易安论坛

标题: 荐读 | 如何保证应用信息技术所获取的审核证据的客观性和可信性 [打印本页]

作者: wxsunhao    时间: 2021-9-5 19:00
标题: 荐读 | 如何保证应用信息技术所获取的审核证据的客观性和可信性
荐读 | 如何保证应用信息技术所获取的审核证据的客观性和可信性

原创 倪红兵 中国认证认可 今天


2020年初的新冠肺炎疫情导致中国多地实行“封闭式”管理,对认证行业也造成很大的影响,大多数企业在春节后处于停产状态,逐步复工后存在无法或不方便接待外部审核的情况,认证机构也存在无法或不方便安排审核组去客户现场实施审核的情况。对此,国家认监委、中国合格评定国家认可委员会、中国认证认可协会等都相继出台了疫情期间的应对政策,认证机构也在策划应对政策,利用信息技术实施远程审核成为行业的重要议事议程。本文就如何正确利用信息技术实施管理体系的远程审核,保证应用信息技术所获取的审核证据的客观性和可信性方面做一些理论上和实践上的探讨。


一、审核和客观证据

1.标准要求

《GB/T 19000-2016质量管理体系 基础和术语》对于审核和客观证据的定义为:

(1)审核:为获得客观证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。

(2)客观证据:支持事物存在或其真实性的数据。

注1.客观证据可通过观察、测量、试验或其他方法获得。

注2.通常,用于审核目的的客观证据,是由与审核准则相关的记录、事实陈述或其他信息所组成并可验证。

由此可知,审核活动的基础工作是获得可验证的客观证据。

2. 客观证据

一次完整的审核活动(包括认证审核、监督审核、再认证审核)是要确定受审核方认证范围相关的管理体系是否满足标准、法律法规和其他要求、受审核方管理体系要求的系统活动,而管理体系是受审核方建立方针和目标以及实现这些目标的过程的相互关联或相互作用的一组要素,因此审核活动就需要获取这些过程的相互关联或相互作用的一组要素的客观证据,相互关联或相互作用的一组要素的客观证据并非一组独立证据的集合,而是有相互关联或相互作用的证据链。证据链的构成至少包括以下3个要求:一是有适量的证据;二是证据能够证明抽样的证明对象;三是证据之间能够相互印证,对所抽样事实排除了合理怀疑。

客观证据通常包括书证、物证、视听资料、当事人陈述、证人证言、检测报告和勘验笔录等。客观证据的获得方法通常包括询问、辨认和勘验等。

客观证据真实性或可信性确认的方法主要包括:

(1)审查证据形成的原因:证据形成包括证据形成的原因、过程和结果。证据形成的原因是指证据本身的形成过程,它可以反映证据来源的可信程度。证据的形成往往受主观和客观因素的影响,比如动机、利害关系等。客观证据形成的原因,也是判断获得的或提供的证据的可信度的方法之一。

(2)考虑证据被发现时的客观环境:证据获取时必然会与其所处的环境有着密切的关系,对证据所处客观环境的审查也是认定证据真实性的重要方法。例如对于岗位工作环境的管理,要考虑生产现场的灯光、距离、噪音、设备和工位设置等多种因素对岗位操作者的综合影响。因此,判断证据的真实性,要全面考虑证据被发现时的客观环境,防止片面性或验证不充分。

(3)审查证据是否为原件:原件直接来源于案件事实,可靠性强,证明价值也更大。如果是复印件或邮件,很可能因为无法确定其来源和真实性,可信性不易验证和确定。

(4)审查证据的提供者是否和被审核方有利害关系:如果客观证据提供者与被审核方有利害关系,其提供的证据的真实性就会让人产生怀疑,不具有说服力。例如证据提供者并未真正需要抽样的当事人而是与受审核方有咨询关系(咨询人员)时,证据提供者可能会受主观因素的影响而提供虚假的或不客观的证据。

系统的审核证据为审核发现和审核结论提供依据,审核证据的充分性、客观性、准确性或可信性决定了审核发现和审核结论的正确性,直接影响对于受审核方管理体系有效性评价结果的充分性、适宜性和正确性。


