客服热线:
手机版
二维码
远程审核的风险分析与应对之策
新冠肺炎疫情很大程度上影响了认证行业的审核工作,无法出行、不能到达顾客现场,使远程审核成为许多机构的选择。同时,识别、评估和分析认证审核的各类风险,进而提出对认证(审核)风险的防范措施和处理对策,规避审核风险,保证信息安全,已成为远程审核不可缺少的重要内容。
风险以及特点
在ISO 19011:2018《管理体系审核指南》中,风险的定义为:不明确性的影响。
认证(审核)风险:认证行业在认证(审核)活动中的风险,就是认证公司通过控制自身认证审核活动所产生的认证审核结果的差异性,或者说认证审核的不明确性对认证审核目标所产生的影响。
认证(审核)风险通常具有以下特点:
不明确性——认证(审核)风险的发生以及后果具有不明确性。表现在:发生的可能性、发生的时间、发生的地点、发生的频次、发生的后果等,均是不明确的。
客观性——任何行业都会存在或面临一定的风险,这是一种客观存在,认证(审核)行业也不例外,只是面临的风险程度(如高中低)不同而已。
可控性——认证(审核)风险多数是能够识别的,通常情况下大部分认证公司是能够控制的,风险控制主要是在原始审核风险的基础上,通过较为有效的认证(审核)活动使其降低到认证公司可接受的水平。
可变性——在一定条件下任何事物总是会发展转变的,风险也不例外,当引起风险的因素发生转变时,必然会导致风险的转变。认证(审核)风险随客观环境而转变,也依赖于获证组织管理系统的转变。假如认证公司对获证组织不进行有效监督,认证(审核)风险反而会增大,因此必须实施多层次动态控制。
相对性——风险总是相对于事件的主体而言的。同样的不明确事件对不同的主体有不同的影响。对于不同的认证公司,由于认证(审核)风险控制能力不同,使得同类认证(审核)风险的表现程度也有所不同,因此不同管理水平下的认证(审核)风险结果是不同的。
潜在性——认证(审核)过程中存在或多或少的不明确因素,受其影响,以及人员能力、技术条件所限、当前无法认知的知识领域,人们不能轻易领会、察觉或感知。
远程审核
何谓“远程?英语释义为:long-range、long-distanCE、remote,汉语释义为:路程远。
远程审核,就是审核人员利用计算机和网络传输技术,从受审核组织以外的地方对受审核方进行的体系审核。
当“面对面的方法不可能或不必须时,使用技术来收集信息,借助交互式的通信手段进行交谈。
远程审核活动在受审核方(企业)现场以外的任何地方进行,无论距离远近。
远程所需的设备、软件等,包含但不限于PC、手机、钉钉、微信、QQ、ZOOM、语音、视频、邮件等方式。
远程审核的风险分析
远程审核在节省食宿交通成本、降低开支、取消旅途劳累的利好下,也产生了一些令人无法回避、必须面对的认证(审核)风险,这就要求认证公司、审核人员无论何时何地都要保持清醒头脑、树立风险意识、规避认证(审核)风险,为顾客最大程度地降低经营风险、创造认证(审核)价值。
防范、规避认证(审核)风险是各家认证公司管理工作的重中之重,必须认真分析、冷静对待、持续关注:
认证公司管理层面——国家政策、政府监管、自身管理与执行力等,能影响到认证公司的自身发展及战略、经营目标。
审核人员工作层面——自身素质、审核能力、风险把控、身体状况等,能影响到审核人员的职业生涯及个人、家庭收入。
审核层面——审核是在规定的时间内取得足以证明受审核方(企业)管理体系符合性和有效性证据的过程,是一种对风险的把控。
笔者结合从2020年2月底开始、大半年多来的远程审核总结发现,对主要的风险分析如下:
远程审核不能访问或无法实现
企业地处僻远地区,或部分区域网络信号无法接入;
顾客重要安全、敏感区域;
顾客禁止摄像、拍照的产品生产场所;
数据传输不够安全与稳定;
大容量文件共享延时;
用户存有电子或扫描资料外泄的防范心理;
部分区域或全部过程无法使用远程审核手段加以审核;
高温、高压等特殊或异常环境等。
远程审核时间不充分
网络传输延迟,导致文件接收下载缓慢;
网速异常,导致共享操作显示画面静止或时间延长;
沟通(如文字、语音、视频)不够顺畅;
视频/拍照图像位置不当;
企业有/无意遮掩/挡;
涂划改资料扫描、再传输或共享展示等。
上述情况会导致不能及时、准确地获取体系运行资料信息,需额外增加现场审核时间。
远程审核证据获取不全面
视角/视野狭窄;
