運用信息和通訊技術(ICT)的審核技術,在認證認可領域理論方面的討論進行了多年,由于互聯網技術的發展成熟程度和行業對于互聯網認知的不同,雖然很早已經建立了有關的規范,但由于各種原因一直沒有在應用實踐中規模開展相關工作。
廣泛的人員流動和人員之間的溝通聚集是認證認可行業的工作性質,也是多年來認證審核的傳統工作模式。2023年的新冠肺炎疫情,嚴重影響了這種工作模式。減少人員流動和聚集是抗疫的基本要求,因此改變傳統工作模式、運用互聯網技術進行遠程審核是抗疫期間認證認可行業復工復產的途徑,也是認證認可從業機構助力社會各行業復工復產的有力手段,在這樣的形勢下,推動了ICT審核技術在行業的應用。運用互聯網技術進行遠程審核不僅是認證認可行業抗擊疫情期間的選擇,同時由于互聯網技術的日趨成熟和認證認可政策的支持,認證機構運用ICT審核技術還可以在有序控制風險和管理審核過程的前提下,提高審核效率和審核的有效性,這種審核技術的發展也是在高科技條件下,提升認證認可工作滿足要求能力的必然趨勢。
本文就運用互聯網審核技術的審核管理實踐,提出對運用ICT審核技術中的風險產生點和審核過程的具體活動加以管理,并提高審核有效性和效率。
支持審核結果判斷的“審核證據”
審核是“為獲得審核證據并對其進行客觀的評價,以確定滿足審核準則的程度所進行的過程”。“審核證據”是基于系統的審核方法,通過詢證和抽樣的活動,而尋找和確認被審核活動的存在或其信息真實性的過程結果。審核的目標是通過獲取的“審核證據”以形成審核發現,審核發現通過評價形成審核結論,獲得充分、準確和可靠的審核證據是做好審核的基礎。
通常獲取審核證據的方式和方法是通過觀察、測量、試驗或其他方法獲得。具體的操作過程是審核員通過與當事人詢問、交談,查閱有關文件的規定依據,查閱有關活動的記錄結果,現場觀察活動的內容和過程等方式提取證實其活動滿足要求的客觀證據,以此作為審核證據,判斷審核發現,得出審核結論。審核過程中無論我們采取什么樣的方式都要保證支持審核結論的審核證據應該是充分、準確、可靠和可追溯。
采取傳統審核技術和ICT審核技術獲得審核證據的不同點在于審核過程中所使用工具載體的變化,由于這種載體的變化,產生了獲取客觀證據時可能產生對過程或信息的充分性、準確性和可靠性判斷發生偏離的現象,因而產生由于工具的變化帶來審核風險的可能性,我們試圖在審核的管理實踐中,管理這些在審核中由于差異性變化帶來的風險。我們只要在這種變化中管理好提取審核證據的差異性,就可以獲得與傳統審核同樣可靠的審核證據,并以此做出相同的審核結論判定。
運用ICT審核技術的“風險來源”
無論運用怎樣的審核工具,審核風險的來源與獲得“審核證據”的充分、準確、可靠和客觀性都有直接的聯系,如果運用ICT審核技術不能獲得這樣的“審核證據”,那么審核的風險就必然產生。
基于上述的理解,在識別審核風險方面,我們主要考慮:
1. 認可規范的要求、審核業務范圍風險等級;
2. 審核證據的可獲得性;
3. 審核證據被追蹤的可靠性。
從以上3點出發,識別審核企業的風險點,以便于在審核中加以管理和控制。這些風險點具體體現在:
①認可規范中所評定A、B、C認證機構的具體要求應加以考慮,由于不適當的認證機構風險管理,可能導致審核證據的獲取產生偏差而帶來審核結果的有效性或其他影響審核結果的判斷,從而帶來認證機構在認可機構的管理中可能的降級風險。
②被審核組織在其業務范圍內本身管理中ICT技術的使用程度。
被審核組織在其業務范圍內管理目標的高低也決定了其過程管理中風險的程度,較低的管理目標和ICT使用程度,會使審核員獲得信息時可能產生證據死角,證據信息割裂的情況,獲得的證據信息不充分和不具代表性,從而在綜合判斷時,可能產生不恰當的判斷結果。
