01 管理体系认证初次审核
确定用于管理体系非现场组合活动的审核时间,不宜使现场总的管理体系认证审核时间少于计算出的 80%。需要更多的时间来进行策划和(或)编写报告不是减少现场管理体系认证审核时间的理由。
认证机构确定的审核时间以及其理由应形成记录。这一计算中应包括为覆盖整个认证范围而分配时间的详细信息。
作为合同的一部分认证机构应向客户组织提供审核时间确定及其理由,并向认可机构提供。
认证审核中可以包括使用远程审核的技术,例如基于网络的交互式协作,网络会议,电视电话会议和(或)通过电子化方式验证客户的过程。这些活动应在审核计划中得到标识,并可以考虑将用于这些活动的时间计入总的管理体系认证审核时间。
对 OHSMS,这些活动(应用远程审核的活动)应仅限于对文件记录的评审、对员工及工作人员访谈。此外,对现场活动及 OHS 风险控制不能采取远程审核技术。
02 监督
在初始的三年认证周期中,对特定组织实施监督审核的审核时间,宜与初次认证审核(第一阶段+第二阶段)的时间成比例,即每年实施监督审核的总时间约为初次认证审核时间的 1/3。
作为每次监督审核的组成部分,认证机构应获得与客户管理体系有关的更新信息。所策划的监督审核时间应得到审查(至少在每次监督审核和再认证时),以便考虑客户的组织、体系成熟度等方面的变化。实施该审查(包括任何对管理体系审核时间的调整)的证据应得到记录。
03 再认证
再认证审核时间宜根据更新的客户信息计算,而不是简单按初次认证审核(第一阶段+第二阶段)时间的 2/3 计算。
通常做法是:假设基于更新的信息对组织实施初次认证审核(第一阶段+第二阶段),再认证审核时间约为该初次审核所需时间的 2/3。
作为特例,如果再认证时组织的情况与初次认证审核时相同,则再认证审核时间大约为初次认证审核时间的 2/3。管理体系审核时间应考虑管理体系绩效评价的结果。对管理体系绩效评价本身并不作为再认证审核时间的一部分。
04 调整审核时间的考虑因素
在调整审核时间时,还应考虑下列因素(但不限于这些因素):
1)所有管理体系增加审核时间的考虑因素:
组织的工作在多于一处的建筑物或地点实施,审核时需要复杂的后勤安排, 例如必须对一个单独的设计中心实施审核;
员工使用多于一种的语言(需要翻译或妨碍单个审核员独立工作);
与人员数量相比,现场很大(例如森林);
受法规管制的程度较高(例如食品、药品、航天、核能等领域);
体系覆盖着高度复杂的过程或数量较多的互不相同的活动;
需要访问临时场所,以确认拟认证管理体系中的常设场所的活动;
2)仅适用于 QMS 增加审核时间的考虑因素:
被划为高风险的活动
外包职能或过程。
3)仅适用于 EMS 增加审核时间的考虑因素:
同行业典型情况相比,受纳环境的敏感度较高;
相关方的意见;
有必要增加审核时间的间接因素;
组织所属行业的附加的或特殊的环境因素或法规要求;
环境事故的风险,以及作为事件后果产生的或可能发生的影响,事故和潜在的紧急情况,之前由于组织原因发生过的环境问题;
外包职能或过程。
4)仅适用于 OHSMS 增加审核时间的考虑因素:
相关方的意见;
事故和职业病发生率高于行业平均水平;
组织的场所存在公众人员(如:医院、学校、机场、火车站、港口、公共交通运输);
组织正面临与 OHS 相关的法律诉讼(取决于所涉及风险的严重程度和影响);
承包商公司(次级承包商公司)及其雇员临时性地大量出现,导致复杂程度或 OHS 风险增加(如:定期启停的炼油厂、化工厂、钢铁厂和其他大型工业联合体);
根据适用的国家法规和/或风险评估文件,危险物质存在的数量使工厂面临重大工业事故的风险;
认证范围内包含境外场所的组织(如果不熟悉法律法规和语言)。
5)减少审核时间的考虑因素:
(仅适用于 QMS)客户不负责设计工作,或体系的范围不适用标准的其他要素;
与人员数量相比,现场很小(例如仅有综合办公区);
体系成熟;
对客户管理体系已有的了解(例如同一认证机构已依据另一标准认证了该客户),对 OHSMS 这意味着在其他自愿性 OHSMS 方案中已经认证;
