ISO认证

如何运用互联网技术实施有效iso认证审核

网络2021-05-23495
如何运用互联网技术实施有效iso认证审核        运用信息和通讯技术(ICT)的审核技术,在iso认证认可领域理论方面的讨论进行了多年,由于互联网技术的发展成熟程度和行业对于互联网认知的不同,虽然很早已经建立了有关的规范...
如何运用互联网技术实施有效iso认证审核

 

       运用信息和通讯技术(ICT)的审核技术,在iso认证认可领域理论方面的讨论进行了多年,由于互联网技术的发展成熟程度和行业对于互联网认知的不同,虽然很早已经建立了有关的规范,但由于各种原因一直没有在应用实践中规模化开展相关工作。 

        广泛的人员流动和人员之间的沟通聚集是iso认证认可行业的工作特点,也是多年来认证审核的传统工作模式,但2020年的新冠肺炎疫情严重影响了这种工作模式。因此运用互联网技术进行远程审核成为抗疫期间iso认证认可行业复工复产的途径,同时也是iso认证认可从业机构助力社会各行业复工复产的有力手段,在有序控制风险和管理审核过程的前提下,认证机构运用ICT技术还可以提高审核效率和审核的有效性,这种审核技术的发展也是在高科技条件下,提升iso认证认可工作满足要求能力的必然趋势。

本文基于运用互联网审核技术的审核管理实践,提出如何对运用ICT审核技术中的风险产生点和审核过程的具体活动加以管理,以提高审核有效性和效率。

 

支持审核结果判断的“审核证据”

审核是“为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的过程。”“审核证据”是基于系统的审核方法,通过询证和抽样寻找和确认被审核活动的存在或其信息真实性的过程结果。审核的目标是通过获取的“审核证据”以形成审核发现,并进而通过评价形成审核结论。由此可见,获得充分、准确和可靠的审核证据是做好审核的基础。

 

通常获取审核证据的方式和方法是通过观察、测量、试验或其他方法获得,具体的操作过程是审核员通过与当事人询问、交谈,查阅有关文件的规定依据,查阅有关活动的记录结果,现场观察活动的内容和过程等方式提取证实其活动满足要求的客观证据,进而以此作为审核证据,判断审核发现,得出审核结论。审核过程中无论我们采取什么样的方式都要保证支持审核结论的审核证据应该是充分、准确、可靠和可追溯。

 

采取传统审核技术和ICT审核技术获得审核证据的不同点在于审核过程中所使用工具载体的变化,由于这种载体的变化,产生了获取客观证据时可能产生对过程或信息的充分性、准确性和可靠性判断发生偏离的现象,因而产生由于工具的变化带来审核风险的可能性。我们试图在审核的管理实践中,管理这些在审核中由于差异性变化带来的风险。只要在这种变化中管理好提取审核证据的差异性,就可以获得与传统审核同样可靠的审核证据,并以此做出相同的审核结论判定。

 

运用ICT审核技术的“风险来源”

无论运用怎样的审核工具,审核风险的来源与获得“审核证据”的充分、准确、可靠和客观性有直接的联系,如果运用ICT审核技术不能获得这样的“审核证据”,那么审核的风险就必然产生。

 

基于上述的理解,在识别审核风险方面,应主要考虑:认可规范的要求、审核业务范围风险等级,审核证据的可获得性,审核证据被追踪的可靠性。

 

从以上三点出发,识别审核企业的风险点,可以便于在审核中加以管理和控制。这些风险点具体体现在:

1. 认可规范中所评定A、B、C认证机构的具体要求应加以考虑,由于不适当的认证机构风险管理,可能导致审核证据的获取产生偏差进而影响审核结果的有效性,引发认证机构在认可机构的管理中可能产生的降级风险。

