易安论坛

 找回网站密码
 注册易安网通行证

用新浪微博连接

一步搞定

查看: 359|回复: 0

荐读 | 运用互联网技术的审核案例分析

[复制链接]

版主

Rank: 7Rank: 7Rank: 7

最后登录
2021-3-3
帖子
9781

论坛元老

wxsunhao 发表于 2021-1-3 21:46:18 |显示全部楼层
荐读 | 运用互联网技术的审核案例分析

原创 高平 中国认证认可


运用信息和通讯技术(ICT)的审核技术,在认证认可领域理论方面的讨论进行了多年,由于互联网技术的发展成熟程度和行业对于互联网认知的不同,虽然很早已经建立了有关的规范,但由于各种原因一直没有在应用实践中规模开展相关工作。

广泛的人员流动和人员之间的沟通聚集是认证认可行业的工作性质,也是多年来认证审核的传统工作模式。2020年的新冠肺炎疫情,严重影响了这种工作模式。减少人员流动和聚集是抗疫的基本要求,因此改变传统工作模式、运用互联网技术进行远程审核是抗疫期间认证认可行业复工复产的途径,也是认证认可从业机构助力社会各行业复工复产的有力手段,在这样的形势下,推动了ICT审核技术在行业的应用。运用互联网技术进行远程审核不仅是认证认可行业抗击疫情期间的选择,同时由于互联网技术的日趋成熟和认证认可政策的支持,认证机构运用ICT审核技术还可以在有序控制风险和管理审核过程的前提下,提高审核效率和审核的有效性,这种审核技术的发展也是在高科技条件下,提升认证认可工作满足要求能力的必然趋势。

本文就运用互联网审核技术的审核管理实践,提出对运用ICT审核技术中的风险产生点和审核过程的具体活动加以管理,并提高审核有效性和效率。

支持审核结果判断的“审核证据”
审核是“为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的过程”。“审核证据”是基于系统的审核方法,通过询证和抽样的活动,而寻找和确认被审核活动的存在或其信息真实性的过程结果。审核的目标是通过获取的“审核证据”以形成审核发现,审核发现通过评价形成审核结论,获得充分、准确和可靠的审核证据是做好审核的基础。

通常获取审核证据的方式和方法是通过观察、测量、试验或其他方法获得。具体的操作过程是审核员通过与当事人询问、交谈,查阅有关文件的规定依据,查阅有关活动的记录结果,现场观察活动的内容和过程等方式提取证实其活动满足要求的客观证据,以此作为审核证据,判断审核发现,得出审核结论。审核过程中无论我们采取什么样的方式都要保证支持审核结论的审核证据应该是充分、准确、可靠和可追溯。

采取传统审核技术和ICT审核技术获得审核证据的不同点在于审核过程中所使用工具载体的变化,由于这种载体的变化,产生了获取客观证据时可能产生对过程或信息的充分性、准确性和可靠性判断发生偏离的现象,因而产生由于工具的变化带来审核风险的可能性,我们试图在审核的管理实践中,管理这些在审核中由于差异性变化带来的风险。我们只要在这种变化中管理好提取审核证据的差异性,就可以获得与传统审核同样可靠的审核证据,并以此做出相同的审核结论判定。

运用ICT审核技术的“风险来源”
无论运用怎样的审核工具,审核风险的来源与获得“审核证据”的充分、准确、可靠和客观性都有直接的联系,如果运用ICT审核技术不能获得这样的“审核证据”,那么审核的风险就必然产生。

