研究的必要性
随着“互联网+”的广泛应用,组织管理的信息化程度逐渐提高,管理体系的实施也得到更多信息技术的支撑,特别是信息安全管理体系、信息技术服务管理体系、数据安全管理、业务连续性管理体系等更是因为信息技术的发展而存在,组织的管理过程也更多依赖信息技术来实现。但这会导致审核证据的体现更隐蔽,需要通过专业技术手段获取且需要花费大量的时间,传统的认证模式和审核员能力均无法满足认证审核的需要。因此,需要考虑通过优化认证模式来改善当前的认证现状。
新的认证模式增加自评价评审和技术验证,可以更充分地获取组织信息,也补充了审核人员技术能力的不足。除此之外,还可以提高认证信息的复用,降低申请认证组织的成本,提高认证的充分性,有助于组织管理能力的自主提升。
基于“互联网+”的认证模式
认证模式
基于“互联网+”的管理体系认证模式是在传统认证模式的基础上建立的综合自评价评审、技术验证、现场评审、证后监督的认证模式,其中自评价评审和技术验证是基于“互联网+”的认证模式新增的两种方式,下面分别加以介绍:
1.自评价评审
自评价评审是建立在组织自评价基础上进行的评审活动。所谓自评价就是组织依据认证依据(管理体系认证标准)对自身符合标准的情况进行评价,自评价的材料组织在提交申请材料的时候一起提交给认证机构,自评价主要考虑以下几个方面:
(1) 组织的规范化程度是否满足标准要求,包括针对标准要求建立规范化制度或工具是否充分和适宜,主要体现在提供制度和工具描述;
(2) 组织的制度和工具的运行情况,包括制度和工具是否得到执行,执行是否规范和有效,主要体现在运行证据的提供;
(3) 组织的资源保障情况,包括识别出所需要的资源和资源提供情况,主要体现在资源保障相关证据上;
(4) 组织的技术应用情况,包括使用的系统、平台、工具和技术方法,组织需要提供技术功能和配置描述。
组织完成自评价后,将自评价材料同认证申请材料一同提交认证机构,认证机构将在申请评审后、现场审核之前安排自评价评审,对组织的管理体系建设运行情况进行初步了解。
自评价评审是认证组织对自评价的结果和相关证据进行评审的活动,并给出评审结论。
通过自评价,组织可以了解自身体系的运行情况,可以促进组织管理能力的自主提升;通过自评价评审,认证机构可以更充分地了解和获得审核证据,提高审核证据的充分性。
2.技术验证
技术验证通过人工或技术手段对认证申请组织的管理体系的技术实现情况进行审核,由专业的技术人员在现场审核之前独立进行,形成技术验证报告,在技术验证过程中如果发现技术实现无法满足管理目的甚至无法满足管理要求,可以给组织一定的时间进行整改完善。技术验证的结果可作为现场审核的输入,由于技术验证过程中,部分技术实现的管理要求已经得到了验证,同时技术验证获得的审核证据对后续的现场审核工作具有辅助作用(例如技术无法实现管理目的,可能是技术能力问题也可能是技术管理的问题),现场审核时审核员可以进一步跟踪从而更具体和深入地获得审核证据,从而可以充实审核组现场审核的取证内容和减少取证时间,同时可以提高审核证据的充分性和效用。
认证工具
认证程序的变化需要得到认证工具的支持才能更好地实施,传统的认证工具多以检查表的方式出现,需要组织和认证审核人员进行填写,由于时间精力有限,检查表的内容通常都比较简单,很难实现审核结论的追溯,证据也不能很好地体现。为了解决这些问题,基于“互联网+”的认证工具需要实现以下几个目的:
建立管理体系的组织容易理解和执行的自评价;
认证机构能够对获得的自评价信息进行评审和整理;
自评价和审核信息能够很好地得到复用,逐年降低自评价和审核的难度和复杂度;
评价方式合理,能够自动产生评价结果;
易操作和使用。
基于上述目的,我们设计了管理体系评价工具,由于组织信息的保密程度不同,工具考虑了云模式和内网模式。
工具的重点在知识库的建立,包括:
标准库,也就是认证依据;
