文/陈宁宁

对我国新版《管理体系审核指南》标准的探讨

文/陈宁宁

ISO 19011∶2011《管理体系审核指南》发布后，我国及时修订并形成GB/T 19011－2012/ISO 19011:2011《管理体系审核指南》（报批稿）（以下简称“报批标准”）。本文介绍了该标准的修订背景、标准的主要变化以及值得商榷的几个问题。

管理体系审核指南 修改 新增 商榷

国际标准化组织ISO/TC176于2011年11月正式发布了ISO 19011∶2011，我国全国质量管理和质量保证标准化技术委员会（SAC/TC151）于2012年2月底制定了GB/T 19011，现已进入报批阶段。

一、修订背景

ISO 9000族标准自1987年发布以来，在全世界得到了广泛采用和推广，其产品包括硬件、服务、流程性材料和软件。随着社会和科学技术的发展，人们和各种类型组织的管理者都渴望对组织实施规范化的管理，将ISO 9000提倡的思想、方法和原理应用于他们的管理工作中。因此，在各学科领域也制定了相应的管理体系标准，如有关环境管理的ISO 14000标准、职业健康和安全管理的OHSAS 18001标准、服务管理体系的ISO/IEC 20000-1标准、运输安全管理的ISO 39001标准、记录管理的ISO 30301标准、信息安全管理的ISO/IEC 27000标准、能源管理的ISO 50001标准和风险管理的ISO 31000标准等，说明这套标准具有较好的先进性、科学性和实用性，已得到普遍的认同。

所有这些标准的实施，都需要通过审核评价，以验证其实施的情况及其有效性。因此，ISO曾制定了ISO 19011∶2002《质量和（或）环境管理体系审核指南》。随着管理体系标准的不断丰富，广大的使用者希望将多种管理体系的审核结合起来，优化审核活动，提高审核效率，保证审核结果的可信性和有效性。虽然每个管理体系标准都是针对特定领域的特性而规定的特定要求，但在管理方面有其共性。审核只是验证其是否按标准的要求建立、实施和保持适合于其自身实际的管理体系并持续改进其有效性，能否实现组织针对该领域的特性、组织的目的和期望而制定的方针、目标。因此，制定一个适合于对各种管理体系进行审核的指导性标准是非常必要的。

该标准正是在这样的形势下修订的，该标准完全符合ISO/指南72∶2001《管理体系标准论证和制定指南》条款5中给出的原则：市场的相关性，即任何管理体系标准（MSS）应满足主要使用者及其他受影响各方的需求并增值。同时应注意，那些与管理体系认证有关的审核应按CNASCC01－2011《管理体系认证机构要求》（即ISO/IEC 17021∶2011）的相关规定执行，对此，新标准在其引言中列表说明了两者之间的关系。

二、主要的变化

该报批标准中新增了观察员、向导、风险、合格（符合）、不合格（不符合）、管理体系，其中观察员、向导和风险是新制定的，其余3个是引用GB/T 19000－2008《质量管理体系基础和术语》。新制定的3个术语，其表述也比较清晰，不难理解。需引起注意的是“风险”，个别术语的表述或注等内容均进行了修改。

①风险risk（3.16）：标准定义为“对于目标不确定性的影响”。标准在引言中解释：“本标准引入了管理体系审核风险的概念。所采用的方法与未达到审核目标的审核过程风险相关，也与受审核组织的活动和过程对审核的潜在干扰有关”。这里所指的风险是“未达到审核目标的审核过程风险”。它反映在两个方面，一是“受审核方所面临的风险”，例如，对组织的风险可以来自审核组成员的到来对于健康安全、环境和质量方面的影响，以及他们的到来对受审核方的产品、服务、人员或基础设施（例如对洁净室设施的污染）产生的威胁；二是“审核方案的风险”，即审核方案的不完善，致使审核过程不能达到审核目标。

报批标准中5.3.4“识别和评估审核方案风险”明确指出：在建立、实施、监视和评审审核方案过程中存在多种风险，这些风险可能影响审核方案目标的实现。要求审核方案管理人员在制定审核方案时应考虑这些风险，而且指明了这些风险可能相关的事项。

此外，该报批标准的5.1“总则”、5.2“确立审核方案的目标”、5.3.1“审核方案管理人员的作用和职责”、5.3.5“建立审核方案的程序”、5.3.6“识别审核方案资源”、6.3.2“编制审核计划”等条款均提及需考虑相关的风险。

“风险”在很大程度上，与审核员的行为和能力有关。目前，有些审核员的行为与7.2.2规定的内容有不小的差距。如果他们的行为不当，则很难达到审核目标。标准7.2.3.2和7.2.3.3分别规定了管理体系审核员应具备的通用知识、技能以及特定领域与专业的知识与技能，而且在附录A中还提供了“审核员专业知识和技能的指南和说明示例”。这些条款对审核员提出了相当高的要求，要做一个合格的审核员，需要具备多方面的知识和技能。如果审核人员达不到这样的要求，会使审核存在很大的风险，例如有些审核员注册的专业很多，但实际并不能对每个注册的专业领域产品、关键工艺、标准和特殊要求等相关专业的知识有全面了解，在审核过程中就不能发现问题和隐患，使审核活动的有效性存在风险。

