ISO19011風險管理體系認證指南

GB/T 19011-2021/ISO 19011：2018 《管理體系審核指南》與GB/T19011-2013《管理體系審核指南》相比，變動比較明顯的是對基于風險的方法提出了更為詳細的要求，其中“風險”一詞出現(xiàn)80多次，與風險相關的條款30多項。為了便于大家對這些條款的理解，本文在對GB/T19011-2021《管理體系審核指南》中與風險相關的條款逐一解讀的基礎上，進行了歸納總結(jié)。

對標準中風險條款的解讀

對GB/T19011-2021/ISO 19011：2018 《管理體系審核指南》中風險條款解讀如下：

1.審核原則

審核原則之一是基于風險的方法?；陲L險的方法就是在審核過程中考慮風險和機遇的審核方法。在進行審核的策劃、實施審核和審核報告中都應體現(xiàn)基于風險的方法，通過應用基于風險的方法，可以確保風險管理目標的實現(xiàn)。

2.審核方案的風險方法

(1)風險管理與資源優(yōu)化

風險管理是對資源的反復優(yōu)化。因此，審核應優(yōu)先考慮將資源和方法分配給管理體系中內(nèi)在風險較高和績效水平較低的事項。依據(jù)審核方案的管理流程，識別所有管理活動可能產(chǎn)生的風險和機遇，評估風險等級，提出風險控制措施，制定相應的計劃，對控制措施落實的有效性進行確認，確保風險降低到可接受的范圍。審核方案的范圍和程度與基于受審核方的風險和機遇的類型密切相關。

(2)審核方案的目標是風險識別不漏項

審核方案的目標是全面識別受審核方的風險和機遇，做到不漏項;評價受審核方的三種能力，例如評價受審核方識別風險和機遇的能力、評價對風險實施有效控制的能力以及應對這些風險和機遇的能力。

(3)審核方案的主要風險

在確定審核方案和資源要求時，審核方案管理人員應識別相關的風險、機遇和應對措施。其中，識別的風險主要包括：

① 策劃不充分的風險，例如未能確立相關的審核目標，及未能確定審核的范圍和詳略程度、數(shù)量、持續(xù)時間、地點和日程安排等;

② 資源不足的風險，例如在時間、設備和/或培訓不足的情況下制定審核方案或?qū)嵤徍?

③ 審核組的選擇不合適的風險，例如有效實施審核的整體能力不足;

④ 溝通不暢的風險，例如無效的外部/內(nèi)部溝通過程/渠道;

⑤ 實施過程中風險，例如審核方案內(nèi)的審核實施協(xié)調(diào)不力或未考慮信息安全和保密性;

⑥ 對成文信息控制不到位的風險，例如：未有效確定審核員和有關相關方所要求的必要的成文信息;未能充分保護審核記錄以證明審核方案的有效性;

⑦ 監(jiān)視、評審和改進審核方案不充分的風險，例如對審核方案的結(jié)果監(jiān)視無效。

(4)外部因素(環(huán)境)和內(nèi)部因素(環(huán)境)分析是風險管理的前提

外部因素包括：文化、社會、政治、法律、法規(guī)、金融、技術、經(jīng)濟、自然環(huán)境、競爭環(huán)境，無論是國際的、國內(nèi)的、區(qū)域的或局部的;內(nèi)部因素包括：治理、組織結(jié)構(gòu)、職能、責任;方針、目標，以及確定實現(xiàn)它們的戰(zhàn)略;能力、對資源和知識的理解(如資本、時機、人員、過程、系統(tǒng)、技術);信息系統(tǒng)、信息流、決策過程(正式的和非正式的);與內(nèi)部利益相關方的關系，以及他們的感知和價值觀;組織的文化;組織所采用的標準、指南和模型;合同關系的種類和程度等。分析這些因素可能導致的風險及其應對控制措施，并將措施納入相應的審核活動中。

審核方案管理人員應具有對受審核方的內(nèi)外部因素進行分析的能力，在此基礎上具有識別風險和機遇的能力。適當時，審核方案管理人員應具有風險管理的知識。

影響審核方案的范圍和詳細程度的風險因素包括：重大變化就意味著不確定性，即風險，因此要特別重視受審核方所處環(huán)境或其運行以及相關風險和機遇的重大變化，分析重大變化可能產(chǎn)生的風險;分析受審核方業(yè)務可能產(chǎn)生的業(yè)務風險和機遇，制定控制這些風險的措施。

不斷變化的環(huán)境可能會帶來新的風險，因此，應評價管理體系在不斷變化的環(huán)境下建立和實現(xiàn)目標及有效應對風險和機遇的能力，包括相關措施的實施能力。

審核準則是確定合格的依據(jù)。可以考慮由受審核方確定所處環(huán)境及風險和機遇的信息(包括相關的外部和內(nèi)部相關方要求)。

審核方案評審應考慮內(nèi)部和外部因素分析，以及與審核方案有關的風險和機遇及其應對措施的有效性。

(5)信息溝通是風險管理的重要環(huán)節(jié)

