一、標準修訂的背景
經濟的全球化帶來的不斷增長的業(yè)務復雜性、內部和外部環(huán)境的快速變化導致的不確定性的增加、相關方對組織行為和績效不斷增長的關注,這些都使組織的生存和發(fā)展面臨著越來越多的挑戰(zhàn)和機遇。如何實現“可持續(xù)發(fā)展”,成為了整個社會和各個組織所面臨和思考的重要主題。
管理體系是組織建立方針和目標以及實現這些目標的過程的相互關聯(lián)或相互作用的一組要素,管理體系認證是依據管理體系標準對組織所建立的管理體系進行的合格評定活動。目前ISO已經發(fā)布或者正在制定的管理體系標準多達90余項,涉及組織管理的方方面面,以幫助組織更好地識別和應對各種風險、機遇和挑戰(zhàn),在紛繁復雜的競爭環(huán)境中穩(wěn)步發(fā)展。
管理體系數量和要求的不斷提高,使得提升管理體系評價的有效性變得越來越重要,因此,ISO希望通過新版ISO 19011為管理體系的審核實施提供更為明確的指導,并實現不同體系之間審核方法的協(xié)調和統(tǒng)一。
二、新版GB 19011的主要變化
GB/T 19011-2021替代了GB/T 19011-2013,與GB/T 19011-2013相比,其主要變化有:
(一)結構上的變化
新版標準與舊版標準正文部分均是7個章節(jié),章節(jié)的題目和內容也基本相同,最主要的變化為:
1.將“確立和評價審核方案的風險和機遇”提前到“建立審核方案”之前;
2.“為向導和觀察員分配角色和職責”放到了“舉行首次會議”之前;
3.增加了“6.4.5 審核信息的可獲取性和訪問”;
4.刪除了“建立審核方案的程序”;
5.刪除了包含審核特定管理體系專業(yè)能力要求的附錄(原附錄A);
6.擴充了附錄A(原附錄B 的部分)。
(二)內容上的變化
通讀了新版19011,最深刻的感受是,除了原來的“文件”都改為了“成文信息”,“風險”都擴充為了“風險和機遇”外,新標準處處體現了基于風險的思維,對審核方案的策劃和實施過程的指導更為全面、具體,同時表述也更為精準。
下面,我們就來仔細看一下具體有哪些變化和改進。
1. 審核原則新增“基于風險的方法”
審核原則由以前的6項變?yōu)榱?項,同時在審核原則的具體表述上也有一些變化, 如:
(1)“誠實正直”中刪除了“了解并遵守任何適用的法律法規(guī)要求”(守法合規(guī)與誠實正直并無直接關系);
(2)“誠實正直”中的“在工作中體現他們的能力”變?yōu)椤爸怀袚心芰θプ龅膶徍嘶顒印保愿玫乇3峙c“誠實正直”含義的一致性;
(3)對“職業(yè)素養(yǎng)”的解釋由原來的“在審核中勤奮并具有判斷力”改為“在審核中盡責并具有判斷力”,從而更貼切地表達了審核員重要的是需要承擔起責任,而不僅僅是勤奮。
2. 擴充了管理審核方案的指南,包括審核方案的風險
其變化具體為:
(1)在“5.1總則”中:
提出了“審核方案的范圍和程度應基于......擬審核的管理體系的性質、功能、復雜程度、風險和機遇以及成熟度水平”,將“風險和機遇”納入了確定審核方案的范圍和程度的重要考慮因素;
當重要職能外包或在其他組織的領導下管理時,或存在多個地點/場所的情況下,由于復雜性的增加,應特別注意審核方案的設計、策劃和確認;
要求審核方案需考慮受審核方的“組織目標、內外部因素、相關方的需求和期望、信息安全和保密要求”;
要求“審核方案策劃人員應確保保持審核的完整性,并確保審核沒有被施加不當影響”;
要求“審核應優(yōu)先考慮將資源和方法分配給管理體系中內在風險較高和績效水平較低的事項”;
