新冠肺炎疫情很大程度上影響了認證行業的審核工作,無法出行、不能到達客戶現場,使遠程審核成為很多機構的選擇。同時,識別、評估和分析認證審核的各類風險,進而提出對認證(審核)風險的防范措施和處理對策,規避審核風險,保證信息安全,已成為遠程審核不可缺少的重要內容。
風險及其特點
在ISO 19011:2018《管理體系審核指南》中,風險的定義為:不確定性的影響。
認證(審核)風險:認證行業在認證(審核)活動中的風險,就是認證機構通過控制自身認證審核活動所產生的認證審核結果的差異性,或者說認證審核的不確定性對認證審核目標所產生的影響。
認證(審核)風險一般具有以下特點:
不確定性——認證(審核)風險的發生及其后果具有不確定性。表現在:發生的可能性、發生的時間、發生的地點、發生的頻次、發生的后果等,均是不確定的。
客觀性——任何行業都會存在或面臨一定的風險,這是一種客觀存在,認證(審核)行業也不例外,只是面臨的風險程度(如高中低)不同而已。
可控性——認證(審核)風險多數是可以識別的,一般情況下大部分認證機構是可以控制的,風險控制主要是在原始審核風險的基礎上,通過較為有效的認證(審核)活動使其降低到認證機構可接受的水平。
可變性——在一定條件下任何事物總是會發展變化的,風險也不例外,當引起風險的因素發生變化時,必然會導致風險的變化。認證(審核)風險隨客觀環境而變化,也依賴于獲證組織管理系統的變化。如果認證機構對獲證組織不進行有效監督,認證(審核)風險反而會增大,因此需要實施多層次動態控制。
相對性——風險總是相對于事件的主體而言的。同樣的不確定事件對不同的主體有不同的影響。對于不同的認證機構,由于認證(審核)風險控制能力不同,使得同類認證(審核)風險的表現程度也有所不同,因此不同管理水平下的認證(審核)風險結果是不同的。
潛在性——認證(審核)過程中存在或多或少的不確定因素,受其影響,以及人員能力、技術條件所限、當前無法認知的知識領域,人們不能輕易領會、察覺或感知。
遠程審核
何謂“遠程”?英語釋義為:long-range、long-distance、remote,漢語釋義為:路程遠。
遠程審核,就是審核人員利用計算機和網絡傳輸技術,從受審核組織以外的地方對受審核方進行的體系審核。
當“面對面”的方法不可能或不需要時,使用技術來收集信息,借助交互式的通信手段進行交談。
遠程審核活動在受審核方(企業)現場以外的任何地方進行,無論距離遠近。
遠程所需的設備、軟件等,包括但不限于PC、手機、釘釘、微信、QQ、ZOOM、語音、視頻、郵件等方式。
遠程審核的風險分析
遠程審核在節省食宿交通成本、降低開支、取消旅途勞累的利好下,也產生了一些令人無法回避、必須面對的認證(審核)風險,這就要求認證機構、審核人員無論何時何地都要保持清醒頭腦、樹立風險意識、規避認證(審核)風險,為客戶最大程度地降低經營風險、創造認證(審核)價值。
防范、規避認證(審核)風險是各家認證機構管理工作的重中之重,需要認真分析、冷靜對待、持續關注:
認證機構管理層面——國家政策、政府監管、自身管理與執行力等,能影響到認證機構的自身發展及戰略、經營目標。
審核人員工作層面——自身素質、審核能力、風險把控、身體狀況等,能影響到審核人員的職業生涯及個人、家庭收入。
審核層面——審核是在規定的時間內取得足以證明受審核方(企業)管理體系符合性和有效性證據的過程,是一種對風險的把控。
筆者結合從2023年2月底開始、大半年多來的遠程審核總結發現,對主要的風險分析如下:
遠程審核不能訪問或無法實現
企業地處僻遠地區,或部分區域網絡信號無法接入;
客戶重要安全、敏感區域;
客戶禁止攝像、拍照的產品生產場所;
數據傳輸不夠安全與穩定;
