联系到ISO组织发布的ISO9004:2009《组织的持续成功管理》,其中提出“组织应识别所有相关的短期和长期风险,并为组织建立全面的战略去减低风险。组织应当评估与计划中的创新活动相关的风险,包括考虑到组织改变的潜在影响,制定预防措施以减低风险,必要时包括应急计划。”
因此,为了提高第三方审核有效性,实现增值审核,审核员应当更多去应用ISO31000标准中的原理和指南,引导获证组织关注风险,提高风险意识,帮助受审核组织识别和控制、降低或消除风险。
一般来说,企业的风险主要来自三个方面:法律风险、财务风险和经营风险。审核中可以围绕这三个方面去予以关注。
1. 法律风险
法律意识的淡薄、执法不严、违法成本不高,因此往往得不到企业的重视,只有在发生重大产品质量、环境或安全事故之后觉醒已经来不及了。典型的案例:近的如国内三鹿奶粉事件导致公司破产、紫金矿业环境污染导致停产整顿、杭州某化工企业安全事故而被勒令关闭,远的如美国联碳公司因印度博帕尔毒气泄露事件而被拆解。
因此,审核员应严格把关,既是控制自身的认证风险,同时也是帮助受审核组织控制和降低法律风险。比如质量管理体系审核中重点关注强制性产品认证、生产许可证、行业资质要求(如建筑企业设计/施工/劳务分包资质等)、强制产品执行情况、产品标准备案情况、强制性检定工作计量器具检定情况。环境管理体系要特别关注环评制度、三同时制度、污染治理,职业健康安全管理体系应特别关注安全生产许可、安全作业许可、特种设备和特殊作业人员管理、危险化学品管理等。
2. 财务风险
企业财务管理面临财务控制不力、外汇风险、资产流动性、坏账、死账、不良资产、资产结构、负债比例高、投资等风险。审核中可建议企业完善财务管理制度,在质量管理体系中建立一些关键绩效指标(KPI),比如销售应收账款率、仓储呆滞品库存水平和安全库存水平等。
3. 经营风险
组织的经营风险涉及面非常广泛,如经济、政治、科技、竞争、市场萧条、组织规模、供应商、市场固有风险、安全/欺诈行为、IT变革、人、声誉/媒体、产品/生产(如质量、交期、库存)、采购、管理层的能力、管理层的道德观、近期系统变化、组织规模、、变革、复杂程度、快速增长、规章制度是否健全等。
审核中可以按照ISO31000风险管理原理和指南,引导企业从风险识别、分析、评价、处理、监测和审查的思路管理风险:
1) 识别企业的内外部环境和识别风险,包括所有相关的短期和长期风险
2) 对所识别风险进行分析和评价
3)为管理和减少风险制定控制政策和程序要求,一般控制活动包括审批、授权、核实查证、对帐、检查、资产的安全、责权分离等。
风险管理可以应用到整个组织,它的许多领域和层次,在任何时间,以及具体职能,项目和活动。如产品质量、交期、成本风险、环境、安全、财务风险、采购风险等等就涉及到企业的很多流程、职责。
4)对风险控制流程实施监视和检查,并针对问题采取改进措施。
以下以采购风险为例说明。企业采购过程伴随着质量、交期、价格、财务、售后服务、知识产权、法律纠纷等诸多采购风险,其中有外部风险,也有内部风险(如存量风险、验收风险),因此企业应识别采购风险,并将控制要求与ISO9001质量管理体系过程控制要求有机结合起来,努力使公司采购风险最小化。审核员在QMS审核中可以按照下表思路切入,针对发现的问题提出不符合项报告或者改进建议。