二、信息技术应用对于客观证据获取和审核有效性的影响

1.取证方式对于审核的影响

目前,审核员获取证据的取证方式通常包括资料和记录审查、现场观察、实物测量等,抽取受审核方的资料和记录可以了解其管理和运行要求和特性、追溯其管理和运行的轨迹;现场观察是通过对实物呈现和活动实操情况(过程行为)的关注、对于审核抽样对象所处的环境状态的了解而获取客观证据;实物测量是通过亲自实施或参与对于实物的测量(包括定性和定量测量)而对于证据的真实性或可行性进行验证。

对于全程实施文件审核加现场审核的方式,这种“耳听为虚,眼见为实”的方式,可以为获取一组或多组相互关联的审核证据以及比较完整的审核证据链提供保障,也是传统审核的通用方式,为保证审核证据的充分性、适宜性、客观性和可信性提供保障,为审核过程的完整性和可信性提供保障,进而为审核发现和审核结论的准确性提供保障。

随着信息技术的发展和本次新冠肺炎疫情的影响,认证行业也开始应用信息技术作开展认证活动及其管理业务,利用信息技术手段优化审核的有效性和效率,并为审核过程的完整性与可信性提供支持和保障。

目前在认证机构的认证活动中主要将信息技术应用于远程审核,即经过先期的审核方案策划和审核计划安排,通过邮件索取和视频调阅资料和记录,包括视频或音频沟通了解以及视频抽查审核方现场实物和活动等进行客观证据的收集,为审核发现和审核结论提供依据。远程审核可以通过视频、音频和邮件往来等信息技术得以实现,可以应对无法到达现场或到达现场不经济的情况下的审核实现,为远程审核地点和人员提供了机会,缩短了距离、旅行时间和成本,减少了与审核旅行有关的环境影响。但远程审核通常是策划(或有目的)指定的审核对象,通过对指定的审核对象的了解而获取审核证据,因此存在以下局限性和审核风险:

(1)由于通过邮件索取和视频调阅的资料和记录是事先策划或在非现场远程审核时索要,指定性强,存在抽样的主观臆断性和抽样量的不充分的可能性大,还可能缺少实物和现场情景的验证,如规章制度和作业文件的内容可能无法得到充分的现场观察过程行为证据的佐证和确认(有时无法准确判定受审核方提供的现场视频是否属于“摆拍”)。另外,由于非现场接触而无法准确感知迎审人员的情感变化和其周边环境,无法准确把握迎审人员的心理状态的变化,无法避免资料和记录提供者与被审核方无利害关系,有时无法判定或验证迎审人员是否是当事者或咨询人员,可能导致影响资料和记录的真实性(可信性)和不易验证、影响审核过程的完整性和可信性。

(2)ISO 9001 APG《远程审核指南》附件《使用远程审核技术识别风险和机会的示例》所述的“监控远程或高风险工作;现场参观指导;设备使用和存在的固有风险”方面的问题,如无人机坠落、设备使用、不利的天气条件、图像质量、不能充分了解现场及设备和条件、数据的准确性等问题;还有“监控摄像机、为审核而特意拍摄的视频记录”方面的问题,如存在远程审核时未进行的活动、被处理过的视频、呼叫中心制作或编辑的录音、特意录制的培训网络研讨会等问题。