③審核業務范圍的風險等級,涉及認證機構認可業務范圍管理的風險。業務范圍管理中,不能在專業領域有較強針對性地細化認證機構業務范圍中的專業系統分析的專業類別,致使在具體的業務范圍審核中,由于審核專業粗放,而在利用ICT審核技術時會產生一些細節上的流程沒有識別或錯誤識別,從而得到不充分的審核證據。
④審核證據的可獲得性:
組織規模——組織規模的大小對獲取審核證據的充分性有影響。由于ICT工具的視角、距離識別等原因,較大的組織(大跨度車間、長線生產流程、空間較大的裝置設備等)在獲取審核證據時,會產生部分或不具整體性的感覺,可能在綜合判斷審核證據充分性方面產生的困難。
勞動密集程度——勞動密集度較大的企業,人員變動大,運用ICT審核技術不直觀,審核組專業性稍有弱項的時候,考慮因素就會不足,會產生抽樣的不穩定和不準確,獲取審核證據的準確性差異性較大,甚至產生誤判。
組織的自動化程度——自動化系統程度較低的企業,對其審核證據的獲得會產生證據信息的不穩定,從而導致不準確。較高的自動化系統組織,審核過程可以利用組織的ERP等系統,獲得組織運行的直接信息,可降低審核風險。
與傳統領域相比較的技術含量——技術含量較高的企業,如基因工程、遺傳工程等,這些領域專業技術要求較高,審核中需要確認的專業信息量大,會產生大量的專業溝通,以提高審核員對現場的綜合洞察力,但遠程審核受軟硬件條件的限制,獲得該類信息的充分性審核證據較困難。
⑤審核證據追蹤的可靠性:
提取證據的環境限制——有毒有害空間、狹小工作環境、影響作業的濕熱環境、較暗的環境等,這些環境由于ICT視野和其他感官的關系,存在審核證據提取不足和不準確的風險。
遠程工具的使用——通用的公共軟件和硬件使用在審核證據提取中存在工具本身的缺陷,導致審核證據提取不充分(如在防爆的環境中使用手機等),但如果可以利用組織自身的防爆探頭、光源、攝像等手段就可以獲得組織運行的直接證據。
感官體驗——無色物、溫度、濕度以及可能的觀察視角和不連續的拍攝等對獲取一定的審核證據具有局限性,從而導致證據的準確性。
審核員的經驗和專業性——通過審核對象所提供的信息,證實審核目標的可實現性,較強的審核員專業能力可以補充ICT審核技術在某些過程中獲取審核證據的充分性,如:專業知識保證預設的審核路線安排,減少審核過程可能的隨意性,以獲取系統、客觀和準確的審核證據。
上述從組織、認證過程和運用ICT審核技術的角度,在不同維度上,對審核證據獲取的風險進行分析,我們在具體審核管理中對這些風險加以管理,可降低或避免認證過程可能的風險,提高審核的有效性。
ICT審核管理
我們把運用ICT工具載體審核的活動,劃分為靜態活動、現場確認活動、感官可體驗活動和感官不可體驗的活動,靜態活動是直接可采用公用ICT審核技術實施審核的活動,其獲取審核證據的風險與傳統審核等同。現場確認活動主要是針對現場活動的審核,它是對ICT靜態活動的審核補充,與感官可體驗的活動一起構成現場審核證據獲得的手段,這些現場活動過程的風險在采用適宜的、專有的ICT軟硬件載體條件下,ICT的審核也是可以實現某些風險控制的。只有運用公用ICT審核技術不能控制審核風險的過程我們采取現場確認的活動,按照產生風險過程的實際狀態,利用適宜的審核證據獲取方式、審核工作量分配比例、審核專業要求配置改善和增加審核過程中的審核控制環節等審核方法,通過部分現場活動確認的方法和細化審核管理以彌補ICT審核技術的風險控制。
1.申請評審管理
為有效利用ICT審核技術,在與認證組織的前期溝通中,了解組織管理系統和生產系統使用ICT的現有條件,最大限度利用組織自身遠程的通訊系統,以支持審核過程的實現,申請評審管理中確認:
組織日常使用的通用ICT管理工具情況;
