2019年质量管理控制审计指引

内部审计实务指南第 4 号──质量管理控制审计指南 第一章 总则 第一条 为了规范质量审计工作中监督与评价被审计单位的质量管理控制，评估质量风险管 理级别，提高工作效率，保证质量审计的有效性和前瞻性，根据集团《审计工作手册》要求，制 定本指南。 第二条 本指南所称质量管理控制，是指被审计单位质量体系建设及在生产、经营等过程中 一切与物料、产品质量相关的活动。 第三条 本指南所称质量风险管理（Quality risk management）：是指在药品整个生命周 期对质量产生的风险进行评估、控制、沟通和审核的系统过程。包括法规符合性风险、控制风险 和监督、检查风险。 第二章 一般原则 第四条建立健全质量管理控制，保证公司产品质量安全是被审计单位的重要职责。被审 计单位应当依照国家法规及公司内部制度实施其质量管理控制，防止发生、 及时发现并纠正失误 与舞弊等管理风险。 第五条审计人员应当对拟信赖的质量管理控制进行符合性测试，据以确定对实质性测试 的性质、时间和范围的影响。由于审计测试及被审计单位内部控制的固有限制，审计人员进行审 计时，并不能保证发现所有失误或舞弊等管理风险。 第六条审计人员应当将研究、 评估质量管理控制和评估质量风险的过程及结果记录于审计 工作底稿。 第三章 法规符合性及风险管理控制 第七条质量审计主要法律、法规依据： 《药品管理法》、 《药品管理法实施条例》、 《药 品生产质量管理规范》、《药品经营质量管理规范》、《医疗器械生产质量管理规范》及公司内 部质量管理制度等。 第八条审计人员在编制审计方案时，根据专项审计目的查找法律、法规适用条款，列示 重点项目及检查实施细则。 第九条在编制审计方案时，审计人员应当了解被审计单位质量管理控制的设计和运行情 况。在确定了解质量管理控制所应当实施审计程序的性质、时间和范围时，审计人员应当主要考 虑下列因素： 一、 被审计单位经营规模及业务复杂程度； 二、 被审计单位质量管理控制组织架构及职能； 三、 质量管理控制内部文件及制度； 四、 质量管理记录方式； 五、 质量体系自查报告及风险评估； 第十条审计人员了解质量管理控制时，应当合理利用以往的专业经验。对于重要的项目， 通常还可实施以下程序： 一、 询问被审计单位有关人员，并查阅相关内部控制文件； 二、 检查内部控制生成的文件和记录； 三、 观察被审计单位质量管理控制的运行情况； 第 1 页 四、 选择若干具有代表性的交易和事项进行符合性测试。 第十一条审计人员在编制和实施审计方案时，应当充分关注质量管理控制的严重失误与 舞弊等风险。 一、失误主要包括： 1、原始记录和质量报告数据的计算、抄写错误； 2、对事实的疏忽和误解； 3、对国家法规、经营质量管方针政策的误用。 二、舞弊主要包括： 1、伪造、变造原始记录或凭证； 2、隐瞒或弱化质量事故及投诉； 4、记录虚假的事项； 5、蓄意使用不当的经营质量管理方针政策。 第十二条审计人员在编制审计计划时，应当充分考虑导致经营管理严重失误与舞弊存在 的可能性。下列情况会增加失误与舞弊的可能性： 一、 被审计单位管理人员的品行或能力存在问题； 二、 被审计单位管理人员遭受异常压力； 三、 被审计单位存在异常交易； 四、 审计人员难以获取充分、适当的审计证据。 第十三条对可能或已经存在不符合法规要求的文件、记录及单据须复印原件作为审计底 稿管理保存。 第十四条在实施审计方案出具审计报告时，审计人员应当依据法规符合性内容对质量管 理控制进行有效性、风险程度评估并提出审计建议。 第十五条审计人员拟定审计报告初稿与被审计单位对审计内容充分沟通，报审计主管领 导经批准后下发正式的审计报告。 第四章 持续改进控制 第十六条被审计单位在收到已批准审计报告 5 个工作日内须根据审计内容及审计建议向 审计法务部提交《审计报告发现问题整改表》。 第十七条审计人员有权对《审计报告发现问题整改表》内容提出异议并要求修改。经确 认后的《审计报告发现问题整改表》，审计人员按照整改内容对被审计单位整改进度及质量进行 持续跟踪、考察。必要时，可报企业绩效管理部门进行考核。 第十八条审计部门负责对审计底稿、审计报告及审计整改表进行存档。 第五章 附则 第十九条本指南由审计法务部负责解释和修改。 第二十条附录：质量审计(Quality Audit)参考资料。 第 2 页 附录：质量审计附录：质量审计(Quality Audit)(Quality Audit) 参考资料参考资料 质量审计是识别改进领域的工具之一。是一种独立的审查,确保项目执行过程符合组织或项 目定义的方针政策,标准和程序。从而了解项目和产品基本情况,确定改进目标,制定审计计划。 PMBOK08 版， 认为质量审计是一种独立的结构化审查，用来确定项目活动是否遵循了组织和项 目的政策、过程与程序。 质量审计是企业管理层最为关注的业务之一。这是因为， 保证产品的高质量是保持强劲的竞 争能力的重要因素； 如果内部审计领域能够拓展到有助于保证或提高产品质量，当然有助于产品 质量的稳定、改进或提高，从而增加管理层甚至社会各方面对内部审计事业的重视。 当产品质量管理进入“全面质量控制”时期，质量的控制从材料采购直至产品完工的全过程， 在备料、加工、检测等环节，都有严格的控制程序，和控制措施，有系统地预防和保证产品质量 的稳定。 这种规范化的产品制造过程建立了健全的质量控制系统。质量审计针对系统的主要控制 环节进行评价， 有助于保证质量控制系统有效运行并实现其成果，由此大大拓宽了内部审计的领 域并使质量审计的内容起了重要变化。 质量审计概述质量审计概述 质量审计的工作方法源于 6sigma 态度,体现了不断改进,无边界以及崇尚学习的企业工作文 化。6sigma 最基本的一条原理是：与某项工作关系最密切的员工具有最好的条件去改善此项工 作。我们的项目质量审计不是要建立一个中情局，或者锦衣卫式的监视机构，而是要推动企业各 工作部门建立一种对自我反省的习惯，要求各部门听取和尊重客户的声音，根据客户的需要不断 地改进我们的工作，质量审计所获得的改进策略往往涉及多个部门，他们作为一个团队，共同分 析和执行改进，并且把项目质量标准体系作为沟通的共同语言。 软件公司,特别是为企业级客户提供核心应用的软件公司,服务比产品更加重要，企业级客户 随着自身的发展，会因形就势地改变策略和适应竞争环境，这种竞争压力转化到内部 IT 系统的 需求上， 就会对我们的产品和服务提出不断更新的要求。我们的企业有着很多层面的问题需要和 值得改进，但事实上,一定阶段所拥有的资源的有限性决定了我们必须分清主次,将重点放在客户 最关心，最能够为他们带来价值的改进上，这就是 CTQ(critical to quality)的识别。 秉持着 6sigma 的理念和做事态度,提升产品和服务质量,首要的一点,就是正确地识别质量关 键点 CTQ。量化是 6sigma 的基础,可以通过借鉴 6sigma 的解决问题系统，来对我们企业的质 量改进工作进行一个高层归纳： 定义: 测量:通过量化的质量指标,收集数据,量化 CTQ(critical to quality)。 分析:分析数据,