远程审核的风险分析与应对之策

卡狄亚上海

在ISO 19011：2018《管理体系审核指南》中，风险的定义为：不确定性的影响。

认证（审核）风险：认证行业在认证（审核）活动中的风险，就是认证机构通过控制自身认证审核活动所产生的认证审核结果的差异性，或者说认证审核的不确定性对认证审核目标所产生的影响。

7 l# Q1 S; R! b

认证（审核）风险一般具有以下特点：

不确定性——认证（审核）风险的发生及其后果具有不确定性。表现在：发生的可能性、发生的时间、发生的地点、发生的频次、发生的后果等，均是不确定的。

客观性——任何行业都会存在或面临一定的风险，这是一种客观存在，认证（审核）行业也不例外，只是面临的风险程度（如高中低）不同而已。

可控性——认证（审核）风险多数是可以识别的，一般情况下大部分认证机构是可以控制的，风险控制主要是在原始审核风险的基础上，通过较为有效的认证（审核）活动使其降低到认证机构可接受的水平。

可变性——在一定条件下任何事物总是会发展变化的，风险也不例外，当引起风险的因素发生变化时，必然会导致风险的变化。认证（审核）风险随客观环境而变化，也依赖于获证组织管理系统的变化。如果认证机构对获证组织不进行有效监督，认证（审核）风险反而会增大，因此需要实施多层次动态控制。

相对性——风险总是相对于事件的主体而言的。同样的不确定事件对不同的主体有不同的影响。对于不同的认证机构，由于认证（审核）风险控制能力不同，使得同类认证（审核）风险的表现程度也有所不同，因此不同管理水平下的认证（审核）风险结果是不同的。

潜在性——认证（审核）过程中存在或多或少的不确定因素，受其影响，以及人员能力、技术条件所限、当前无法认知的知识领域，人们不能轻易领会、察觉或感知。

远程审核

何谓“远程”？英语释义为：long-range、long-distance、remote，汉语释义为：路程远。

远程审核，就是审核人员利用计算机和网络传输技术，从受审核组织以外的地方对受审核方进行的体系审核。

当“面对面”的方法不可能或不需要时，使用技术来收集信息，借助交互式的通信手段进行交谈。

远程审核活动在受审核方（企业）现场以外的任何地方进行，无论距离远近。

远程所需的设备、软件等，包括但不限于PC、手机、钉钉、微信、QQ、ZOOM、语音、视频、邮件等方式。

. T0 Q5 c1 F* M& i

远程审核的风险分析

远程审核在节省食宿交通成本、降低开支、取消旅途劳累的利好下，也产生了一些令人无法回避、必须面对的认证（审核）风险，这就要求认证机构、审核人员无论何时何地都要保持清醒头脑、树立风险意识、规避认证（审核）风险，为客户最大程度地降低经营风险、创造认证（审核）价值。