信息溝通是有效實施風險管理的一個重要環(huán)節(jié)，風險相關的信息溝通的暢通、及時與否直接影響風險管理的效果，因此要確保所有相關部門和所有相關人員必須知悉涉及的風險和機遇。

審核在選擇現(xiàn)場、遠程或組合的方式進行時，應基于相關風險和機遇。為確保審核工作的有效策劃，應向?qū)徍私M長提供所識別的風險和機遇所需的全部信息，以實現(xiàn)風險管理目標。

通過識別相關的外部和內(nèi)部因素，確定審核方案的風險和機遇，并予以記錄。

與受審核方建立暢通的信息溝通渠道，深入了解受審核方的外部、內(nèi)部環(huán)境、相關利益方、相關期望、關注點或涉及的風險領域。

3.實施審核的風險方法

(1)成文信息風險

成文信息評審應考慮受審核方組織所處的外部和內(nèi)部環(huán)境，審核方組織的規(guī)模、性質(zhì)和復雜程度與其風險有直接關系，規(guī)模越大、性質(zhì)和復雜程度越高，其風險就越大，所以應在考慮審核范圍、準則和目標的約束條件下，識別相關風險和機遇。

(2)采用基于風險的方法策劃

審核組長應采用基于風險的方法來策劃審核。

審核策劃時，應通過外部因素和內(nèi)部因素分析，識別審核活動可能對受審核方過程帶來的風險，并制定降低風險的控制措施，將風險降低到可接受水平，以便有效地實現(xiàn)預期目標。

審核計劃的詳細程度應適應審核的范圍和復雜程度，以及未實現(xiàn)審核目標的風險。審核策劃時，審核組長應考：

審核組成員的能力及其整體能力;

抽樣方案的合理性;

提高審核活動有效性和效率的機會;

由于無效的審核策劃造成的實現(xiàn)審核目標的風險;

實施審核過程可能造成的受審核方的風險。

審核組成員的存在可能對受審核方的健康和安全、環(huán)境和質(zhì)量及其產(chǎn)品、服務、人員或基礎設施的安排產(chǎn)生不利影響，從而對受審核方造成風險(例如，審核組成員未穿靜電防護服，對產(chǎn)品造成靜電損傷;審核組成員徒手觸碰精密產(chǎn)品對產(chǎn)品造成產(chǎn)品受損;審核組成員進潔凈室前未進行風淋處理導致設施的污染等)。

(3)審核風險資源規(guī)劃

審核策劃應包括或涉及為擬審核的活動有關的風險和機遇配置適當?shù)馁Y源，包括人力、物力和財力資源。適當時，審核策劃還應考慮為應對實現(xiàn)審核目標的風險和產(chǎn)生的機遇而采取的任何具體行動。

(4)審核組成員和觀察員應知風險

審核組成員和觀察員應了解和遵守關于特定地點的訪問、健康和安全(危險源)、環(huán)境(環(huán)境防護)、安保、保密方面的風險，并熟知任何相關的風險及其應對措施，確保應對措施落實到位。

審核組成員應掌握全面識別由于審核組成員的到場而導致的組織風險因素，進行風險評估，制定和落實風險控制措施的審核方法。

(5)審核中的風險信息溝通

明確緊急的和重大的風險報告制度，即如果審核中收集的證據(jù)顯示存在緊急的和重大的風險，應立即報告給受審核方，適當時向?qū)徍宋蟹綀蟾妗Ｒ话銘?小時之內(nèi)報告。

任何新的或變化意味著不確定，即風險，因此在收集客觀證據(jù)的過程中，審核組如果意識到任何新的或變化的情況，或風險或機遇，應相應地予以關注。分析這些任何新的或變化是否會帶來新的風險以及對新的風險進行評價的等級和采取的措施。

可以根據(jù)組織所處的環(huán)境及其風險對不符合進行分級。這種分級可以是定量的(如1 至 5分)，也可以是定性的(如輕微的、重要的、關鍵的、嚴重的、災難的)。

審核結(jié)論信息應包括風險的識別以及受審核方為應對風險而采取的行動的有效性。

從審核中獲得的經(jīng)驗教訓就是識別風險的經(jīng)驗庫，可以作為風險源庫，因此可作為后續(xù)審核方案和受審核方識別風險和機遇時的重要參考。

審核本質(zhì)上是一種抽樣活動，抽樣本身就具有不確定性，因此存在被查驗的審核證據(jù)不具代表性的風險，在進行抽樣時，應考慮抽樣方案的合理性和風險。

4.審核員能力不足的風險

審核員能力不足的風險主要包括：

未掌握擬審核的管理體系的復雜程度和過程;

未把握風險和機遇的類型和級別;

不清晰審核目標實現(xiàn)過程中的風險;