大容量文件共享延時;
用戶存有電子或掃描資料外泄的防范心理;
部分區域或全部過程無法使用遠程審核手段加以審核;
高溫、高壓等特殊或異常環境等。
遠程審核時間不充分
網絡傳輸延遲,導致文件接收下載緩慢;
網速異常,導致共享操作顯示畫面靜止或時間延長;
溝通(如文字、語音、視頻)不夠順暢;
視頻/拍照圖像位置不當;
企業有/無意遮掩/擋;
涂\劃改資料掃描、再傳輸或共享展示等。
上述情況會導致不能及時、準確地獲取體系運行資料信息,需額外增加現場審核時間。
遠程審核證據獲取不全面
視角/視野狹窄;
企業協助與配合不到位、臨時湊拼補;
審核員不在現場,部分過程審核力/深度不足;
不能視頻客戶無人值守、遠距離智能化操作的工作地點,視線不夠;
抽樣證據的有效性不充分;
客戶數據資料傳輸丟包、不準確等。
遠程審核業務中斷
意外停電;
設備故障;
網絡鏈路異常;
通訊軟件出現BUG;
自然災害,如臺風、暴雨、雪災、地震、火災等。
上述情況會導致審核組不能按計劃如期進行審核,需后續補充或加以調整。
其他可能存在的相關風險
實施審核的設備(如PC、平板)和/或培訓不足;
審核組選擇不當,導致有效實施審核的整體能力不足;
審核任務較多,找沒有專業能力或能力不足的人員;
無效的外/內部溝通過程/渠道;
未考慮信息安全與保密,如客戶重要資料傳輸時被他人獲取或截圖;
專業體系條款策劃不合理;
使用公共場所Wi-Fi;
受目前技術條件所限,未知的,等等。
遠程審核的風險應對
目前,遠程審核的風險控制主要以國家政策、行業監管、認證機構管理制度以及審核組成員自身素質、審核能力、有效運作為前提,審核組全體人員必須認真進行遠程審核的風險識別與評估,嚴加控制,從而防范和規避遠程審核風險。
在審核七項原則中,已明確了保密性(信息安全)和基于風險的方法(考慮風險和機遇的審核方法)。
審核組/人員作為直接聯系客戶和認證機構的“紐帶”,應從規避和把控遠程審核風險的實際出發,找出客戶需要整改或應當注意的問題,讓客戶自身認識和評價存在的不符合或問題的危害性及進行整改的必要性。
審核組/人員應從獲取客戶文檔、方案策劃、文件審查、審核計劃、合理抽樣、提高質量、界定范圍、提高對法律/產品風險的認知水平、遠程溝通和應對能力,以及專業素質、道德水準、健康狀況、工作忠誠度等方面入手,規避遠程審核風險,這是審核人員所必需的基本能力。
方案的策劃
客戶環境相關的風險和機遇的存在,能夠關聯到審核方案,并且可以影響其目標的實現。
審核方案應考慮客戶的組織目標、相關的外部和內部問題、有關利益相關方的需要和期望、信息安全和保密要求。
審核方案的策劃應特別關注適宜利用遠程審核的內容,以及通過后期的現場驗證或補充審核降低使用遠程審核帶來的風險。
遠程審核策劃,包括但不限于如下內容:
受審核方所在區域疫情控制風險度,如高、中、低;
企業產品特點和復雜度,體系范圍,涉密內容,以及了解和熟悉程度;
軟、硬件網絡資源,以及客戶遠程接受程度;
審核人日的確定,如遠程/現場審核內容;
界定遠程、現場審核內容;
基于客戶信息安全保密,考慮簽訂保密協議;
提前搭建、預演、測試遠程審核環境;
音頻、視頻、訪談與交流的證據保存;
遠程突發事件,以及補救措施;
其他。
在確定審核人日時,對初審企業應采取現場與遠程相結合的方式。根據企業產品種類和復雜度、內外環境、體系范圍、人數、運營地址、臨時現場或生產場所等,確定審核人日,現場以1~2人日為宜。必要時根據受審核方關鍵人員的可用性調整審核日期,如審核人日間隔開、非連續。
現場審核內容應考慮體系范圍涉及的產品設計、生產、制造等過程,并核實資質原件、總人數、體系人數、覆蓋區域與場所、有無遺漏或瞞報等。
