内部审核的目的是验证质量活动和有关结果是否符合策划的安排，确认组织质量管理体系能否持续、有效实施。因此，内部审核的实施对确保一个认证机构质量管理体系的有效运行至关重要。认证机构灵活适时启动内部审核工作，可以及时发现问题，采取纠正与预防措施，规避认证机构风险。

通常，内部审核过程包括内审策划、内审计划、内部审核前的准备、审核、审核报告、问题整改等。本文从内审整体实施有效性方面分析，提出内部审核的质量控制的方法。

一、从审核能力和质量意识入手，培养优秀的内部审核员队伍是基础

内部审核员具备必要的能力是内部审核有效实施的基础条件。

CNAS-EC038《关于依据CNAS-CC01对认证机构人员能力管理实施评审的认可说明》提到，认证机构应对实施内审的人员规定能力确定准则和后续监视要求，以及能力提高的途径与方法，持续评价人员能力。

基于认证机构认证产品实现的目标要求，内部审核员须具备以下要求中必要的知识、经验、技能等，包括：

认证相关法律法规要求；

CNAS-CC01/CNAS-CC02基本准则以及其他认证认可规范相关要求；

特定认证领域认证标准；

机构内部管理要求（手册、程序文件等）；

行业工作经验（如规定认证行业工作年限）；

审核技能要求；

内部审核实习经历等。

内部审核员在承担内部审核的工作前，对其能力进行证实，例如具备三大认证领域的认证机构审核员能力确认情况，可参考表1。

机构可通过建立内部审核员培养常态化机制和一定的激励政策，促进内审员能力、质量意识以及审核工作的责任感稳步提升，以满足认证环境不断变化和认证机构长期发展的需要。

二、制定充分的内审策划/计划是关键

内审策划是内部审核有效实施的第一步，建立一个操作性强的审核方案，是完成内部审核目标的关键。

（一）内审策划的考虑

内审策划应基于风险的思维、特定的审核目的，应充分关注以下内容：

法律法规、认证认可规范主管部门要求、认证认可规范；

认证产品（管理体系、服务、产品）实现过程的成熟度或复杂性，目前大部门机构的管理体系认证比较成熟，而对于近几年发展迅速的服务认证，机构自我开发的认证项目的实施则应高度关注合规性；

对组织管理体系有影响的任何更改，尤其关注新的法规要求、标准变更、认证规则更新、新技术、新方法应用等；

过程绩效、目标指标的实现情况；

以往的审核结果，包括办公室评审、见证审核、专项监督、行业监管结果的分析、上次内部审核发现问题等；

信息化系统（ERP）应用及与体系结合的运行情况；

多场所认证机构，可以基于某个特定场所制定有针对性的审核方案。

（二）内审形式的策划

内审形式的策划要打破惯性思维，结合机构的实际，敢于创新，在继承和发展的基础上，选择适宜的形式。

认证机构的内审通常由审核员兼任，在工作多、任务重的情况下，形式上可采用集中式、滚动式或集中滚动式、拆分阶段式、特定专项的内审形式。

方式上可以通过文件评审（包括认证档案抽查）、实际操作观察、办公室现场审核、必要时的远程审核、客户审核现场见证审核等方式，或几种方式的结合。

（三）内审抽样的策划

认证机构认证档案抽查需考虑专业风险等级、项目复杂程度、审核方式（如结合审核）、内部技术评定结果以及新级别审核员、新组长、其他职能人员管理变化、新方法应用（如远程审核）等因素，抽取代表性的样本，抽样覆盖初次审核、再认证、监督、扩大、缩小、变更、转换、标准换版（适用时）、暂停、恢复、撤销等类型。

（四）内审策划后的充分沟通

将内审策划的结果与内部审核员进行详细沟通，内审员并非专业岗位人员，在有内审需要时组成审核组，有助于审核的顺利开展。审核前的沟通/培训内容可包括：

根据审核前知识与技能评价的差异，有针对性组织培训；

内部审核策划的考虑，提前将审核涉及的工作文件（审核依据、审核作业文件）、以前审核的情况及遗留问题发放给审核组；

质量目标的监控结果；

上次审核以来的变化，例如下表列出的更改/变更，必要时组织培训。

三、实施基于过程的审核，是提升内部审核质量水平的核心

ISO 9001：2015标准倡导在建立、实施质量管理体系以及提高其有效性时采用过程方法。过程方法的一个重要特征是注重管理的细化，即细化到每一个业务流程、每一个操作单元、每一项影响业务流程运行的输入因素。认证机构在内部审核时应用过程方法的审核思路，能够通过追踪其绩效表现（审核发现），从系统的角度评价该过程的作用和实施有效性。

基于过程的审核是指以受审核的过程、过程间相互关系、过程目标和过程绩效指标作为审核的路经或审核的追踪线索所实施的审核。它通过对过程的检查而确定有关过程结果的活动、资源和行为是否被有效并高效地管理。

以外来文件管理(如法律法规、标准）审核为例，通常在审核中，内审员会发现某项新颁布或更新的法律法规/要求未收集并根据此发现开具不符合，而基于过程的方法需充分审核过程控制的几个方面，包括：

是否清晰识别输入（法律法规、主管部门要求、技术规范等）；

是否确定输出（影响分析、技术管理文件变更）；

是否确定方式（如网络、系统、会员制度）；

是否分配职责权限，确定必要的能力、技能；

是否确定程序，明确达到过程质量要求的方法、途经以及设定的过程指标；

是否对过程规定测量、评估的要求（如跟踪及时性、分析充分性、变更有效性、实施符合性）。

对于多认证领域的认证机构，法律法规可能由不同的职能部门（体系认证部、产品认证部、服务认证部）进行管理。通过基于过程的审核，比较容易发现过程接口和部门接口间的缺陷和系统性问题，这有利于识别过程待改进部分，从而达到过程优化的目的。

四、深入分析、有效整改是提高内部审核质量的必要手段

内部审核的整体有效性与所发现的问题整改深入程度密切相关，主要体现在根本原因是否分析到位、不符合整改的措施是否基于解决根本原因并易于执行、措施验证是否彻底等。

针对内审发现的问题，常见的根本原因分析归结到员工缺少培训、意识不足、领导重视不够、流程不够完善、缺少监督等。此类根本原因笼统、不细化，相应的措施也就容易流于形式。比如意识的提高是一个持续的过程，仅仅通过一次培训很难从根本上达到整改的目的。

分析根本原因，需要对被分析的过程的活动步骤进行分解、细化，应用多种方法和工具，比如常用的5Why、8D、鱼刺图等。

纠正措施是基于分析的根本原因采取的行动，不同层次的根本原因导致不同层次的纠正措施。

整改的验证要关注纠正措施能否举一反三，按照PDCA循环，彻底消除问题的发生。验证不仅仅是确认培训是否完成，文件是否修订，而是至少通过检查/确认一个同类操作/运行实例进行验证，以确保整改真正彻底有效实施。