提高现场审核质量，有效防控认证风险

    什么是风险？ISO 19011：2018《管理体系审核指南》给出了明确的定义：不确定性的影响。这里的影响是指偏离预期的目的，可以是正面的，也可以是负面的，但一般指的是负面影响。那么，对认证机构来说，“认证风险”就是认证过程与活动的不确定性，致使其过程与结果偏离了认证预期的目的而带来的影响。

    我们知道，认证机构是以颁发认证证书的形式向获证方的采购者或是社会传递信任，即：获证方的管理体系（或产品）符合认证证书中所明示的认证标准，并确保按此标准运行的管理活动所生产的产品或者环境、安全、能源等管理绩效能满足法律法规或采购方的相应要求。然而，由于整个认证过程中的一系列影响因素的存在与变化，会对认证结果的准确性造成影响，进而形成认证风险。这些风险可能是获证方发生严重的质量事故与顾客投诉、国家抽检不合格，或者是发生严重的环境事故、安全事故等，由此引起认证机构承担连带的法律责任或被监管机构问责。另一方面，认证的质量及其结果还要经得起时间的考验，任何时候，只要政府在认证监管中发现了认证的问题，认证机构及其审核组的责任是首要的，也就是说，认证实行的是 “质量终身制”。

    那么，既然认证风险是由认证过程一系列的影响因素造成的，要控制认证风险，我们就必须努力提高认证过程各项活动的有效性，对整个认证过程严格把控，确保其符合规范与程序，尽量减小过程的波动，进而将认证过程与结果的风险控制在可接受的范围内。就认证机构运作的全过程来看，现场审核过程又是防控认证风险的重中之重。下面，本人结合长期在认证机构的工作实践，从现场审核的几个方面，谈谈如何有效提高审核质量，防控认证风险。

一、提高审核策划的充分性，使现场审核有备而来

    ISO 19011：2018《管理体系审核指南》指出，审核是系统的、独立的形成文件的过程。可见，认证审核是系统的、正规的检查活动，不是即兴的动作。认证机构在开始审核前，要与受审核方进行充分的沟通，配备好相应的资源，做好全面的安排，才能开始审核。这里的安排，既包括审核组人员的配备与组成、审核时间上的安排等资源方面的，也包括审核组专业技术上的考虑、文件的准备等以确保现场审核是有备而来。

1.制定审核方案

    对一个管理体系认证企业来说，一个认证周期是3年，因此，就一个初审企业来说，在总体策划上，认证机构应制定能覆盖3年认证周期的审核方案。在制定审核方案时，我们要从以下几个方面防范认证风险：

（1）要以控制风险的意识来策划审核方案，确保审核关注于受审核方的重要事项、关键过程以及认证机构审核目标的实现，要优先考虑将资源和方法分配给管理中具有较高风险和较低绩效水平的事项上；

（2）确保覆盖审核的范围和详略程度、抽样审核场所的数量、持续的时间与强度、地点和时间表；

（3）资源的充分性，避免在时间或培训不足的情况下实施审核；

（4）审核组的选择，着力避免审核的整体能力不足；

（5）确保在与受审核方沟通顺畅的情况下进行审核方案的制定；

（6）加强对审核方案的监视、评审和改进，对不适宜之处及时作出调整与改进；

（7）确保受审核方的协助与配合以及抽样证据的可获得性。

2.制定现场审核计划

    有了审核方案，审核组长要根据审核方案中的信息和受审核方提供的成文信息，就某次审核进行现场审核的策划，制定现场审核计划。在制定审核计划时，应从以下几方面防范认证风险：

