孫 瑋 安 東 姚宇駿 裘 慧

(1.浙江出入境檢驗(yàn)檢疫局 浙江杭州 310012;2.國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì))

1 前言

企業(yè)管理信息化的發(fā)展趨勢(shì)不可逆轉(zhuǎn),現(xiàn)在只要需要建設(shè)管理信息化系統(tǒng),企業(yè)就一定會(huì)超越低級(jí)階段,瞄準(zhǔn)及選擇最新的研究成果,即一旦企業(yè)進(jìn)行企業(yè)管理信息系統(tǒng)的再造,其涉及的領(lǐng)域?qū)⒖涨皬V泛 ,包括產(chǎn)、供、銷、設(shè)備、倉(cāng)儲(chǔ)、運(yùn)輸、設(shè)計(jì)、質(zhì)量乃至人教勞資等企業(yè)管理的各個(gè)領(lǐng)域。目前越來(lái)越多的企業(yè)在加緊企業(yè)管理信息系統(tǒng)的建設(shè),這從我國(guó)企業(yè)管理軟件開發(fā)供應(yīng)商的規(guī)模上可反映出來(lái)。企業(yè)管理信息化建設(shè)的一個(gè)重要階段是建設(shè)企業(yè)核心的業(yè)務(wù)管理和應(yīng)用系統(tǒng)階段,在這個(gè)階段最有代表性的是企業(yè)資源計(jì)劃系統(tǒng) (Enterprise Resource Planning,ERP)。用友 ERP是一種科學(xué)管理思想的計(jì)算機(jī)實(shí)現(xiàn),它對(duì)產(chǎn)品研發(fā)和設(shè)計(jì)、作業(yè)控制、生產(chǎn)計(jì)劃、投入品采購(gòu)、市場(chǎng)營(yíng)銷、銷售、庫(kù)存、財(cái)務(wù)和人事等方面以及相應(yīng)的模塊組成部分,采取集成優(yōu)化的方式進(jìn)行管理。用友 ERP不是機(jī)械地適應(yīng)企業(yè)現(xiàn)有的流程,而是對(duì)企業(yè)流程中不合理的部分提出改進(jìn)和優(yōu)化建議,并可能導(dǎo)致組織機(jī)構(gòu)的重新設(shè)計(jì)和業(yè)務(wù)流程重組。

傳統(tǒng)的認(rèn)證審核人員在尋找客觀證據(jù)時(shí),主要是針對(duì)手工的記錄 (包括采購(gòu)記錄,生產(chǎn)記錄,檢驗(yàn)記錄,庫(kù)存記錄等等)進(jìn)行證據(jù)資料的采集,而現(xiàn)代企業(yè)越來(lái)越多的使用電腦進(jìn)行各種記錄,隨著電磁質(zhì)量記錄介質(zhì)越來(lái)越廣泛的應(yīng)用,紙質(zhì)記錄將越來(lái)越罕見,認(rèn)證審核人員面臨的問(wèn)題是無(wú)法通過(guò)傳統(tǒng)的方法來(lái)獲得紙質(zhì)的客觀證據(jù),而大量的電磁介質(zhì)的記錄是否能作為客觀證據(jù)呢?如果可以,那怎樣判斷電磁介質(zhì)記錄的真實(shí)性?依據(jù)所獲得的電磁介質(zhì)的客觀證據(jù)得出的認(rèn)證審核結(jié)論是否能全面、客觀、真實(shí)、準(zhǔn)確地反映企業(yè)質(zhì)量管理現(xiàn)狀?正是這些問(wèn)題催生了傳統(tǒng) ISO9001質(zhì)量管理體系認(rèn)證審核方法的變革。

認(rèn)證審核的電子環(huán)境已逐步形成,且其電子化的色彩將伴隨著電子商務(wù)的產(chǎn)生和發(fā)展而變得越來(lái)越濃。本文以用友 ERP為例研究電子環(huán)境下企業(yè) ISO9001質(zhì)量管理體系認(rèn)證的方法變化[1],該研究是新形勢(shì)下提高認(rèn)證審核有效性方法的探索,對(duì)提高質(zhì)量管理體系審核的有效性具有深遠(yuǎn)意義[2]。

