守規性評估的做法,在於將績效與「法規事項」以及「其他要求事項」做比較,對於「法規要求事項」,ISO 45001標準規定必須包含法規要求事項,以及具有法律拘束力的集體協議,且必須要確保法規要求事項資訊是否都已保持最新;而對於「其他要求事項」則是必須包含公司政策、規則和條例以及保險要求的範圍。
組織本身必須要先決定守規性評估的頻率以及方法,頻率和時間可以依照要求的重要性、運作條件的變化、法規或其他要求事項的變更等不同因素而異;方法的部分,組織也可以使用不同的方法維持守規性狀況的知識與瞭解。組織透過不同的方法評估守規性差距情況,有助於決定後續於「改進」的過程應如何進行,並保存守規性評估結果的文件化資訊。
稽核可以為內部稽核,亦可為外部稽核或合併稽核,而在ISO 45001標準中針對職業安全衛生管理系統,僅規定組織須進行內部稽核,但是內部稽核可以由組織本身執行或是外部團體執行,並非一定只能由組織進行方為內部稽核。
ISO 45001標準要求組織必須進行內部稽核,來確保職業安全衛生管理系統符合所建立的自我要求事項及ISO 45001標準所要求的事項,並確定對於該事項已有效地實施與維持。對照之下可以知道,CNS 14809所定義之「稽核準則」即是ISO 45001標準中的管理系統自我要求事項以及標準要求事項;而「稽核證據」則是績效的結果。對於內部稽核應如何執行,ISO 45001標準有提供相關流程及建議以供參考。
首先組織應規劃、建立、實施並維持稽核方案,包括稽核的頻率、方法、責任、諮詢等,且必須將先前稽核結果等納入考慮,稽核方案的廣度可以依照職業安全衛生管理系統的成熟度和複雜度來決定。
對於每一次稽核,組織都必須界定稽核的準則和範圍用以比較績效,ISO 45001提供可以作為稽核準則用以比較績效的範例,如:其他組織、標準和規範、組織本身的規範和目標、職業安全衛生的統計資料。
因此另一績效評估的方式,便是最高管理階層在規劃的期間內審查職業安全衛生管理系統,並且提出關於下列事項的決定:1. 職業安全衛生系統達成預期結果持續的適合性、充分性及有效性;2. 持續改進的機會;3. 變更職業安全衛生管理系統的需求;3. 需要的資源;4. 需要改進的措施;5. 改進職業安全衛生管理系統和其他業務整合的機會;6. 對組織的策略方向的影響。
而審查的過程中必須要考量到:1. 先前管理階層審查的情況;2. 內部議題和外部議題的變更;3. 職業安全衛生政策與目標達成的程度;4. 職業安全衛生績效;5. 與職業安全衛生系統相關資源的充分性;6. 利害關係者的溝通等。
本文建議的具體做法 雖然前述說明了組織有量測、監督與分析職業安全衛生績效的義務,但僅有測量、監督與分析,若無進行比較,則無法得知組織目前職業安全衛生績效的程度,以及訂定改進的方向,因此需要職業安全衛生之績效評估。
對於職業安全衛生的績效評估,ISO 45001標準將其分為守規性評估、內部稽核以及最高管理階層審查,並且針對此三種不同的職業安全衛生績效方法說明相關建議與標準。
觀其內容可以發現,守規性評估與內部稽核兩個步驟實際上可以合併為一個績效評估的程序,其詳細之理由筆者將於後一部分進行詳述。
有鑑於此,筆者建議此一部分的職業安全衛生績效評估,可以分為兩個部分:「職業安全衛生績效稽核」以及「管理階層審查」,以下將分別針對這兩種不同的職業安全衛生績效評估方法概述之。
守規性評估之功用在於將組織的職業安全衛生績效,與法規要求事項以及其他要求事項進行比較,來判斷組織的職業安全衛生績效是否符合法規之規定,或其他利害關係者之要求。
