新冠肺炎疫情很大程度上影響了認證行業(yè)的審核工作，無法出行、不能到達客戶現(xiàn)場，使遠程審核成為很多機構的選擇。同時，識別、評估和分析認證審核的各類風險，進而提出對認證(審核)風險的防范措施和處理對策，規(guī)避審核風險，保證信息安全，已成為遠程審核不可缺少的重要內容。

風險及其特點

在ISO 19011：2018《管理體系審核指南》中，風險的定義為：不確定性的影響。

認證(審核)風險：認證行業(yè)在認證(審核)活動中的風險，就是認證機構通過控制自身認證審核活動所產(chǎn)生的認證審核結果的差異性，或者說認證審核的不確定性對認證審核目標所產(chǎn)生的影響。

認證(審核)風險一般具有以下特點：

不確定性——認證(審核)風險的發(fā)生及其后果具有不確定性。表現(xiàn)在：發(fā)生的可能性、發(fā)生的時間、發(fā)生的地點、發(fā)生的頻次、發(fā)生的后果等，均是不確定的。

客觀性——任何行業(yè)都會存在或面臨一定的風險，這是一種客觀存在，認證(審核)行業(yè)也不例外，只是面臨的風險程度(如高中低)不同而已。

可控性——認證(審核)風險多數(shù)是可以識別的，一般情況下大部分認證機構是可以控制的，風險控制主要是在原始審核風險的基礎上，通過較為有效的認證(審核)活動使其降低到認證機構可接受的水平。

可變性——在一定條件下任何事物總是會發(fā)展變化的，風險也不例外，當引起風險的因素發(fā)生變化時，必然會導致風險的變化。認證(審核)風險隨客觀環(huán)境而變化，也依賴于獲證組織管理系統(tǒng)的變化。如果認證機構對獲證組織不進行有效監(jiān)督，認證(審核)風險反而會增大，因此需要實施多層次動態(tài)控制。

相對性——風險總是相對于事件的主體而言的。同樣的不確定事件對不同的主體有不同的影響。對于不同的認證機構，由于認證(審核)風險控制能力不同，使得同類認證(審核)風險的表現(xiàn)程度也有所不同，因此不同管理水平下的認證(審核)風險結果是不同的。

潛在性——認證(審核)過程中存在或多或少的不確定因素，受其影響，以及人員能力、技術條件所限、當前無法認知的知識領域，人們不能輕易領會、察覺或感知。

遠程審核

何謂“遠程”?英語釋義為：long-range、long-distance、remote，漢語釋義為：路程遠。

遠程審核，就是審核人員利用計算機和網(wǎng)絡傳輸技術，從受審核組織以外的地方對受審核方進行的體系審核。

當“面對面”的方法不可能或不需要時，使用技術來收集信息，借助交互式的通信手段進行交談。

遠程審核活動在受審核方(企業(yè))現(xiàn)場以外的任何地方進行，無論距離遠近。

遠程所需的設備、軟件等，包括但不限于PC、手機、釘釘、微信、QQ、ZOOM、語音、視頻、郵件等方式。

遠程審核的風險分析

遠程審核在節(jié)省食宿交通成本、降低開支、取消旅途勞累的利好下，也產(chǎn)生了一些令人無法回避、必須面對的認證(審核)風險，這就要求認證機構、審核人員無論何時何地都要保持清醒頭腦、樹立風險意識、規(guī)避認證(審核)風險，為客戶最大程度地降低經(jīng)營風險、創(chuàng)造認證(審核)價值。

防范、規(guī)避認證(審核)風險是各家認證機構管理工作的重中之重，需要認真分析、冷靜對待、持續(xù)關注：

認證機構管理層面——國家政策、政府監(jiān)管、自身管理與執(zhí)行力等，能影響到認證機構的自身發(fā)展及戰(zhàn)略、經(jīng)營目標。

審核人員工作層面——自身素質、審核能力、風險把控、身體狀況等，能影響到審核人員的職業(yè)生涯及個人、家庭收入。

審核層面——審核是在規(guī)定的時間內取得足以證明受審核方(企業(yè))管理體系符合性和有效性證據(jù)的過程，是一種對風險的把控。

筆者結合從2023年2月底開始、大半年多來的遠程審核總結發(fā)現(xiàn)，對主要的風險分析如下：

遠程審核不能訪問或無法實現(xiàn)

企業(yè)地處僻遠地區(qū)，或部分區(qū)域網(wǎng)絡信號無法接入;

客戶重要安全、敏感區(qū)域;

客戶禁止攝像、拍照的產(chǎn)品生產(chǎn)場所;

數(shù)據(jù)傳輸不夠安全與穩(wěn)定;

大容量文件共享延時;

用戶存有電子或掃描資料外泄的防范心理;

部分區(qū)域或全部過程無法使用遠程審核手段加以審核;

高溫、高壓等特殊或異常環(huán)境等。

遠程審核時間不充分

網(wǎng)絡傳輸延遲，導致文件接收下載緩慢;

