远程审核,是指在特定情况下或者受特殊情况和不可抗力(例如突发公共卫生等全国性或区域性重大公共事件)影响,不去被审核单位主要办公场所、生产经营场所实施现场审核工作的情况下,在办公室或审核人员居住场所中采用通过网络通信渠道和信息化工具,包含电话、电子邮件、数据交换平台、语音和视频工具、内部视频和电话会议平台、具有同步和远程审核功能的审核软件等,获取被审核单位电子化资料和其他与审核相关的信息资料,以及与被审核单位等相关人员进行远程交流等方式,实施审核工作,获取相关证据记录,并依据证据记录出具审核结论的审核方法。
实施远程审核的优点
远程审核是利用现代可视化技术的一种审核方法,有其必要性。首先,审核方法及工具必须创新。在所有证据均可通过可视化技术在远程方式获取的情况下,能够为企业减轻差旅负担,同时,也能够为审核员节约大量的差旅出行时间,让审核员能有更多的时间专注于审核工作本身,提高审核效率。
现代网络技术日新月异,物联网、可视化、智能化技术逐步普及,作为高技术服务的审核工作应该与时俱进。传统的审核方式是必须到受审方工作及生产现场获取相关审核证据,可是,随着计算机技术与互联网技术的不断发展,许多的审核证据已经不再必须审核人员到受审方现场就能够获取得到,通过实时视频会议系统能够很好地与受审方人员进行远程交流,以此来获取审核证据。
审核人员多年形成的审核思路,必须突破。许多审核人员觉得必须到审核现场才能很好地获取审核证据,才能知道受审方对相关标准的执行情况。实际上,随着高清视频技术的发展,远程视频查看与现场查看已经没有多大的区别,审核人员可通过使用先进技术来实施远程审核,从而提高审核效率。
实施远程审核的常见问题
1. 远程审核的工作方式不应降低审核质量
在任何情况下,均应按CCRC-ISV-C01:2018《信息安全服务规范》获取充分、适当的审核证据,以得出合理的结论,作为形成审核意见的基础。实施远程审核工作必须以不降低审核质量为前提。出具审核报告前,假如无法实施全部必要的现场审核工作,审核组应考虑该审核范围受限情形对审核报告意见类型的影响。
2. 充分考虑远程审核工作方式的局限性
审核组应充分考虑远程审核工作方式的局限性,认识到并非所有审核程序均可适用远程审核工作方式,应当根据被审核单位电子资料的可获得性、可靠性,以及通讯的即时性和风险评估情况,明确采用远程审核工作方式实施的相关审核程序的性质、范围和时间,制定审核计划。假如无法通过远程审核工作方式确认被审核单位提供的审核资料是否真实、完整、准确,审核组必须在后期追加的现场审核工作中对远程审核获取的相关资料予以验证。
3. 特别关注远程审核工作的风险防范
鉴于远程审核工作方式对电子数据、网络通信、信息化工具软件存在较大程度的依赖,审核组在实施远程审核工作时应特别关注远程审核工作方式的固有风险。此类风险包含数据传输和存储的安全性、数据自身的真实性和完整性、信息化工具软件的可靠性、审核程序和审核证据获取的合规性和有效性,以及履行保密义务等职业道德要求。
4. 与被审核单位管理层沟通
在采用远程审核工作方式的情况下,审核组应与被审核单位管理层或管理层授权人员充分沟通并获取其远程审核工作的理解和支持,商定被审核单位提供相应配合的具体实施方案(人员安排和联络方式、资料准备和提供时间及传递方式等),并敦促被审核单位相关人员及时提供真实、完整、准确的审核所需资料。
远程审核工作方式下的项目管理
采用远程审核工作方式时,由于项目组成员并非集中于审核工作现场,导致其审核工作的效率和效果受主观和客观条件的影响较大。因此,审核组长应特别考虑远程审核工作方式下的项目管理和督导,充分关注项目组成员的工作状况、工作进度、效率和效果,并及时对其工作进行复核和指导。
远程审核工作方式下相关审核证据的安全获取
通过远程审核工作方式获取被审核单位相关证据资料等电子文件时,审核组应特别注意采取适当措施确保被审核单位数据信息安全并严格按照职业道德要求履行保密义务,例如:应尽可能避免使用不加密的公共无线网络环境;收发邮件时应对所传输的相关重要或敏感文件进行加密处理;避免用微信、QQ等社交媒体传送重要或敏感信息等。
对以电子形式获取的审核证据,可能存在可靠性风险,对此审核组应考虑采取适当措施降低可靠性风险,例如审核组成员使用工作邮箱(而非个人电子邮箱)接收审核所需资料,并要求被审核单位也使用企业工作邮箱(而非个人电子邮箱)发送审核组所必须的审核资料。
审核组应将通过远程审核方式实施的审核程序、获取的相关审核证据,以及得出的审核结论及时完整地记录于审核记录表中。对于远程审核工作方式取得的音频、视频资料(例如远程视频访谈、视频或电话会议记录、视频沟通记录等录音、录屏资料),也应妥善保存。
实施远程审核的技术要点
1. 前提条件确认
(1)可能时认证合同中加以明确,由于顾客的意愿是实施远程审核的必要条件;
(2)顾客企业基础设施、信息技术及安全、网络管理、人员能力的满足;
(3)本认证中心审核组人员能力的满足评价;
(4)审核方案中予以明确并向上级主管单位报备。
2. 审核前准备
(1)审核组长与企业沟通,再次确认有关条件的满足;
(2)审核计划中明确远程审核部门或场所;
(3)针对远程审核,书面告知企业必须准备的设施、人员、现场要求、资料等,并列出明确的清单;
(4)审核组内部专业培训及远程审核方法要点培训。
3. 实施审核
(1)召开首次会议,介绍审核组及审核要求相关事宜;
(2)审核实施,包含:由公司主管安全服务的技术副总及以上领导介绍公司的整体情况、服务能力及未来规划,工作及实验环境(视频),服务规范、流程,典型案例,以及上1年度观察项和(或)不符合整改情况(适用于监督审核);通过远程方式获取其他必要的审核证据;整理证据记录,形成初步的审核意见。
(3)召开末次会议,通告审核情况及初步结论。
综上所述,远程审核是1个现代审核的工具和手段,是一种审核方式,能够用在平时,也能够用在特殊情况下。采用远程审核能够使审核人员减少不必要的路途劳累,提高工作效能,促使审核人员不断提高自己,以期在运用时能够做到简捷、安全、有效。
来源:《中国认证认可》杂志 2020年第4期