遠(yuǎn)程審核的風(fēng)險分析與應(yīng)對之策
發(fā)布時間:2025-06-04 點擊:32
新冠肺炎疫情很大程度上影響了認(rèn)證行業(yè)的審核工作,無法出行、不能到達(dá)客戶現(xiàn)場,使遠(yuǎn)程審核成為很多機(jī)構(gòu)的選擇。同時,識別、評估和分析認(rèn)證審核的各類風(fēng)險,進(jìn)而提出對認(rèn)證(審核)風(fēng)險的防范措施和處理對策,規(guī)避審核風(fēng)險,保證信息安全,已成為遠(yuǎn)程審核不可缺少的重要內(nèi)容。
風(fēng)險及其特點
在ISO 19011:2018《管理體系審核指南》中,風(fēng)險的定義為:不確定性的影響。
認(rèn)證(審核)風(fēng)險:認(rèn)證行業(yè)在認(rèn)證(審核)活動中的風(fēng)險,就是認(rèn)證機(jī)構(gòu)通過控制自身認(rèn)證審核活動所產(chǎn)生的認(rèn)證審核結(jié)果的差異性,或者說認(rèn)證審核的不確定性對認(rèn)證審核目標(biāo)所產(chǎn)生的影響。
認(rèn)證(審核)風(fēng)險一般具有以下特點:
不確定性——認(rèn)證(審核)風(fēng)險的發(fā)生及其后果具有不確定性。表現(xiàn)在:發(fā)生的可能性、發(fā)生的時間、發(fā)生的地點、發(fā)生的頻次、發(fā)生的后果等,均是不確定的。
客觀性——任何行業(yè)都會存在或面臨一定的風(fēng)險,這是一種客觀存在,認(rèn)證(審核)行業(yè)也不例外,只是面臨的風(fēng)險程度(如高中低)不同而已。
可控性——認(rèn)證(審核)風(fēng)險多數(shù)是可以識別的,一般情況下大部分認(rèn)證機(jī)構(gòu)是可以控制的,風(fēng)險控制主要是在原始審核風(fēng)險的基礎(chǔ)上,通過較為有效的認(rèn)證(審核)活動使其降低到認(rèn)證機(jī)構(gòu)可接受的水平。
可變性——在一定條件下任何事物總是會發(fā)展變化的,風(fēng)險也不例外,當(dāng)引起風(fēng)險的因素發(fā)生變化時,必然會導(dǎo)致風(fēng)險的變化。認(rèn)證(審核)風(fēng)險隨客觀環(huán)境而變化,也依賴于獲證組織管理系統(tǒng)的變化。如果認(rèn)證機(jī)構(gòu)對獲證組織不進(jìn)行有效監(jiān)督,認(rèn)證(審核)風(fēng)險反而會增大,因此需要實施多層次動態(tài)控制。
相對性——風(fēng)險總是相對于事件的主體而言的。同樣的不確定事件對不同的主體有不同的影響。對于不同的認(rèn)證機(jī)構(gòu),由于認(rèn)證(審核)風(fēng)險控制能力不同,使得同類認(rèn)證(審核)風(fēng)險的表現(xiàn)程度也有所不同,因此不同管理水平下的認(rèn)證(審核)風(fēng)險結(jié)果是不同的。
潛在性——認(rèn)證(審核)過程中存在或多或少的不確定因素,受其影響,以及人員能力、技術(shù)條件所限、當(dāng)前無法認(rèn)知的知識領(lǐng)域,人們不能輕易領(lǐng)會、察覺或感知。
遠(yuǎn)程審核
何謂“遠(yuǎn)程”?英語釋義為:long-range、long-distance、remote,漢語釋義為:路程遠(yuǎn)。
遠(yuǎn)程審核,就是審核人員利用計算機(jī)和網(wǎng)絡(luò)傳輸技術(shù),從受審核組織以外的地方對受審核方進(jìn)行的體系審核。
當(dāng)“面對面”的方法不可能或不需要時,使用技術(shù)來收集信息,借助交互式的通信手段進(jìn)行交談。
遠(yuǎn)程審核活動在受審核方(企業(yè))現(xiàn)場以外的任何地方進(jìn)行,無論距離遠(yuǎn)近。
遠(yuǎn)程所需的設(shè)備、軟件等,包括但不限于PC、手機(jī)、釘釘、微信、QQ、ZOOM、語音、視頻、郵件等方式。
遠(yuǎn)程審核的風(fēng)險分析