(3)远程可以通过视频手段观察所需要查看的现场和索取过程行为证据,但受审核方提供的现场视频往往是审核员主观策划的或受审核方支配所提供的,具有较强的目的性和针对性,具有较强的突出性和独立性,可能与视频镜头外的景象无法关联。例如远程审核迎审人员取景为废气处理装置的近景,未显示15米旁的简易工作间,导致审核员无法关注装置大功率风机的高噪声对于工作间员工的影响情况的审核。而现场审核过程中对于现场的观察,除了观察所需要查看的现场和索取过程行为证据之外,还可以了解与其有着密切的关系的所处环境(客观证据真实性或可信性的一种确认依据),通过现场实物和过程行为的实时观察获得一组证据形成比较完整的证据链。通过现场的观察取证方式,还可以或可能在某现场观察的同时“无意”或“非抽样性”观察到某些场景或现象,产生触景生情,即受到眼前景物的触动而引起联想,产生某种感觉或感受而获取客观证据或进行追踪而获得充分的审核证据,以验证受审核方策划和实施的正确性和有效性,这往往是远程审核无法达到的。例如笔者在一次现场审核时,在某企业的办公室去车间实施职业健康安全管理体系审核的路上,发现有位年龄68岁的老者一个人独自在室外(气温约40℃)从事设备外包装箱的木板钉箱工作,经查询为一个小私营企业的外包人员,企业认为与外包方签订了免责合同就可以疏于对其安全管理,未辨识老者发生中暑或“过劳”事故无人察觉时可能造成的伤害,伤害后企业可能的连带责任。企业对于外包方人员的安全负有监管责任,这种情况属于外包管理的缺陷和不符合,但在远程审核时可能由于迎审人员的拍摄或视频局限、审核人员视觉及感觉或注意力的局限,无法顾及或涉及此场景(如图1所示)。



(4)远程审核对于人们感受外界事物刺激(获取客观证据的手段)的器官中的眼、耳、鼻、舌、身等器官中的鼻、身和耳无法发挥或无法充分发挥作用,如对于化工企业现场审核往往通过嗅觉、听觉和体感判断是否存在物料泄漏、挥发中毒危害、废气排放超标、反应异常、噪声排放超标或岗位危害、设备运行振动情况、地面整体塌陷情况、高温隐患和热能浪费等,在远程视频中难以察觉,属于一种测量缺失或缺陷,影响现场证据的充分性和真实性。

(5)远程审核对于某些行业的现场视频取证会存在困难,如:某些不允许摄像拍照的保密场所;某些手机或非防爆摄像手段不能涉及或不能企及的地点或部位;油品库、危化品库、高瓦斯矿井、高温作业点、高处作业地点和某些高危地点等(审核员在现场提供个人防护不携带手机是可以涉及或企及的),这些属于一种观察缺失或缺陷,影响现场证据的充分性和真实性。

(6)实施远程审核的审核员不具备理解和利用所采用的信息和通信技术取得期望获得的审核结果的能力和智慧,未意识到如上述的应用信息与通信技术的风险和机遇,以及应用这些技术对信息收集有效性和客观性的影响,导致审核策划、审核抽样、审核证据收集和客观性判断的不充分、不适宜或不准确,直接影响审核过程的完整性、可信性和有效性。

2.远程审核的应用对于审核的影响

通过信息技术的应用作为认证机构采取远程审核的手段,达到不去受审核方现场就可以完成审核工作的目的,在新冠肺炎疫情期间也帮助不少认证机构解决了无法安排现场审核的困难,解决了很多需要体系认证或保持认证注册资格的企业的燃眉之急。远程审核在一定条件下有一定的灵活度,如在安排的远程审核时间段之前,可以不定期通过邮件索取调阅资料和记录,先期做一些资料审核工作,在远程审核时间段内再充分利用信息技术进行有针对性的重点审核或验证工作,正确的远程审核可以优化审核的有效性和效率。另外,远程审核也可能减少审核组的路途劳顿和风险,可避免审核组现场审核差旅接待方面的费用或负担。

但是,由于目前认证机构对于将认证信息技术应用于远程审核缺少可遵循的指导性标准和借鉴的模板模式,审核员也缺少经验教训的积累或总结,因此对于远程审核缺少系统规范的指导性规定,造成对审核实施缺少指导性的要求,导致某些远程审核变成文件和资料审核或走过场,现场客观证据收集大量缺失,严重影响审核的有效性。


三、合理利用信息技术保证客观证据获取的充分性和审核的有效性

由上可知,将信息技术的应用作为认证机构采取远程审核的手段具有一定的优点,是以后认证机构采用的一种常规审核模式,将越来越多地运用到认证活动中。但由于远程审核也有一定的局限性(信息技术就像是一把双刃剑),因此在应用认证信息技术时需要扬长避短和合理运用,才能保证信息技术应用的精准性。

