对GB/T19011-2021/ISO 19011：2018 《管理体系审核指南》中风险条款解读如下：

 

 

审核原则之一是基于风险的方法。基于风险的方法就是在审核过程中考虑风险和机遇的审核方法。在进行审核的策划、实施审核和审核报告中都应体现基于风险的方法，通过应用基于风险的方法，可以确保风险管理目标的实现。

 

 

（1）风险管理与资源优化

 

风险管理是对资源的反复优化。因此，审核应优先考虑将资源和方法分配给管理体系中内在风险较高和绩效水平较低的事项。依据审核方案的管理流程，识别所有管理活动可能产生的风险和机遇，评估风险等级，提出风险控制措施，制定相应的计划，对控制措施落实的有效性进行确认，确保风险降低到可接受的范围。审核方案的范围和程度与基于受审核方的风险和机遇的类型密切相关。

 

（2）审核方案的目标是风险识别不漏项

 

审核方案的目标是全面识别受审核方的风险和机遇，做到不漏项；评价受审核方的三种能力，例如评价受审核方识别风险和机遇的能力、评价对风险实施有效控制的能力以及应对这些风险和机遇的能力。

 

（3）审核方案的主要风险

 

在确定审核方案和资源要求时，审核方案管理人员应识别相关的风险、机遇和应对措施。其中，识别的风险主要包括：

 

① 策划不充分的风险，例如未能确立相关的审核目标，及未能确定审核的范围和详略程度、数量、持续时间、地点和日程安排等；

 

② 资源不足的风险，例如在时间、设备和/或培训不足的情况下制定审核方案或实施审核；

 

③ 审核组的选择不合适的风险，例如有效实施审核的整体能力不足；

 

④ 沟通不畅的风险，例如无效的外部/内部沟通过程/渠道；

 

⑤ 实施过程中风险，例如审核方案内的审核实施协调不力或未考虑信息安全和保密性；

 

⑥ 对成文信息控制不到位的风险，例如：未有效确定审核员和有关相关方所要求的必要的成文信息；未能充分保护审核记录以证明审核方案的有效性；

 

⑦ 监视、评审和改进审核方案不充分的风险，例如对审核方案的结果监视无效。

 

（4）外部因素(环境)和内部因素(环境)分析是风险管理的前提

 

外部因素包括：文化、社会、政治、法律、法规、金融、技术、经济、自然环境、竞争环境，无论是国际的、国内的、区域的或局部的；内部因素包括：治理、组织结构、职能、责任；方针、目标，以及确定实现它们的战略；能力、对资源和知识的理解（如资本、时机、人员、过程、系统、技术）；信息系统、信息流、决策过程（正式的和非正式的）；与内部利益相关方的关系，以及他们的感知和价值观；组织的文化；组织所采用的标准、指南和模型；合同关系的种类和程度等。分析这些因素可能导致的风险及其应对控制措施，并将措施纳入相应的审核活动中。

 

审核方案管理人员应具有对受审核方的内外部因素进行分析的能力，在此基础上具有识别风险和机遇的能力。适当时，审核方案管理人员应具有风险管理的知识。

 

影响审核方案的范围和详细程度的风险因素包括：重大变化就意味着不确定性，即风险，因此要特别重视受审核方所处环境或其运行以及相关风险和机遇的重大变化，分析重大变化可能产生的风险；分析受审核方业务可能产生的业务风险和机遇，制定控制这些风险的措施。

 

不断变化的环境可能会带来新的风险，因此，应评价管理体系在不断变化的环境下建立和实现目标及有效应对风险和机遇的能力，包括相关措施的实施能力。

 

审核准则是确定合格的依据。可以考虑由受审核方确定所处环境及风险和机遇的信息（包括相关的外部和内部相关方要求）。

 

审核方案评审应考虑内部和外部因素分析，以及与审核方案有关的风险和机遇及其应对措施的有效性。

 

（5）信息沟通是风险管理的重要环节

 

信息沟通是有效实施风险管理的一个重要环节，风险相关的信息沟通的畅通、及时与否直接影响风险管理的效果，因此要确保所有相关部门和所有相关人员必须知悉涉及的风险和机遇。

 

审核在选择现场、远程或组合的方式进行时，应基于相关风险和机遇。为确保审核工作的有效策划，应向审核组长提供所识别的风险和机遇所需的全部信息，以实现风险管理目标。

 

通过识别相关的外部和内部因素，确定审核方案的风险和机遇，并予以记录。

 

与受审核方建立畅通的信息沟通渠道，深入了解受审核方的外部、内部环境、相关利益方、相关期望、关注点或涉及的风险领域。

 

 

 

 

（1）成文信息风险

 

成文信息评审应考虑受审核方组织所处的外部和内部环境，审核方组织的规模、性质和复杂程度与其风险有直接关系，规模越大、性质和复杂程度越高，其风险就越大，所以应在考虑审核范围、准则和目标的约束条件下，识别相关风险和机遇。

 

（2）采用基于风险的方法策划

 