遠(yuǎn)程審核在節(jié)省食宿交通成本、降低開支、取消旅途勞累的利好下,也產(chǎn)生了一些令人無法回避、必須面對的認(rèn)證(審核)風(fēng)險,這就要求認(rèn)證機(jī)構(gòu)、審核人員無論何時何地都要保持清醒頭腦、樹立風(fēng)險意識、規(guī)避認(rèn)證(審核)風(fēng)險,為客戶最大程度地降低經(jīng)營風(fēng)險、創(chuàng)造認(rèn)證(審核)價值。
防范、規(guī)避認(rèn)證(審核)風(fēng)險是各家認(rèn)證機(jī)構(gòu)管理工作的重中之重,需要認(rèn)真分析、冷靜對待、持續(xù)關(guān)注:
認(rèn)證機(jī)構(gòu)管理層面——國家政策、政府監(jiān)管、自身管理與執(zhí)行力等,能影響到認(rèn)證機(jī)構(gòu)的自身發(fā)展及戰(zhàn)略、經(jīng)營目標(biāo)。
審核人員工作層面——自身素質(zhì)、審核能力、風(fēng)險把控、身體狀況等,能影響到審核人員的職業(yè)生涯及個人、家庭收入。
審核層面——審核是在規(guī)定的時間內(nèi)取得足以證明受審核方(企業(yè))管理體系符合性和有效性證據(jù)的過程,是一種對風(fēng)險的把控。
筆者結(jié)合從2023年2月底開始、大半年多來的遠(yuǎn)程審核總結(jié)發(fā)現(xiàn),對主要的風(fēng)險分析如下:
遠(yuǎn)程審核不能訪問或無法實現(xiàn)
企業(yè)地處僻遠(yuǎn)地區(qū),或部分區(qū)域網(wǎng)絡(luò)信號無法接入;
客戶重要安全、敏感區(qū)域;
客戶禁止攝像、拍照的產(chǎn)品生產(chǎn)場所;
數(shù)據(jù)傳輸不夠安全與穩(wěn)定;
大容量文件共享延時;
用戶存有電子或掃描資料外泄的防范心理;
部分區(qū)域或全部過程無法使用遠(yuǎn)程審核手段加以審核;
高溫、高壓等特殊或異常環(huán)境等。
遠(yuǎn)程審核時間不充分
網(wǎng)絡(luò)傳輸延遲,導(dǎo)致文件接收下載緩慢;
網(wǎng)速異常,導(dǎo)致共享操作顯示畫面靜止或時間延長;
溝通(如文字、語音、視頻)不夠順暢;
視頻/拍照圖像位置不當(dāng);
企業(yè)有/無意遮掩/擋;
涂\劃改資料掃描、再傳輸或共享展示等。
上述情況會導(dǎo)致不能及時、準(zhǔn)確地獲取體系運行資料信息,需額外增加現(xiàn)場審核時間。
遠(yuǎn)程審核證據(jù)獲取不全面
視角/視野狹窄;
企業(yè)協(xié)助與配合不到位、臨時湊拼補(bǔ);
審核員不在現(xiàn)場,部分過程審核力/深度不足;
不能視頻客戶無人值守、遠(yuǎn)距離智能化操作的工作地點,視線不夠;
抽樣證據(jù)的有效性不充分;
客戶數(shù)據(jù)資料傳輸丟包、不準(zhǔn)確等。
遠(yuǎn)程審核業(yè)務(wù)中斷
意外停電;
設(shè)備故障;
網(wǎng)絡(luò)鏈路異常;
通訊軟件出現(xiàn)BUG;
自然災(zāi)害,如臺風(fēng)、暴雨、雪災(zāi)、地震、火災(zāi)等。
上述情況會導(dǎo)致審核組不能按計劃如期進(jìn)行審核,需后續(xù)補(bǔ)充或加以調(diào)整。
其他可能存在的相關(guān)風(fēng)險
實施審核的設(shè)備(如PC、平板)和/或培訓(xùn)不足;
審核組選擇不當(dāng),導(dǎo)致有效實施審核的整體能力不足;
審核任務(wù)較多,找沒有專業(yè)能力或能力不足的人員;
無效的外/內(nèi)部溝通過程/渠道;
未考慮信息安全與保密,如客戶重要資料傳輸時被他人獲取或截圖;
專業(yè)體系條款策劃不合理;
使用公共場所Wi-Fi;
受目前技術(shù)條件所限,未知的,等等。
遠(yuǎn)程審核的風(fēng)險應(yīng)對
目前,遠(yuǎn)程審核的風(fēng)險控制主要以國家政策、行業(yè)監(jiān)管、認(rèn)證機(jī)構(gòu)管理制度以及審核組成員自身素質(zhì)、審核能力、有效運作為前提,審核組全體人員必須認(rèn)真進(jìn)行遠(yuǎn)程審核的風(fēng)險識別與評估,嚴(yán)加控制,從而防范和規(guī)避遠(yuǎn)程審核風(fēng)險。
在審核七項原則中,已明確了保密性(信息安全)和基于風(fēng)險的方法(考慮風(fēng)險和機(jī)遇的審核方法)。