②报批标准中对术语“审核准则”、“审核发现”、“审核委托方”和“能力”的相关表述或注作了适当修改，使术语的表述更清晰、明确。注主要是增加标准广泛的适用性，相关审核人员应给予适当注意。

①新增了“保密性”，它主要涉及信息安全问题。在以前的审核中是对外部审核而言的，通常情况下都是由审核组组长在首次和末次会议上对审核中接触和了解到的有关受审核方的商业和技术秘密，承担保密的责任，声明未经受审核方的同意，绝不向任何第三方透露。这在标准报批中作为一项审核原则出现，更具严肃性。

②将旧标准中的“道德行为：职业基础”，改为“诚实正直：职业基础”，另对审核员和审核方案的管理人员提出了5点明确的要求，表述更加详细。

③在“公正表达”中增加了“沟通必须真实、准确、客观、及时、清楚和完整”。在“职业素养”中将“具有必要的能力是一个重要的因素”，改为“在工作中具有职业素养的一个重要因素是能够在所有审核情况下做出合理的判断”。用“职业素养”替代了“能力”，当然，职业素养包含了能力方面的要求，但这样的修改，使职业素养的含义更广泛。

此前，在内部审核和第二方审核时不需要考虑审核方案的管理，ISO/TC 176的审核实践组于2004年10月14日编写的《ISO19011的有效使用》中也曾指出：“这通常是第三方审核机构的管理职责……”显然这样的认识是不符合实际情况的，这些审核也需要对审核方案进行管理。为此，报批标准第五章对审核方案的管理作了较大的修改，从总则、确立审核方案的目标、建立审核方案、实施审核方案、监视审核方案到评审和改进审核方案，分五大部分论述，不仅叙述完整，内容也很详尽，对如何管理好审核方案具有很好的指导意义。

①部分调整内容

将旧标准第六章“审核活动”中的6.2.1“指定审核组长”、6.2.2“确定审核目的、范围和准则”以及6.2.4“选择审核组”调整到新修订标准的第五章“审核方案的管理”中，分别为5.4.5“为审核组长分配每次的审核职责”、5.4.2“规定每次审核的目标、范围和准则”和5.4.4“选择审核组成员”。这样的调整，更合乎逻辑性。

②更改了部分分条款的标题

将旧标准5.2.1“审核方案的目的”更改为5.2“确立审核方案的目标”，这样的修改，使审核方案的目标与管理体系的方针和目标保持一致，而且将“实用帮助”示例列入标准，这样更合理一些。还对审核方案的目标作了适当的补充，增加了新的内容。

③增加了部分条款的内容

在5.3“建立审核方案”中新增了“审核方案管理人员的能力”和“识别和评估审核方案风险”，其余条款的内容只是在第一版的基础上，适当增加了少部分的新内容。

需要注意的是5.4.2“规定每次审核的目标、范围和准则”中的目标和范围与5.2和5.3.3中所阐述的目标和范围是不同的，后者是针对审核方案而言，前者是指审核方案中某一次审核的目标和范围。

标准的第六章“审核的启动”是实施现场审核的重要活动，与2003版比，调整和增加了部分内容，这样在操作上更切合实际，其表现为：

①将原标准6.5.1的“首次会议”和6.5.6的“审核结论”中的实用帮助框删除了，而将其内容移到新标准的相应章节的条款中；将旧标准6.5.4“信息的收集和验证”中的实用帮助框去除，而将其中“信息源”和“面谈”的有关内容移到附录B.5“信息源的选择”和B.7“面谈”中，其内容基本相同，只是文字描述稍有差异。这样的变更，很合理，也使标准的操作性更强了。

②报批标准中将文件评审分为两个阶段进行，一是6.3.1“审核准备阶段的文件评审”，二是6.4.3“审核实施阶段的文件评审”，虽然在这两个条款的注中都指明：如何进行文件审核的指南见B.2，但两者的目的不同。

6.3.1的目的是：收集信息，例如过程、职能方面的信息，以准备审核活动和适用的工作文件（见6.3.4）；了解体系文件范围和程度的概况以发现可能存在的差距。

6.4.3的目的是：确定文件所述的体系与审核准则的符合性；收集信息以支持审核活动。

这样的规定，比旧标准的表述更清晰、准确，6.3.1的文件评审是为现场审核作准备，以便有的放矢。此时的审核只是对照GB/T 19001－2008标准的相关要求判断其符合性，至于其有效性、适用性需在现场审核时予以验证。对内部审核而言，如审核人员对相关文件和过程等比较熟悉，或者参与文件的编写，就不必单独进行，而现场审核时应更多地关注附录B.2的要求。

③对于审核员而言，附录B是一个很有用的文件，它提供了许多常用的审核方法，所阐述的内容很实用。例如，审核发现，附录B.8从确定审核发现、符合性记录、不符合记录应考虑的内容，到与多个准则相关的审核发现的处理，都作了详尽的阐述。审核员应针对所执行的审核类型、对象、所规定的审核目标、范围和准则以及持续的时间和地点、所涉及的领域、活动和过程的复杂程度、审核员的能力等多种因素，综合考虑、灵活运用。

