信息化時(shí)代質(zhì)量管理體系內(nèi)部審核問(wèn)題的思考

曹軼君

(上海飛機(jī)制造有限公司，上海 201324)

1 質(zhì)量管理體系內(nèi)部審核簡(jiǎn)介

質(zhì)量管理體系審核是依據(jù)質(zhì)量管理體系標(biāo)準(zhǔn)及審核準(zhǔn)則對(duì)組織的質(zhì)量管理體系的符合性及有效性進(jìn)行客觀評(píng)價(jià)所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過(guò)程，質(zhì)量管理體系審核對(duì)組織質(zhì)量管理體系的持續(xù)改進(jìn)具有重要的作用。

內(nèi)部審核是組織對(duì)其自身質(zhì)量管理體系所進(jìn)行的審核，是組織建立的一種自我檢查、自我完善的持續(xù)改進(jìn)活動(dòng)，可作為組織自我合格聲明的基礎(chǔ)，目的是確定組織的質(zhì)量管理體系是否滿足要求，確定質(zhì)量管理體系是否有效實(shí)施與保持。內(nèi)部審核的開展方式是審核組通過(guò)收集和驗(yàn)證與審核準(zhǔn)則有關(guān)的信息獲得審核證據(jù)，并根據(jù)審核準(zhǔn)則對(duì)審核證據(jù)進(jìn)行評(píng)價(jià)獲得審核發(fā)現(xiàn)，在綜合分析所有審核發(fā)現(xiàn)的基礎(chǔ)上，考慮此次審核的目的而做出最終的審核結(jié)論。內(nèi)部審核的基本過(guò)程如圖1所示。

圖1 內(nèi)部審核過(guò)程

傳統(tǒng)意義上內(nèi)部審核收集的客觀證據(jù)主要來(lái)源于被審核方的實(shí)際動(dòng)作及動(dòng)作結(jié)果(實(shí)物)，如圖紙、生產(chǎn)記錄、產(chǎn)品實(shí)物、實(shí)際生產(chǎn)操作等。審核員將收集到的審核證據(jù)按照相關(guān)審核準(zhǔn)則，如質(zhì)量管理體系標(biāo)準(zhǔn)、質(zhì)量管理體系程序文件、工程要求等，對(duì)審核證據(jù)進(jìn)行評(píng)價(jià)，從而獲得審核發(fā)現(xiàn)。審核發(fā)現(xiàn)中包含了被審核方體系運(yùn)行的好的方面及不足之處(即審核問(wèn)題項(xiàng))。本公司審核員在完成審核后，如存在審核問(wèn)題，會(huì)將審核問(wèn)題記錄發(fā)送給被審核方(責(zé)任單位)，監(jiān)督其進(jìn)行根本原因分析、糾正措施制定并落實(shí)糾正措施。在責(zé)任單位聲明已落實(shí)糾正措施后，審核員將進(jìn)行驗(yàn)證，確保糾正措施持續(xù)有效，保證質(zhì)量管理體系的良好運(yùn)行。

2 內(nèi)部審核典型案例

工業(yè)信息化大背景下，信息化系統(tǒng)將在組織內(nèi)部過(guò)程運(yùn)行中大面積運(yùn)用，組織的質(zhì)量管理體系過(guò)程運(yùn)行將大量依賴信息化系統(tǒng)。具體如工程設(shè)計(jì)文件的傳遞，工藝文件、采購(gòu)合同、出入庫(kù)單等的編制、批準(zhǔn)和流轉(zhuǎn)，以及過(guò)程產(chǎn)生的質(zhì)量記錄，如采購(gòu)訂單記錄、生產(chǎn)記錄、出入庫(kù)記錄等的生成和歸檔，都基于信息化系統(tǒng)運(yùn)行，生成電子化的數(shù)據(jù)并進(jìn)行存儲(chǔ)。這也就改變了內(nèi)部審核的審核證據(jù)本身的性質(zhì)，因此發(fā)現(xiàn)的審核問(wèn)題也與信息化系統(tǒng)的管理關(guān)系密切。

而電子化數(shù)據(jù)具有產(chǎn)生快、易流轉(zhuǎn)、可修改的特點(diǎn)，一方面給過(guò)程運(yùn)行帶來(lái)了方便，但也對(duì)電子化數(shù)據(jù)的管控提出了更高的要求，而電子化的審核證據(jù)的有效性也需要在審核中進(jìn)行仔細(xì)判斷。下面是涉及信息化系統(tǒng)的3個(gè)典型審核案例(案例僅用于分析，不代表實(shí)際情況)。

