得并适用、妥善保护予以控制?
(1)根据形成文件的信息的所用方法,组织需要考虑控制的级别,以确保形成文件的信息得到了适当的控制。控制包括可提供性(可用性)、分发和保护(例如防止信息丢失,不当使用和非预期的修改)。
(2)在决定了管理体系需要哪些形成文件的信息后,组织应确保这些形成文件的信息可为所有相关区域、部门、过程所有者所获取。当产品和服务由外部提供时,组织应考虑将相关形成文件的信息以适合于使用的形式提供给外部相关方。例如外部服务提供商的书面服务水平协议或在过程界面以电子格式下载的过程参数信息。作为形成文件信息系统的一部分,组织应确保制定了必要的控制措施以确保信息不被丢失,防止不当使用和非预期的修改。控制措施可包括电子系统只读访问、规定不同级别的访问权限、密码保护和ID叠录等。搓制级别可因访问人员和地点而异,例如外部组织与内部部门相比,可能需要更多的访问限制和非预期的修改限制。
(3)审核关注如何防止组织未对外公开的文件流失,特别是组织特有技术、已有的市场制高点信息的流失,是文件管理的重要内容之一。涉及国家机密的文件需要按照国家保密法规实施密级管控,涉及公司商业机密等方面的信息文档应按照公司内部规定执行。
2、是否对形成文件的信息的分发、访问、检索和使用,存储和防护包括保持可读性,更改(如版本控制),保留和处置等予以控制?
(1)对形成文件的信息的控制还包括分发、访问、检索和使用、存储和防护、变更控制、保留和处置。这也同样适用于由组织确定的对于管理体系的策划和运行而言必要的外部文件。
(2)在建立了控制形成文件的信息分发和访问的系统后,组织需考虑如何存储、维护及随着时间推移在必要时处置信息。形成文件的信息可随组织管理体系发展而变更和发展
62
(见6.3和第10章)。需要考虑如何维护、存储以及在必要用于检索历史的形成文件的信息(档案),以便将来使用。
(3)当组织需要从作废的形成文件的信息中识别信息,并确保仅使当前的形成文件的信息有效时,应考虑版本控制,例如修订状态和作废状态。作废的形成文件的信息的存储非常关键,这些信息应通过恰当形式得以维护,以确保得到保护和清晰可辨
(4)形成文件的信息的保留时间在某些领域可能有法律要求,其它情况下可由组织根据其产品和服务的寿命确定。
(5)审核关注:
1)对形成文件的信息的“访问”可能意味着仅允许查阅,或者意味着允许查阅并授权修改。
2)记录和档案是一种阐明所取得的结果,或提供所完成活动的证据的形成文件的信息。记录所提供的信息可能会作为采取纠正措施的依据,应确保其真实性、可追溯性、规范性,并和档案管理有关规定相一致。应对记录的标识、贮存、保护、检索、保存期限和处置进行控制。记录的检索相归档可采用硬拷贝、电子媒体等信息技术。记录、档案应尽可能格式化,并遵循“简洁明了”原则。在设计记录表格时,应尽可能考虑如何使填写记录的人员简捷方便、内容完整不漏项,同时做到不烦琐。一张表格可以表述的信息最好不要用多张表格记录。
3、对于组织确定的、策划和运行质量管理体系所必需的、来自外部的形成文件的信息,组织是否进行适当识别,并予以控制?
(1)如组织确定来源于外部的文件对于组织管理体系的策划和运行是必需的,则需恰当识别这些文件,并像其它形成文件的信息一样得到控制。这包括顾客的形成文件的信息,例如图纸、指定的测试方法、抽样计划、标准、校准等。
4、对所保留的作为符合性证据的形成文件的信息是否予以保护,防止非预期的更改? (1)如形成文件的信息作为符合性的证据保留,那么这些信息应被保护以免非预期的修改。组织可仅允许对此类形成文件的信息进行受控访问。例如,对某些人员的授权访问、电子访问限制(即只读权限)等。
8 对质量管理体系标准第8章“运行”的审核
8.1、 运行的策划和控制
1、对于4.4确定的为满足产品和服务提供的要求、并实施第6章所确定的措施所需过程,组织是否策划、实施和控制必要的运行过程,包括由外部提供的过程?
(1)应理解:
1) “运行”代替了 “产品实现”,更便于理解,也更符合实际,更适合于各类组织的实施。运行是指满足产品和服务提供要求所需的运行过程,4.4所确定的运行过程应从确定其产品或服务要求(见8.2)开始,可包括设计和开发过程(见8.3),采购过程(见8.4),
63
及生产加工过程、服务过程、防护过程、交付过程(见8.5),及产品和服务的放行(见8.6)、不合格输出的控制(见8.7)等,可至售后服务、乃至产品和服务寿命结束后最终处置过程结束。组织应结合自身实际识别哪些运行过程属于策划和控制的范围,审核员也应关注组织对这些运行过程的策划、实施和控制。
2)“产品实现的策划”则由“运行策划和控制”所代替。进一步明确了之前的策划的要求也包括对运行过程的控制。“产品”也被 “产品和服务”所代替。组织应理解产品和服务的关系,新版标准区分了“产品”和“服务”这两个概念,使之更加适合于组织的实施,特别对于服务性组织。审核员应理解这两个概念。
3)应当与4.4要求的相关内容结合一起来理解。4.4要求组织确定了(包括策划、评价等)8.1运行所需过程来满足要求,8.1则更强调过程的策划,另明确要求予以实施和控制。
4)运行过程策划的输出包括运行准则(如何确定过程的有效性和效率?包括活动顺序、时限、与要求的符合性、绩效指标等)等,未明示出为实现运行准则所需的受控条件(8.5.1则重点强调),注意8.1与8.5.1等的区别。组织当然可以将8.1、8.5.1结合实施。
(1)审核关注第6章所要求确定的风险、机遇和目标,包括潜在变更,都是在对生产和服务提供过程进行策划和控制中要考虑的关键要素。组织应基于风险的思维,在对其运行过程进行策划、实施和控制时,充分考虑第6章所确定的对风险和机遇的应对措施,并在运行过程中,实施这些措施。审核员在实施审核时应关注组织是否考虑并实施了相应的风险和机遇应对措施。
(2)审核关注运行过程的实施和控制,即按照准则实施过程控制(如何控制?对于8.5.1明示出对为实现运行准则所需的受控条件予以控制)。
2、组织是否通过如下措施策划、实施和控制运行过程? (1)(策划)是否确定产品和服务的要求。
策划运行过程应从确定其产品或服务要求开始,在确定产品和服务要求时,组织不应仅考虑顾客和法律法规要求。还宜考虑组织的战略要求,包括利益相关方的相关要求。
(2)(策划)组织是否建立运行过程,以及产品和服务的验收准则。 1)组织是否考虑: ——风险和机遇; ——质量目标;
——产品和服务的要求。
2)组织是否对其运行过程进行策划时考虑过程的运行准则,审核关注组织是否对相关的过程制定了必要的准则,特别是服务过程。
(3)(策划)根据产品和服务提供过程的性质和复杂度,组织是否确定所需的资源以及现有资源是否充足,包括支持每一个过程所必需的资源,这就意味着每个过程的输入、输出和资源都应当得到确定。审核关注资源的范围更加明确、具体,强调组织在确定所需
64
的资源时也要考虑“服务”过程。
(4)是否按照准则实施过程控制。组织需要依据运行准则建立有效的控制措施或受控条件用于:
——确认满足了准则; ——交付了预期的输出; ——识别了需要改进的区域。
(5)组织是否建立并保留形成文件的信息?,而其形成文件的信息程度应当可以确保组织的所有过程能够按照策划的要求得以实施,并确保组织正在提供的产品和服务可以满足相关确定的要求及接收准则。
3、策划的输出是否适合组织的运行需要?
(1)依据8.1a)、b)、c)、e),组织确定的准则以及支持这些准则的文件化的信息是策划的输出。
(2)这些策划的输出将作为作组织内部运行过程的输入,或作为顾客或外部供方用的输入,策划的结果应以适当的格式和媒介保存,以便于需要使用的人方便地使用这些策划的结果。
4、组织是否控制策划的变更,评审非预期变更的后果,必要时,采取措施减轻不利影响?
(1)审核关注组织在对运行过程进行策划时,应充分考虑一旦原有的策划的输出不适应新的情况而需要进行变更时,组织应如何评审对所策划的输出的变更以及如何对变更进行控制。审核员在审核时也应关注对组织是如何评审策划的变更,如何对变更实施控制的。
(2)审核关注组织可同时考虑计划中的变更和潜在的非预期变更,及这些变更可能对运行造成的影响。组织应监控针对产品和服务提供的计划性变更,并对非计划性的变更结果进行评审。在必要情况下,组织应当采取措施以应对或减少任何不良影响。
5、组织应确保外包过程受控(见8.4)?
审核关注增加了对外包过程的控制要求,进一步明确外包过程也是组织运行过程的一部分,组织也应予以策划和控制。
8.2、 产品和服务的要求 8.2.1、 顾客沟通
1、组织是否建立了与顾客沟通的过程?
(1)在确保在确定产品和服务需求时组织和顾客间进行了沟通。组织应当拥有相应的过程,从而使其能够与顾客就产品和服务、问询、合同或订单处理(包括修改)、顾客意见和感受(包括顾客投诉)、顾客财产的处理和对待(如适用)及应急措施的特定要求(在相关情况下)等事宜进行沟通。
(2)组织与顾客沟通的目的是为了使组织充分理解顾客的要求与期望,组织应该明确需要与顾客在哪些方面进行沟通、沟通的渠道和方法、沟通过程的有关要求。对这些明确
65
了的沟通过程,组织应有效实施并确保沟通有效并实现顾客要求。
(3)审核关注顾客沟通出现在了对顾客要求进行确定和评审之前,这一变化表明,组织不仅在和顾客建立了合同关系之后要进行沟通,在确定要向顾客提供什么产品和服务之前也应与顾客进行沟通,理解顾客要求,体现了顾客要求的重要性。
2、为确保确定产品和服务需求,组织实施了哪些沟通?
(1)组织和顾客的关系是通过产品或服务联系起来的。因此与顾客沟通的内容主要也是围绕着产品或服务而言,包括:
1)沟通要提供的产品或服务的细节,以便使顾客理解组织提供给顾客的是什么。这些信息可通过印刷品、网站、电话或其它适当形式进行沟通;
2)明确顾客可如何联系组织进行提问、订购产品或服务,以及组织将如何告知顾客相关变更;
3)建立适当形式让组织从顾客处获取有关问题、疑虑、投诉、正面和负面反馈的信息。形式可包括但不限于直接发送电子邮件或拨打电话、在线调查、顾客保障渠道、面对面会议;
4)适宜时,确保顾客得知组织如何处理和控制顾客财产;
5)确保在出现紧急情况时,组织积极与顾客就可能的事宜和可采取的措施进行沟通。这里的事宜是指对满足顾客要求有负面影响的问题。
(2)沟通的内容增加了顾客财产的处理和控制、以及在相关情况下应急措施特定要求的内容,审核员应关注组织对这些新增内容的沟通是否作出了必要的安排。
8.2.2 产品和服务要求的确定
1、在确定向顾客提供的产品和服务的要求时,组织是否建立过程以确保产品和服务的要求得到规定?