而內部稽核,則是指組織規劃、建立並實施各種稽核方案,用以取得稽核證據,對照稽核準則進而得到稽核發現與結果,來探求職業安全衛生管理系統本身的有效性、適合性與充分性的過程。
因此ISO 45001標準中對於內部稽核的規範,係著重於組織如何規劃與實施稽核方案取得稽核證據的過程;而取得稽核證據後與稽核準則之比較,並得到稽核發現與稽核結論,實則即屬於ISO 45001標準之守規性評估。
故筆者認為雖然ISO 45001標準將兩者分為不同的職業安全衛生績效評估方法,但事實上都是針對績效稽核方法的相關規定,因此可以合併為同一個職業安全衛生績效評估方法。
但是ISO 45001標準並未對於內部稽核的實施流程有相關建議,僅有說明應注意的事項,如應確保稽核過程的客觀公正、稽核過程需報告管理階層等,因此筆者參考實務見解[1],建議內部稽核的過程應參考我國依據2011年發行的第二版ISO 19011標準修訂為我國國家標準CNS 14809之「管理系統稽核指導綱要」,筆者整理相關流程如下圖。
筆者依據CNS 14809標準建立之職業安全衛生績效稽核之流程圖
「稽核」縱然作為職業安全衛生管理系統中之「檢核」步驟之一,卻仍屬於一個獨立具有PDCA流程,有其獨立之規劃、執行、檢核與改進的過程。
為了後續架構稽核方案能有大方向的依據,最高管理階層必須考量各種因素,如法規要求或合約要求、先前稽核的結果、管理優先順序、商業企圖等先行訂定稽核方案目標,如本次稽核方案是為了決定管理系統的有效性,或是查證外部利害關係者要求事項的符合性等目標,稽核方案目標與職業安全衛生目標、職業安全衛生政策的功用相同,在於給予整個過程一個大方向,以便後續措施的安排。
確認完稽核方案目標後,對於應如何進行稽核之過程,組織可以選任具有有效率地管理稽核方案能力,熟悉稽核原則、程序書和各種方法以及熟悉受稽核者等知識與技能之稽核方案管理者,作為確認後續稽核方案的程度與方案程序書、決定必要資源以及制訂各類稽核目標、範圍與準則等之主要負責人。
CNS 14809標準將稽核的進行隨著執行稽核人員的不同而分為不同種類,若由組織本身或其代表者,為管理階層審查與其他目的所執行之稽核,為「內部稽核」又稱為「第一者稽核」。
非由組織本身或代表所執行的稽核則為「外部稽核」,其中由與組織有利害關係之團體或其代表所執行之稽核則為外部稽核中的「第二者稽核」,由管理者或提供驗者等獨立組織所執行之稽核,則為外部稽核之「第三者稽核」。
ISO 45001標準中僅規定組織必須進行內部稽核,而如筆者前述,不論是組織內部成員進行或聘請外部單位協助進行稽核過程,只要是為了管理階層審查或內部的目的所執行之稽核,都屬於內部稽核而非外部稽核。故此一部分的稽核方案管理者不一定要是組織制內之工作者,亦可以是外部單位相關人員。
稽核方案管理人必須先依照組織的規模、管理系統的性質、功能性、複雜性與成熟度來決定稽核方案的範圍,每一個稽核的目標、範圍期間、次數、稽核準則甚至是語言、文化社會議題等都有可能會影響到稽核方案範圍的考量,並且鑑別稽核可以使用的資源,包含財務資源、稽核員的適任性、技術專家之有無、資訊與通訊科技等。
確認手上持有的資源以後,對於稽核小組和主導稽核員的適任性、執行稽核的方法、報告稽核方案整體成效等內容,以一項或多項程序書的方式提出可行的做法,選擇稽核方法並選任稽核小組成員,指派個別稽核時主導稽核員的責任以及給予關於本次稽核之資訊如稽核目標、稽核準則、稽核範圍等,作為後續程序進行的前置安排。