2.1 案例1：信息化系統(tǒng)缺少基本的防錯(cuò)功能，導(dǎo)致記錄錯(cuò)誤被忽略

問(wèn)題描述：審核發(fā)現(xiàn)，某零件制造車間生產(chǎn)的某個(gè)零件顯示已完工的電子化制造工序記錄表明該零件的某測(cè)量值實(shí)際超差，但該工序的操作人員及檢驗(yàn)人員均未識(shí)別該超差，將該零件放行。

對(duì)該問(wèn)題，責(zé)任部門經(jīng)過(guò)調(diào)查和分析發(fā)現(xiàn)，該零件的實(shí)際測(cè)量值符合工程要求，由于操作人員疏忽填錯(cuò)了數(shù)據(jù)，且檢驗(yàn)人員同樣疏忽導(dǎo)致未識(shí)別該偏差；此外還認(rèn)為現(xiàn)有信息化系統(tǒng)不具備防錯(cuò)預(yù)警功能也是導(dǎo)致問(wèn)題發(fā)生的一個(gè)原因。

信息化系統(tǒng)開發(fā)的初衷是為了降低人為錯(cuò)誤發(fā)生的幾率，來(lái)提高過(guò)程效率，從而提升企業(yè)效益。而此例未在信息化系統(tǒng)中進(jìn)行防錯(cuò)和預(yù)警功能的策劃，使得信息化系統(tǒng)的使用事倍功半。

2.2 案例2：信息化流程設(shè)計(jì)與質(zhì)量過(guò)程不匹配，且無(wú)法被人為糾正

問(wèn)題描述：審核發(fā)現(xiàn)，信息化系統(tǒng)“糾正措施驗(yàn)證系統(tǒng)”上存在數(shù)份“糾正措施申請(qǐng)單”超期未答復(fù)，不符合相關(guān)程序中對(duì)答復(fù)期限的要求。

進(jìn)一步調(diào)查發(fā)現(xiàn)，實(shí)際生產(chǎn)過(guò)程中，會(huì)因各種客觀因素，如措施協(xié)調(diào)需要更長(zhǎng)的時(shí)間，措施落實(shí)涉及周期很長(zhǎng)的其他過(guò)程(如招標(biāo)采購(gòu)過(guò)程)，或因疫情影響等導(dǎo)致“糾正措施申請(qǐng)單”需延期答復(fù)，現(xiàn)行質(zhì)量程序已對(duì)延期的申請(qǐng)流程進(jìn)行了策劃，但在設(shè)計(jì)信息化系統(tǒng)功能時(shí)未加入延期申請(qǐng)功能。從而導(dǎo)致信息化系統(tǒng)內(nèi)的因客觀因素需推遲答復(fù)的“糾正措施申請(qǐng)單”無(wú)法延長(zhǎng)答復(fù)期限，從而造成與程序要求相悖的情況。

設(shè)計(jì)信息化系統(tǒng)的電子化流程時(shí)，需全面考慮系統(tǒng)流程和邏輯關(guān)系、現(xiàn)有質(zhì)量程序要求和生產(chǎn)過(guò)程實(shí)際情況的符合性和兼容性，在投用前應(yīng)組織流程推演，確保實(shí)際可操作性。

2.3 案例3：利用信息化系統(tǒng)權(quán)限漏洞違規(guī)修改電子化數(shù)據(jù)

問(wèn)題描述：審核發(fā)現(xiàn)，某些人員利用當(dāng)前的“數(shù)據(jù)維護(hù)申請(qǐng)”方式申請(qǐng)修改生產(chǎn)記錄中已歸檔的電子化數(shù)據(jù)，與相關(guān)記錄控制程序的要求：“已歸檔的數(shù)據(jù)不能修改，只能補(bǔ)充勘誤說(shuō)明”不符。

