引言

在管理体系认证和审核实践中，ISO 19011:2018《管理体系审核指南》扮演着基础性却又常被忽视的角色。作为一本审核的"方法指南"，它不像 ISO 9001 或 ISO 27001 那样直接决定企业能否通过认证，但它决定了审核是否有效、是否有价值。对于审核员而言，不懂 ISO 19011，就像司机不懂交通规则——也许能开动车子，但永远无法安全高效地到达目的地。

本文将深入解析 ISO 19011:2018 的两个核心板块——审核方案管理与审核员能力要求，并结合实战场景说明如何将其落地到日常审核工作中。

一、ISO 19011:2018 的定位与框架

1.1 标准的定位

ISO 19011:2018 是一个管理体系审核的方法指南，取代了过去的 ISO 19011:2011。它适用于所有管理体系标准的审核，包括但不限于：

• ISO 9001（质量管理）
• ISO 14001（环境管理）
• ISO 45001（职业健康安全管理）
• ISO 27001（信息安全管理）
• ISO 20000-1（IT 服务管理）
• ISO 22000（食品安全管理）
• ISO 22301（业务连续性管理）

它既适用于内部审核，也适用于外部审核（包括供方审核和第三方认证审核）。更为关键的是，它是审核员培养、认证机构能力评估的重要参考文件。

1.2 2018版的主要变化

与 2011 版相比，2018 版引入了以下重要变化：

1. 基于风险的审核方法：明确了审核的全过程应贯穿风险思维，包括审核方案的策划、审核活动的实施以及审核结论的形成。
2. 远程审核的认可：正式将远程审核（remote auditing）作为审核方法之一，为后来新冠疫情下的审核实践提供了框架性指导。
3. 审核员能力框架的更新：细化了审核员在特定管理体系领域的知识和技能要求，特别是对审核团队负责人（审核组长）提出了更高的要求。
4. 与 Annex SL 的统一：更好地与管理体系标准的高层结构（HLS）保持一致，增强了跨标准审核的协调性。

二、审核方案的策划与管理（第5章）

2.1 什么是审核方案？

ISO 19011:2018 将审核方案定义为"针对特定时间段策划并具有特定目标的一组审核安排"。这不是指一次具体的审核计划，而是贯穿整个审核周期（通常为一年）的系统性安排。

许多组织在审核方案管理上存在一个常见误区：将"内审计划"等同于"审核方案"。审核方案远比一张时间表复杂得多，它至少需要包含以下要素：

• 审核目标：为什么要进行这些审核？例如，为了满足认证要求、为了评估供方能力、为了推动持续改进等。
• 审核范围与准则：覆盖哪些部门、过程和区域？依据什么标准或文件？
• 资源分配：需要多少审核员？他们的资质和经验如何？审核时间如何分配？
• 审核频率与时机：一年审核几次？是否与生产淡季错开？是否考虑到关键过程的审查频次？
• 报告与跟踪：审核发现如何记录？不符合项的整改如何验证？

2.2 基于风险的审核方案策划

ISO 19011:2018 明确要求，审核方案的策划应考虑风险。这意味着我们不再采用"平均主义"的方式来安排审核——每个部门每年审核一次、每人审核两小时。而是应当根据以下因素确定审核的优先级和深度：

1. 过程的重要性：直接影响产品质量或信息安全的关键过程（如产品放行、访问控制）应获得更深入的审查，而非关键支持过程（如文具采购）可以适当简化。
2. 过去的绩效：历史不符合项多、整改不彻底的过程应加大审核力度；绩效稳定、记录良好的过程可以降低审核频率。
3. 变更情况：组织架构调整、新系统上线、关键人员流动等变更应触发特殊审核，而非等待年度审核周期。
4. 外部因素：行业事故、客户投诉、法规变化等外部因素也应是审核方案调整的依据。