2 認(rèn)證程序的變化

2.1 用友 ERP環(huán)境下電磁質(zhì)量記錄的特點(diǎn)

(1)電磁質(zhì)量記錄的系統(tǒng)依賴性。傳統(tǒng)紙質(zhì)記錄不需要借助其他工具、設(shè)備就可以被人們感知;電磁質(zhì)量記錄對(duì)運(yùn)行環(huán)境的依賴程度很大,輸入、存儲(chǔ)、輸出的全過(guò)程都必須借助一定的硬件設(shè)備和軟件平臺(tái)。這是由于電磁質(zhì)量記錄在形成、傳輸?shù)倪^(guò)程中,需要利用電磁場(chǎng)的變化將信息轉(zhuǎn)變成以二進(jìn)制代碼存在的電子形式存貯或流動(dòng),這種信息只有依靠特定的系統(tǒng)并通過(guò)相應(yīng)的程序解碼,使用打印、屏顯、運(yùn)行等方式才能將其顯現(xiàn)出來(lái)。電磁質(zhì)量記錄對(duì)系統(tǒng)的依賴性還決定了電磁質(zhì)量記錄的高技術(shù)性,電磁質(zhì)量記錄的生成、傳遞都必須以計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)為依托,它的一系列存儲(chǔ)、傳輸過(guò)程是否安全可靠,也影響著電磁質(zhì)量記錄的安全可靠性。

(2)電磁質(zhì)量記錄的脆弱性。網(wǎng)絡(luò)空間的虛擬性,使得行為主體會(huì)有更加便利的條件、機(jī)會(huì),使用更多的手段來(lái)破壞、毀滅證據(jù)。這種人為的差錯(cuò),再加上環(huán)境 (如系統(tǒng)的不穩(wěn)定)等客觀因素都會(huì)影響到電磁質(zhì)量記錄的真實(shí)性。具體而言,人們可能因差錯(cuò)、欺騙或者偏見,而添加、遺漏、修改或刪除計(jì)算機(jī)內(nèi)的某些信息。這些錯(cuò)誤的風(fēng)險(xiǎn)可能取決于多種因素,包括數(shù)據(jù)輸入人員的動(dòng)機(jī)和其所受過(guò)的訓(xùn)練,錄入信息的數(shù)量,以及程序被監(jiān)控的質(zhì)量等。并且由于電磁質(zhì)量記錄對(duì)保存條件的要求與傳統(tǒng)證據(jù)不同,必須防塵、防高熱、防磁,如果保存條件發(fā)生變化導(dǎo)致存儲(chǔ)介質(zhì)周圍的磁場(chǎng)受到嚴(yán)重干擾,就有可能會(huì)對(duì)電磁質(zhì)量記錄真實(shí)性產(chǎn)生影響。也就是說(shuō),電磁質(zhì)量記錄的記錄方式及介質(zhì)的特殊性和網(wǎng)絡(luò)空間的特性決定了它自身具有一定的脆弱性。

(3)電磁質(zhì)量記錄的可挽救性。在某些情況下,計(jì)算機(jī)可以按照例行程序自行追蹤和挽救一些信息,如Word軟件中有時(shí)會(huì)產(chǎn)生一些挽救的文檔,在意外斷電的情況下,系統(tǒng)還可以將文檔恢復(fù)到斷電前自動(dòng)保存時(shí)的狀態(tài)。電磁質(zhì)量記錄的可挽救性還體現(xiàn)在可以通過(guò)一些技術(shù)手段恢復(fù)被刪除、修改的文件上。而對(duì)于傳統(tǒng)紙質(zhì)記錄而言,一旦原件遭到毀損,則無(wú)法復(fù)原紙質(zhì)記錄。

