GB/T 19011-2021/ ISO19011:2018 《管理體系審核指南》與GB/T19011-2013《管理體系審核指南》相比,變動比較明顯的是對基於風險的方法提出了更為詳細的要求,其中“風險”一詞出現80多次,與風險相關的條款30多項。為了便於大家對這些條款的理解,本文在對GB/T19011-2021《管理體系審核指南》中與風險相關的條款逐一解讀的基礎上,進行了歸納總結。
對標準中風險條款的解讀 對GB/T19011-2021/ISO19011:2018 《管理體系審核指南》中風險條款解讀如下:
1.審核原則 審核原則之一是基於風險的方法。基於風險的方法就是在審核過程中考慮風險和機遇的審核方法。在進行審核的策劃、實施審核和審核報告中都應體現基於風險的方法,通過應用基於風險的方法,可以確保風險管理目標的實現。
2.審核方案的風險方法 (1)風險管理與資源優化 風險管理是對資源的反復優化。因此,審核應優先考慮將資源和方法分配給管理體系中內在風險較高和績效水準較低的事項。依據審核方案的管理流程,識別所有管理活動可能產生的風險和機遇,評估風險等級,提出風險控制措施,制定相應的計畫,對控制措施落實的有效性進行確認,確保風險降低到可接受的範圍。審核方案的範圍和程度與基於受審核方的風險和機遇的類型密切相關。 (2)審核方案的目標是風險識別不漏項 審核方案的目標是全面識別受審核方的風險和機遇,做到不漏項;評價受審核方的三種能力,例如評價受審核方識別風險和機遇的能力、評價對風險實施有效控制的能力以及應對這些風險和機遇的能力。 (3)審核方案的主要風險 在確定審核方案和資源要求時,審核方案管理人員應識別相關的風險、機遇和應對措施。其中,識別的風險主要包括: ① 策劃不充分的風險,例如未能確立相關的審核目標,及未能確定審核的範圍和詳略程度、數量、持續時間、地點和排程等; ② 資源不足的風險,例如在時間、設備和/或培訓不足的情況下制定審核方案或實施審核; ③ 審核組的選擇不合適的風險,例如有效實施審核的整體能力不足; ④ 溝通不暢的風險,例如無效的外部/內部溝通過程/管道; ⑤ 實施過程中風險,例如審核方案內的審核實施協調不力或未考慮資訊 安全和 保密性; ⑥ 對成文資訊控制不到位的風險,例如:未有效確定審核員和有關相關方所要求的必要的成文資訊;未能充分保護審核記錄以證明審核方案的有效性; ⑦ 監視、評審和改進審核方案不充分的風險,例如對審核方案的結果監視無效。 (4)外部因素(環境)和內部因素(環境)分析是風險管理的前提 外部因素包括:文化、社會、政治、法律、法規、金融、技術、經濟、自然環境、競爭環境,無論是國際的、國內的、區域的或局部的;內部因素包括:治理、組織結構、職能、責任;方針、目標,以及確定實現它們的戰略;能力、對資源和知識的理解(如資本、時機、人員、過程、系統、技術);資訊系統、資訊流、決策過程(正式的和非正式的);與內部利益相關方的關係,以及他們的感知和價值觀;組織的文化;組織所採用的標準、指南和模型;合同關係的種類和程度等。分析這些因素可能導致的風險及其應對控制措施,並將措施納入相應的審核活動中。 審核方案管理人員應具有對受審核方的內外部因素進行分析的能力,在此基礎上具有識別風險和機遇的能力。適當時,審核方案管理人員應具有風險管理的知識。 影響審核方案的範圍和詳細程度的風險因素包括:重大變化就意味著不確定性,即風險,因此要特別重視受審核方所處環境或其運行以及相關風險和機遇的重大變化,分析重大變化可能產生的風險;分析受審核方業務可能產生的業務風險和機遇,制定控制這些風險的措施。 不斷變化的環境可能會帶來新的風險,因此,應評價管理體系在不斷變化的環境下建立和實現目標及有效應對風險和機遇的能力,包括相關措施的實施能力。 審核準則是確定合格的依據。可以考慮由受審核方確定所處環境及風險和機遇的資訊(包括相關的外部和內部相關方要求)。 審核方案評審應考慮內部和外部因素分析,以及與審核方案有關的風險和機遇及其應對措施的有效性。 (5)資訊溝通是風險管理的重要環節 資訊溝通是有效實施風險管理的一個重要環節,風險相關的資訊溝通的暢通、及時與否直接影響風險管理的效果,因此要確保所有相關部門和所有相關人員必須知悉涉及的風險和機遇。 審核在選擇現場、遠端或組合的方式進行時,應基於相關風險和機遇。為確保審核 工作的有效策劃,應向審核組長提供所識別的風險和機遇所需的全部資訊,以實現風險管理目標。 通過識別相關的外部和內部因素,確定審核方案的風險和機遇,並予以記錄。 與受審核方建立暢通的資訊溝通管道,深入瞭解受審核方的外部、內部環境、相關利益方、相關期望、關注點或涉及的風險領域。