2. 被审核组织在其业务范围内本身管理中ICT技术的使用程度。被审核组织在其业务范围内管理目标的高低也决定了其过程管理中风险的程度,较低的管理目标和ICT使用程度,会使审核员获得信息时可能产生证据死角、证据信息割裂或者是获得的证据信息不充分和不具代表性等情况,从而在综合判断时,可能产生不恰当的判断结果。

3. 审核业务范围的风险等级,涉及认证机构认可业务范围管理的风险。业务范围管理中,不能在专业领域有较强针对性地细化认证机构业务范围中的专业系统分析的专业类别,致使在具体的业务范围审核中,由于审核专业粗放,而在利用ICT审核技术时会产生一些细节上的流程没有识别或错误识别,从而得到不充分的审核证据。

4. 审核证据的可获得性,其中包括:

组织规模——组织规模的大小对获取审核证据的充分性有影响。由于ICT工具的视角、距离识别等原因,较大的组织(大跨度车间、长线生产流程、空间较大的装置设备等)在获取审核证据时,会产生部分或不具整体性的感觉,可能产生在综合判断审核证据充分性方面产生的困难。

劳动密集程度——劳动密集度较大的企业,人员变动大,运用ICT审核技术不直观,审核组专业性稍有弱项的时候,考虑因素就会不足,会产生抽样的不稳定和不准确,获取审核证据的准确性差异性较大,甚至误判。

组织的自动化程度——自动化系统程度较低的企业,对其审核证据的获得会产生证据信息的不稳定,导致不准确。较高的自动化系统组织,审核过程可以利用组织的ERP等系统,获得组织运行的直接信息,可降低审核风险。

与传统领域相比较的技术含量——技术含量较高的企业,如基因工程、遗传工程等领域专业技术要求较高,审核中需要确认的专业信息量大,会产生大量的专业沟通,但远程审核受软硬件条件的限制,获得该类信息的充分性审核证据较困难。

5. 审核证据追踪的可靠性,其中包括:

提取证据的环境限制——有毒有害空间、狭小工作环境、影响作业的湿热环境、较暗的环境等,这些环境由于ICT视野和其他感官的关系,存在审核证据提取不足和不准确的风险。

远程工具的使用——通用的公共软件和硬件使用在审核证据提取中存在工具本身的缺陷,导致审核证据提取不充分(如在防爆的环境中使用手机等),但如果可以利用组织自身的防爆探头、光源、摄像等手段就可以获得组织运行的直接证据。

感官体验——无色物、温度、湿度以及可能的观察视角和不连续的拍摄等对获取一定的审核证据具有局限性,从而导致证据的准确性。

审核员的经验和专业性——通过审核对象所提供的信息,证实审核目标的可实现性,较强的审核员专业能力可以补充ICT审核技术在某些过程中获取审核证据的充分性。如:专业知识保证预设的审核路线安排,减少审核过程可能的随意性,以获取系统、客观和准确的审核证据。

 

上述从组织、认证过程和运用ICT审核技术的角度,在相关不同维度上,对审核证据获取的风险进行了分析,我们在具体审核管理中要对这些风险加以管理,降低或避免认证过程可能的风险,提高审核的有效性。

 

ICT审核管理

我们把运用ICT工具载体审核的活动,划分为静态活动、现场确认活动、感官可体验活动和感官不可体验活动。静态活动是直接可采用公用ICT审核技术实施审核的活动,其获取审核证据的风险与传统审核等同。现场确认活动主要是针对现场活动的审核,它是对ICT静态活动的审核补充,与感官可体验的活动一起构成现场审核证据获得的手段,这些现场活动过程的风险在采用适宜的、专有的ICT软硬件载体条件下,ICT的审核也可以实现某些风险控制。在运用公用ICT审核技术不能控制审核风险的过程中,我们会采取现场确认活动,按照产生风险过程的实际状态,利用适宜的审核证据获取方式、审核工作量分配比例、审核专业要求配置,改善和增加审核控制环节,通过部分现场活动确认的方法和细化审核管理来加强ICT审核技术的风险控制。

 

