近年來,伴隨著傳統制造向智能制造的逐步升級,以及新興行業和新型業態的迅速發展,傳統審核方式已不能完全滿足新形勢下的新需求,將信息與通信技術(ICT)應用于審核活動的研究和實踐在有序開展。近三年的新冠肺炎疫情導致出行受限,制約了現場審核活動的正常進行,加速了ICT應用于遠程審核的發展和推廣。
應用ICT遠程審核是在審核時融入音頻、視頻、遠程屏幕等數據交互方式,獲取有效審核證據。在特定的情況下,既解決了不到現場也能完成滿足認可要求的審核活動,也滿足了受審核方認證審核的市場需求,是創新優化審核的手段。
應用ICT遠程審核是在受審核活動的實際場所以外地點實施的審核,如在勘探公司總部遠程審核其偏遠山區的勘查分現場,或在物流倉儲部遠程審核運輸過程中對物品的搬運和防護等,在諸多場景下,既可降低認證審核成本,也能減輕審核員旅途奔波和交通風險,提高了認證審核活動的經濟性和環保性等。
ICT遠程審核作為傳統審核的補充方式,具有方便快捷等諸多優點,且呈現出逐步普及趨勢,但遠程審核也存在自身的局限性和風險,認證機構宜對可能影響遠程審核過程的安全性、有效性、完整性與可信性的風險加以防范和應對,才能確保達到預期的審核目標。
本文從6個方面提出應用ICT遠程審核中可能存在的風險并給出了應對措施,以便在從事認證審核活動時充分利用遠程審核的優點,合理規避風險,提升審核活動的效率和效能。
信息安全問題導致失泄密風險
信息安全是認證機構向受審核方提供信任認證的必要條件。應用ICT遠程審核時,電子信息或電子化傳輸信息的安全性和保密性尤為重要,若有不慎可能會發生失泄密的風險。
其應對措施如下:
雙方達成一致意見
應考慮與保密性、安全性和數據保護相關的法律法規,在擬應用遠程審核時,雙方應就信息公開和保密要求方面的特殊要求、遵守信息安全與數據保護的措施和規則達成特定的一致意見。在認證受理之初,針對遠程審核安全問題簽署具有法律約束力的合同或協議。
保密部門審查通過
應用ICT遠程審核,有涉密要求時應遵守國家、軍隊保密管理規定,不得通過公共網絡傳輸。對涉密單位的審核原則上不允許應用ICT遠程審核,若需使用應事先得到該單位保密主管部門的書面批準。
條件不具備不采用遠程審核
對于信息安全條件不滿足要求,不具備應用ICT遠程審核所需人員能力和設備或與受審核方未達成一致意見時,不采用遠程審核,應使用其他方法實施審核以滿足審核目的。
設備設施問題導致審核無法完成風險
遠程審核對設備設施的軟硬件有較高程度的依賴,若審核過程中因軟硬件故障、停電,或因網絡資源(如網絡連接斷開、網絡信號差、訪問授權被取消等)問題導致審核中斷,可能導致審核無法按計劃要求完成。
其應對措施如下:
前期模擬測試
應確定遠程審核所需設備設施、使用程度,明確審核過程、要素和場所準備使用的軟硬件,在審核前進行測試和模擬演練,確定所需的環境、條件、時間等均能滿足審核要求。
制定替代方案
在策劃遠程審核方案時,應考慮替代的軟硬件,如備用設備、電源、軟件以及備用審核方式等。如當視頻連線失效時,可采用電話連線加圖片傳輸形式替代,當實時語音形式失效時,可采用實時文字聯系或郵件形式替代等。可行時,替代方案相關軟硬件應事先進行測試和演練。
調整審核方案
預先判斷審核中斷的可能情形,并與受審核方商定調整審核方案。若審核現場由于設備設施問題導致審核中斷,且替代方案也無法實施時,按預定的調整方案視情況采取延長審核時間、延期審核、變更或中止審核等措施。
人員能力問題導致審核有效性差風險
認證雙方人員開展遠程審核特定能力不足,導致審核有效性差,如審核證據發現不充分、審核任務不能順利完成等,可能出現不滿足認證認可相關要求情況。