企业协助与配合不到位、临时凑拼补;
审核员不在现场,部分过程审核力/深度不足;
不能视频顾客无人值守、远距离智能化操作的工作地点,视线不够;
抽样证据的有效性不充分;
顾客数据资料传输丢包、不准确等。
远程审核业务中断
意外停电;
设备故障;
网络链路异常;
通讯软件出现BUG;
自然灾害,如台风、暴雨、雪灾、地震、火灾等。
上述情况会导致审核组不能按计划如期进行审核,需后续补充或加以调整。
其他可能存在的相关风险
实施审核的设备(如PC、平板)和/或培训不足;
审核组选择不当,导致有效实施审核的整体能力不足;
审核任务较多,找没有专业能力或能力不足的人员;
无效的外/内部沟通过程/渠道;
未考虑信息安全与保密,如顾客重要资料传输时被别人获取或截图;
专业体系条款策划不合理;
使用公共场所Wi-Fi;
受目前技术条件所限,未知的,等等。
远程审核的风险应对
目前,远程审核的风险控制主要以国家政策、行业监管、认证公司管理规范以及审核组成员自身素质、审核能力、有效运作为前提,审核组全体人员必须认真进行远程审核的风险识别与评估,严加控制,从而防范和规避远程审核风险。
在审核七项原则中,已明确了保密性(信息安全)和基于风险的方法(考虑风险和机遇的审核方法)。
审核组/人员作为直接联络顾客和认证公司的“纽带,应从规避和把控远程审核风险的实际出发,找出顾客必须整改或应当注意的问题,让顾客自身认识和评价存在的不符合或问题的危害性及进行整改的必要性。
审核组/人员应从获取顾客文档、方案策划、文件审查、审核计划、合理抽样、提高质量、界定范围、提高对法律/产品风险的认知水平、远程沟通和应对能力,以及专业素质、道德水准、健康状况、工作忠诚度等方面入手,规避远程审核风险,这是审核人员所必需的基本能力。
方案的策划
顾客环境相关的风险和机遇的存在,能够关联到审核方案,并且能够影响其目标的实现。
审核方案应考虑顾客的组织目标、相关的外部和内部问题、有关利益相关方的必须和期望、信息安全和保密要求。
审核方案的策划应特别关注适宜利用远程审核的内容,以及通过后期的现场验证或补充审核降低使用远程审核带来的风险。
远程审核策划,包含但不限于如下内容:
受审核方所在区域疫情控制风险度,如高、中、低;
公司产品特点和复杂度,体系范围,涉密内容,以及了解和熟悉程度;
软、硬件网络资源,以及顾客远程接受程度;
审核人日的明确,如远程/现场审核内容;
界定远程、现场审核内容;
基于顾客信息安全保密,考虑签订保密协议;
提前搭建、预演、测试远程审核环境;
音频、视频、访谈与交流的证据保存;
远程突发事件,以及补救措施;
其他。
在明确审核人日时,对初审企业应采取现场与远程相结合的方式。根据公司产品种类和复杂度、内外环境、体系范围、人数、运营地址、临时现场或生产场所等,明确审核人日,现场以1~2人日为宜。必要时根据受审核方关键人员的可用性调整审核日期,如审核人日间隔开、非连续。
现场审核内容应考虑体系范围涉及的产品设计、生产、制造等过程,并核实资质原件、总人数、体系人数、覆盖区域与场所、有无遗漏或瞒报等。
远程审核内容,应不存在保密、无法远程访问等特殊环境的体系过程。
监督、再认证企业如体系范围、产品种类未发生转变或转变不大、产品增加但生产工艺流程相同/相似/相近时。
文件的审查
采用ICT提前沟通、获取企业体系文件化信息与运行资料,提出文审意见;
了解企业体系概况和自愿性体系证书获取情况,如ISO 9001、ISO 20000-1、ISO 22301、ISO 27001、ISO 45001、GB/T 23001等;
根据体系范围明确相应资质许可及有效期,如安全生产许可证资质、产品生产许可证资质、CCC、QS、电信资质、建筑业企业资质、建筑智能化系统设计专项、安防工程企业设计施工维护资质、测绘资质等;
国家信用信息严重失信主体相关名录等。
计划的编制
编制计划时应基于风险的方法,应考虑:
采用的ICT方法;
远程、现场的审核人日;
适当的抽样、分层技术;
由于审核计划的无力造成的实现审核目标的风险;
由审核计划造成的受审核方的风险;
与保密和信息安全有关的事项等。
审核的实施
召开首次会议宜采用视频会议的方式进行;
审核过程中,审核组宜建立及时、顺畅的组内沟通渠道;
应加强与受审核方的沟通;
充分发挥 ICT 的优势,尽可能多地从系统中获取证据、验证信息;