網(wǎng)速異常，導致共享操作顯示畫面靜止或時間延長;

溝通(如文字、語音、視頻)不夠順暢;

視頻/拍照圖像位置不當;

企業(yè)有/無意遮掩/擋;

涂\劃改資料掃描、再傳輸或共享展示等。

上述情況會導致不能及時、準確地獲取體系運行資料信息，需額外增加現(xiàn)場審核時間。

遠程審核證據(jù)獲取不全面

視角/視野狹窄;

企業(yè)協(xié)助與配合不到位、臨時湊拼補;

審核員不在現(xiàn)場，部分過程審核力/深度不足;

不能視頻客戶無人值守、遠距離智能化操作的工作地點，視線不夠;

抽樣證據(jù)的有效性不充分;

客戶數(shù)據(jù)資料傳輸丟包、不準確等。

遠程審核業(yè)務中斷

意外停電;

設備故障;

網(wǎng)絡鏈路異常;

通訊軟件出現(xiàn)BUG;

自然災害，如臺風、暴雨、雪災、地震、火災等。

上述情況會導致審核組不能按計劃如期進行審核，需后續(xù)補充或加以調整。

其他可能存在的相關風險

實施審核的設備(如PC、平板)和/或培訓不足;

審核組選擇不當，導致有效實施審核的整體能力不足;

審核任務較多，找沒有專業(yè)能力或能力不足的人員;

無效的外/內部溝通過程/渠道;

未考慮信息安全與保密，如客戶重要資料傳輸時被他人獲取或截圖;

專業(yè)體系條款策劃不合理;

使用公共場所Wi-Fi;

受目前技術條件所限，未知的，等等。

遠程審核的風險應對

目前，遠程審核的風險控制主要以國家政策、行業(yè)監(jiān)管、認證機構管理制度以及審核組成員自身素質、審核能力、有效運作為前提，審核組全體人員必須認真進行遠程審核的風險識別與評估，嚴加控制，從而防范和規(guī)避遠程審核風險。

在審核七項原則中，已明確了保密性(信息安全)和基于風險的方法(考慮風險和機遇的審核方法)。

審核組/人員作為直接聯(lián)系客戶和認證機構的“紐帶”，應從規(guī)避和把控遠程審核風險的實際出發(fā)，找出客戶需要整改或應當注意的問題，讓客戶自身認識和評價存在的不符合或問題的危害性及進行整改的必要性。

審核組/人員應從獲取客戶文檔、方案策劃、文件審查、審核計劃、合理抽樣、提高質量、界定范圍、提高對法律/產(chǎn)品風險的認知水平、遠程溝通和應對能力，以及專業(yè)素質、道德水準、健康狀況、工作忠誠度等方面入手，規(guī)避遠程審核風險，這是審核人員所必需的基本能力。

方案的策劃

客戶環(huán)境相關的風險和機遇的存在，能夠關聯(lián)到審核方案，并且可以影響其目標的實現(xiàn)。

審核方案應考慮客戶的組織目標、相關的外部和內部問題、有關利益相關方的需要和期望、信息安全和保密要求。

審核方案的策劃應特別關注適宜利用遠程審核的內容，以及通過后期的現(xiàn)場驗證或補充審核降低使用遠程審核帶來的風險。

遠程審核策劃，包括但不限于如下內容：

受審核方所在區(qū)域疫情控制風險度，如高、中、低;

企業(yè)產(chǎn)品特點和復雜度，體系范圍，涉密內容，以及了解和熟悉程度;

軟、硬件網(wǎng)絡資源，以及客戶遠程接受程度;

審核人日的確定，如遠程/現(xiàn)場審核內容;

界定遠程、現(xiàn)場審核內容;

基于客戶信息安全保密，考慮簽訂保密協(xié)議;

提前搭建、預演、測試遠程審核環(huán)境;

音頻、視頻、訪談與交流的證據(jù)保存;

遠程突發(fā)事件，以及補救措施;

其他。

在確定審核人日時，對初審企業(yè)應采取現(xiàn)場與遠程相結合的方式。根據(jù)企業(yè)產(chǎn)品種類和復雜度、內外環(huán)境、體系范圍、人數(shù)、運營地址、臨時現(xiàn)場或生產(chǎn)場所等，確定審核人日，現(xiàn)場以1~2人日為宜。必要時根據(jù)受審核方關鍵人員的可用性調整審核日期，如審核人日間隔開、非連續(xù)。

現(xiàn)場審核內容應考慮體系范圍涉及的產(chǎn)品設計、生產(chǎn)、制造等過程，并核實資質原件、總人數(shù)、體系人數(shù)、覆蓋區(qū)域與場所、有無遺漏或瞞報等。

