对业务部门的审核,要发掘业务活动中符合iso认证要求的做法
对业务部门的审核,要善于发掘业务活动中符合iso认证管理体系要求的做法
在具体业务部门审核时,要从受审核方专门准备的一些“贯标材料”中跳出来,善于从业务活动本身“发掘”审核证据,督促受审核方将iso认证管理体系要求与业务活动融合,例如:
在营销部门审核“8.2.3产品和服务要求的评审”时,应关注广告、投标文件和销售合同的实际管理情况,了解其发布前是否经过审批,审批的依据是什么,是否了解顾客潜在或明确的要求,是否能有效落实承诺的要求。有些受审核方,为了认证需要,合同签订后才填写“合同评审表”。对这种错误,审核员不能熟视无睹,应指出来。应通过审核沟通,使受审核部门了解顾客要求评审的本质要义是“应确保有能力向顾客提供满足要求的产品和服务”,并对此把关,把关的证据可以是在合同上的签字。
在生产服务提供部门审核“8.5.1生产和服务提供的控制”时,要深入现场,观察人、机、料、法、环、测的实际控制情况,核心是满足“受控条件”。证明受控的方式很多,包括实地观察的现象。要通过审核沟通,引导受审核方不应为了审核目的设计繁琐的“控制记录”,比如,有些组织数字化程度高,具有现场数控能力,有关“受控信息”自动生成,有些组织是粗放生产,关键控制参数很直观,这时,则不需要专门形成“控制记录”;又比如,对某些设备的管理,现场审核观察到设备状况良好,设备使用者熟悉设备维护和管理的“惯例”,还需要设备维修计划和维修记录吗?
在人力管理部门审核“7.2能力”时,要实际关注人员的胜任情况,以及为确保人员胜任所采取的措施。目前,有些组织为满足这一条款的审核需要,专门编制了针对性不强的培训计划,搞了一些培训记录。而事实上,他们每年都要开展员工考核,奖优罚劣、末位淘汰,新员工招聘也有相应的面试、笔试要求。审核员要对后面这类实际的活动保持敏感,将其作为审核证据收集。
在文档管理部门审核“7.5成文信息”时,要考虑受审核方的信息化、数字化程度和管理现状。当前,一些受审核方习惯于提供受控文件和记录清单,让审核员从清单中抽查几份文件和记录,看文件的编、审、批、分发、使用、更新控制和记录的归档、检索管理。在信息化、数字化程度高的组织,这种审核方法显然是不适宜的。在数字化场景中,应考虑大数据、云储存条件下成文信息管理的新形态,关注其管理是否能确保业务活动使用有效文件和记录。另外,应关注现场各类“临时性文件”的实际控制情况,避免“文件受控”流于形式。