（1）树立风险意识，采用基于风险的方法来策划现场审核；

（2）现场能否正常生产是能否实施现场审核的前提条件，要提前与受审核方做好充分沟通，严禁发生到现场后受审核方没有生产而导致的失败审核；

（3）策划应能促进现场审核活动的高效和协调，以便有效地实现审核目标；

（4）认真做好文件审查，在充分了解受审核方基本情况的前提下制定审核计划；

（5）审核计划应依据审核的范围和复杂程度而选择详略得当的方式制订，确保考虑了可能的不能实现审核目标的风险；

（6）审核组的组成及其整体能力，除通用的审核知识与技能外，应确保审核组具备与受审核方产品有关的特定技术领域审核所需的知识与技能；

（7）为寻找客观证据而确定的恰当的抽样技术；

（8）对关键区域、关键过程的审核安排不充分的风险；

（9）要把专业审核员安排到有特定技术领域审核需求的部门与过程中去；

（10）当实施多领域认证结合审核时，要特别注意对不同领域的专业审核员的合理安排。

二、着力于现场审核，严控认证无效的风险

1.选择合格的审核组长

    要使审核组作为一个团队开展有效和高效的现场审核，避免审核无效的风险，首先是要选择一位具备足够能力的审核员担任审核组长。一个合格的审核组长应具备以下能力：

（1）根据每个审核组成员的具体能力策划审核工作，并分配审核任务；

（2）与受审核方的最高管理者讨论战略问题，以确定他们在评价风险和机遇时是否考虑过这些问题；

（3）具备足够的管理审核过程的能力，在审核中能有效地利用和调整资源，有效管控审核目标实现过程中的不确定性；

（4）具有管理权威，能够指挥审核组成员；

（5）预防和解决审核期间可能发生的冲突和问题，包括审核组内部的冲突和问题；

（6）代表审核组与审核方案管理人员、审核委托方和受审核方进行沟通的能力；

（7）带领审核组与各方达成审核结论的能力，包括可能的不通过审核的结论。

    在过往的审核中，我们发现，一个不合格的审核组长，如果不能总体上把控整个的现场审核，往往会出现以下情况：

（1）组长能力不够或缺乏领导力，由此而表现出不自信，甚至对一些审核员的不恰当言行都不敢管，掌控不了审核组；

（2）在主持首末次会议时，该说的没说或没说到位，致使受审核方不理解，缺乏有效的审核配合，进而影响到审核目标的实现，或审核结果、发现问题阐述不清，导致受审核方不清楚如何对审核发现的问题加以整改，为后续的问题跟踪留下隐患；

（3）审核信息不能通过有效的评审而得到增值，组长只知道闷头编写审核报告，审核组内部的沟通、讨论会形同虚设，开会不讨论甚至不开会。这样的审核总结，势必造成盲人摸象的后果，不同的审核员得出的审核证据与信息相互矛盾，无法对受审核方的管理体系得出客观的评价，因而也无法做出客观、公正的审核结论。

2.审核证据的获得及其验证

    只有经过某种程度验证的信息才能被接受为审核证据。在验证程度较低的情况下，风险也就随之而来了，这时，审核员应运用其专业判断来确定可将其作为证据的可信度，以有效降低风险。审核组应记录足够的审核证据以支持审核发现。在收集客观证据的过程中，如果有任何新的或变化的情况，无论风险或机遇，审核组应敏锐感知并予以关注。

    审核员应考虑信息是否提供了充足的客观证据来证实认证标准的要求已得到满足。信息可能存在以下风险问题：

（1）不够完整（成文信息中不能包含所有期望的内容），如果信息的提供方式不同于预期（例如，由不同的个人或替代媒介提供），则应评估证据的完整性；

（2）不正确（内容不符合标准和法规等其他可靠来源）；

（3）不一致（成文信息本身以及与相关文件不一致）；

（4）不是现行有效的（内容不是最新的）。

3.审核的抽样

    现场审核时，收集信息的方法包括访谈、观察和成文信息的评审等。但是，由于受审核方日常管理运行留下的信息量是巨大的，我们不可能检查所有可获得的信息，因此，现场审核的过程也是一个抽样检查的过程。当受审核方的记录太过庞大或地域分布太过分散，以至于无法对每个项目进行检查时，我们还需分层进行抽样，这时，抽样的风险是：从总体中抽取的样本也许不具有代表性，从而可能导致审核员的结论出现偏差，与对总体进行全面检查的结果不一致。因此，抽样时，我们应充分考虑可用数据的质量，因为抽样数量不足或数据不准确将不能提供有用的结果。应根据抽样方法和所要求的数据类型选择适当的样本。

