原创 刘小茵 王索 《中国认证认可》杂志 2021年第9期 文章来源见《解读 | 新版《管理体系审核指南》明日起实施》
国家标准GB/T 19011-2021《管理体系审核指南》已于近期正式发布,并于2021年12月1开始实施。新版标准带来了诸多变化,本公众号(中国认证认可)日前刊发《荐读 | GB/T 19011-2021<管理体系审核指南>:变化与解读》一文,通过与2013版的详细比较,梳理新版标准的变化,为实际应用打下基础。
一、标准修订的背景
经济的全球化带来的不断增长的业务复杂性、内部和外部环境的快速变化导致的不确定性的增加、相关方对组织行为和绩效不断增长的关注,这些都使组织的生存和发展面临着越来越多的挑战和机遇。如何实现“可持续发展”,成为了整个社会和各个组织所面临和思考的重要主题。
管理体系是组织建立方针和目标以及实现这些目标的过程的相互关联或相互作用的一组要素,管理体系认证是依据管理体系标准对组织所建立的管理体系进行的合格评定活动。目前ISO已经发布或者正在制定的管理体系标准多达90余项,涉及组织管理的方方面面,以帮助组织更好地识别和应对各种风险、机遇和挑战,在纷繁复杂的竞争环境中稳步发展。
管理体系数量和要求的不断提高,使得提升管理体系评价的有效性变得越来越重要,因此,ISO希望通过新版ISO 19011为管理体系的审核实施提供更为明确的指导,并实现不同体系之间审核方法的协调和统一。
二、新版GB 19011的主要变化
GB/T 19011-2021替代了GB/T 19011-2013,与GB/T 19011-2013相比,其主要变化有:
(一)结构上的变化
新版标准与旧版标准正文部分均是7个章节,章节的题目和内容也基本相同,最主要的变化为:
1.将“确立和评价审核方案的风险和机遇”提前到“建立审核方案”之前;
2.“为向导和观察员分配角色和职责”放到了“举行首次会议”之前;
3.增加了“6.4.5 审核信息的可获取性和访问”;
4.删除了“建立审核方案的程序”;
5.删除了包含审核特定管理体系专业能力要求的附录(原附录A);
6.扩充了附录A(原附录B 的部分)。
(二)内容上的变化
通读了新版19011,最深刻的感受是,除了原来的“文件”都改为了“成文信息”,“风险”都扩充为了“风险和机遇”外,新标准处处体现了基于风险的思维,对审核方案的策划和实施过程的指导更为全面、具体,同时表述也更为精准。
下面,我们就来仔细看一下具体有哪些变化和改进。
1. 审核原则新增“基于风险的方法”
审核原则由以前的6项变为了7项,同时在审核原则的具体表述上也有一些变化, 如:
(1)“诚实正直”中删除了“了解并遵守任何适用的法律法规要求”(守法合规与诚实正直并无直接关系);
(2)“诚实正直”中的“在工作中体现他们的能力”变为“只承担有能力去做的审核活动”,以更好地保持与“诚实正直”含义的一致性;
(3)对“职业素养”的解释由原来的“在审核中勤奋并具有判断力”改为“在审核中尽责并具有判断力”,从而更贴切地表达了审核员重要的是需要承担起责任,而不仅仅是勤奋。
2. 扩充了管理审核方案的指南,包括审核方案的风险
其变化具体为:
(1)在“5.1总则”中:
提出了“审核方案的范围和程度应基于……拟审核的管理体系的性质、功能、复杂程度、风险和机遇以及成熟度水平”,将“风险和机遇”纳入了确定审核方案的范围和程度的重要考虑因素;
当重要职能外包或在其他组织的领导下管理时,或存在多个地点/场所的情况下,由于复杂性的增加,应特别注意审核方案的设计、策划和确认;
要求审核方案需考虑受审核方的“组织目标、内外部因素、相关方的需求和期望、信息安全和保密要求”;
要求“审核方案策划人员应确保保持审核的完整性,并确保审核没有被施加不当影响”;
要求“审核应优先考虑将资源和方法分配给管理体系中内在风险较高和绩效水平较低的事项”;
要求指派有能力的人员来管理审核方案;
在审核方案所应包含的信息中增加了“与审核方案有关的风险和机遇(见5.3)及应对措施”。
(2)在“5.2 确立审核方案的目标”中:
要求审核方案的目标不但要支持管理体系的方针和目标,还应与审核委托方的战略方向相一致;
建议建立审核方案目标时要考虑内外部相关方的需求和期望。
(3)在“5.3 确定和评价审核方案的风险和机遇”中:
在2013版的基础上,增加了确定和评价审核方案机遇的要求;
增加了更多的风险示例,如在策划阶段未能确定审核的数量、持续时间、地点和日程安排;在实施阶段审核方案内的审核工作协调不力,或未考虑信息安全和保密性;受审核方的协助与配合以及抽样的证据的可获得性。
(4)在“5.4.1 审核方案管理人员的作用和职责”中:
要求审核方案管理人员实施应对措施,并在适当时将这些措施纳入所有相关的审核活动;
将2013版中的“明确审核的责任”,扩充为“适当时,通过分配角色、职责和权限,以及支持领导作用,确保审核组的选择和审核活动的总体能力”;
将2013版中的“确保审核方案的实施”,修改为“建立所有相关的过程”,并罗列了这些过程;
增加了“将审核方案与审核委托方进行沟通,适当时与有关相关方沟通”的职责。
(5)在“5.4.2 审核方案管理人员的能力”中:
增加了“外部和内部因素的必要能力”;
在知识中扩充了“关于受审核方及其所处环境的信息(例如,受审核方的外部/内部因素、有关相关方及其需求和期望、业务活动、产品、服务和过程)”;
专门提出“适当时,可以考虑风险管理、项目和过程管理以及信息和通信技术(ICT)的知识”。
(6)在“5.4.3 确立审核方案的范围和详略程度”中:
影响审核方案范围和详略程度的因素中增加了“管理体系标准及其他适用准则”以及“业务风险和机遇,包括应对它们的措施”;
在相关方的关注点中增加了“供应链因素”;
将2013版中的“受审核方或其运作的重大变化”进一步明确为“受审核方所处的环境或其运行以及相关风险和机遇的重大变化”。
(7)在“5.4.4 确定审核方案资源”中:
在“开发、实施、管理和改进审核活动所需的资源”中增加了“时间资源”;
由于远程审核方式被越来越广泛采用,因此增加了对“不同时区的影响”的考虑,并将原来的“信息和沟通技术的可获得性”改为“信息和通信技术的可用性”;
增加了其他一些审核资源的要求,包括“需要的任何工具、技术和设备的可用性”、“在建立审核方案期间确定的必要成文信息的可获得性(见A.5)”、“与设施有关的要求,包括任何安全许可和设备(例如,背景调查、个人防护装备、穿戴洁净室服装的能力)”。
(8)在“5.5 实施审核方案”的“5.5.1 总则”中,要求审核方案的管理人员:
将“所涉及的风险和机遇向有关相关方沟通”;
“选择审核方法(见A.1)”;
“管理在方案部署期间出现的所有运行风险、机遇和因素(即非预期事件)”;
“规定和实施监视审核方案所需的运行控制(见5.6)”;
“评审审核方案,以识别其改进机会 (见5.7)”。
(9)在“5.5.2 规定每次审核的目标、范围和准则”中:
取消了审核目标、范围和准则需“形成文件”的要求;
审核目标的内容增加了“评价管理体系对于受审核方所处环境和战略方向的适宜性和充分性”以及“评价管理体系在不断变化的环境下建立和实现目标及有效应对风险和机遇的能力,包括相关措施的实施能力”;
对审核准则包含的内容进行了明确和扩充,指出审核准则“可以包括以下一项或多项:适用的方针、过程、程序、包括目标的绩效准则、法律法规要求、管理体系要求、由受审核方确定的所处环境及风险和机遇的信息(包括相关 的外部/内部相关方要求)、行业行为规范或其他策划的安排”;
增加了审核方案修改后,“与相关方沟通,适当时获得批准”的要求。
(10)在“5.5.3 选择和确定审核方法”中:
明确提出“审核可以现场、远程或组合的方式进行。这些方法的使用,尤其应基于相关风险和机遇予以适当平衡”。
(11)在“5.5.4 选择审核组成员”中:
在确定具体的审核组规模和组成时,增加了考虑审核组“和有关相关方互动的能力”和“对翻译的需求”;
增加了“在适当情况下,审核方案管理人员应就审核组的组成与组长协商”的要求。
(12)在“5.5.5 为审核组长分配每次的审核职责”中:
在分配信息中增加了“出行或访问远程场所的要求”。
(13)在“5.5.6 管理审核方案结果”中:
增加了“对审核方案内的每次审核的目标的实现进行评价”的要求;
增加了“适当时,审核方案管理人员应考虑”将审核结果和最佳实践与组织的其他区域进行沟通”,以及“对其他过程的影响”。
(14)在“5.5.7 管理和保持审核方案记录”中:
记录的内容增加了以下内容:
与审核方案有关的记录:审核日程安排、审核方案的风险和机遇以及相关的外部和内部因素的应对;