其應對措施如下:
認證管理人員具備能力
認證管理人員具有相應特定能力,有風險和機遇意識,例如識別遠程審核項目風險、信息安全風險及職業健康安全風險;應用ICT技術對信息收集有效性和客觀性的影響;具有電子信息或電子化信息傳輸的安全性、保密性和數據保護的控制能力;熟悉相關監督部門和認可機構對于遠程審核的強制性要求或指導性意見;熟悉相關法律法規、標準和其他要求。
認證審核人員具備能力
認證審核人員應具有相應特定能力,在審核時使用適當的電子設備和其他技術的技能,如具備理解和利用所采用的ICT技術的能力,包括遠程接入受審核方電子信息系統或數據中心的能力;具有熟練應用移動攝像技術、視頻監控系統,利用會議軟件進行電話、視頻會議的能力;具有解決技術問題、在審核前技術檢查和審核中因技術原因導致審核受阻或中斷時使用替代技術和方案的能力。
受審核方人員具備能力
受審核方應指定具備相應特定能力的人員,專門配合遠程審核活動。該人員能夠理解遠程審核所需相關要求,根據審核組的要求安排和協調遠程審核的配合事項;能夠指導或幫助不能熟練使用遠程技術的受審核對象接受審核;具備及時處理審核中可能出現的各類應急情況的能力。
審核方案不合理導致不滿足認可要求風險
應用ICT遠程審核方案策劃不合理、遠程審核方式不恰當、全部使用遠程審核代替現場審核造成審核活動不完整等,可能導致不滿足相關認可要求風險,問題嚴重時可能造成機構降級情況。
其應對措施如下:
充分溝通周密策劃
需對受審核方信息和要求充分了解,并周密策劃審核方案,確定采用遠程審核及ICT的限制(包括所采用形式、所涉及的內容、所占審核時間比例等方面的限制),預先確定遠程審核的重點難點和風險點,分配更多的審核時間和資源,充分溝通,合理安排,從而保證審核活動的充分性與適宜性,滿足認可要求。
確定遠程審核場景適宜性
適宜的遠程審核場景:特定的地點或事件導致無法前往受審核方現場審核(如因特殊事件發生、安全、交通限制等);分場所數量多、距離遠、平時無人僅執行任務時有人值班的場所(如衛星發射基地的測試點);臨時場所、危險場所等。
除特定認證方案另有規定,以下場景不宜全面實施遠程審核:初次審核、再認證、年度監督保持、新擴范圍或地點、有重大變化情況的;認證風險級別較高;暫停后或延長期限未進行現場審核;認證周期內出現重大事故、顧客投訴、媒體負面曝光等;其他不宜實施遠程的情況。
對OHS,應用遠程審核的活動應僅限于對文件/記錄的評審、對員工及工作人員訪談。此外,對現場活動及OHS風險控制不能采取遠程審核技術。
評定遠程審核風險接受度
對于風險程度較低,如辦公室的辦公活動、工作設備為計算機的,生產和服務過程相對單一重復、工作環境簡單、背景安靜的,自動化程度高、可利用受審核方數據庫信息系統的等,經評審認為風險可接受,可進行遠程審核。
對于審核風險程度高,如高風險行業的關鍵過程、復雜過程的,審核現場嘈雜、管理混亂、若僅瀏覽會有較多認證風險的,易產生火花導致爆炸生產環境的,應用遠程審核的可能性低或可信度差的,OHS/EMS的重要環境因素、重大危險源等控制區域的,涉密武器裝備生產現場的等,經評審認為風險高,不宜采用遠程審核。
審核計劃要求明確
在審核計劃中明示使用ICT技術審核的范圍(具體場所、過程或活動名稱)、審核時間及工作量、審核人員和技術專家(適用時)等,還包括對通信技術的選擇以及如何對其進行管理,以及替代審核方式、替代設備等;
審核計劃安排時需考慮遠程審核過程的完整性與可信性,應用ICT遠程審核活動需在審核計劃中得到標識,審核計劃應得到受審核方的確認。
審核證據獲取不充分問題導致審核可信度低風險