此外，由于审核是在有限时间内完成的一项活动，有时加上资源的限制，只能实施抽样检查。若抽取的样本不具有代表性，可能会导致审核结论出现偏差。然而，在以往的标准中对此没有阐述，在实际审核活动中也易被审核员忽视。报批标准附录B.3则对抽样作了较详尽的描述，首先论述了抽样的必要性、如何抽样、抽样时应考虑的问题，然后将抽样分为判断抽样和统计抽样，并分别作了较详尽的阐述，审核员应仔细阅读。

三、值得商榷的几个问题

ISO指南72∶2001中有一项“兼容性”原则，即要求各种管理体系标准之间和管理体系标准族内部应保持兼容性。因此，制定适合于各种管理体系审核活动的标准必须符合上述的规定。就ISO 19011∶2011与ISO 17021∶2011而言，这两个标准在我国已分别转换为GB/T 19011－2012和CNASCC01－2011，其中有关个人行为的论述，有好几项英文完全相同，然而译文却不同，如：

①ethical,i.e.fair,truthful,sincere,honest and discreet;在CNAS-CC01－2011中译为：有道德，即公正、诚实、真诚、正直和谨慎，而在GB/T 19011－2012中译为：有道德，即公正、可靠、忠诚、诚信和谨慎。

②diplomatic,i.e.tactful in dealing with people;在CNAS-CC01－2011中译为：有交际技巧，即得体地与人交往，而在GB/T 19011－2012报批稿中译为：善于交往，即灵活地与人交往。

③observant,i.e.actively aware of physical surroundings and activities;在CNAS-CC01－2011中译为：观察敏锐，即积极地注意到周围的实际环境和活动；而在GB/T 19011－2012报批稿中译为：善于观察，即主动地认识周围环境和活动。

④perceptive,i.e.instinctively aware of and able to understand situations;在CNAS-CC01∶2011中译为：有感知力，即本能地意识到并能够理解遇到的情况；而在GB/T 19011－2012报批稿中译为：有感知力，即能了解和理解处境。

⑤tenacious,i.e.persistent and focused on achieving objectives;在CNAS-CC01∶2011中译为：坚韧，即坚持并专注于实现目的，而在GB/T 19011－2012报批稿中译为：坚定不移，即对实现目标坚持不懈。

以上这些译文，虽然其含义大体相同，但表达不一致，不符合“兼容性”原则。这种现象在其他管理体系标准中也存在。

报批标准在其前言的开始就声称：本标准等同采用ISO 19011∶2011（英文版）。既然是等同，其译文应忠于原文，笔者认为以下列举的一些译文，值得商榷。

①“审核”的定义中，注1，英文是……Internal audits can form the basis for an organization's self declaration of conformity.In many cases,particularl y in small organizations,independence can be demonstrated by the freedom from responsibility for the activity being audited or freedom from bias and conflict of interest.中文的译文是：可作为组织自我合格声明的基础。在许多情况下，尤其在中小型组织内，可以由与正在被审核的活动无责任关系的人员进行，以证实独立性。笔者认为应译为：内部审核，可作为组织自我合格声明的基础。在许多情况下，尤其在小型组织内，可以由与正在被审核的活动无责任关系的或无偏见和利益冲突的人员进行，以证实独立性。即原文中部分内容没有译出，此外，原文中的small不包括中型组织。

②“审核准则”的定义中，注2，英文是：If the audit criteria are legal(including statutory or regulatory)requirements,the terms“compliant”or“noncompliant”are often used in an audit finding (3.4).这里legal在ISO 19001∶2008的4.1注2中指明Statutory and regulatory requirements can be expressed as legal requirements.即：法律法规要求可称作法定要求。Legal是法定的、法律的意思，原文译为：如果审核准则是法律法规要求，术语“合规”或“不合规”常用于审核发现。笔者认为应译为：如果审核准则是法定的（包括法律和法规）要求，术语“合规”或“不合规”常用于审核发现。这比较符合原文的含义。

③审核原则a)“Integrity诚实正直”中要求审核员和审核方案的管理人员应：observe and comply with any applicable legal requirements;原文译为：了解和遵守任何适用的法律法规要求；笔者认为，这里的observe虽有“观察”的意思，但不要将其译为“了解”，这不仅仅是了解，而应该是研究，或者是遵循，因为legal requirements是法定的要求，必须遵循，而Observe是强调尊敬性的遵从，如对于法律或传统，笔者认为应译为：遵循和遵从任何适用的法定要求。

After the release of ISO 19011:2011,China drafted GB/T 19011-2012/ISO 19011: 2011,the Management System Audit Guide(draft for approval),in a timely manner.The article introduces the background of the draft,major changes in the standard and debatable questions.

Guidelines for auditing management systems;Revise;newly increased;Discussion

（作者单位：上海市质量监督检验技术研究院）