(1)产品和服务要求的确定放在了顾客沟通之后,这一变化表明,组织在确定要向顾客提供什么产品和服务时应充分考虑顾客的想法。
(2)是否确保提供给顾客的产品和服务要求得到确定,其中包括任何适用的法律法规要求和组织认为需要的要求。定义产品和服务要求时可考虑:
——产品或服务的目的是什么; ——顾客需求和期望; ——相关法律法规要求。
2、在确定向顾客提供的产品和服务的要求时,组织是否建立过程以确保有能力来满足所确定规定的要求?
(1)组织是否落实其打算提供的产品和服务的要求,组织在确定产品和服务的要求时应考虑组织的能力,确保组织能够满足组织所确定的产品和服务的要求,组织不应不切实际地确定产品和服务的要求以导致随后的违约。
(2)在确定是否满足了作出的产品和服务承诺时,组织可考虑如下因素:
66
——可用的资源; ——能力和产能: ——组织知识;
——过程确认(如产品测试、服务演示)。
(3)审核关注组织是否已经确定其提供的产品和服务要求的过程,并应当寻找证据来证实这一点。应当证实组织有能力落实任何对其产品和服务满足规定要求的声明。
8.2.3 产品和服务要求的评审
1、在承诺向顾客提供产品和服务之前,组织是否通过对各项要求进行评审,以确保有能力满足向顾客提供的产品和服务的要求?
(1)组织是否评审了对顾客作出的承诺,且有能力实现这些承诺。评审能让组织减少有关事宜在运行和交付后的风险。强调了评审的目的是确保组织有能力满足提供给顾客的产品和服务的要求,组织实施的评审应基于此目的而不应流于形式,审核员对此应予以关注。
(2)审核关注组织评审的内容是否以覆盖下各项要求内容:
1)顾客明确的要求,包括对交付及交付后活动的要求;交付和交付后的行动例如运输、用户培训、现场安装、质量保证、维修、顾客保障;
2)顾客虽然没有明示,但规定的用途或已知的预期用途所必需的要求;例如是否可满足隐含的需求,产品或服务应能满足顾客的期望。
3)组织规定的要求;例如组织为超越顾客期望/提高顾客满意度/符合内部方针而选择满足的其它要求:
4)是否已考虑和满足了适用于产品和服务的法律法规要求; 5)与先前表述存在差异的合同或订单要求。
2、若与先前合同或订单的要求存在差异,组织是否确保有关事项已得到解决? (1)如之前确定的要求与合同或订单中规定的要求不一致,组织应与顾客进行沟通,解决这些不一致。
(2)审核关注解决措施及实施结果,例如是否对合同或订单做出了变更。
3、若顾客没有提供形成文件的要求,组织在接受顾客要求前是否对顾客要求进行确认?
(1)在某些情况下,如网上销售,对每一个订单进行正式的评审可能是不实际的,作为替代方法,可评审有关的产品信息,如产品目录。
(2)如顾客提出要求时没有形成文件,例如通过电话或当面预定时,则组织在向顾客提供产品或服务前应经顾客确认其要求。例如在餐馆点餐后可向顾客重复所点的食物,又如在电话洽谈时复述客户要求,并做好记录。
4、 适用时组织是否保留评审结果和产品和服务的新要求有关的形成文件的信息? (1)适用时组织是否保留了形成文件的信息,以证明组织对与顾客签订的最终协议,
67
包括对其的修改或变更进行了评审,并证明组织能够满足产品和服务有关的要求。例如组织可通过任何适当媒介保留评审的结果。例如餐馆可保留书面或电子订单,详细记录顾客所点的菜品食物,而对于一个复杂的建筑施工项目,组织可能需要保留详细的可行性分析报告等。
(2)如评审识别出有增加或变更的需求,组织应更新或增加形成文件的信息,以确保记录了新需求(例如宜保留变更订单或解决误解的邮件对话)。这些文件化的信息可作为将来与新顾客和现有顾客的类似协议的依据。
5、若产品和服务要求的更改,组织是否确保相关的形成文件的信息得到修改,并确保相关人员知道已更改的要求?
(1)审核关注为确保相关人员了解需求变更,组织宜选择合适的沟通方法,并保留适当的形成文件的信息,如沟通的电子邮件,会议纪要或修改后的订单。
8.3、 产品和服务的设计和开发
8.3.1、对产品和服务的设计和开发的总要求
1、组织是否建立、实施和保持适当的设计和开发过程,以确保后续的产品和服务的提供?
(1)产品和服务的设计和开发由一组运用产品或服务的理念或要求的过程组成。这些理念或要求可来自顾客、最终用户或组织。
(2)产品和服务的设计与开发过程需要对理念或要求进行处理,处理后得到更为详细的要求,从而最终定义产品或服务的特性。如组织仅使用顾客或最终用户提供的理念或要求,而不增加更多的细节,就算不上有设计和开发活动。
(3)但大多数组织都需要开发(发展)由外部相关方提供的产品理念或要求,以便理解将采取什么样的措施来确保提供所需的产品和服务。这包括对采购、生产或交付后活动的要求。
(4)设计和开发要求也适用于产品和服务。在制造活动中,设计和开发要求适用于生产过程的设计和开发。而对于服务而言,设计和开发输出可以是提供服务的具体方式。
(5)审核关注:
1)这是一项新要求,设计和开发是指:“将考虑实体的要求转换为对该实体更详细的要求的一组过程”,也就是说只要有把实体的要求转换为更详细的要求的过程,就存在设计和开发过程。这一要求组织应当引入一个适当的设计和开发过程,目的是确保后续的产品和服务的提供能有效实施。这个过程对多数组织来说都是适用的,不能随意删除(见4.3)。审核员在审核时应关注组织是否正确地引入了设计和开发过程,并予以实施和控制。
2)审核员应当关注并证实组织设计和开发过程的存在,而且得到实施。审核员应当增加产品和服务知识,以及获得这些知识的方法,从而使其有能力验证组织的质量管理体系是否应当包括设计和开发过程,特别是对服务行业设计开发过程,审核员应予以关注。
8.3.2、设计和开发策划
68
1、组织是否策划设计和开发各个阶段的控制措施?
(1)组织是否策划和控制其产品和服务的设计和开发。设计和开发过程将由几个阶段组成,每一个阶段都要得到控制。
(2)设计和开发策划的输出是针对特定项目的任务和活动计划。这一计划包括对策划的活动绩效可能产生影响的限制和风险、资源需求及对分工和职责的明确定义。
2、如何确定设计和开发的各个阶段的控制措施?考虑哪些要素? (1)确定设计和开发的各个阶段的控制应考虑如下要素:
1)设计和开发的是新的还是现有的产品或服务,以及其复杂程度(如规模和细节等物理因素或服务的预定期限和程度)和交付要求等因素;
2)必要的阶段(如概要设计、详细设计、试生产或服务测试、评价及评审); 3)为确保输出的产品和服务满足输入要求、规定用途或预期用途而需要实施的验证和确认活动;
4)确定的设计和开发工作的具体内容,以及设计和研发过程中涉及的必要的职责和权限;
5)需要的内部和外部资源(例如组织知识、设备、技术、能力要求、顾客或供应商的支持、临时工、提供技术信息的标准或规约);
6)参与设计和开发过程的人员之间的沟通,应考虑参与的人数和最有效的信息共享方式;
7)顾客和用户在设计和开发活动中可能的参与(例如顾客调研或消费者的监控); 8)要使相同的产品和服务重复获取订单,需要什么;
9)预期的顾客或其它相关方对过程的控制级别(例如医疗设备或飞机的安全枪查)。如顾客或最终用户未确定明确的控制措施,组织宜根据产品和服务的性质确定必要的控制措施;
10)确认是否满足了设计和开发要求,以及在评审、验证和确认阶段适当执行了过程的文件化信息的客观证据。如设计和开发活动导致了非预期的输出,详细记录活动的形成文件的信息可有助于识别问题原因。如设计和开发过程顺利,且产出的产品或服务完全和预期一致,保留的形成文件的信息可用于后续活动参考以确保一致性。
(2)审核关注:
1)增加了“产品和服务的设计和开发所需的内部和外部资源”的内容。组织应识别产品和服务的设计与开发需要哪些内外部资源,并提供这些资源,例如必要的设备、技术,顾客和外部供方提供的信息、资料等。审核员在审核时也应关注组织是否能证实其已经充分考虑了这一因素。
2)增加了“顾客和使用者参与设计与开发过程的需求”的内容。组织应考虑在设计和开发的过程中,何时需要顾客和使用者参与,例如邀请顾客或使用者试用样品。审核员在审核时应关注组织是否能证实其已经充分考虑了这一因素,并适时邀请顾客和使用者参与
69
设计和开发活动。
3)增加了关于保留形成文件的信息,以证实设计与开发的要求已得到满足的内容。组织应识别需要保留哪些信息,审核员应关注组织是否已经保留相应的形成文件的信息。
8.3.3 、设计和开发输入
1、组织是否针对所设计和开发的具体类型的产品和服务,确定基本的输入要求? (1)确定特定的设计和开发项目的输入是设计和开发过程的重要的活动之一。这些输入应该没有歧义,完整且和定义的产品或服务特性的要求一致,包括:
1)由顾客、市场需要或组织确定的功能或性能要求;
2)之前类似设计和开发活动的信息,这些信息可以帮助组织提高设计和开发的有效性,并使组织通过借鉴以往类似设计的经验,不断完善设计和开发活动,甚至创造出更佳的设计开发的实践样板,也可以帮助组织避免和减少设计和开发中的错误;
3)与产品或服务或产品或服务的提供(例如生产过程中的实践、运输或其它交付机制)直接相关的法律法规要求(例如安全规范、食品卫生法);
4)组织自愿承诺符合的标准或行业惯例(如行业规约,健康和安全标准); 5)由产品和服务的性质导致的失效的潜在后果。这些产品和服务失效的后果大到可能致命(例如举办某个大型活动时道路交通安全的策划不周全可导致事故),小到可熊导致顾客不满意(例如织物的颜料不稳定导致褪色或掉色)。
(2)如输入的要求存在冲突或困难或无法实现,组织应开展活动来解决这些问题。 (3)审核关注:
1)产品和服务的设计和开发输入主要的内容是与产品和服务要求有关的信息。其中最主要考虑的信息应该是顾客的需要,包括顾客所期望的但没有表述出来的愿望或潜在的需求,审核应予以关注。
2)强调了在确定产品和服务的设计和开发输入时应考虑“由产品和服务性质所决定的、失效的潜在后果”。
3)审核员应关注组织是否已经对新要求进行了有效应对,特别要关注组织在确定设计和开发的输入时是否考虑了设计和开发失效可能导致的潜在后果,并有必要的应对措施。
4)组织是否保留有关设计和开发输入的形成文件的信息? 8.3.4 设计和开发控制
1、组织是否对设计和开发过程进行控制?