(一)申请评审管理

为有效利用ICT审核技术,要在与iso认证企业的前期沟通中,了解组织管理系统和生产系统使用ICT的现有条件,最大限度利用组织自身远程的通讯系统,以支持审核过程的实现,申请评审管理中需确认:

组织日常使用的通用ICT管理工具情况;

组织运作的自身专有的ICT工具情况;

审核过程是否可以使用这些ICT工具,确认安装方法并初步试用远程系统的使用效果。

作为申请评审管理,由组织自身专有的ICT技术提供审核支持,可在审核过程中获得组织管理的第一手资料,极大地减少审核风险,也可为降低审核风险提供策划支持。

 

(二)方案策划管理

考虑到利用ICT审核技术的风险点,在审核方案策划中应对相关内容进行策划,具体涉及以下内容:

该组织涉及的ICT审核条件是否具备,并确定远程工具;

该组织运用ICT审核技术中,审核过程的风险点策划;

针对ICT审核风险,确定远程审核中静态活动、现场确认活动、感官可体验活动和感官不可体验活动,以策划各活动审核时间的分配;

是否需要现场补充审核或补充审核活动的安排;

审核组专业配置比例和专业程度要求;

安排ICT审核特殊情况或应急情况下的沟通渠道。

 

(三)审核组配置管理

在审核组配置中,对审核组成员应用ICT的相关通讯软件、硬件工具的熟悉程度是必须要求的,更为重要的是,配置的审核组成员应了解企业信息和运作过程,审核组具备对同类企业或该企业传统实际现场审核经历,以及审核组成员对该领域专业的实际认知水平。利用ICT技术审核的审核组,配置的专业人员比例不小于60%(以弥补远程审核中与现场操作有关的技术和专业信息判断、审核路径确定和审核证据追踪等可能产生的缺失,防止提取审核证据不充分),配置的人员除满足审核组能力的要求外,审核组中至少要有一名成员曾经对被审核企业有过传统审核的审核经历,并在审核组中能够对其他成员提供对该企业的ICT审核指导,在审核前针对该企业以往体系运行情况对审核组其他成员进行了解性的培训。

 

(四)审核实施控制

在审核实施过程中区别并管理这些风险过程,按风险的可控程度分为不同形式的审核活动类别:

静态活动的ICT技术审核;

静态活动+现场确认活动的ICT技术审核;

运用ICT技术,感官可体验活动的远程审核;

传统审核。

在审核任务下达时,应区分审核任务中的任务类别和基本的风险控制点,使审核组长明确了解任务指令,并通过审核方案和规范文件要求,完成包含静态活动和现场确认活动等全部审核过程活动的ICT审核计划。无论采取怎样的方法,审核计划应满足审核策划方案的人日分配、多场所和审核时间的分配、审核组专业范围覆盖等要求。在实施静态活动审核和现场确认活动审核的远程审核过程中,审核信息借助审核路径检查表的方式,形成审核过程的信息流,解决审核活动信息的流转和获得审核证据的可靠。

ICT审核前,要求审核组长与审核组成员确定以下内容:

远程使用设备和系统,并要有简单的调试;

审核组长和审核组成员要针对审核计划的安排进行执行方面的沟通;

了解组织的基本情况,审核组中参加过该企业传统现场审核的成员(组长优先),应对全体成员进行审核前的沟通,使全体成员了解企业的体系运行实际状况,以获得ICT审核的现场重点; 

审核记录的要求,如审核部门或活动时,应明确使用的远程工具——钉钉、QQ、微信、电话通讯、邮件等,或明确使用组织ICT工具名称和使用程度;这些不同ICFT工具的使用可以帮助我们确认所获取证据的可靠性;