CNS 14809標準提供了在選擇稽核小組成員時可以考量以下的因素:1. 考量稽核範圍與準則,稽核小組達成目標的整體適任性;2. 稽核的複雜程度;3. 選定的稽核方法;4. 法規與合約的要求、組織所承諾的其他要求;5. 確保稽核小組成員與受稽核者之活動無關;6. 小組成員有效地與受稽核者代表互動並一起工作的能力;7. 稽核使用的語文、受稽核者的社會與文化特性。
ISO 45001標準中對於執行職業安全衛生管理系統稽核之人員,可以選擇組織內本身的工作者,但為了確保稽核過程的客觀性與公正性,工作者兼任稽核員必須與平時所負之職責分開,若組織對於此仍有所顧慮,筆者建議可以直接聘請外部獨立單位進行內部稽核。
針對稽核的方法選擇,CNS 14809標準針對稽核員位置,以及稽核員與受稽核者之參與程度將稽核方法分為不同手段,本文將其陳列如下表以供參考。
CNS 14809標準中建議稽核小組可以使用的稽核方法
對於稽核準則之選擇,筆者認為應於規劃稽核之階段就先予以確定,依照ISO 45001標準對於守規性評估所包含之「法規要求事項」以及「其他要求事項」範圍,筆者建議可於本文前述之「組織前後環節」部分,確定適用於組織的法規要求事項以及其他要求事項,便無需再於此一步驟重新探求。
稽核過程與前述職業安全衛生管理系統的管制措施不同的是,在稽核方案確定後,稽核執行時,仍需由主導稽核員進行過程中部分的規劃過程,並非將所有細部的稽核程序規劃完成後再予以執行。
也因此執行稽核的過程中係由主導稽核員負責安排以及所有的稽核責任,而非稽核方案管理人,稽核方案管理人於執行稽核的過程中,係擔任監督稽核方案實施的角色,包含評估稽核方案與目標的符合性、稽核小組實施稽核計畫的能力以及來自最高管理階層或其他利害關係者的回饋。
稽核小組在正式執行稽核的過程前,必須先與組織進行初步接洽,此一接洽可以採正式或非正式的方式進行,其目的在於建立與組織代表的溝通管道、確認執行稽核的職權、確認與組織的協議以即決定任何稽核中組織有興趣或關切的領域等。稽核小組接觸組織後,考量組織本身的配合程度、時間與資源,便可以決定稽核之可行性,若稽核不可行,則可與組織商量是否有替代方案或委託他人。
若確認稽核於組織中是可以執行的,即必須準備稽核活動,稽核小組必須先審查組織管理系統文件,除了用以後續準備適用的工作文件外,還可以透過初步文件審查,查出可能的缺漏。
主導稽核員以稽核方案管理者所建立之稽核方案及組織所提供的文件為基礎,考量抽樣技術、小組成員的適任性等因素,擬定稽核計畫,此一計畫有助於活動有效率的時程安排與協調並達成目標,CNS 14809標準建議其內容應包含稽核目標、稽核範圍、稽核準則、稽核小組成員的責任與工作安排以及稽核資源分配等。
稽核小組成員依照主導稽核員所訂定之稽核計畫、選定的稽核方法及蒐集的相關資訊,準備與稽核相關工作文件,如查核表、抽樣計畫、紀錄資訊的表單等,涉及保密資訊等文件須由稽核小組成員予以適當保護。
筆者參考實務見解建立此部分職業安全衛生管理系統之內部稽核紀錄表,提供於下表,以供參考。此部分雖然屬於整體稽核流程執行,但觀其內容仍屬於規劃的範疇。
執行所規劃之稽核方法前,稽核小組必須先舉行啟始會議,確認所有的團體都同意稽核計畫、介紹稽核小組並且確認已規劃的稽核活動都可予以實施,CNS 14809標準建議啟始會議應由組織最高管理階層或受稽核部門負責人舉行,稽核的過程中工作者會有較好的配合。