審核組/人員作為直接聯(lián)系客戶和認(rèn)證機(jī)構(gòu)的“紐帶”,應(yīng)從規(guī)避和把控遠(yuǎn)程審核風(fēng)險的實際出發(fā),找出客戶需要整改或應(yīng)當(dāng)注意的問題,讓客戶自身認(rèn)識和評價存在的不符合或問題的危害性及進(jìn)行整改的必要性。
審核組/人員應(yīng)從獲取客戶文檔、方案策劃、文件審查、審核計劃、合理抽樣、提高質(zhì)量、界定范圍、提高對法律/產(chǎn)品風(fēng)險的認(rèn)知水平、遠(yuǎn)程溝通和應(yīng)對能力,以及專業(yè)素質(zhì)、道德水準(zhǔn)、健康狀況、工作忠誠度等方面入手,規(guī)避遠(yuǎn)程審核風(fēng)險,這是審核人員所必需的基本能力。
方案的策劃
客戶環(huán)境相關(guān)的風(fēng)險和機(jī)遇的存在,能夠關(guān)聯(lián)到審核方案,并且可以影響其目標(biāo)的實現(xiàn)。
審核方案應(yīng)考慮客戶的組織目標(biāo)、相關(guān)的外部和內(nèi)部問題、有關(guān)利益相關(guān)方的需要和期望、信息安全和保密要求。
審核方案的策劃應(yīng)特別關(guān)注適宜利用遠(yuǎn)程審核的內(nèi)容,以及通過后期的現(xiàn)場驗證或補(bǔ)充審核降低使用遠(yuǎn)程審核帶來的風(fēng)險。
遠(yuǎn)程審核策劃,包括但不限于如下內(nèi)容:
受審核方所在區(qū)域疫情控制風(fēng)險度,如高、中、低;
企業(yè)產(chǎn)品特點和復(fù)雜度,體系范圍,涉密內(nèi)容,以及了解和熟悉程度;
軟、硬件網(wǎng)絡(luò)資源,以及客戶遠(yuǎn)程接受程度;
審核人日的確定,如遠(yuǎn)程/現(xiàn)場審核內(nèi)容;
界定遠(yuǎn)程、現(xiàn)場審核內(nèi)容;
基于客戶信息安全保密,考慮簽訂保密協(xié)議;
提前搭建、預(yù)演、測試遠(yuǎn)程審核環(huán)境;
音頻、視頻、訪談與交流的證據(jù)保存;
遠(yuǎn)程突發(fā)事件,以及補(bǔ)救措施;
其他。
在確定審核人日時,對初審企業(yè)應(yīng)采取現(xiàn)場與遠(yuǎn)程相結(jié)合的方式。根據(jù)企業(yè)產(chǎn)品種類和復(fù)雜度、內(nèi)外環(huán)境、體系范圍、人數(shù)、運營地址、臨時現(xiàn)場或生產(chǎn)場所等,確定審核人日,現(xiàn)場以1~2人日為宜。必要時根據(jù)受審核方關(guān)鍵人員的可用性調(diào)整審核日期,如審核人日間隔開、非連續(xù)。
現(xiàn)場審核內(nèi)容應(yīng)考慮體系范圍涉及的產(chǎn)品設(shè)計、生產(chǎn)、制造等過程,并核實資質(zhì)原件、總?cè)藬?shù)、體系人數(shù)、覆蓋區(qū)域與場所、有無遺漏或瞞報等。
遠(yuǎn)程審核內(nèi)容,應(yīng)不存在保密、無法遠(yuǎn)程訪問等特殊環(huán)境的體系過程。
監(jiān)督、再認(rèn)證企業(yè)如體系范圍、產(chǎn)品種類未發(fā)生變化或變化不大、產(chǎn)品增加但生產(chǎn)工藝流程相同/相似/相近時。
文件的審查
采用ICT提前溝通、獲取企業(yè)體系文件化信息與運行資料,提出文審意見;
了解企業(yè)體系概況和自愿性體系證書獲取情況,如ISO 9001、ISO 20000-1、ISO 22301、ISO 27001、ISO 45001、GB/T 23001等;
根據(jù)體系范圍確定相應(yīng)資質(zhì)許可及有效期,如安全生產(chǎn)許可證、產(chǎn)品生產(chǎn)許可證、CCC、QS、電信資質(zhì)、建筑業(yè)企業(yè)資質(zhì)、建筑智能化系統(tǒng)設(shè)計專項、安防工程企業(yè)設(shè)計施工維護(hù)資質(zhì)、測繪資質(zhì)等;
國家信用信息嚴(yán)重失信主體相關(guān)名錄等。
計劃的編制
編制計劃時應(yīng)基于風(fēng)險的方法,應(yīng)考慮:
采用的ICT方法;
遠(yuǎn)程、現(xiàn)場的審核人日;
適當(dāng)?shù)某闃印⒎謱蛹夹g(shù);
