专家解读｜ISO9001:2015关于这些条款的审核思路

wxsunhao

专家解读｜ISO9001:2015关于这些条款的审核思路
. ^7 [3 F0 q# ]6 [原创 2017-11-22 倪剑 郑培堂

为进一步宣贯和普及GB/T 19000-2016新版标准内容，中国认证认可协会（CCAA）以“认证服务质量提升”为主题，召开了GB/T19001-2016标准研讨会，会议邀请了行业专家对新版标准进行分享和探讨，现将各专家观点与大家分享。

1 F$ O; h( t- k! P. N- O
0 e/ W7 T( F6 H

GB/T19001-2015标准变化的三个核心是：基于风险的思维、PDCA循环、过程方法，这是实施新版标准的准则和出发点，同时，在应用环节，为了有效的解决“两张皮”现象，新版标准更加强调一定要将“质量管理体系的要求融入与组织的业务过程”。在审核过程中，审核员都应遵循这四点要求，理清审核思路，才能顺应新版标准的要求。

一、几点共识

4.1组织及其环境、4.2相关方的需求和期望、6.1应对风险和机遇的措施这三个条款是本次标准变化的重点，也是审核的难点，在讨论审核思路之前应形成以下几点共识：

1.这三个条款都是组织实施质量管理的系统性活动，对此类条款的审核，不能就条款进行审核，仅在主管部门取证是不充分的，也是脱离实际的，应该是系统性的取证，才能回答系统性的问题。

2.在组织的实际管理过程中，这三个过程实际是存在并得到实施的，只不过运作的程度受各种条件的影响而不同。组织能够生存和发展，这三个环节是一定会考虑的，有些组织的运作甚至超出了审核员的知识储备，审核员需要去找寻和判断哪些是实施的证据，这对审核员的综合能力和知识储备是个巨大的挑战。

1 p4 Y  A, D! k8 t  c) U! w: N

3.审核过程是一个审核员主动适应企业的管理需求的过程，而不是企业适应审核员取证的过程，审核员应摒弃掉以往重记录轻过程，重文件轻实施、重形式轻结果的审核“形式主义”。因此，审核员审核取证的方式方法会有一个巨大的变化，对审核员的知识储备和分析判断能力也是一个严峻的考验。

$ H7 S# _* J- K9 O% e1 O1 D+ D4 y3 Q+ Z; _

二、审核的总体思路

1.一条主线：意识和认知—过程的策划和实施—过程的结果和绩效。

4.1、4.2、6.1这三个条款在受审核组织得到实施，首先要具有这三个意识：风险意识、战略意识、相关方意识，通过具体的过程和活动将这些意识和要求融合到各项业务活动中，即实施。通过实施的效果来反应过程的有效性，绩效是审核中的一项重要审核证据，也是新版标准重点关注的变化之一。

6 N7 I! l. J3 y/ ~, }# }

2.两个方向：横向：部门之间的接口和协调；纵向：上下级之间的接口、流程。

由于这三个条款都是系统性活动，在受审核方实施环节不可能仅有一个部门参与，需要这两个维度加以考虑。如在审核内外部环境时，高层的战略规划和意图需要通过部门来贯彻，通过具体项目和活动来体现，这是纵向；新产品的设计开发环节的风险和机遇包括前期的市场调研、可行性分析，后期的批量生产、采购供应环节等，这需要对个部门取证，这是横向。

3.两个层面：战略层（高层）——执行层（中层和基层）。

4.1、4.2、6.1这三个条款都是系统性的条款，高层主要是掌控全局，明确主导思想，必须将这种战略性的思想通过中层部门的流程和活动加以贯彻，最终需要落实到具体的项目、合同、实施活动中，这样的取证才是充分完整的。对于内外部环境、相关方、风险的审核，除了与高层交流外，还要审核具体的实施，看识别的结果是否得到应用，是否融合到实际的核心业务过程中。如有关企业外部环境中涉及到的竞争对手情况，高层需要明确企业的竞争对手是谁，相比的优势和不足是什么等，具体到执行层，如设计开发，则需要明确在设计开发的那个环节需要考虑竞争对手的情况项目的实施，需要看在设计输入阶段、评审、验证阶段是否与竞争对手的产品进行比对等情况，这样的审核是完整的，才说明将审核“融合到核心业务活动中”。

