审核现场实录:我在一家电子制造企业发现了3个ISO 9001高频问题
审核现场实录:我在一家电子制造企业发现了3个ISO 9001高频问题
周二早上8点,我到了一家电子制造企业。
这家公司做消费电子代工,员工约600人,已通过ISO 9001、ISO 14001、ISO 45001三体系认证,这次是监督审核。
前台登记完,质量经理李工过来接我,寒暄几句就带我去了会议室。我照例先要了最新的质量手册、程序文件清单和内审、管理评审记录——这是我的习惯,先看清文件框架,再决定当天重点看哪些过程。
翻完文件,我发现这家公司的体系文件写得相当规范,手册和程序文件之间的引用关系清晰,版次也都在受控状态。但三年的审核经验告诉我:文件写得越好,现场越要小心——因为差距往往藏在执行层。
当天我重点审核了"管理职责""风险评估""纠正措施"三个模块。以下是我在现场发现的3个高频问题,每一个在别的公司也反复见过。
问题一:职责权限写在文件里,现场没人说得清
现场看到了什么
我访谈了生产部经理、质量部主管和三个班组长,问的是同一个问题:
"你的质量职责是什么?当产品质量出现争议时,谁有最终决定权?"
得到的答案出奇地一致——"这个要问质量部"。
再仔细看,质量手册里5.3条款的"职责权限"描述写得很完整:质量经理有权停止不合格品的放行、生产部负责过程质量控制、技术部负责工艺文件……但现场问下来,生产部经理甚至不知道自己有"过程质量控制"这个职责。
更典型的一个场景:我翻到一份《不合格品评审处置单》,"处置结论"一栏写着"让步接收",签批人是质量经理。我问他:"这个决定是你独立作出的,还是和生产部商量过的?"他说:"生产部说交期紧,让我签个字。"
ISO 9001:2015 条款 5.3 要求:组织内各岗位的职责和权限应予以分配、沟通和理解。这家公司做到了"分配"和"写在文件里",但没有做到"沟通"和"理解"。
为什么这是高频问题
我在至少10家制造企业见过同样的问题,根因高度一致:
职责是"写给大家看"的,不是"用起来"的。
大多数公司的质量职责是体系工程师在换版时照着模板改的,改完打印、发文件、签收回执,流程走完就结束了。没有人把职责和绩效考核挂钩,没有人定期确认员工理解了自己的质量权限。
更深层的原因:很多企业的质量文化还是"质量是质量部的事"。生产部只管产量,技术部只管工艺,出了问题第一反应是"找质量部解决"。ISO 9001强调"全员参与",但真正做到的公司不多。
怎么改
1. 职责沟通要做,不能只发文件。 建议每年至少一次,由部门负责人和员工一对一确认:你知道你的质量职责吗?你有权停止不合格品流转吗?
2. 把质量职责纳入绩效考核。 比如生产部班组长的安全生产和质量指标挂钩,质量权限才有实际意义。
3. 管理层要以身作则。 当质量经理和生产部对不合格品处置有分歧时,最高管理者要明确站在"按职责权限决策"的立场,而不是"谁嗓门大听谁的"。
问题二:风险识别每年抄去年的,风险清单成了"年经"
现场看到了什么
这家公司有一份《风险评估表》,按ISO 9001:2015条款6.1的要求,识别了"内外部议题""相关方需求""过程风险"三大类,看起来很完整。
但我把2024年和2025年的版本放一起对比,发现80%的内容是完全一样的——连错别字都没改。
更明显的是:2025年这家公司新上了两条SMT产线,引入了AOI自动光学检测设备,但风险清单里完全没有提及"新设备导入""新工艺验证"相关的任何风险。
我问质量经理:"你们什么时候更新风险清单?"