自评价信息库,用于指导组织完成自评价工作,自评价信息库可以采用设置问题的方式,组织通过回答问题,提交证据来完成自评价;
评价模型,通过对自评价的答案或审核结果进行评价,得出评价或审核结论,评价的方式可以是评分或者给出结论的方式进行。
在知识库的基础上,工具需要实现以下主要功能:
组织角色设置;
组织自评价任务管理;
组织自评价及评价结果汇总分析;
自评价评审;
审核计划生成;
审核记录;
审核信息汇总分析,形成结论;
审核报告生成。
云模式下的工具,上述功能生成的信息通过互联网进行传递;内网模式下的工具,可以通过其他加密的方式进行信息的传递。
认证实施
基于“互联网+”的管理体系认证模式并不是从简化认证的角度出发,更多是通过“互联网+”的手段,提高认证的价值和意义,因此在认证实施过程中根据组织情况和涉及的体系不同,可以灵活增加更多的审核方式,以确保审核的充分性。
1.认证程序
基于“互联网+”的管理体系认证模式的实施主要包括:认证申请、 申请评审、自评价评审、技术验证、现场审核安排及实施、认证决定、证后监督和再认证,其中监督审核和再认证与初次认证的过程一致。
新认证模式的实施程序主要是增加了自评价评审和技术验证,减少了传统的一阶段审核。
2.自评价评审实施
组织完成自评价后,需向认证机构提交自评价的结果和相关证据,由认证机构进行自评价评审,在自评价评审的过程中,评审人员可以根据组织提供信息准确程度、完整程度、可信程度和风险级别确定相关条款现场审核方式和程度,如果组织提供的信息准确、完整、可信且风险比较低,那么相关条款就可以不再进行现场审核,其他的证据可以根据情况分别进行补充取证、重新取证或现场验证的方式进行现场审核。
3.技术验证实施
技术验证在自评价评审结束以后开展,认证机构根据组织在自评价材料中提供的信息,确定技术验证的范围和对象,确定技术验证方案和指标,从而有针对性地进行技术验证工作,形成技术验证报告。
4.现场审核实施
通过自评价评审,认证机构已经掌握了管理体系一阶段审核除现场确认外要收集的所有信息,也为现场审核提供了充分的输入,认证机构不必再分成两个阶段进行审核。对于一阶段不去现场带来的风险可以用两种方式来解决:一种方式是认证组织可以通过声明、合同等方式将风险转移给申请组织,由此带来的损失由组织承担;另一种方式是组织可以建立诚信档案,对于诚信度高的组织可以多采信从而降低费用的方式进行鼓励。
对于现场审核,由于已经获取了大量的证据,认证机构可以根据自评价评审的结论对不同条款选择不同方式进行审核,包括以下几种:
直接采用组织的证据不再审核;
在组织提供证据的基础上,补充取证;
在组织提供证据的基础上,对证据进行现场验证;
在组织提供证据的基础上,重新进行审核,获取证据。
通过上述方式,可以不同程度地减少现场审核的内容,申请认证的组织和认证机构都可以从中获益。
对基于“互联网+”的管理体系认证模式的思考
基于“互联网+”的管理体系认证模式还存在着一定的不足,其便利性和安全性是下一步考虑的重点。目前各种监控系统和数据抓取工具已经相对比较成熟,如果认证工具能够更好地与这些工具结合,通过数据获取和分析,可以更好地对组织的管理体系运行情况进行了解和提供服务。当然这对于认证机构和受审核组织来说都将是很大的挑战,如何设计数据获取的方式和内容,如何保证数据的安全性,如何避免组织的商业秘密泄露,无疑将成为认证机构和受审核组织双方需要考虑的问题。推动改革的是认证机构服务的对象,但改革的引导责任还应该在认证机构身上,因此,基于“互联网+”的管理体系认证模式的发展任重而道远。
技术的发展不仅改变了管理体系的认证模式,也将改变管理体系认证的意义。随着互联网和大数据的发展,作为传递信任的认证行业也将迎来变革,基于“互联网+”的管理体系认证模式的探索仅仅是个开始,随着应用和推广、优化和改进,一定可以更好地服务社会。