要求指派有能力的人員來管理審核方案;
在審核方案所應包含的信息中增加了“與審核方案有關的風險和機遇(見5.3)及應對措施”。
(2)在“5.2 確立審核方案的目標”中:
要求審核方案的目標不但要支持管理體系的方針和目標,還應與審核委托方的戰(zhàn)略方向相一致;
建議建立審核方案目標時要考慮內外部相關方的需求和期望。
(3)在“5.3 確定和評價審核方案的風險和機遇”中:
在2013版的基礎上,增加了確定和評價審核方案機遇的要求;
增加了更多的風險示例,如在策劃階段未能確定審核的數量、持續(xù)時間、地點和日程安排;在實施階段審核方案內的審核工作協(xié)調不力,或未考慮信息安全和保密性;受審核方的協(xié)助與配合以及抽樣的證據的可獲得性。
(4)在“5.4.1 審核方案管理人員的作用和職責”中:
要求審核方案管理人員實施應對措施,并在適當時將這些措施納入所有相關的審核活動;
將2013版中的“明確審核的責任”,擴充為“適當時,通過分配角色、職責和權限,以及支持領導作用,確保審核組的選擇和審核活動的總體能力”;
將2013版中的“確保審核方案的實施”,修改為“建立所有相關的過程”,并羅列了這些過程;
增加了“將審核方案與審核委托方進行溝通,適當時與有關相關方溝通”的職責。
(5)在“5.4.2 審核方案管理人員的能力”中:
增加了“外部和內部因素的必要能力”;
在知識中擴充了“關于受審核方及其所處環(huán)境的信息(例如,受審核方的外部/內部因素、有關相關方及其需求和期望、業(yè)務活動、產品、服務和過程)”;
專門提出“適當時,可以考慮風險管理、項目和過程管理以及信息和通信技術(ICT)的知識”。
(6)在“5.4.3 確立審核方案的范圍和詳略程度”中:
影響審核方案范圍和詳略程度的因素中增加了“管理體系標準及其他適用準則”以及“業(yè)務風險和機遇,包括應對它們的措施”;
在相關方的關注點中增加了“供應鏈因素”;
將2013版中的“受審核方或其運作的重大變化”進一步明確為“受審核方所處的環(huán)境或其運行以及相關風險和機遇的重大變化”。
(7)在“5.4.4 確定審核方案資源”中:
在“開發(fā)、實施、管理和改進審核活動所需的資源”中增加了“時間資源”;
由于遠程審核方式被越來越廣泛采用,因此增加了對“不同時區(qū)的影響”的考慮,并將原來的“信息和溝通技術的可獲得性”改為“信息和通信技術的可用性”;
增加了其他一些審核資源的要求,包括“需要的任何工具、技術和設備的可用性”、“在建立審核方案期間確定的必要成文信息的可獲得性(見A.5)”、“與設施有關的要求,包括任何安全許可和設備(例如,背景調查、個人防護裝備、穿戴潔凈室服裝的能力)”。
(8)在“5.5 實施審核方案”的“5.5.1 總則”中,要求審核方案的管理人員:
將“所涉及的風險和機遇向有關相關方溝通”;
“選擇審核方法(見A.1)”;
“管理在方案部署期間出現的所有運行風險、機遇和因素(即非預期事件)”;
“規(guī)定和實施監(jiān)視審核方案所需的運行控制(見5.6)”;
“評審審核方案,以識別其改進機會 (見5.7)”。
(9)在“5.5.2 規(guī)定每次審核的目標、范圍和準則”中:
取消了審核目標、范圍和準則需“形成文件”的要求;
審核目標的內容增加了“評價管理體系對于受審核方所處環(huán)境和戰(zhàn)略方向的適宜性和充分性”以及“評價管理體系在不斷變化的環(huán)境下建立和實現目標及有效應對風險和機遇的能力,包括相關措施的實施能力”;
