着力于现场审核，严控认证无效的风险

1.选择合格的审核组长

要使审核组作为一个团队开展有效和高效的现场审核，避免审核无效的风险，首先是要选择一位具备足够能力的审核员担任审核组长。一个合格的审核组长应具备以下能力：

（1）根据每个审核组成员的具体能力策划审核工作，并分配审核任务；

（2）与受审核方的最高管理者讨论战略问题，以确定他们在评价风险和机遇时是否考虑过这些问题；

（3）具备足够的管理审核过程的能力，在审核中能有效地利用和调整资源，有效管控审核目标实现过程中的不确定性；

（4）具有管理权威，能够指挥审核组成员；

（5）预防和解决审核期间可能发生的冲突和问题，包括审核组内部的冲突和问题；

（6）代表审核组与审核方案管理人员、审核委托方和受审核方进行沟通的能力；

（6）带领审核组与各方达成审核结论的能力，包括可能的不通过审核的结论。

在过往的审核中，我们发现，一个不合格的审核组长，如果不能总体上把控整个的现场审核，往往会出现以下情况：

（1）组长能力不够或缺乏领导力，由此而表现出不自信，甚至对一些审核员的不恰当言行都不敢管，掌控不了审核组；

（2）在主持首末次会议时，该说的没说或没说到位，致使受审核方不理解，缺乏有效的审核配合，进而影响到审核目标的实现，或审核结果、发现问题阐述不清，导致受审核方不清楚如何对审核发现的问题加以整改，为后续的问题跟踪留下隐患；

（3）审核信息不能通过有效的评审而得到增值，组长只知道闷头编写审核报告，审核组内部的沟通、讨论会形同虚设，开会不讨论甚至不开会。这样的审核总结，势必造成盲人摸象的后果，不同的审核员得出的审核证据与信息相互矛盾，无法对受审核方的管理体系得出客观的评价，因而也无法做出客观、公正的审核结论。

2.审核证据的获得及其验证

只有经过某种程度验证的信息才能被接受为审核证据。在验证程度较低的情况下，风险也就随之而来了，这时，审核员应运用其专业判断来确定可将其作为证据的可信度，以有效降低风险。审核组应记录足够的审核证据以支持审核发现。在收集客观证据的过程中，如果有任何新的或变化的情况，无论风险或机遇，审核组应敏锐感知并予以关注。

审核员应考虑信息是否提供了充足的客观证据来证实认证标准的要求已得到满足。信息可能存在以下风险问题：

（1）不够完整（成文信息中不能包含所有期望的内容），如果信息的提供方式不同于预期（例如，由不同的个人或替代媒介提供），则应评估证据的完整性；

（2）不正确（内容不符合标准和法规等其他可靠来源）；

（3）不一致（成文信息本身以及与相关文件不一致）；

（4）不是现行有效的（内容不是最新的）。

3.审核的抽样

现场审核时，收集信息的方法包括访谈、观察和成文信息的评审等。但是，由于受审核方日常管理运行留下的信息量是巨大的，我们不可能检查所有可获得的信息，因此，现场审核的过程也是一个抽样检查的过程。当受审核方的记录太过庞大或地域分布太过分散，以至于无法对每个项目进行检查时，我们还需分层进行抽样，这时，抽样的风险是：从总体中抽取的样本也许不具有代表性，从而可能导致审核员的结论出现偏差，与对总体进行全面检查的结果不一致。因此，抽样时，我们应充分考虑可用数据的质量，因为抽样数量不足或数据不准确将不能提供有用的结果。应根据抽样方法和所要求的数据类型选择适当的样本。

典型的审核抽样包括以下步骤：

（1）明确抽样方案的目标；

（2）选择抽样总体的范围和组成；

（3）选择抽样方法；

（4）确定样本量；

（5）进行抽样；

（6）收集信息、评价和报告结果并形成文件。

4.开具不符合报告

应对审核证据进行评审以确定审核发现。审核发现包括符合项与不符合项。当对照认证依据的标准条款发现了不符合项时，审核员应记录不符合及支持不符合的审核证据，开具不符合报告，责成受审核方通过原因分析、举一反三地采取纠正措施，避免同类的问题今后重复发生，这是认证机构、审核组有效降低认证风险的重要手段，包括对受审核方在守法方面的不符合，也应开具不符合报告，在发证前控制其违法的风险。

可以根据组织所处的环境及其风险对不符合进行分级。这种分级可以是定量的（如打分法），也可以是定性的（如分成轻微不符合与严重不符合两种类型）。审核组可与受审核方一起评审不符合，以确认审核发现是准确的，并使受审核方理解不符合，厘清对不符合整改的思路。

有些审核员受各种因素的干扰或压力，往往喜欢把明显的不符合项问题口头向受审核方交流而不开不符合报告，为认证埋下了隐患与风险。开具不符合报告至少有两方面的重要意义：一是纠正，它能通过对不符合项的纠正来控制不符合问题本身的风险；二是纠正措施，能防止受审核方在今后的管理、运行中出现重复的错误，控制了认证带来的风险。

5.强化合规性审核

获证方能否遵守法律法规，这是认证机构应守护的认证底线，也是认证机构应坚守的社会责任。一方面，受审核方由于这样那样的历史原因，可能会存在一些违法违规的历史遗留问题；另一方面，少数受审核方不重视守法、合规，不注意及时收集、吸收不断更新的相关法规，也会导致其管理上出现可能的违法违规后果。因此，现场审核时，要始终关注并强化对受审核方合规性的审核。合规性审核应至少从以下几方面控制风险：

（1）现场核实其行政许可等相关资质（第一阶段审核时），虽然在认证申请阶段受审核方提供了一些行政许可资质、合规性的基本信息，但信息的真实性以及地方法规要求，需要审核组现场核实，如企业的生产许可证（指实施生产许可证的行业，如水泥行业）、环评与环保验收证据、采矿许可证与矿山安全生产许可证；

（2）认证范围与营业执照范围或行政许可范围的相容性；

（3）新、改、扩项目的环保等手续；

（4）环保监测、安全监测、安全设施的监测、职业场所有害物监测、职业病体检等；

（5）企业自身开展的合规性评价的有效性。

与此同时，审核组还应审核并评估受审核方是否具备以下合规性管理过程：

（1）识别其法律法规要求及其承诺的其它要求；

（2）管理其活动、产品和服务，以实现对这些要求的合规；

（3）评价其合规状况；

（4）有能胜任的人员管理其合规过程；

（5）根据监管方或其他相关方的要求，保持并提供关于其合规状况的适当的成文信息；

（6）在内部审核中包括了合规要求；

（7）应对任何不合规事件；

（8）在管理评审中考虑其合规绩效。

节选：《中国认证认可》杂志 2022年第10期