認證機構“單方面遠程審核”引發的思考
本網訊(通訊員 河南南陽市市場監管局 譚彥海)2020年新年伊始,由于新冠肺炎疫情的發生,對整個認證行業產生了巨大的影響,審核人員因部分獲證企業處于疫情高風險地區,而無法進入現場進行審核,獲證企業的臨期的認證證書無法延續,緊急情況下市場監管總局辦公廳《關于在新型冠狀病毒感染肺炎疫情防控期間實施好質量認證相關工作的通知》推出了相應審核措施,從而保證了新冠疫情防控期間,認證機構的認證活動合規、有效、可持續。在此期間出現了新的現場審核方式即“遠程審核”。然而,在國家市場監管總局2020年組織的認證從業機構“雙隨機、一公開”檢查過程中也遇到了涉及遠程審核的合法性、連續性、真實性、保密性等一些新問題,為我們的后續執法監管帶來了新的思考。
一、遠程審核的合法性問題
遠程審核是新冠疫情期間為保證獲證企業證書持續有效的一種措施,但是對于遠程審核的理解也僅限于CNAS-CC14《信息和通信技術(ICT)在審核中應用》中的定義,沒有任何的規則、規范對ICT審核技術進行規定,審核中出現的問題也沒有監管依據。
“遠程審核”不難理解,其實就是CNAS-CC14《信息和通信技術(ICT)在審核中應用》規定的以信息和通信技術獲取信息的方式替代傳統的現場審核,那“單方面”又作何解釋呢?所謂的“單方面”就是指認證機構從編制審核計劃、發送審核通知、現場審核首/末次會議簽到表、現場審核報告直至出具認證證書等一系列認證活動不僅未提前在監管部門備案也未通知受審核方,且在貫穿認證活動始末的所有環節也均未對可能影響認證結果有效性的關鍵信息進行描述。這一做法,與CNAS-CC14《信息和通信技術(ICT)在審核中應用》中要求部分的規定相向而行。
二、遠程審核的連續性和真實性問題
筆者在對2020年認證從業機構的“雙隨機”檢查中發現,某認證機構于7月26日上午至7月27日下午對某物業公司的三體系(質量管理體系、環境管理體系、職業健康安全管理體系)進行了第一次監督審核,8月11日作出符合要求,同意繼續保持認證注冊資格的決定。在此期間,認證機構于7月21日出具了《審核項目發送通知》,通知中顯示共有5名人員參與審核,在《管理體系審核計劃》中明確了其中3名為審核員,2名為技術專家;在檢查獲證組織提供的7月26日的首/末次會議簽到表中發現,簽到表只有4名審核組成員簽字,遂詢問獲證組織有關人員,其聲稱其中一名審核員是因疫情原因不能到現場參與審核,將采用所謂“遠程審核”的方式開展工作,此為其一;認證機構從《管理體系審核計劃》、《審核項目發送通知》、《首/末次會議簽到表》到《現場審核報告》以及通過“認證行政監管系統”查詢,均未提到審核員將采用“遠程審核”的方式參與審核活動,此為其二;經過詢問調查,采用“遠程審核”的審核員是通過微信視頻通話的方式與獲證組織有關人員僅進行了約十分鐘的交流,期間交流了什么不得而知,此為其三;也就是說,認證機構在審核活動策劃階段并未對整個流程進行充分合理地安排,獲證組織是在審核組到達現場后才知道其中一名審核員因為疫情原因到不了現場,這不僅完全忽視了獲證組織應提前獲悉此消息的知情權,且只有約十分鐘的視頻交流會不會讓獲證組織認為如此“高大上”的認證其實不過就是走個過場?試問,即便因為疫情原因不得已要采取“遠程審核”開展工作,為何在國家認監委的“認證監管系統”中未提前報備?在簽到表中為何沒有進行情況描述?最終的《現場審核報告》又不做備注?如果不是此次“雙隨機”檢查,是不是監管部門就不掌握這種情況?是不是就“蒙混過關”了?遠程審核會不會通過簡短的視頻只展示審核員想要看到的內容呢?由此可見,審核活動的連續性和審核結果的真實性都是無法得到保障的。