防范、规避认证（审核）风险是各家认证机构管理工作的重中之重，需要认真分析、冷静对待、持续关注：

认证机构管理层面——国家政策、政府监管、自身管理与执行力等，能影响到认证机构的自身发展及战略、经营目标。

审核人员工作层面——自身素质、审核能力、风险把控、身体状况等，能影响到审核人员的职业生涯及个人、家庭收入。

审核层面——审核是在规定的时间内取得足以证明受审核方（企业）管理体系符合性和有效性证据的过程，是一种对风险的把控。

  r+ P9 X" [1 w& `

笔者结合从2020年2月底开始、大半年多来的远程审核总结发现，对主要的风险分析如下：

远程审核不能访问或无法实现

企业地处僻远地区，或部分区域网络信号无法接入；

客户重要安全、敏感区域；

客户禁止摄像、拍照的产品生产场所；

数据传输不够安全与稳定；

大容量文件共享延时；

用户存有电子或扫描资料外泄的防范心理；

部分区域或全部过程无法使用远程审核手段加以审核；

高温、高压等特殊或异常环境等。

远程审核时间不充分

网络传输延迟，导致文件接收下载缓慢；

网速异常，导致共享操作显示画面静止或时间延长；

沟通（如文字、语音、视频）不够顺畅；

视频/拍照图像位置不当；

企业有/无意遮掩/挡；

涂\划改资料扫描、再传输或共享展示等。

上述情况会导致不能及时、准确地获取体系运行资料信息，需额外增加现场审核时间。

远程审核证据获取不全面

视角/视野狭窄；

企业协助与配合不到位、临时凑拼补；

审核员不在现场，部分过程审核力/深度不足；

不能视频客户无人值守、远距离智能化操作的工作地点，视线不够；

抽样证据的有效性不充分；

客户数据资料传输丢包、不准确等。

远程审核业务中断

意外停电；

设备故障；

网络链路异常；

通讯软件出现BUG；

自然灾害，如台风、暴雨、雪灾、地震、火灾等。

上述情况会导致审核组不能按计划如期进行审核，需后续补充或加以调整。

其他可能存在的相关风险

实施审核的设备（如PC、平板）和/或培训不足；

审核组选择不当，导致有效实施审核的整体能力不足；

审核任务较多，找没有专业能力或能力不足的人员；

无效的外/内部沟通过程/渠道；

未考虑信息安全与保密，如客户重要资料传输时被他人获取或截图；

专业体系条款策划不合理；

使用公共场所Wi-Fi；

受目前技术条件所限，未知的，等等。

+ h  H$ i& v* C* e% r

远程审核的风险应对

目前，远程审核的风险控制主要以国家政策、行业监管、认证机构管理制度以及审核组成员自身素质、审核能力、有效运作为前提，审核组全体人员必须认真进行远程审核的风险识别与评估，严加控制，从而防范和规避远程审核风险。

在审核七项原则中，已明确了保密性（信息安全）和基于风险的方法（考虑风险和机遇的审核方法）。

审核组/人员作为直接联系客户和认证机构的“纽带”，应从规避和把控远程审核风险的实际出发，找出客户需要整改或应当注意的问题，让客户自身认识和评价存在的不符合或问题的危害性及进行整改的必要性。

审核组/人员应从获取客户文档、方案策划、文件审查、审核计划、合理抽样、提高质量、界定范围、提高对法律/产品风险的认知水平、远程沟通和应对能力，以及专业素质、道德水准、健康状况、工作忠诚度等方面入手，规避远程审核风险，这是审核人员所必需的基本能力。

方案的策划

客户环境相关的风险和机遇的存在，能够关联到审核方案，并且可以影响其目标的实现。

审核方案应考虑客户的组织目标、相关的外部和内部问题、有关利益相关方的需要和期望、信息安全和保密要求。

审核方案的策划应特别关注适宜利用远程审核的内容，以及通过后期的现场验证或补充审核降低使用远程审核带来的风险。

远程审核策划，包括但不限于如下内容：

受审核方所在区域疫情控制风险度，如高、中、低；

企业产品特点和复杂度，体系范围，涉密内容，以及了解和熟悉程度；

软、硬件网络资源，以及客户远程接受程度；

审核人日的确定，如远程/现场审核内容；

界定远程、现场审核内容；

基于客户信息安全保密，考虑签订保密协议；

提前搭建、预演、测试远程审核环境；

音频、视频、访谈与交流的证据保存；

远程突发事件，以及补救措施；

其他。

在确定审核人日时，对初审企业应采取现场与远程相结合的方式。根据企业产品种类和复杂度、内外环境、体系范围、人数、运营地址、临时现场或生产场所等，确定审核人日，现场以1~2人日为宜。必要时根据受审核方关键人员的可用性调整审核日期，如审核人日间隔开、非连续。