對審核準則包含的內容進行了明確和擴充,指出審核準則“可以包括以下一項或多項:適用的方針、過程、程序、包括目標的績效準則、法律法規(guī)要求、管理體系要求、由受審核方確定的所處環(huán)境及風險和機遇的信息(包括相關 的外部/內部相關方要求)、行業(yè)行為規(guī)范或其他策劃的安排”;
增加了審核方案修改后,“與相關方溝通,適當時獲得批準”的要求。
(10)在“5.5.3 選擇和確定審核方法”中:
明確提出“審核可以現場、遠程或組合的方式進行。這些方法的使用,尤其應基于相關風險和機遇予以適當平衡”。
(11)在“5.5.4 選擇審核組成員”中:
在確定具體的審核組規(guī)模和組成時,增加了考慮審核組“和有關相關方互動的能力”和“對翻譯的需求”;
增加了“在適當情況下,審核方案管理人員應就審核組的組成與組長協(xié)商”的要求。
(12)在“5.5.5 為審核組長分配每次的審核職責”中:
在分配信息中增加了“出行或訪問遠程場所的要求”。
(13)在“5.5.6 管理審核方案結果”中:
增加了“對審核方案內的每次審核的目標的實現進行評價”的要求;
增加了“適當時,審核方案管理人員應考慮”將審核結果和最佳實踐與組織的其他區(qū)域進行溝通”,以及“對其他過程的影響”。
(14)在“5.5.7 管理和保持審核方案記錄”中:
記錄的內容增加了以下內容:
與審核方案有關的記錄:審核日程安排、審核方案的風險和機遇以及相關的外部和內部因素的應對;
與每次審核相關的記錄:客觀審核證據和審核發(fā)現。
(15)在“5.6 監(jiān)視審核方案”中:
評價內容增加了“整個審核過程中成文信息的充分性”;
在可能導致審核方案修改的因素中,增加了“經證實的受審核方管理體系的成熟度等級”“審核范圍或審核方案范圍”“已識別的利益沖突”。
(16)在“5.7 評審和改進審核方案”中:
將原來只由審核方案管理人員評審管理方案,擴充為“審核方案管理人員和審核委托方應評審審核方案”,并對審核方案管理人員提出了更為明確的要求:
“審核方案管理人員應確保:
評審審核方案的全面實施狀況;
識別改進的區(qū)域和機會;
在必要時對審核方案做出變更;
按照7.6,評審審核員的持續(xù)專業(yè)發(fā)展;
報告審核方案的結果并適當時與審核委托方和有關相關方進行評審?!?/p>
3.擴充了實施審核的指南,特別是審核策劃部分
具體為:
(1)在“6.2.2 與受審核方建立聯(lián)系”中:
請求有權使用用于策劃的相關信息中明確提出“包括關于組織已識別的風險和機遇以及如何應對這些風險和機遇的信息”;
增加了確定“翻譯人員的需求”、“確定受審核方與特定審核有關的任何利益、關注或風險領域”以及“與受審核方或審核委托方解決審核組的組成問題”等內容。
(2)在“6.2.3 確定審核的可行性 ”中:
增加了“注:資源包括有權使用充分和適當的信息和通信技術”。
(3)在“6.3.1 成文信息評審”中:
增加了“評審應考慮受審核方組織所處的環(huán)境,包括其規(guī)模、性質和復雜程度,以及相關風險和機遇”的要求。
(4)在“6.3.2 審核的策劃”中:
將原來的“編制審核計劃”擴充為“審核的策劃”,并首先在6.3.2.1中提出了“采用基于風險的方法策劃”,要求“采用基于風險的方法來策劃審核”,并且“策劃應促進審核活動的高效安排和協(xié)調,以便有效地實現目標”;
要求審核組長在進行審核策劃時,考慮“提高審核活動的有效性和效率的機會”、“由于無效的審核策劃造成的實現審核目標的風險”;