2.2 基于電磁質(zhì)量記錄的認(rèn)證審核程序創(chuàng)新

傳統(tǒng)的認(rèn)證審核程序是:企業(yè)提交申請(qǐng)→企業(yè)與認(rèn)證機(jī)構(gòu)簽定合同→認(rèn)證機(jī)構(gòu)確定審核組進(jìn)行文件審核→現(xiàn)場(chǎng)審核→企業(yè)實(shí)施糾正措施→認(rèn)證機(jī)構(gòu)對(duì)糾正措施進(jìn)行驗(yàn)證→批準(zhǔn)→注冊(cè)頒證。對(duì)于依賴紙質(zhì)記錄的傳統(tǒng)認(rèn)證環(huán)境而言,這樣的認(rèn)證審核程序嚴(yán)謹(jǐn)、充分;而對(duì)于依賴電磁質(zhì)量記錄的ERP環(huán)境下的認(rèn)證審核而言,卻缺少了一個(gè)重大的環(huán)節(jié)——對(duì)電磁質(zhì)量記錄的真實(shí)性和完整性的審核。鑒于如上所述電磁質(zhì)量記錄具有系統(tǒng)依賴性和脆弱性的特點(diǎn),如果所有的認(rèn)證審核結(jié)論都是建立在不真實(shí)、不完整的質(zhì)量記錄上,那這樣的認(rèn)證審核結(jié)論就不具有真實(shí)、準(zhǔn)確、可靠性。筆者認(rèn)為,在現(xiàn)場(chǎng)審核之前應(yīng)該進(jìn)行電磁質(zhì)量記錄的真實(shí)性和完整性的審核,在現(xiàn)場(chǎng)審核內(nèi)容中也要貫穿電磁質(zhì)量記錄的真實(shí)性和完整性的審核。所以新的認(rèn)證審核程序是:企業(yè)提交申請(qǐng)→企業(yè)與認(rèn)證機(jī)構(gòu)簽定合同→認(rèn)證機(jī)構(gòu)確定審核組進(jìn)行文件審核→對(duì)電磁質(zhì)量記錄的真實(shí)性和完整性的審核→現(xiàn)場(chǎng)審核(包含電磁質(zhì)量記錄的真實(shí)性和完整性的審核)→企業(yè)實(shí)施糾正措施→認(rèn)證機(jī)構(gòu)對(duì)糾正措施進(jìn)行驗(yàn)證→批準(zhǔn)→注冊(cè)頒證。

3 對(duì)電磁質(zhì)量記錄的真實(shí)性和完整性的審核

對(duì)電磁質(zhì)量記錄真實(shí)性和完整性的威脅,來(lái)自企業(yè)內(nèi)部和外部?jī)蓚€(gè)方面,且由于內(nèi)部威脅的主動(dòng)性和明確的目的性,因此以內(nèi)部威脅為主。降低內(nèi)部威脅的有效辦法是企業(yè)自我管制機(jī)制的建立,故對(duì)電磁質(zhì)量記錄的真實(shí)性和完整性的審核首先要從審核 ERP環(huán)境下企業(yè)自我管制機(jī)制開始。ERP環(huán)境下企業(yè)自我管制機(jī)制審核應(yīng)包括但不僅限于以下方面。

3.1 ERP系統(tǒng)維護(hù)管制

ERP系統(tǒng)維護(hù)包括軟件修改、代碼結(jié)構(gòu)修改和計(jì)算機(jī)硬件與通訊設(shè)備的維修等,涉及到系統(tǒng)功能的調(diào)整、擴(kuò)充和完善。對(duì) ERP系統(tǒng)進(jìn)行維護(hù)必須經(jīng)過(guò)周密計(jì)劃和嚴(yán)格記錄,維護(hù)過(guò)程的每一環(huán)節(jié)都應(yīng)設(shè)置必要的管制,維護(hù)的原因和性質(zhì)必須有書面形式的報(bào)告,經(jīng)批準(zhǔn)后才能實(shí)施修改。軟件修改尤為重要,系統(tǒng)操作員不能參與軟件的修改,所有與系統(tǒng)維護(hù)有關(guān)的記錄都應(yīng)打印后存檔。

