歡迎訪問:晟尚集團(tuán)ISO27001ISO體系認(rèn)證網(wǎng)
當(dāng)前位置:關(guān)于我們> 常見問題>

ISO27001體系審核常見問題及應(yīng)對(duì)策略

發(fā)布日期:2022-05-27 瀏覽次數(shù):0

   ISO27001體系審核中經(jīng)常會(huì)遇到以下幾類問題:一是比葫蘆畫瓢從其他企業(yè)照搬照抄,造成文件不接地氣的問題;二是廠房或車間硬件設(shè)施先天不足,從根本上不符合標(biāo)準(zhǔn)要求的問題;三是審核中,對(duì)方為應(yīng)付文審和現(xiàn)場(chǎng)審核,所進(jìn)行的書面造假;四是最高管理者對(duì)質(zhì)量體系不重視、對(duì)體系要求、具體內(nèi)容不了解的問題等等。


    每每遇到這些問題,面對(duì)相關(guān)人員的種種理由,外部審核員往往心知肚明但又不便一語道破,企業(yè)內(nèi)審員卻因公司的種種客觀原因又無可奈何,被審核方各級(jí)人員又為能通過審核而費(fèi)盡心機(jī)。如何面對(duì)審核中遇到的這幾類問題,下面談一些看法。

1比葫蘆畫瓢、克隆文件


    一些企業(yè)在初建體系時(shí),常常借助咨詢機(jī)構(gòu)推薦的文件樣本,或者從其他公司借閱的模本,擬訂自己的質(zhì)量文件,這些企業(yè)有的能結(jié)合自身實(shí)際,參照別人的文件制訂屬于本公司的文件,經(jīng)反復(fù)修改、試行、驗(yàn)證后執(zhí)行,這種模式當(dāng)然無可厚非;但個(gè)別企業(yè)卻是在有了這些方便條件下,照搬照抄、簡單克隆,甚至將別人的電子文本簡單進(jìn)行名稱、崗位的“替換”就成了自己的文件,以至于在其后的培訓(xùn)貫標(biāo)時(shí),文件編制者根本就不明白一些段落的真正含義。這類文件,往往脫離企業(yè)實(shí)際,文件不具操作性、適應(yīng)性,這樣的體系即便最終通過了所謂認(rèn)證審核,對(duì)公司的質(zhì)量管理也起不了多大促進(jìn)作用。

應(yīng)對(duì)策略:

    作為審核員,一旦發(fā)現(xiàn)這類問題應(yīng)中止審核,并引導(dǎo)企業(yè)端正認(rèn)識(shí),認(rèn)識(shí)到體系標(biāo)準(zhǔn)對(duì)企業(yè)管理的建設(shè)性和突破性,體系文件要全面返工,審核員在此后審核中,要將文件與標(biāo)準(zhǔn)的符合性、貫標(biāo)培訓(xùn)過程材料及培訓(xùn)效果驗(yàn)證、文件的實(shí)用性、有效性作為審核重點(diǎn)。要將這些問題作為內(nèi)審、管理評(píng)審輸出的重點(diǎn)向最高管理者進(jìn)行反映,讓領(lǐng)導(dǎo)意識(shí)到公司體系的建立從認(rèn)識(shí)上、方法上、方向上存在偏差,上層領(lǐng)導(dǎo)需予以關(guān)注。

    作為ISO27001公司體系主管部門,這類問題是大多數(shù)公司建立體系之初最容易出現(xiàn)的問題,必須從方法上對(duì)各部門、流程各環(huán)節(jié)進(jìn)行引導(dǎo),確保文件能夠充分體現(xiàn)標(biāo)準(zhǔn)要求、體現(xiàn)管理者訴求、體現(xiàn)質(zhì)量管理的客觀要求,對(duì)作業(yè)指導(dǎo)書必須體現(xiàn)操作性,必要時(shí)文件編制人員要親自到作業(yè)現(xiàn)場(chǎng)按實(shí)際操作進(jìn)行同步描述,確保文件的可操作性、實(shí)用有效性。

2硬件不足、得過且過


    認(rèn)證標(biāo)準(zhǔn)是對(duì)企業(yè)通過認(rèn)證的基本要求。企業(yè)認(rèn)證時(shí),大型企業(yè)、新型企業(yè)硬件方面的問題一般較少,但一些小個(gè)體企業(yè)、原國有改制企業(yè)或者從個(gè)人小作坊轉(zhuǎn)化而來的民營小企業(yè),公司因取證、換證或強(qiáng)制性標(biāo)識(shí)資質(zhì)審查時(shí)要符合相關(guān)法規(guī)標(biāo)準(zhǔn)要求,而由于從前期規(guī)模小、不規(guī)范背景下發(fā)展過來存在認(rèn)識(shí)上的盲點(diǎn),因此企業(yè)在發(fā)展中對(duì)硬件沒有做到同步投入,廠房簡陋,比如做食品的根本沒有什么一更二更,根本不具備更衣、消毒、溫控、檢測(cè)等條件,廠區(qū)所處位置不合理,企業(yè)存在的先天不足從根本上限制了進(jìn)一步改造能夠達(dá)標(biāo)的可能性,作為認(rèn)證機(jī)構(gòu),必須有企業(yè)可通行認(rèn)證的底線,有些典型企業(yè)是不能進(jìn)行認(rèn)證和通過審核的。

