راهنمای استفاده از فن آوری ارتباطات و اطلاعات (ICT) در انجام ممیزی های سیستمهای مدیریت و ممیزی های از راه دور (remote auditing)

شماره سند: I-O-12  ویرایش: 0

 

استفاده از فن آوری ارتباطات و اطلاعات (ICT) در ممیزی های غیر حضوری، بر پایه چه رفرنس هایی باید انجام شود ؟

  • نیازمندیهای  IAF MD 4 : 2018 (استفاده از تکنیکهای ممیزی که با کامپیوتر پشتیبانی می شوند)

  • نیازمندیهای IAF MD 5 : 2015 (تعیین نفر-روز ممیزی سیستمهای مدیریت کیفیت و زیست محیطی)

  • نیازمندیهای نهادهای اعتباردهی عضو IAF مانند مرکز ملی اعتباربخشی ایتالیا (ACCREDIA)


فن آوری ارتباطات و اطلاعات (ICT) چیست ؟

استفاده از تکنولوژی برای جمع آوری، ذخیره، بازیابی ، پردازش ، آنالیز و انتقال اطلاعات


فن آوری ارتباطات و اطلاعات (ICT) ، شامل چه آیتم هایی می شود ؟

سخت افزارها و نرم افزارهایی مانند : تلفن های هوشمند ، وسایل دستی ، کامپیوترهای لپ تاپ، کامپیوترهای دسکتاپ، پهپادها، دوربین های ویدئویی، تکنولوژی های پوشیدنی (شامل وسایل پوشیدنی قابل ردیابی و ساعتهای قابل ارتباط با موبایل که امکان گرفتن عکس یا سایر قابلیتها مانند موبایل را دارا هستند)، هوش مصنوعی و غیره .


فن آوری ارتباطات و اطلاعات (ICT) برای چه نوع ممیزی هایی مورد استفاده قرار می گیرد ؟

  • ممیزی های در محل (on-site)

  • ممیزی های از راه دور (remote)


هدف از استفاده از  فن آوری ارتباطات و اطلاعات (ICT) در ممیزی های از راه دور چیست ؟

  • فراهم نمودن متدولوژی برای استفاده از ICT که بطور ذاتی از انعطاف پذیری کافی برخوردار بوده و غیر اجباری است ، با این هدف که فرایند مرسوم و معمول ممیزی را بهینه نماید .

  • اطمینان یافتن از اینکه کنترلهای مناسب به منظور جلوگیری از تقلب که می تواند درستی فرایند ممیزی را بصورت منفی مورد سازش قرار دهند، برقرار می شوند .

  • پشتیبانی از اصول ایمنی و پایداری


آیا استفاده از  فن آوری ارتباطات و اطلاعات (ICT) در ممیزی ها اجباری است ؟

خیر ، اختیاری است .


در چه موارد خاصی استفاده از فن آوری ارتباطات و اطلاعات (ICT) در ممیزی ها اجباری است ؟

فقط در شرایط غیر عادی ، برای جلوگیری از انقضا (expire) ی اعتبار گواهینامه ، برای ممیزی های مراقبتی یا صدور مجدد ، بر اساس نیازمندیهای IAF ID 3 (مدیریت اتفاقات غیر معمول) و با رعایت مقررات نهادهای اعتباربخشی (Accreditation Body) مثلا ACCREDIA ، ممکن است جنبه اجباری پیدا کند.

همچنین زمانیکه سازمان ممیزی شونده بصورت Virtual Site یا با محل مجازی فعالیت نماید، یعنی دارای محل فیزیکی نباشد و کارکنان آن صرفنظر از محل استقرارشان ، فعالیتهایشان را فقط و بطور کامل در محدوده یک محیط آنلاین انجام دهند، بعنوان نمونه شرکتی که فروش کالا یا خدمات خود را فقط از طریق یک وب سایت و بدون استقرار پرسنل در یک محیط فیزیکی (شامل مکانهایی مانند دفتر ، تولید، انبار ، آزمایشگاه و ...) انجام دهد .


محدودیت استفاده از فن آوری ارتباطات و اطلاعات (ICT) در ممیزی ها :

  • سازمان ممیزی شونده با استفاده از ICT در ممیزی موافق نبوده یا زیرساختهای مناسب ICT در اختیار نداشته باشد (این پیش نیاز مهم در مرحله بررسی درخواست یا Application Review بوسیله نوبل سرتیفیکیشن کنترل می شود)

  • در جاییکه محدودیتی از طرف نهاد ملی اعتباربخشی ایتالیا (ACCREDIA) اعمال شده باشد.