明确告知审核组成员陪同人员的姓名及联系方式,以便将审核成员和审核部门的远程工具联系起来,如建微信群、QQ群、通讯、传递文件和视频等,以便于提高审核效率。

对于企业的边界区域和位置,审核组要通过电子地图确认企业的地理边界和周边环境,以了解企业可能的相关方。对于占地范围较大的企业,可通过企业的平面图和管网图了解企业的实际布局,增加审核的有关信息。为提高审核效率,加快审核组与企业的沟通和提取资料的时间,审核组成员应将审核的有关要求和人员提前告知企业相关部门,使受审核部门提前做好有关审核的准备。 

为协调ICT不同阶段的审核活动,并将审核思路、证据跟踪的弥补措施和风险控制信息进行传递,审核组成员针对需要跟踪审核的风险控制点或审核证据不能被容易感知的活动信息,以审核路径检查表的方式,将相关信息传递到后续的审核活动中,并由后续审核人员追踪确认。如:一个审核员实施QES管理体系,审核了质量检验部门,虽然已经通过ICT的审核获得部分审核证据,但有些信息可能还要在后续审核中跟踪确认,那么这些信息就要通过审核路径检查表加以描述,并将描述信息传递出去以作为接手审核员的信息输入。后续审核员对审核信息作为其审核活动证据的补充部分,在审核路径表中予以信息确认(见审核路径表部分示例)。

 

 

通过上述对审核实施的管理,从审核方案识别风险,到审核过程识别风险的审核全过程管理,并通过审核路径的信息确认,以保证审核证据的充分、准确和可靠,最终保证审核结果的有效性。

 

(五)ICT审核实例分析

审核过程是对现场审核证据的提取、辨识和判断的一系列活动,无论传统审核还是ICT审核,其证据都要充分、准确、可靠。

对于一个自动化程度较高的大型石油炼化企业,很多产品是危险化学品,由于流程化运作自动控制程度高,审核组利用ICT工具可以远程使用组织的自有生产组织系统、内部管理系统及中控指挥监控系统,在这样的情况下,审核组对现场的内部操作过程和外部操作过程的证据均可以通过组织的自动化系统、监控探头、监控屏幕及连续的工作参数提取相应的证据,这些证据均可以充分展示组织资源、过程、参数的具体表现,准确表达生产和管理活动的实际运行状态。通过这些第一手证据判断组织管理体系运行的相关证据,其审核风险反而较传统审核要小,审核期间又不用在场内行动穿插,减少了运动时间,提高了审核效率。

而对于一个劳动密集度较高的客货运输服务企业,涉及的过程简单、设备较少,车辆是其最重要生产服务设备,如果没有自有的信息工具,完全依靠社会公共信息软件或硬件,审核组通过ICT工具只能进行一些通讯或较小视野的观察。审核组在进行方案策划时认为,即使是较简单的过程、较少的设备,其服务的常规过程和管理部门的沟通是可以考虑采用简单ICT工具进行管理部门的静态活动审核,但是其服务活动的具体表现,尤其是多点、连续、移动的特点及与客户接触的服务过程是即时活动,没有自有的ICT系统,若审核员审核时观察和洞察力不够,不容易通过现有公用的ICT技术获取充分、客观和准确的审核证据。这种情况下,过度地使用ICT审核技术就会产生较大的审核风险,最终影响审核目标。

 

因此,综合地应用ICT的审核风险管理,既可以控制和降低审核风险,同时又可以提高审核有效性,对实现审核目标和提高审核效率具有积极意义。

 

结语

ICT的审核风险来自审核证据获取是否充分、准确和可靠,利用ICT审核技术控制风险,必须保证审核证据可以达到这样的要求。

 

审核组成员的专业程度至关重要,审核组专业人员的配置数量可以减少利用ICT审核获取的专业部分审核证据的风险。

 

用大众使用的ICT工具作为ICT审核工具,对于审核证据的获得有时存在缺陷,这就是ICT的审核风险,认证机构通过利用被审核组织专有的ICT工具和自身充分的审核管理,可以消除和减少这些风险并提高审核的有效性和效率。

 

来源:《中国iso认证认可》杂志 2021年第3期