運用信息和通訊技術(ICT)的審核技術,在認證認可領域理論方面的討論進行了多年,由于互聯網技術的發展成熟程度和行業對于互聯網認知的不同,雖然很早已經建立了有關的規范,但由于各種原因一直沒有在應用實踐中規模化開展相關工作。
廣泛的人員流動和人員之間的溝通聚集是認證認可行業的工作特點,也是多年來認證審核的傳統工作模式,但2023年的新冠肺炎疫情嚴重影響了這種工作模式。因此運用互聯網技術進行遠程審核成為抗疫期間認證認可行業復工復產的途徑,同時也是認證認可從業機構助力社會各行業復工復產的有力手段,在有序控制風險和管理審核過程的前提下,認證機構運用ICT技術還可以提高審核效率和審核的有效性,這種審核技術的發展也是在高科技條件下,提升認證認可工作滿足要求能力的必然趨勢。
本文基于運用互聯網審核技術的審核管理實踐,提出如何對運用ICT審核技術中的風險產生點和審核過程的具體活動加以管理,以提高審核有效性和效率。
支持審核結果判斷的“審核證據”
審核是“為獲得審核證據并對其進行客觀的評價,以確定滿足審核準則的程度所進行的過程。”“審核證據”是基于系統的審核方法,通過詢證和抽樣尋找和確認被審核活動的存在或其信息真實性的過程結果。審核的目標是通過獲取的“審核證據”以形成審核發現,并進而通過評價形成審核結論。由此可見,獲得充分、準確和可靠的審核證據是做好審核的基礎。
通常獲取審核證據的方式和方法是通過觀察、測量、試驗或其他方法獲得,具體的操作過程是審核員通過與當事人詢問、交談,查閱有關文件的規定依據,查閱有關活動的記錄結果,現場觀察活動的內容和過程等方式提取證實其活動滿足要求的客觀證據,進而以此作為審核證據,判斷審核發現,得出審核結論。審核過程中無論我們采取什么樣的方式都要保證支持審核結論的審核證據應該是充分、準確、可靠和可追溯。
采取傳統審核技術和ICT審核技術獲得審核證據的不同點在于審核過程中所使用工具載體的變化,由于這種載體的變化,產生了獲取客觀證據時可能產生對過程或信息的充分性、準確性和可靠性判斷發生偏離的現象,因而產生由于工具的變化帶來審核風險的可能性。我們試圖在審核的管理實踐中,管理這些在審核中由于差異性變化帶來的風險。只要在這種變化中管理好提取審核證據的差異性,就可以獲得與傳統審核同樣可靠的審核證據,并以此做出相同的審核結論判定。
運用ICT審核技術的“風險來源”
無論運用怎樣的審核工具,審核風險的來源與獲得“審核證據”的充分、準確、可靠和客觀性有直接的聯系,如果運用ICT審核技術不能獲得這樣的“審核證據”,那么審核的風險就必然產生。
基于上述的理解,在識別審核風險方面,應主要考慮:認可規范的要求、審核業務范圍風險等級,審核證據的可獲得性,審核證據被追蹤的可靠性。
從以上三點出發,識別審核企業的風險點,可以便于在審核中加以管理和控制。這些風險點具體體現在:
1. 認可規范中所評定A、B、C認證機構的具體要求應加以考慮,由于不適當的認證機構風險管理,可能導致審核證據的獲取產生偏差進而影響審核結果的有效性,引發認證機構在認可機構的管理中可能產生的降級風險。
2. 被審核組織在其業務范圍內本身管理中ICT技術的使用程度。被審核組織在其業務范圍內管理目標的高低也決定了其過程管理中風險的程度,較低的管理目標和ICT使用程度,會使審核員獲得信息時可能產生證據死角、證據信息割裂或者是獲得的證據信息不充分和不具代表性等情況,從而在綜合判斷時,可能產生不恰當的判斷結果。