3.2 實(shí)體安全管制

實(shí)體安全涉及到計(jì)算機(jī)主機(jī)房的環(huán)境和各種技術(shù)安全要求、光和磁介質(zhì)等數(shù)據(jù)存貯體的存放和保護(hù),是一種預(yù)防性管制。計(jì)算機(jī)機(jī)房應(yīng)該符合技術(shù)要求和安全要求,充分滿足防火、防水、防潮、防盜、恒溫等技術(shù)條件;機(jī)房應(yīng)配有空調(diào)和消防設(shè)施等;對(duì)用于數(shù)據(jù)備份的磁盤、光盤等存貯介質(zhì)應(yīng)注意防潮、防塵和防磁;對(duì)每天的業(yè)務(wù)數(shù)據(jù)雙備份,建立目錄清單異地存放;長(zhǎng)期保存的磁介質(zhì)存貯媒體應(yīng)定期轉(zhuǎn)貯。計(jì)算機(jī)管理系統(tǒng)有關(guān)的資料應(yīng)及時(shí)存檔,企業(yè)應(yīng)建立起完善的檔案制度,加強(qiáng)檔案管理。除此之外,還應(yīng)定期對(duì)所有檔案進(jìn)行備份并保管好這些備份。為防止檔案被破壞,企業(yè)應(yīng)制訂出檔案被破壞事件發(fā)生時(shí)的應(yīng)急措施和恢復(fù)手段。

3.3 ERP系統(tǒng)的人員職能管制

利用計(jì)算機(jī)舞弊的人大多是企業(yè)的程序員兼計(jì)算機(jī)操作員。ERP系統(tǒng)要求的完善的人員職能管制機(jī)制就是適當(dāng)分工,明確規(guī)定每個(gè)崗位的職責(zé),防止對(duì)處理過(guò)程的不適當(dāng)干預(yù)。機(jī)構(gòu)調(diào)整必須同組織管制相結(jié)合,實(shí)現(xiàn)職權(quán)分離,有效地限制和及時(shí)發(fā)現(xiàn)錯(cuò)誤或違法行為,如規(guī)定系統(tǒng)開發(fā)人員和維護(hù)人員不能兼任系統(tǒng)操作員和管理人員等,以減少利用計(jì)算機(jī)舞弊的可能性。

3.4 ERP系統(tǒng)的操作管制

企業(yè)用于 ERP系統(tǒng)的計(jì)算機(jī)應(yīng)盡可能專用,企業(yè)應(yīng)對(duì)計(jì)算機(jī)的使用建立一整套管理制度,保證每一個(gè)工作人員和每一臺(tái)計(jì)算機(jī)都只做其應(yīng)該做的事情。一般來(lái)講,企業(yè)對(duì)用于 ERP系統(tǒng)計(jì)算機(jī)的上機(jī)管理措施應(yīng)包括輪流值班制度、上機(jī)記錄制度、完善的操作手冊(cè)和上機(jī)時(shí)間安排等。操作管制包括業(yè)務(wù)發(fā)生管制、數(shù)據(jù)輸入管制、數(shù)據(jù)通訊管制、數(shù)據(jù)處理管制、數(shù)據(jù)輸出管制和數(shù)據(jù)儲(chǔ)存管制等。

如果經(jīng)過(guò)初步審核認(rèn)為 ERP環(huán)境下企業(yè)自我管制機(jī)制充分、有效,就意味著 ERP系統(tǒng)提供不真實(shí)或不完整電磁質(zhì)量記錄的可能性較小,現(xiàn)場(chǎng)審核中用于審核 ERP系統(tǒng)所提供電磁質(zhì)量記錄真實(shí)性和完整性的強(qiáng)度可以適當(dāng)降低。反之,要加大現(xiàn)場(chǎng)審核中用于審核 ERP系統(tǒng)所提供電磁質(zhì)量記錄真實(shí)性和完整性的強(qiáng)度。

4 用友 ERP環(huán)境下現(xiàn)場(chǎng)審核計(jì)劃環(huán)節(jié)的審核方法探索

4.1 審核人天數(shù)的確定 (表中含有辦公室人、監(jiān)督審核和復(fù)核)

用友 ERP環(huán)境下現(xiàn)場(chǎng)審核審核人天數(shù)的確定見表 1。

表 1 ISO9001審核人天數(shù)對(duì)應(yīng)表[3](ISO9001審核時(shí)間標(biāo)準(zhǔn))

由表 1可見,審核人天數(shù)和企業(yè)的雇員數(shù)量直接相關(guān),和審核收費(fèi)也是直接相關(guān),所以被審核企業(yè)往往希望通過(guò)低報(bào)雇員數(shù)量達(dá)到降低審核人天數(shù)從而降低審核收費(fèi)。這樣一方面可以減少企業(yè)的費(fèi)用,更重要的是可以減少不符合項(xiàng)的發(fā)現(xiàn)率,從而提高企業(yè)認(rèn)證審核的通過(guò)率,因此準(zhǔn)確、合理地確定企業(yè)的雇員數(shù)量顯得意義重大。用友 ERP提供了確定企業(yè)雇員數(shù)量的一條途徑,見圖 1。

