快速答案
Quick Answer
ISO 9001:2015 要求组织保持书面文件 — 质量记录 — 这些文件提供符合性和流程有效性的证据。审计准备是指拥有正确的记录、为快速检索而组织、对访问、修改和保留有明显控制的记录。材料证书是制造车间审计中被审查最多的记录之一。
ISO 9001 审计不是一次突击性测试。该标准准确地告诉你审计员会寻找什么证据。问题不是不知道要求 — 而是操作纪律,以使记录始终处于审计就绪状态,而不仅仅在评估前一周。
对于制造车间,材料可追溯性和证书记录是产生最多发现的部分。本指南着重于审计员寻找什么、记录通常在哪里有所不足以及稳健的质量记录系统在实践中看起来是什么样的。
ISO 9001:2015 要求什么:相关条款
§7.5 — 书面文件信息
ISO 9001:2015 用统一术语"书面文件信息"替代了"文件"和"记录"术语。该标准要求组织:
- 创建和更新 具有适当标识、格式和审查/批准的书面文件信息
- 控制 书面文件信息,确保在需要时可用、充分保护且仅授权人员可访问
- 保留 书面文件信息作为符合性证据定义期间,然后妥善处置
对于制造中的质量记录,此条款管理整个证书生命周期:接收时创建、审查和批准、存储和访问控制以及最终存档或处置。
§8.4 — 外部提供的流程、产品和服务的控制
此条款要求组织验证外部提供的产品(即采购材料)符合要求。对于认证材料,符合性证据是验证的 MTC 或 CoC。审计员会询问:
- 你如何验证采购材料符合指定要求?
- 哪些记录证明此验证已进行?
- 如何识别和控制不符合的采购产品?
获批的证书、进货检验记录和 NCR 记录是主要证据。
§8.6 — 产品和服务的发布
组织必须保留有关产品和服务发布的书面文件信息。对于制造,这包括:
- 产品符合性标准已满足的证据
- 对授权发布的人的可追溯性
- 任何偏差的记录
证书批准记录、过程检验签名和最终发布授权共同构成此证据。
§8.7 — 不符合产出的控制
当识别出不符合的材料或产品 — 包括在进货检验时被拒绝的材料 — 组织必须保留书面文件信息,描述:
- 不符合的情况
- 采取的行动
- 获得的任何特许
- 决定行动的权威人士的身份
你的 NCR 系统及其与证书记录和库存处置的联系是此条款的主要证据。
审计员在证书记录中寻找什么
根据制造环境中常见的审计发现,审计员重点关注:
1. 证书完整性和技术准确性
文件中的证书是否包含所有必需数据?化学和机械值是否已根据标准限制进行验证?审计员可能会对照规格对值进行抽查 — 特别是对于高风险或客户指定的材料。
发现: 文件中的证书但值从未根据规格进行检查。证书通过完整性检查但包含略高于标准最大值的化学值。不存在验证记录。
2. 证书与物理材料的联系
你能否证明系统中的证书涵盖用于给定工作的特定批次的材料?审计员会要求你追踪工作订单到库存发货、到批号、到证书。每个链接都必须成立。
发现: 文件中的证书,但订单切割的特定板和 MTC 之间没有记录的连接。批号碰巧匹配,而不是通过系统控制。
3. 批准权限和授权记录
谁批准了证书?他们是否有记录的权限这样做?批准记录是否被保留和可检索?
发现: 证书被"归档"但没有记录的批准决定。审查它们的人身份不明。不存在批准时间戳。
4. 保留的书面文件信息的控制
记录是否受到保护,防止未授权的修改?访问控制是否被记录和执行?是否存在保留时间表?
发现: 证书存储在没有访问控制的共享文件夹中。任何人都可以删除或修改文件。没有记录的保留时间表。
5. 不符合关闭
对于针对证书问题提出的每个 NCR,是否有记录的处置、纠正措施(如果需要)和关闭日期?