(1)在确定了输入后,组织应按照计划实施和控制设计和开发活动,似确保设计和开发过程有效。组织应当对设计和开发过程进行控制,控制内容包括规定设计与开发活动拟取得的结果、进行评审、验证和确认活动,以及针对评审、验证和确认活动中确定的问题所采取的必要措施。
(2)评审、验证和确认活动对于控制设计和开发过程至关重要。因此需要有效实施这些活动。组织应确保:
70
1)所有参与设计和开发活动的人员知道且充分理解了顾客或最终用户要求和期望的最终输出。应综合考虑与这些要求的偏离或差异,例如计划提升产品性能应对照考虑易用性等因素。
2)设计和开发策划各阶段有正式检查且存在每个阶段的输出,以确认它们满第三节产品和服务的设计和开发足了输入要求、识别了问题并制定了解决方案。未参与设计和开发过程的其它阶段的人员可参与这些评审,包括参与产品生产或眼务的人员,以及相关顾客、最终用户和供应商。
3)通过验证检查确保满足在设计和开发过程初期识别的所有要求。对于大型项目而言,这一过程可分到各关键阶段,并在每个阶段结束时进行验证。验证活动可包括:
——开展替代计算;
——将新设计与类似的经验证的设计作比较; ——开展测试和鉴定;
——在发布前检查设计阶段文档。
4)通过确认检查确保最终的产品或服务按照预期使用要求满足顾客或最终用户的需求。确认活动可包括:
——营销试用; ——运行测试;
——预期的用户条件下的模拟和测试;
——部分模拟或测试(例如测试建筑物经受地震的能力); ——提供反馈的最终用户测试(例如软件项目)。
注:评审、验证和确认有可能在一个过程中完成。如验证作为评审的一部分来进行,或验证和确认同时进行,则没有必要重复同一活动。
5)如评审、验证和确认活动发现了问题,应决定这些问题的解决措施。应将这些措施的有效性作为下次评审的部分内容。
6)应保留评审、验证和确认活动的形成文件的信息,作为按照计划开展了设计和开发活动的证据。
(3)审核关注:
1)合并了设计评审、验证和确认三个条款,形成了对设计和开发的控制要求,并明确了如上6项内容的控制目的,审核员应关注组织是否根据要求修改了相关文件和过程,并按要求对设计和开发活动进行控制。
2)增加了设计和开发应确保“规定拟获得的结果”的内容。审核员应关注组织在对一个具体的设计和开发活动进行控制时是否明确规定了该设计和开发所要达到的结果,如何确保实现活动所期望的结果。
3)不再明确的划分评审、验证和确认阶段,便于组织更好地结合自身实际对设计和开发活动进行控制;审核员应注意不应强制要求组织必须提供独立的评审、验证和确认活动
71
的证据。
8.3.5、设计和开发输出
1、如何确保对设计和开发输出的控制?
(1)设计和开发的输出因设计和开发过程的性质而异。设计和开发的输出将是生产和服务提供过程的关键输入。设计和开发的输出应为组织提供预期产品和服务所需的所有过程(包括采购生产和交付后活动)提供信息,以便参与人员理解需采取哪些措施,及采取措施的顺序。
(2)设计和开发输出可包括:
——图纸、产品规范(包括防护细节)、材料规范、测试要求; ——过程规范、必要的生产设备的细节; ——建筑计划和工艺计算(例如强度,抗震); ——菜单、食谱、烹调方法、服务手册。 (3)设计和开发输出应:
1)说明将如何满足如下输入要求: ——满足输入的要求;
——对于后续的产品和服务的提供过程是充分的;
——包括或引用监视和测量的要求,适当时,包括接收准则; ——规定对于预期目的、安全和正确提供的产品和服务的基本特性。
2)足以确保提供产品和服务所需的所有后续过程可运作实施,并考虑到谁将在什么情况下使用输出;
3)提供关于监视和测量所需的明确信息,包括所有验收准则;由外部提供的过程、产品和服务、以及产品和服务放行等细节;
4)提供为确保以安全和恰当的方式生产产品或提供服务的产品和服务特性的关键信息,以及详细描述将如何使用产品或服务的信息(例如药品使用,食品存储或产品清洁说明书)。
(4)审核关注:
1)输出的内容增加了“包括或引用监视和测量的要求”,而不仅仅是产品的接受准则。应关注这一变化,特别是服务行业,其设计和开发的输出有很多是服务规范和要求等,则在设计和开发的输出中应考虑如何对服务规范执行的情况进行监视和测量。
2)审核应关注组织的设计和开发输出是否包括了“监视和测量的要求”的内容。审核员还应特别关注服务行业设计和开发的输出是否满足本条款的要求。
3)设计和开发的对象可以是产品、也可以是过程、服务或软件,因此输出的内容可以是图纸、工艺方法、要求,也可以是过程规范或服务规范等,组织不应理解设计和开发仅仅是针对有形产品。审核员在审核时对此应予以关注。
4)组织是否保留设计和开发输出的形成文件的信息?增加了组织应保留其设计和开发过程相关形成文件的信息的要求。组织的设计和开发的输出应明确哪些信息需要形成文件,
72
审核员应关注组织是否满足了关于形成文件的信息的要求。
8.3.6、设计和开发更改
1、是否对设计和开发更改进行适当的识别、评审和控制?
(1)组织是否识别、评审和控制在设计和开发过程期间或之后所做的变更。组织应将如何与其它过程或相关方(例如顾客或外部供应商)互动视作设计和开发过程的一部分,并在识别设计和开发变更时考虑这些内容。
(2)变更可能源自质量管理体系中的任一活动,也可能发生在任一阶段,包括: ——在设计和开发过程实施期间; ——在设计和开发输出发布和批准之后;
——作为监控顾客满意和外部供应商绩效的结果。 (3)是否保留有关设计和开发变更的形成文件的信息? ——设计和开发更改; ——评审的结果; ——更改的授权;
——为防止不利影响而采取的措施。 (4)审核关注:
1)不再明确规定“应当对设计和开发的更改进行适当的评审、验证和确认,并在实施之前得到批准”,这更便于组织实施,有利于组织根据变更项目的具体性质、范围、特点、内容以及对后续过程和最终产品的影响程度对设计和开发的更改进行策划和适当的控制。
2)明确了组织应保留4个方面的形成文件的信息。组织应充分识别需保留哪些形成文件的信息,审核员在审核时应关注组织是否保留了必要的信息。例如:
——设计更改的细节和授权。这些信息不仅可以作为组织实施更改的证据,也可以帮助组织在必要时澄清责任、降低风险。
——变更对组成部分或已交付的产品或服务的影响评价的结果;
——评审、验证和确认过程通常可产生详细记录设计和开发变更的形成文件的信息;这些信息还可能详细描述针对受影响的后续过程(例如采购、生产、服务或产品提供)采取的措施,以及如何沟通这些措施。
3)审核员在审核时应注意,不应强求组织必须对设计和开发的更改进行评审、验证和确认,但并不意味着所有的设计和开发的更改都不需要进行评审、验证和确认了。
8.4、 外部提供的过程、产品和服务的控制
8.4.1 、外部提供的过程、产品和服务的控制总要求 1、组织是否确保外部提供的过程、产品和服务符合要求?
(1)组织是否确定哪些内部的过程与外部提供的过程存在相互关系,确定外部提供过程对组织运行绩效的影响。组织还应识别由外部提供的,组成最终产品或服务的一部分或对产品或服务提供有关键作用的材料、组件或服务。组织应根据每个外部供方对运行和绩
73
效的影响,确定对外部提供方的要求和特定的控制措施。例如组织可要求:
——原材料经检验或试验符合技术规范;
——合作公司提供的维护活动由具备使用规定安全设备特定能力的人员来实施。 (2)审核关注“采购”变为“外部提供过程、产品和服务的控制”,进一步明确了控制的对象和范围,对此应予以关注。控制范围不仅仅局限于采购产品,还增加了对外包过程和外部提供的服务的控制要求。组织应识别其是否存在外包过程和外部提供的服务,并采取了必要的控制措施。审核员在审核时也应关注组织的识别和控制是否充分、有效。
2、组织是否建立管理外部供方的过程,确定对外部提供的过程、产品和服务实施的控制?
(1)外部提供的过程、产品和服务包括:
1)外部供方的过程、产品和服务将构成组织自身的产品和服务的一部分; 2)外部供方代表组织直接将产品和服务提供给顾客; 3)组织决定由外部供方提供的过程或过程的一部分。
(2)组织应建立管理外部供方的过程,该过程将供方评价、选择、绩效监控和评审准则等因索,及8.4.2、8.4.3的相关要求纳入考虑。准则应依据为每个供方确定的特定要求。这一过程的实施可让组织能清楚理解外部供方目前的能力并识别与需求的差距,以便建立一个开发计划来解决这些问题。
(3)审核关注在2008版标准要求对供方的能力进行选择、评价要求的基础上,新版标准明确要求组织应对其外部供方进行控制。组织应针对不同的供方规定相应的控制要求,并有效实施控制。审核员在审核时对此应予以关注。
3、组织是否基于外部供方按照要求提供过程、产品或服务的能力,确定外部供方的评价、选择、绩效监视以及再评价的准则,并加以实施?
(1)审核关注新版标准增加了建立对外部供方绩效进行监视的准则并实施监视的要求,强调组织应关注外部供方为组织提供产品和服务的绩效,例如供货质量、及时交货率、违约率等。
(2)组织应采取适宜的方法(如样品试用、对产品进行检测或测量、第二方审核、现场调查;供方质量业绩的评价、顾客满意测量结果、与产品有关的历史业绩;征询供方其他顾客的意见、了解其社会信誉等)对外部供方的绩效进行持续的监视。审核员在审核时应关注组织是否建立了监视外部供方绩效的准则,采用了哪些方式实施监视。
4、对于确定外部供方的评价、选择、绩效监视以及再评价的准则并加以实施的活动,及由评价引发的任何必要的措施,组织是否保留形成文件的信息?
(1)审核关注明确要求组织应保存选择、评价和重新评价活动及评价所引起的任何必要措施的形成文件的信息,如果组织以前没有记录这些活动的结果,那么现在就要这样做了。这意味着组织应当比以前保留更多形成文件的信息。
8.4.2、对外部提供的过程、产品和服务控制类型和程度
74
1、组织是否确保外部提供的过程、产品和服务不会对组织持续地向顾客交付合格产品和服务的能力产生不利影响?
