手機版
聯系到ISO組織發布的ISO9004:2009《組織的持續成功管理》,其中提出“組織應識別所有相關的短期和長期風險,并為組織建立全面的戰略去減低風險。組織應當評估與計劃中的創新活動相關的風險,包括考慮到組織改變的潛在影響,制定預防措施以減低風險,必要時包括應急計劃。”
因此,為了提高第三方審核有效性,實現增值審核,審核員應當更多去應用ISO31000標準中的原理和指南,引導獲證組織關注風險,提高風險意識,幫助受審核組織識別和控制、降低或消除風險。
一般來說,企業的風險主要來自三個方面:法律風險、財務風險和經營風險。審核中可以圍繞這三個方面去予以關注。
1. 法律風險
法律意識的淡薄、執法不嚴、違法成本不高,因此往往得不到企業的重視,只有在發生重大產品質量、環境或安全事故之后覺醒已經來不及了。典型的案例:近的如國內三鹿奶粉事件導致公司破產、紫金礦業環境污染導致停產整頓、杭州某化工企業安全事故而被勒令關閉,遠的如美國聯碳公司因印度博帕爾毒氣泄露事件而被拆解。
因此,審核員應嚴格把關,既是控制自身的認證風險,同時也是幫助受審核組織控制和降低法律風險。比如質量管理體系審核中重點關注強制性產品認證、生產許可證、行業資質要求(如建筑企業設計/施工/勞務分包資質等)、強制產品執行情況、產品標準備案情況、強制性檢定工作計量器具檢定情況。環境管理體系要特別關注環評制度、三同時制度、污染治理,職業健康安全管理體系應特別關注安全生產許可、安全作業許可、特種設備和特殊作業人員管理、危險化學品管理等。
2. 財務風險
企業財務管理面臨財務控制不力、外匯風險、資產流動性、壞賬、死賬、不良資產、資產結構、負債比例高、投資等風險。審核中可建議企業完善財務管理制度,在質量管理體系中建立一些關鍵績效指標(KPI),比如銷售應收賬款率、倉儲呆滯品庫存水平和安全庫存水平等。
3. 經營風險
組織的經營風險涉及面非常廣泛,如經濟、政治、科技、競爭、市場蕭條、組織規模、供應商、市場固有風險、安全/欺詐行為、IT變革、人、聲譽/媒體、產品/生產(如質量、交期、庫存)、采購、管理層的能力、管理層的道德觀、近期系統變化、組織規模、、變革、復雜程度、快速增長、規章制度是否健全等。
審核中可以按照ISO31000風險管理原理和指南,引導企業從風險識別、分析、評價、處理、監測和審查的思路管理風險:
1) 識別企業的內外部環境和識別風險,包括所有相關的短期和長期風險
2) 對所識別風險進行分析和評價
3)為管理和減少風險制定控制政策和程序要求,一般控制活動包括審批、授權、核實查證、對帳、檢查、資產的安全、責權分離等。
風險管理可以應用到整個組織,它的許多領域和層次,在任何時間,以及具體職能,項目和活動。如產品質量、交期、成本風險、環境、安全、財務風險、采購風險等等就涉及到企業的很多流程、職責。
4)對風險控制流程實施監視和檢查,并針對問題采取改進措施。
以下以采購風險為例說明。企業采購過程伴隨著質量、交期、價格、財務、售后服務、知識產權、法律糾紛等諸多采購風險,其中有外部風險,也有內部風險(如存量風險、驗收風險),因此企業應識別采購風險,并將控制要求與ISO9001質量管理體系過程控制要求有機結合起來,努力使公司采購風險最小化。審核員在QMS審核中可以按照下表思路切入,針對發現的問題提出不符合項報告或者改進建議。
