ISO认证应用ICT远程审核的风险及应对措施

    近年来,伴随着传统制造向智能制造的逐步升级,以及新兴行业和新型业态的迅速发展,传统审核方式已不能完全满足新形势下的新需求,将信息与通信技术(ICT)应用于审核活动的研究和实践在有序开展。近三年的新冠肺炎疫情导致出行受限,制约了现场审核活动的正常进行,加速了ICT应用于远程审核的发展和推广。

    应用ICT远程审核是在审核时融入音频、视频、远程屏幕等数据交互方式,获取有效审核证据。在特定的情况下,既解决了不到现场也能完成满足认可要求的审核活动,也满足了受审核方认证审核的市场需求,是创新优化审核的手段。

    应用ICT远程审核是在受审核活动的实际场所以外地点实施的审核,如在勘探公司总部远程审核其偏远山区的勘查分现场,或在物流仓储部远程审核运输过程中对物品的搬运和防护等,在诸多场景下,既可降低认证审核成本,也能减轻审核员旅途奔波和交通风险,提高了认证审核活动的经济性和环保性等。

    ICT远程审核作为传统审核的补充方式,具有方便快捷等诸多优点,且呈现出逐步普及趋势,但远程审核也存在自身的局限性和风险,认证机构宜对可能影响远程审核过程的安全性、有效性、完整性与可信性的风险加以防范和应对,才能确保达到预期的审核目标。

    本文从6个方面提出应用ICT远程审核中可能存在的风险并给出了应对措施,以便在从事认证审核活动时充分利用远程审核的优点,合理规避风险,提升审核活动的效率和效能。


    信息安全问题导致失泄密风险

    信息安全是认证机构向受审核方提供信任认证的必要条件。应用ICT远程审核时,电子信息或电子化传输信息的安全性和保密性尤为重要,若有不慎可能会发生失泄密的风险。

    其应对措施如下:

    双方达成一致意见

    应考虑与保密性、安全性和数据保护相关的法律法规,在拟应用远程审核时,双方应就信息公开和保密要求方面的特殊要求、遵守信息安全与数据保护的措施和规则达成特定的一致意见。在认证受理之初,针对远程审核安全问题签署具有法律约束力的合同或协议。

    保密部门审查通过

    应用ICT远程审核,有涉密要求时应遵守国家、军队保密管理规定,不得通过公共网络传输。对涉密单位的审核原则上不允许应用ICT远程审核,若需使用应事先得到该单位保密主管部门的书面批准。

    条件不具备不采用远程审核

    对于信息安全条件不满足要求,不具备应用ICT远程审核所需人员能力和设备或与受审核方未达成一致意见时,不采用远程审核,应使用其他方法实施审核以满足审核目的。

    设备设施问题导致审核无法完成风险

    远程审核对设备设施的软硬件有较高程度的依赖,若审核过程中因软硬件故障、停电,或因网络资源(如网络连接断开、网络信号差、访问授权被取消等)问题导致审核中断,可能导致审核无法按计划要求完成。

    其应对措施如下:

    前期模拟测试

    应确定远程审核所需设备设施、使用程度,明确审核过程、要素和场所准备使用的软硬件,在审核前进行测试和模拟演练,确定所需的环境、条件、时间等均能满足审核要求。

    制定替代方案

    在策划远程审核方案时,应考虑替代的软硬件,如备用设备、电源、软件以及备用审核方式等。如当视频连线失效时,可采用电话连线加图片传输形式替代,当实时语音形式失效时,可采用实时文字联系或邮件形式替代等。可行时,替代方案相关软硬件应事先进行测试和演练。

    调整审核方案

    预先判断审核中断的可能情形,并与受审核方商定调整审核方案。若审核现场由于设备设施问题导致审核中断,且替代方案也无法实施时,按预定的调整方案视情况采取延长审核时间、延期审核、变更或中止审核等措施。