(1)组织对外部提供的过程、产品和服务控制的类型和程度取决于外部供方提供的过程、产品或服务对组织产品或服务符合要求可能造成的影响。审核关注组织是否确定要对外部供方及其提供的过程、产品或服务实施的具体控制要求,并有效实施。这些控制旨在确保产品或服务提供按计划进行并符合要求,确保外部提供的过程、产品和服务不会对组织稳定地向顾客提供合格的产品和服务的能力产生不利影响。
2、组织如何确定对外部提供的过程、产品和服务控制类型和程度?
(1)在确定对外部提供的过程、产品和服务控制类型和程度时,组织是否考虑: 1)在决定控制的类型和程度时需要考虑到这些过程、产品和服务对于组织向顾客提供符合要求的产品和服务的能力的潜在影响;
2)由外部供方实施控制的有效性。
(2)组织对外部提供的过程、产品和服务控制措施是否包括:
1)确保外部提供的过程保持在组织的质量管理体系的控制之中。如组织提供给外部供方的信息(见8.4.3)、对外部提供的过程进行评审、驻厂监视等。
2)规定对外部供方的控制及其输出结果的控制。如对外部供方的评价、选择、绩效监视以及再评价(见8.4.1)、组织提供给外部供方的信息(见8.4.3)、第二方审核、统计数据和绩效评价等。
3)确定对外部提供的过程、产品和服务必要的验证或其他活动,以确保其满足要求。如组织提供给外部供方的信息(见8.4.3)、验收检验、分析报告、试验等。
(3)审核关注组织对于一些对最终产品或过程有重要影响、或价值较高的材料和零部件、或外包的过程的控制应适当从严。可分类分级实施差异性控制,用什么方法控制、控制到什么程度,应由组织根据其对运行过程及最终产品质量的影响程度决定。
(4)审核关注原料和零部件对产品的质量有影响是显而易见的,但是某些外包的过程也会对产品有重要影响,对此,一些组织没有引起足够的重视,将会对组织的产品信誉带来不利的影响。审核员在审核时应予以关注。
8.4.3、组织提供给外部供方的信息
1、组织是否确保在与外部供方沟通之前所确定的要求是充分的?
(1)审核关注组织应确保所确定的要求完整、清晰,对可能发生的问题有应对措施,目的是确保外部提供的过程、服务或产品不会对组织的运行或顾客造成负面影响。控制措施包括对所确定的要求进行评审。
2、组织与外部供方沟通要求是否充分?
(1)组织与外部供方关于过程、产品和服务进行沟通的相关信息,且双方就要求的内容达成了一致,旨在确保组织明确地向外部供方沟通了组织对其提供的过程、产品和服务的控制要求。这些信息可以是形成文件的信息,也可以是口头表述的有关信息。
75
(2)组织应与外部供方沟通的要求包括如下内容,但那些要求纳入控制取决于这些过程、产品和服务对于组织向顾客提供符合要求的产品和服务的能力的潜在影响(见8.4.2)。
1)拟提供的过程、产品和服务。 2)对下列内容的批准: ——产品和服务; ——方法、过程和设备; ——产品和服务的放行。
3)能力,包括所要求的人员资格。 4)外部供方与组织的互动。
5)被组织所用的外部供方绩效的控制和监视。
6)组织或其顾客拟在外部供方现场实施的验证或确认活动。
(3)审核关注不再强调“质量管理体系要求”。组织应结合自身需要考虑是否要对外部供方提出“质量管理体系要求”。审核员不应强求组织一定要向外部供方提出“质量管理体系要求”。
(4)审核关注组织对外部供方的绩效实施控制和监视的要求,组织可以根据需要确定对外部供方的绩效实施控制和监视的方法、程度以及相关的职责和权限。
(5)审核关注对“人员资格的要求”扩充为“能力”要求,其内涵更丰富。 (6)审核关注增加了“组织或其顾客拟在外部供方现场实施的验证或确认活动”的内容。
8.5、生产和服务提供
8.5.1、生产和服务提供的控制
1、组织是否在受控条件下进行生产和服务提供?
(1)要求组织应根据8.1中确定的运行准则确定控制生产和服务提供的受控条件或控制措施,以确保运行准则得以满足。为了控制生产和服务提供过程,组织应考虑生产和服务的整个周期,包括对交付后活动的要求,如质保或投诉处理。
(2)审核关注组织应“保持和实施“所确定的受控条件,即生产和服务提供应在受控条件下进行。
(3)适用时受控条件包括人机(料?)法环测等8个方面(见8.5.1a)-h)),审核关注“适用时”意味满足一个运行准则不需要同时覆盖8个方面的受控条件。
(4)审核关注对保持受控条件的审核方法首先应考虑现场观察、交谈。 2、适用时所确定的受控条件包括哪些? (1)可获得形成文件的信息 1)以规定以下内容:
——所生产的产品、提供的服务或进行的活动的特性; ——拟获得的结果(例如活动、关键控制点、程序)。
76
2)审核关注新版标准中的“形成文件的信息”所代替“表述产品特性的信息”和“作业指导书”。
(2)可获得和使用适宜的监视和测量资源
1)审核关注使用了“监视和测量资源”,而不是“监视和测量设备”,从而反映出监视也可能是由人员来实施。例如服务业由人来实施对服务过程的检查,而实施检查的人员也是资源的一种。同样“监视和测量资源”也包括软件和信息资料,对此组织和审核员应都有予以关注。
(3)在适当阶段实施监视和测量活动,以验证是否符合过程或输出的控制准则以及产品和服务的接收准则
1)审核关注强调了“在适当阶段实施监视和测量活动”要求,其目的是为了验证过程正处于控制之下,若出现偏差及时有效纠偏,并满足过程和过程输出的控制准则以及产品和服务的接收准则。
2)组织应策划实施监视和测量的时机和方法,审核员在审核时也应关注组织是如何策划和实施监视和测量的。
(4)为过程的运行提供适宜的基础设施和环境
1)审核关注将“使用适宜的设备”进一步明确为“为过程的运行提供适宣的基础设施和环境”。强调了组织的运行过程,需要的不仅仅是生产加工设备,其他必要的基础设施和工作环境也是十分必要的,组织和审核员都应对此予以关注。
(5)配备具备能力的人员,包括所要求的资格
1)审核关注增加了“配备具备能力的人员,包括所要求的资格”,强调了人的能力也是确保过程受控的条件之一,并对过程至关重要。组织应根据各运行过程的需要为过程委派具备能力/资质的人员以确保过程受控。审核员在审核现场应获取相关证据,以证实组织确实为过程委派了适宜的人员。
(6)若输出结果不能由后续的监视或测量加以验证,应对生产和服务提供过程实现策划结果的能力进行确认,并定期再确认。
1)审核关注新版标准将2008标准“生产和服务提供的控制”和 “生产和服务提供过程的确认”为基础,将相关要求进行了合并和扩展。
2)审核关注根据不同组织运行过程的性质,有的组织可能存在输出无法被后续的监视或测量予以验证的过程(ISO9000标准:不易或不能经济地确认其输出是否合格的过程,通常称之为“特殊过程”)。对这样的过程组织需要进行确认和定期再确认。确认即提供客观证据,证明满足了针对特定的预期用途或应用的要求。如组织没有为此类过程确定确认过程,则有可能增加不合格输出或顾客投诉的风险。需要确认的过程例子有:
——依赖信息系统运作和过程操作人员的银行交易; ——炉温变化可降低产品的功能或寿命的工厂热处理。
3)审核关注策划确认控制的所需受控条件并强调保持其客观证据,但不再明示出“三
77
鉴定一记录”要求。
(7)采取措施防范人为错误
1)审核关注增加了“采取措施防止人为错误”,对那些更多依赖人的过程,应特别关注是否有防错措施。组织应识别这些过程,并制定必要的防错措施,例如人机工效、提醒、报警装置等,审核员也应加强这方面的知识,以提高审核的有效性,并在审核中能获取证据,证实组织充分识别、建立并有效实施了防错措施。
(8)实施放行、交付和交付后活动
1)审核关注生产和服务放行或交付有别于产品和服务的放行(见8.6即事后控制),如例外转序、三工序、三检制等。
2)审核关注对实施交付后活动的控制,有别于8.5.5(强调确定活动的范围和程度)。 8.5.2、对过程输出的标识和可追溯性控制
1、需要时组织是否采用适当的方法识别输出,以确保产品和服务合格?
1)审核关注使用“过程输出”替代了“产品”,二者并无本质上不同,但是范围、对象更加严谨、合理。“过程输出”的内容既可以是采购过程输出的原材料,也可以是半成品、零部件和最终产品,也可以是服务的结果或某一过程的结果。
2)审核关注用“产品和服务”替代了“产品”,进一步明确了标识的对象也包括服务。组织不应仅仅关注实物产品的标识,也应关注对服务过程的输出的标识,例如“如车位已满”“已清扫”。
3)需要时可理解为是否标识应考虑输出需要识别的原因。
2、组织是否在生产和服务提供的整个过程中按照监视和测量要求识别输出状态?当有可追溯要求时组织是否控制输出的唯一性标识,且应保留所需的形成文件的信息以实现可追溯?
1)审核关注组织对识别所需要追溯的输出,保留并可提供每个被标识的输出的有关的文件化信息。
8.5.3、对顾客或外部供方的财产的控制
1、组织在控制或使用顾客或外部供方提供给组织使用的财产期间,是否对其进行妥善管理?
(1)顾客财产可能是有形的,也可能是无形的(例如材料、工具、用户端、知识产权或个人数据)。组织应根据财产的类型采取适当的保护措施。应明确识别财产的所有者,并周知组织内部。
(2)对组织使用的或构成产品和服务一部分的顾客和外部供方财产,组织是否予以识别、验证、防护和保护?
1)在由组织控制顾客财产时,对该财产的验证十分重要(例如状态或物理条件,个人数据的准确性)。组织应对这些财产进行正规的验证。
(3)若顾客或外部供方的财产发生丢失、损坏或发现不适用情况,组织是否向顾客或
78
外部供方报告,并保留相关形成文件的信息?
