ISO9001:2015质量体系QMS审核中风险管理的审核证据

老规矩

     ISO9001:2015质量体系QMS审核中风险管理的审核证据

1、话题由来

        在新版标准的认证推行过程中，有的组织为了应对教条式审核员的审核，编制风险及应对措施表或者增加一个风险管理程序文件，有的组织以标准没有规定必须保持或保留相应的成文信息为由，刻意地回避风险管理。

- C; F1 G8 Y7 v/ `* I2 G

        出现这些极端的情况缘于对标准要求的误解。7 V# t6 D1 y! z1 C) r8 K

        在质量管理体系中，对于风险思维管理的过度形式化与刻意最简化都是不合适的。采用基于风险的思维，是新版标准的主要技术变化之一，在声明符合标准要求的时候，必须提供证据证明对风险机遇进行了适宜的管理。

       在实际的审核中，如何获得相应审核证据呢？

2、风险不单是产品和服务质量方面的风险，而是基于质量管理体系的风险

       质量管理体系要求是对产品和服务要求的补充。

       质量管理体系的风险是不确定性对质量管理体系预期的影响。

      在日益复杂的动态背景下，组织的内外部环境以及有关相关方的需求和期望变化，对组织的质量管理体系能否实现其预期结果、能否最大限度地增强有利影响、预防和减少不利影响和实现改进，产生越来越大的影响。

       在实际的风险管理过程中要善于把握，它不只是产品和服务的符合性风险，还有实现质量管理体系预期结果的其他方面的风险。

       这种风险虽与企业战略有关，但不可扩大化为企业战略风险，如它不包括企业经营模式的风险。

, Y& Q' v! D4 g; r6 H3 b- C5 W

3、风险的不确定性来源于4.1、4.2及所确定的体系范围，确定风险是管理的基础
      质量管理体系标准要求组织理解其组织环境，并以确定风险作为策划的基础。这意味着将基于风险的思维应用于策划和实施质量管理体系过程，并有助于确定成文信息的范围和程度。
      根据6.1的要求，组织有责任应用基于风险的思维，并采取应对风险的措施，包括是否保留成文信息，以作为其确定风险的证据。
      只是在组织实现其预期目标的能力方面，并非质量管理体系的全部过程表现出相同的风险等级，并且不确定性的影响对于各组织不尽相同。所以不同组织应釆用适宜的（彼此不同的）形式来确定风险是管理的基础，是必须的要求。

4、基于风险的思维是实现质量管理体系有效性的基础，具体管理形式也由于不确定性因组织而异



       一味地符合标准要求或符合策划的要求不是组织的最终目的，体系的有效性才更符合组织的利益。

       基于风险的思维是实现质量管理体系有效性的基础。组织的内外部环境不是一成不变的，而是永不停息地变化着。组织如何实现生存与发展，如何实现预期的目标，需要对不确定性进行有效的管理。为满足标准的要求，组织需要策划和实施应对风险和机遇的措施。# ]2 k& B: h7 ( @" o! ?
       基于每个组织的不确定性，广泛适用的标准虽然6.1规定组织应策划应对风险的措施，但在一定程度上减少了规定要求，并未要求运用正式的风险管理方法或将风险管理过程形成文件。但这绝对不是无须确定风险及应对。甚至说，如果组织认为有必要，可以决定是否采用超出标准要求的更多风险管理方法。

       每个组织的风险多少或形式，与组织的规模不是简单的比例对应关系，而是与变化、与不确定性对预期结果的影响及组织的背景文化等因素有关。不能说一个几个人或几十人的企业不需要风险文件或者说上百、上千人的企业必须有大量的风险文件。

: c) Z* r: Y2 ?6 r0 w7 o* _6 n. f

5、在管理体系审核中，必须提供证据证明对风险进行了有效的管理
        基于风险的思维，是质量管理体系方法的组成部分，是实现质量管理体系有效性的基础，是标准的要求，必须要做，不能不做，但应适合自己。
       在审核过程中，要提供证据证明组织符合标准这一要求，只是证据的形式没有固定模式而已，过度形式化或刻意最简化都是不合适的。

6、如何审核4.1、4.2与6.1，形成审核证据？

        只有基本的思路与指南，没有固定不变的格式或模板，审核时，结合19011的指南与9.2的要求，依据审核计划进行。
        使用通常信息收集方法——面谈、观察或文件（包括记录）评审，通过适当的抽样收集并验证与审核目标、范围和准则有关的信息。组织的类型、规模、产品和服务不同，根据审核员的基本能力选择适宜的方式。如与管理层或责任部门负责人的沟通可包括4.1的理解，企业的经营绩效、同行的竞争、国家的政策、当前的资源限制等（在审核时受审核方的管理层一般是业内人士，比审核员可能更了解企业及所在的行业等内外部环境）；可以查询企业的年度总结与计划中关于当前形势的描述与未来趋势的判断及应关注的事项，也可能在形成的会议纪要中；可以观察受审核单位对直接相关的法律法规变化（如有）的反应，相关职能部门对外界条件变化的处置方法等。在此基础上，了解对4.2的影响。综合考虑体系范围内产品和服务的因素，对6.1是如何策划的，如何与实际业务结合的、有没有实施、有没有评价、是不是有效等实行顺向审核或逆向审核（可借鉴基于过程的审核或对照过程的四个问题进行）。: n8 [; T% [. K9 n5 B+ G; J
       按照审核准则评价审核证据的符合性。准则首先依据组织相关有效的规章制度，如战略管理制度、风险管理制度、应急管理制度等。如果没有类似具体的规定，往上查找组织的其他规定的要求（如在描述体系是在组织中如何应用的文件，或叫管理手册一类的文件中）。如果还没有，则依据标准的4.1、4.2、6.1、9.2等要求。即最终按审核计划中的审核准则去抽样、收集、验证、形成证据、评价形成审核发现等。

        因为风险的不确定性，需要与质量管理体系过程整合并实施应对，所以除了以上专业的对应条款要求外，要结合实际进行全方位的“基于风险的思维”的审核，适度抽样、收集、验证与评价组织的风险管理的审核证据。8 j( `% {; l, t+ X: y) o
        具体的审核时间与记录的形式，依据审核计划、组织实情确定。但都要符合19011或者27021的要求，符合审核派出单位或者相应认证机构规定的要求。