审核概论系列 · 第2篇/共10篇审核7条原则——不是走过场是铁律违反任何一条审核结论都不可信。这7条原则是审核员的宪法 真实场景去年参加一家工厂的第三方审核到了末次会议受审核方的总经理拍桌子说你们审核员来之前也不提前说清楚要查什么到了现场东翻西翻这也算专业我当时心里一咯噱——他说的有道理因为我们确实没有充分告知审核范围。这让我反思审核原则不是挂在墙上的口号是每一步操作的底线。一、为什么审核原则这么重要GB/T 19011标准明确提出了审核的7条原则。这些原则不是建议不是参考而是审核员必须遵循的行为准则。说直白一点遵循这些原则 → 审核结论可信违反任何一条 → 审核结论不可信这7条原则也是审核员独立工作时在相似的情况下得出相似结论的前提。换句话说两个审核员去审核同一家工厂如果都遵循了这7条原则得出的结论应该基本一致。1诚实正直Integrity — the foundation of professionalism为什么重要这是所有原则的基础没有诚信其他都是空谈审核员的职业基础。审核中保持诚信、正直、保守秘密和谨慎。反面案例审核员发现受审核方的质量记录有造假嫌疑但考虑到双方关系nice一下只记录了轻微不符合。这就是违反诚实正直原则——审核发现必须如实记录和报告。实践中怎么做看到什么记什么不夸大也不缩小。即使发现了严重问题让受审核方不高兴也必须如实报告。2公正表达Fair presentation — the obligation to report truthfully and accurately为什么重要审核发现和结论必须真实、准确不能带个人偏见真实、准确地报告审核活动。审核发现、审核结论和审核报告应如实反映审核的实际情况。正确做法审核中发现5个不符合审核报告里就写5个不能因为考虑到给客户留面子而只写3个。同时也要报告正面发现——做得好的地方也要记下来。关键点不仅要报告问题也要报告遇到的重大障碍以及审核组和受审核方之间未解决的分歧。3职业素养Due professional care — the application of diligence and judgement in auditing为什么重要审核员要珍视自己的职责不能敷衍了事审核中勤奋并具有判断力。珍视审核任务的重要性以及审核委托方和其他相关方对自己的信任。常见问题有的审核员到现场就是走过场查几个文件拍拍屁股走人既不深入现场也不认真追踪。这违反了职业素养原则。职业素养体现在审核前认真准备研究受审核方背景、行业特点审核中保持专业判断不是机械地打勾审核后如实报告不隐瞒不夸大。4保密性Confidentiality — security of information为什么重要审核过程中会接触到大量商业机密和技术信息审慎使用和保护在审核活动中获得的信息。审核员会接触到受审核方的技术配方、工艺参数、财务数据、客户信息等敏感信息。反面案例审核员A在审核甲公司时了解到其新产品的技术参数后来审核乙公司时无意中透露了这个信息。这不仅是违反保密原则还可能承担法律责任。⚠️ 法律红线《认证认可条例》第八条明确规定从事认证认可活动的机构及其人员对其所知悉的国家秘密和商业秘密负有保密义务。5独立性Independence — the basis for the impartiality of the audit为什么重要独立性是审核公正性和结论客观性的基础审核员应独立于受审核的活动不带偏见没有利益冲突。审核发现和结论仅建立在审核证据的基础上。常见违规审核员审核自己曾任职的公司或者审核自己参与过咨询的企业的认证审核。这都违反独立性原则。独立性的三个层次个人独立审核员与受审核方没有利益关系组织独立认证机构与受审核方没有利益关联过程独立审核过程不受外部干扰6基于证据的方法Evidence-based approach — a rational method for reaching reliable conclusions为什么重要没有证据就没有发言权这是审核区别于拍脑袋的关键在一个系统的审核过程中得出可信的和可重现的审核结论的合理方法。审核证据必须是可证实的。正确做法审核员不能因为我感觉这个部门管理不好就开不符合单必须有证据——比如查到3份记录中2份签字不完整、1份数据明显错误。证据的3个特征可证实别人按照你的方法也能查到同样的证据可重查记录清楚时间、地点、人物事后能追溯与准则相关证据必须与审核准则有直接关系7基于风险的方法Risk-based approach — considering risks and opportunities为什么重要审核资源有限要把好钢用在刀刃上考虑风险和机遇的审核方法。在有限的审核时间内应该把更多资源分配给风险更高、绩效更低的过程和区域。实际应用审核一家食品厂食品安全控制点是高风险区域应该花更多时间审核HACCP计划、关键控制点监控、微生物检测等而不是花大量时间审核行政管理制度。风险思维贯穿审核全过程审核方案策划时评估受审核方的风险等级编制审核计划时高风险过程分配更多审核时间现场审核时重点关注高风险区域的关键控制审核结论时考虑风险对体系有效性的影响二、7条原则之间的关系这7条原则不是孤立的它们构成了一个完整的逻辑体系原则之间的逻辑关系基础层如果这一层崩了其他都没意义→ 诚实正直 独立性 — 这两条是根基方法层决定了审核怎么做→ 基于证据的方法 基于风险的方法 — 这是审核的技术路线态度层决定了审核做得好不好→ 职业素养 公正表达 保密性 — 这是审核员的专业表现三、3个行动建议 读完本文你可以做3件事自检清单下次审核前对照7条原则逐一自查——我是否与受审核方有利益冲突我的审核计划是否考虑了风险我的审核证据是否可追溯观察前辈留意身边经验丰富的审核员是怎么做的——他们一定不是机械地打勾而是在看体系、找证据、做评价坚持原则当面临压力比如受审核方要求手下留情时想想这7条原则守住底线下一篇预告审核方案怎么管一张图看懂PDCA闭环审核方案不是排个日程表那么简单它是一个完整的PDCA管理系统审核概论系列 · 基于CCAA《审核概论》教材用说人话的方式讲清楚审核的底层逻辑