由于審核計劃的無力造成的實現(xiàn)審核目標(biāo)的風(fēng)險;
由審核計劃造成的受審核方的風(fēng)險;
與保密和信息安全有關(guān)的事項等。
審核的實施
召開首次會議宜采用視頻會議的方式進(jìn)行;
審核過程中,審核組宜建立及時、順暢的組內(nèi)溝通渠道;
應(yīng)加強(qiáng)與受審核方的溝通;
充分發(fā)揮 ICT 的優(yōu)勢,盡可能多地從系統(tǒng)中獲取證據(jù)、驗證信息;
召開末次會議宜采用視頻會議的方式進(jìn)行,審核結(jié)論、不符合項的確認(rèn)宜通過電子文檔的形式予以保存;
審核報告通過公司郵箱發(fā)送給受審核方;
不符合項的整改通過電子文檔的形式予以溝通、確認(rèn);
整個過程保留必要的遠(yuǎn)程審核證據(jù),包括但不限于音頻、視頻、語音通話、拍照、截圖、訪談與交流的證據(jù)等。
審核的關(guān)注點
審核人員在遠(yuǎn)程審核過程中應(yīng)重點關(guān)注以下內(nèi)容:
生產(chǎn)/制造過程各項活動和監(jiān)控結(jié)果符合規(guī)定要求;
產(chǎn)品過程特別是關(guān)鍵、特殊過程控制得到有效控制;
不合格(品)得到有效控制、糾正措施的有效性;
內(nèi)外環(huán)境分析、風(fēng)評、內(nèi)審、管評、改進(jìn)措施;
人員能力及意識;
設(shè)備管理與維護(hù),尤其是特種設(shè)備、監(jiān)視和測量設(shè)備的定期檢驗;
采購和供應(yīng)商管理、文件及記錄管理、持續(xù)改進(jìn)機(jī)制等;
主要相關(guān)方、外包活動得到有效控制、過程監(jiān)控到位;
組織適用法律法規(guī),特別是與企業(yè)生產(chǎn)、安全、管理等密切相關(guān)法規(guī)(包括區(qū)域性法規(guī))的收集、更新與應(yīng)用、遵守情況及合規(guī)性評價,如密碼法、食品安全法、環(huán)境保護(hù)法等;
應(yīng)急準(zhǔn)備及響應(yīng):預(yù)案的適宜性、應(yīng)急設(shè)備、應(yīng)急演練,如觸電、火災(zāi)、食物中毒、起重傷害等;
外部主管部門監(jiān)測結(jié)果及處罰情況等。
審核的安全性
安全手段和內(nèi)容:
接入客戶遠(yuǎn)程用戶的審核人員的訪問必須經(jīng)過認(rèn)證;
登錄訪問時必須使用復(fù)雜密碼;
必須安裝防病毒軟件,并且病毒庫升級到最新;
訪問控制列表;
主機(jī)或設(shè)備的系統(tǒng)加固服務(wù);
在客戶網(wǎng)絡(luò)與其他外部網(wǎng)絡(luò)的接入口,根據(jù)網(wǎng)絡(luò)實際情況,配置防火墻系統(tǒng),實現(xiàn)網(wǎng)絡(luò)訪問控制;
審核人員的操作必須要經(jīng)過客戶接入設(shè)備的審計,審計的典型技術(shù)包括Log 日志(服務(wù)器自動產(chǎn)生)、用戶行為監(jiān)控(采用上網(wǎng)行為監(jiān)控軟件或監(jiān)控設(shè)備);
在訪問系統(tǒng)期間,未經(jīng)許可,不允許使用任何方法(如攝像、拍照、拷貝、截圖、打印、手工記錄等)帶走任何數(shù)據(jù)和程序。
審核結(jié)束
當(dāng)遠(yuǎn)程審核工作活動結(jié)束時,客戶應(yīng)盡快撤銷或鎖定審核人員的ICT遠(yuǎn)程登錄授權(quán)和訪問權(quán)限,確保信息安全。
遠(yuǎn)程審核的發(fā)展趨勢
變化和發(fā)展是永恒的,遠(yuǎn)程審核的風(fēng)險總是處在持續(xù)演進(jìn)中。在SDN、區(qū)塊鏈技術(shù)、人工智能技術(shù)、大數(shù)據(jù)技術(shù)與應(yīng)用、云計算技術(shù)、虛擬化技術(shù)日益發(fā)展的今天,遠(yuǎn)程審核、遠(yuǎn)程工作會逐漸成為一種常態(tài)模式,審核員需不斷提高風(fēng)險意識和自身審核能力,規(guī)避審核過程風(fēng)險,幫助企業(yè)降低經(jīng)營風(fēng)險,為認(rèn)證行業(yè)可持續(xù)發(fā)展添磚加瓦。
知識產(chǎn)權(quán)的處分權(quán)包括哪些?
