2018年 内审检查表(技术部)

CNAS-CL01-2018内部审核检查表【CNAS-2018内审检查表】Internal Audit Check Record审核日期：2019.12.18 审核员记录编号：QC-Q4-008-A1涉及认可准则要素检查内容评审说明评审结果4. 通用要求4.1 公正性4.1.1 实验室是否公正的实施实验室活动，并从结构和管理上保证公正性？4.1.2 实验室是否做出公正性承诺？4.1.3 实验室是否：a)对其实验室活动的公正性负责？b)有措施确保实验室活动的公正性，避免来自内外部的不正当的商业、财务和其他方面的压力和影响对公正性造成的损害？4.1.4 实验室是否：a)持续的识别影响公正性的风险？b)采取措施应对实验室活动、实验室各种关系或实验人人员关系而引发的风险？4.1.5 实验室是否可以证明采用了何种方式方阿飞消除或最大程度的降低实验室的公正性风险？4.2 保密性涉及认可准则要素检查内容评审说明评审结果4.2.1 实验室是否a)通过做出具有法律效力的承诺，对在实验室活动中获得或产生的所有信息承担管理责任？b)将其准备公开的信息事先通知客户？c)对除客户公开或与客户有约定的信息以外的所有信息是为专属信息并予以保密？4.2.2 实验室是否对法律禁止外的根据法律要求或合同授权透漏保密信息时，将所提供的信息通知到相关客户或个人？4.2.3 实验室是否：a)采取相应的保密措施确保从客户以外获知的客户信息应在客户和实验室间保密？b)采取措施为信息提供方保密，且不告知客户——除非信息提供方同意？4.2.4 实验室是否对法律要求除外的包括但不限于委员会、合同方、外部机构人员或代表实验室的个人等人员对在实施实验室活动中获得或产生的所有信息保密？5. 结构要求5.1 实验室或实验室作为其一部分的组织是否在法律上是可识别的: 如果实验室是独立法人单位，是否具备相应的法律文件证明其有合法的服务范围和独立机构编制?如果实验室隶属于某一法人单位，是否有独立的建制，其机构组成是否有主管部门（独立法人单位）的批准文件，实验室负责人是否得到主管部门的正式书面任命，并授权实验室独立进行规定范围的检测和/或校准工作?5.2 实验室是否确定对实验室全权负责的管理层？实验室是否明确对实验室全面负责的人员？其是否具备技术能力覆盖其所从事的检测或校准活动的全部技术领域？涉及认可准则要素检查内容评审说明评审结果5.3 实验室是否明确承诺并切实履行职责，保证其检测和校准活动符合CNAS-CL01:2018的要求，同时满足客户、法定管理机构或对其提供承认的组织的需求？5.4 实验室是否按照满足本准则、实验室客户、法定管理机构和提供承认的组织要求的方式开展实验室活动？包括实验室在固定设施、固定设施以外的地点、临时或移动设施、客户的设施中实施的实验室活动。

受审核部门技术部部门代表审核日期审核员涉及QMS条款审核要点审核方法审核记录意见5．3组织岗位、职责和权限部门相应的岗位职责是如何体现的？是否明确相应的职责和权限？查职务说明书及相关规定6．2质量目标及实现的策划质量目标是否具有可测量性？测量方法是否明确？查部门质量目标及质量方针7．1资源对软件的管理加工程序管理方法；特殊工序中知识的获取和控制监测装置的监视和测量能力是否与监视和测量要求相一致？询问是否一致监测装置是否按规定周期或在使用前进行校准或检定？查校准记录和校准员资格证书是否编制监测装置台帐和周期检定计划？监测装置是否有惟一性标识（或编号）？查相关台帐及周期定点计划是否保存校准或检定记录？被检定或校准的装置是否有检定标识？查校准记录的保存和相应的标识（抽查5个量具）涉及QMS条款审核要点审核方法审核记录意见7．2能力如何确定组织所需要的能力是否符合要求查培训、考核记录7．3意识如何在部门贯彻公司质量方针质量目标的达成情况及偏离质量管理体系要求的后果是否清楚7．4沟通组织内部及外部采用什么方式进行沟通沟通的工具7．5形成文件的信息所有图纸保存及发放是否清晰及受控？查文件发放记录及流程。

8．1运行策划和控制审核目标达成情况?查阅管理文件，观察现场的工作环境，包括：办公设施、工作氛围、员工精神状态等。

8．2产品和服务要求审核产品评审查阅如何对顾客的要求进行评审及评审的相相关资料产品要求的变更当出现变更时如何进行管控涉及QMS条款审核要点审核方法审核记录意见8.4.1总则采购物料不合格的时候，采购进行那些工作？收到品质异常联络书（即《供应商纠正预防措施》）是否会跟供应商沟通并保持相关记录？查不合格品处理方式和联络方式的相关文件8.4.2控制的类型和程度简述采购的操作流程及相关记录。