他说:"每年管理评审前更新一次,主要是把去年的拿出来改改……"
ISO 9001:2015 条款 6.1 要求:组织应确定需要应对的风险和机遇,并应策划应对措施。应对措施应与风险和机遇对产品服务的潜在影响相适应。
这家公司把"应对风险和机遇"变成了一个填表动作,没有真正把风险思维融入业务决策。
为什么这是高频问题
ISO 9001:2015版标准最大的变化之一就是引入了"风险思维",但很多企业对"风险"的理解还停留在"填风险清单"的层面。
根本原因有两个:
第一,把风险思维和实际业务当成两张皮。 企业做业务决策(比如引入新产线、更换关键供应商)时,不会主动联想到"这要不要更新风险清单"。风险清单是体系工程师的事,业务决策是业务部门的事,两者没有打通。
第二,审核员自己也没搞清楚。 我见过不少审核员对6.1的审核就是"有没有风险清单?有没有应对计划?"——至于风险清单是不是真的在用、应对措施是不是真的在执行,反而没深究。
怎么改
1. 风险清单不要"每年更新一次",要"随业务变化动态更新"。 建议把风险识别嵌入关键业务节点:新项目立项、新设备导入、关键供应商变更,都要同步更新风险清单。
2. 应对措施要可验证。 不要写"加强培训""提高意识"这种空话,要写"2025年Q2组织SMT新工艺培训,参训人员签到表附后"这种可追踪的行动。
3. 审核员要敢开不符合项。 如果风险清单和实际业务完全脱节,这就是6.1的实质性不符合,不要只开观察项。
问题三:纠正措施只治标,同类问题一季度发生三次
现场看到了什么
我在查客户投诉记录时,注意到一个现象:
2025年Q1,这家公司收到了4起客户投诉,全部是关于"焊点虚焊"的,而且全部来自同一个客户。
我调出了这4次投诉的《纠正措施报告》,发现:
-
第1次(1月):原因是"作业员操作不规范",措施是"对该作业员进行再培训"
-
第2次(2月):原因是"焊锡温度参数设置偏低",措施是"调整焊锡温度标准,并培训作业员"
-
第3次(3月):原因是"作业员未按更新后的温度标准操作",措施是"再次培训,并增加巡检频次"
-
第4次(3月底):原因是"焊锡设备老化,温度不稳定",措施是"维修设备,计划Q2更换"
四次纠正措施,四次都是"培训+操作层面"的应对,没有一次触达到根因。
直到第4次,才发现根本问题是设备老化。但即便如此,纠正措施里依然没有回答:为什么前3次都没发现设备问题?为什么"培训"被当成了万能药?
ISO 9001:2015 条款 10.2 要求:组织应评价是否需要采取行动消除不合格的原因,以避免其再次发生。纠正措施应与不合格所产生的影响相适应。
这家公司的纠正措施做到了"采取行动",但没有做到"消除原因"。
为什么这是高频问题
这是我见过的最高频的ISO 9001问题,没有之一。几乎所有制造企业的纠正措施都停留在"培训+处罚"层面。
根源在于:很多企业把纠正措施当成了"对不合格事件的响应",而不是"对管理体系的改进"。
一个典型的思考路径对比:
|
|
大多数企业的做法 |
ISO 9001期望的做法 |
|---|---|---|
|
发现问题 |
焊点虚焊 |
焊点虚焊 |
|
直接原因 |
作业员操作不规范 |
作业员操作不规范 |
|
纠正 |
返工、挑选 |
返工、挑选 |
|
纠正措施 |
培训作业员 |
为什么操作会不规范?是作业指导书不清晰?还是培训不到位?还是设备本身有问题? |
|
根因 |
(不追问) |
焊锡设备老化,温度控制精度下降,导致即使按SOP操作也会出现虚焊 |
|
系统整改 |
(无) |
更新设备维护计划,建立关键工艺设备精度定期校准制度,修订《工艺设备管理程序》 |
纠正措施的核心不是"做了什么",而是"问题还会不会再发生"。 如果同类问题反复出现,说明之前的纠正措施根本没有触达根因。
怎么改
1. 强制使用根因分析工具。 5Why、鱼骨图、FTA(故障树分析),至少选一个作为标准工具,要求所有严重度≥中等的纠正措施必须使用。
2. 纠正措施要有验证。 不只是"措施已实施"的证明,还要有"同类问题未再发生"的跟踪记录。建议跟踪周期至少3个月。
3. 把纠正措施的质量和数量纳入KPI,但方向要对。 不要鼓励"零不符合项",要鼓励"发现真问题、整改做到位"。有些企业内审一年下来零不符合项,这本身就是最大的不符合项。
复盘:这三个问题有什么关系
回看这三个问题,其实指向同一个根因:
体系文件和实际执行之间存在系统性脱节。
职责权限写在文件里,但现场没人说得清——这是"说"和"做"脱节。
风险清单每年抄去年的——这是"计划"和"实际"脱节。
纠正措施只治标不治本——这是"改进"和"根因"脱节。
ISO 9001:2015推崇的"过程方法+风险思维+持续改进"三位一体,这家公司三个都没做到位。
但话说回来,能做到文件规范、内审和管理评审按时做、客户投诉有记录,这家公司已经超过了至少60%的同类企业。真正的差距在于:从"有体系"到"体系有效运行",中间隔着一整套管理文化的转变。
这不是审核员能直接解决的,但审核员的价值,恰恰在于通过专业的问题揭露,让管理层看到这个差距。
写在最后
这篇是「审核现场实录」系列第三篇。
-
第一篇写了ISO 14001环境管理体系的3个常见问题
-
第二篇写了ISO 45001职业健康安全体系的3个高频问题
-
这篇写了ISO 9001质量管理体系的3个核心问题
后续还会覆盖信息安全管理(ISO/IEC 27001)和IT服务管理(ISO 20000),把五体系的高频审核问题完整梳理一遍。
你是审核员吗?你在现场见过最"经典"的ISO 9001问题是什么?欢迎评论区聊聊。