稽核的過程當中,稽核小組內、組織與稽核小組成員等都必須有妥善的溝通,而對於與稽核目標、範圍、準則相關的資訊稽核小組都必須予以查證而作為稽核證據,並用以比對稽核準則看是否符合產生稽核發現,觀察組織職業安全衛生管理系統有效性、適合性以及充分性。
針對稽核發現,由於ISO 45001標準要求必須將稽核的結果報告管理階層、工作者及其代表以及利害關係者,因此筆者建議可以比照CNS 14809標準之作法,由稽核小組召開總結會議公布稽核發現以及稽核結論,向組織中的管理階層、工作者及其代表與利害關係者說明蒐集到的稽核證據、稽核發現的過程與可能結果以及有關的稽核後活動等,並提供一份完整的稽核報告方能符合ISO 45001標準中所要求之文件化資訊。
CNS 14809標準認為完整的稽核報告必須包含以下內容:1. 稽核目標;2. 稽核範圍;3. 稽核委託者的鑑別;4. 稽核小組與受稽核者參與人員之鑑別;5. 執行現場稽核活動的日期與地點;6. 稽核準則;7. 稽核發現與有關的證據;8. 稽核結論;9. 有關稽核準則符合程度說明。
稽核方案管理者於事後必須檢討稽核方案,評估是否目標已經達成作為下次稽核方案持續改進過程之輸入,並向最高管理階層提出稽核方案結果的檢討報告。
ISO 45001標準並未規定職業安全衛生管理系統的相關職責都必須由最高管理階層負管理之責,而是可以在適當的情況之下將管理權限向下指派,只是最高管理階層仍然須負最終局的責任。
故管理階層必須考量到先前管理階層審查的情況、內部議題和外部議題的變更、職業安全衛生政策與目標達成的程度、資源的充分性、職業安全衛生績效以及利害關係者的溝通等要素,並且決定關於職業安全衛生系統持續改進的機會與措施、變更管理系統的需求、適合性、充分性及有效性等。
但ISO 45001標準對於管理階層應如何審查、應何時審查並未有相關的建議,因此本文參考實務見解[2]之建議,認為可於內部稽核完成後,以管理審查會議的方式進行並討論前述的內容。
結語
對於建立的管制措施,如果沒有透過適當的方式去檢核的話,其實根本就不知道管制措施的有效性,自然也就無法針對無效的管制措施進行改善,所以我們才會需要績效評估這一個流程。
但是「風險」的概念其實是非常抽象的,雖然說他可以連動到危害的嚴重程度以及發生的頻率,但是對於一個從來沒有在組織中發生過的危害,很難去量化他,更不要提要如何改善。
因此ISO 45001提出職業安全衛生績效的概念,透過其他的間接結果像是環境中汙染物的濃度、職業災害發生的頻率等等,而不直接透過量化風險的方式來作為績效評估的對象。而這有一個好處是,量測到的績效是可以有比較的依據,也比較好操作。
ISO 45001標準所提出的幾個職業安全衛生績效評估的方式,筆者觀其內容,以實務上比較好操作的方式進行整合,變成兩個步驟。並且可以結合筆者前幾篇文章提到的步驟們,讓整個職業安全衛生管理系統的流程會順暢一些。
下一篇文就會是我們這個ISO 45001系列的最後一篇文了,筆者要提到的會是「改進」,也就是PDCA流程的最後一個,那我們就下一篇文章再見囉: D。
參考文獻
[1] 經濟部工業局,製造業職業安全衛生管理系統推動實務手冊-ISO 45001,2019年,P.107
[2] 同註[1],P.10-P.110
本篇文章的圖或是表有看不清楚的,歡迎來到筆者個人網站的這篇文章連結內,有放大比較清楚的圖。
急著想要看下幾篇嗎?那可以來筆者的個人網站裡面一次全部追完所有的文章歐。