那么,“遠程審核”行不行?當然行!如果,認證機構能夠在最大限度地確保認證審核有效性的前提下,有一套針對遠程審核的基本規范、必要的信息系統和基礎設施,審核員具備對認證行業敬畏與熱愛以及專業的審核技能,再加上獲證組織的積極配合,“遠程審核”一定會在網絡技術日新月異的變革時代發揮其1+1>2的引領示范效應。
“遠程審核”好不好?當然好!遠程審核其實是為認證機構提供另外一種思路,促進認證機構進一步改進其審核模式,最大化利用資源,從而更好地服務受審核方。對認證機構而言,遠程審核可以減少審核員現場審核的人日數,給審核安排帶來更多的便利性;同時,基于可靠信息系統獲取的遠程審核證據可以大大降低審核的風險,受審核方出于應對審核另行編造的記錄很難與信息系統中的數據對應,數據造假也更容易被發現。對受審核方而言,遠程審核的實施可以有效地降低其取得證書的總成本。慣例上,國內認證機構大多會在合同中注明由受審核方承擔審核員的差旅食宿費用,減少現場的人日數意味著受審核方的開支會變小;另一方面,對那些網絡化、無紙化辦公的企業而言,審核員使用與其相仿的方式索取文檔、表單和記錄,驗證其內控制度的有效性,也是他們所樂于接受的。對審核員而言,遠程審核一方面可以降低旅途奔波帶來的疲勞,另一方面,由于遠程獲取的信息很多都是具有高度的結構化和標準化的數據資料,審核員可以很容易在此基礎上進行進一步的分析和匯總,進而提出高水平的審核結論以及編寫出受審核方管理層“更容易理解”的審核報告。(這段與現行有效的規則相沖突)
遠程審核技術應用的獲益方不僅僅限于認證機構、受審核方和審核員三方,組織最高管理層、以及質量、運營、物料、供應鏈和內審管理人員也均可從中獲益。
三、遠程審核的保密性問題
遠程審核作為新的審核手段應用時間較短,是為了新冠疫情期間保證獲證企業證書的連續性和認證的有效性采取的一種臨時性措施。認證機構進行遠程審核的方式大多數是采取QQ、釘釘、微信等會議室或視頻的方式進行遠程視頻審核,一些企業的加工工藝或者生產技術屬于保密的,認證機構進場審核時審核人員需要簽訂保密協議或者保密承諾書的文件,采用第三方公共軟件的形式進行視頻審核還需對第三方視頻軟件的安全性進行評估,需要有嚴格的操作流程和視頻保密程序措施。在國家未建立綜合遠程視頻審核軟件的前提下進行視頻遠程審核其安全性存在重大疑問。
遠程審核技術應用應明確法律地位,做到監管有依據,處理有條款,同時還應在真實性和安全性的問題上進行要求后才可以作為常規的審核手段,各認證機構應在現有的認證規則的框架下減少遠程審核的比例,做到非必要不遠程。監管部門應做到審慎包容的態度進行監管。
由此可見,遠程審核是一把雙刃劍,用得好,可以更大程度上保持認證活動的連續性;用得不好,無疑會影響認證的有效性。遠程審核的應用給廣大認證機構既帶來了機遇,又帶來了挑戰。如何使遠程審核在最大限度地確保認證審核有效性的前提下,降低疫情對認證審核工作的影響,真正為復工復產發揮積極作用,是大家需要不斷總結和完善的;如何正確應用遠程審核也需要深入研究、合理策劃、規范實施、全程監控、不斷總結。如果認證機構想常態化使用遠程審核技術,就目前認證機構所采用的手段還是遠遠不夠的,還需要認證機構進一步地研究和實踐。只有這樣,才能正確發揮遠程審核的作用。