  • در جاییکه محدودیتی بواسطه قوانین کشوری که نوبل سرتیفیکیشن در آن ممیزی را برگزار می نماید ، اعمال شده باشد .

بعنوان نمونه بر پایه بخشنامه های ACCREDIA ، انجام ممیزی از راه دور برای ممیزی های مراقبتی یا صدور مجدد گواهینامه ، زمانی امکانپذیر است که ممیزی قبلی بصورت در محل (on site) و با حضور فیزیکی ممیز در محل ممیزی و مشاهده شواهد و اطلاعات سازمان ممیزی شونده در محل ممیزی، انجام شده باشد .


مهمترین ریسک های استفاده از فن آوری ارتباطات و اطلاعات (ICT) در ممیزی ها

  • ریسک به مخاطره افتادن امنیت اطلاعات سازمان ممیزی شونده

  • ریسک کاهش دقت و درستی در خصوص شواهد عینی و یافته های ممیزی

  • ریسک قطع شدن ارتباط اینترنتی و یا از کار افتادن سخت افزارها یا نرم افزارهای ICT در حین ممیزی

نوبل سرتیفیکیشن با ارزیابی دقیق ریسکهای مرتبط با استفاده از ICT در ممیزیها، اقدامات واکنشی مناسب برای کاهش سطح این ریسکها را تعیین و اجرا می نماید .


امنیت و رازداری

نوبل سرتیفیکیشن بر پایه بیانیه های خط مشی و محدودیتها، ملاحظات و فعالیتهای ممنوعه خود که در قرارداد بین نوبل سرتیفیکیشن و سازمان ممیزی شونده جزو تعهدات نوبل سرتیفیکیشن است، به تامین امنیت و رازداری اطلاعاتی از سازمان های ممیزی شونده که بواسطه استفاده از ICT به آن ها دسترسی پیدا نموده یا آنها را در آرشیو خود بصورت ذخیره شده در اختیار دارد ، متعهد است.

در این رابطه نوبل سرتیفیکیشن ، آدیتورهای خود را ملزم به نصب آنتی ویروس و سایر ابزارهای امنیتی بروی لپ تاپ و موبایل های ایشان نموده و همچنین در قرارداد با نوبل سرتیفیکیشن ، آدیتورها به حفظ امنیت و رازداری تمامی اطلاعاتی از سازمان ممیزی شونده که در حین ممیزی به آنها دسترسی پیدا می کنند، متعهد شده اند .


فن آوری ارتباطات و اطلاعات (ICT) که معمولا در ممیزی ها استفاده می شوند

  • برای جلسات (شامل افتتاحیه و اختتامیه ممیزی) : تسهیلات تله کنفرانس شامل وسایل شنیداری (audio) ، ویدئو و به اشتراک گذاری داده ها ، بعنوان نمونه نرم افزار Skype برای برگزاری تله کنفرانس بسیار مناسب است .

  • برای ممیزی مدارک و سوابق (اطلاعات مدون) : بوسیله برقراری اجازه دسترسی از راه دور (remote access) آدیتور به شبکه یا کامپیوتری در سازمان ممیزی شونده که اطلاعات بروی آن وجود دارد و در این حالت ، دسترسی همزمان یا synchronous است . در صورت عدم امکان برقراری دسترسی بصورت همزمان ، سازمان ممیزی شونده می بایست در حین گفتگوی آنلاین، بلافاصله بعد از هر بار درخواست آدیتور، اطلاعات مدون را از طریق ایمیل یا واتسپ (بصورت asynchronous) برای آدیتور ارسال نماید تا آدیتور بتواند در حین گفتگوی آنلاین با ممیزی شونده ، مدارک را بررسی و در ارتباط با آن ، پرسشهای مرتبط را از ممیزی شونده بپرسد.

