以風險為基礎的稽核方法

以風險為基礎的思維是新版ISO標準的主要核心原則之一，管理系統的建立實施及維持除了要滿足法令法規及客戶的要求以外，也需要依據組織所處的經營環境特性所衍生的風險和機會，來展開及維持管理系統。因此，風險評估以及後續的風險管理就管理系統就顯得非常的重要。既然管理系統的建構及維持需要考慮風險跟機會，那麼在PDCA中用來確認管理系統是否符合要、有效的稽核活動也必然要有風險的思維。管理系統稽核相關的常用規範包含有ISO 17021、ISO 19011 以及ISO 9001 等管理系統標準。ISO 17021雖然是應用在管理驗證機構提供驗證服務的稽核規範，其中也提到驗證程序應該是「基於風險的稽核原則」。ISO 19011則是用來提供稽核跟稽核計劃的指導原則，內容也提到在稽核計畫中，應該考慮管理系統的「重要事務」，何謂「重要」？當然可以「風險」來做評價。ISO 9001 及14001中有關於稽核的相關要求也考慮因應風險和機會的措施。這些規範都圍繞著以風險為核心的基礎進行稽核。 藉此機會本文要探討如何在管理系統的稽核過程中，能夠識別風險、基於風險，進行有價值的稽核。