发现: NCR 已打开但从未正式关闭。没有纠正措施有效性审查的证据。
构建审计就绪的质量记录:实际步骤
步骤 1:识别所有必需的记录类型和所有者
创建一份书面列表,列出你的组织必须维护的所有质量记录类型、它们满足的条款、负责维护它们的所有者和所需的保留期。这是你的书面文件信息注册 — 它本身是 ISO 9001 要求。
对于材料认证,注册应至少包括:
- 进货 MTC 和 CoC(按批号)
- 进货检验记录
- 带有处置记录的 NCR
- 批准的供应商列表 / QSL
- 按工作号的外发认证包
- 带有批准者身份和时间戳的证书批准记录
步骤 2:标准化记录创建
不一致创建的记录作为审计证据不可靠。标准化:
- 必须为每种记录类型捕获哪些数据
- 谁创建记录和何时创建(在流程的哪个点)
- 使用哪个系统或表单
对于证书记录,这意味着一个结构化的摄取流程 — 不是将 PDF 保存到文件夹并称其为已归档。
步骤 3:实施访问和修改控制
获批的质量记录不应在没有受控变更流程的情况下可修改。实施:
- 基于角色的权限:查看者可以读取、批准者可以签名、管理员可以配置
- 无法删除已批准的记录 — 仅使用审计跟踪的存档
- 所有记录访问和修改尝试的审计日志
步骤 4:建立和记录保留期
对于每种记录类型,定义保留期和该期的基础(标准要求、客户要求、监管要求)。在你的质量管理程序中记录这一点并在你的记录系统中实施。
步骤 5:实施检索
审计准备的真正测试是检索速度。要求某项工作的完整文件包的审计员应在几分钟内而不是几小时内收到。在审计前进行检索演练:
- 从六个月前选择一个工作订单并检索所有相关的证书
- 按批号搜索并确认它返回正确的 MTC 和所有消耗该批号的工作订单
- 拉取特定发现的 NCR 记录并确认处置和关闭记录是完整的
如果检索在演练中很慢或不完整,在审计压力下会更糟。
证书记录中的常见 ISO 9001 发现
| 发现 | 条款 | 根本原因 |
|---|---|---|
| 没有证书值已根据规格进行检查的证据 | §8.4 | 未记录验证步骤;没有系统强制检查 |
| 证书已归档但未链接到物理材料或工作订单 | §8.4, §7.5 | 基于日期/供应商的文件系统,而不是批号 |
| 未记录批准 | §8.6 | 口头批准文化;没有电子工作流 |
| 未定义或未遵循保留期 | §7.5 | 没有记录的保留时间表 |
| NCR 打开但无解决 | §8.7 | 没有所有权和关闭追踪 |
TestCert 通过提供结构化摄取、标准感知验证、工作流强制批准、批号密钥存储和可配置的保留规则来解决这些问题 — 全部带有完整的审计跟踪。
根据 ISO 9001,质量记录必须保留多长时间?
ISO 9001:2015 §7.5.3 要求组织保留书面文件信息作为符合性证据定义期间。该标准未指定最小期限 — 它要求组织根据上下文定义适当的期限,包括适用的法定和监管要求、客户要求和记录的性质。大多数制造车间按产品类别设置最小保留期,对于一般商业制造为 7 年,对于保留压力的部件为 25 年以上。
根据 ISO 9001:2015,文件和记录之间的区别是什么?
ISO 9001:2015 对两者使用统一术语"书面文件信息"。非正式地,文件是随时间更新的活信息(程序、工作指令),而记录是对执行的活动的证据(检验报告、证书、批准记录)。记录必须防止无意改动;文件通过定义的审查和批准流程进行控制。两者都在 §7.5 要求下,但控制需求不同。
数字记录能否满足 ISO 9001 要求,还是需要纸质原件?
数字记录完全满足 ISO 9001 要求,前提是它们满足书面文件信息控制要求:它们可供授权人员访问、受到保护免受未授权修改、按所需期间保留可读格式、可按需检索。许多认证机构和客户更喜欢数字记录因其检索速度。在特定的受监管环境中可能需要纸质原件(某些 ASME 应用、21 CFR 第 11 部分背景)— 按应用确认要求。
我们应该如何为专注于材料记录的客户质量审计做准备?
通过首先运行你自己的检索审计来准备:选择五到十个最近的工作,并尝试为每个检索完整的文件包。注意任何空白、检索缓慢或断开的链接,并在客户访问前解决。准备一页纸的证书管理流程摘要 — 证书如何被接收、验证、批准和存储 — 以便你可以向审计员讲解流程,而不是让他们发现。准备好你的记录保留政策和合格供应商列表。
我们对与证书相关的不符合问题的纠正行动流程应该是什么样的?
证书 NCR 应遵循你的标准纠正行动流程:记录发现、识别立即遏制措施(保持或隔离)、进行根本原因分析、定义和实施纠正措施、验证有效性和关闭记录。对于来自特定供应商的重复证书问题,纠正措施应解决供应商绩效方面 — 而不仅仅是个别实例。记录一切;根本原因分析和有效性验证是审计时最常不完整的部分。
Ready to automate your certificate workflow?
Try TestCert free