1)形成文件的信息的目的在于保证相关信息可用于确保顾客或外部供方被准确告知财产是否已丢失、损坏或处于其它不适合使用或无法使用的情况。
(3)审核关注:
1)以2008版标准“顾客财产”为基础,在范围上扩展到不仅仅是顾客财产,而且也包括了外部供方提供给组织使用的财产,例如外部供方给组织送货时提供的周转箱。组织应关注并应对这一变化,充分识别顾客或外部供方的财产,并实施有效控制。审核员在审核时也应关注组织是否考虑并实施了对外部供方财产的控制。
2)审核员应当获取相关证据,以确认原有只针对顾客财产的控制已经扩展到针对外部供方提供财产的控制。
8.5.4 、防护控制
1、组织是否在生产和服务提供期间对输出进行必要防护,以确保符合要求? (1)防护可包括标识、处置、污染控制、包装、储存、传输或运输以及保护。防护是在生产和服务提供期间需要考虑的受控条件之一。组织应确定可影响产品或服务符合性的输出,并实施适当的防护措施,以防止生产和服务提供过程中的任何输出遭到损坏,确保这些输出符合要求。
(2)审核关注:
1)2008版中的“产品”由“生产和服务提供期间的输出”(以下简称“输出”)替代,使产品防护的范围更加合理,全面,更符合组织实施防护的实际情况:对制造业而言,这里的“输出”主要指的是产品,即:“在组织和顾客之间未发生任何交易的情况下,组织生产的输出”。而服务行业,其“输出”有其特殊性,它是指的:“至少有一项活动必须在组织和顾客之间进行的输出”。
2)组织应充分识别哪些“输出”需要予以防护,以及使用什么样的方法予以防护。组织应结合其特点采用适宜的方法对其“输出”予以防护,如软件行业对其编制的程序、电子文档的防护、设计院对其设计图纸的防护,再比如服务行业对其服务过程使用的工具、文件资料的防护、以及对服务对象的保护等。审核员在审核时对此也应予以关注。
3)新版标准增加了“传输”的例子。这意味,当组织的“输出”是数据和信息时(如:网站内容、网上信息、电子邮件附带的数据、电子邮件中信息等),就应当注意到数据和信息在传输过程中有丢失的风险,应采取有效措施防止在传输过程的失窃、失密或损坏。审核员在审核时应予以关注。
4)新版标准增加了“污染控制”的例子,提示那些生产和服务提供过程的输出会产生产品污染、造成产品质量问题的组织(如食品生产企业)关注对产品污染的控制,同样审核员在审核组对此也应予以关注。
8.5.5、对交付后的活动的控制
1、组织是否满足与产品和服务相关的交付后活动的要求?
79
(1)应认识到交付并不意味着组织责任的终止。如组织未考虑潜在或规定的交付后活动,将增加顾客不满意或失去潜在机会的风险。
(2)在确定所要求的交付后活动的覆盖范围和程度时,组织应考虑: 1)法律法规要求。
2)与产品和服务相关的潜在不期望的后果,产品或服务不按预期运作的可能性及需要的后续措施。
3)产品和服务的性质、用途和预期寿命。 4)顾客要求。 5)顾客反馈。
(3)交付后活动可能包括保证条款所规定的相关活动,诸如合同规定的维护服务,以及回收或最终报废处置等附加服务等。交付后活动可以是:
——与顾客接触,确认他们是否满意产品或服务; ——现场安装设备和处理顾客的旧设备; ——合同安排,如保修或技术支持;
——顾客查询产品或服务交付相关的在线信息(如航班状态)。
(4)“交付后活动”的要求可以是组织向顾客承诺提供的售后服务和维护,也可以是顾客向组织提出的要求,这些要求也是合同的一部分。组织如果承诺满足这些要求,则需要对服务那些项目、由谁去服务、如何服务、必须配备哪些设备等做出安排。
(5)审核关注:
1)对交付后的活动的控制并不是一个全新的要求。另在新版标准的条款8.5.1中也要求组织“实施放行、交付和交付后活动”,区别在于重点强调的是在确定交付后活动的程度时,组织应充分考虑相关因素,以确保产品和服务的交付后活动满足要求。
2)组织应当确保其质量管理体系根据这一条款的相应要求进行相应的修改,在确定所需的交付后活动的程度时,充分考虑风险、产品或服务性质、产品或服务的预期寿命、顾客反馈及适用的法律法规要求等因素。
3)审核员应当理解相关的新要求,在审核时关注组织在确定其交付后活动的性质和程度时,是否已经考虑了上述相关因素,如组织实施的交付后活动(如售后服务、三包)是否考虑了法律法规要求。
8.5.6、更改控制
1、组织是否对生产和服务提供的更改进行必要的评审和控制,以确保持续地符合要求?
(1)较之6.3管理体系变更和8.1运行变更,强调对生产和服务提供的更改进行控制。变更的原因可以有多种:
——计划的对产品、过程、运行、设备或设施的变更;
——顾客要求的变更、员工或外部供方(包括合同方)的变更(例如延迟交付或质量
80
问题);新的或修改的顾客要求或法规要求或产品标准的变更;
——生产计划的变更、外部供应延迟交付或质量问题、反复出现不合格输出、关键设备失效;
——与环境因素、环境影响和相关技术有关的新信息等。
(2)对在运行期间发生的影响符合要求的变更,组织是否通过控制这些变更、评审采取的措施和非预期性变更的后果的影响,确保保持运行的完整性。
(3)对于任一变更,组织是否使用系统而广泛的方式。典型的控制变更的活动包括: ——评审;
——实施前的验证或确认;
——批准(包括顾客授权,适当时); ——实施措施,包括更新管理体系的要素。
(4)在特定情况下,实施变更的结果可能成为设计和开发活动的输入(见8.3.1、8.3.6)。 (5)组织是否根据变更的性质,决定要保留的形成文件的信息和保留的格式。例如: ——评审活动的纪要; ——验证和确认结果;
——变更描述,包括授权实施变更的人员(含顾客,适当时)。
(6)在对变更进行控制时,组织应保留有关变更评审、变更授权人员及任何必要行动结果的文件化信息。
(7)审核关注:
1)这是一个新的要求,审核员应当理解这一新的要求,关注组织结合自身充分识别相应的变更,并确保其生产和服务提供根据这一条款的相应要求进行相应的修改,并有相应的规定对变更进行控制。
2)审核员在审核时应当关注并证实组织已经理解了这一新的要求,并对其生产和服务提供进行了相应的修改,对变更进行了识别和控制,以符合这一条款的要求。同时审核员也应当不断充实和提高自身知识,了解各类组织可能发生的变更类型和表现形式,以提高审核的有效性。
8.6、产品和服务的放行
1、组织是否在适当阶段实施策划的安排,以验证产品和服务的要求已得到满足? (1)组织是否在放行和交付产品和服务之前,根据策划好的验收准则(见8.1),检查产品或服务是否合格。组织应针对其产品和服务的放行进行策划,确定在适当的控制点上进行验证活动。验证的对象是产品和服务,目的是验证产品和服务是否满足要求,确保只有满足要求的产品和服务才能够放行交付给给顾客
(2)在所有策划安排的验证活动没有得以完成并获得满意的结果之前,产品或服务在通常情况下不得交付给顾客。如果由于某些原因,在所策划安排的某些验证活动或过程没有圆满完成之前就需要向顾客放行或交付产品和服务,则应经过组织内有关授权人员的批
81
准;在合同或口头约定,或只有顾客同意才能提前放行或交付的情况下,这种放行或交付还需要得顾客的批准,以确保这种放行或交付不会影响最终产品和交付的服务的质量。例如,设计院应顾客要求,在全部工程设计未完成前,经授权人员批准,提前将工程基础图纸交付给顾客。
(3)在对产品和限务进行验证时,组织应依据接收准则来判断是否合格,并应保存相应的文件化的信息(如检验记录等),以证实产品和服务是否符合规定的产品要求。形成文件的信息应清楚地指明有权决定将产品放行给顾客的人员(如该产品的检验员等),这些人员应对其作出的监视和测量结果的真实性和可靠性承担责任。
(4)授权最终放行产品或服务的人员应可追溯。这可通过保留诸如批准人员的签名的形成文件的信息来实现,或对实现特定准则后自动放行产品的总体授权(如网上销售的自动电子支付授权)的详细的形成文件的信息来实现。产品或服务放行授权还可通过保留依据职位说明、权限级别或类似文件规定的适当人员的形成文件的信息来确定。
(5)审核关注:
1)新版标准将产品和服务的放行要求从原来的第8章“监视、测量、分析和改进”中分离出来,在新版标准第8章“运行”中予以描述,意在强调验证活动不仅仅是针对最终产品和服务的放行,而是在生产和服务的全过程的适当阶段都要实施必要的验证活动,以验证相关阶段输出的产品和服务已满足要求。
2)验证的对象由2008版的“产品的特性”明确为“产品和服务”,目的是验证产品和服务是否得到满足,以确定是否可以顾客放行产品和交付服务。应关注验证对象的变化,它不仅仅是针对产品的特性,还包括生产和服务的全过程适当阶段的输出,特别是服务行业,审核员在审核时应关注组织是否理解了标准的这一变化,是否对其放行过程做了相应的修改,以满足本条款的要求。
8.7、不合格输出的控制
1、组织是否确保对不符合要求的输出进行识别和控制,以防止非预期的使用或交付? (1)组织通过验证产品和服务放行(见8.6)识别不符合要求的输出,并确保控制以防止非预期的使用或交付。
(2)组织需要采取的控制程度取决于不合格的性质及其对产品和服务符合性的影响。对不合格输出的控制也适用于在产品交付之后,以及在服务提供期间或之后发现的不合格产品和服务。
(3)组织是否通过下列一种或几种途径处置不合格输出: 1)纠正。
2)隔离、限制、退货或暂停对产品和服务的提供。如发现不合格时该不合格已流入下一阶段,或已交付给顾客,组织应采取适当措施避免非预期的使用或不良后果。可采取的措施包括:
——召回(如由于药物成分不正确等安全问题);
82
——暂停或收回受影响的产品或服务(如由于食品标签上的保质期不对/目录上的定价不对/不能提供描述的服务);
——再加工;
——消除不符合或将不符合降低到商定的可接受的水平。 3)告知顾客。
4)获得让步接收的授权。如不可能采取以上控制措施,可根据不合格的性质与顾客达成协议,允许使用不合格的产品或服务。这种情况下,应由适当的人员(见7.2和8.6)授权,或相关时由顾客(见8.2.1)进行授权。
(4)对不合格输出进行纠正之后是否验证其是否符合要求。对不合格品采取适当的处置措施后,组织应对其再次进行验证,以证实其是否符合规定的要求或使用要求。因为采取措施后,不合格的产品不一定就变成合格品或可以使用,某些时候.采取的措施不当,可能结果反而更糟糕。
(5)审核关注:
1)新版标准用“不合格输出”替代了2008版中“不合格品”的提法,更加适合各个行业。特别是服务行业,其不合格输出明显不同于制造业,服务型组织应结合自身的特点识别其不合格输出的类型和具体内容,并在其质量管理体系中加以规定。应避免以往一些服务行业按标准生搬硬套,甚至照搬制造业的现象。审核员在审核时应特别关注服务型组织对其自身的不合格输出是如何定义、识别和控制的。
2)删除了2008版标准中对处理不合格品的控制、职责及权限要有形成文件的程序的要求。但组织仍可以根据需要制定形成文件的程序,但审核员在审核时不应强求组织必须提供形成文件的程序。
3)对不合格的处置方式有所变化,明确使用纠正、隔离、制止、暂停产品和服务的提供、告知顾客等说法,更加具体,适合各个行业的应用。组织在确定对不合格的处置方式时应结合自身特点,特别是服务行业,如餐厅服务员和顾客发生了冲突,对这样一个不合格输出采取的措施可以是道歉、赔偿等,而不可能是制造业的返工、返修、退货等。审核员对此应予以关注。
4)本条款的对象是组织运作全过程中任何不符合要求的输出,包括采购的产品、过程中的产品和最终提供给顾客的产品中识别出来的不合格品,也包括服务行业的不合格服务过程,这些都同样也适用于产品交付后、服务提供时或服务提供后发现的不合格产品和服务。
2、组织是否保留不合格及控制的形成文件的信息?
