审核风险的识别与防范

审核风险的识别与防范江苏评审中心白咏梅关于认证风险，是近年来认证领域经常讨论的话题，近几年这方面的教训亦不少。2003年武汉晨鸣汉阳纸业股份有限公司污水超标排放问题被央视《焦点访谈》栏目曝光，为之提供认证服务的华夏认证中心被停止环境认证3个月。2005年吴江某酒精厂污水超标排放央及邻省浙江，被举报至国家环保总局，当地环保部门相关领导及责任人被查处，为之提供环评的南大环评科研所被停止环评一年。在我们身边，由江苏评审中心认证的“宜兴天音化工”2005年爆炸事件等。日常审核中，也出现了遇到高风险企业，审核员怕参加审核的现象。以上种种事实无不时刻在警示我们、提醒我们认证的风险与责任。一、认证风险存在的必然性审核风险1、认证市场的风险：一是认证市场的商业运作，与认证机构的独立性与公正性之间的冲突，是认证风险存在的根本原因。突出表现为，利益驱使下的认证机构、咨询机构、申请认证方三者之间剪不断理还乱的连环关系。另外，由于公众对认证的期望值过高。一方面，市场竞争中越来越多的将是否通过管理体系认证作为市场准入的门票，导致一些组织急功近利，甚至出现虚假认证，买证卖证的违法现象。另一方面，获证组织不切实际甚至是错误的宣传，任意夸大认证的作用，给公众以误导，对扰乱起到了推波助澜的作用。2、认证标准的通用性带来的不确定性：管理体系标准的通用性，要求不具体，不能针对具体的行业、产品特点，给认证、审核带来不确定性。3、审核的风险：一是审核的不对称性，审核方与被审核方分别处于支配和被支配的地位，可能导致受审核方接受不公正的审核结论，或审核方因利益的驱使而满足受审核方的不当要求。二是审核的充分性与有效性不够等，审核员识别、控制现场审核风险的能力不足等，造成审核的不确定性。认证的风险有它存在的必然性，如何规避认证风险是认证机构需要探讨的一个课题。近年来，CNCA在逐步加大认证监管力度，涉及认证机构、认证从业人员，并采取了一系列的措施如档案抽查、食品行业专项检查等，其目的一方面是规范认证市场，提高认证质量；另一方面在很大程度上也是在规避认证风险。中国质量认证中心也相应出台了一系列的政策、文件，旨在严格认证、规范审核。认证的风险有很多，核心问题是审核风险。而规避审核风险的根本途径，应是提高审核的有效性。二、审核风险的识别与防范首先，审核员应树立高度的风险意识，了解认证所承担的社会责任。本文开头所引事例说明，认证证书不仅仅是对组织管理体系的认可，对认证机构而言，认证更是一种社会责任，也是一种风险；对公众而言，认证则意味着一种保证、一种承诺。其次，审核员应树立科学、严谨的工作作风，严格执行认证认可准则、审核员行为规范、审核作业规范，防止由于审核工作的不严谨而造成的审核风险。第三，审核员应注重专业知识的学习，提高专业能力，具备一定的识别风险与控制风险的能力。以下将重点探讨如何规避审核风险。根据经验，笔者认为，审核员在实施审核时，应关注以下几个环节的工作。（一）重视审核准备，防止策划的不充分造成的审核风险1、获取充分的认证信息，重视文件审核由于申请资料的通用性等原因，受审核方提供的申请资料有时不能完整、准确的反映一些重要的、关键的组织信息，不能给审核组特别是审核组长的审核准备提供全面的帮助。同时随着认证市场日趋商业化，反映在咨询领域内其急功近利行为越来越明显，再加上管理体系标准的通用性，出现了相同行业，甚至于不同行业其管理体系文件尤其是管理手册、程序文件惊人的相似，如同批发一般，也导致了审核员对文件审核越来越轻视，文件审核记录也越来越样本化、标准化。出现了一些审核员特别是审核组长在没有对受审核方的认证申请信息进行较为充分的了解，就轻率地实施了现场审核，使有些原则性的问题在现场审核才发现，造成被动，增加了审核的风险。在此背景下，文件审核较之以往更加重要，难度也更大，笔者认为应从下几个方面加以把握。⑴了解受审核方相关的管理责任与权限，初步确认认证范围。