2.3 审核方案管理的实操步骤

在实战中，审核方案管理可以抽象为 PDCA 循环：

P（策划）：

• 确定审核方案的目标和范围
• 识别风险和机遇
• 确立审核程序和方法
• 选择审核员并分配资源
• 编制年度审核方案文件

D（实施）：

• 按方案开展每次具体审核活动
• 协调审核日程和资源
• 保持审核记录的完整性

C（检查）：

• 监控审核方案的实施进展
• 评估审核方案的有效性
• 跟踪不符合项的整改情况

A（改进）：

• 根据监控结果调整审核方案
• 优化审核流程和方法
• 更新审核员培训需求

一个成熟的组织，审核方案管理应通过审核管理会议或管理评审输入的形式，每年至少进行一次系统性的评审和更新。

三、审核员能力要求（第7章）

3.1 能力框架四维度

ISO 19011:2018 第7章将审核员能力分为四个层次：

1. 通用能力（适用于所有审核员）：

   • 审核原则、程序和方法的知识
   • 管理体系标准的知识
   • 组织环境和运作的知识
   • 相关法律法规和合同要求的知识

2. 特定管理体系领域的能力：

   • 特定标准的具体条款知识
   • 该领域的技术和专业知识
   • 行业特有的风险管理认知

3. 个人素质与行为：

   • 职业道德（公正、客观、保密）
   • 开放包容（愿意听取不同意见）
   • 判断力（基于证据的推理能力）
   • 人际交往能力（沟通、倾听、提问）

4. 审核领导能力（针对审核组长）：

   • 审核策划和组织能力
   • 团队管理和协调能力
   • 冲突处理和现场决策能力
   • 审核报告的编写和审核结论的判定能力

3.2 能力评估与持续发展

很多组织在为内审员分配任务时，只看"有没有内审员证"，而忽视了能力的持续评估。ISO 19011 要求组织采取以下措施保障审核员能力：

• 初始能力评估：在任命审核员之前，通过笔试、模拟审核、观察评估等方式确认其能力。
• 持续能力维护：通过内部培训、外部进修、参与审核实践等方式保持能力的更新。
• 能力记录管理：建立审核员能力档案，记录其培训经历、审核参与次数、专业领域等信息。
• 年度再评价：每年至少评估一次审核员的能力，确认其是否仍胜任分配的任务。

3.3 实战中对审核员能力不足的识别

在实际审核中，审核员能力不足通常表现为：

1. 问不出好问题：只会照本宣科逐条念条款，"你们有文件吗？""你们做了记录吗？"缺乏对过程和风险的深度追问。
2. 看不透证据：拿到文件只看有没有签字盖章，不分析内容是否合理、是否与实际情况一致。
3. 记流水账：审核记录只是事实罗列，缺少判断和推理，看不出是否符合条款和准则。
4. 不敢下结论：发现明显问题却不敢判定为不符合项，或者把建议项写成不符合项。

这些问题的根源往往不是态度不好，而是审核方法论训练不足。解决的关键不是批评，而是体系化的培训和实践指导。

四、审核活动实施要点（第6章）

4.1 首次会议的艺术

ISO 19011 要求首次会议做到确认审核安排、介绍审核方法、确认沟通渠道。在实战中，好的首次会议能奠定整个审核的基调：

• 有温度：不是公式化读稿，而是让受审核方感到这是一次共同发现问题、共同改进的机会。
• 有导向：明确审核的范围和重点，特别是不适用于受审核方理解偏差的地方。
• 有边界：清楚说明审核的抽样特性，不存在"全检"——这既是对审核员的保护，也是对受审核方的引导。

4.2 审核中的沟通技巧

审核不是审问，而是基于事实的对话。ISO 19011 强调的开放沟通，在实战中体现为：

• 开放式提问：用"请介绍一下你们的采购流程"代替"你们有采购控制程序吗"，前者开启对话，后者封闭回答。
• 追踪式提问：当对方回答"我们有培训制度"时，追问："上个月有多少人接受了培训？培训记录在哪里？培训效果如何评价？"
• 倾听与观察：真正优秀的审核员花更多时间观察（现场走动、观察操作、查看记录），而不只是听汇报。
• 及时确认：发现疑问随时求证，不积累到最后一天才抛出，避免受审核方措手不及。

4.3 审核发现与不符合项

审核发现的输出通常分为三个等级：

• 观察项（Observation）：发现的问题但尚不构成不符合，或者发现了一个值得关注的亮点或改进机会。
• 一般不符合项（Minor Nonconformity）：某个条款的局部不符合，不影响体系整体的有效性。
• 严重不符合项（Major Nonconformity）：系统性失效，或某个关键过程的完全失效，严重影响体系的有效性。

在判定严重等级时，ISO 19011 提醒我们不应只看孤立事实，而应结合风险和影响综合判断。一个"小问题"如果暴露了系统性的管理缺陷，其严重程度远比表面上看起来大得多。

五、从纸上谈兵到实战落地

5.1 内部审核的常见痛点

结合多年审核管理经验，内审的常见痛点包括：

1. 内审流于形式：审核变成"填表作业"，没有深度、没有发现。
2. 管理层不重视内审：认为内审只是应付外审的"彩排"，缺乏持续改进的本意。
3. 审核员缺乏权威：同级审核时不敢得罪同事，发现问题也不便记录。
4. 不符合项整改不到位：整改只是写回复、填证据，不分析根本原因、不验证实效。

5.2 基于 ISO 19011 的改进路径

解决上述问题，可以从以下路径入手：

路径一：强化审核方案的权威性

• 审核方案由管理者代表或质量负责人批准
• 审核结果直接报送最高管理层
• 将内审绩效纳入部门考核

路径二：建立审核员能力管理体系

• 选拔有潜力的人员参加系统培训
• 实行"老带新"的审核配对机制
• 建立审核员评价与激励机制

路径三：推动审核方法的持续创新

• 引入过程方法审核（不只是条款式审核）
• 探索远程审核和数据分析辅助审核
• 结合 AI 工具进行文档检查和模式识别

六、结语

ISO 19011:2018 不仅是一本给审核员看的手册，它更像是管理体系审核的"宪法"，定义了审核活动的基本原则和最优实践。无论是认证机构、审核员本人，还是受审核组织，理解并应用 ISO 19011 的原则，都是提升审核质量和价值的关键一步。

真正的审核，不是找问题，而是通过系统的、基于证据的评估，帮助组织识别改进机会。做到了这一点，审核就不再是成本中心，而是组织的价值创造引擎。

在 2026 年的今天，当 AI 工具已经开始辅助文档审查和数据分析时，ISO 19011 中关于审核员能力和判断力的要求反而更加凸显——技术可以替代重复劳动，但无法替代审核员基于经验和专业判断的价值输出。