1 目的

在大规模流行性疾病、出行限制、自然灾害及其他限制性情况下，为了确保我机构认证审核活动能持续有效的进行，能满足国家行政监管部门和认证认可规则的要求，也能充分满足受审核组织的认证需求，特制订此远程审核作业指导文件。

2 适用范围

本文件为实施质量、环境、职业健康安全管理体系远程审核提供了作业指导，降低远程审核风险，确保认证审核有效性。

3 术语和定义

3.1 远程审核

应用信息和通信技术(ICT),在受审核活动的实际场所以外任何地点实施的审核。

注1：远程审核可以是审核员在受审核方某一场所对其他场所的人员、活动或过程进行的审核，也可以是审核员不在受审核方场所对受审核方的人员、活动或过程进行的审核。

3.2 信息和通信技术（ICT）

用来收集、存储、检索、处理、分析和传输信息的技术，包括通信设备、应用软件以及与之相关的服务。例如：移动电话、智能手机、手持设备、笔记本电脑、台式电脑、无人机、摄像机、可穿戴技术、人工智能、网络硬件和软件、视频会议、通讯APP以及其他。

3.2 虚拟场所

虚拟地点指客户组织完成工作或提供服务所用到的，允许处于不同物理地点的人员执行过程的在线环境。

注 1：当某过程必须在某一有形环境实现时不能将其考虑为虚拟场所，如：仓储、 制造、物理检测实验、安装或维修有形产品等。

注 2：一个虚拟场所（如：一个组织的内部网络）被当作一个独立场所来计算审核时间。

4 远程审核方案的策划

4.1 确定远程审核的可行性

4.1.1 适宜选择远程审核方式的情况

经过评估确认的低风险认证项目，或认证项目中的低风险活动/过程，当出现以下一项或几项情况时可选择远程审核的方式进行：

a）不适宜现场审核的情况，如出于安全原因、行程限制等；例如：疫情、洪水、地震等；

b）因需审核的场所的数量问题，难以在计划的审核时间内完成全部场所的现场审核；

c）因突发事件临时变更审核员而导致无法在既定的时间内到达审核现场，或受审核方的日程安排发生了不可避免的变化；

d）企业的记录、数据等均可在任何地点进行查看；

e）当原策划为现场审核的某项或多项活动不完整，且延长现场审核并非最佳、最经济的解决方案；

f）当发现原策划遗漏审核过程或发现审核的完整性有缺失，审核组需返回现场进行补充审核，但在短期内难以再安排一次现场审核；

g）其他适宜条件。

4.1.2不适宜选择远程审核方式的情况

经过评估确认存在以下一项或几项情况时，不宜选择远程审核方式：

a）经机构评估，认为是认证风险高的项目，或低风险认证项目中的高风险业务过程/活动；或对于特定的认证制度，不适宜进行远程审核的项目或过程/活动；

注：高风险的界定可按照不同认证领域，同时考虑不同产品、活动/过程、技术、管理的特性及复杂程度。

b）当受审核方近一年内曾发生下列不合格或负面事件且受到相应的处罚（如列入失信企业名单、处于责令停产整治期或罚款后未通过复查等）时：

1）相关监管部门己公布产品不合格信息的；

2）出现对受审核方的重大投诉，且系受审核方责任的；

3）发生了质量、环境、安全等事故的；

4）媒体负面曝光且系受审核方责任的。

c）对于对信息安全及安全保密的需要，不适宜选择远程审核方式；

d）暂停恢复审核；

e）上次认证审核方式己是完全的远程审核方式；

f）其他不适宜远程审核的活动/过程或场所，如易燃易爆场所、无网络信号或不具备ICT技术实施条件的关键活动或场所等。

4.2 风险评估

实施远程审核前，应根据受审核方情况识别、评估和管理风险，制定相应措施并形成文件。风险评估应给出是否可以通过远程审核达到审核目的的结论。风险评估考虑的因素包括：

a）认证认可行业主管部门、国际组织、CNAS的相关要求。