审核组长应仔细阅读受审核方的申请材料，具体包括：①申请方与受审核方的关系、组织机构、分支机构、区域分布，特别是当受审核方的机构较为庞大、复杂时应特别关注；如出现申请方多名称、多地址的情况，应慎重核实。②主要产品、技术来源、主要生产经营活动，目前正常生产情况；③申请认证的范围是否在营业执照核定的经营范围内，有无超范围申请，否则将予以删除。④删减条款应慎重，应考虑到法律法规要求应承担的界限，防止把应包含在管理体系范围内的要素从认证范围中剔除。⑤复审换证时，需重新对原认证范围进行审定确认，而不能简单轻率地沿用原来的审核范围。根据CQC合格评定的相关要求，与受审核方就审核范围初步达成一致。⑵要求受审核方提供经营执业资格及相关的法规符合性资料：如，特殊行业的生产经营资质、许可证明，如化工行业的安全生产许可证，食品及相关行业（餐饮、饮用水等）卫生许可证，工程建设行业（勘察、设计、施工、监理等）的资质证书，强制性（3C）认证证书等（详见《审核员手册》，不再赘述）。核查资格证明文件时，应关注核定的经营范围(产品、活动)，同时关注文件的有效性。如果与受审核方现状不符，要了解原因，必要时要求其提供超范围经营的合法性证明，否则，应在审核范围中予以剔除。对高风险行业，特别是涉及食品、卫生、安全的，公众关注度较高的行业，应要求其提供当年度的第三方产品检测报告、行业抽查报告等。⑶合理安排审核抽样计划，减少抽样风险：了解受审核方的相同生产线、生产车间、多区域分布情况；对工程建设行业，如房地产开发、施工建设、物业管理等行业需提供当年工程项目清单，以便合理安排计划。⑷了解管理体系范围实际涉及的人数，核对审核人天数，如有不一致应即时与审核管理部门进行沟通调整。⑸了解内审、管理评审实施的情况。特别是复评、换证时，有的受审核方按其规定的频次未能实施内审及管理评审活动，而在此期间，受审核方发生了与管理体系相关的重大变化，如认证标准换版、组织机构调整、管理体系文件进行了重大修订等，应在外审前追加内审及管理评审。⑹了解受审核方的其它认证要求，如多名称、多证书、是否带有CNAB标志等，当不符合认证准则时，应与受审核方、审核管理部门沟通并取得一致。⑺文件审核应充分，必要时可要求受审核方补充相关文件，如三层次文件、相关授权资料等，对文审的结果特别是不符合的情况，应明确告知受审核方要求其整改，并提供整改资料，否则不能轻率地做出实施现场审核的决定。根据上述认证申请信息的了解、沟通及文审的结果，审核组长应初步判定审核风险的大小及风险所在，最终确定实施现场审核的可行性。2、EMS、OSAMS的特别要求EMS、OSAMS通常分为二个阶段审核，一阶段审核为非正式审核，其目的是了解受审核方的基本情况和管理体系策划的充分性，确认认证审核范围，最终确定第二阶段审核的可行性。因此相对于QMS，这是规避风险的重要环节，应充分加以利用。即便如此，在二阶段现场审核时，时常也会发现一阶段审核的较大疏漏，造成二阶段审核的被动与风险。根据经验，笔者认为，一阶段审核时，除上述几个方面的要求外，应重点强调以下几个方面的问题。⑴组织申请认证范围的合理性：与QMS不同的是，EMS、OSAMS的审核范围除考虑组织的主要生产、经营、服务活动外，还要考虑到相关要素、环境影响的可分性，法律法规要求应承担的界限，特别是涉及多个产品、多个子公司、多个场所时，对审核范围的界定应特别慎重，要充分考虑受审核方的管理权限、活动与场所。描述应准确、全面，必要时可在“某某产品生产及相关管理活动”前冠以地域等限制，如“苏州国家旅游度假区”的审核范围为：位于苏州市太湖景区内,东起胥口镇西,西至…南至长沙岛，规划面积为11.2平方公里的：苏州太湖国家旅游度假区的保护、开发…的行政管理。⑵必须提供完整的法规符合性证明资料，如环评（安评）批复、三同时验收、合格的监测报告及守法证明等，并详细了解其内容，对有不满足要求的结论，应跟踪其纠正情况，否则不能轻率地实施（二阶段）现场审核。另外，在特殊情况下，法规符合性证明范围可予以延伸。