    典型的审核抽样包括以下步骤：

（1）明确抽样方案的目标；

（2）选择抽样总体的范围和组成；

（3）选择抽样方法；

（4）确定样本量；

（5）进行抽样；

（6）收集信息、评价和报告结果并形成文件。

4.开具不符合报告

    应对审核证据进行评审以确定审核发现。审核发现包括符合项与不符合项。当对照认证依据的标准条款发现了不符合项时，审核员应记录不符合及支持不符合的审核证据，开具不符合报告，责成受审核方通过原因分析、举一反三地采取纠正措施，避免同类的问题今后重复发生，这是认证机构、审核组有效降低认证风险的重要手段，包括对受审核方在守法方面的不符合，也应开具不符合报告，在发证前控制其违法的风险。

    可以根据组织所处的环境及其风险对不符合进行分级。这种分级可以是定量的（如打分法），也可以是定性的（如分成轻微不符合与严重不符合两种类型）。审核组可与受审核方一起评审不符合，以确认审核发现是准确的，并使受审核方理解不符合，厘清对不符合整改的思路。

    有些审核员受各种因素的干扰或压力，往往喜欢把明显的不符合项问题口头向受审核方交流而不开不符合报告，为认证埋下了隐患与风险。开具不符合报告至少有两方面的重要意义：一是纠正，它能通过对不符合项的纠正来控制不符合问题本身的风险；二是纠正措施，能防止受审核方在今后的管理、运行中出现重复的错误，控制了认证带来的风险。

5.强化合规性审核

    获证方能否遵守法律法规，这是认证机构应守护的认证底线，也是认证机构应坚守的社会责任。一方面，受审核方由于这样那样的历史原因，可能会存在一些违法违规的历史遗留问题；另一方面，少数受审核方不重视守法、合规，不注意及时收集、吸收不断更新的相关法规，也会导致其管理上出现可能的违法违规后果。因此，现场审核时，要始终关注并强化对受审核方合规性的审核。合规性审核应至少从以下几方面控制风险：

（1）现场核实其行政许可等相关资质（第一阶段审核时），虽然在认证申请阶段受审核方提供了一些行政许可资质、合规性的基本信息，但信息的真实性以及地方法规要求，需要审核组现场核实，如企业的生产许可证（指实施生产许可证的行业，如水泥行业）、环评与环保验收证据、采矿许可证与矿山安全生产许可证；

（2）认证范围与营业执照范围或行政许可范围的相容性；

（3）新、改、扩项目的环保等手续；

（4）环保监测、安全监测、安全设施的监测、职业场所有害物监测、职业病体检等；

（5）企业自身开展的合规性评价的有效性。

    与此同时，审核组还应审核并评估受审核方是否具备以下合规性管理过程：

（1）识别其法律法规要求及其承诺的其它要求；

（2）管理其活动、产品和服务，以实现对这些要求的合规；

（3）评价其合规状况；

（4）有能胜任的人员管理其合规过程；

（5）根据监管方或其他相关方的要求，保持并提供关于其合规状况的适当的成文信息；

（6）在内部审核中包括了合规要求；

（7）应对任何不合规事件；

（8）在管理评审中考虑其合规绩效。

三、准确界定认证范围，控制超范围“证明”的风险

    2001年11月，ISO/CASCO推出了开展合格评定活动的基本方法，即“合格评定功能法”，其基本模式就是“选取+确定+复核与证明”。认证是其中一种合格评定活动（“认证”一词的英文原意就是出具证明文件的合格评定活动），认证活动的最终结果就是提供“证明”——认证机构出具的认证证书。认证证书要以最容易使所有证书使用者理解的形式做出获证方“已证实满足规定要求的符合性”的说明。而认证证书中风险最高、技术性最强的部分就是认证范围的给定。一个合格的认证范围既要准确地表述被认证对象的范围和特性，包括已审核的范围与界限，组织的场所与单元、活动及过程，同时又要能被获证方所接受。