圖 1 用友 ERP提供的企業(yè)人員列表

如果經(jīng)過(guò)初步審核認(rèn)為 ERP環(huán)境下企業(yè)自我管制機(jī)制充分、有效,那就可以認(rèn)為用友 ERP所提供的企業(yè)雇員數(shù)量可靠。反之,則還需要通過(guò)其他途徑核實(shí),比如通過(guò)企業(yè)規(guī)模,后勤保障人員和設(shè)施等,這一過(guò)程就是對(duì)電磁質(zhì)量記錄真實(shí)性和完整性的現(xiàn)場(chǎng)審核。

4.2 審核范圍的確定

在現(xiàn)場(chǎng)審核的計(jì)劃階段,審核范圍的確定也是一個(gè)重要內(nèi)容。從被審核方 (企業(yè))的角度來(lái)講,審核范圍越小,其審核前的準(zhǔn)備工作量越小,審核準(zhǔn)備工作就能做得更充分,這樣不符合項(xiàng)的發(fā)現(xiàn)率就會(huì)大大降低,從而提高企業(yè)認(rèn)證審核的通過(guò)率。因此,準(zhǔn)確界定認(rèn)證范圍可以降低審核方的審核風(fēng)險(xiǎn),得出準(zhǔn)確的審核結(jié)論,防止出現(xiàn)誤導(dǎo)公眾的結(jié)果出現(xiàn)。用友 ERP提供了確定審核范圍的一條途徑即企業(yè)的組織機(jī)構(gòu)圖,見表 2。

圖 2 用友 ERP提供的企業(yè)組織機(jī)構(gòu)圖

圖 2可以作為初步確定審核范圍的依據(jù)。如果經(jīng)過(guò)初步審核認(rèn)為 ERP環(huán)境下企業(yè)自我管制機(jī)制充分、有效,那就可以認(rèn)為用友 ERP所提供的組織機(jī)構(gòu)圖可靠。反之,則還需要通過(guò)其他途徑核實(shí),比如通過(guò)政府相關(guān)法律文件、背景情況、人員流向等,這一過(guò)程同樣也是對(duì)電磁質(zhì)量記錄真實(shí)性和完整性的現(xiàn)場(chǎng)審核。

總之,在用友 ERP環(huán)境下,既提供了有效進(jìn)行企業(yè) ISO9001質(zhì)量管理體系認(rèn)證的手段,同時(shí)由于電子質(zhì)量記錄自身的特點(diǎn),也會(huì)導(dǎo)致以此為基礎(chǔ)的正確審核結(jié)論的風(fēng)險(xiǎn)上升。除了利用上述針對(duì)性的審核方法來(lái)降低審核風(fēng)險(xiǎn),提高審核有效性外,還有一個(gè)十分重要的因素——營(yíng)造宏觀環(huán)境,即營(yíng)造一個(gè)以企業(yè)提供真實(shí)、完整的電子質(zhì)量記錄為榮,以企業(yè)提供不真實(shí)、不完整的電子質(zhì)量記錄為恥甚至犯罪的宏觀環(huán)境。當(dāng)然這個(gè)宏觀環(huán)境的形成,除了輿論、經(jīng)濟(jì)、行政、法律手段的綜合運(yùn)用外,還要長(zhǎng)期運(yùn)用教育、宣傳乃至文化娛樂(lè)的手段來(lái)影響人們的觀念,這將有待于認(rèn)證工作者的長(zhǎng)期努力。

[1] ISO9001 AUDITI NG PRACTICES GROUP GU I DANCE ON:AUD ITI NG ELECTRONIC-BASED MANAGEMENT SYSTEMS(EBMS)

[2] CNAS-CC14:2008強(qiáng)制性文件——獲認(rèn)可的管理體系認(rèn)證對(duì)計(jì)算機(jī)輔助審核技術(shù)的使用[S].

[3] ISO/IEC導(dǎo)則 62質(zhì)量體系評(píng)價(jià)和認(rèn)證/注冊(cè)機(jī)構(gòu)的基本要求及 I AF指南[S].