召开末次会议宜采用视频会议的方式进行,审核结论、不符合项的确认宜通过电子文档的形式予以保存;
审核报告通过公司邮箱发送给受审核方;
不符合项的整改通过电子文档的形式予以沟通、确认;
整个过程保留必要的远程审核证据,包含但不限于音频、视频、语音通话、拍照、截图、访谈与交流的证据等。
审核的关注点
审核人员在远程审核过程中应重点关注以下内容:
生产/制造过程各项活动和监控结果符合规定要求;
产品过程特别是关键、特殊过程控制得到有效控制;
不合格(品)得到有效控制、纠正措施的有效性;
内外环境分析、风评、内审、管评、改进措施;
人员能力及意识;
设备管理与维护,尤其是特种设备、监视和测量设备的定期检验;
采购和供应商管理、文件及记录管理、持续改进机制等;
主要相关方、外包活动得到有效控制、过程监控到位;
组织适用法律法规,特别是与企业生产、安全、管理等密切相关法规(包含区域性法规)的收集、更新与应用、遵守情况及合规性评价,如密码法、食品安全法、环境保护法等;
应急准备及响应:预案的适宜性、应急设备、应急演练,如触电、火灾、食物中毒、起重伤害等;
外部主管部门监测结果及处罚情况等。
审核的安全性
安全手段和内容:
接入顾客远程用户的审核人员的访问必须经过认证;
登录访问时必须使用复杂密码;
必须安装防病毒软件,并且病毒库升级到最新;
访问控制列表;
主机或设备的系统加固服务;
在顾客网络与其他外部网络的接入口,根据网络具体情况,配置防火墙系统,实现网络访问控制;
审核人员的操作必须要经过顾客接入设备的审计,审计的典型技术包含Log 日志(服务器自动产生)、用户行为监控(采用上网行为监控软件或监控设备);
在访问系统期间,未经许可,不容许使用任何方法(如摄像、拍照、拷贝、截图、打印、手工记录等)带走任何数据和程序。
审核结束
当远程审核工作活动结束时,顾客应尽快撤销或锁定审核人员的ICT远程登录授权和访问权限,确保信息安全。
远程审核的发展趋势
转变和发展是永恒的,远程审核的风险总是处在持续演进中。在SDN、区块链技术、人工智能技术、大数据技术与应用、云计算技术、虚拟化技术日益发展的今日,远程审核、远程工作会逐渐成为一种常态模式,审核员需不断提高风险意识和自身审核能力,规避审核过程风险,协助企业降低经营风险,为认证行业可持续发展添砖加瓦。
月经杯FDA认证批准代表着什么
月经杯FDA认证批准代表着什么?
什么叫FDA认证?
美国食品和药物管理局(FDA或USFDA)是美国卫生与公共服务部的联邦机构,负责通过食品安全,烟草制品,膳食补充剂,处方药的监管来保护和促进公众健康以及非处方药品,疫苗,生物制药,输血,医疗设备,电磁辐射发射设备,化妆品,动物饲料和兽药。尽管仅有在美国销售的产品才必须受到FDA的监管,但它们的高标准还是世界其他对我们安全的产品的绝佳参考。
月经杯必须获得FDA认证批准吗?
月经杯被认为是一种医疗器械,FDA根据确保人们能够安全有效地使用它们的必要控制级别,将医疗设备分为三类。月经杯属于II类,这代表着仅靠常规控制不能确保安全性和有效性,并且现有的方法能够提供这种保证。由于没有足够的现有信息来确保安全性和有效性,因此仅有Ⅲ类设备必须获得FDA的“批准”。
当品牌声明其月经杯经“ FDA批准”时,通常代表着该杯已获FDA批准在美国销售。从技术上讲,“批准”一词标明该杯子已经过FDA的测试和批准,事实并非如此。FDA认为“ 任何因遵守售前通知法规而给人以官方认可的印象,都具有误导性,并构成品牌错误。 ”这代表着杯子品牌不能使用“ FDA批准”作为促销其产品的事实。 。
要使FDA将“经期”杯子“清除”以出售,他们必须提交“ 510(k)上市前通知”。这代表着新杯子的功能和设计与已经批准销售的现有杯子相同,并且不必须经过称为“上市前批准”的更广泛的过程,而这必须进行临床试验和测试。月经杯仅有在510(k)上市前通知流程完成后才能出售。
FDA申请注册
现在,在美国生产或分销的月经杯必须在FDA申请注册,甚至从中国或其他国家进口杯子以在美国销售的公司也必须在FDA申请注册其设备。设备(月经杯)和场所(制造/出售杯子的公司)都必须申请注册。
“ FDA批准的有机硅”
许多月经杯品牌声称它们使用的是FDA批准的有机硅。可是,FDA仅管制最终产品,而不管制其制成的资料,因此,任何声称是由FDA批准的有机硅制成的杯子都是错误的。
月经杯FDA认证办理可咨询我们!