三、审核实施

（一）审核准备及一阶段审核思路

5 w, o4 u  I2 A

4.1、4.2及6.1的审核是否充分和有效，是考验审核员的知识结构、技能储备和综合能力，这需要较强的专业知识储备，同时对行业的现状和发展需要有较全面的了解，仅仅依靠二阶段的现场审核是远远不够的。审核准备和一阶段是否充分，是实施三个条款审核有效性的关键，及所谓的“功夫在诗外”。为了保证审核的有效性，审核组至少应获得以下的相关信息：

1.受审核企业所属行业的基本情况，产业政策、投资政策、金融政策、行业准入、行业趋势、领军优势企业、发展特点、行业发展制约条件、行业发展的风险和机遇等（可基于PEST分析准备）；

2.了解企业的基本状况、网站、行业报道、了解企业在行业所处位置、企业的发展规划、定位、企业文化等；针对企业的不同情况，准备相应的审核背景知识；

3.认证产品的主要特点、涉及的法律法规、技术标准、同类产品或替代产品在省内、国内、国际的发展趋势

4.产品实现过程中的技术、设备、工艺等现状和发展趋势

5.了解企业的目标顾客群、主要供应商、竞争对手的总体状况，利用五力分析和swot工具对企业所处的内外部环境、企业的竞争能力和对抗风险的能力进行分析。

（二）二阶段审核思路实例

1.  4.1组织的环境及6.1应对风险和机遇的措施审核思路

审核对象	审核主要内容	证据及形式
战略层 （高层）	1.组织的基本情况、历史沿革、发展定位（产品、客户、人员、管理、供应商），匹配程度，考虑因素	交谈、网站宣传、年度工作报告
	2.组织的战略规划、长、中、短期计划、经营目标，如何形成的，基于什么提出的，战略落地的方式方法有哪些？如何实施的？进展到何种程度，可结合pest分析进行，相应的风险和机遇是什么？措施有哪些？	交谈、规划文件、战略报告、网站宣传、年度工作报告、企业报刊
	3.产品结构、定位、目标市场的考虑，包括竞争对手的情况了解，信息如何得到？相应的风险和机遇是什么？措施有哪些？	交谈、相关会议、项目纪要
	4.新技术新工艺新理念新方法的了解和认识，信息如何得到？相应的风险和机遇是什么？措施有哪些？	交谈、制度、流程、通报等
	5.组织架构及流程、职能	交谈、制度查阅
	6.资源配置情况：（swot分析的思路）、包括设备设施的投资思路、人才培养与引进的考虑因素等，相应的风险和机遇是什么？措施有哪些？	交谈、查看
	7.组织的经营目标、经营效益、年度绩效统计等绩效结果	财务统计报表、年度工作报告、看板、网站、管理评审
	8.组织整体的优势与不足，企业发展的机会与威胁有哪些？是否有应对的思路和举措	交谈
执行层 （中层和基层）	1.确定核心业务过程和部门，如营销、技术、采购、生产等	判断
	2.与部门负责人交流，了解公司战略下的核心业务战略，如：营销部门的公司市场战略及目标顾客群体的识别确定，技术部门的公司的产品战略、设计开发理念、竞争对手状况等	交流、业务流程报告、工作总结、数据统计
	3.与部门核心业务过程相关的内外部影响的因素有哪些，信息获取的渠道是什么，信息如何用于核心业务的，相应的风险和机遇是什么？措施有哪些？	交流、规章制度、信息记录等
	4.部门的职责、工作流程、相关制度是否支持部门（过程）战略、公司战略，识别的相应的风险和机遇采取的措施如何实施？	综合判断
	5.了解核心业务的主要项目有哪些，如新产品开发、市场调研、设备设施技改、管理创新、工艺改进等	交谈
	6.查看交流工作流程、作业要求，就项目而言，是否要求必要的内外部影响在项目中得到考虑和实施，是否识别了具体的项目涉及的相应的风险和机遇是什么？措施有哪些？	查看制度、交流，纪要、相关记录
	7.抽查具体的实施项目，如新产品开发，是否有类似竞争对手产品分析、外部市场分析、预测等，工艺改进、设备引进是否有国内国际同行业的对比。可运用五力分析、pest分析技术指导审核，查看相应的风险和机遇是什么？措施有哪些？但企业不一定使用。	交谈、查看可行性报告、分析报告、申请书等企业实施资料