    人员能力问题导致审核有效性差风险

    认证双方人员开展远程审核特定能力不足,导致审核有效性差,如审核证据发现不充分、审核任务不能顺利完成等,可能出现不满足认证认可相关要求情况。

    其应对措施如下:

    认证管理人员具备能力

    认证管理人员具有相应特定能力,有风险和机遇意识,例如识别远程审核项目风险、信息安全风险及职业健康安全风险;应用ICT技术对信息收集有效性和客观性的影响;具有电子信息或电子化信息传输的安全性、保密性和数据保护的控制能力;熟悉相关监督部门和认可机构对于远程审核的强制性要求或指导性意见;熟悉相关法律法规、标准和其他要求。

    认证审核人员具备能力

    认证审核人员应具有相应特定能力,在审核时使用适当的电子设备和其他技术的技能,如具备理解和利用所采用的ICT技术的能力,包括远程接入受审核方电子信息系统或数据中心的能力;具有熟练应用移动摄像技术、视频监控系统,利用会议软件进行电话、视频会议的能力;具有解决技术问题、在审核前技术检查和审核中因技术原因导致审核受阻或中断时使用替代技术和方案的能力。

    受审核方人员具备能力

    受审核方应指定具备相应特定能力的人员,专门配合远程审核活动。该人员能够理解远程审核所需相关要求,根据审核组的要求安排和协调远程审核的配合事项;能够指导或帮助不能熟练使用远程技术的受审核对象接受审核;具备及时处理审核中可能出现的各类应急情况的能力。

    审核方案不合理导致不满足认可要求风险

    应用ICT远程审核方案策划不合理、远程审核方式不恰当、全部使用远程审核代替现场审核造成审核活动不完整等,可能导致不满足相关认可要求风险,问题严重时可能造成机构降级情况。

    其应对措施如下:

    充分沟通周密策划

    需对受审核方信息和要求充分了解,并周密策划审核方案,确定采用远程审核及ICT的限制(包括所采用形式、所涉及的内容、所占审核时间比例等方面的限制),预先确定远程审核的重点难点和风险点,分配更多的审核时间和资源,充分沟通,合理安排,从而保证审核活动的充分性与适宜性,满足认可要求。

    确定远程审核场景适宜性

    适宜的远程审核场景:特定的地点或事件导致无法前往受审核方现场审核(如因特殊事件发生、安全、交通限制等);分场所数量多、距离远、平时无人仅执行任务时有人值班的场所(如卫星发射基地的测试点);临时场所、危险场所等。

    除特定认证方案另有规定,以下场景不宜全面实施远程审核:初次审核、再认证、年度监督保持、新扩范围或地点、有重大变化情况的;认证风险级别较高;暂停后或延长期限未进行现场审核;认证周期内出现重大事故、顾客投诉、媒体负面曝光等;其他不宜实施远程的情况。

    对OHS,应用远程审核的活动应仅限于对文件/记录的评审、对员工及工作人员访谈。此外,对现场活动及OHS风险控制不能采取远程审核技术。

    评定远程审核风险接受度

    对于风险程度较低,如办公室的办公活动、工作设备为计算机的,生产和服务过程相对单一重复、工作环境简单、背景安静的,自动化程度高、可利用受审核方数据库信息系统的等,经评审认为风险可接受,可进行远程审核。

    对于审核风险程度高,如高风险行业的关键过程、复杂过程的,审核现场嘈杂、管理混乱、若仅浏览会有较多认证风险的,易产生火花导致爆炸生产环境的,应用远程审核的可能性低或可信度差的,OHS/EMS的重要环境因素、重大危险源等控制区域的,涉密武器装备生产现场的等,经评审认为风险高,不宜采用远程审核。

    审核计划要求明确

    在审核计划中明示使用ICT技术审核的范围(具体场所、过程或活动名称)、审核时间及工作量、审核人员和技术专家(适用时)等,还包括对通信技术的选择以及如何对其进行管理,以及替代审核方式、替代设备等;