3. 審核業務范圍的風險等級,涉及認證機構認可業務范圍管理的風險。業務范圍管理中,不能在專業領域有較強針對性地細化認證機構業務范圍中的專業系統分析的專業類別,致使在具體的業務范圍審核中,由于審核專業粗放,而在利用ICT審核技術時會產生一些細節上的流程沒有識別或錯誤識別,從而得到不充分的審核證據。
4. 審核證據的可獲得性,其中包括:
組織規模——組織規模的大小對獲取審核證據的充分性有影響。由于ICT工具的視角、距離識別等原因,較大的組織(大跨度車間、長線生產流程、空間較大的裝置設備等)在獲取審核證據時,會產生部分或不具整體性的感覺,可能產生在綜合判斷審核證據充分性方面產生的困難。
勞動密集程度——勞動密集度較大的企業,人員變動大,運用ICT審核技術不直觀,審核組專業性稍有弱項的時候,考慮因素就會不足,會產生抽樣的不穩定和不準確,獲取審核證據的準確性差異性較大,甚至誤判。
組織的自動化程度——自動化系統程度較低的企業,對其審核證據的獲得會產生證據信息的不穩定,導致不準確。較高的自動化系統組織,審核過程可以利用組織的ERP等系統,獲得組織運行的直接信息,可降低審核風險。
與傳統領域相比較的技術含量——技術含量較高的企業,如基因工程、遺傳工程等領域專業技術要求較高,審核中需要確認的專業信息量大,會產生大量的專業溝通,但遠程審核受軟硬件條件的限制,獲得該類信息的充分性審核證據較困難。
5. 審核證據追蹤的可靠性,其中包括:
提取證據的環境限制——有毒有害空間、狹小工作環境、影響作業的濕熱環境、較暗的環境等,這些環境由于ICT視野和其他感官的關系,存在審核證據提取不足和不準確的風險。
遠程工具的使用——通用的公共軟件和硬件使用在審核證據提取中存在工具本身的缺陷,導致審核證據提取不充分(如在防爆的環境中使用手機等),但如果可以利用組織自身的防爆探頭、光源、攝像等手段就可以獲得組織運行的直接證據。
感官體驗——無色物、溫度、濕度以及可能的觀察視角和不連續的拍攝等對獲取一定的審核證據具有局限性,從而導致證據的準確性。
審核員的經驗和專業性——通過審核對象所提供的信息,證實審核目標的可實現性,較強的審核員專業能力可以補充ICT審核技術在某些過程中獲取審核證據的充分性。如:專業知識保證預設的審核路線安排,減少審核過程可能的隨意性,以獲取系統、客觀和準確的審核證據。
上述從組織、認證過程和運用ICT審核技術的角度,在相關不同維度上,對審核證據獲取的風險進行了分析,我們在具體審核管理中要對這些風險加以管理,降低或避免認證過程可能的風險,提高審核的有效性。
ICT審核管理
我們把運用ICT工具載體審核的活動,劃分為靜態活動、現場確認活動、感官可體驗活動和感官不可體驗活動。靜態活動是直接可采用公用ICT審核技術實施審核的活動,其獲取審核證據的風險與傳統審核等同。現場確認活動主要是針對現場活動的審核,它是對ICT靜態活動的審核補充,與感官可體驗的活動一起構成現場審核證據獲得的手段,這些現場活動過程的風險在采用適宜的、專有的ICT軟硬件載體條件下,ICT的審核也可以實現某些風險控制。在運用公用ICT審核技術不能控制審核風險的過程中,我們會采取現場確認活動,按照產生風險過程的實際狀態,利用適宜的審核證據獲取方式、審核工作量分配比例、審核專業要求配置,改善和增加審核控制環節,通過部分現場活動確認的方法和細化審核管理來加強ICT審核技術的風險控制。
(一)申請評審管理
為有效利用ICT審核技術,要在與認證組織的前期溝通中,了解組織管理系統和生產系統使用ICT的現有條件,最大限度利用組織自身遠程的通訊系統,以支持審核過程的實現,申請評審管理中需確認:
組織日常使用的通用ICT管理工具情況;
組織運作的自身專有的ICT工具情況;
審核過程是否可以使用這些ICT工具,確認安裝方法并初步試用遠程系統的使用效果。
作為申請評審管理,由組織自身專有的ICT技術提供審核支持,可在審核過程中獲得組織管理的第一手資料,極大地減少審核風險,也可為降低審核風險提供策劃支持。
(二)方案策劃管理
考慮到利用ICT審核技術的風險點,在審核方案策劃中應對相關內容進行策劃,具體涉及以下內容:
該組織涉及的ICT審核條件是否具備,并確定遠程工具;
該組織運用ICT審核技術中,審核過程的風險點策劃;
針對ICT審核風險,確定遠程審核中靜態活動、現場確認活動、感官可體驗活動和感官不可體驗活動,以策劃各活動審核時間的分配;
是否需要現場補充審核或補充審核活動的安排;
審核組專業配置比例和專業程度要求;
安排ICT審核特殊情況或應急情況下的溝通渠道。
(三)審核組配置管理
在審核組配置中,對審核組成員應用ICT的相關通訊軟件、硬件工具的熟悉程度是必須要求的,更為重要的是,配置的審核組成員應了解企業信息和運作過程,審核組具備對同類企業或該企業傳統實際現場審核經歷,以及審核組成員對該領域專業的實際認知水平。利用ICT技術審核的審核組,配置的專業人員比例不小于60%(以彌補遠程審核中與現場操作有關的技術和專業信息判斷、審核路徑確定和審核證據追蹤等可能產生的缺失,防止提取審核證據不充分),配置的人員除滿足審核組能力的要求外,審核組中至少要有一名成員曾經對被審核企業有過傳統審核的審核經歷,并在審核組中能夠對其他成員提供對該企業的ICT審核指導,在審核前針對該企業以往體系運行情況對審核組其他成員進行了解性的培訓。
(四)審核實施控制
在審核實施過程中區別并管理這些風險過程,按風險的可控程度分為不同形式的審核活動類別:
靜態活動的ICT技術審核;
靜態活動+現場確認活動的ICT技術審核;
運用ICT技術,感官可體驗活動的遠程審核;
傳統審核。
在審核任務下達時,應區分審核任務中的任務類別和基本的風險控制點,使審核組長明確了解任務指令,并通過審核方案和規范文件要求,完成包含靜態活動和現場確認活動等全部審核過程活動的ICT審核計劃。無論采取怎樣的方法,審核計劃應滿足審核策劃方案的人日分配、多場所和審核時間的分配、審核組專業范圍覆蓋等要求。在實施靜態活動審核和現場確認活動審核的遠程審核過程中,審核信息借助審核路徑檢查表的方式,形成審核過程的信息流,解決審核活動信息的流轉和獲得審核證據的可靠。
ICT審核前,要求審核組長與審核組成員確定以下內容:
遠程使用設備和系統,并要有簡單的調試;
審核組長和審核組成員要針對審核計劃的安排進行執行方面的溝通;
了解組織的基本情況,審核組中參加過該企業傳統現場審核的成員(組長優先),應對全體成員進行審核前的溝通,使全體成員了解企業的體系運行實際狀況,以獲得ICT審核的現場重點;
審核記錄的要求,如審核部門或活動時,應明確使用的遠程工具——釘釘、QQ、微信、電話通訊、郵件等,或明確使用組織ICT工具名稱和使用程度;這些不同ICFT工具的使用可以幫助我們確認所獲取證據的可靠性;
明確告知審核組成員陪同人員的姓名及聯系方式,以便將審核成員和審核部門的遠程工具聯系起來,如建微信群、QQ群、通訊、傳遞文件和視頻等,以便于提高審核效率。
