📋 审核概论系列 · 第2篇/共10篇
审核7条原则——不是走过场,是铁律
违反任何一条,审核结论都不可信。这7条原则是审核员的"宪法"
📊 真实场景:去年参加一家工厂的第三方审核,到了末次会议,受审核方的总经理拍桌子说:"你们审核员来之前也不提前说清楚要查什么,到了现场东翻西翻,这也算专业?"我当时心里一咯噱——他说的有道理,因为我们确实没有充分告知审核范围。这让我反思:审核原则不是挂在墙上的口号,是每一步操作的底线。
一、为什么审核原则这么重要?
GB/T 19011标准明确提出了审核的7条原则。这些原则不是建议,不是参考,而是审核员必须遵循的行为准则。
说直白一点:
- 遵循这些原则 → 审核结论可信
- 违反任何一条 → 审核结论不可信
这7条原则也是审核员"独立工作时,在相似的情况下得出相似结论"的前提。换句话说,两个审核员去审核同一家工厂,如果都遵循了这7条原则,得出的结论应该基本一致。
1
诚实正直
Integrity — the foundation of professionalism
为什么重要:这是所有原则的基础,没有诚信,其他都是空谈
审核员的职业基础。审核中保持诚信、正直、保守秘密和谨慎。
反面案例:审核员发现受审核方的质量记录有造假嫌疑,但考虑到双方关系"nice"一下,只记录了轻微不符合。这就是违反诚实正直原则——审核发现必须如实记录和报告。
实践中怎么做:看到什么记什么,不夸大也不缩小。即使发现了严重问题让受审核方不高兴,也必须如实报告。
2
公正表达
Fair presentation — the obligation to report truthfully and accurately
为什么重要:审核发现和结论必须真实、准确,不能带个人偏见
真实、准确地报告审核活动。审核发现、审核结论和审核报告应如实反映审核的实际情况。
正确做法:审核中发现5个不符合,审核报告里就写5个,不能因为考虑到"给客户留面子"而只写3个。同时也要报告正面发现——做得好的地方也要记下来。
关键点:不仅要报告问题,也要报告遇到的重大障碍,以及审核组和受审核方之间未解决的分歧。
3
职业素养
Due professional care — the application of diligence and judgement in auditing
为什么重要:审核员要珍视自己的职责,不能敷衍了事
审核中勤奋并具有判断力。珍视审核任务的重要性,以及审核委托方和其他相关方对自己的信任。
常见问题:有的审核员到现场就是"走过场",查几个文件拍拍屁股走人,既不深入现场也不认真追踪。这违反了职业素养原则。
职业素养体现在:审核前认真准备(研究受审核方背景、行业特点),审核中保持专业判断(不是机械地打勾),审核后如实报告(不隐瞒不夸大)。
4
保密性
Confidentiality — security of information
为什么重要:审核过程中会接触到大量商业机密和技术信息
审慎使用和保护在审核活动中获得的信息。审核员会接触到受审核方的技术配方、工艺参数、财务数据、客户信息等敏感信息。
反面案例:审核员A在审核甲公司时了解到其新产品的技术参数,后来审核乙公司时"无意中"透露了这个信息。这不仅是违反保密原则,还可能承担法律责任。
⚠️ 法律红线
《认证认可条例》第八条明确规定:从事认证认可活动的机构及其人员,对其所知悉的国家秘密和商业秘密负有保密义务。
5
独立性
Independence — the basis for the impartiality of the audit
为什么重要:独立性是审核公正性和结论客观性的基础
审核员应独立于受审核的活动,不带偏见,没有利益冲突。审核发现和结论仅建立在审核证据的基础上。
常见违规:审核员审核自己曾任职的公司,或者审核自己参与过咨询的企业的认证审核。这都违反独立性原则。
独立性的三个层次:
- 个人独立:审核员与受审核方没有利益关系
- 组织独立:认证机构与受审核方没有利益关联
- 过程独立:审核过程不受外部干扰
6
基于证据的方法
Evidence-based approach — a rational method for reaching reliable conclusions
为什么重要:没有证据就没有发言权,这是审核区别于"拍脑袋"的关键
在一个系统的审核过程中,得出可信的和可重现的审核结论的合理方法。审核证据必须是可证实的。
正确做法:审核员不能因为"我感觉这个部门管理不好"就开不符合单,必须有证据——比如查到3份记录中2份签字不完整、1份数据明显错误。
证据的3个特征:
- 可证实:别人按照你的方法也能查到同样的证据
- 可重查:记录清楚时间、地点、人物,事后能追溯
- 与准则相关:证据必须与审核准则有直接关系
7
基于风险的方法
Risk-based approach — considering risks and opportunities
为什么重要:审核资源有限,要把好钢用在刀刃上
考虑风险和机遇的审核方法。在有限的审核时间内,应该把更多资源分配给风险更高、绩效更低的过程和区域。
实际应用:审核一家食品厂,食品安全控制点是高风险区域,应该花更多时间审核HACCP计划、关键控制点监控、微生物检测等,而不是花大量时间审核行政管理制度。
风险思维贯穿审核全过程:
- 审核方案策划时:评估受审核方的风险等级
- 编制审核计划时:高风险过程分配更多审核时间
- 现场审核时:重点关注高风险区域的关键控制
- 审核结论时:考虑风险对体系有效性的影响
二、7条原则之间的关系
这7条原则不是孤立的,它们构成了一个完整的逻辑体系:
🔗原则之间的逻辑关系
基础层(如果这一层崩了,其他都没意义):
→ 诚实正直 + 独立性 — 这两条是根基
方法层(决定了审核"怎么做"):
→ 基于证据的方法 + 基于风险的方法 — 这是审核的技术路线
态度层(决定了审核"做得好不好"):
→ 职业素养 + 公正表达 + 保密性 — 这是审核员的专业表现
三、3个行动建议
🎯 读完本文你可以做3件事
- 自检清单:下次审核前,对照7条原则逐一自查——我是否与受审核方有利益冲突?我的审核计划是否考虑了风险?我的审核证据是否可追溯?
- 观察前辈:留意身边经验丰富的审核员是怎么做的——他们一定不是机械地打勾,而是在"看体系、找证据、做评价"
- 坚持原则:当面临压力(比如受审核方要求"手下留情")时,想想这7条原则,守住底线
下一篇预告
审核方案怎么管?一张图看懂PDCA闭环
审核方案不是"排个日程表"那么简单,它是一个完整的PDCA管理系统
审核概论系列 · 基于CCAA《审核概论》教材
用"说人话"的方式讲清楚审核的底层逻辑
)
