现场审计流程
EICC 现场验证审计包括 9 个部分:
8.1 审计小组准备会议
8.2 开幕会议
8.3 熟悉之旅
8.4 详细评估
8.5 管理层面访
8.6 工人面访
8.7 对发现的分析
8.8 每日总结会议
8.9 闭幕会议
8.1 审计小组准备会议
操作手册针对所有 EICC 成员提供,并在 APM 计划 EICC 审计时向受审计方提供。
主任审计师将在开幕会议之前的 14 个日历日向受审计方发送审计日程。
主任审计师负责并由全体审计小组成员参与的审计准备会议应在审计的前一晚举行。会议的
目的是为了确保审计小组的成员相互认识并对团队的角色和责任进行调整。
亦将对初步面访计划进行综述(谁面访谁及何时审查)。然而,由于审计流程和涉嫌不符事
项需要更多调查,计划可能发生变化。
因此,主任审计师将与审计小组审查 EICC 模板以确保每一位审计师了解其在审计过程中
角色、行为和责任以及对他们的期望值。
注意:如果出现来自现场分包商的工人,主任审计师应确保受审计方在现场审计 开始前通知
分包商,他们雇佣的工人将参与(面访),因此,可能会发生工作时间和工资/福利的审查。
受审计方将确保提供审查所需的信息。
8.2 开幕会议
开幕会议的目的是使审计小组与受审计方管理层和员工相识,并审查审计的重要方面,
例如,计划、将审核的特定领域,以及如何编制和提交报告。
8.2.1 审计小组的陈述
主任审计师将审查审计日程、审计流程和范围,以及受审计方可能请求的其他项目。
与受审计方管理层举行的开幕会议的持续时间不得超出 1 个小时。
主任审计师应使用 PowerPoint 演示文档的模板“EICC 审计开幕会议模板”。可以根据需要
修改幻灯片的布局。开幕会议的典型日程包括:
• 审计的目的和目标
• 审计范围
• 审计方式
- 巡视、审查、记录审查、记录现场备注
- 强调并非需要详细审查每一个记录或操作,并强调团队可以在确定符合性
时仅查看具有代表性的项目范例。
- 现场备注将由主任审计师审查以确保它们仅包含事实声明,而不包含假设
或不适当的评价
- 计划每日总结会议和闭幕会议
• 审计时间表
• 报告的编制和 QA 流程
• 受审计方管理层的响应流程
• 审计流程图,确保受审计方了解时间表
8.2.2 受审计方的陈述
受审计方应对工厂进行概述,包括:
• CR 计划的组织
• 责任的分配
• CR 问题、目标和绩效
• 对工厂的操作进行概述
• 告知一周发生的重要现场活动
• 自上次审计以来的主要变化(针对跟进审计)
• 对审计前的文档(包括 SAQ 和任何之前的审计报告)进行审查
• 提供重要面访候选人和可用性(包括有关组织图)
• 确定审计小组工作室和电话协议
• 告知现场工作时间和访客安全和安保协议
• 确定计算机/打印机支持
• 讨论访客的现场陪同协议
• 审计师和受审计方可能感兴趣的其他信息
8.3 熟悉之旅
受审计方应在开幕会议后立即带审计小组进行简短的熟悉之旅(不超过 1 个小时)。熟悉之
旅的目的是:
a) 使审计小组熟悉工厂的布局和主要操作;
b) 观察一般的物理和工作条件;
c) 观察在受审计方的自我评估 (SAQ) 和其他审计前文档中提及的潜在高风险区域;及
d) 确定在审计中当地操作的哪些领域和方面需要更详细的检查和审查并对其进行优
先级排序。
熟悉之旅应通过走查方式对审计范围中的所有建筑和操作提供一般性概述。
8.4 详细评估
本手册和 EICC 审计标准旨在作为评估流程的指南。
每日审计活动的每日审计规划和准备对有效审计至关重要。应基于在审计前准备过程中确定
的审计范围和优先事项以及在现场巡视和记录审查中做出的观察仔细计划面访、工厂检查和
计划审查。
巡视和面访是为了深入了解 CR 政策、实践、流程的实施、对角色和责任的认识以及管理
层的参与。
文档和记录审查提供了 CR 管理体系的定义、实施和维持状况。
8.4.1 可观察到的客观证据
执行面访、观察和审查有关文档和记录时,审计师必须仅依靠可观察到的客观数据和事
实(无其他推论)。事实指具有下列特点的信息:
• 客观和可以验证;
• 已经声明或记录;及
• 不受情绪或偏见的影响。
虽然可以很容易地通过检查事实的来源对事实进行验证,但推论是基于不完整信息做出
的选择或假设。虽然推论对审计的观察和结果有作用,但在下结论之前需要对推论进行
进一步的评估和验证。
数据的确证
必须使用多个数据点以验证符合或不符合的发现。确证的目的是为了确保审计发现准确
地反映了在审计时工厂的政策、实践和工作区的条件。确证有助于确保审计发现可信和
有说服力。
三角剖析是一种确证过程,它覆盖了来自不同数据采集来源的数据。三角剖析的理念
是,如果不同来源和类型的数据指向同一个结果,则结果更加可信。此外,更多数据使
受审计方能够更轻松地确定问题的根本原因并实施有效的纠正和预防性行动。
在大多数情况下, 至少须采用 3 个数据点证明审计发现。数据点可以是不同类型的数
据,或同类型的数据,但应来自独立的来源。
经验之谈: 无论是管理层声明还是文档,只要与工人提供的信息存在矛盾,须始终采
用 3 个数据点。
不同类型的数据包括:文档、记录、管理层面访、工人面访及物理观察。独立来源意味
着从工厂的不同部分、不同的职能领域或不同的轮班获取的数据。
例如:
由于审计师的视觉观察、已审查文档和管理层面访是三种不同类型的数据,因此,它们是三个独立的数据点
文档审查以及与不同部门的两个工人进行的审查亦是三个独立的数据点。虽然有两个数据点是同一类型(工人面访),但它们是从不同的来源获得
物理观察及对同一工作领域的两个工人的面访不属于三个数据点。对来自同一工作领域的两个工人的面访属于来自同一类型和同一来源的数据点。
不同级别的符合所需的数据点的数目:
* 由于管理体系不足,当前体系无法证明是否符合,需要 3 个数据点证明
* 无法验证涉嫌不符事项的情况,至少需要 3 个数据点
支持性证据:
只有在发现不符事项时才需要支持性证据
如果审计师从现场带走更多支持性证据(即使是符合性证据),则应在提交
VAR 草稿时向 APM 提供此类证据
法律参考:
只有在发现法律不符事项时才需要法律参考
例外情况
有时只需 2 个独立的数据点即可。如果提供的数据点不足 3 个时,则必须满足
下列标准:
对于确定是否存在某文档(例如,环境许可证)的问题,则无需第 3 个数据点。
通过文档审查以及来自管理层的确证声明即足以