现场审核内容应考虑体系范围涉及的产品设计、生产、制造等过程，并核实资质原件、总人数、体系人数、覆盖区域与场所、有无遗漏或瞒报等。

远程审核内容，应不存在保密、无法远程访问等特殊环境的体系过程。

监督、再认证企业如体系范围、产品种类未发生变化或变化不大、产品增加但生产工艺流程相同/相似/相近时。

6 ], s3 a# K2 B, Z) v/ H

文件的审查

采用ICT提前沟通、获取企业体系文件化信息与运行资料，提出文审意见；

了解企业体系概况和自愿性体系证书获取情况，如ISO 9001、ISO 20000-1、ISO 22301、ISO 27001、ISO 45001、GB/T 23001等；

根据体系范围确定相应资质许可及有效期，如安全生产许可证、产品生产许可证、CCC、QS、电信资质、建筑业企业资质、建筑智能化系统设计专项、安防工程企业设计施工维护资质、测绘资质等；

国家信用信息严重失信主体相关名录等。

计划的编制

编制计划时应基于风险的方法，应考虑：

采用的ICT方法；

远程、现场的审核人日；

适当的抽样、分层技术；

由于审核计划的无力造成的实现审核目标的风险；

由审核计划造成的受审核方的风险；

与保密和信息安全有关的事项等。

' x: d. S( X5 y

审核的实施

召开首次会议宜采用视频会议的方式进行；

审核过程中，审核组宜建立及时、顺畅的组内沟通渠道；

应加强与受审核方的沟通；

充分发挥 ICT 的优势，尽可能多地从系统中获取证据、验证信息；

召开末次会议宜采用视频会议的方式进行，审核结论、不符合项的确认宜通过电子文档的形式予以保存；

审核报告通过公司邮箱发送给受审核方；

不符合项的整改通过电子文档的形式予以沟通、确认；

整个过程保留必要的远程审核证据，包括但不限于音频、视频、语音通话、拍照、截图、访谈与交流的证据等。

审核的关注点

审核人员在远程审核过程中应重点关注以下内容：

生产/制造过程各项活动和监控结果符合规定要求；

产品过程特别是关键、特殊过程控制得到有效控制；

不合格（品）得到有效控制、纠正措施的有效性；

内外环境分析、风评、内审、管评、改进措施；

人员能力及意识；

设备管理与维护，尤其是特种设备、监视和测量设备的定期检验；

采购和供应商管理、文件及记录管理、持续改进机制等；

主要相关方、外包活动得到有效控制、过程监控到位；

组织适用法律法规，特别是与企业生产、安全、管理等密切相关法规（包括区域性法规）的收集、更新与应用、遵守情况及合规性评价，如密码法、食品安全法、环境保护法等；

应急准备及响应：预案的适宜性、应急设备、应急演练，如触电、火灾、食物中毒、起重伤害等；

外部主管部门监测结果及处罚情况等。

; k) U: j0 @+ @; e! J3 S; v1 J9 e

审核的安全性

安全手段和内容：

接入客户远程用户的审核人员的访问必须经过认证；

登录访问时必须使用复杂密码；

必须安装防病毒软件，并且病毒库升级到最新；

访问控制列表；

主机或设备的系统加固服务；

在客户网络与其他外部网络的接入口，根据网络实际情况，配置防火墙系统，实现网络访问控制；

审核人员的操作必须要经过客户接入设备的审计，审计的典型技术包括Log 日志（服务器自动产生）、用户行为监控（采用上网行为监控软件或监控设备）；

在访问系统期间，未经许可，不允许使用任何方法（如摄像、拍照、拷贝、截图、打印、手工记录等）带走任何数据和程序。

审核结束

当远程审核工作活动结束时，客户应尽快撤销或锁定审核人员的ICT远程登录授权和访问权限，确保信息安全。

2 B4 q/ `, p2 G3 K5 a' r

远程审核的发展趋势

变化和发展是永恒的，远程审核的风险总是处在持续演进中。在SDN、区块链技术、人工智能技术、大数据技术与应用、云计算技术、虚拟化技术日益发展的今天，远程审核、远程工作会逐渐成为一种常态模式，审核员需不断提高风险意识和自身审核能力，规避审核过程风险，帮助企业降低经营风险，为认证行业可持续发展添砖加瓦。