應(yīng)對(duì)策略:

    對(duì)于審核員來說,當(dāng)企業(yè)不具備硬件條件時(shí),要分清這類企業(yè)是否具備改造的條件,有些工廠在硬件上先天缺陷,比如廠區(qū)靠近污染源、廠房格局或建筑材料不具備改造條件,可能這些企業(yè)即便改造從根本上仍達(dá)不到認(rèn)證要求,這種條件下,作為審核員要在第一時(shí)間告知企業(yè)其存在局限性,要及時(shí)做出不宜認(rèn)證的告知工作。但如果企業(yè)經(jīng)過一定投入可以進(jìn)行符合性改造,那么作為認(rèn)證人員可以從技術(shù)上提供某些指導(dǎo),建議其在咨詢公司的具體指導(dǎo)下,本著投資小、但改造后須滿足質(zhì)量要求的雙重原則,由企業(yè)在有限的時(shí)間內(nèi)進(jìn)行改造投入。

    當(dāng)公司硬件不符合認(rèn)證要求時(shí),作為公司人員,要認(rèn)識(shí)到認(rèn)證不是目的,作為一個(gè)企業(yè),生產(chǎn)符合質(zhì)量標(biāo)準(zhǔn)的產(chǎn)品是市場(chǎng)競(jìng)爭的基本法則、是企業(yè)生存的道德準(zhǔn)則、是履行社會(huì)責(zé)任,企業(yè)要做的,就是必須在符合質(zhì)量認(rèn)證標(biāo)準(zhǔn)前提下,如何最節(jié)約、最高效地實(shí)施改造,以滿足認(rèn)證所要求的所有標(biāo)準(zhǔn)條件。

3勞民傷財(cái)、文件造假


    文件造假一般發(fā)生在體系運(yùn)行階段,這些造假,一是按標(biāo)準(zhǔn)要求必須制訂程序但實(shí)際沒有制訂文件,審核要求提供時(shí),臨時(shí)抱佛腳炮制出的文件,二是運(yùn)行中為避免外部審核時(shí)發(fā)現(xiàn)系統(tǒng)問題,單獨(dú)做一套假記錄應(yīng)付審核,整套記錄與實(shí)際生產(chǎn)根本不關(guān)聯(lián),全是體系員、車間統(tǒng)計(jì)或兼職人員臨時(shí)加班補(bǔ)做的記錄,三是購進(jìn)商品時(shí)進(jìn)貨資質(zhì)把關(guān)不嚴(yán),因圖價(jià)格便宜或因生產(chǎn)急用或因監(jiān)督把關(guān)不到位,存在資質(zhì)材料不全甚至缺失,為滿足審核臨時(shí)造假復(fù)制,四是個(gè)別環(huán)節(jié)存在項(xiàng)目缺失,如水質(zhì)檢驗(yàn)、環(huán)境監(jiān)測(cè)、產(chǎn)品化驗(yàn)等,平時(shí)硬件不具備或檢驗(yàn)崗位人員空缺,因?qū)徍诵枰R時(shí)造假,五是按體系文件、公司管理應(yīng)該保持但在實(shí)際工作中盡職不到位,造成文件更新不及時(shí)、記錄不及時(shí)或記錄缺失等違規(guī)現(xiàn)象。

應(yīng)對(duì)策略: 

    作為審核員,審核一個(gè)公司的記錄是否全方位做假,一個(gè)最有效的辦法就是通過先了解公司基本情況、產(chǎn)銷、盈利情況,從財(cái)務(wù)報(bào)表通過逆向模式,了解其真實(shí)的原料投入、半成品、成品等業(yè)務(wù)流量;審核索證記錄是通過與供方直接電話溝通了解操作模式;審核其三級(jí)文件真實(shí)性時(shí)可以通過查驗(yàn)其發(fā)放范圍,從操作者對(duì)該文件的是否了解取得可靠信息;查驗(yàn)其化驗(yàn)方面的工作是否運(yùn)行,可以通過其審核期化驗(yàn)藥品的消耗記錄、當(dāng)事人詢問記錄與現(xiàn)場(chǎng)抽檢結(jié)果的對(duì)比等措施進(jìn)行有效驗(yàn)證。