    审核计划安排时需考虑远程审核过程的完整性与可信性,应用ICT远程审核活动需在审核计划中得到标识,审核计划应得到受审核方的确认。

    审核证据获取不充分问题导致审核可信度低风险

    远程审核过程中涉及审核证据真实、抽样准确、多产品复杂过程的深入跟踪审核等,若审核时间不充分、审核证据获取不完整、不具代表性或失真,都会降低审核员的发现和判断能力,导致审核有效性不足,执行远程审核的可行性、可信度就会降低。

    其应对措施如下:

    审核时间充足

    实施远程审核并不代表可以减少或缩短审核时间,远程审核每天必须满足8小时实时在线。远程审核要考虑审核证据的完整性、代表性、真实性等,由于非现场审核存在局限性,审核员不能自主、直观、多维度观察到现场情况,从而增加了沟通时间,同时考虑到信息传递中各种可能出现的意外情况,审核时间视情况可能会增加。

    审核方式多样

    文件查阅,如文件传送或通过共享屏幕、视频查看等,拷屏和拍照应征得受审核方同意。审核文件时,要关注文件的现行有效性和版本一致性,审查记录时,要关注记录的真实性和时效性,可采用视频方式确认等。

    访谈,如采用远程网络会议、电话等多种远程沟通方式,在审核前提前了解现场背景噪音情况,做好预案,如佩戴降噪耳机等;在访谈时应说明访谈收集记录方法,确保受访人员知情并防止泄密;对访谈人员身份确认可采用出示工作证、工牌的方式等。

    观察,如采用实时视频的方式进行,现场环境应满足证据收集的要求,注意确认实况画面的真实性、实时性。审核前提前熟悉审核区域,科学规划审核路径,了解Wi-Fi或视频盲区,保证现场图像音频清晰、视线清楚。要提前收集带有方向指示的工厂布局图、全景图,了解静电放电区域等。

    音视频证据充分

    充分利用受审核方现场的视频监控设备无人机或VR设备辅助实施审核,充分收集审核证据。审核过程中如存在多个场景时,要分别保留便于追溯的视频或截图。远程审核的首末次会议采用视频连线形式时,应保证所有参与者都能够被识别出来(对于OHS末次会议,对负有法律责任的管理者、负责监视员工健康的人员,负责OHS员工代表的识别尤为重要)。

    记录使用保存问题导致信息安全隐患风险

    审核记录管理不完善,如审核过程中未经授权记录、审核记录非预期使用、未按要求删除记录等,均有可能导致非预期信息泄漏的信息安全隐患。

    其应对措施如下:

    审核人员记录管理严格

    在远程审核期间,所有审核记录应征得受审核方同意或授权,包括语音或视频的收集;作为支持审核发现和认证结论的证据的记录信息,应仅为认证审核所用,不得另作他用;认证人员审核结束后,除构成认证记录外的信息,必须删除其他无关信息,不应储存在个人电脑中,产生信息安全隐患。

    认证机构记录管理规范

    除满足通用要求外,具有安全性和保密性的成文信息,应予以保护防止非预期更改和使用。如涉及敏感信息,需保留时应征得受审核方同意。审核资料达到保存期限,按规定对相关证据进行集中销毁。

    结语

    应用ICT远程审核,既是机遇又是挑战。由审核方式变化带来的审核方案调整,以及对电子数据、网络通信、信息化工具软件等的依赖性增加,对审核双方人员应用ICT的能力提出新要求等,不确定性因素增多,认证风险增大。

    基于应用ICT远程审核存在风险的现状,IAF、ISO、CNCA、CNAS、CCAA等部门发布了一系列文件,用于规范远程审核活动、降低认证风险。国内很多认证机构也设立了专项研究部门,不断实践改进,降低认证风险。

    科学合理应用ICT远程审核,需要多措并举,应深入研究策划、规范实施过程、持续优化改进,力求最大限度减少不确定性影响,降低远程审核风险,确保审核有效性,为认证审核有效性和可信性提供支持和保障。