ISO三標(biāo)一體化咨詢服務(wù)
龍華區(qū)應(yīng)對疫情助企紓困解難“十條”措施
質(zhì)量管理體系認(rèn)證機(jī)構(gòu)有哪些
ISO9001:2000兩個供方評價準(zhǔn)則的區(qū)別
程序文件案例:房地產(chǎn)項目可行性研究和投資決策的控制
2024碳中和認(rèn)證詳解
涉外定牌加工中的商標(biāo)侵權(quán)風(fēng)險及防范
風(fēng)險及其特點
在ISO 19011:2018《管理體系審核指南》中,風(fēng)險的定義為:不確定性的影響。
認(rèn)證(審核)風(fēng)險:認(rèn)證行業(yè)在認(rèn)證(審核)活動中的風(fēng)險,就是認(rèn)證機(jī)構(gòu)通過控制自身認(rèn)證審核活動所產(chǎn)生的認(rèn)證審核結(jié)果的差異性,或者說認(rèn)證審核的不確定性對認(rèn)證審核目標(biāo)所產(chǎn)生的影響。
認(rèn)證(審核)風(fēng)險一般具有以下特點:
不確定性——認(rèn)證(審核)風(fēng)險的發(fā)生及其后果具有不確定性。表現(xiàn)在:發(fā)生的可能性、發(fā)生的時間、發(fā)生的地點、發(fā)生的頻次、發(fā)生的后果等,均是不確定的。
客觀性——任何行業(yè)都會存在或面臨一定的風(fēng)險,這是一種客觀存在,認(rèn)證(審核)行業(yè)也不例外,只是面臨的風(fēng)險程度(如高中低)不同而已。
可控性——認(rèn)證(審核)風(fēng)險多數(shù)是可以識別的,一般情況下大部分認(rèn)證機(jī)構(gòu)是可以控制的,風(fēng)險控制主要是在原始審核風(fēng)險的基礎(chǔ)上,通過較為有效的認(rèn)證(審核)活動使其降低到認(rèn)證機(jī)構(gòu)可接受的水平。
可變性——在一定條件下任何事物總是會發(fā)展變化的,風(fēng)險也不例外,當(dāng)引起風(fēng)險的因素發(fā)生變化時,必然會導(dǎo)致風(fēng)險的變化。認(rèn)證(審核)風(fēng)險隨客觀環(huán)境而變化,也依賴于獲證組織管理系統(tǒng)的變化。如果認(rèn)證機(jī)構(gòu)對獲證組織不進(jìn)行有效監(jiān)督,認(rèn)證(審核)風(fēng)險反而會增大,因此需要實施多層次動態(tài)控制。
相對性——風(fēng)險總是相對于事件的主體而言的。同樣的不確定事件對不同的主體有不同的影響。對于不同的認(rèn)證機(jī)構(gòu),由于認(rèn)證(審核)風(fēng)險控制能力不同,使得同類認(rèn)證(審核)風(fēng)險的表現(xiàn)程度也有所不同,因此不同管理水平下的認(rèn)證(審核)風(fēng)險結(jié)果是不同的。
潛在性——認(rèn)證(審核)過程中存在或多或少的不確定因素,受其影響,以及人員能力、技術(shù)條件所限、當(dāng)前無法認(rèn)知的知識領(lǐng)域,人們不能輕易領(lǐng)會、察覺或感知。
遠(yuǎn)程審核
何謂“遠(yuǎn)程”?英語釋義為:long-range、long-distance、remote,漢語釋義為:路程遠(yuǎn)。
遠(yuǎn)程審核,就是審核人員利用計算機(jī)和網(wǎng)絡(luò)傳輸技術(shù),從受審核組織以外的地方對受審核方進(jìn)行的體系審核。
當(dāng)“面對面”的方法不可能或不需要時,使用技術(shù)來收集信息,借助交互式的通信手段進(jìn)行交談。
遠(yuǎn)程審核活動在受審核方(企業(yè))現(xiàn)場以外的任何地方進(jìn)行,無論距離遠(yuǎn)近。
遠(yuǎn)程所需的設(shè)備、軟件等,包括但不限于PC、手機(jī)、釘釘、微信、QQ、ZOOM、語音、視頻、郵件等方式。
遠(yuǎn)程審核的風(fēng)險分析
遠(yuǎn)程審核在節(jié)省食宿交通成本、降低開支、取消旅途勞累的利好下,也產(chǎn)生了一些令人無法回避、必須面對的認(rèn)證(審核)風(fēng)險,這就要求認(rèn)證機(jī)構(gòu)、審核人員無論何時何地都要保持清醒頭腦、樹立風(fēng)險意識、規(guī)避認(rèn)證(審核)風(fēng)險,為客戶最大程度地降低經(jīng)營風(fēng)險、創(chuàng)造認(rèn)證(審核)價值。