未能掌握和運用與審核有關的風險和機遇的識別和評估方法，未能掌握風險管理流程，未能掌握基于風險的審核方法的原則;

未能識別虛擬審核或遠程審核活動所產(chǎn)生的風險。

5.抽樣的風險

抽樣的風險是從總體中抽取的樣本也許不具有代表性，即具有不確定性，因此可能導致審核員的結(jié)論出現(xiàn)偏差，與對總體進行全面檢查的結(jié)果不一致。其他風險可能源于抽樣總體內(nèi)部的變異和所選擇的抽樣方法的不當。

6.對風險和機遇的審核

風險和機遇管理可作為單項審核，其審核目標是：確認風險和機遇識別過程的信息客觀、準確、全面和可信;確認了風險識別全面，管理到位;評審組織明確應對其所確定的風險和機遇的措施。

但是，不應將其作為孤立的活動來進行，應該體現(xiàn)在對管理體系的整個審核過程中，包括對最高管理者的訪談。此外，審核員應提供的客觀證據(jù)。

組織用于確定其風險和機遇的輸入，可包括：對外部和內(nèi)部因素的分析;組織的戰(zhàn)略方向;與特定領域的管理體系有關的相關方式(法律法規(guī))以及他們的要求;風險的潛在來源，例如環(huán)境因素、安全危險源等。

評價風險和機遇的方法，不同領域和專業(yè)可能不同。ISO 31010 給出了31項風險評估技術，可以參考應用。

審核員需應用專業(yè)知識，識別風險和機遇，掌握風險評價準則和風險接受準則，知悉降低風險的管控措施。

結(jié)語

GB/T 19011-2021/ISO 19011：2018 《管理體系審核指南》與GB/T 19011-2013《管理體系審核指南》相比，基于風險的方法貫穿于標準的各個章節(jié)，突出了基于風險是管理體系審核實施的主線，在實施管理體系審核時，時刻以識別風險為抓手，通過系統(tǒng)地識別風險，對風險進行評估，制定并落實風險控制措施，最終實現(xiàn)管理體系審核的目標。

如何有效控制ISO19011認證成本

ISO19011認證是一種管理系統(tǒng)審計的標準，它為各種類型的管理系統(tǒng)提供了指南和要求。在進行ISO19011認證時，控制成本是非常重要的一步。以下是根據(jù)搜索結(jié)果提供的一些有效控制ISO19011認證成本的方法：

1. 審核策劃與準備

在進行ISO19011認證之前，組織應該進行詳細的審計策劃和準備。這包括確定審計的目標和范圍，選擇合適的審計準則，以及培訓和配備合適的審計員。通過精心的策劃和準備，可以確保審計過程的有效性和效率，從而降低認證成本。

2. 現(xiàn)場審核

在現(xiàn)場審核過程中，應該采用有效的審計技術和方法，如文件審查、觀察、采訪等，以最大程度地獲取和利用信息。此外，審計員應該具備足夠的專業(yè)知識和技能，以便在短時間內(nèi)有效地完成審計任務。這樣可以減少不必要的審計時間和資源消耗，從而降低認證成本。

3. 審核結(jié)果的利用

審核結(jié)果不僅可以為業(yè)務計劃的分析提供輸入，還可以幫助識別改進需求和活動。通過有效地利用審核結(jié)果，組織可以確定優(yōu)先改進的領域，并有針對性地進行改進活動。這樣可以避免對整個管理體系進行不必要的改造，從而節(jié)省認證成本。

4. 組織內(nèi)部的配合

在進行ISO19011認證時，組織內(nèi)部的配合和支持至關重要。員工應該積極參與到認證過程中，理解和遵守管理體系的要求。此外，組織應該建立一個自我監(jiān)督、自我發(fā)現(xiàn)和自我完善的機制，以確保管理體系的持續(xù)改進。這樣可以減少外部審核的頻率和 duration，從而降低認證成本。

5. 合理運用ISO管理體系標準

ISO19011標準是適用于內(nèi)部審計、外部審計以及審核員的培訓和認證的。通過合理地運用這一標準，組織可以確保審計的有效性、合規(guī)性和一致性，從而提高認證的通過率和效率。這不僅可以減少重復的審計工作，還可以避免因不符合標準要求而產(chǎn)生的額外成本。

6. 選擇合適的認證機構(gòu)

不同的認證機構(gòu)可能會有不同的收費標準和服務質(zhì)量。組織應該選擇那些經(jīng)驗豐富、信譽良好的認證機構(gòu)來進行ISO19011認證。這樣可以確保認證過程的專業(yè)性和公正性，從而避免因質(zhì)量問題而產(chǎn)生的額外成本。

通過上述方法，組織可以在保證ISO19011認證質(zhì)量的同時，有效地控制認證成本，實現(xiàn)認證的最大效益。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構(gòu)，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202404/ccaa_62232.html