审核方案管理人员职责

1、审核方案管理人员职责审核项目主管的工作一直与风险息息相关。风险分析、评估、监视和报告一直以来都是他们工作内容的组成部分，如今，更是正式列入了他们的工作职责。ISO19011已将与风险相关的审核内容整合纳入到该标准“审核方案的 HYPERLINK /a/yuangongguanli/ t /a/201509/_blank 管理”部分。美国质量学会（ASQ）2012版注册质量审核员知识大纲（CQA BoK）中也涵盖了关于风险管理和风险管理工具的内容。如何区分监视报告风险与分析评估风险两者之间的工作职责，至关重要。两者所处的认知层面不同，所需要的知识和技能也不同。保持两者的分离和独立，有助于我们更好

2、地把握风险管理的相关职责。ISO 19011：2011指出：管理体系的审核员应该了解与审核相关的风险，包括审核方案风险和基于风险的审核。ASQ 2012版CQA BoK中特别指出，应该就审核方案对组织风险的影响进行评估。比如说，审核方案是否有效降低或保持了原有的风险等级？审核方案能否促进已发生的风险得到有效处理，并保持和维护风险管控的正常运作，以避免潜在风险的发生？审核机构应确定评估指标，就审核方案对组织风险的影响进行监控和报告。ASQ 2012版CQ ABoK中同时指出，组织应该分析审核方案对组织风险等级的影响，以及组织的风险等级可能对审核安排产生的影响。风险等级的描述可以是财务性的（与财务

3、相关），也可以是非财务性的（与财务无关）。显而易见，对组织而言，失去认证或执照无疑是其最重要的风险之一。失去执照或认证可能导致组织的收益损失，甚至停业。风险等级越高，过程中发生危险、危害、不安全事件、经济损失或不符合的概率就越高，因此应确保审核频率与组织风险等级之间的正比关系。ISO 19011条款5.1中指出，应该优先确保审核管理体系的重大事项的资源配置。这些重大事项就是需要处理的高等级风险，包括已知的危害或严重的后果。这类风险审核可以被归类为基于风险的审核。审核方案风险审核组织必须建立审核方案目标。审核方案的管理人员应该对审核方案的风险进行识别和评估。ISO 19011条款5.3.4中明确

4、了审核中需要进行管理的具体风险，这些风险可能与下列事项相关：策划，如未能设定适宜的审核目标和未能确定审核方案的范围和程度；资源，如没有足够的时间制定审核方案或实施审核；审核组的选择，如审核组不具备有效实施审核的整体能力；实施，如没有有效沟通审核方案；记录及其控制，如未能适宜地保护用于证明审核方案有效性的审核记录；监视、评审和改进审核方案，如没有有效地监视审核方案的结果。ISO 31000指出，风险管理过程主要包括：环境建设（包括：设置风险管理政策的范围和风险的标准）、风险识别、风险分析、风险评估，以及风险处理。根据该标准的要求，审核方案管理人员还需要负责对风险进行分析和评估，且必须遵照风险管理

5、过程步骤或与其相似的模型实施。在审核过程中的不同阶段考虑风险因素审核人员应该在审核方案的策划时就充分考虑到风险因素。这些风险包括审核方案风险，比如上文提及的ISO 19011条款5.3.4中列出的风险。另外，根据受审核方的审核类别、审核历史、机构性质的不同，审核人员还需要有针对性地对风险因素进行考虑。关于审核过程，可以从以下4个方面进行考量：1.被审核过程的重要程度；2.受审核方以往的审核结果；3.过程或人员上的改变；4.体系的完善程度。ISO 19011还要求审核程序中包括对审核方案风险进行监视和评审。ISO标准起草者对风险的定义是：“不确定性对目标的影响。”因此，审核组应该识别出所有影响审

6、核方案目标实现的风险，并在此基础上对重大风险进行处理或避免重大风险的发生。风险监视过程可以包括一次基于风险的审核和定期复核。对审核方案资源的管理也应涵盖对审核方案风险的考虑。审核方案内容本身往往与风险紧密关联，因此有效识别审核方案风险有助于促进审核资源的合理配置。例如，如果审核组需要对一个地处偏远的场所进行现场关键过程审核，差旅预算则必不可少。如果审核方案策划对该场所实施远程审核或电子审核，支出预算则由差旅费用转为远程固定设备和IT专家费用。审核组应关注的风险审核组很容易就可以识别出20个甚至30个可能影响审核对象目标实现的风险。因此，审核组需要具备识别可能严重影响审核对象目标实现的活动的能力

7、。风险识别可以凭借直观判断，也可以通过系统的风险管理工具进行，比如风险矩阵法。风险矩阵法是一种通过列出项目所有潜在问题及其发生的可能性来识别风险，并在此基础之上预估这些潜在问题发生后对整个项目的影响，从而最终找出预防性措施和建立应急计划的风险管理方法。风险因素可以包括：是否能够获取充足的样本、是否能够在规定时间内完成审核，以及是否能够获得具备相应审核能力的审核员资源。因此，审核组长需要分析和评估审核过程中风险的影响。ISO 19011标准在条款5中超过两次提到了风险，并指出审核方案记录中应该包括阐述审核方案风险的记录。记录中应该包括ISO 19011条款5.3.4中所提及的风险，以及其他被识别

8、出的风险。ISO 19011标准在条款5中还指出：审核方案评审应该包括对解决与审核方案相关风险的措施的有效性的评估。能够识别出适宜的风险管理措施是非常重要的，且在进行风险管理时应该考虑到风险预防和风险评价的相关费用。ASQ 2012版CQ ABoK也新增了风险管理工具的内容。当需要对相关风险进行管理时，可以采用系统化的风险管理工具对风险进行识别、分析及评估，包括：失效模式与影响分析（Failure mode and effects analysis，FMEA），危害分析及关键控制点（Hazard analysis and critical control point， HACCP），关键质量特

9、性分析（Critical to quality analysis），健康危险分析（Health hazard analysis），防错技术（Error Proof），以及头脑风暴法（Brain storming） 等。管理风险的方法还可以包括：风险规避法、减缓法及折衷法。审核员必须理解和掌握风险识别和风险评审的方法和技术，从而满足体系审核中对于风险控制的要求。风险管理风险管理的关键是风险的识别和评审，这也是风险管理工具的用武之处。组织的过程和组织本身都存在着诸多风险事项。组织的工作人员必须在这诸多风险事项中，确定出重要且必须处理的风险。最终处理和减缓哪些风险事项则取决于组织所能接受的风险等级。对于已经形成了风险管理方案的组织，审核员可能需要对其风险处理的持续性和有效性进行验证，并对其必须进行评审的潜在风险进行识别。审核方案几乎涉及了组织的全部活动，因此，审核方案本身就可以作为风险管理方案中的一个关键环节。就像我在本专栏上个月发表的浅议管理和报告与审核相关的风险中写道的那样，“风险就好比瓷器店里的