(1)通过保留形成文件的信息,以使组织能跟踪以下方面的内容: ——所发现的不合格的输出描述;
——为了处置不合格输出所采取的措施描述; ——获得的让步接受的描述;
83
——负责批准发布不合格产品或服务的人员。 (2)组织应:
1)保留有关以上内容的形成文件的信息,确保可以帮助组织实现过程的改进和优化; 2)修改可供将来使用的作业指导书,过程和程序的具体内容;
3)将信息传达给组织内部(见7.2)和外部(见8.2.1)的相关人员。这些形成文件的信息还可用作不符合趋势分析的依据。
(3)组织应确保保留的形成文件的信息包括以下内容的细节:不合格、组织为纠正不合格所采取的措施、缓解措施、沟通措施、批准的让步(例如与顾客达成协议,可以使用存在不符合的产品或服务)和这些措施的授权人。
8 对环境管理体系标准第8章“运行”的审核 8.1、运行策划和控制 1、组织是否建立、实施、控制并保持满足4.4以及实施6.1和6.2所识别的措施所需的过程? (1)建立、实施、控制并保持运行过程的目的是满足环境管理体系要求,可通过: ——建立过程的运行准则; ——按照运行准则实施过程控制。 ——根据运行准则确定和保持运行的受控条件,以确保运行准则得以满足。 (2)运行过程的策划包括4.4所确定的运行过程,还应包括实施应对风险和机遇的措施(见6.1),及实现环境目标的措施(见6.2)所需的过程。 (3)运行过程的控制可包括工程控制和程序控制。控制可按层级(例如:消除、替代、管理)实施,并可单独使用或结合使用。 (4)运行过程策划及输出可参见8.1(方框外),建立运行受控条件包括对人机料法环测的控制,可参见8.5.1。 (5)运行控制的类型和程度,即运行准则和运行受控条件取决于运行的性质、风险和机遇、重要环境因素及合规义务。组织可灵活选择确保过程有效和实现预期结果所需的运行控制方法的类型,可以是单一或组合方式。此类方法可能包括: ——设计一个或多个防止错误并确保一致性结果的过程; ——运用技术来控制一个或多个过程并预防负面结果(即工程控制); ——启用能胜任的人员,确保获得预期结果; ——按规定的方式实施一个或多个过程; ——监视或测量一个或多个过程,以检查结果; ——确定所需使用的文件化信息及其数量。 (5)审核关注: 1)6.1、6.2要求确定的风险和机遇、重要环境因素及合规义务、实现目标的措施、运 84
行性质,包括潜在变更,都是在对运行策划和控制中要考虑的关键要素。组织应基于风险的思维,在对其运行过程进行策划、实施和控制时,充分考虑第6章所确定的对风险和机遇的应对措施,并在运行过程中,实施这些措施。审核员在实施审核时应关注组织是否考虑并实施了相应的风险和机遇应对措施。 2)组织是否对其运行过程进行策划时考虑过程的运行准则,审核关注组织是否对相关的过程制定了必要的准则。 3)是否按照准则实施过程控制。组织需要依据准则建立有效的受控条件或控制措施用于: ——确认满足了准则; ——实现了预期的输出; ——识别了需要改进的区域。 2、组织是否对计划内的变更进行控制,并对非预期性变更的后果予以评审?必要时是否采取措施降低任何有害影响? (1)见8.1和8.5.6。 3、组织是否确保对外包过程实施控制或施加影响,并在环境管理体系内规定对这些过程实施控制或施加影响的类型与程度? (1)外包过程是满足下述所有条件的一种过程: ——在环境管理体系的范围之内; ——对于组织的运行是必需的; ——对实现组织环境管理体系预期结果是必须的; ——组织保有符合要求的责任; ——相关方认为该过程是由与外部供方有关系的组织实施的。 (2)为对外包过程或对产品和服务的供方实施控制或施加影响,组织可基于对下列因素的考虑,决定其自身在业务过程(例如:采购过程)中所需的控制程度。例如: ——知识、能力和资源,包括: ——外部供方满足组织环境管理体系要求的能力; ——组织确定适当控制或评价控制充分性的技术能力; ——产品和服务对组织实现其环境管理体系预期结果的能力所具有的重要性和潜在影响; ——对过程控制进行共享的程度; ——通过采用其一般的采购过程实现所需的控制的能力; ——可获得的改进机会。 (3)当一个过程被外包或当产品和服务由外部供方提供时,组织实施控制或施加影响的能力可能发生由直接控制向有限控制或不能影响的变化。某些情况下,发生在组织现场的外包过程可能直接受控;而另一些情况下,组织影响外包过程或外部供方的能力可能是有限的。 (4)在确定与外部供方,包括合同方有关的运行控制的程度和类型时,组织可考虑以下 85
一个或多个因素,例如: ——环境因素和相关的环境影响; ——与组织制造产品或提供服务相关的风险和机遇; ——组织的合规义务。 (5)审核关注:策划对外包过程或对产品和服务的供方实施控制或施加影响的过程的类型和程度是新要求,也可参见8.4外部提供的过程、产品和服务的控制要求。 4、组织是否从生命周期观点出发如何策划和控制运行? (1)适当时,组织是否制定控制措施,确保在产品或服务设计和开发过程中,考虑其生命周期的每一阶段,并提出环境要求? (2)适当时组织是否确定产品和服务采购的环境要求?组织是否与外部供方(包括合同方)沟通其相关环境要求?环境要求是组织建立并与其相关方(例如:采购、顾客、外部供方等内部职能)进行沟通的关于组织环境相关的需求和期望。 (3)组织是否考虑提供与产品或服务的运输或交付、使用、寿命结束后处理和最终处置相关的潜在重大环境影响的信息的需求?组织的某些重大环境影响可能发生在产品或服务的运输、交付、使用、寿命结束后处理或最终处置阶段。通过提供信息,组织可能预防或减轻这些生命周期阶段的有害环境影响。 (4)审核关注:这是新要求,可结合考虑生命周期观点确定环境因素进行审核(见6.1.2)。 5、组织是否保持必要的文件化信息,以确信过程已按策划得到实施? 8.2、应急准备和响应 1、组织是否建立、实施并保持对6.1.1中识别的潜在紧急情况进行应急准备并做出响应所需的过程? (1)策划应急准备和响应过程时,组织是否考虑: ——响应紧急情况的最适当的方法; ——内部和外部信息交流过程; ——预防或减轻环境影响所需的措施; ——针对不同类型紧急情况所采取的减轻和响应措施; ——开展紧急情况后评估以确定并实施纠正措施的需求; ——定期试验策划的应急响应措施; ——对应急响应人员进行培训; ——关键人员和救助机构名录,包括详细的联系方式(例如:消防部门、泄漏清理服务部门); ——疏散路线和集合地点; ——从邻近组织获得相互援助的可能性。 (2)组织是否通过策划措施做好响应紧急情况的准备,以预防或减轻它所带来的有害环境影响? 86
(3)是否对实际发生的紧急情况做出响应? (4)是否根据紧急情况和潜在环境影响的程度,采取相适应的措施预防或减轻紧急情况带来的后果? (5)是否可行时定期试验所策划的响应措施? (6)是否定期评审并修订过程和策划的响应措施,特别是发生紧急情况后或进行试验后? (7)是否适用时向有关的相关方,包括在组织控制下工作的人员提供应急准备和响应相关的信息和培训? (8)审核关注:向有关的相关方包括在组织控制下工作的人员提供应急准备和响应相关的信息和培训的新要求。 2、组织是否保持必要的文件化信息,以确信过程已按策划得到实施?
9 对管理体系标准第9章“绩效评价”的审核
9.1、监视、测量、分析和评价
9.1.1、监视、测量、分析和评价总要求
1、组织是否确定和实施监视、测量、分析和评价管理体系绩效(包括环境绩效)和有效性?
(1)审核关注组织是如何策划监视和测量的对象及时机,监视、测量、分析和评价方法,对监视和测量结果的分析和评价的时机,以及如何评价环境绩效和管理体系有效性。
(2)审核关注当确定应当监视和测量的内容时,组织是否考虑:
——管理体系或其过程(见4.4)、运行策划和控制(见8.1)、顾客满意(见9.1.2)、分析和评价(见9.1.3)、内部审核(见9.2)和管理评审(见9.3)等条款中的措施。
——对于EMS,还应考虑环境目标(见6.2)、重要环境因素(见6.1.2)、合规义务(6.1.3)等。
(3)审核关注组织应在其管理体系中规定进行监视、测量、分析和评价所使用的方法,以确保有效的结果:
1)监视和测量的时机与分析和评价结果的需求相协调; 2)监视和测量的结果是可靠的、可重现的和可追溯的; 3)分析和评价是可靠的和可重现的,并能使组织报告趋势。
(4)适当时组织是否确保使用经校准或经验证的监视和测量设备,并对其予以维护(见7.1.5)?
(5)审核关注组织是否保留适当的文件化信息,作为监视、测量、分析和评价结果的证据?
2、组织是否分析和评价通过监视和测量获得的适当的数据和信息?
87
(1)见9.1.3分析与评价。
(2)新版MS标准将有关纠正、改进部分的内容分离出去,单独成为第10章,使得PDCA循环中C(检查)和A(改进)两个过程各自独立。应理解:
1)分析和评价的输入是监视和测量结果;
2)分析和评价过程及其输出是组织监督约束、评价或证实机制;
3)分析和评价的输出作为管理体系第10章“改进”输入,是组织的纠偏和改进机制。 9.1.2 顾客满意
1、组织是否监视顾客对其需求和期望已得到满足的程度的感受?组织是否确定获取、监视和评审这些信息的方法?
