一次完整的CNAS软件测试实验室内部审核流程

内部审核是软件测试实验室管理体系重的重要部分，通过内部审核可以为有效的管理评审和纠正、预防措施提供信息，以验证组织的管理体系是否持续的满足规定的要求并且正在运行。

内部审核需要依据文件化的程序，每年至少实施一次，软件测评实验室申请认可时需要有，相应的内审记录，下面我们就一起看一下，CNAS软件测试实验室一次完整的内部审核流程：

审核宜检查管理体系是否满足ISO/IEC17025 或 ISO/IEC17020、或其他相关准则文件的要求。审核也宜检查组织的质量手册及相关文件中的各项要求是否在工作中得到全面的贯彻。内部审核中发现的不符合项可以为组织管理体系的改进提供有价值的信息，宜将这些不符合项作为管理评审的输入。

1. 年度内审策划

按照内审程序规定，制定年度审核计划，确定内审的实施月份。内审应覆盖质量管理体系所有过程、部门和场所，每年至少一次。如下特殊情况时可增加内审频次：

a) 当合同要求或客户需要评价质量管理体系时；

b) 当机构和职能有所重大变更时；

c) 发现严重不合格而需要审查时；

d) 第三方审核认证或监督审核前；

e) 最高管理者提出要求时。

2. 成立内审小组

根据内审活动目的、范围、部门、过程及日程安排，最高管理者授权成立内审小组。内审人员资格条件：

a) 内审人员应是所在部门负责人或主要骨干；

b) 内审人员应通过质量管理体系内审课程培训并考试合格；合格内审员应有符合内审员资格的相关说明文件。

内审组长职责：

a) 协商并制定审核活动计划，准备工作文件，布置审核组成员工作；

b) 主持审核会议，控制现场审核实施，使审核按计划和要求进行；

c) 确认内审员审核发现的不合格项报告。

内审员职责：

a) 根据审核要求编制检查表（通常是体系部门制作）；

b) 按审核计划完成审核任务；

c) 将审核发现形成书面资料，编制不合格项报告；

d) 协助受审核方制定纠正措施，并实施跟踪审核。

3. 编制内审实施计划

按照年度内审计划安排的月份，编制内审日程计划，在编制内审实施计划时，编制人应与各内审员及被审核部门负责人确认时间的安排是否合理，如有问题，及时调整计划。审核实施计划应包括以下内容：

a) 内审的目的、范围、起止日期；

b) 依据的文件；

c) 本次审核的主要内容和时间安排；

d) 内审员分工。

4.编制内审检查表

审核前内审员应根据分工编制检查表，检查表要求：

a) 应突出审核区域的主要职能，选择典型关键的质量问题应覆盖质量管理方面的全部职能，包括本公司客户的一些特殊要求；

b) 使用一段时间后形成相对稳定内容，作为标准检查表，为以后内审提供参考

内审需要覆盖的内容：

审核宜检查管理体系是否满足ISO/IEC17025 或 ISO/IEC17020、以及其他相关准则文件的要求；组织的质量手册及相关文件中的各项要求是否在工作中得到全面的贯彻。