進(jìn)一步調(diào)查發(fā)現(xiàn)，這些不符合程序要求的數(shù)據(jù)維護(hù)申請(qǐng)來(lái)自于生產(chǎn)、檢驗(yàn)部門人員，用于修改已裝配的裝配、檢驗(yàn)相關(guān)文件記錄。從問(wèn)題發(fā)生的范圍和頻率來(lái)看，問(wèn)題涉及部門廣泛、類似申請(qǐng)的數(shù)量也很多，可見該錯(cuò)誤行為已成為常態(tài)。從問(wèn)題實(shí)質(zhì)內(nèi)容來(lái)看，主要分為修改歸檔狀態(tài)記錄和撤銷已歸檔記錄的歸檔狀態(tài)(在未歸檔狀態(tài)下可由申請(qǐng)人員自行修改數(shù)據(jù))。從問(wèn)題發(fā)生的原因來(lái)看，主要是在歸檔后修改填寫時(shí)的筆誤和補(bǔ)充漏填寫的信息。從流程完備性角度看，現(xiàn)行數(shù)據(jù)維護(hù)申請(qǐng)流程設(shè)置了領(lǐng)導(dǎo)審批環(huán)節(jié)，但審批領(lǐng)導(dǎo)未盡到監(jiān)督方的職責(zé)，對(duì)違反程序要求的申請(qǐng)仍予以放行；對(duì)于數(shù)據(jù)維護(hù)申請(qǐng)，現(xiàn)行信息化系統(tǒng)的權(quán)限設(shè)置存在疏漏，讓數(shù)據(jù)維護(hù)申請(qǐng)人有跨過(guò)相關(guān)人員的監(jiān)督審核，直接流轉(zhuǎn)至數(shù)據(jù)維護(hù)工程師處完成了非法的數(shù)據(jù)修改。

上述問(wèn)題的原因主要體現(xiàn)在客觀存在的人為失誤，信息化系統(tǒng)存在缺陷，數(shù)據(jù)維護(hù)流程存在漏洞，程序要求存在缺失和領(lǐng)導(dǎo)監(jiān)管責(zé)任落實(shí)不到位幾方面。因此應(yīng)優(yōu)化信息化系統(tǒng)功能，加入防錯(cuò)機(jī)制，在漏填數(shù)據(jù)時(shí)無(wú)法歸檔，在數(shù)據(jù)填寫錯(cuò)誤時(shí)給出預(yù)警；要求相關(guān)人員在記錄填寫后應(yīng)認(rèn)真檢查，確保核對(duì)無(wú)誤后，再確認(rèn)工序結(jié)束及完成歸檔；對(duì)相關(guān)記錄填寫人員進(jìn)行培訓(xùn)，建立充分的質(zhì)量意識(shí)，明確責(zé)任和懲戒機(jī)制；同時(shí)要杜絕質(zhì)危害產(chǎn)品安全的質(zhì)量不誠(chéng)信行為；要求相關(guān)部門完善數(shù)據(jù)維護(hù)程序流程要求，默認(rèn)強(qiáng)制由指定部門會(huì)簽。

如前文所述，電子化數(shù)據(jù)具有可修改的特性。而在策劃復(fù)雜的信息化系統(tǒng)結(jié)構(gòu)時(shí)，為了實(shí)際使用時(shí)的便利性，往往存在忽視數(shù)據(jù)安全要求的問(wèn)題。對(duì)于產(chǎn)品生產(chǎn)數(shù)據(jù)這種相對(duì)敏感、涉及產(chǎn)品安全、須保持長(zhǎng)期追溯性的關(guān)鍵數(shù)據(jù)，應(yīng)嚴(yán)格按照質(zhì)量程序的要求，從嚴(yán)管控?cái)?shù)據(jù)更改流程，降低數(shù)據(jù)被篡改的風(fēng)險(xiǎn)，以確保產(chǎn)品安全。

3 內(nèi)部審核問(wèn)題特點(diǎn)的思考

信息化系統(tǒng)引入企業(yè)生產(chǎn)、運(yùn)營(yíng)的初衷是為了降低人為因素影響、減少人為失誤、提升生產(chǎn)效率和效益。但顯然，新的信息化系統(tǒng)、方法、工作模式和工作流程的引入，同樣帶來(lái)了很多質(zhì)量管理體系的問(wèn)題。