(1)审核关注组织是否监视顾客的需求和期望已得到满足的感受“程度”。明确了顾客满意的概念,强化了对顾客满意进行监视的量化要求,更加符合当今的实际情况,更加便于组织的实施。
(2)顾客调查只是获得反馈的形式之一。组织需要根据顾客类型(例加组织对组织、组织对顾客、公共服务、政府、互联网业务)考虑不同的信息获取方法。组织可决定想要使用的方法,这些方法可包含但不限于:
——民意调查;
——顾客沟通(见8.2.1);
——有关交付的产品或服务质量的顾客数据; ——市场占有率分析; ——好评; ——投诉; ——保修索赔; ——经销商报告;
——社会媒体,如网站、留言板、推特; ——发票查询;
——出版的信息,如报纸或杂志。
(3)组织应决定需要从哪些顾客获取顾客满意的反馈以及如何监视这些数据。组织可选择在每次交易结束时请求每个顾客提供反馈,也可选择根据销售量,对老顾客或新顾客等目标进行抽样。获取反馈可以持续进行,也可根据组织确定的特定频度进行。
(4)审核关注组织应能在对结果进行分析和评价后确定顾客满意。组织应根据这些信息采取必要的措施。这些信息作为管理评审的输人,并经管理评审以确定是否有必要采取措施提高顾客满意。
9.1.2、合规性评价 1、组织是否建立、实施并保持评价其合规义务履行情况所需的过程? 88
(1)审核关注:合规性评价的频次和时机可能根据要求的重要性、运行条件的变化、合规义务的变化,以及组织以往绩效而有所不同。组织可能使用多种方法保持其对合规状态的认知和理解,但所有合规义务均需定期予以评价。 (2)审核关注:如果合规性评价结果表明未遵守法律法规要求,组织则需要确定并采取必要措施以实现合规性,这可能需要与监管部门进行沟通,并就采取一系列措施满足其法律法规要求签订协议。协议一经签订,则成为合规义务。 (3)审核关注:若不合规项通过环境管理体系过程已予以识别并纠正,则不合规项不必升级为不符合。与合规性相关的不符合,即使尚未导致实际的不符合法律法规要求,也需要予以纠正。 (4)审核关注组织保持其合规情况的知识和对其合规情况的理解。 (5)组织是否保留文件化信息,作为合规性评价结果的证据?
9.1.3、分析和评价
1、组织如何确定需要分析和评价的通过监视和测量获得的适当的数据和信息? (1)组织是否确定要评审的适当数据。数据选择应确保可对顾客满意、组织正在实现的计划、外部供方运作的绩效、针对风险和机遇所采取措施的有效性建立分析和评价。数据的来源是监视和测量结果,包括但不限于:
——顾客感受的监视结果; ——目标的状态;
——会议上对有关风险和机遇的行动项评审(如会议纪要); ——按照计划交付的项目(如预算和时间); ——外部供方按时交付和质量(如拒收)的情况;
——产品,如:产量、符合特定要求(如顾客、法律法规要求)、不良品率、报废和返工、按时交付、订单完成情况;
——服务,如:排队时间、顾客问题解决的显示或指标、访问便利、清洁度、客房服务、友好;
(2)对于EMS,还应考虑环境目标(见6.2)、重要环境因素(见6.1.2)、合规义务(6.1.3)、运行(8.1)等。
2、组织是否分析和评价通过监视和测量获得的适当的数据和信息?
(1)组织是否分析和评价来自监控和测量过程的结果和产品及服务的数据,以确定产品和服务是否满足了需求,及评价管理体系绩效(包括环境绩效)和有效性。分析和评价的输出通常是趋势分析或报告,应利用分析结果评价:
——产品和服务的符合性; ——顾客满意程度;
——管理体系的绩效和有效性;
89
——策划是否得到有效实施;
——针对风险和机遇所采取措施的有效性; ——外部供方的绩效; ——管理体系改进的需求; ——合规性评价(6.1.2)等。
(2)组织可考虑以什么样的频率分析和评价数据将有助于识别需要改进的区域。这可能取决于组织检索电子信息的能力(相对于人工准备数据)。组织需确保分析和评价数据的方法与数据质量(如无偏倚、完整、准确、有能力等)可为管理决策提供有用的信息。统计技术对于分析和评价过程而言是有用的工具。
(3)审核关注组织不仅要注重过程,更要注重结果,组织应采取适宜的方法评价管理体系的绩效和有效性、按策划的要求实施的有效性、风险和机遇的应对措施的有效性、外部供方的绩效等。审核也应充分关注组织是如何监视、测量、分析和评价的管理体系绩效和有效性的。
(4)分析数据不是目的,重要的是要使用分析的结果。通过监视和测量活动会收集到很多的数据和信息,如果不对数据和信息进行分析、评价并转化为有用的输出,数据和信息收集本身是没有意义的。数据分析可以应用到任何可为组织提供有用信息的领域,可以帮助组织找出趋势所在,所发现的任何趋势都可能意味着管理体系存在问题或需要改进的地方。
(5)审核关注组织是否确定评价其环境绩效所依据的准则和适当的参数?例如环境保护包括污染排放法规标准、目标考核准则、绩效评价标准、合规性评价准则、运行准则等。
(6)审核关注是否向具有职责和权限的人报告对绩效分析和评价的结果以便启动适当的措施?
3、组织数据分析方法是否包括统计技术?
组织是否明确分析数据的方法,包括统计技术,组织应重视对统计技术的应用,关于统计技术的选择和使用,组织可以参考ISO/TC 176发布的关于统计技术的指南性标准,结合自身运行过程的特点、性质和需要识别、选择适宜的统计技术和方法,以避免以往一些组织选择的统计技术不适用或者流于形式的现象。审核组需关注组织对统计技术的应用是否充分和适宜。
9.2、内部审核
1、组织是否按计划的时间间隔实施内部审核?是否建立、实施并保持一个或多个内部审核方案,包括实施审核的频次、方法、职责、策划要求和内部审核报告?
(1)审核关注组织建立内部审核方案时,是否考虑相关过程的环境重要性、影响组织的变化以及以往识别的不符合及所采取措施的有效性、以往内外部审核的结果,在策划审核时可考虑的输入包括但不限于:
——过程的重要性;
90
——管理优先级; ——过程绩效; ——影响组织的变更; ——以往审核的结果; ——顾客投诉趋势; ——法律法规问题。
(2)在审核方案应考虑的因索中增加了“对组织产生影响的变化”,提示组织要有风险意识,这也意味着审核员在审核时要关注组织在策划审核方案时是否考虑了可能对组织有影响的变更、风险和机遇。内审方案应作为变更管理的一部分的信息进行管理。
(3)是否规定每次审核的准则和范围。
(4)是否选择审核员并实施审核,确保审核过程的客观性与公正性。无论何地,只要可行,审核员均应当独立于被审核的活动,并应当在任何情况下均以不带偏见、不带利益冲突的方式进行审核。
(5)审核方案是指“针对特定时间段所策划并具有特定目标的一组(一次或多次)审核安排”。不要求每年对管理体系标准的每个适用条款或过程进行审核。审核方案不是一个单纯的文件,它包括了在一定的时间段内(如一年),组织对所有审核的策划、实施活动的安排,如审核时间的安排、一定时间段内审核的频次、审核范围、审核的特点、目的和重点、审核员的安排等制定内部审核方案、实施环境管理体系审核并评价审核人员能力的附加信息见GB /T19011。
2、组织是否保留文件化信息,作为审核方案实施和审核结果的证据? (1)审核关注内部审核所识别的不符合应采取适当的纠正措施。 (2)审核关注是否确保向相关管理者报告审核结果。 9.3、管理评审
1、最高管理者是否按计划的时间间隔对组织的环境管理体系进行评审,以确保其持续的适宜性、充分性和有效性?
(1)“适宜性”指管理体系如何适合于组织、其运行、文化及业务系统。“充分性”指组织的管理体系是否符合本标准要求并予以适当地实施。“有效性”指是否正在实现所预期的结果。
(2)管理评审也要考虑组织的战略方向,组织对此应予以关注。审核员在审核时也应关注组织在实施管理评审时是否充分考虑了组织的战略方向。
2、管理评审依据或输入是否考虑充分? (1)策划和实施管理评审时应考虑下列内容: 1)以往管理评审所采取措施的情况; 2)以下方面的变化:
——与管理体系相关的内外部因素的变化;
91
——相关方的需求和期望,包括合规义务; ——其重要环境因素; ——风险和机遇。
3)下列有关管理体系绩效和有效性的信息,包括其趋势: ——顾客满意,来自相关方的有关信息交流,包括抱怨; ——目标的实现程度;
——过程绩效以及产品和服务的符合性; ——不符合以及纠正措施; ——监视和测量结果; ——其合规义务的履行情况; ——审核结果; ——外部供方的绩效。 4)资源的充分性;
5)应对风险和机遇所采取措施的有效性(见6.1); 6)改进的机会。
(2)审核关注最高管理者应当评审来自相关方的抱怨,以确定改进的机会。 (3)审核关注管理评审中评审新产品推广、财务结果、新商机等项目,以便确定组织是否实现了预期结果。这包括新版标准中包含监视和测量信息要求的其它条款(如4.2)的要求。
(4)审核关注组织管理评审的输入是否包括“风险和机遇”的内容。组织应关注这一变化,并在准备管理评审输入时考虑应对风险和机遇所采取措施的有效性。
(5)审核关注组织管理评审的输入是否包括 “管理体系绩效和有效性的信息”如质量或环境目标实现程度、管理体系绩效包括环境绩效等的内容,组织应关注这一要求,并确保在准备管理评审输入时,提供有关管理体系绩效和有效性的信息。
3、管理评审输出是否作出决议和措施? (1)管理评审输出决议和措施是否包括:
——对管理体系的持续适宜性、充分性和有效性的结论; ——与持续改进机会相关的决策;
——与管理体系变更的任何需求相关的决策,包括资源; ——目标未实现时需要采取的措施;
——如需要,改进管理体系与其他业务过程融合的机遇; ——任何与组织战略方向相关的结论。
(2)审核应了解管理评审应当是高层次的,不必对详尽信息进行彻底评审。不需要同时处理所有管理评审主题,评审可在一段时期内开展,并可能成为定期安排的管理活动的一部分,例如:董事会议或运营会议。它不需要成为一项单独的活动。组织可将管理评审
92
作为单独的活动来开展,也可与相关的活动一起开展(如会议、汇报)。管理评审的时间可以和其它业务活动(如战略策划、商业策划、年会、运营会议、其它管理体系标准评审)协调安排,以增加价值、避免管理层冗余参会或重复参会。
(3)审核关注管理评审输入输出涉及变化或变更,管理评审应作为变更管理的一部分的信息进行管理。
4、组织是否保留文件化信息,作为管理评审结果的证据?
10 对管理体系标准第10章“改进”的审核
10.1、改进总要求
1、组织是否确定和选择改进机会,并采取必要措施,实现满足顾客要求和增强顾客满意、管理体系预期结果?