5. 通知内审

内审前至少提前一周通知受审部门，内审实施计划应得到受审核部门负责人的确认。

6. 首次会议

现场审核前应召开首次会议，由审核组全员和受审部门负责人及有关人员参加，会议由内审组长主持，与会人员应签到，会议时间以不超过半小时为宜。

首次会议召开的主要内容：

a) 向受审核部门介绍审核组成员分工；

b) 声明审核范围、目的和依据；

c) 简要介绍实施审核所采用的方法和程序；

d) 在审核组和受审核部门之间建立联系；

e) 宣读审核计划，澄清审核计划中不明确的内容。

7. 现场审核

现场审核是使用抽样检查的方法寻找客观证据的过程。

1）客观证据的收集：

①存在的客观事实；

②被访问人员关于本职范围内工作的陈述；

③现有的文件、记录等。

2）现场审核记录

在提问、验证、观察中，审核员应作好记录，记下审核中听到、看到的有用的真实信息，这些记录是审核员提出报告的真凭实据。

3）审核发现

对所收集到的客观证据应进行整理、分析、筛选，在此基础上得出审核证据与审核发现。

当发现不合格项时，应与受审核方的代表就不合格项进行确认，双方应力求解决有关事实存在的意见分歧，未能达成一致的意见应予以记录。

4）不合格报告

审核所述的不合格项是指“未满足规定的要求”。这里的规定要求主要有：

(1)标准要求(如ISO17025或RB/T资质认定标准要求)。

(2)文件规定(包括质量手册、程序文件、质量记录和质量计划或技术性文件和管理性文件)。

(3)合同规定(与顾客签订的销售合同，与供方签订的采购合同等)。

(4)社会要求(包括法律、法规、法令、条例、规章规则以及环境保护、健康安全、能源和自然资源的保护等应承担的义务)。

(5)其他规定，如最高管理者的要求，常识性要求(不一定形成文件)。

(6)顾客投诉。

不合格项的判定以标准或体系文件中明示的要求和顾客的投诉为依据，对隐含要求的不合格项可以观察形式表述或在审核报告中适当描述。

针对软件测评实验室质量管理体系的内部审核可按严重性分成严重不合格、一般不合格、轻微不合格、观察项四级：

1)严重不合格项

严重不合格通常是指系统性失效或缺陷。主要判断标准有：

①质量管理体系与约定的质量管理体系标准或文件的要求严重不符。如关键的控制程序没有得到贯彻，缺少标准规定的要求等。

②造成系统性失效的不合格(可能需要由多个一般不合格去说明)。如在用测量监控设备大部分未按周期进行校准(检定)，不合格品的处置大部分未按规定要求进行评审和记录等。

③造成区域性失效的不合格(可能需要由多个一般不合格去说明)。如某组织质量管理体系未覆盖到应实施的某组织单元或该组织单元根本未按标准要求组织实施，质量管理体系覆盖的所有的产品中有某个产品未按标准进行质量控制等。

④可造成严重后果的不合格项。如压力容器的焊接达不到规定要求，家用电器没有进行绝缘、耐压试验，按错误的图纸进行加工等，这些都直接危及到产品、人身安全，或会给组织带来重大经济损失，严重损害组织声誉。

⑤违反法律、法规的不合格项。

2)一般不合格项

一般不合格项判断标准：

①不是偶然的，明显不符合文件要求的不合格项。如有部分采购合同未进行评审，检验员职责不明确。

②直接影响产品质量的不合格项。如几台检测设备超过校准周期，未按规定进行首检自检。

③造成质量活动失效的不合格项。如质量控制点没有针对关键质量特性或工序支配因素进行控制等。

3)轻微不合格项

轻微不合格项是指孤立的、偶发性的、并对产品质量无直接影响的问题。如卷宗里有一张图张或一份文件的版次不是最新的，某一份文件没有标明日期，用词不准确，签字不符合要求等。

4)观察项

对不合格项进行分级，在有些情况下会成为一件困难的事情，因为其界线很难准确划定。这种区分往往取决于审核组长和审核员的经验和技巧。有时候会出现一种类似不合格项的报告称为“观察项”。出现“观察项”的情况主要有：

①证据稍不足，但存在问题，需提醒的事项。

②已发现问题，但尚不能构成不合格，如发展下去就有可能构成为不合格的事项。

③其他需提醒注意的事项。

观察项报告不属于不合格报告，也不列入最后的审核报告中去。“观察项”的设置无疑为审核方和受审核方各准备了一个台阶，对于缓解审核气氛会带来好处。使用得法，对内审有积极意义。

5）不合格项报告的内容

不合格项报告的内容，可包括：受审核方名称，审核员，陪同人员，日期，不合格现象的描述(应指出不合格、缺陷的客观事实)，不合格现象结论(违反标准、文件的条文)，不合格项性质(按严重程度)，受审核方的确认，纠正措施及完成时间，采取纠正措施后的验证记录等。不合格项报告三要素是：不合格现象的描述，不合格现象结论和不合格项性质，这是任一不合格项报告不可缺少的。

不合格现象的描述应严格引用客观证据，并可追溯。例如观察到的事实、地点、当事人、涉及到的文件号、产品批号，有关文件内容，有关人员的陈述等。描述应尽量简单明了，事实确凿，直笔表述，不加修饰。不合格现象的结论主要是指所描述的现象违反了约定文件(质量管理体系标准、质量管理体系文件、合同等)的哪条规定。