組織運作的自身專有的ICT工具情況;
是否審核過程可以使用這些ICT工具,確認安裝方法,并初步
作為申請評審管理,組織自身專有的ICT技術提供審核支持,使審核過程可以獲得組織管理的第一手資料,將極大地減少審核風險,這種評審的結果提供審核方案策劃的輸入,也為策劃方案組織審核活動降低審核風險提供策劃支持。
2.方案策劃管理
考慮到利用ICT審核技術的風險點,在審核方案策劃中,我們對相關內容進行策劃具體涉及:
該組織涉及的ICT審核條件是否具備,并確定遠程工具;
該組織運用ICT審核技術中,審核過程的風險點策劃;
針對ICT審核風險,確定遠程審核中靜態活動、現場確認活動、感官可體驗活動和感官不可體驗的活動,以策劃各活動審核時間的分配;
是否需要現場補充審核或補充審核活動的安排;
審核組專業配置比例和專業程度要求;
安排ICT審核特殊情況或應急情況下的溝通渠道。
3.審核組配置管理
在審核組配置中,考慮審核組成員應用ICT的相關通訊軟件、硬件工具的熟悉程度是必須要求的,重要的是配置的審核組成員了解企業信息和運作過程,審核組對同類企業或該企業審核的傳統實際現場審核經歷及審核組成員的實際專業能力水平應用,不僅僅是否有該領域的專業,而更加要強調該領域專業的實際認知水平。利用ICT技術審核的審核組,配置的專業人員比例不小于60%(以彌補遠程審核中與現場操作有關的技術和專業信息判斷、審核路徑確定和審核證據追蹤,防止提取審核證據不充分),配置的人員除滿足審核組能力的要求外,審核組中至少要有一名成員曾經對被審核企業有過傳統審核的審核經歷,并在審核組中能夠對其他成員提供對該企業的ICT審核指導,在審核前針對該企業的以往體系運行情況,對審核組其他成員給予了解性的培訓。
4.審核實施控制
對審核實施過程區別過程風險,并管理這些風險過程,我們將審核中,按風險的可控程度分為不同形式的審核活動類別:
靜態活動的ICT技術審核;
靜態活動+現場確認活動的ICT技術審核;
運用ICT技術,感官可體驗活動的遠程審核;
傳統審核。
在審核任務下達時,區分審核任務中的任務類別和基本的風險控制點,使審核組長明確了解任務指令并通過審核方案和規范文件加以要求。在審核組準備中,審核組長按照審核任務委派完成包含靜態活動和現場確認活動等全部審核過程活動的ICT審核計劃,無論采取怎樣的方法,審核計劃都應滿足審核策劃方案的人日分配、多場所和審核時間的分配、審核組專業范圍覆蓋等要求。在實施靜態活動審核和現場確認活動審核的遠程審核過程中,審核信息借助審核路徑檢查表的方式,形成審核過程的信息流,解決審核活動信息的流轉和獲得審核證據的可靠。
ICT審核前,要求審核組長與審核組成員確定:
遠程使用設備和系統,并要有簡單的調試;
審核組長和審核組成員要針對審核計劃的安排進行執行方面的溝通;
了解組織的基本情況,審核組中參加過該企業傳統現場審核的成員(組長優先),應在審核前對全體成員進行審核前的溝通,使全體成員了解企業的體系運行實際狀況,并針對了解情況,獲得ICT審核的現場重點;
審核記錄的要求(如審核部門或活動時,應明確使用的遠程工具——釘釘、QQ、微信、電話通訊、郵件等,或要明確使用組織ICT工具名稱和使用程度);這些不同ICFT工具的使用可以幫助我們確認所獲取證據的可靠性;
明確告知審核組成員及時確認陪同人員的姓名及聯系方式,以便通過陪同人員將審核成員和審核部門的遠程工具聯系起來,如建微信群、QQ群、通訊、傳遞文件和視頻等,以便于提高審核效率。
對于企業的邊界區域和位置,審核組要通過電子地圖確認企業的地理邊界和周邊環境,以了解企業可能的相關方。對于占地范圍較大的企業,可通過企業的平面圖和管網圖了解企業的實際布局,增加審核的有關信息。為提高審核效率,加快審核組與企業的溝通和提取資料的時間,審核組成員應將審核的有關要求內容和人員提前告知審核企業的相關部門,使受審核部門提前做好有關審核的準備。
