有時候客戶在言談之間,會不時顯露對稽核員、認證公司的畏懼、敬畏;瞭解之後發現,是部分稽核員在過程中讓客戶感到惶恐、擔心、態度咄咄逼人,彷彿不著邊際什麼都會被問到。
甚至還有客戶看了我們之前的影片,問到要怎麼區分人才和猴子。
這邊我順便分享最近公司徵才的一些經驗來拆解問題所在。
最近公司面試了幾名稽核員,大多來自其他驗證公司,一見面就滔滔不絕的展現自己的學經歷背景、對應徵的ISO標準有多瞭解等等。
但每當我們問到,稽核報告要寫什麼,能否不提供給客戶? 什麼是不符合(conformity),能不能舉個例子?
往往得到的答案,都跟他的學經歷、證書履歷對不起來!
本公司對稽核員的基本要求,就是至少要能弄清楚:
稽核報告寫什麼?
稽核報告必須提供給客戶!
報告內容必須根據稽核活動所蒐集到的稽核發現,對ISO條文要求做出逐項的判斷(符合/conformity;不符合/non conformity),並據此做出稽核結論。
什麼是稽核發現(audit findings)?
即與稽核準則(audit criteria)有關的一切訊息、證據,而根據這些資訊、證據,稽核員可以做出符合(conformity)、不符合(nonconformity)、改進機會(opportunities for improvement)、優良實務(good practices)等判斷;比如稽核發現資安宣導紀錄,詳載時間、地點、授課人員及內容等資訊,那大概率就是一份符合ISO27001:2013;A.7.2.2要求的證據。
那什麼是稽核準則?
由於是ISO認證稽核活動,ISO標準自然是核心,但法令法規、公司內規、(與利益相關者所簽訂)合約義務等都可以列入稽核準則。
然而,這不代表稽核發現的準據可以無限擴大! 不代表開列不符合的事項可以無限發散!
因為接下來要探討,什麼是不符合?
如客觀證據顯示未達到ISO標準要求,即可列入不符合,且不能因客戶關說、求情改列改進建議;如果未達其他外引的稽核準則要求,叫做未遵循(non-compliance),在一份稽核報告中,頂多列入改進建議。
重大不符合、次要不符合,怎麼區分?
客觀證據顯示未達ISO標準且影響管理系統正常運作者,列重大不符合;不致/尚不影響管理系統正常運作者,列次要不符合。
經過前述推導,各位若是ISO證書的持有者,可以試著回想:
貴公司經過認證、取得證書後,有拿到稽核報告嗎?
執行稽核的稽核員,到底知不知道自己的角色、任務、職責?
稽核員是不是運用各種話術、操弄恐懼跟緊張感,在套取貴公司的「說、寫、做」不一致證據、尋求破綻?
您所選定的認證公司,都是怎麼把關手下稽核員?
驗證公司稽核貴公司的管理系統,自己的管理系統、品質管理做到哪裡去了?
ASF除了嚴格要求公司稽核員的水準素質之外,其實更希望廣大的客戶能瞭解這些定義和竅門,因為唯有如此,ASF才能凸顯自己的存在價值跟目的。