客户为认证所作的准备(例如已经获得另一个第三方合格评定制度的认证或承认),对 OHSMS 这意味着已经接受国家主管部门定期对其进行强制性政府 OHSMS 方案的审核;
自动化程度高(对 OHSMS 不适用);
有一部分员工在组织的场所外工作,例如销售人员、司机、服务人员等,并且有可能通过记录审查来对其活动是否符合体系要求进行充分地审核,(对OHSMS 不适用);
05 临时场所
如果认证申请方或获证客户在临时场所提供其产品或服务,该临时场所应被纳入审核方案。
临时场所可以是较大的项目管理现场,也可以是较小的服务/安装现场。认证机构宜评估与客户运行相关的管理体系运行失效的风险(对 QMS 为产品或服务输出的控制失效、对 EMS 为环境因素及影响的控制失效、对 OHSMS 为 OHS 风险控制失效),根据该风险评估的结果来确定是否需要访问这些临时场所以及抽样的范围与程度。
对 QMS 和 EMS,所选取的临时场所样本应代表客户的认证范围、能力需求和不同服务的范围,并已考虑了活动的规模和类型、进行中的项目的不同阶段以及相关的环境因素及影响。
对 OHSMS,所选取的临时场所样本宜代表客户的认证范围、活动和过程的规模和类型、所涉及的危险源和相关的 OHS 风险类型、以及项目进行的不同阶段。
通常情况下,认证机构将对临时场所进行现场审核。
但是,可以考虑用下列方法来代替一部分现场审核:
1) 通过面对面或电视电话会议的方式,与客户及(或)其顾客进行访谈,或者参与他们的进度会议;
2) 对临时场所的活动实施文件审查;
3) 远程访问包含同管理体系与临时场所的评审有关的记录或其他信息的电子化场所;
4) 使用电视电话会议及其他技术实施有效的远程审核。
对 OHSMS,上述方法仅可以考虑用以代替不涉及见证运行控制且不涉及其他
OHSMS 风险控制的部分现场审核。
在每种情况下,宜完整地记录审核方法,并充分证明审核方法的有效性。
06 多场所管理体系审核时间
对管理体系运行覆盖多个场所的情况,有必要确定是否允许抽样。
对 OHSMS,应基于认证范围内每个场所实施活动和过程相关的 OHS 风险程度的评价,确定是否允许场所抽样。此类评价的记录和所作决定的理由应向认可机构提供。
07 外部提供职能或过程的控制(外包)
如果组织外包其部分职能或过程,认证机构有责任获得如下证据:组织已经有效地确定了其采用的控制方式和控制范围,以确保外部提供的职能或过程不会对管理体系有效性(包括组织向其顾客稳定提供合格产品和服务的能力、或控制其环境影响因素/控制其 OHS 风险,并承诺满足法规要求方面)产生负面影响。
对 QMS 和 EMS,认证机构将审核并评估客户管理体系的有效性,包括对任何外部提供活动及其引起有关目标交付、顾客和满足要求方面的风险进行的管理。这可以包括收集对供方有效性水平的反馈。考虑到组织的管理体系范围仅包括对供应活动的控制,而且并非由组织自身执行这些(外部供应)活动,因此并未要求审核供方的管理体系。根据对风险的这一理解,应确定任何附加的审核时间。
对 OHSMS,认证机构将审核和评价组织的 OHSMS 对外包活动管理的有效性,以及外包活动对其自身活动和过程的 OHS 绩效和符合性要求所带来的风险。
a)这可能包括收集对供方有效性水平的反馈,基于以下内容:
组织对这些外部供方的评价、选择、绩效监视和再评价的应用准则,这些准则是以他们按照特定要求提供职能或过程的能力为基础,并与法律要求一致,和
外部供方可能对组织控制其自身 OHS 风险的能力产生不利影响的风险。
b)虽然不要求对外部供方的管理体系实施审核,为了策划并完成一项有效的审核,认证机构应就组织 OHSMS 范围内对外包给外部供方的过程或职能的控制进行审核。包含于组织 OHSMS 范围的过程中,在组织场地作业的承包商人员应被访谈到,以评价他们的 OHS 意识。
c)认证机构宜能够在审核方案准备的过程中确定,并且在后续初次认证审核中、以及在每次监督及再认证审核前对其核实。