  • ثبت و ضبط نمودن اطلاعات و شواهد عینی بوسیله ضبط ویدئو از تصاویر ثابت (مثلا ضبط ویدئو از یک فرم تکمیل شده یا یک دستگاه مستقر در سالن تولید یا اشیایی که بدون حرکت هستند)، ضبط ویدئوی معمولی یا ضبط صدا

  • ارائه دسترسی دیداری / شنیداری به مکان ها از راه دور ، بعنوان مثال از طریق تماس ویدئویی واتسپ یا اسکایپ با موبایل


برنامه ریزی ممیزی های از راه دور با استفاده از ICT

  • نوبل سرتیفیکیشن پیش از انجام ممیزی ، فراهم بودن اینترنت پرسرعت با پهنای باند مناسب ، گوشی های موبایل هوشمند به تعداد لازم دارای نرم افزارهای واتسپ و اسکایپ نصب شده ، را در نزد آدیتور و سازمان ممیزی شونده ، کنترل نموده و از تسلط سازمان ممیزی شونده و آدیتور به این نرم افزارها ، اطمینان می یابد .

  • اگر نوبل سرتیفیکیشن برای ممیزی های از راه دور ، تشخیص دهد که استفاده از تسهیلات ICT ممکن است زمانبر باشد ، این زمان های اضافی باید به برنامه ممیزی افزوده بشوند.

  • نوبل سرتیفیکیشن در تهیه برنامه ممیزی ، علاوه بر اطلاعات روتین مورد نیاز برای تمام ممیزی ها که در جدول برنامه ممیزی درج می شوند ، راهنماهایی برای آدیتور در ستون آخر (note) جدول برنامه ممیزی، برای هر بخش از ممیزی، درج می نماید، که راهنمای هر قسمت از ممیزی، شامل این موارد است :

1- روش انجام هر قسمت از ممیزی ،

2- نرم افزارها و سخت افزارهای ICT مورد نیاز برای ممیزی

3- روش جمع آوری شواهد عینی و نمونه برداری

4- ملاحظات و محدودیتها برای درخواست اطلاعات مدون و شواهد ممیزی از ممیزی شوندگان

نمونه ای از یک برنامه ممیزی از راه دور (remote) با استفاده از ICT


راهنمایی های مهم برای انجام بخش های مختلف ممیزی از راه دور (ریموت)

  • برای جلسه افتتاحیه

1- برگزاری جلسه به روش ویدئو کنفرانس با حضور مدیریت رده بالای سازمان و مسئولین مرتبط با ممیزی

2- صحبت کردن صرفا بوسیله سرممیز در این جلسه ، مگر آنکه نماینده سازمان ممیزی شونده نیاز داشته باشد تا پرسشی یا نکته مهمی در ارتباط با هماهنگی انجام ممیزی را به سرممیز اعلام نماید.

3- اندازه پرده نمایش یا مانیتور مورد استفاده برای ویدئو کنفرانس باید مناسب بوده، بنحویکه تمام حاضرین در جلسه بتوانند ویدئوی آنلاین سرممیز را ببینند، همچنین بلندگو باید مهیا باشد تا صدای سرممیز نیز در جلسه شنیده شود.


  • برای انجام ممیزی فرایندهای مدیریتی ، پشتیبانی، اندازه گیری، آنالیز و بهبود

1- گفتگوی دو جانبه میان آدیتور و افراد ممیزی شونده باید انجام شود.

2- تماس ویدئویی بوسیله نرم افزار اسکایپ بروی لپ تاپ یا کامپیوتر شخصی باید برقرار باشد.

3- دریافت فایل های نمونه برداری شده مرتبط با شواهد عینی قسمتهای ممیزی شده بوسیله ممیز از افراد ممیزی شونده، ضروری نیست ، فقط اطمینان یافتن از وجود شواهد نمونه گیری شده با دیدن آنها بوسیله آدیتور در حین گفتگوی ویدئویی اسکایپ، کافیست .

4- مگر آنکه برای موارد خاص ، هنگامیکه آدیتور تشخیص داد که نمیتواند به شواهد نمونه دیده شده در گفتگوی اسکایپ اعتماد نماید ، باید شواهد اصلی را (مانند لیست مهارتهای پرسنل) از افراد ممیزی شونده دریافت نماید تا میزان انطباق فرایندهای مورد ممیزی را تشخیص دهد.


  •  برای انجام ممیزی فرایندهای پدید آوری محصول / خدمات (عملیاتی)

1- گفتگوی دو جانبه میان آدیتور و افراد ممیزی شونده باید انجام شود.