b）机构与受审核方是否就信息安全和数据保护事项协商一致。

c）拟应用的ICT是否连接稳定且具有良好的在线连接质量；是否允许通过ICT接入相关文件化信息，包括软件、数据库、记录等；相关数据的电子化程度；是否有可能优先通过图像对被访问者进行验证/识别；对于与达到审核目的有关的设施、过程、活动等，是否可能通过视频对其访问以进行观察；是否满足活动/场所的卫生、安全等相关要求；审核组全部成员以及受审核方代表应用ICT的能力。

d）是否可能远程访问到组织中所有相关人员。

e）应用ICT审核时，所审核的过程/活动是否具有足够的代表性以达到审核目的。

f）组织、过程或产品与服务的复杂程度是否适宜通过远程审核来达到审核目的。

4.3 远程审核的能力

4.3.1 基础设施与运行环境

ICT在远程审核中的应用范围，如：

a）通过音频、视频和数据共享等方式进行远程会议；

b）通过远程接入方式对文件和记录的审核；

c）通过静止影像截取、视频或音频录制的方式记录信息和证据；

d）提供对生产场所或潜在危险场所的视频或音频访问通道等。

审核人员应与受审核方确认信息安全的要求，釆取适当的保护措施，防范信息安全风险。

在审核前，审核员应就远程审核中应用ICT的范围和方式，确保设备设施、物理环境和网络环境的适宜性等与受审核方达成一致。

4.3.2 人员

4.3.2.1 认证人员远程审核应具备以下特定能力

a）具有风险和机遇意识。例如：能够识别远程审核项目风险、信息安全风险及职业健康安全风险；知晓应用ICT对信息收集的有效性和客观性的影响；

b）了解信息安全和保密方面的相关要求；

c）熟悉相关法律法规和其他要求；熟悉对于远程审核的相关强制性要求或指导性意见；

d）具有在审核时使用适当的电子设备和其他技术的能力。如熟练使用常用会议软件举行电话、视频会议，利用移动摄像技术、视频监控系统的能力；

e）具有理解和利用所釆用的ICT的能力，需要时包括远程接入方式进入受审核方电子信息系统或数据中心的能力；

f）具有良好的统筹、协调和沟通能力；

g）具有风险和机遇的应对能力。例如：由于技术原因使审核活动受阻时（如中断访问），使用替代技术的能力。

对于监督/再认证项目实施远程审核的，审核组中宜至少有一名曾经参与该项目审核的熟悉受审核方体系情况的审核员。

4.3.2.2 受审核方人员应具备以下特定能力：

a）良好沟通能力；

b）理解和应用ICT协助审核组获取审核证据的能力；

c）理解ICT可能带来的信息安全风险，能够指导审核组遵守受审核方的信息安全规则，并具备信息安全风险防范能力和补救能力；

d）当出现网络通信不畅等导致远程审核中断的基础设施与运行环境问题时，具备应急处理能力。

4.4 远程审核的方式

根据受审核方的申请范围、认证项目或认证项目中的活动/过程的情况，以及开展远程审核风险的评价结果，远程审核方式可策划为：

4.4.1 完全远程审核

审核组全体审核员都不在受审核方的场所，而受审核方的人员和过程要么位于受审核方的场所，要么在另一个场所。

4.4.2 部分远程审核

审核组中部分审核员在受审核方的场所，而另一部分审核员不在受审核方的场所。

对关键场所、活动的审核宜安排在受审核方场所的审核员进行审核，以保证审核的有效性，其他场所或活动/过程可实施远程审核。

4.4.3 现场远程审核

审核组全体审核员在受审核方现场，并对另一现场的受审核方的活动/过程或人员进行审核。

4.4.4 对于初次审核，应根据企业的法律法规以及行业的相关要求、认证风险评价结果、认证项目的风险及复杂程度和其他因素（如有保密要求限制等）来判定是否釆用远程审核以及远程审核的方式及实施远程审核的程度。