對于企業的邊界區域和位置,審核組要通過電子地圖確認企業的地理邊界和周邊環境,以了解企業可能的相關方。對于占地范圍較大的企業,可通過企業的平面圖和管網圖了解企業的實際布局,增加審核的有關信息。為提高審核效率,加快審核組與企業的溝通和提取資料的時間,審核組成員應將審核的有關要求和人員提前告知企業相關部門,使受審核部門提前做好有關審核的準備。
為協調ICT不同階段的審核活動,并將審核思路、證據跟蹤的彌補措施和風險控制信息進行傳遞,審核組成員針對需要跟蹤審核的風險控制點或審核證據不能被容易感知的活動信息,以審核路徑檢查表的方式,將相關信息傳遞到后續的審核活動中,并由后續審核人員追蹤確認。如:一個審核員實施QES管理體系,審核了質量檢驗部門,雖然已經通過ICT的審核獲得部分審核證據,但有些信息可能還要在后續審核中跟蹤確認,那么這些信息就要通過審核路徑檢查表加以描述,并將描述信息傳遞出去以作為接手審核員的信息輸入。后續審核員對審核信息作為其審核活動證據的補充部分,在審核路徑表中予以信息確認(見審核路徑表部分示例)。
通過上述對審核實施的管理,從審核方案識別風險,到審核過程識別風險的審核全過程管理,并通過審核路徑的信息確認,以保證審核證據的充分、準確和可靠,最終保證審核結果的有效性。
(五)ICT審核實例分析
審核過程是對現場審核證據的提取、辨識和判斷的一系列活動,無論傳統審核還是ICT審核,其證據都要充分、準確、可靠。
對于一個自動化程度較高的大型石油煉化企業,很多產品是危險化學品,由于流程化運作自動控制程度高,審核組利用ICT工具可以遠程使用組織的自有生產組織系統、內部管理系統及中控指揮監控系統,在這樣的情況下,審核組對現場的內部操作過程和外部操作過程的證據均可以通過組織的自動化系統、監控探頭、監控屏幕及連續的工作參數提取相應的證據,這些證據均可以充分展示組織資源、過程、參數的具體表現,準確表達生產和管理活動的實際運行狀態。通過這些第一手證據判斷組織管理體系運行的相關證據,其審核風險反而較傳統審核要小,審核期間又不用在場內行動穿插,減少了運動時間,提高了審核效率。
而對于一個勞動密集度較高的客貨運輸服務企業,涉及的過程簡單、設備較少,車輛是其最重要生產服務設備,如果沒有自有的信息工具,完全依靠社會公共信息軟件或硬件,審核組通過ICT工具只能進行一些通訊或較小視野的觀察。審核組在進行方案策劃時認為,即使是較簡單的過程、較少的設備,其服務的常規過程和管理部門的溝通是可以考慮采用簡單ICT工具進行管理部門的靜態活動審核,但是其服務活動的具體表現,尤其是多點、連續、移動的特點及與客戶接觸的服務過程是即時活動,沒有自有的ICT系統,若審核員審核時觀察和洞察力不夠,不容易通過現有公用的ICT技術獲取充分、客觀和準確的審核證據。這種情況下,過度地使用ICT審核技術就會產生較大的審核風險,最終影響審核目標。
因此,綜合地應用ICT的審核風險管理,既可以控制和降低審核風險,同時又可以提高審核有效性,對實現審核目標和提高審核效率具有積極意義。
結語
ICT的審核風險來自審核證據獲取是否充分、準確和可靠,利用ICT審核技術控制風險,必須保證審核證據可以達到這樣的要求。
審核組成員的專業程度至關重要,審核組專業人員的配置數量可以減少利用ICT審核獲取的專業部分審核證據的風險。
用大眾使用的ICT工具作為ICT審核工具,對于審核證據的獲得有時存在缺陷,這就是ICT的審核風險,認證機構通過利用被審核組織專有的ICT工具和自身充分的審核管理,可以消除和減少這些風險并提高審核的有效性和效率。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