(1)审核关注,要包括和实现以下方面的改进: 1)改进产品和服务以满足要求并关注未来的需求和期望; 2)纠正、预防或减少不利影响,这也是改进的方法之一; 3)改进管理体系的绩效和有效性,突显对管理体系绩效的关注。
(2)审核关注组织是否确保系统地评审其过程、产品和服务以及管理体系,识别改进的机会,并有效地实施适宜的改进措施。改进机会或措施来源于绩效分析和评价(见9.1.3)、顾客满意的获取、监视和评审(见9.1.2)、合规性评价(见9.1.2)、内部审核(见9.2)和管理评审(见9.3)的结果。
(3)改进的例子可包括纠正、纠正措施、持续改进、突破性变革、创新和重组。改进的方式既包括被动型(如纠正、纠正措施)、逐渐型(如持续改进)的改进,也包括跳跃型(如突变)、创造型(如创新)或重组型(如转型)的改进。
10.2、不合格和纠正措施
1、若发生不合格,包括潜在不合格、来自于投诉的不合格,组织是否做出应对? (1)审核员应了解管理体系的主要目的之一是作为预防性的工具。预防措施的概念已包含在4.1(即理解组织及其所处的环境)和6.1(即应对风险和机遇的措施)中。
(2)组织是否采取措施调查何处发生不合格,并尽可能纠正不合格,避免将来再发生类似问题。处理不合格、采取纠正和纠正措施(适当时)是改进的重要活动和手段,其目的是控制、纠正不合格,消除不合格的危害和影响,纠正产生不合格的原因,防止不合格的再次发生。追求的是永久消除对以下方面造成负面影响的问题的原因和后果:
——组织的结果;
——组织的产品、服务、过程和管理体系; ——顾客或相关方满意; ——减轻有害的环境影响。
(3)潜在的不合格来源包括但不限于:
93
——内部/外部审核发现(见9.2);
——监视和测量结果(如检测、产品或服务缺陷等); ——不合格产品(见8.7); ——顾客或相关方投诉; ——不符合法律法规要求;
——外部供方的问题(如按时交付、进货检验); ——员工发现的问题(如意见箱); ——保修索赔。
(4)审核关注组织应采取措施控制或纠正所有不合格。可以在遏制问题的同时继续对问题进行调查。组织可能需要联系顾客或外部供方,让他们知晓不合格,以便提供可能影响供应的产品或交付的服务的信息。
2、组织是否评价消除不合格原因的措施需求以避免其再次发生或者在其他场合发生,并实施和控制措施?
(1)组织是否评审和分析不合格,以确定所发生的不合格的原因以及该不合格是否还存在于其它区域/部门,或该不合格是否可能再次出现或可能在其他医域/部门出现。根据不合格对组织的潜在影响,组织应确定需要采取的措施的程度。组织应根据此评审实施必要的措施。审核关注组织如何识别和使用适宜的方法和工具,组织可使用的方法有多种,可以包括(但不限于)开展根本原因分析、8D、FMEA和鱼骨图。
(2)审核关注当组织发现了不合格时,应确定是否会有其他类似的实际或潜在不合格的存在。若组织经评审和分析不合格,认为已发生的不合格可能再次出现或可能出现在另一区域,组织应对此采取必要的应对措施,例如纠正、消除潜在的原因等,以防止再次发生,或在别的区域发生。
(3)组织是否通过确认已实施措施或已采取纠正的证据,来验证纠正措施的有效性。组织可通过观察过程绩效或评审形成文件的信息来完成验证。为确保有效地验证到纠正措施的有效实施,组织可确定完成措施的适当时间周期。根据所发现的不合格的特点、性质以及解决不合格的难易程度和所需的资源数量,时间周期可能有所不同。
(4)审核关注纠正措施是否与所发生的不合格造成影响(包括环境影响)的重要程度相适应,如组织在某个区域采取纠正措施时,应考虑是否会对其它区域产生负面影响。
3、必要时,措施是否包括更新策划期间确定的风险和机遇、和/或变更管理体系? (1)组织是否在评审纠正措施后考虑是否存在以往策划期间未确定的风险或机遇(见6.1)。有必要时,应更新计划。
(2)在6.1.1中要求组织应确定需要应对的风险和机遇、6.1.2中要求组织应策划应对这些风险和机遇的措施,这其中也包括组织应针对可能出现的不合格策划必要的措施。而当组织发现了不合格,并经评审和分析,认为以往策划的风险和机遇以及策划的应对措施不充分、不适宜时,组织应及时更新这些内容。审核员在审核时也应关注组织是否对此
94
进行了适时更新。
(3)变更管理体系见6.3。
4、组织是否保留形成不合格和纠正措施的证据的文件化信息?
(1)证据包括不合格的性质以及所采取的任何后续措施,及任何纠正措施的结果。 (2)组织是否保留体现采取了哪些纠正或纠正措施的形成文件的信息,包括不合格的性质的信息(如不符合描述、不符合评级)。这些形成文件的信息可以是纠正措施表、数据库以及证明采取了措施的证据。
10.3、持续改进
1、组织是否持续改进管理体系的适宜性、充分性和有效性以提升质量或环境绩效? (1)持续改进(ISO9000定义):提高绩效的循环活动 。为改进制定目标和寻找机会的过程是一个通过利用审核发现和审核结论、数据分析、管理评审或其他方法的持续过程,通常会导致纠正措施或预防措施。
(2)持续改进需求和机会可以来自多个方面,主要包括分析和评价(见9.1.3)、内部审核(见9.2)、管理评审(见9.3),以及但不局限于方针、目标、审核结果、纠正措施、预防措施等方面;组织可以结合自身的实际,特别应结合对风险和机遇的识别,考虑持续改进需求的来源。
(3)支持持续改进的措施的等级、程度与时间表由组织确定。通过整体运用环境管理体系或改进其一个或多个要素,可能提升质量或环境绩效。
(4)审核关注持续改进活动的结果和效果,例如对产品、服务、过程的改进和对管理体系绩效(包括环境绩效)与有效性的改进。审核应充分关注组织的持续改进的结果和效果,应寻找这方面的证据。
(5)组织在改进的过程中,审核还应关注如何识别和使用适宜的改进方法和工具,如前面提到的根本原因分析、8D、FMEA和鱼骨图等,再如六西格玛、标杆管理、质量经济性管理、顾客满意的监视和测量等。
附录:GB/T19001-2015、GB/T50430-2007、GB/T24001-2015、GB/T28001-2011对照表
(GB/T19001-2015) 1.范围 2 规范性引用文件 3 术语和定义 4.1理解组织及其环境 4.2理解相关方的需求和期望 4.3确定质量管理体系的范围 4.4质量管理体系及其过程 5.1领导作用和承诺 5.1.1总则 1 / 2 术语 3.1 3.1 3.1;3.3 4.3 (GB/T50430-2007) (GB/T24001-2015) 1 范围 2 规范性引用文件 3 术语和定义 4.1理解组织及其环境 4.2理解相关方的需求和期望 4.3确定环境管理体系的范围 4.4环境管理体系 5.1领导作用和承诺 (GB/T28001-2011) 1 范围 2 规范性引用文件 3 术语和定义 4.1总要求 4.1总要求 4.1总要求 4.4.1资源、作用、职责和权限 95
5.1.2以顾客为关注焦点 7.1;13.2 / / 5.2方针 3.2 5.3组织的岗位、职责和权限 4.1;4.2;4.3;13.1 6.1应对风险和机遇的措施 3.3 6.1.1 / / 6.1应对风险和机遇的措施 6.1.2 / / 3.3 5.2环境方针 4.2职业健康安全方针 5.3组织的岗位、职责和权限 4.4.1资源、作用、职责和权限 6.1应对风险和机遇的措施 4.3策划 6.1.1总则 4.3.1危险源辨识、风险评价和6.1.2环境因素 控制措施的确认 6.1.3合规义务 6.1.4措施的策划 4.3.2法规和其他要求 4.3.1危险源辨识、风险评价和控制措施的确认 6.2质量目标及其实现的策划 3.2;3.3 6.3变更的策划 7.1资源 7.1.1总则 7.1.2人员 7.1.3基础设施 7.1.4过程运行环境 7.1.5监视和测量资源 7.1.6组织的知识 7.2能力 7.3意识 7.4沟通 7.5形成文件的信息 8运行 8.1运行策划和控制 8.2产品和服务的要求 8.4外部提供的过程、产品和服务的控制 8.5生产和服务提供 8.5.1生产和服务提供的控制 8.5.2标识和可追溯性 3.3 3.4 5.1 6.1;6.2;6.3 8.4;10.5 11.5 13.1 5.1;5.2;5.3 6.2环境目标及其实现的策划 4.3.3目标和方案 6.1应对风险和机遇的措施 6.1.1总则 4.3策划 7.1资源 7.2能力 7.3意识 4.4.1资源、作用、职责和权限 4.4.2能力、培训和意识 4.4.3沟通、参与和协商 4.4.4文件 4.4.5文件控制 4.5.4记录控制 4.4.6运行控制 4.4.7应急准备和响应 4.4.6运行控制 4.4.6运行控制 4.4.6运行控制 4.4.6运行控制 / / / / 4.4.6运行控制 / 4.1;4.2;4.3;7.3;10.2;7.4信息交流 13.1 3.1;3.3;3.5 7.5文件化信息 8.1运行策划和控制 8.2应急准备和响应 8.1运行策划和控制 8.1运行策划和控制 10.1;10.2 7.1;7.2;7.3;10.2 8.3产品和服务的设计和开发 10.3 6.1;6.2;8.1;8.2;8.3;8.1运行策划和控制 8.4;9.1;9.2;9.3 10.1;10.2;10.4;10.5;8.1运行策划和控制 10.6 / 8.4;10.5.3 / / / 8.1运行策划和控制 / 8.5.3顾客或外部供方的财产 8.5 8.5.4防护 8.5.5交付后的活动 8.5.6更改控制 8.6产品和服务的放行 8.4;10.5;10.6 10.6 7.3;10.1 8.3;9.3;10.6;11.1;11.3 96
8.7不合格输出的控制 9.1监视、测量、分析和评价 9.1.1总则 9.1.2顾客满意 / 9.1.3分析与评价 9.2内部审核 9.3管理评审 10改进 10.1总则 10.2不合格和纠正措施 10.3持续改进 8.3;11.4 11.1;11.2;12.1;12.2;13.1;13.2 10.6;12.2 / / / 4.5.1绩效测量和监视 / 4.5.2合规性评价 4.5.1绩效测量和监视 4.5.5内部审核 4.6管理评审 4.5检查 4.6管理评审 4.5.3事件调查、不符合、纠正和预防措施 4.5检查 4.6管理评审 9.1监测、测量、分析和评价 9.1.1总则 / 9.1.2合规性评价 9.1监测、测量、分析和评价 12.1;12.2;13.1;13.2 9.1.1总则 12.2 9.2内部审核 3.4;13.2 9.3管理评审 10改进 13.1 10.1总则 12.2;13.3 13.3 10.2不符合和纠正措施 10.3持续改进
97
因篇幅问题不能全部显示,请点此查看更多更全内容