如果为高风险认证项目，或低风险认证项目中的高风险活动/过程、 活动/过程复杂的，一阶段审核不宜釆用远程审核的方式，二阶段宜釆用部分现场和部分远程审核结合的方式，如化工企业的生产现场、危险化学品贮存场所等；

4.4.5 对于监督/再认证项目宜根据所实施的认证项目的风险评价结果，釆取适宜的远程审核方式进行。原则上，不能连续两次审核都以完全远程审核的方式进行。

5 实施远程审核

5.1 审核的启动

在远程审核实施前，审核组应与受审核方事先商定时间，对远程审核时拟使用的设备、设施、工具、环境进行测试，确保实施记录可远程查阅，确认接受审核人员使用远程工具的能力。实施的活动包括：

a）确保审核用电子设备具有视频和语音、联网功能；

b）确保审核期间的物理环境无干扰；

c）商定审核资源包括网络与设备、环境、人员（备用的向导和迎审人员）的应急方案；

d）记录测试结果并在必要时修正审核计划保持适宜性；

e）确认与受审核方关于远程审核保密信息的披露程度和处理的协议；

f）获得受审核方的充分合作。

5.2 审核活动的准备

5.2.1 策划和制定远程审核计划

在按照现场审核策划并制定审核计划的基础上，策划远程审核应考虑如下方面的内容：

a）与受审核方沟通并确认远程审核所需的设施设备与环境，验证是否具备远程审核的条件，评估远程审核的可行性和风险并形成文件；

b）确定审核组成员分工和日程安排，就使用的ICT要求及获取证据的具体方式、证据的保存及保密性要求达成一致意见。确保审核员分开审核时最大程度地利用好时间，并保持审核组内部良好的沟通；

c）与受审核方沟通确定参与审核的人员，并确保他们在所确定的时间可参与审核活动。必要时各审核员根据确定的审核任务，与受审核方参与人员在审核前预演来测试远程审核方式的使用，确认受审核方参与人员了解并掌握远程审核方法和使用的技术工具。如果发现存在不宜釆用远程审核的风险，应向审核方案管理人员建议改用现场审核；

d）在审核计划中确定不同审核活动所釆取的审核方式或工具，包括但不限于如下情形：

1）对于仅需要通过访谈、记录抽查、文件审核等方式进行评价的过程及活动（如釆购过程、设计开发过程、顾客需求确认活动等），釆用远程视频对话等方式进行审核与评价；

2）对于生产、仓储等现场审核活动，釆用移动视频等方式进行审核与评价；

5.3 审核实施方式

5.3.1 查阅方式：

a）非在线方式，如文件传送给审核员查阅；

b）在线方式，如共享屏幕、视频查看等，未经受审核方许可，审核员不得拷屏、拍照。

5.3.2 访谈

审核员在远程访谈开始时确认远程被访谈者的身份，向其说明访谈主要事项并告知访谈是获取审核证据的方法之一。访谈以远程视频或音频的形式进行，并截图保留。

5.3.3 观察

观察适用于受审核方的运行现场，釆用实时视频的方式进行，观察时应考虑:

a）证明实况画面的真实性；

b）通过时间特征、人员特征等必要信息，确保画面的实时性；

c）现场工作环境，如光线、噪声等，宜满足审核证据收集的要求。

5.3.4 会议

远程审核会议釆用视频会议的方式进行。会议主要包括审核组内部沟通会议、审核首次会议、末次会议前与受审核方的沟通会议和审核末次会议等。

针对首次会议应包括以下涉及远程审核的特定内容：

a）介绍远程审核取证的方式方法和特殊要求；

b）远程审核的风险及远程审核结论的可能性；

c）审核组对于相关信息安全控制措施的说明及保密承诺；

d）企业遵守相关要求，如受审核人员实时在线要求、远程在线巡视要求、诚信提供有关审核证据的承诺要求等。

针对末次会议应包括以下远程审核的特定内容：

a）说明远程审核抽样的方法和可能存在的风险；

b）是否达到远程审核的目的，如未达到目的应说明后续可能进行的活动（如补充现场审核等）；

c）说明远程审核结论性意见以及远程审核不确定性的风险；

d）后续可能发生的确认活动。

审核组应保留参会人员通过视频或音频设备参加会议的图片，可使用远程会议截屏的方式，截屏应体现首末次会议的时间和参会人员。

5.3.5 应急响应

远程审核过程中，如因网络资源（如网络连接断开、访问授权被取消、停电等）等发生变化造成远程审核无法进行时，审核组应立即向机构汇报，釆取申请延长审核时间、延期审核、变更审核方案或中止等应对措施，并与受审核方达成一致。

注：如果将时间消耗在网络故障停机、突发中断或延时、可接入性问题或其他 ICT 困难等事项，这些时间不应计入审核时间。

5.4 审核报告

远程审核报告除应符合通用内容要求外，还应报告以下内容：

a）实施远程审核的概况（包括地点、范围、使用的设备/设施和工具等）；

b）与受审核方达成的信息安全协议，以及是否符合了受审核方对信息安全的要求（适用时）；

c）远程审核中遇到的可能降低审核结论可靠性的障碍（包括远程审核方法的局限性），远程审核过程中遇到的影响按审核计划完成审核任务的突发事件及其处置措施（适用时），以及对整体审核可能带来的风险；

d）远程审核中使用的ICT的有效性，远程审核是否达到了审核目标；

e）是否需要补充现场审核，以及补充审核时需关注的内容。

6 文件及记录信息的控制

6.1 文件及记录的收集和获取应遵守国家法律法规和受审核方信息安全的有关规定，并应注意下列事项：

a）事先获得受审核方许可，并考虑保密和安全事宜；

b）如确需访问受审核方数据信息如数据库时，应在受审核方授权的前提下进行，并遵守受审核方相关的信息安全保护措施要求，防止未经授权的访问、不当使用、损坏和泄露。一般不建议直接访问受审核方的数据库。

对于由受审核方生成的文件及记录，至少应追溯到：

a）信息生成的日期和时间；

b）编排整理的方式方法，关注信息是否经过编排整理（如将不同照片合成为一个文件）；

c）信息传输的方式方法，如同步的、异步的；通过腾讯会议、邮件等；

d）审核组接收信息的日期、时间和人员。

6.2 文件及记录的保存和处置

文件及记录的保存应注意下列事项：

a）远程审核文件及记录的保存应与现场审核成文信息要求一致；

b）远程审核所收集的资料，如涉及保密信息，应征得受审核方同意，才能保留。如非必要，不建议收集受审核方的保密信息，收集的涉密信息应进行脱密处理。

c）信息的处置应注意下列事项：

审核员在远程读取涉及保密信息时，不私自下载、保留这些资料。如有需要下载和保留的，应得到受审核方的许可，并在审核结束并上交审核资料后进行彻底删除，且经受审核方确认；

d）远程审核资料到保存期限后，按规定对这些资料进行销毁。对其中涉及保密信息的销毁，应告知受审核方。

7 引用文件

7.1 GB/T 19000—2016质量管理体系基础和术语(ISO 9000:2015, IDT)

7.2 GB/T 23694—2013 风险管理术语(ISO Guide 73:2009, IDT)

7.3 GB/T 27000—2006 合格评定词汇和通用原则(ISO/IEC 17000:2004, IDT)

7.4 ISO 19011:2018 管理体系审核指南

7.5 CNAS-CC14-2019  信息和通信技术（ICT）在审核中应用

7.6 T/CCAA 36-2020 认证机构远程审核指南

7.7 CNAS-EC-063:2021 关于远程审核活动的说

7.8 CNAS-EC-062:2021 关于对认证机构实施远程评审活动的说明