聯(lián)系到ISO組織發(fā)布的ISO9004:2009《組織的持續(xù)成功管理》,其中提出“組織應識別所有相關的短期和長期風險,并為組織建立全面的戰(zhàn)略去減低風險。組織應當評估與計劃中的創(chuàng)新活動相關的風險,包括考慮到組織改變的潛在影響,制定預防措施以減低風險,必要時包括應急計劃。”
因此,為了提高第三方審核有效性,實現(xiàn)增值審核,審核員應當更多去應用ISO31000標準中的原理和指南,引導獲證組織關注風險,提高風險意識,幫助受審核組織識別和控制、降低或消除風險。
一般來說,企業(yè)的風險主要來自三個方面:法律風險、財務風險和經(jīng)營風險。審核中可以圍繞這三個方面去予以關注。
1. 法律風險
法律意識的淡薄、執(zhí)法不嚴、違法成本不高,因此往往得不到企業(yè)的重視,只有在發(fā)生重大產(chǎn)品質(zhì)量、環(huán)境或安全事故之后覺醒已經(jīng)來不及了。典型的案例:近的如國內(nèi)三鹿奶粉事件導致公司破產(chǎn)、紫金礦業(yè)環(huán)境污染導致停產(chǎn)整頓、杭州某化工企業(yè)安全事故而被勒令關閉,遠的如美國聯(lián)碳公司因印度博帕爾毒氣泄露事件而被拆解。
因此,審核員應嚴格把關,既是控制自身的認證風險,同時也是幫助受審核組織控制和降低法律風險。比如質(zhì)量管理體系審核中重點關注強制性產(chǎn)品認證、生產(chǎn)許可證、行業(yè)資質(zhì)要求(如建筑企業(yè)設計/施工/勞務分包資質(zhì)等)、強制產(chǎn)品執(zhí)行情況、產(chǎn)品標準備案情況、強制性檢定工作計量器具檢定情況。環(huán)境管理體系要特別關注環(huán)評制度、三同時制度、污染治理,職業(yè)健康安全管理體系應特別關注安全生產(chǎn)許可、安全作業(yè)許可、特種設備和特殊作業(yè)人員管理、危險化學品管理等。
2. 財務風險
企業(yè)財務管理面臨財務控制不力、外匯風險、資產(chǎn)流動性、壞賬、死賬、不良資產(chǎn)、資產(chǎn)結(jié)構(gòu)、負債比例高、投資等風險。審核中可建議企業(yè)完善財務管理制度,在質(zhì)量管理體系中建立一些關鍵績效指標(KPI),比如銷售應收賬款率、倉儲呆滯品庫存水平和安全庫存水平等。
3. 經(jīng)營風險
組織的經(jīng)營風險涉及面非常廣泛,如經(jīng)濟、政治、科技、競爭、市場蕭條、組織規(guī)模、供應商、市場固有風險、安全/欺詐行為、IT變革、人、聲譽/媒體、產(chǎn)品/生產(chǎn)(如質(zhì)量、交期、庫存)、采購、管理層的能力、管理層的道德觀、近期系統(tǒng)變化、組織規(guī)模、、變革、復雜程度、快速增長、規(guī)章制度是否健全等。
審核中可以按照ISO31000風險管理原理和指南,引導企業(yè)從風險識別、分析、評價、處理、監(jiān)測和審查的思路管理風險:
1) 識別企業(yè)的內(nèi)外部環(huán)境和識別風險,包括所有相關的短期和長期風險
2) 對所識別風險進行分析和評價
3)為管理和減少風險制定控制政策和程序要求,一般控制活動包括審批、授權(quán)、核實查證、對帳、檢查、資產(chǎn)的安全、責權(quán)分離等。
風險管理可以應用到整個組織,它的許多領域和層次,在任何時間,以及具體職能,項目和活動。如產(chǎn)品質(zhì)量、交期、成本風險、環(huán)境、安全、財務風險、采購風險等等就涉及到企業(yè)的很多流程、職責。
4)對風險控制流程實施監(jiān)視和檢查,并針對問題采取改進措施。
以下以采購風險為例說明。企業(yè)采購過程伴隨著質(zhì)量、交期、價格、財務、售后服務、知識產(chǎn)權(quán)、法律糾紛等諸多采購風險,其中有外部風險,也有內(nèi)部風險(如存量風險、驗收風險),因此企業(yè)應識別采購風險,并將控制要求與ISO9001質(zhì)量管理體系過程控制要求有機結(jié)合起來,努力使公司采購風險最小化。審核員在QMS審核中可以按照下表思路切入,針對發(fā)現(xiàn)的問題提出不符合項報告或者改進建議。