在審核策劃中提出要包括或者涉及“擬實施審核活動的位置(實際和虛擬)”、“審核組對熟悉受審核方的設施和過程的需求(例如,通過實地考察或評審信息和通信技術)”,以及“在考慮與擬審核的活動有關的風險和機遇的基礎上”配置適當的資源。
(5)在“6.3.3 審核組工作分配”中:
增加了審核組長可“適當時分配決策權”。
(6)在“6.3.4 準備審核所需的成文信息”中:
強調了“利用任何適當的載體為審核準備成文信息”。
(7)在“6.4.2 為向導和觀察員分配角色和職責”中:
明確了向導的職責包括協(xié)助審核員確定參加訪談的人員并確認時間“和地點”、“確保審核組成員和觀察員了解和遵守關于特定地點的訪問、健康和安全、環(huán)境、安保、保密和其他問題的安排的規(guī)則,并確保任何風險已得到應對”。
(8)在“6.4.3 舉行首次會議”中:
增加了介紹“能夠影響審核實施的現場活動”的要求。
(9)在“6.4.4 審核中的溝通”中:
由原來的變更經審核方案管理人員和受審核方批準,修改為“對于隨著審核活動的進行而出現的任何變更審核計劃的需求,適當時應由審核方案管理人員和審核委托方評審和接受,并提交給受審核方”。
(10)在新增的“6.4.5 審核信息的可獲取性和訪問”中:
指出“所選擇的審核方法取決于所確定的審核目標、范圍和準則,以及持續(xù)時間和場所”,為此應靈活使用多種審核方法并根據審核情境改變審核方法。
(11)在“6.4.7 收集和驗證信息”中:
明確指出,“在驗證程度較低的情況下,審核員應運用其專業(yè)判斷來確定可將其作為證據的可信度”。
(12)在“6.4.8 形成審核發(fā)現”中:
指出“可以根據組織所處的環(huán)境及其風險對不符合進行分級。這種分級可以是定量的(如1至5分),也可以是定性的(如輕微的、嚴重的)”。
(13)在“6.4.9 確定審核結論”中:
將原來的內容分成兩個部分:“準備末次會議”及“審核結論內容”;
審核結論中增加了“風險的識別以及受審核方為應對風險而采取的行動的有效性”。
(14)在“6.4.10 舉行末次會議”中:
增加了“會議的詳細程度應考慮管理體系實現受審核方目標的有效性,包括考慮其所處環(huán)境以及風險和機遇”;
明確末次會議需要說明“未充分應對審核發(fā)現的可能后果”。
(15)在“6.5 審核報告的編制和分發(fā)”中:
審核報告的內容增加了“審核本質上是一種抽樣活動,因此存在被查驗的審核證據不具代表性的風險”的說明及在描述審核范圍內未覆蓋的區(qū)域時應“包括任何證據可獲得性、資源或保密問題,并附有相關解釋理由”;
刪除了包含“審核報告的分發(fā)清單”的要求。
(16)在“6.5.2 審核報告的分發(fā)”中:
增加了“在分發(fā)審核報告時,應考慮采取適當措施確保保密”的要求。
(17)在“6.6 審核的完成”中:
指出“從審核中獲得的經驗教訓可為審核方案和受審核方識別風險和機遇”。
(18)在“6.7 審核后續(xù)活動的實施”中:
提出驗證“結果應報告給審核方案管理人員,并報告給審核委托方進行管理評審”。
4.擴充了審核員的通用能力要求
新版標準的第7章“審核員的能力和評價”,要求“應通過一個過程定期對人員能力進行評價”,評價過程的結果除了作為審核組成員選擇、確定提高能力的需求外,還為“審核員的持續(xù)績效評價”提供依據。
在2013版標準的基礎上,在確定審核員能力時還要求考慮:
受審核方的產品、服務和過程;
審核方法;
管理體系所應對的風險和機遇的類型和級別;