3.實施審核的風險方法 (1)成文資訊風險 成文資訊評審應考慮受審核方組織所處的外部和內部環境,審核方組織的規模、性質和複雜程度與其風險有直接關係,規模越大、性質和複雜程度越高,其風險就越大,所以應在考慮審核範圍、準則和目標的約束條件下,識別相關風險和機遇。 (2)採用基於風險的方法策劃 審核組長應採用基於風險的方法來策劃審核。 審核策劃時,應通過外部因素和內部因素分析,識別審核活動可能對受審核方過程帶來的風險,並制定降低風險的控制措施,將風險降低到可接受水準,以便有效地實現預期目標。 審核計畫的詳細程度應適應審核的範圍和複雜程度,以及未實現審核目標的風險。審核策劃時,審核組長應考: 審核組成員的能力及其整體能力; 抽樣方案的合理性; 提高審核活動有效性和效率的機會; 由於無效的審核策劃造成的實現審核目標的風險; 實施審核過程可能造成的受審核方的風險。 審核組成員的存在可能對受審核方的 健康和安全、環境和品質及其產品、服務、人員或基礎設施的安排產生不利影響,從而對受審核方造成風險(例如,審核組成員未穿靜電防護服,對產品造成靜電損傷;審核組成員徒手觸碰精密產品對產品造成產品受損;審核組成員進潔淨室前未進行風淋處理導致設施的污染等)。 (3)審核風險資源規劃 審核策劃應包括或涉及為擬審核的活動有關的風險和機遇配置適當的資源,包括人力、物力和財力資源。適當時,審核策劃還應考慮為應對實現審核目標的風險和產生的機遇而採取的任何具體行動。 (4)審核組成員和觀察員應知風險 審核組成員和觀察員應瞭解和遵守關於特定地點的訪問、健康和安全(危險源)、環境(環境防護)、安保、保密方面的風險,並熟知任何相關的風險及其應對措施,確保應對措施落實到位。 審核組成員應掌握全面識別由於審核組成員的到場而導致的組織風險因素,進行風險評估,制定和落實風險控制措施的審核方法。 (5)審核中的風險資訊溝通 明確緊急的和重大的風險報告制度,即如果審核中收集的證據顯示存在緊急的和重大的風險,應立即報告給受審核方,適當時向審核委託方報告。一般應在2小時之內報告。 任何新的或變化意味著不確定,即風險,因此在收集客觀證據的過程中,審核組如果意識到任何新的或變化的情況,或風險或機遇,應相應地予以關注。分析這些任何新的或變化是否會帶來新的風險以及對新的風險進行評價的等級和採取的措施。 可以根據組織所處的環境及其風險對不符合進行分級。這種分級可以是定量的(如1 至 5分),也可以是定性的(如輕微的、重要的、關鍵的、嚴重的、災難的)。 審核結論資訊應包括風險的識別以及受審核方為應對風險而採取的行動的有效性。 從審核中獲得的經驗教訓就是識別風險的經驗庫,可以作為風險源庫,因此可作為後續審核方案和受審核方識別風險和機遇時的重要參考。 審核本質上是一種抽樣活動,抽樣本身就具有不確定性,因此存在被查驗的審核證據不具代表性的風險,在進行抽樣時,應考慮抽樣方案的合理性和風險。
4.審核員能力不足的風險 審核員能力不足的風險主要包括: 未掌握擬審核的管理體系的複雜程度和過程; 未把握風險和機遇的類型和級別; 不清晰審核目標實現過程中的風險; 未能掌握和運用與審核有關的風險和機遇的識別和評估方法,未能掌握風險管理流程,未能掌握基於風險的審核方法的原則; 未能識別虛擬審核或遠端審核活動所產生的風險。
5.抽樣的風險 抽樣的風險是從總體中抽取的樣本也許不具有代表性,即具有不確定性,因此可能導致審核員的結論出現偏差,與對總體進行全面檢查的結果不一致。其他風險可能源於抽樣總體內部的變異和所選擇的抽樣方法的不當。
6.對風險和機遇的審核 風險和機遇管理可作為單項審核,其審核目標是:確認風險和機遇識別過程的資訊客觀、準確、全面和可信;確認了風險識別全面,管理到位;評審組織明確應對其所確定的風險和機遇的措施。 但是,不應將其作為孤立的活動來進行,應該體現在對管理體系的整個審核過程中,包括對最高管理者的訪談。此外,審核員應提供的客觀證據。 組織用於確定其風險和機遇的輸入,可包括:對外部和內部因素的分析;組織的戰略方向;與特定領域的管理體系有關的相關方式(法律法規)以及他們的要求;風險的潛在來源,例如環境因素、安全危險源等。 評價風險和機遇的方法,不同領域和專業可能不同。ISO 31010 給出了31項風險評估技術,可以參考應用。 審核員需應用專業知識,識別風險和機遇,掌握風險評價準則和風險接受準則,知悉降低風險的管控措施。
結語 GB/T 19011-2021/ISO19011:2018 《管理體系審核指南》與GB/T19011-2013《管理體系審核指南》相比,基於風險的方法貫穿於標準的各個章節,突出了基於風險是管理體系審核實施的主線,在實施管理體系審核時,時刻以識別風險為抓手,通過系統地識別風險,對風險進行評估,制定並落實風險控制措施,最終實現管理體系審核的目標。
來源:《中國認證認可》雜誌 2022年第3期
ISO 19011:2018 Guidelines for auditing management systems
https://www.pinzhi.org/thread-57859-1-1.html
GB/T 19011-2021《管理体系审核指南》.pdf
https://www.pinzhi.org/thread-85163-1-1.html | 
发表于 2025-1-4 15:07:40
发表于 2025-1-4 16:05:56
发表于 2025-1-4 16:39:16
发表于 2025-1-5 00:10:39