防范、規(guī)避認(rèn)證(審核)風(fēng)險是各家認(rèn)證機(jī)構(gòu)管理工作的重中之重,需要認(rèn)真分析、冷靜對待、持續(xù)關(guān)注:
認(rèn)證機(jī)構(gòu)管理層面——國家政策、政府監(jiān)管、自身管理與執(zhí)行力等,能影響到認(rèn)證機(jī)構(gòu)的自身發(fā)展及戰(zhàn)略、經(jīng)營目標(biāo)。
審核人員工作層面——自身素質(zhì)、審核能力、風(fēng)險把控、身體狀況等,能影響到審核人員的職業(yè)生涯及個人、家庭收入。
審核層面——審核是在規(guī)定的時間內(nèi)取得足以證明受審核方(企業(yè))管理體系符合性和有效性證據(jù)的過程,是一種對風(fēng)險的把控。
筆者結(jié)合從2023年2月底開始、大半年多來的遠(yuǎn)程審核總結(jié)發(fā)現(xiàn),對主要的風(fēng)險分析如下:
遠(yuǎn)程審核不能訪問或無法實現(xiàn)
企業(yè)地處僻遠(yuǎn)地區(qū),或部分區(qū)域網(wǎng)絡(luò)信號無法接入;
客戶重要安全、敏感區(qū)域;
客戶禁止攝像、拍照的產(chǎn)品生產(chǎn)場所;
數(shù)據(jù)傳輸不夠安全與穩(wěn)定;
大容量文件共享延時;
用戶存有電子或掃描資料外泄的防范心理;
部分區(qū)域或全部過程無法使用遠(yuǎn)程審核手段加以審核;
高溫、高壓等特殊或異常環(huán)境等。
遠(yuǎn)程審核時間不充分
網(wǎng)絡(luò)傳輸延遲,導(dǎo)致文件接收下載緩慢;
網(wǎng)速異常,導(dǎo)致共享操作顯示畫面靜止或時間延長;
溝通(如文字、語音、視頻)不夠順暢;
視頻/拍照圖像位置不當(dāng);
企業(yè)有/無意遮掩/擋;
涂\劃改資料掃描、再傳輸或共享展示等。
上述情況會導(dǎo)致不能及時、準(zhǔn)確地獲取體系運行資料信息,需額外增加現(xiàn)場審核時間。
遠(yuǎn)程審核證據(jù)獲取不全面
視角/視野狹窄;
企業(yè)協(xié)助與配合不到位、臨時湊拼補(bǔ);
審核員不在現(xiàn)場,部分過程審核力/深度不足;
不能視頻客戶無人值守、遠(yuǎn)距離智能化操作的工作地點,視線不夠;
抽樣證據(jù)的有效性不充分;
客戶數(shù)據(jù)資料傳輸丟包、不準(zhǔn)確等。
遠(yuǎn)程審核業(yè)務(wù)中斷
意外停電;
設(shè)備故障;
網(wǎng)絡(luò)鏈路異常;
通訊軟件出現(xiàn)BUG;
自然災(zāi)害,如臺風(fēng)、暴雨、雪災(zāi)、地震、火災(zāi)等。
上述情況會導(dǎo)致審核組不能按計劃如期進(jìn)行審核,需后續(xù)補(bǔ)充或加以調(diào)整。
其他可能存在的相關(guān)風(fēng)險
實施審核的設(shè)備(如PC、平板)和/或培訓(xùn)不足;
審核組選擇不當(dāng),導(dǎo)致有效實施審核的整體能力不足;
審核任務(wù)較多,找沒有專業(yè)能力或能力不足的人員;
無效的外/內(nèi)部溝通過程/渠道;
未考慮信息安全與保密,如客戶重要資料傳輸時被他人獲取或截圖;
專業(yè)體系條款策劃不合理;
使用公共場所Wi-Fi;
受目前技術(shù)條件所限,未知的,等等。
遠(yuǎn)程審核的風(fēng)險應(yīng)對
目前,遠(yuǎn)程審核的風(fēng)險控制主要以國家政策、行業(yè)監(jiān)管、認(rèn)證機(jī)構(gòu)管理制度以及審核組成員自身素質(zhì)、審核能力、有效運作為前提,審核組全體人員必須認(rèn)真進(jìn)行遠(yuǎn)程審核的風(fēng)險識別與評估,嚴(yán)加控制,從而防范和規(guī)避遠(yuǎn)程審核風(fēng)險。
在審核七項原則中,已明確了保密性(信息安全)和基于風(fēng)險的方法(考慮風(fēng)險和機(jī)遇的審核方法)。
審核組/人員作為直接聯(lián)系客戶和認(rèn)證機(jī)構(gòu)的“紐帶”,應(yīng)從規(guī)避和把控遠(yuǎn)程審核風(fēng)險的實際出發(fā),找出客戶需要整改或應(yīng)當(dāng)注意的問題,讓客戶自身認(rèn)識和評價存在的不符合或問題的危害性及進(jìn)行整改的必要性。