遠程審核內容，應不存在保密、無法遠程訪問等特殊環(huán)境的體系過程。

監(jiān)督、再認證企業(yè)如體系范圍、產(chǎn)品種類未發(fā)生變化或變化不大、產(chǎn)品增加但生產(chǎn)工藝流程相同/相似/相近時。

文件的審查

采用ICT提前溝通、獲取企業(yè)體系文件化信息與運行資料，提出文審意見;

了解企業(yè)體系概況和自愿性體系證書獲取情況，如ISO 9001、ISO 20000-1、ISO 22301、ISO 27001、ISO 45001、GB/T 23001等;

根據(jù)體系范圍確定相應資質許可及有效期，如安全生產(chǎn)許可證、產(chǎn)品生產(chǎn)許可證、CCC、QS、電信資質、建筑業(yè)企業(yè)資質、建筑智能化系統(tǒng)設計專項、安防工程企業(yè)設計施工維護資質、測繪資質等;

國家信用信息嚴重失信主體相關名錄等。

計劃的編制

編制計劃時應基于風險的方法，應考慮：

采用的ICT方法;

遠程、現(xiàn)場的審核人日;

適當?shù)某闃?、分層技術;

由于審核計劃的無力造成的實現(xiàn)審核目標的風險;

由審核計劃造成的受審核方的風險;

與保密和信息安全有關的事項等。

審核的實施

召開首次會議宜采用視頻會議的方式進行;

審核過程中，審核組宜建立及時、順暢的組內溝通渠道;

應加強與受審核方的溝通;

充分發(fā)揮 ICT 的優(yōu)勢，盡可能多地從系統(tǒng)中獲取證據(jù)、驗證信息;

召開末次會議宜采用視頻會議的方式進行，審核結論、不符合項的確認宜通過電子文檔的形式予以保存;

審核報告通過公司郵箱發(fā)送給受審核方;

不符合項的整改通過電子文檔的形式予以溝通、確認;

整個過程保留必要的遠程審核證據(jù)，包括但不限于音頻、視頻、語音通話、拍照、截圖、訪談與交流的證據(jù)等。

審核的關注點

審核人員在遠程審核過程中應重點關注以下內容：

生產(chǎn)/制造過程各項活動和監(jiān)控結果符合規(guī)定要求;

產(chǎn)品過程特別是關鍵、特殊過程控制得到有效控制;

不合格(品)得到有效控制、糾正措施的有效性;

內外環(huán)境分析、風評、內審、管評、改進措施;

人員能力及意識;

設備管理與維護，尤其是特種設備、監(jiān)視和測量設備的定期檢驗;

采購和供應商管理、文件及記錄管理、持續(xù)改進機制等;

主要相關方、外包活動得到有效控制、過程監(jiān)控到位;

組織適用法律法規(guī)，特別是與企業(yè)生產(chǎn)、安全、管理等密切相關法規(guī)(包括區(qū)域性法規(guī))的收集、更新與應用、遵守情況及合規(guī)性評價，如密碼法、食品安全法、環(huán)境保護法等;

應急準備及響應：預案的適宜性、應急設備、應急演練，如觸電、火災、食物中毒、起重傷害等;

外部主管部門監(jiān)測結果及處罰情況等。

審核的安全性

安全手段和內容：

接入客戶遠程用戶的審核人員的訪問必須經(jīng)過認證;

登錄訪問時必須使用復雜密碼;

必須安裝防病毒軟件，并且病毒庫升級到最新;

訪問控制列表;

主機或設備的系統(tǒng)加固服務;

在客戶網(wǎng)絡與其他外部網(wǎng)絡的接入口，根據(jù)網(wǎng)絡實際情況，配置防火墻系統(tǒng)，實現(xiàn)網(wǎng)絡訪問控制;

審核人員的操作必須要經(jīng)過客戶接入設備的審計，審計的典型技術包括Log 日志(服務器自動產(chǎn)生)、用戶行為監(jiān)控(采用上網(wǎng)行為監(jiān)控軟件或監(jiān)控設備);

在訪問系統(tǒng)期間，未經(jīng)許可，不允許使用任何方法(如攝像、拍照、拷貝、截圖、打印、手工記錄等)帶走任何數(shù)據(jù)和程序。

審核結束

當遠程審核工作活動結束時，客戶應盡快撤銷或鎖定審核人員的ICT遠程登錄授權和訪問權限，確保信息安全。

遠程審核的發(fā)展趨勢

變化和發(fā)展是永恒的，遠程審核的風險總是處在持續(xù)演進中。在SDN、區(qū)塊鏈技術、人工智能技術、大數(shù)據(jù)技術與應用、云計算技術、虛擬化技術日益發(fā)展的今天，遠程審核、遠程工作會逐漸成為一種常態(tài)模式，審核員需不斷提高風險意識和自身審核能力，規(guī)避審核過程風險，幫助企業(yè)降低經(jīng)營風險，為認證行業(yè)可持續(xù)發(fā)展添磚加瓦。

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心

免責聲明：本文部分內容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202107/ccaa_25247.html