2- تماس ویدئویی بوسیله نرم افزار اسکایپ بروی لپ تاپ یا کامپیوتر شخصی باید برقرار باشد.

3- نفرات ممیزی شونده باید ویدئوی کوتاه از محل های عملیاتی سازمان (تولید، انبار، کنترل کیفیت و ...) را بصورت آنلاین (همزمان) با موبایل هوشمند خود از طریق اسکایپ یا واتسپ به آدیتور نشان بدهند . این قسمت در ممیزی های از راه دور ، بعنوان سایت ویزیت کوتاه، محسوب می شود .

4- برای ممیزی فرایندهای پدید آوری محصول یا خدمات مربوط به بندهای 8-1، 8-2، 8-3، 8-5-1 ، 8-5-6، 8-6 و 8-7 ، از استاندارد ایزو 9001 ویرایش 2015، ضروری است تا ممیز حداقل یک شاهد عینی اصلی (مثلا فرم تکمیل شده مجوز ترخیص محصول در یک تاریخ مشخص) را در قالب اطلاعات مدون از افراد ممیزی شونده دریافت نماید .

5- برای ممیزی فرایندهای پدید آوری محصول یا خدمات مربوط به بندهای 8-5-2 ، 8-5-3، 8-5-4 و 8-5-5 از استاندارد ایزو 9001 ورژن 2015، که داشتن اطلاعات مدون برای آنها الزامی نیست، ممیز باید از افراد ممیزی شونده درخواست نماید تا عکسی از شواهد عینی مرتبط (مثلا یک برچسب ، دستگاه، وسیله اندازه گیری، اطلاعات غیر مدون و غیره) گرفته و برای ممیز ارسال نماید .

6- افراد ممیزی شونده باید شواهد درخواستی بوسیله ممیز را از طریق یکی از دو روش زیر به ایشان ارائه نمایند :

  • در حین ممیزی این بندها بوسیله اسکایپ (بطور همزمان) ، یا

  • قبل از بازبینی یافته های ممیزی و تهیه گزارش ممیزی (بطور غیر همزمان) بوسیله ایمیل یا واتسپ


  •  برای بازبینی یافته های ممیزی و تهیه گزارش ممیزی

1- تمامی شواهد عینی که بوسیله آدیتور از افراد ممیزی شونده در طی ممیزی درخواست شده باید بوسیله آدیتور دریافت شده و کامل باشند .

2- سرممیز ، این بخش از ممیزی را بصورت آفلاین انجام می دهد، اما نماینده مدیریت سازمان باید برای هر گونه تماس شنیداری (audio) یا دیداری (video call) بمنظور پاسخگویی به هر گونه پرسش دیگر یا شفاف سازی (در صورت نیاز)، در دسترس سرممیز باشد.


  •  برای جلسه اختتامیه

1- برگزاری جلسه به روش ویدئو کنفرانس با حضور مدیریت رده بالای سازمان و مسئولین مرتبط با ممیزی

2- صحبت کردن صرفا بوسیله سرممیز در این جلسه ، مگر آنکه نماینده سازمان ممیزی شونده نیاز داشته باشد تا سرممیز بخشی از یافته های ممیزی را مجددا برای ایشان اعلام یا شفاف سازی نماید.

3- اندازه پرده نمایش یا مانیتور مورد استفاده برای ویدئو کنفرانس باید مناسب بوده، بنحویکه تمام حاضرین در جلسه بتوانند ویدئوی آنلاین سرممیز را ببینند، همچنین بلندگو باید مهیا باشد تا صدای سرممیز نیز در جلسه شنیده شود .

4- فایل تصویر لیست شرکت کنندگان در جلسات افتاحیه و اختتامیه، باید قبل از اتمام جلسه و بسته شدن تماس، بوسیله نماینده سازمان ممیزی شونده به سرممیز ارسال شود .


گزارشدهی ممیزی های از راه دور (ریموت)

  • فایل های ذخیره شده مربوط به شواهد عینی ممیزی ، باید در فولدرهای تفکیک شده بر اساس شماره بند استاندارد و همچنین تسهیلات مورد استفاده ICT ، در شبکه داخلی نوبل سرتیفیکیشن ذخیره بشوند .

  • میزان اثربخشی ممیزی های از راه دور می بایست در انتهای گزارش ممیزی ، بوسیله آدیتور گزارشدهی شود.