基于上述的理解,在识别审核风险方面,我们主要考虑:
1. 认可规范的要求、审核业务范围风险等级;
2. 审核证据的可获得性;
3. 审核证据被追踪的可靠性。

从以上3点出发,识别审核企业的风险点,以便于在审核中加以管理和控制。这些风险点具体体现在:
①认可规范中所评定A、B、C认证机构的具体要求应加以考虑,由于不适当的认证机构风险管理,可能导致审核证据的获取产生偏差而带来审核结果的有效性或其他影响审核结果的判断,从而带来认证机构在认可机构的管理中可能的降级风险。
②被审核组织在其业务范围内本身管理中ICT技术的使用程度。
被审核组织在其业务范围内管理目标的高低也决定了其过程管理中风险的程度,较低的管理目标和ICT使用程度,会使审核员获得信息时可能产生证据死角,证据信息割裂的情况,获得的证据信息不充分和不具代表性,从而在综合判断时,可能产生不恰当的判断结果。
③审核业务范围的风险等级,涉及认证机构认可业务范围管理的风险。业务范围管理中,不能在专业领域有较强针对性地细化认证机构业务范围中的专业系统分析的专业类别,致使在具体的业务范围审核中,由于审核专业粗放,而在利用ICT审核技术时会产生一些细节上的流程没有识别或错误识别,从而得到不充分的审核证据。
④审核证据的可获得性:
组织规模——组织规模的大小对获取审核证据的充分性有影响。由于ICT工具的视角、距离识别等原因,较大的组织(大跨度车间、长线生产流程、空间较大的装置设备等)在获取审核证据时,会产生部分或不具整体性的感觉,可能在综合判断审核证据充分性方面产生的困难。
劳动密集程度——劳动密集度较大的企业,人员变动大,运用ICT审核技术不直观,审核组专业性稍有弱项的时候,考虑因素就会不足,会产生抽样的不稳定和不准确,获取审核证据的准确性差异性较大,甚至产生误判。
组织的自动化程度——自动化系统程度较低的企业,对其审核证据的获得会产生证据信息的不稳定,从而导致不准确。较高的自动化系统组织,审核过程可以利用组织的ERP等系统,获得组织运行的直接信息,可降低审核风险。
与传统领域相比较的技术含量——技术含量较高的企业,如基因工程、遗传工程等,这些领域专业技术要求较高,审核中需要确认的专业信息量大,会产生大量的专业沟通,以提高审核员对现场的综合洞察力,但远程审核受软硬件条件的限制,获得该类信息的充分性审核证据较困难。
⑤审核证据追踪的可靠性:
提取证据的环境限制——有毒有害空间、狭小工作环境、影响作业的湿热环境、较暗的环境等,这些环境由于ICT视野和其他感官的关系,存在审核证据提取不足和不准确的风险。
远程工具的使用——通用的公共软件和硬件使用在审核证据提取中存在工具本身的缺陷,导致审核证据提取不充分(如在防爆的环境中使用手机等),但如果可以利用组织自身的防爆探头、光源、摄像等手段就可以获得组织运行的直接证据。
感官体验——无色物、温度、湿度以及可能的观察视角和不连续的拍摄等对获取一定的审核证据具有局限性,从而导致证据的准确性。
审核员的经验和专业性——通过审核对象所提供的信息,证实审核目标的可实现性,较强的审核员专业能力可以补充ICT审核技术在某些过程中获取审核证据的充分性,如:专业知识保证预设的审核路线安排,减少审核过程可能的随意性,以获取系统、客观和准确的审核证据。

上述从组织、认证过程和运用ICT审核技术的角度,在不同维度上,对审核证据获取的风险进行分析,我们在具体审核管理中对这些风险加以管理,可降低或避免认证过程可能的风险,提高审核的有效性。

ICT审核管理
我们把运用ICT工具载体审核的活动,划分为静态活动、现场确认活动、感官可体验活动和感官不可体验的活动,静态活动是直接可采用公用ICT审核技术实施审核的活动,其获取审核证据的风险与传统审核等同。现场确认活动主要是针对现场活动的审核,它是对ICT静态活动的审核补充,与感官可体验的活动一起构成现场审核证据获得的手段,这些现场活动过程的风险在采用适宜的、专有的ICT软硬件载体条件下,ICT的审核也是可以实现某些风险控制的。只有运用公用ICT审核技术不能控制审核风险的过程我们采取现场确认的活动,按照产生风险过程的实际状态,利用适宜的审核证据获取方式、审核工作量分配比例、审核专业要求配置改善和增加审核过程中的审核控制环节等审核方法,通过部分现场活动确认的方法和细化审核管理以弥补ICT审核技术的风险控制。