    對(duì)內(nèi)審員來說,要想避免文件、記錄造假問題,首先要讓公司高管對(duì)質(zhì)量體系的作用有一個(gè)正確的認(rèn)識(shí),在iso27001iso9001:2015體系七項(xiàng)管理原則中,除“以顧客為在關(guān)注焦點(diǎn)”作為質(zhì)量管理的首項(xiàng)原則以引導(dǎo)企業(yè)對(duì)消費(fèi)者的關(guān)注,緊接著就是“領(lǐng)導(dǎo)作用”,說明領(lǐng)導(dǎo)在企業(yè)質(zhì)量管理中的決定性作用,也說明領(lǐng)導(dǎo)端正對(duì)體系作用的認(rèn)識(shí)對(duì)于體系能否有效運(yùn)行的關(guān)鍵所在;其次作為企業(yè)內(nèi)部,應(yīng)該堅(jiān)持體系做實(shí)原則。有些企業(yè)對(duì)是否要把真實(shí)的記錄拿來作為審核對(duì)象存在錯(cuò)誤認(rèn)識(shí),認(rèn)為一旦發(fā)現(xiàn)記錄的真實(shí)問題,會(huì)因?qū)栴}是否進(jìn)行了糾正、是否有糾正措施和糾正結(jié)果驗(yàn)證而進(jìn)一步暴露出管理深層次的問題,其實(shí)這才是企業(yè)為什么沒有做好產(chǎn)品質(zhì)量的深層原因。因此質(zhì)量體系一旦建立,必須運(yùn)行,這體現(xiàn)公司最高管理者對(duì)質(zhì)量工作是否真重視,更是公司各級(jí)人員執(zhí)行力的體現(xiàn)。

4外行決策、資源不足


    近年來,ISO27001質(zhì)量管理(QMS)、ISO27001環(huán)境管理(EMS)、ISO27001職業(yè)健康安全(OHSAS)、ISO27001食品安全管理(FSMS)等體系標(biāo)準(zhǔn)作為系統(tǒng)的、專業(yè)的管理工具,正為越來越多的企業(yè)所應(yīng)用與認(rèn)可。目前企業(yè)的許多系統(tǒng)管理思想、管理工具,都是借由認(rèn)證這一途徑進(jìn)入企業(yè),為很多企業(yè)建立現(xiàn)代管理制度、更好參與競(jìng)爭、行業(yè)申報(bào)發(fā)揮積極作用。但目前質(zhì)量體系在一些企業(yè)不能實(shí)現(xiàn)功能最大化的主要原因就是公司高層領(lǐng)導(dǎo)對(duì)體系的認(rèn)識(shí)和態(tài)度問題。

應(yīng)對(duì)策略:

    對(duì)非這方面專業(yè)人士的企業(yè)決策者來說,接觸體系標(biāo)準(zhǔn)時(shí)感覺其抽象繁瑣,因此對(duì)一些方法的引入心有芥蒂。要想得到?jīng)Q策層的認(rèn)可和支持,一個(gè)最有效的途徑就是開始試行時(shí)要發(fā)揮出這些工具的實(shí)用功能,首先我們自己要克服形式主義、為使用而使用,要通過這些科學(xué)方法的應(yīng)用,使工作實(shí)現(xiàn)一個(gè)突進(jìn),使管理有一個(gè)大的提升,使上層管理者意識(shí)到,企業(yè)經(jīng)營管理的提升,必須靠創(chuàng)新、靠先進(jìn)方法的引入,“方法大于努力”,只有用最先進(jìn)的方法去解決問題,才能事半功倍。

    任何一個(gè)公司的體系要想實(shí)現(xiàn)良好運(yùn)行,最高管理者必須意識(shí)到,一要針對(duì)體系建設(shè)與運(yùn)行必須投入必要的資源,包括人力、物力、財(cái)力,二是做內(nèi)行管理,關(guān)注體系標(biāo)準(zhǔn),真正認(rèn)識(shí)體系的有效功能,支持、配合相關(guān)人員推進(jìn)工作,三是對(duì)體系主管部門、體系管理員進(jìn)行充分授權(quán),要求各級(jí)人員支持配合,四是要把體系文件作為公司唯一的有效文件,避免另行執(zhí)行文件,出現(xiàn)“兩張皮”,作為公司層面,要認(rèn)真安排內(nèi)審、管理評(píng)審,使各項(xiàng)工作貫穿于體系中,通過體系的系統(tǒng)思想,舉一反三,將最有效的管理體現(xiàn)在公司的各個(gè)層面。