审核组长应采用基于风险的方法来策划审核。

 

审核策划时，应通过外部因素和内部因素分析，识别审核活动可能对受审核方过程带来的风险，并制定降低风险的控制措施，将风险降低到可接受水平，以便有效地实现预期目标。

 

审核计划的详细程度应适应审核的范围和复杂程度，以及未实现审核目标的风险。审核策划时，审核组长应考：

 

审核组成员的能力及其整体能力；

 

抽样方案的合理性；

 

提高审核活动有效性和效率的机会；

 

由于无效的审核策划造成的实现审核目标的风险；

 

实施审核过程可能造成的受审核方的风险。

 

审核组成员的存在可能对受审核方的健康和安全、环境和质量及其产品、服务、人员或基础设施的安排产生不利影响，从而对受审核方造成风险(例如，审核组成员未穿静电防护服，对产品造成静电损伤；审核组成员徒手触碰精密产品对产品造成产品受损；审核组成员进洁净室前未进行风淋处理导致设施的污染等）。

 

（3）审核风险资源规划

 

审核策划应包括或涉及为拟审核的活动有关的风险和机遇配置适当的资源，包括人力、物力和财力资源。适当时，审核策划还应考虑为应对实现审核目标的风险和产生的机遇而采取的任何具体行动。

 

（4）审核组成员和观察员应知风险

 

审核组成员和观察员应了解和遵守关于特定地点的访问、健康和安全（危险源）、环境（环境防护）、安保、保密方面的风险，并熟知任何相关的风险及其应对措施，确保应对措施落实到位。

 

审核组成员应掌握全面识别由于审核组成员的到场而导致的组织风险因素，进行风险评估，制定和落实风险控制措施的审核方法。

 

（5）审核中的风险信息沟通

 

明确紧急的和重大的风险报告制度，即如果审核中收集的证据显示存在紧急的和重大的风险，应立即报告给受审核方，适当时向审核委托方报告。一般应在2小时之内报告。

 

任何新的或变化意味着不确定，即风险，因此在收集客观证据的过程中，审核组如果意识到任何新的或变化的情况，或风险或机遇，应相应地予以关注。分析这些任何新的或变化是否会带来新的风险以及对新的风险进行评价的等级和采取的措施。

 

可以根据组织所处的环境及其风险对不符合进行分级。这种分级可以是定量的（如1 至 5分），也可以是定性的（如轻微的、重要的、关键的、严重的、灾难的）。

 

审核结论信息应包括风险的识别以及受审核方为应对风险而采取的行动的有效性。

 

从审核中获得的经验教训就是识别风险的经验库，可以作为风险源库，因此可作为后续审核方案和受审核方识别风险和机遇时的重要参考。

 

审核本质上是一种抽样活动，抽样本身就具有不确定性，因此存在被查验的审核证据不具代表性的风险，在进行抽样时，应考虑抽样方案的合理性和风险。

 

 

 

 

审核员能力不足的风险主要包括：

 

未掌握拟审核的管理体系的复杂程度和过程；

 

未把握风险和机遇的类型和级别；

 

不清晰审核目标实现过程中的风险；

 

未能掌握和运用与审核有关的风险和机遇的识别和评估方法，未能掌握风险管理流程，未能掌握基于风险的审核方法的原则；

 

未能识别虚拟审核或远程审核活动所产生的风险。

 

 

 

 

抽样的风险是从总体中抽取的样本也许不具有代表性，即具有不确定性，因此可能导致审核员的结论出现偏差，与对总体进行全面检查的结果不一致。其他风险可能源于抽样总体内部的变异和所选择的抽样方法的不当。

 

 

 

 

风险和机遇管理可作为单项审核，其审核目标是：确认风险和机遇识别过程的信息客观、准确、全面和可信；确认了风险识别全面，管理到位；评审组织明确应对其所确定的风险和机遇的措施。

 

但是，不应将其作为孤立的活动来进行，应该体现在对管理体系的整个审核过程中，包括对最高管理者的访谈。此外，审核员应提供的客观证据。

 

组织用于确定其风险和机遇的输入，可包括：对外部和内部因素的分析；组织的战略方向；与特定领域的管理体系有关的相关方式（法律法规）以及他们的要求；风险的潜在来源，例如环境因素、安全危险源等。

 

评价风险和机遇的方法，不同领域和专业可能不同。ISO 31010 给出了31项风险评估技术，可以参考应用。

 

审核员需应用专业知识，识别风险和机遇，掌握风险评价准则和风险接受准则，知悉降低风险的管控措施。

 

 

 

结语

 

GB/T 19011-2021/ISO 19011：2018 《管理体系审核指南》与GB/T 19011-2013《管理体系审核指南》相比，基于风险的方法贯穿于标准的各个章节，突出了基于风险是管理体系审核实施的主线，在实施管理体系审核时，时刻以识别风险为抓手，通过系统地识别风险，对风险进行评估，制定并落实风险控制措施，最终实现管理体系审核的目标。