首先，信息化系統(tǒng)的主要目標(biāo)就是降低錯(cuò)誤率和提升效率，因此在策劃信息化系統(tǒng)時(shí)，必須考慮建立防錯(cuò)和預(yù)警機(jī)制。比如對(duì)生產(chǎn)數(shù)據(jù)的電子記錄應(yīng)設(shè)計(jì)相關(guān)防錯(cuò)功能，以應(yīng)對(duì)客觀存在的人為失誤導(dǎo)致生產(chǎn)數(shù)據(jù)填寫錯(cuò)誤的情況。

其次，基于信息化系統(tǒng)運(yùn)行質(zhì)量流程要比原先的實(shí)體化的運(yùn)行方式更便捷，降低了使用紙質(zhì)載體傳遞數(shù)據(jù)信息丟失、泄露的風(fēng)險(xiǎn)，相比人為傳遞信息也提升了流程運(yùn)行效率。但是，不論原先的質(zhì)量流程繁簡(jiǎn)與否，在設(shè)計(jì)質(zhì)量過(guò)程的信息化系統(tǒng)時(shí)，應(yīng)仔細(xì)分析原質(zhì)量過(guò)程控制程序的流程邏輯和控制要求，以確保信息化系統(tǒng)流程與程序的符合性。同時(shí)應(yīng)充分考慮該信息化系統(tǒng)實(shí)際運(yùn)行時(shí)的衍生問(wèn)題，建議新的信息化系統(tǒng)上線前應(yīng)組織專業(yè)團(tuán)隊(duì)進(jìn)行評(píng)審，落實(shí)改進(jìn)意見，并進(jìn)行充分的試運(yùn)行，以查漏補(bǔ)缺，確保兼容性和可操作性。應(yīng)建立信息化系統(tǒng)功能優(yōu)化機(jī)制，當(dāng)使用者發(fā)現(xiàn)信息化系統(tǒng)存在問(wèn)題時(shí)，應(yīng)有相關(guān)流程來(lái)確保問(wèn)題得到及時(shí)的識(shí)別、上報(bào)和解決。

最后，信息化時(shí)代的數(shù)據(jù)安全也是企業(yè)必須考慮的因素。信息化系統(tǒng)的電子化數(shù)據(jù)具有可修改的特性，在設(shè)計(jì)信息化系統(tǒng)時(shí)，要考慮限制不同用戶群的數(shù)據(jù)修改權(quán)限。尤其是涉及產(chǎn)品生產(chǎn)和產(chǎn)品安全或程序已明確要求禁止修改的數(shù)據(jù)，應(yīng)建立完備的數(shù)據(jù)保護(hù)機(jī)制，封閉全部的流程漏洞。同時(shí)加大培訓(xùn)力度，提高相關(guān)人員的質(zhì)量意識(shí)和產(chǎn)品安全意識(shí)，從根本上杜絕質(zhì)量不誠(chéng)信行為。

4 下一步展望

未來(lái)，隨著計(jì)算機(jī)、互聯(lián)網(wǎng)的技術(shù)升級(jí)，人工智能、云計(jì)算、大數(shù)據(jù)的深度和廣泛運(yùn)用，信息化系統(tǒng)將在工業(yè)生產(chǎn)、公司運(yùn)營(yíng)中承擔(dān)更多、更復(fù)雜、更重要的任務(wù)。

根據(jù)上文的思考，顯然對(duì)于每一個(gè)新上線的信息化系統(tǒng)，不論是該系統(tǒng)的策劃者，使用該系統(tǒng)的過(guò)程所有者，都應(yīng)將該系統(tǒng)與質(zhì)量程序的符合性放在第一位，即信息化系統(tǒng)只能在質(zhì)量管理體系框架內(nèi)運(yùn)行，其功能不能脫離質(zhì)量管理體系要求的限制。信息化系統(tǒng)上線前，應(yīng)組織專業(yè)團(tuán)隊(duì)進(jìn)行評(píng)審，落實(shí)改進(jìn)意見，各項(xiàng)功能應(yīng)接受全面、充分的測(cè)試，并及時(shí)采納用戶的意見，保持系統(tǒng)功能的持續(xù)維護(hù)和改進(jìn)。更復(fù)雜的系統(tǒng)意味著潛在的更多漏洞，應(yīng)及時(shí)查漏補(bǔ)缺，建立有效的數(shù)據(jù)保護(hù)機(jī)制保護(hù)數(shù)據(jù)安全。否則，必將對(duì)質(zhì)量管理體系運(yùn)行和產(chǎn)品安全造成影響。