在安排需要远程审核的项目时首先要保证审核员的能力,包括接受过《CNAS-CC14信息和通信技术(ICT)在审核中应用》、相关远程审核的作业要求、信息和通信技术相关知识的培训并通过考核;审核组与受审核方具备诸如智能手机、手持设备、笔记本电脑、台式电脑、无人机、摄像机、可穿戴技术、人工智能等软件和硬件,以保证收集、存储、检索、处理、分析、发送信息和双向沟通,保留相应的审核证据;对于项目安排主要应考虑如下的策划:

1.全程远程审核

对于属于低风险的监督审核和再认证审核项目,若其组织结构和认证范围没有重大变更,审核证据基本可以通过收集资料和记录、视频和音频等认证信息技术沟通获取,可以通过视频和音频等认证信息技术的沟通,验证获取的审核证据的客观性和可信性,可以安排项目全过程实施信息技术的非现场审核,应尽可能安排以前参与过该项目审核的审核员担任远程审核工作,由于其对于受审核方比较熟悉,可以提高审核抽样的合理性和准确性,减少非现场审核的风险。另外,不宜连续安排受审核方的全程远程审核,即在全程远程审核的下一次审核应安排现场审核或部分远程审核,以保证直接证据和现场证据获取的充分性。

对于初审二阶段审核项目、组织机构和认证范围(及其相关的产品和活动范围)有重大变更的监督和再认证审核项目,由于对这些项目或重大变更的地方存在不熟悉的地方和内容,存在抽样不充分和不适宜、受审核方缺少诚信度、受审核方与认证机构审核员缺少配合和理解(缺少“共同语言”)、对于审核证据收集不准和验证不力、审核发现和审核结论不准确等风险,通常不宜安排全程远程或全程非现场审核。

按照《CNAS-CC105确定管理体系审核时间(QMS、EMS、OHSMS)》规定,不论认证机构使用何种远程审核方法,均应至少每年对客户组织存在的物理场所进行现场访问。现场访问可以对远程审核的证据和审核发现实施一定程度的验证,可以总结全程远程审核策划和实施的经验教训,为以后该项目的审核方案策划提供依据,也为认证机构远程审核方案的策划提供借鉴。

2.部分远程审核

项目的部分远程审核就是采用信息技术实施部分的远程审核,另一部分采用现场审核的审核方式。项目的部分远程审核包括项目部分远程审核和多场所的部分远程审核。

(1)项目部分远程审核(“远程+现场”)

对于高风险、初审二阶段、组织机构和认证范围(及其相关的产品和活动范围)有重大变更的监督和再认证审核等项目,可以采用全现场审核的方式实施。可以通过评价,选择对于存在抽样不充分和不适宜、受审核方缺少诚信度、受审核方与认证机构审核员缺少配合和理解(缺少“共同语言”)、对于审核证据收集不准和验证不力、审核发现和审核结论不准确等风险的地方和部分内容,采取现场审核的方式实施。而对于项目中比较熟悉且无重大变更、不存在上述风险的地方或部分内容可以实施远程审核,对于这部分远程审核部分需要现场确认审核证据的安排部分现场审核时确认即可。对于新冠肺炎疫情期间,某地域(如疫情管控时的武汉)的专业审核员无法去外地项目现场审核,而审核组其他审核员可以去现场审核的项目,可采取项目部分远程审核(“远程+现场”)的方式实施。

采取这种“远程+现场”的审核方式需要注意的是:

对于高风险、初审二阶段、组织机构和认证范围(及其相关的产品和活动范围)有重大变更的监督和再认证审核等项目,通常只应选择与高风险控制无关或关联不大的过程及现场实施远程审核。必要时,通过以后的现场审核对于远程审核收集的某些证据进行现场验证。如在新冠肺炎疫情期间可以安排部分非关键过程和部分资料的非现场审核,同时策划待疫情过后的关键过程和其他资料的现场审核和验证工作。远程审核和现场审核人日的比例取决于受审核方业务的复杂性、需要现场观察获得证据对象的风险和复杂性、需要现场验证的项目的风险和复杂性及受审核方管理体系的成熟度等,还要考虑《CNAS-CC105确定管理体系审核时间(QMS、EMS、OHSMS)》的相关要求。