2.  4.2相关方需求和期望及6.1应对风险和机遇的措施审核思路

审核对象	审核主要内容	证据及形式
战略层 （高层）	1.公司的相关方主要有哪些	交流，判断
	2.高层重点关注的相关方是谁？（银行；行政部门如土地、税务、发改、财政等；大客户；关键供应商；公司核心人才等）	交流，判断
	3.通过何种形式和分工了解重要相关方的要求：如走访、供应商大会、客户分类、私人聚会、商务交流、股权、高薪等	交流
	4.重要相关方需求满足的总体状况如何，从业绩上加以反应。	交流，财务报表、工作总结等
	5.重要相关方需求是否充分满足？涉及到何种风险和机遇？制动何种措施？如何在体系中实施？	交流，财务报表、工作总结等
执行层 （中层和基层）	1.根据组织识别的重要相关方明确涉及的核心业务过程和部门（如营销部、售后服务部、人力资源部、供应部、办公室等）	交流与判断
	2.主要流程涉及的相关方是否按重要程度划分，如客户：大客户，目标客户群，一般客户，供应商：核心、紧密；员工：核心、关键、等	交流、制度、档案、报告等
	3.通过什么形式和渠道与重要相关方交流沟通，以了解其要求。不同结构、文化的企业有不同的形式。	多种证据，如客户走访报告、员工需求调查表、供应商反馈、定期会议沟通制度、决定等
	4.采取什么措施来满足其要求，自我评价重要相关方满足其要求的程度如何？核心业务的风险和机遇有什么？如何形成的？是否有对策？	交流
	5-1营销部门：目标顾客需求分析、市场预测与分析、大客户需求分析，重点客户合同评审、招投标评审，在具体流程中对顾客要求的相关风险和机遇的识别控制和有效性	需求分析报告、走访报告、交谈
	5-2供应部门：重要供应商有哪些，是否按策划的要求对其要求进行识别和获得，如何实施的，效果如何？ 在具体流程中对相关方要求的相关风险和机遇的识别控制和有效性	管理办法、走访报告、反馈信息、总结报告、供应量等数据等
	5-3人员管理部门：是否按策划的要求对员工要求进行识别和获得，如何实施的，效果如何？ 在具体流程中对员工要求的相关风险和机遇的识别控制和有效性	（人员岗位设置、重点人员需求调查、员工满意度，流失率
	5-4技术部门：国家、法规行业要求，国内外同行业竞争情况、市场开发与顾客反馈，产品的更新换代及技术的先进性等要求的识别和引用 在具体流程中对产品、市场、法规等要求的相关风险和机遇的识别控制和有效性	可行性报告、策划书、项目任务书等
	5-5其他：政府部门：是否按策划的要求对其要求进行识别和获得，如何实施的，效果如何，如法规的履行情况，在具体流程中对政府及社会要求的相关风险和机遇的识别控制和有效性	交流、网站、奖励等

% g) |% n# u; G9 g* }6 C6 `
4 b2 E' l% ?8 ~" r9 z8 k# T6 _

对于“6.1应对风险和机遇的措施”的审核，不能就风险审核风险，需要结合具体的核心业务和过程进行，重点是看企业是否将机遇风险的思维融入到了各项核心业务之中。因此在编制检查表时，将“基于风险的思维方式”应用到对4.1和4.2 的各层级审核取证之中，最终形成一个全面、系统的对6.1条款的审核发现。如果企业按照ISO31000标准导入了风险管理体系，那审核证据相对会丰富一些，可适当引导，但不能强制企业按ISO31000实施。

9 G2 a  [6 B) i: _

来源：中国认证认可协会

fanbaihang

文章已经解释得很透彻了。  从4.1,4.2条款的要求，企业应该识别出战略上(领导层)、战术上(业务层)的风险和机遇，企业应采取适当的应对措施。对这些进行系统的(业务层针对主要产品的全过程)审核，就可以反映出企业是否具有和实施了以风险意识为基础的思维。     如果停留在仅仅索取4.1、4.2及6.1某一“主管”部门的三张表单上进行审核，就可能成为蜻蜓点水的表面文章，也是“捡了芝麻丢了西瓜”的审核

学为考试

楼上说得对！应从4.1,4.2条款的要求，企业应识别出战略上(领导层)、战术上(业务层)的风险和机遇，企业应采取适当的应对措施。不能把审核员的能力和水平停留在仅仅索取4.1、4.2及6.1某一“主管”部门的三张表单上。

彩虹龙

感谢老师分享，学习了