管理体系远程审核技术条件和方法

新冠肺炎疫情让人们的生活、学习和工作方式越来越多地从线下转到线上。众多组织的运行依靠互联网和现代通信技术去完成，也让更多的企业管理体系开始借助于电子版文件、数据和软件的管理体系（EBMS）。由此，对组织管理体系运行符合性、有效性、适宜性的审核，会更多地将远程审核作为审核的一部分，如采用基于网络的交互式协作、网络会议、电视电话会议和（或）通过电子化方式验证客户的过程，也即采用信息和通信技术（ICT）CNAS-CC14-2019［注：本文件已经代替计算机辅助审核技术（CATT）CNAS- CC14-2008］来验证客户认证范围的管理体系过程的运行情况。

按照CNAS现行相关准则，远程审核只是现场审核的一部分，因此一般远程审核活动占策划的现场管理体系审核时间不得大于30%，且对于现场审核时间在3人日以下的认证项目不建议采用远程审核。但是，如果因为非常原因或者信息和通信技术的发展（如全过程、全流程的EBMS），均可能让远程审核成为常态化的审核模式。由此，需要管理体系认证的从业人员去思考、探索EBMS下，运用ICT的应用技术，实现认证全周期的远程审核的模式，并能为审核过程的完整性与可信性提供支持和保障。

实现远程审核的基本条件和环境

既然在受审核方物理现场以外的地方进行现场审核，就必须要构建能够呈现受审核方物理现场完整过程、流程的环境，包括EBMS运行状态的文件化信息，并使EBMS与受审核方的管理系统（如ERP、SAP、OA、智慧云等操作系统）相融，同时，受审核方及实施审核方之间应就应用ICT的应用技术达成一致意见，以确保在安全、保密的前提下，为审核过程的完整性与可信性提供支持和保障，最终达成远程审核的目的。

所以，实现远程审核的基本条件至少应该包括：受审核方及实施审核方都具备必要的资源，即具有应用系统使用技能的专业人员、设备和必要的信息采集、获取、存储的工具和设备；双方互相信任的共识以及为安全、保密采取的措施等，从而构建一个实现远程审核的实施环境。

运用远程审核技术的实现方式及技术条件

在信息和通信技术发展的今天，互联网、物联网、云端应用科技、5G技术、人工智能以及卫星导航、遥感、遥测、量子传输等为我们真正实现生产、生活、服务过程全景再现提供了条件，也让线上办公、在线追踪、全程监控成为可能。因此，运用现代信息和通信技术，完成全过程、全流程的远程审核成为重要途径，只是在远程审核技术实现方式、呈现方法和技术条件上，需要依据每一个审核项目中被审核方的ICT条件和环境进行策划并依据审核实施方的资源和能力达到审核目的。

按照CNAS-CC14：2019 ICT在审核应用中列示信息：ICT是应用技术来收集、存储、检索、处理、分析和发送信息。它包括软件和硬件，例如：智能手机、手持设备、笔记本电脑、台式电脑、无人机、摄像机、可穿戴技术、人工智能及其他；同时，可通过视频会议，远程接入、访问、传输，云端数据库共享，实时影像抓取以及社会共享信息获取等方式，在审核双方互认的安全通道（如VPN）呈现客观证据。所以，远程审核技术的实施，需要双方均搭建应用平台，首先应该由认证机构搭建线上公共办公平台，为获证组织推送链接接口和客户端应用软件，推送VPN应用数据采集的客户端或APP客户端；也可以由被审核方提供时限访问授权，开放EBMS的浏览端口，提供认证范围涉及专业的过程图纸、影像、图片解码程序，推送抽样样本档案或者现场实时监控截图，必要时，收集被审核方产品或者服务的第三方监测、检验、评价证明文本材料，让审核组成员都能在物理现场外，安全地获得相应审核证据和文件化信息，记录并证明被审核方产品或者服务涉及的管理体系运行的适宜性、符合性、有效性并提出持续改进事项，最终完成除需要现场验证整改事项外的认证结论。

远程审核方法和记录文件模式探索

目前被审核方物理现场审核收集审核证据的方法主要包括：现场观察、查阅文件记录、面谈交流等，远程审核和其他收集审核证据的方法仅仅作为辅助方法加以选择性使用。而远程审核模式下的审核则需要将ICT技术应用作为主要方法，实施在线视角实景观察或者在线视频、影像观察；调取、查阅文件记录或者进入企业组织ERP、OA、SAP、云端数据库或者进入网站、APP推送信息以及微信公众号和政府公众网站信息收集相关文件记录；通过QQ、微信、短信、钉钉以及视频、语音进行在线聊天、沟通、交流；条件许可和授权的前提下，还可以进入企业指挥、监控系统实时查询、定位卫星监控、监测、遥感、遥测的影像、画面、图片和活动轨迹，真正获得完整的客观证据。为此，审核方的审核记录就需要专业审核人员按照管理体系认证范围收集、整理、存储涉及专业的全过程、全流程影像、图片、画面、过程和流程运行截图、在线沟通内容截屏以及涉及的第三方检验、检测、评价证明文件图片，形成电子信息记录，而不是仅仅进行语言文字记录，从而达到客观、公正记录和评价被审核方管理体系的运行状态和管理体系符合性特征。

远程审核过程的安全性与可信性初探

无论是CNAS-CC14：2008或者是CNAS- CC14：2019在计算机辅助审核技术（CATT）与信息和通信技术（ICT）的应用准则中都把安全性放在第一条的突出位置进行规定，所以说，如果没有安全性的保障或者是双方在安全性方面的共识与协商一致，就不可能开展管理体系认证的远程审核。为此，作为认证机构不但需要制定远程审核的实施指南，明确管理体系过程审核的基本要求和审核策划、审核实施、审核档案管理的各个环节信息安全的要求，还需要向被审核方展示对远程审核涉及信息安全保障的承诺内容，以及实施远程审核收集、获取相关影像、图片、截屏、截图等信息记录、存储保密性的承诺，只有具备这些条件，才能做到让被审核方基本放心，让认证机构的可信度得到初步证明，真正实现管理体系认证远程审核的安全、客观、公正，向社会传达认证机构的公信力。

无论是现场审核还是远程审核，都只是管理体系认证的不同审核方式。在新冠肺炎疫情期间，认证机构采用远程审核方法能够体现认证机构的客观、公正和善意，以及认证机构和被审核组织共克时艰的态度。