供应商合作前期有没有评估？查合格供应商评价表及采购流程图8.4.3外部供方的信息根据申购单，采购订单所采购的物料是否都有下订购单给供应商？采购订单要由哪些人审批？查供应商采购单并查看是否经过审批8.5.3外部供方的财产询问企业是否存在客供财产？如有，有哪些？这些客供财产自交付日起，企业采取哪些措施，进行识别，验证，保护和维护？这些措施是否有效并被实施？询问是否有顾客财产（举例）如何保管涉及QMS条款审核要点审核方法审核记录意见8.5.3外部供方的财产客供财产中是否含有知识产权？如有，企业是否按照法律和顾客要求采取了保护措施？查顾客财产注意事项和使用说明8.5.3外部供方的财产问并查当顾客财产发生丢失，损坏或发现不适用的情况时，企业是否采取措施防止扩大，并予以记录，向顾客报告？在未征得顾客意见之前，不擅自处置？查相关记录和如何联络方面的文件8.5.6变更的控制当顾客需求或产品要求发生变更时,如何进行应对?查3分4M变更记录8.7不合格输出和控制对不合格品进行返工、返修后是否重新检验？请出示检验记录。

技术部检查表(内审)Internal Audit___ Audit Basis ISO9001 ___.4.2.3 Document ControlThe auditor checks the standard clauses。

___ res。

management ns。

applicable laws and ns。

etc。

The audit content includes ___:Does the Technical Department have a document number when preparing technical documents?Has the technical document received the corresponding person's review and approval before its release?Is there a record of document n when the technical document is issued?After the technical document is modified。

has it been re-approved?In what form is the modified technical document distributed? ___ documents handled?3-5 technical documents and 2-3 change records ___)Document storageIs the effective n of the document being used?Is it easy to find the document?Is the document storage effective?4.2.4 Record ControlRecord management practicesAre the records ___ handwriting。

ISO20000-2018内审检查表项被审核部门 管理层 审核成员 谢泽宇 审核日期2019/2/10审核主题 4. 1/ 4. 2/ 4. 3/ 4. 4/ 5. 1/5. 2/5. 3/6. 1/6. 2/9. 3/A5 . 1. 1/ A5 . 1. IT S M S : 4 . 1 / 4. 2 / 4. 4. 1 / 4. 5. 1/ 4. 5. 2 / 4. 5. 4/ 4. 5. 5陪 同 人 员贺美燕核查核查事项核查记录符合项 观察项不符合要素／条款4.1理解组织及其环境现在客户越来越重视本单位的信息安全， 要 求 服 务 提 供 商 具 备 一定的信息安全管理水平； 目 前信息安全威胁不断增加， 本组织的核心资产也要进行安全防护， 保证核心资产的安全性、 保密性、可用性。

4.2理解相关方的需求和期望 公司客户对服务提供商的信息安全提出了更高的要求， 在公司给客户提供服务的过程中， 客户要求保证公司接触到的客户的信息资产的安全C在服务合同中都有相关安全条款c4.3IT SMS:4.5.l确定信息安全管理体系范围确定了信息安全的组织、业务、物理范围。

a) 本公司提供IT 服务的物理范围为本公司的办公场所；服 务 交 付 地 点 为 公 司 顾 客 的 办 公 区 域 。

b) 客户主要为： 公 司 计 算机软硬件及信息系统的应用组织；c) 主要向外部客户提供与公司计算机软硬件及信息系统相关的信息技术服务。

4.4 信息安全管理体系按ISO /IEC 27001:2013《信息技术－安 全 技 术－信 息 安 全 管 理 体 系－要 求 》 规 定 ， 建立、 实施、 保持和待续改进信 息安全管理体系。

包含了4级文件： 手册 、 程 序 文 件 、 管 理 制 度 、 记 录 。

5.1ITS MS :4.1.l领导力和承诺领导层制定了信息安全方针、目标和计划； 建 立 信 息 安 全 的 角 色 和 职 责； 向 组 织 传 达满 足 信 息 安全目标、符合信息安全方针、履行法律责任和持续改进的重要性； 提 供 充 分 的 资 源 ， 以建立、 实施、 运作、 监视、评审、保待并改进，决定接受风险的准则和风险的可接受等级； ,J5.2 IT SMS :4.1.2 \6.6.1 方针 信息安全管理方针为： 数 据 保 密 、 信 息 完 整 、 控 制 风 险 、 持 续 改 进 、 全 员 参 与、 提高绩效、客户满意。