審核組/人員應(yīng)從獲取客戶文檔、方案策劃、文件審查、審核計劃、合理抽樣、提高質(zhì)量、界定范圍、提高對法律/產(chǎn)品風(fēng)險的認(rèn)知水平、遠(yuǎn)程溝通和應(yīng)對能力,以及專業(yè)素質(zhì)、道德水準(zhǔn)、健康狀況、工作忠誠度等方面入手,規(guī)避遠(yuǎn)程審核風(fēng)險,這是審核人員所必需的基本能力。
方案的策劃
客戶環(huán)境相關(guān)的風(fēng)險和機(jī)遇的存在,能夠關(guān)聯(lián)到審核方案,并且可以影響其目標(biāo)的實現(xiàn)。
審核方案應(yīng)考慮客戶的組織目標(biāo)、相關(guān)的外部和內(nèi)部問題、有關(guān)利益相關(guān)方的需要和期望、信息安全和保密要求。
審核方案的策劃應(yīng)特別關(guān)注適宜利用遠(yuǎn)程審核的內(nèi)容,以及通過后期的現(xiàn)場驗證或補(bǔ)充審核降低使用遠(yuǎn)程審核帶來的風(fēng)險。
遠(yuǎn)程審核策劃,包括但不限于如下內(nèi)容:
受審核方所在區(qū)域疫情控制風(fēng)險度,如高、中、低;
企業(yè)產(chǎn)品特點和復(fù)雜度,體系范圍,涉密內(nèi)容,以及了解和熟悉程度;
軟、硬件網(wǎng)絡(luò)資源,以及客戶遠(yuǎn)程接受程度;
審核人日的確定,如遠(yuǎn)程/現(xiàn)場審核內(nèi)容;
界定遠(yuǎn)程、現(xiàn)場審核內(nèi)容;
基于客戶信息安全保密,考慮簽訂保密協(xié)議;
提前搭建、預(yù)演、測試遠(yuǎn)程審核環(huán)境;
音頻、視頻、訪談與交流的證據(jù)保存;
遠(yuǎn)程突發(fā)事件,以及補(bǔ)救措施;
其他。
在確定審核人日時,對初審企業(yè)應(yīng)采取現(xiàn)場與遠(yuǎn)程相結(jié)合的方式。根據(jù)企業(yè)產(chǎn)品種類和復(fù)雜度、內(nèi)外環(huán)境、體系范圍、人數(shù)、運營地址、臨時現(xiàn)場或生產(chǎn)場所等,確定審核人日,現(xiàn)場以1~2人日為宜。必要時根據(jù)受審核方關(guān)鍵人員的可用性調(diào)整審核日期,如審核人日間隔開、非連續(xù)。
現(xiàn)場審核內(nèi)容應(yīng)考慮體系范圍涉及的產(chǎn)品設(shè)計、生產(chǎn)、制造等過程,并核實資質(zhì)原件、總?cè)藬?shù)、體系人數(shù)、覆蓋區(qū)域與場所、有無遺漏或瞞報等。
遠(yuǎn)程審核內(nèi)容,應(yīng)不存在保密、無法遠(yuǎn)程訪問等特殊環(huán)境的體系過程。
監(jiān)督、再認(rèn)證企業(yè)如體系范圍、產(chǎn)品種類未發(fā)生變化或變化不大、產(chǎn)品增加但生產(chǎn)工藝流程相同/相似/相近時。
文件的審查
采用ICT提前溝通、獲取企業(yè)體系文件化信息與運行資料,提出文審意見;
了解企業(yè)體系概況和自愿性體系證書獲取情況,如ISO 9001、ISO 20000-1、ISO 22301、ISO 27001、ISO 45001、GB/T 23001等;
根據(jù)體系范圍確定相應(yīng)資質(zhì)許可及有效期,如安全生產(chǎn)許可證、產(chǎn)品生產(chǎn)許可證、CCC、QS、電信資質(zhì)、建筑業(yè)企業(yè)資質(zhì)、建筑智能化系統(tǒng)設(shè)計專項、安防工程企業(yè)設(shè)計施工維護(hù)資質(zhì)、測繪資質(zhì)等;
國家信用信息嚴(yán)重失信主體相關(guān)名錄等。
計劃的編制
編制計劃時應(yīng)基于風(fēng)險的方法,應(yīng)考慮:
采用的ICT方法;
遠(yuǎn)程、現(xiàn)場的審核人日;
適當(dāng)?shù)某闃印⒎謱蛹夹g(shù);
由于審核計劃的無力造成的實現(xiàn)審核目標(biāo)的風(fēng)險;
由審核計劃造成的受審核方的風(fēng)險;
與保密和信息安全有關(guān)的事項等。
審核的實施
召開首次會議宜采用視頻會議的方式進(jìn)行;
審核過程中,審核組宜建立及時、順暢的組內(nèi)溝通渠道;
應(yīng)加強(qiáng)與受審核方的溝通;