適當情況下的其他要求,如審核委托方或其他有關相關方提出的要求。
在“7.2.3.2 管理體系審核員的通用知識和技能”中,增加了以下一些內容:
“了解與審核有關的風險和機遇的類型以及基于風險的審核方法的原則”;
能夠“審核一個過程的開始到結束,適當時,包括與其他過程和不同職能的相互關系”;
了解“影響管理體系的有關相關方的需求和期望”。
同時,將2013版中“了解引用文件的層次文件”的要求提升為“理解多個標準或引用文件的重要性和優(yōu)先級”。
在“7.2.3.4 審核組長的通用能力”中,增加了“與受審核方的最高管理者討論戰(zhàn)略問題,以確定他們在評價風險和機遇時是否考慮過這些問題”。
在“7.6 保持并提高審核員能力”中增加了在專業(yè)或領域變化時開展持續(xù)專業(yè)發(fā)展活動的要求。
5.擴充了附錄A,以提供審核(新)概念的指南
附錄A“審核員策劃和實施審核的補充指南”中為審核員提供了以下18個方面的指導,與2013版相比,新增了11個方面,去掉了一個方面(實施文件評審):
(1)審核方法的應用;
(2)過程方法審核(新增);
(3)專業(yè)判斷(新增);
(4)績效結果(新增);
(5)驗證信息(新增);
(6)抽樣(包含總則、判斷抽樣、統(tǒng)計抽樣);
(7)管理體系內的合規(guī)審核(新增);
(8)對組織環(huán)境的審核(新增);
(9)對領導作用和承諾的審核(新增);
(10)對風險和機遇的審核(新增);
(11)生命周期(新增);
(12)對供應鏈的審核(新增);
(13)準備審核工作文件;
(14)信息源的選擇;
(15)對受審核方的現場訪問;
(16)對虛擬活動和場所的審核(新增);
(17)實施訪談;
(18)審核發(fā)現(包含確定審核發(fā)現、記錄符合、記錄不符合、與多個準則相關的審核發(fā)現的處理)。
可以看出,新版19011與時俱進,在附錄中主要針對管理體系標準在采用統(tǒng)一的高階架構后,審核員在策劃和實施審核時經常感到困惑的合規(guī)、組織的環(huán)境、風險和機遇等內容,以及越來越多出現的對虛擬活動和場所的審核活動等予以了指導。同時,對原有的內容進行了擴充,如在“對受審核方的現場訪問”中增加了“c)虛擬審核”。
6.調整了術語,以反映過程而不是對象(事物)
由于ISO 19000進行了升級,因此GB/T 19011-2021的術語也按照GB/T 19000-2016進行了修訂,且數量也由2013版的20個增加為26個。
增加的術語為“多體系審核”“聯(lián)合審核”“客觀證據”“要求”“過程”“績效”“有效性”,減少的術語為“向導”。
結語
國家標準GB/T 19011《管理體系審核指南》,歷經一年多的編制和批準,終于在2021年8月發(fā)布。
新版19011貫穿基于風險的思維,對審核的策劃和實施、審核員的能力給出了更多和更全面、系統(tǒng)的指導,為審核員充分識別和應對風險和機遇,實施高效和有效的審核提供了保障。同時,為適應形勢和發(fā)展需要,增加了對虛擬場所的審核以及采用遠程審核方式等方面的內容,具有很強的可操作性。
新版19011國家標準的發(fā)布,使我國與國際上審核領域新原則、新概念、新要求保持了同步,為組織實施審核提供了全面、系統(tǒng)的過程和方法的指導,為提高審核的有效性和效率奠定了理論基礎,提供了最佳實踐。相信新版19011國家標準一定會為促進組織管理水平的不斷提高和我國經濟的高質量發(fā)展做出貢獻。