遠程審核過程中涉及審核證據真實、抽樣準確、多產品復雜過程的深入跟蹤審核等,若審核時間不充分、審核證據獲取不完整、不具代表性或失真,都會降低審核員的發現和判斷能力,導致審核有效性不足,執行遠程審核的可行性、可信度就會降低。
其應對措施如下:
審核時間充足
實施遠程審核并不代表可以減少或縮短審核時間,遠程審核每天必須滿足8小時實時在線。遠程審核要考慮審核證據的完整性、代表性、真實性等,由于非現場審核存在局限性,審核員不能自主、直觀、多維度觀察到現場情況,從而增加了溝通時間,同時考慮到信息傳遞中各種可能出現的意外情況,審核時間視情況可能會增加。
審核方式多樣
文件查閱,如文件傳送或通過共享屏幕、視頻查看等,拷屏和拍照應征得受審核方同意。審核文件時,要關注文件的現行有效性和版本一致性,審查記錄時,要關注記錄的真實性和時效性,可采用視頻方式確認等。
訪談,如采用遠程網絡會議、電話等多種遠程溝通方式,在審核前提前了解現場背景噪音情況,做好預案,如佩戴降噪耳機等;在訪談時應說明訪談收集記錄方法,確保受訪人員知情并防止泄密;對訪談人員身份確認可采用出示工作證、工牌的方式等。
觀察,如采用實時視頻的方式進行,現場環境應滿足證據收集的要求,注意確認實況畫面的真實性、實時性。審核前提前熟悉審核區域,科學規劃審核路徑,了解Wi-Fi或視頻盲區,保證現場圖像音頻清晰、視線清楚。要提前收集帶有方向指示的工廠布局圖、全景圖,了解靜電放電區域等。
音視頻證據充分
充分利用受審核方現場的視頻監控設備無人機或VR設備輔助實施審核,充分收集審核證據。審核過程中如存在多個場景時,要分別保留便于追溯的視頻或截圖。遠程審核的首末次會議采用視頻連線形式時,應保證所有參與者都能夠被識別出來(對于OHS末次會議,對負有法律責任的管理者、負責監視員工健康的人員,負責OHS員工代表的識別尤為重要)。
記錄使用保存問題導致信息安全隱患風險
審核記錄管理不完善,如審核過程中未經授權記錄、審核記錄非預期使用、未按要求刪除記錄等,均有可能導致非預期信息泄漏的信息安全隱患。
其應對措施如下:
審核人員記錄管理嚴格
在遠程審核期間,所有審核記錄應征得受審核方同意或授權,包括語音或視頻的收集;作為支持審核發現和認證結論的證據的記錄信息,應僅為認證審核所用,不得另作他用;認證人員審核結束后,除構成認證記錄外的信息,必須刪除其他無關信息,不應儲存在個人電腦中,產生信息安全隱患。
認證機構記錄管理規范
除滿足通用要求外,具有安全性和保密性的成文信息,應予以保護防止非預期更改和使用。如涉及敏感信息,需保留時應征得受審核方同意。審核資料達到保存期限,按規定對相關證據進行集中銷毀。
結語
應用ICT遠程審核,既是機遇又是挑戰。由審核方式變化帶來的審核方案調整,以及對電子數據、網絡通信、信息化工具軟件等的依賴性增加,對審核雙方人員應用ICT的能力提出新要求等,不確定性因素增多,認證風險增大。
基于應用ICT遠程審核存在風險的現狀,IAF、ISO、CNCA、CNAS、CCAA等部門發布了一系列文件,用于規范遠程審核活動、降低認證風險。國內很多認證機構也設立了專項研究部門,不斷實踐改進,降低認證風險。
科學合理應用ICT遠程審核,需要多措并舉,應深入研究策劃、規范實施過程、持續優化改進,力求最大限度減少不確定性影響,降低遠程審核風險,確保審核有效性,為認證審核有效性和可信性提供支持和保障。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:中國政府網、百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