為協調ICT的不同階段審核活動,并將審核的思路、證據跟蹤的彌補措施和風險控制信息進行傳遞,我們設計的審核路徑檢查表,由靜態活動審核的審核組成員針對需要跟蹤審核的風險控制點或審核證據不能被容易感知的活動信息,以審核路徑檢查表的方式,將相關信息傳遞到后續的審核活動中,并由后續審核人員追蹤確認。如:一個審核員實施QES管理體系,審核了質量檢驗部門,雖然已經通過ICT的審核獲得部分審核證據,但有些信息可能還要在后續審核中跟蹤確認,那么這些信息就要通過審核路徑檢查表加以描述,并將描述信息傳遞出去作為接手審核員的信息輸入。后續審核員對審核信息作為其審核活動證據的補充部分,在審核路徑表中予以信息確認(見審核路徑表部分示例)。
通過上述審核實施的管理,從審核方案識別風險,到審核過程識別風險的審核全過程管理,并通過審核路徑的信息確認,以保證審核證據的充分、準確和可靠,最終保證審核結果的有效性。
5.ICT審核實例分析
審核過程是對現場審核證據的提取、辨識和判斷的一系列活動,無論傳統審核還是ICT審核,其證據都要充分、準確、可靠。
對于一個自動化程度較高的大型石油煉化企業,雖然其涉及的很多產品是危險化學品,由于其流程化運作程度高,自動控制程度高,審核組利用ICT工具,可以遠程使用組織的自有生產組織系統、內部管理系統及中控指揮監控系統等,審核組中的審核員具有相應專業背景,在這樣的情況下,審核組對于組織人、機、料、法、環的資源管理的證據提取,對現場的內部操作過程和外部操作過程的證據均可以通過組織的自動化系統、監控探頭、監控屏幕及連續的工作參數提取相應的證據,這些證據均可以充分展示組織資源、過程、參數的具體表現,準確表達生產和管理活動的實際運行狀態。我們可以通過這些第一手證據判斷組織管理體系運行的相關證據,這種審核的風險反而較傳統審核要小,審核期間又不用在場內行動穿插減少運動時間,提高了審核效率。
而對于一個勞動密集度較高的客貨運輸服務企業,涉及的過程簡單、設備較少,車輛是其最重要生產服務設備,如果沒有自有的信息工具,完全依靠社會公共信息軟件或硬件,審核組通過ICT的工具只能進行一些通訊或較小視野的觀察。我們在進行方案策劃時認為,即使是較簡單的過程、較少的設備,其服務的常規過程和管理部門的溝通是可以考慮采用簡單的ICT工具進行管理部門的靜態活動審核,但是其服務活動的具體表現,尤其是多點、連續、移動的特點及與客戶接觸的服務過程是即時的活動,自身沒有自有的ICT系統,審核員審核時觀察和洞察力不夠,不容易通過現有公用的ICT技術獲取到充分、客觀和準確的審核證據,這種情況下,過度地使用ICT審核技術就會產生較大的審核風險,最終影響審核目標。
因此綜合地應用ICT的審核風險管理,即可以控制和降低審核風險,同時又可以對審核效果的影響具有事半功倍的效果,對審核目標和審核效率實現具有積極意義。
結語
ICT的審核風險來自審核證據獲取的充分、準確和可靠,利用ICT審核技術控制風險,必須保證審核證據可以達到這樣的要求。
審核組成員的專業程度,審核組的專業人員配置數量可以彌補利用ICT審核中的專業部分審核證據的風險,有利于減小采用ICT審核技術的審核風險。
大眾使用的ICT工具,若將其作為ICT審核工具,對于審核證據的獲得有時是存在缺陷的,這種存在的缺陷就是ICT的審核風險,認證機構通過利用被審核組織專有的ICT工具和自身充分的審核管理,可以消除和減少這些風險,并提高審核的有效性和效率。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