评价受审核方审核范围涉及的专业类别,安排审核组长和主要专业的专业审核员参加现场审核;次要专业审核员无法到现场审核时可安排其远程审核,需要时由其指导现场的审核员进行相关专业的证据验证或确认。原则上现场审核的专业审核员的数量不低于审核组专业审核员总数的50%,实践表明这种“远程+现场”的“混搭式”审核可以减少远程审核风险。

需要实施远程审核的策划应在审核计划前期与受审核方充分沟通,以便了解受审核方是否具备接受ICT审核的条件,以便将策划的非现场审核需要验证的证据(“预期收集的证据”)、远程审核过程中发现或感觉需要现场验证的证据的收集(“非预期收集的证据”)安排在审核计划的后期即现场审核中,保证远程审核部分的审核证据收集的充分性和真实性。

(2)多场所的部分远程审核

对于某些受审核方的多场所的审核存在现场审核不方便的情况,例如个别作业现场偏僻、无人机地貌勘察作业时间不固定且时间较短(作业时间依据甲方的临时要求)、根据以往审核经验认为在抽样的多场所中属于管理比较稳定(无重大变更)和可信度高的场所等情况,可以采用远程审核的方式获取审核证据。对于此类情况需要实施相应的审核方案策划,例如:

对于多场所的远程审核都应安排在审核阶段的前期,也可提前于总部主体的审核,以便在必要时刻追加策划补充现场的审核或验证,也可为总部主体管理体系运行的整体有效性判断提供证据。

对于个别作业现场偏僻的审核要评价其风险,对于高风险项目的认证审核方案策划应首选现场审核的方式,掌握确切的审核证据和体系运行情况。如果通过认证审核或以往有其他体系已经通过本认证机构的认证审核,认证机构有充分依据认为该多场所体系管理和风险管控的绩效和稳定性都比较好,能够提供一定的可信性和具备相应的ICT手段,在监督审核和再认证审核时就可以考虑对该多场所实施远程审核。

对于现场作业时间不固定且比较短暂、现场审核的预先策划安排不方便的情况,在认证审核方案策划时应首选现场审核的方式,对于已经安排有多场所现场审核而同类型其他多场所可以考虑选择远程审核。对于此类项目的远程审核可以策划提前的远程审核方案和安排审核员,保持与受审核方的沟通,待受审核方的现场作业时间确定后,就马上联系既定的审核员适时实施远程审核,实时了解现场作业情况并获取“在线”的“过程呈现”的客观证据。

根据以往审核经验,在抽样的多场所中管理比较稳定(无重大变更)和可信度高的场所可以策划远程审核,但在安排远程审核前要与受审核方充分沟通,了解该场所是否出现影响管理稳定性和以往审核经验可信性的审核范围、组织机构、人员或管理上的重大变更情况,如果存在此种重大变更则应评估远程审核的风险和可行性。

需要明确的是,信息技术的应用是认证审核的手段或工具,无论是审核员亲临现场还是利用信息技术,都是手段不同而目的一致。无论是全程现场审核、部分远程审核还是全程远程审核,都需要获取客观证据来提供依据以支持审核发现和审核结论。因此,在实施部分远程审核或者全程远程审核时,不应将重点或关注点局限于使用何种信息技术和留有何种形式证据的问题上,无论是“静态的”文件化信息还是“动态的”视频或音频资料的抽样,都要充分把握抽样的主动性和关联性、策划性和现场应变性,关注抽样与审核范围、审核目的和抽样对象的关联性,只有具有针对性、充分性、适宜性、重现性(易于验证)、可靠性或可信性审核证据才能称之为客观证据。

审核获取的系统性客观证据的充分性和可信性,是保证系统性审核发现充分性和准确性的前提,只有充分和准确的审核发现才是正确的审核结论判定的依据,只有审核结论的准确性才能保证审核的整体性和有效性。








欢迎光临 易安论坛 (http://bbs.esafety.cn/) Powered by Discuz! X2.5