如某集团公司，下设若干个子公司（在同一地址处），其中二个子公司申请14001认证，而其废水排放、废弃物处理或委托其它子公司或委托集团统一处理。笔者认为，法规符合性证明除包括申请认证的两个子公司外，应延伸至整个集团及其它子公司（同一地址处的）。⑶在对获证组织进行复评换证审核前，应特别了解法律法规的持续遵守情况，在过去的三年中有无新、改、扩建项目，如有，应要求其提供有关的环评批复、三同时验收等法规符合性证明资料，否则不能实施现场审核。只有在一阶段的所有不符合项的纠正措施经验证有效或评估纠正措施可接受后方可进行二阶段审核。3、对高风险、专业性强的行业，应充分考虑审核组的能力要求，特别是审核组长和专业审核员的安排，防止由于审核组能力不足而造成的审核风险。4、审核组长制定审核计划时，应特别注意对以下事项作出合理安排：①在资源（人员、时间等）配置上保证对关键过程、重点区域审核的充分性；②抽样的合理性；③必要的内外部沟通(时机)。5、在审核组实施正式的现场审核前，审核组长应安排审核组的内部沟通，一方面审核组长应将前期（或一阶段）审核的重要信息予以传达，使每一位审核员明确审核的重点及注意事项，另一方面专业审核员应进行专业引导，指出审核的重点、法律法规的要求及审核风险所在。避免一种认识倾向，认为专业是专业审核员的事，与非专业审核员无关。特别是当审核组长为非专业审核员时，更应了解相关法律法规要求，把握审核的重点与风险。（二）提高现场审核的有效性，防范审核风险⑴QMS审核，多数在审核前不进行现场预访问。笔者认为，可行时，现场审核前，审核组长有必要安排审核组成员实施以生产现场为主的现场观察，使审核组成员对受审核方的产品、设备水平、产品先进性、生产环境等有一定的了解，有助于对审核风险、审核重点的判定，确保不会有大的疏漏，特别是当审核组长为非专业审核员时，更有利于对全局的掌控，即时发现审核计划的偏差和疏漏并予以调整。防止一种现象，特别是非专业审核员，在现场审核结束后，对受审核的产品、生产现场等知之甚少。⑵审核组长应依据计划的安排实施内部沟通(必要时即时进行)，在交流中对涉及重大风险问题应明确提出并预以讨论。特别是审核组长不是专业审核员时，一般不涉及设计、质检、生产等QMS的关键部门或EMS重要环境设施运行部门，那么内部沟通就显得尤为重要。曾经有一审核组长，当合格评定人员就审核资料向其询问有关生产现场情况时，他以自己是非专业审核员未到现场为由，称不了解。笔者认为此言差矣，至少说明审核组没有进行充分的内部沟通，那么审核评价依据是否充分就不得而知了。⑶应进行科学、合理的抽样。抽样时应独立、客观，不轻易接受受审核方的“送样”；应考虑产品的覆盖面，防止集中某个产品抽样；注意样本的区域分布、时间分布、样本量的大小等，以确保样本的代表性。当发现不合格线索时应扩大抽样。尽可能将抽样带来的不确定性降至最小。⑷关注法律法规的遵守情况。A.关注产品质量标准。当组织的产品有国家标准或行业标准要求时，其产品性能应符合国家标准的要求，否则组织必须明确应执行何种标准/规范，并在法规清单中列明。组织应保持产品标准的收集、跟踪和及时更新，并保持企标与之的一致性。如有不一致性，则要求组织作出说明，并提供必要的技术依据。B．关注产品的出厂检验、型式试验是否符合法规要求。产品的出厂检验必须严格按照国标、行标和企业标准的要求进行，必须在标准规定的出厂检验项目全部进行了检验并达到要求的情况下，产品才能交付。如果在审核中发现出厂检验项目未全部实施而交付的情况，审核员必须追溯，否则应判为不符合。如果因为组织检测能力的限制，而未对必检项目进行检测，可以实施委外检测，但必须在检验规范或产品标准中对委外检验活动作出科学合理的安排（包括检验项目、频次、抽样原则、送检数量等）。审核员应核查一定时期的产品型式试验报告、行业抽查报告及权威部门认可的产品质量书面证明。C．法律法规的符合性亦是EMS、OHSMS现场审核的重点，也是最主要的风险点。关注法规持续符合的证据资料。如针对新、改、扩建项目时环境影响影