遠程審核內容,應不存在保密、無法遠程訪問等特殊環境的體系過程。
監督、再認證企業如體系范圍、產品種類未發生變化或變化不大、產品增加但生產工藝流程相同/相似/相近時。
文件的審查
采用ICT提前溝通、獲取企業體系文件化信息與運行資料,提出文審意見;
了解企業體系概況和自愿性體系證書獲取情況,如ISO 9001、ISO 20000-1、ISO 22301、ISO 27001、ISO 45001、GB/T 23001等;
根據體系范圍確定相應資質許可及有效期,如安全生產許可證、產品生產許可證、CCC、QS、電信資質、建筑業企業資質、建筑智能化系統設計專項、安防工程企業設計施工維護資質、測繪資質等;
國家信用信息嚴重失信主體相關名錄等。
計劃的編制
編制計劃時應基于風險的方法,應考慮:
采用的ICT方法;
遠程、現場的審核人日;
適當的抽樣、分層技術;
由于審核計劃的無力造成的實現審核目標的風險;
由審核計劃造成的受審核方的風險;
與保密和信息安全有關的事項等。
審核的實施
召開首次會議宜采用視頻會議的方式進行;
審核過程中,審核組宜建立及時、順暢的組內溝通渠道;
應加強與受審核方的溝通;
充分發揮 ICT 的優勢,盡可能多地從系統中獲取證據、驗證信息;
召開末次會議宜采用視頻會議的方式進行,審核結論、不符合項的確認宜通過電子文檔的形式予以保存;
審核報告通過公司郵箱發送給受審核方;
不符合項的整改通過電子文檔的形式予以溝通、確認;
整個過程保留必要的遠程審核證據,包括但不限于音頻、視頻、語音通話、拍照、截圖、訪談與交流的證據等。
審核的關注點
審核人員在遠程審核過程中應重點關注以下內容:
生產/制造過程各項活動和監控結果符合規定要求;
產品過程特別是關鍵、特殊過程控制得到有效控制;
不合格(品)得到有效控制、糾正措施的有效性;
內外環境分析、風評、內審、管評、改進措施;
人員能力及意識;
設備管理與維護,尤其是特種設備、監視和測量設備的定期檢驗;
采購和供應商管理、文件及記錄管理、持續改進機制等;
主要相關方、外包活動得到有效控制、過程監控到位;
組織適用法律法規,特別是與企業生產、安全、管理等密切相關法規(包括區域性法規)的收集、更新與應用、遵守情況及合規性評價,如密碼法、食品安全法、環境保護法等;
應急準備及響應:預案的適宜性、應急設備、應急演練,如觸電、火災、食物中毒、起重傷害等;
外部主管部門監測結果及處罰情況等。
審核的安全性
安全手段和內容:
接入客戶遠程用戶的審核人員的訪問必須經過認證;
登錄訪問時必須使用復雜密碼;
必須安裝防病毒軟件,并且病毒庫升級到最新;
訪問控制列表;
主機或設備的系統加固服務;
在客戶網絡與其他外部網絡的接入口,根據網絡實際情況,配置防火墻系統,實現網絡訪問控制;
審核人員的操作必須要經過客戶接入設備的審計,審計的典型技術包括Log 日志(服務器自動產生)、用戶行為監控(采用上網行為監控軟件或監控設備);
在訪問系統期間,未經許可,不允許使用任何方法(如攝像、拍照、拷貝、截圖、打印、手工記錄等)帶走任何數據和程序。
審核結束
當遠程審核工作活動結束時,客戶應盡快撤銷或鎖定審核人員的ICT遠程登錄授權和訪問權限,確保信息安全。
遠程審核的發展趨勢
變化和發展是永恒的,遠程審核的風險總是處在持續演進中。在SDN、區塊鏈技術、人工智能技術、大數據技術與應用、云計算技術、虛擬化技術日益發展的今天,遠程審核、遠程工作會逐漸成為一種常態模式,審核員需不斷提高風險意識和自身審核能力,規避審核過程風險,幫助企業降低經營風險,為認證行業可持續發展添磚加瓦。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