序号检查内容涉及ISO条款检查记录审核结论OK NC N/A1 公司是否针对公司所处外部/内部环境，确定了职业健康安全管理体系范围●外部环境，如：a)文化、社会、政治、法律、金融、技术、经济和自然环境以及市场竞争，无论是国际的、国内的、区域的，还是地方的b)新加入的竞争对手、承包方、分包方、供方、合作伙伴和供应商，以及新技术、新法律和新出现的职业c)有关产品的新知识及其对健康和安全的影响d)与行业或专业相关的、对公司有影响的关键驱动因素和趋势e)与其外部相关方之间的关系，以及外部相关方的观念和价值观f)与上述各项有关的变化4.1/4.3●内部环境，如：a)治理、公司结构、角色和责任b)方针、目标及其实现的策略c)能力，可理解为资源、知识和技能(如资金、时间、人力资源、过程、系统和技术)d)信息系统、信息流及决策过程(正式的和非正式的)e)新的产品、材料、服务、工具、软件、场所和设备的引入f)与工作人员的关系，以及他们的观念和价值观g)公司文化h)公司所采用的标准、指南和模型i)合同关系的形式和范围，包括诸如外包活动j)工作时间安排k)工作条件l)与上述各项有关的变化2 公司是否通过以下方面来确定并理解工作人员及其他相关方的需求和期望。