与每次审核相关的记录:客观审核证据和审核发现。
(15)在“5.6 监视审核方案”中:
评价内容增加了“整个审核过程中成文信息的充分性”;
在可能导致审核方案修改的因素中,增加了“经证实的受审核方管理体系的成熟度等级”“审核范围或审核方案范围”“已识别的利益冲突”。
(16)在“5.7 评审和改进审核方案”中:
将原来只由审核方案管理人员评审管理方案,扩充为“审核方案管理人员和审核委托方应评审审核方案”,并对审核方案管理人员提出了更为明确的要求:
“审核方案管理人员应确保:
评审审核方案的全面实施状况;
识别改进的区域和机会;
在必要时对审核方案做出变更;
按照7.6,评审审核员的持续专业发展;
报告审核方案的结果并适当时与审核委托方和有关相关方进行评审。”
3.扩充了实施审核的指南,特别是审核策划部分
具体为:
(1)在“6.2.2 与受审核方建立联系”中:
请求有权使用用于策划的相关信息中明确提出“包括关于组织已识别的风险和机遇以及如何应对这些风险和机遇的信息”;
增加了确定“翻译人员的需求”、“确定受审核方与特定审核有关的任何利益、关注或风险领域”以及“与受审核方或审核委托方解决审核组的组成问题”等内容。
(2)在“6.2.3 确定审核的可行性 ”中:
增加了“注:资源包括有权使用充分和适当的信息和通信技术”。
(3)在“6.3.1 成文信息评审”中:
增加了“评审应考虑受审核方组织所处的环境,包括其规模、性质和复杂程度,以及相关风险和机遇”的要求。
(4)在“6.3.2 审核的策划”中:
将原来的“编制审核计划”扩充为“审核的策划”,并首先在6.3.2.1中提出了“采用基于风险的方法策划”,要求“采用基于风险的方法来策划审核”,并且“策划应促进审核活动的高效安排和协调,以便有效地实现目标”;
要求审核组长在进行审核策划时,考虑“提高审核活动的有效性和效率的机会”、“由于无效的审核策划造成的实现审核目标的风险”;
在审核策划中提出要包括或者涉及“拟实施审核活动的位置(实际和虚拟)”、“审核组对熟悉受审核方的设施和过程的需求(例如,通过实地考察或评审信息和通信技术)”,以及“在考虑与拟审核的活动有关的风险和机遇的基础上”配置适当的资源。
(5)在“6.3.3 审核组工作分配”中:
增加了审核组长可“适当时分配决策权”。
(6)在“6.3.4 准备审核所需的成文信息”中:
强调了“利用任何适当的载体为审核准备成文信息”。
(7)在“6.4.2 为向导和观察员分配角色和职责”中:
明确了向导的职责包括协助审核员确定参加访谈的人员并确认时间“和地点”、“确保审核组成员和观察员了解和遵守关于特定地点的访问、健康和安全、环境、安保、保密和其他问题的安排的规则,并确保任何风险已得到应对”。
(8)在“6.4.3 举行首次会议”中:
增加了介绍“能够影响审核实施的现场活动”的要求。
(9)在“6.4.4 审核中的沟通”中:
由原来的变更经审核方案管理人员和受审核方批准,修改为“对于随着审核活动的进行而出现的任何变更审核计划的需求,适当时应由审核方案管理人员和审核委托方评审和接受,并提交给受审核方”。
(10)在新增的“6.4.5 审核信息的可获取性和访问”中:
指出“所选择的审核方法取决于所确定的审核目标、范围和准则,以及持续时间和场所”,为此应灵活使用多种审核方法并根据审核情境改变审核方法。
(11)在“6.4.7 收集和验证信息”中:
明确指出,“在验证程度较低的情况下,审核员应运用其专业判断来确定可将其作为证据的可信度”。
(12)在“6.4.8 形成审核发现”中:
指出“可以根据组织所处的环境及其风险对不符合进行分级。这种分级可以是定量的(如1至5分),也可以是定性的(如轻微的、严重的)”。
(13)在“6.4.9 确定审核结论”中:
将原来的内容分成两个部分:“准备末次会议”及“审核结论内容”;
审核结论中增加了“风险的识别以及受审核方为应对风险而采取的行动的有效性”。
(14)在“6.4.10 举行末次会议”中:
增加了“会议的详细程度应考虑管理体系实现受审核方目标的有效性,包括考虑其所处环境以及风险和机遇”;
明确末次会议需要说明“未充分应对审核发现的可能后果”。
(15)在“6.5 审核报告的编制和分发”中:
审核报告的内容增加了“审核本质上是一种抽样活动,因此存在被查验的审核证据不具代表性的风险”的说明及在描述审核范围内未覆盖的区域时应“包括任何证据可获得性、资源或保密问题,并附有相关解释理由”;
删除了包含“审核报告的分发清单”的要求。
(16)在“6.5.2 审核报告的分发”中:
增加了“在分发审核报告时,应考虑采取适当措施确保保密”的要求。
(17)在“6.6 审核的完成”中:
指出“从审核中获得的经验教训可为审核方案和受审核方识别风险和机遇”。
(18)在“6.7 审核后续活动的实施”中:
提出验证“结果应报告给审核方案管理人员,并报告给审核委托方进行管理评审”。
4.扩充了审核员的通用能力要求
新版标准的第7章“审核员的能力和评价”,要求“应通过一个过程定期对人员能力进行评价”,评价过程的结果除了作为审核组成员选择、确定提高能力的需求外,还为“审核员的持续绩效评价”提供依据。
在2013版标准的基础上,在确定审核员能力时还要求考虑:
受审核方的产品、服务和过程;
审核方法;
管理体系所应对的风险和机遇的类型和级别;
适当情况下的其他要求,如审核委托方或其他有关相关方提出的要求。
在“7.2.3.2 管理体系审核员的通用知识和技能”中,增加了以下一些内容:
“了解与审核有关的风险和机遇的类型以及基于风险的审核方法的原则”;
能够“审核一个过程的开始到结束,适当时,包括与其他过程和不同职能的相互关系”;
了解“影响管理体系的有关相关方的需求和期望”。
同时,将2013版中“了解引用文件的层次文件”的要求提升为“理解多个标准或引用文件的重要性和优先级”。
在“7.2.3.4 审核组长的通用能力”中,增加了“与受审核方的最高管理者讨论战略问题,以确定他们在评价风险和机遇时是否考虑过这些问题”。
在“7.6 保持并提高审核员能力”中增加了在专业或领域变化时开展持续专业发展活动的要求。
5.扩充了附录A,以提供审核(新)概念的指南
附录A“审核员策划和实施审核的补充指南”中为审核员提供了以下18个方面的指导,与2013版相比,新增了11个方面,去掉了一个方面(实施文件评审):
(1)审核方法的应用;
(2)过程方法审核(新增);
(3)专业判断(新增);
(4)绩效结果(新增);
(5)验证信息(新增);
(6)抽样(包含总则、判断抽样、统计抽样);
(7)管理体系内的合规审核(新增);
(8)对组织环境的审核(新增);
(9)对领导作用和承诺的审核(新增);
(10)对风险和机遇的审核(新增);
(11)生命周期(新增);
(12)对供应链的审核(新增);
(13)准备审核工作文件;
(14)信息源的选择;
(15)对受审核方的现场访问;
(16)对虚拟活动和场所的审核(新增);
(17)实施访谈;
(18)审核发现(包含确定审核发现、记录符合、记录不符合、与多个准则相关的审核发现的处理)。
可以看出,新版19011与时俱进,在附录中主要针对管理体系标准在采用统一的高阶架构后,审核员在策划和实施审核时经常感到困惑的合规、组织的环境、风险和机遇等内容,以及越来越多出现的对虚拟活动和场所的审核活动等予以了指导。同时,对原有的内容进行了扩充,如在“对受审核方的现场访问”中增加了“c)虚拟审核”。
6.调整了术语,以反映过程而不是对象(事物)
由于ISO 19000进行了升级,因此GB/T 19011-2021的术语也按照GB/T 19000-2016进行了修订,且数量也由2013版的20个增加为26个。
增加的术语为“多体系审核”“联合审核”“客观证据”“要求”“过程”“绩效”“有效性”,减少的术语为“向导”。
结语
国家标准GB/T 19011《管理体系审核指南》,历经一年多的编制和批准,终于在2021年8月发布。
新版19011贯穿基于风险的思维,对审核的策划和实施、审核员的能力给出了更多和更全面、系统的指导,为审核员充分识别和应对风险和机遇,实施高效和有效的审核提供了保障。同时,为适应形势和发展需要,增加了对虚拟场所的审核以及采用远程审核方式等方面的内容,具有很强的可操作性。
新版19011国家标准的发布,使我国与国际上审核领域新原则、新概念、新要求保持了同步,为组织实施审核提供了全面、系统的过程和方法的指导,为提高审核的有效性和效率奠定了理论基础,提供了最佳实践。相信新版19011国家标准一定会为促进组织管理水平的不断提高和我国经济的高质量发展做出贡献。