    客观地说，大部分受审核方都希望证书中认证范围描述的外延与内涵越大越好，以便其满足不同采购方的采购需求、投标要求。因此，作为认证机构的审核组，如何通过有效的审核与证据的收集支撑其确定的认证范围，存在着很强的技术性，也蕴含着很大的风险。

    首先，我们要纠正一个错误的观念：认证范围是认证机构与申请人协商确定的，与现场审核无关。我们都知道，确定认证范围是审核组的主体责任，需要审核组结合现场审核的范围，受审核方的过程、活动与产品，以及审核证据收集的充分性等方方面面的情况最终确定，必要时应与受审核方沟通。审核组有权缩小认证范围，但如果拟超出认证合同确定的认证范围，则必须与认证机构沟通，这里存在着重新进行申请评审与认证合同变更的问题。下面，笔者给出两个认证范围确定失败的案例：

案例1：认证范围（边界）的界定错误（能源管理体系认证）：

某陶瓷企业有4条陶瓷砖生产线，含1条瓷质砖生产线、3组陶质砖生产线。

错误的认证范围描述如下：

位于广东省佛山市南海区XX镇XX区的广东XX陶瓷有限公司陶瓷砖的生产与能源管理。

生产工艺与用能过程（边界）：4条陶瓷砖生产线，含1条瓷质砖生产线、3组陶质砖生产线，涵盖原料球磨、喷雾制粉、干压成型、干燥、烧成、抛光磨边等过程；

产品能耗指标：

    错误的原因是：陶质砖与瓷质砖的生产工艺不同，陶质砖没有抛光磨边的工艺过程（用能过程），而烧成却有素烧+釉烧两个工序。该认证范围的描述将不同生产工艺及不同的产品混同，并导致无法区分不同产品对应的产品能耗。审核组可能不熟悉产品的相关能耗标准，不精通产品的生产工艺及生产过程的主要能源使用。

正确的“生产工艺与用能过程（边界）”描述应该是：

1条瓷质砖生产线，涵盖原料球磨、喷雾制粉、干压成型、干燥、烧成、抛光磨边等过程；3条陶质砖生产线，涵盖原料球磨、喷雾制粉、干压成型、干燥、素烧、釉烧等过程。

案例2：审核证据不足以支撑认证范围（质量管理体系认证）：

内审抽查发现，某检验检测有限公司质量管理体系初次认证的认证范围是“位于XX省XX市XX区XX大道的某检验检测有限公司非金属矿物材料研制、推广与应用等管理活动”，但审核记录中对材料部分的检查记录写到——“目前业务主要为贸易销售，将外购的摩擦密封产品原材料——矿物纤维进行销售，采购的物资主要是：矿物纤维”，未见收集“非金属矿物材料研制、推广与应用等管理活动”的审核证据。

显然，确定的认证范围偏大，受审核方的业务只局限于非金属矿物材料的一种——矿物纤维材料的研发、推广与应用等管理活动。审核组正确的做法是，根据现场审核证据与情况，缩小申请的认证范围，改成：矿物纤维材料的研发、推广与应用等管理活动。当然，审核组应做好与受审核方的沟通，力争双方达成一致。

综上所述，作为负责任的认证机构与审核组，认证范围给定的原则应该是：准确、恰当，文字描述的外延与内涵不大不小。以能源管理体系认证为例，要准确界定认证范围（边界），应遵循以下几项标准：

（1）产品工艺与用能过程描述完整；

（2）主要用能过程描述突出，注意不遗漏余热或余能利用过程，如水泥企业的余热发电过程；

（3）不同的产品及其用能过程、产品能耗应分别表述，并满足国家或地方相应的产品能耗标准的特定要求，如陶瓷企业不同吸水率的陶瓷砖应分别表述用能过程与产品能耗，商品混凝土企业应分别表述混凝土的生产能耗与运输能耗，保温材料企业应分别表述保温材料的综合能耗与熔融焦耗等。