1.申请评审管理
为有效利用ICT审核技术,在与认证组织的前期沟通中,了解组织管理系统和生产系统使用ICT的现有条件,最大限度利用组织自身远程的通讯系统,以支持审核过程的实现,申请评审管理中确认:
组织日常使用的通用ICT管理工具情况;
组织运作的自身专有的ICT工具情况;
是否审核过程可以使用这些ICT工具,确认安装方法,并初步试用远程系统的使用效果。
作为申请评审管理,组织自身专有的ICT技术提供审核支持,使审核过程可以获得组织管理的第一手资料,将极大地减少审核风险,这种评审的结果提供审核方案策划的输入,也为策划方案组织审核活动降低审核风险提供策划支持。

2.方案策划管理
考虑到利用ICT审核技术的风险点,在审核方案策划中,我们对相关内容进行策划具体涉及:
该组织涉及的ICT审核条件是否具备,并确定远程工具;
该组织运用ICT审核技术中,审核过程的风险点策划;
针对ICT审核风险,确定远程审核中静态活动、现场确认活动、感官可体验活动和感官不可体验的活动,以策划各活动审核时间的分配;
是否需要现场补充审核或补充审核活动的安排;
审核组专业配置比例和专业程度要求;
安排ICT审核特殊情况或应急情况下的沟通渠道。

3.审核组配置管理
在审核组配置中,考虑审核组成员应用ICT的相关通讯软件、硬件工具的熟悉程度是必须要求的,重要的是配置的审核组成员了解企业信息和运作过程,审核组对同类企业或该企业审核的传统实际现场审核经历及审核组成员的实际专业能力水平应用,不仅仅是否有该领域的专业,而更加要强调该领域专业的实际认知水平。利用ICT技术审核的审核组,配置的专业人员比例不小于60%(以弥补远程审核中与现场操作有关的技术和专业信息判断、审核路径确定和审核证据追踪,防止提取审核证据不充分),配置的人员除满足审核组能力的要求外,审核组中至少要有一名成员曾经对被审核企业有过传统审核的审核经历,并在审核组中能够对其他成员提供对该企业的ICT审核指导,在审核前针对该企业的以往体系运行情况,对审核组其他成员给予了解性的培训。

4.审核实施控制
对审核实施过程区别过程风险,并管理这些风险过程,我们将审核中,按风险的可控程度分为不同形式的审核活动类别:
静态活动的ICT技术审核;
静态活动+现场确认活动的ICT技术审核;
运用ICT技术,感官可体验活动的远程审核;
传统审核。
在审核任务下达时,区分审核任务中的任务类别和基本的风险控制点,使审核组长明确了解任务指令并通过审核方案和规范文件加以要求。在审核组准备中,审核组长按照审核任务委派完成包含静态活动和现场确认活动等全部审核过程活动的ICT审核计划,无论采取怎样的方法,审核计划都应满足审核策划方案的人日分配、多场所和审核时间的分配、审核组专业范围覆盖等要求。在实施静态活动审核和现场确认活动审核的远程审核过程中,审核信息借助审核路径检查表的方式,形成审核过程的信息流,解决审核活动信息的流转和获得审核证据的可靠。
ICT审核前,要求审核组长与审核组成员确定:
远程使用设备和系统,并要有简单的调试;
审核组长和审核组成员要针对审核计划的安排进行执行方面的沟通;
了解组织的基本情况,审核组中参加过该企业传统现场审核的成员(组长优先),应在审核前对全体成员进行审核前的沟通,使全体成员了解企业的体系运行实际状况,并针对了解情况,获得ICT审核的现场重点;
审核记录的要求(如审核部门或活动时,应明确使用的远程工具——钉钉、QQ、微信、电话通讯、邮件等,或要明确使用组织ICT工具名称和使用程度);这些不同ICFT工具的使用可以帮助我们确认所获取证据的可靠性;
明确告知审核组成员及时确认陪同人员的姓名及联系方式,以便通过陪同人员将审核成员和审核部门的远程工具联系起来,如建微信群、QQ群、通讯、传递文件和视频等,以便于提高审核效率。
对于企业的边界区域和位置,审核组要通过电子地图确认企业的地理边界和周边环境,以了解企业可能的相关方。对于占地范围较大的企业,可通过企业的平面图和管网图了解企业的实际布局,增加审核的有关信息。为提高审核效率,加快审核组与企业的沟通和提取资料的时间,审核组成员应将审核的有关要求内容和人员提前告知审核企业的相关部门,使受审核部门提前做好有关审核的准备。
为协调ICT的不同阶段审核活动,并将审核的思路、证据跟踪的弥补措施和风险控制信息进行传递,我们设计的审核路径检查表,由静态活动审核的审核组成员针对需要跟踪审核的风险控制点或审核证据不能被容易感知的活动信息,以审核路径检查表的方式,将相关信息传递到后续的审核活动中,并由后续审核人员追踪确认。如:一个审核员实施QES管理体系,审核了质量检验部门,虽然已经通过ICT的审核获得部分审核证据,但有些信息可能还要在后续审核中跟踪确认,那么这些信息就要通过审核路径检查表加以描述,并将描述信息传递出去作为接手审核员的信息输入。后续审核员对审核信息作为其审核活动证据的补充部分,在审核路径表中予以信息确认(见审核路径表部分示例)。

