|
审核对象 |
审核主要内容 |
证据及形式 |
|
战略层 (高层) |
1.组织的基本情况、历史沿革、发展定位(产品、客户、人员、管理、供应商),匹配程度,考虑因素 |
交谈、网站宣传、年度工作报告 |
|
2.组织的战略规划、长、中、短期计划、经营目标,如何形成的,基于什么提出的,战略落地的方式方法有哪些?如何实施的?进展到何种程度,可结合pest分析进行,相应的风险和机遇是什么?措施有哪些? |
交谈、规划文件、战略报告、网站宣传、年度工作报告、企业报刊 |
|
|
3.产品结构、定位、目标市场的考虑,包括竞争对手的情况了解,信息如何得到?相应的风险和机遇是什么?措施有哪些? |
交谈、相关会议、项目纪要 |
|
|
4.新技术新工艺新理念新方法的了解和认识,信息如何得到?相应的风险和机遇是什么?措施有哪些? |
交谈、制度、流程、通报等 |
|
|
5.组织架构及流程、职能 |
交谈、制度查阅 |
|
|
6.资源配置情况:(swot分析的思路)、包括设备设施的投资思路、人才培养与引进的考虑因素等,相应的风险和机遇是什么?措施有哪些? |
交谈、查看 |
|
|
7.组织的经营目标、经营效益、年度绩效统计等绩效结果 |
财务统计报表、年度工作报告、看板、网站、管理评审 |
|
|
8.组织整体的优势与不足,企业发展的机会与威胁有哪些?是否有应对的思路和举措 |
交谈 |
|
|
执行层 (中层和基层) |
1.确定核心业务过程和部门,如营销、技术、采购、生产等 |
判断 |
|
2.与部门负责人交流,了解公司战略下的核心业务战略,如:营销部门的公司市场战略及目标顾客群体的识别确定,技术部门的公司的产品战略、设计开发理念、竞争对手状况等 |
交流、业务流程报告、工作总结、数据统计 |
|
|
3.与部门核心业务过程相关的内外部影响的因素有哪些,信息获取的渠道是什么,信息如何用于核心业务的,相应的风险和机遇是什么?措施有哪些? |
交流、规章制度、信息记录等 |
|
|
4.部门的职责、工作流程、相关制度是否支持部门(过程)战略、公司战略,识别的相应的风险和机遇采取的措施如何实施? |
综合判断 |
|
|
5.了解核心业务的主要项目有哪些,如新产品开发、市场调研、设备设施技改、管理创新、工艺改进等 |
交谈 |
|
|
6.查看交流工作流程、作业要求,就项目而言,是否要求必要的内外部影响在项目中得到考虑和实施,是否识别了具体的项目涉及的相应的风险和机遇是什么?措施有哪些? |
查看制度、交流,纪要、相关记录 |
|
|
7.抽查具体的实施项目,如新产品开发,是否有类似竞争对手产品分析、外部市场分析、预测等,工艺改进、设备引进是否有国内国际同行业的对比。可运用五力分析、pest分析技术指导审核,查看相应的风险和机遇是什么?措施有哪些?但企业不一定使用。 |
交谈、查看可行性报告、分析报告、申请书等企业实施资料 |
2. 4.2相关方需求和期望及6.1应对风险和机遇的措施审核思路
|
审核对象 |
审核主要内容 |
证据及形式 |
|
战略层 (高层) |
1.公司的相关方主要有哪些 |
交流,判断 |
|
2.高层重点关注的相关方是谁?(银行;行政部门如土地、税务、发改、财政等;大客户;关键供应商;公司核心人才等) |
交流,判断 |
|
|
3.通过何种形式和分工了解重要相关方的要求:如走访、供应商大会、客户分类、私人聚会、商务交流、股权、高薪等 |
交流 |
|
|
4.重要相关方需求满足的总体状况如何,从业绩上加以反应。 |
交流,财务报表、工作总结等 |
|
|
5.重要相关方需求是否充分满足?涉及到何种风险和机遇?制动何种措施?如何在体系中实施? |
交流,财务报表、工作总结等 |
|
|
执行层 (中层和基层) |
1.根据组织识别的重要相关方明确涉及的核心业务过程和部门(如营销部、售后服务部、人力资源部、供应部、办公室等) |
交流与判断 |
|
2.主要流程涉及的相关方是否按重要程度划分,如客户:大客户,目标客户群,一般客户,供应商:核心、紧密;员工:核心、关键、等 |
交流、制度、档案、报告等 |
|
|
3.通过什么形式和渠道与重要相关方交流沟通,以了解其要求。不同结构、文化的企业有不同的形式。 |
多种证据,如客户走访报告、员工需求调查表、供应商反馈、定期会议沟通制度、决定等 |
|
|
4.采取什么措施来满足其要求,自我评价重要相关方满足其要求的程度如何?核心业务的风险和机遇有什么?如何形成的?是否有对策? |
交流 |
|
|
5-1营销部门:目标顾客需求分析、市场预测与分析、大客户需求分析,重点客户合同评审、招投标评审,在具体流程中对顾客要求的相关风险和机遇的识别控制和有效性 |
需求分析报告、走访报告、交谈 |
|
|
5-2供应部门:重要供应商有哪些,是否按策划的要求对其要求进行识别和获得,如何实施的,效果如何? 在具体流程中对相关方要求的相关风险和机遇的识别控制和有效性 |
管理办法、走访报告、反馈信息、总结报告、供应量等数据等 |
|
|
5-3人员管理部门:是否按策划的要求对员工要求进行识别和获得,如何实施的,效果如何? 在具体流程中对员工要求的相关风险和机遇的识别控制和有效性 |
(人员岗位设置、重点人员需求调查、员工满意度,流失率 |
|
|
5-4技术部门:国家、法规行业要求,国内外同行业竞争情况、市场开发与顾客反馈,产品的更新换代及技术的先进性等要求的识别和引用 在具体流程中对产品、市场、法规等要求的相关风险和机遇的识别控制和有效性 |
可行性报告、策划书、项目任务书等 |
|
|
5-5其他:政府部门:是否按策划的要求对其要求进行识别和获得,如何实施的,效果如何,如法规的履行情况,在具体流程中对政府及社会要求的相关风险和机遇的识别控制和有效性 |
交流、网站、奖励等 |
对于“6.1应对风险和机遇的措施”的审核,不能就风险审核风险,需要结合具体的核心业务和过程进行,重点是看企业是否将机遇风险的思维融入到了各项核心业务之中。因此在编制检查表时,将“基于风险的思维方式”应用到对4.1和4.2 的各层级审核取证之中,最终形成一个全面、系统的对6.1条款的审核发现。如果企业按照ISO31000标准导入了风险管理体系,那审核证据相对会丰富一些,可适当引导,但不能强制企业按ISO31000实施。