公司一旦采纳这些需求和期望，是否就在策划和建立职业健康安全管理体系时予以应对(1)除工作人员之外，相关方还可包括：法律法规监管机构(当地的、地区的、省/直辖市/自治区的、国家的4.2序号检查内容涉及ISO条款检查记录审核结论OK NC N/A 或国际的)；上级组织；供方、承包方、分包方；工作人员代表；工作人员组织(工会)和雇主组织；所有者、股东、客户、访问者、公司所在社区和邻居以及一般公众；顾客、医疗和其他社区服务机构、媒体、学术界、商业协会和非政府组织；职业健康安全组织、职业安全和健康护理方面的专业人员(2)有些需求和期望具有强制性，如已被纳入法律法规的需求和期望(3)对于其他需求和期望，公司也可决定是否自愿接受或采纳(如签署自愿性倡议)3 公司根据ISO45001的要求建立、实施、保持并持续改进职业健康安全管理体系，包括所需的过程及其相互作用4.44 公司总经理是否通过以下措施来证实其在职业健康安全管理体系方面的领导作用和承诺：(1)对保护工作人员的与工作相关的健康和安全承担全部职责和责任(2)确保建立职业健康安全方针和职业健康安全目标，并确保其与公司的战略方向相一致(3)确保将职业健康安全管理体系的过程和要求融入公司的业务过程(4)确保可获得建立、实施、保持和改进职业健康安全管理体系所需的资源(5)通过协商、识别以及消除妨碍参与的障碍或障碍物，确保工作人员及工作人员代表的积极参与(6)就有效职业健康安全管理的重要性和符合职业健康安金管理体系要求的重要性进行沟通(7)确保职业健康安全管理体系实现其预期结果(8)指导并支持工作人员对职业健康安全管理体系的有效性做出贡献(9)通过系统地识别和采取措施以应对不符合、机遇以及与工作相关的危险源和风险，包括体系缺陷，确保及促进职业健康安全管理体系的持续改进以提升职业健康安全绩效(10)支持其他相关管理人员在其职责范围内证实其领导作用(11)在公司内培养、引导和宣传支持职业健康安全管理体系的文化5.15 公司总经理与公司各层次的工作人员协商后是否建立、实施并保持职业健康安全方针：职业健康安全方针内容是否包括提供安全健康的工作条件以预防与工作相关的伤害和健康损害的承诺职业健康安全方针内容是否为制定职业健康安全目标提供框架职业健康安全方针内容是否包括满足适用的法律法规要求和其他要求的承诺职业健康安全方针内容是否包括利用控制层级控制职业健康安全风险的承诺5.2序号检查内容涉及ISO条款检查记录审核结论OK NC N/A 职业健康安全方针内容是否包括持续改进职业健康安全管理体系以提高职业健康安全绩效的承诺职业健康安全方针内容是否包括包括工作人员及工作人员代表参与职业健康安全管理体系决策过程的承诺职业健康安全方针是否保持文件化信息，并可方便获取职业健康安全方针是否向公司内的工作人员沟通，比如：宣传栏、内部刊物职业健康安全方针是否在公司官网公布5.2管理评审时，是否对职业健康安全方针进行评审，以确保持续的相关性和适宜性 5.26 公司的职业健康安全各级岗位、职责、责任和权限，是否得到清晰的描述 5.3公司总经理是否任命一个(或多个)高级管理人员作为“职业健康安全管理者代表”，管理者代表的职责和权限是否明确5.37 公司建立、实施和保持什么样的流程/程序，确保所有相关层次和职能部门的工作人员和工作人员代表参与(包括协商)建立、策划、实施、评价和改进公司的职业健康安全管理体系5.4是否有畅通的协商与参与渠道 5.4 工作人员在提供建议时，是否无惧遭受解雇、纪律处分或其他类似报复的威胁 5.4 8 策划职业健康安全管理体系时，公司是否考虑到所处的环境、相关方和职业健康安全管理体系范围，确定需要应对的风险和机遇6.1.1是否策划、建立、实施和保持相关的流程/程序，对公司所处的环境、相关方和职业健康安全管理体系范围，进行风险和机遇识别6.1.1在确定需要应对的风险和机遇时，公司是否考虑：a)职业健康安全危险源及其相关联的职业健康安全风险和机遇b)适用的法律法规要求和其他要求c)与职业健康安全管理体系运行有关的能够影响实现预期结果的风险和机遇6.1.1公司是否保留了：a)需要应对的职业健康安全风险和职业健康安全机遇的文件化信息b)应对风险和机遇所需过程的文件化信息，其程度应足以确信这些过程按策划实施6.1.1 9 是否策划、建立、实施和保持相关的流程/程序，以持续积极地对产生的危险源进行辨识 6.1.2.1序号检查内容涉及ISO条款检查记录审核结论OK NC N/A 危险源辨识过程是否包含常规和非常规的活动和情形，包括考虑：工作场所的基础设施、设备、材料、物质和物理条件；因产品设计而产生的危险源，包括研究、开发、测试、生产、组装、施工、服务交付、维护或处置；人为因素；工作实际是如何完成的6.1.2.1危险源辨识过程是否包含紧急情况 6.1.2.1危险源辨识过程是否包含人的因素，包括考虑：进入工作场所的人员及其活动，包括工作人员、承包商人员、访问者和其他人员；在工作场所附近的可能受到公司活动影响的人员；在不受公司直接控制的地点的工作人员6.1.2.1危险源辨识过程是否包含其他问题，包括考虑：工作区域、过程、安装、机器/设备、操作程序和工作公司的设计，包括它们对人员能力的适应性；在工作场所附近发生的由工作相关的活动造成的公司控制下的情况；在工作场所附近发生的可能对工作场所中的人员造成与工作相关的伤害和健康损害的不受公司控制的情况6.1.2.1危险源辨识过程是否包含公司及其运行、过程、活动和职业健康安全管理体系实际或有计划的变更 6.1.2.110 是否策划、建立、实施和保持相关的流程/程序，评价已识别出的危险源中的职业健康安全风险 6.1.2.2是否考虑了是否考虑三种状态、三种时态 6.1.2.2 是否策划、建立、实施和保持相关的流程/程序，评价公司所识别的风险、机遇、需求和期望 6.1.2.2 是否保留了识别和评价过程的文件化信息；是否有重大危险源清单 6.1.2.2 11 是否策划、建立、实施和保持相关的流程/程序，以便确定并获取适用于公司危险源和职业健康安全风险的、最新的法律法规要求和其他公司应遵守的要求6.1.3公司在建立、实施、保持和持续改进其职业健康安全管理体系时，是否考虑这些法律法规要求和其他要求 6.1.3 是否保留了识别和评价过程的文件化信息；是否有法律法规及其他要求清单 6.1.312 公司是否策划措施，以：a)应对这些识别的风险和机遇b)应对适用的法律法规要求和其他要求c)准备应对紧急情况和对紧急情况做出响应6.1.4序号检查内容涉及ISO条款检查记录审核结论OK NC N/A 策划措施时，公司是否考虑控制层级和职业健康安全管理体系的输出 6.1.4策划措施时，公司是否考虑最佳实践、可选技术方案、财务、运行和经营要求及限制 6.1.413 是否策划、建立、实施和保持相关的流程/程序，针对其相关职能和层次建立职业健康安全目标，以保持和改进职业健康安全管理体系，实现职业健康安全绩效的持续改进6.2.1是否编制职业健康安全目标、指标和管理方案(查最新一年的职业健康安全目标、指标和管理方案) 6.2.1 职业健康安全目标、指标和管理方案是否得到监视和测量 6.2.1 职业健康安全目标、指标和管理方案是否予以清晰沟通(内部沟通，外部沟通) 6.2.1 适当时，职业健康安全目标、指标和管理方案是否予以更新(什么时候会更新) 6.2.1 14 实现职业健康安全目标的策划。