通过上述审核实施的管理,从审核方案识别风险,到审核过程识别风险的审核全过程管理,并通过审核路径的信息确认,以保证审核证据的充分、准确和可靠,最终保证审核结果的有效性。

5.ICT审核实例分析
审核过程是对现场审核证据的提取、辨识和判断的一系列活动,无论传统审核还是ICT审核,其证据都要充分、准确、可靠。
对于一个自动化程度较高的大型石油炼化企业,虽然其涉及的很多产品是危险化学品,由于其流程化运作程度高,自动控制程度高,审核组利用ICT工具,可以远程使用组织的自有生产组织系统、内部管理系统及中控指挥监控系统等,审核组中的审核员具有相应专业背景,在这样的情况下,审核组对于组织人、机、料、法、环的资源管理的证据提取,对现场的内部操作过程和外部操作过程的证据均可以通过组织的自动化系统、监控探头、监控屏幕及连续的工作参数提取相应的证据,这些证据均可以充分展示组织资源、过程、参数的具体表现,准确表达生产和管理活动的实际运行状态。我们可以通过这些第一手证据判断组织管理体系运行的相关证据,这种审核的风险反而较传统审核要小,审核期间又不用在场内行动穿插减少运动时间,提高了审核效率。
而对于一个劳动密集度较高的客货运输服务企业,涉及的过程简单、设备较少,车辆是其最重要生产服务设备,如果没有自有的信息工具,完全依靠社会公共信息软件或硬件,审核组通过ICT的工具只能进行一些通讯或较小视野的观察。我们在进行方案策划时认为,即使是较简单的过程、较少的设备,其服务的常规过程和管理部门的沟通是可以考虑采用简单的ICT工具进行管理部门的静态活动审核,但是其服务活动的具体表现,尤其是多点、连续、移动的特点及与客户接触的服务过程是即时的活动,自身没有自有的ICT系统,审核员审核时观察和洞察力不够,不容易通过现有公用的ICT技术获取到充分、客观和准确的审核证据,这种情况下,过度地使用ICT审核技术就会产生较大的审核风险,最终影响审核目标。
因此综合地应用ICT的审核风险管理,即可以控制和降低审核风险,同时又可以对审核效果的影响具有事半功倍的效果,对审核目标和审核效率实现具有积极意义。

结语
ICT的审核风险来自审核证据获取的充分、准确和可靠,利用ICT审核技术控制风险,必须保证审核证据可以达到这样的要求。

审核组成员的专业程度,审核组的专业人员配置数量可以弥补利用ICT审核中的专业部分审核证据的风险,有利于减小采用ICT审核技术的审核风险。

大众使用的ICT工具,若将其作为ICT审核工具,对于审核证据的获得有时是存在缺陷的,这种存在的缺陷就是ICT的审核风险,认证机构通过利用被审核组织专有的ICT工具和自身充分的审核管理,可以消除和减少这些风险,并提高审核的有效性和效率。


您需要登录后才可以回帖 登录 | 立即注册

手机版|易安论坛 ( 京ICP备11028188号  

GMT+8, 2021-3-4 04:43 , Processed in 0.299628 second(s), 30 queries .

© 2006-2014 易安网.

易安论坛程序支持:Comsenz Inc & Discuz!X

回顶部