充分發(fā)揮 ICT 的優(yōu)勢,盡可能多地從系統(tǒng)中獲取證據(jù)、驗證信息;
召開末次會議宜采用視頻會議的方式進(jìn)行,審核結(jié)論、不符合項的確認(rèn)宜通過電子文檔的形式予以保存;
審核報告通過公司郵箱發(fā)送給受審核方;
不符合項的整改通過電子文檔的形式予以溝通、確認(rèn);
整個過程保留必要的遠(yuǎn)程審核證據(jù),包括但不限于音頻、視頻、語音通話、拍照、截圖、訪談與交流的證據(jù)等。
審核的關(guān)注點
審核人員在遠(yuǎn)程審核過程中應(yīng)重點關(guān)注以下內(nèi)容:
生產(chǎn)/制造過程各項活動和監(jiān)控結(jié)果符合規(guī)定要求;
產(chǎn)品過程特別是關(guān)鍵、特殊過程控制得到有效控制;
不合格(品)得到有效控制、糾正措施的有效性;
內(nèi)外環(huán)境分析、風(fēng)評、內(nèi)審、管評、改進(jìn)措施;
人員能力及意識;
設(shè)備管理與維護(hù),尤其是特種設(shè)備、監(jiān)視和測量設(shè)備的定期檢驗;
采購和供應(yīng)商管理、文件及記錄管理、持續(xù)改進(jìn)機(jī)制等;
主要相關(guān)方、外包活動得到有效控制、過程監(jiān)控到位;
組織適用法律法規(guī),特別是與企業(yè)生產(chǎn)、安全、管理等密切相關(guān)法規(guī)(包括區(qū)域性法規(guī))的收集、更新與應(yīng)用、遵守情況及合規(guī)性評價,如密碼法、食品安全法、環(huán)境保護(hù)法等;
應(yīng)急準(zhǔn)備及響應(yīng):預(yù)案的適宜性、應(yīng)急設(shè)備、應(yīng)急演練,如觸電、火災(zāi)、食物中毒、起重傷害等;
外部主管部門監(jiān)測結(jié)果及處罰情況等。
審核的安全性
安全手段和內(nèi)容:
接入客戶遠(yuǎn)程用戶的審核人員的訪問必須經(jīng)過認(rèn)證;
登錄訪問時必須使用復(fù)雜密碼;
必須安裝防病毒軟件,并且病毒庫升級到最新;
訪問控制列表;
主機(jī)或設(shè)備的系統(tǒng)加固服務(wù);
在客戶網(wǎng)絡(luò)與其他外部網(wǎng)絡(luò)的接入口,根據(jù)網(wǎng)絡(luò)實際情況,配置防火墻系統(tǒng),實現(xiàn)網(wǎng)絡(luò)訪問控制;
審核人員的操作必須要經(jīng)過客戶接入設(shè)備的審計,審計的典型技術(shù)包括Log 日志(服務(wù)器自動產(chǎn)生)、用戶行為監(jiān)控(采用上網(wǎng)行為監(jiān)控軟件或監(jiān)控設(shè)備);
在訪問系統(tǒng)期間,未經(jīng)許可,不允許使用任何方法(如攝像、拍照、拷貝、截圖、打印、手工記錄等)帶走任何數(shù)據(jù)和程序。
審核結(jié)束
當(dāng)遠(yuǎn)程審核工作活動結(jié)束時,客戶應(yīng)盡快撤銷或鎖定審核人員的ICT遠(yuǎn)程登錄授權(quán)和訪問權(quán)限,確保信息安全。
遠(yuǎn)程審核的發(fā)展趨勢
變化和發(fā)展是永恒的,遠(yuǎn)程審核的風(fēng)險總是處在持續(xù)演進(jìn)中。在SDN、區(qū)塊鏈技術(shù)、人工智能技術(shù)、大數(shù)據(jù)技術(shù)與應(yīng)用、云計算技術(shù)、虛擬化技術(shù)日益發(fā)展的今天,遠(yuǎn)程審核、遠(yuǎn)程工作會逐漸成為一種常態(tài)模式,審核員需不斷提高風(fēng)險意識和自身審核能力,規(guī)避審核過程風(fēng)險,幫助企業(yè)降低經(jīng)營風(fēng)險,為認(rèn)證行業(yè)可持續(xù)發(fā)展添磚加瓦。
知識產(chǎn)權(quán)的處分權(quán)包括哪些?
ISO三標(biāo)一體化咨詢服務(wù)
龍華區(qū)應(yīng)對疫情助企紓困解難“十條”措施
質(zhì)量管理體系認(rèn)證機(jī)構(gòu)有哪些
ISO9001:2000兩個供方評價準(zhǔn)則的區(qū)別
程序文件案例:房地產(chǎn)項目可行性研究和投資決策的控制
2024碳中和認(rèn)證詳解
涉外定牌加工中的商標(biāo)侵權(quán)風(fēng)險及防范