信息化时代质量管理体系内部审核问题的思考

信息化时代质量管理体系内部审核问题的思考

杨毅波

中国质量认证中心武汉分中心430077

摘要：质量管理体系审核是依据质量管理体系标准及审核准则对组织的质量管理体系的符合性及有效性进行客观评价所进行的系统的、独立的并形成文件的过程，质量管理体系审核对组织质量管理体系的持续改进具有重要的作用。

关键词：信息化；质量管理

1 质量管理体系内部审核简介

内部审核是组织对其自身质量管理体系所进行的审核，是组织建立的一种自我检查、自我完善的持续改进活动，可作为组织自我合格声明的基础，目的是确定组织的质量管理体系是否满足要求，确定质量管理体系是否有效实施与保持。内部审核的开展方式是审核组通过收集和验证与审核准则有关的信息获得审核证据，并根据审核准则对审核证据进行评价获得审核发现，在综合分析所有审核发现的基础上，考虑此次审核的目的而做出最终的审核结论。

2 内部审核典型案例

工业信息化大背景下，信息化系统将在组织内部过程运行中大面积运用，组织的质量管理体系过程运行将大量依赖信息化系统。具体如工程设计文件的传递，工艺文件、采购合同、出入库单等的编制、批准和流转，以及过程产生的质量记录，如采购订单记录、生产记录、出入库记录等的生成和归档，都基于信息化系统运行，生成电子化的数据并进行存储。这也就改变了内部审核的审核证据本身的性质，因此发现的审核问题也与信息化系统的管理关系密切。

而电子化数据具有产生快、易流转、可修改的特点，一方面给过程运行带来了方便，但也对电子化数据的管控提出了更高的要求，而电子化的审核证据的有效性也需要在审核中进行仔细判断。下面是涉及信息化系统的3个典型审核案例(案例仅用于分析，不代表实际情况)。

2.1 案例1:信息化系统缺少基本的防错功能，导致记录错误被忽略

问题描述：审核发现，某零件制造车间生产的某个零件显示已完工的电子化制造工序记录表明该零件的某测量值实际超差，但该工序的操作人员及检验人员均未识别该超差，将该零件放行。

对该问题，责任部门经过调查和分析发现，该零件的实际测量值符合工程要求，由于操作人员疏忽填错了数据，且检验人员同样疏忽导致未识别该偏差；此外还认为现有信息化系统不具备防错预警功能也是导致问题发生的一个原因。

信息化系统开发的初衷是为了降低人为错误发生的几率，来提高过程效率，从而提升企业效益。而此例未在信息化系统中进行防错和预警功能的策划，使得信息化系统的使用事倍功半。

2.2 案例2:信息化流程设计与质量过程不匹配，且无法被人为纠正

问题描述：审核发现，信息化系统“纠正措施验证系统”上存在数份“纠正措施申请单”超期未答复，不符合相关程序中对答复期限的要求。

进一步调查发现，实际生产过程中，会因各种客观因素，如措施协调需要更长的时间，措施落实涉及周期很长的其他过程(如招标采购过程),或因疫情影响等导致“纠正措施申请单”需延期答复，现行质量程序已对延期的申请流程进行了策划，但在设计信息化系统功能时未加入延期申请功能。从而导致信息化系统内的因客观因素需推迟答复的“纠正措施申请单”无法延长答复期限，从而造成与程序要求相悖的情况。

设计信息化系统的电子化流程时，需全面考虑系统流程和逻辑关系、现有质量程序要求和生产过程实际情况的符合性和兼容性，在投用前应组织流程推演，确保实际可操作性。

2.3 案例3:利用信息化系统权限漏洞违规修改电子化数据

问题描述：审核发现，某些人员利用当前的“数据维护申请”方式申请修改生产记录中已归档的电子化数据，与相关记录控制程序的要求：“已归档的数据不能修改，只能补充勘误说明”不符。

进一步调查发现，这些不符合程序要求的数据维护申请来自于生产、检验部门人员，用于修改已装配的装配、检验相关文件记录。从问题发生的范围和频率来看，问题涉及部门广泛、类似申请的数量也很多，可见该错误行为已成为常态。从问题实质内容来看，主要分为修改归档状态记录和撤销已归档记录的归档状态(在未归档状态下可由申请人员自行修改数据)。从问题发生的原因来看，主要是在归档后修改填写时的笔误和补充漏填写的信息。从流程完备性角度看，现行数据维护申请流程设置了领导审批环节，但审批领导未尽到监督方的职责，对违反程序要求的申请仍予以放行；对于数据维护申请，现行信息化系统的权限设置存在疏漏，让数据维护申请人有跨过相关人员的监督审核，直接流转至数据维护工程师处完成了非法的数据修改。

上述问题的原因主要体现在客观存在的人为失误，信息化系统存在缺陷，数据维护流程存在漏洞，程序要求存在缺失和领导监管责任落实不到位几方面。因此应优化信息化系统功能，加入防错机制，在漏填数据时无法归档，在数据填写错误时给出预警；要求相关人员在记录填写后应认真检查，确保核对无误后，再确认工序结束及完成归档；对相关记录填写人员进行培训，建立充分的质量意识，明确责任和惩戒机制；同时要杜绝质危害产品安全的质量不诚信行为；要求相关部门完善数据维护程序流程要求，默认强制由指定部门会签。

3 内部审核问题特点的思考

信息化系统引入企业生产、运营的初衷是为了降低人为因素影响、减少人为失误、提升生产效率和效益。但显然，新的信息化系统、方法、工作模式和工作流程的引入，同样带来了很多质量管理体系的问题。

首先，信息化系统的主要目标就是降低错误率和提升效率，因此在策划信息化系统时，必须考虑建立防错和预警机制。比如对生产数据的电子记录应设计相关防错功能，以应对客观存在的人为失误导致生产数据填写错误的情况。

其次，基于信息化系统运行质量流程要比原先的实体化的运行方式更便捷，降低了使用纸质载体传递数据信息丢失、泄露的风险，相比人为传递信息也提升了流程运行效率。但是，不论原先的质量流程繁简与否，在设计质量过程的信息化系统时，应仔细分析原质量过程控制程序的流程逻辑和控制要求，以确保信息化系统流程与程序的符合性。同时应充分考虑该信息化系统实际运行时的衍生问题，建议新的信息化系统上线前应组织专业团队进行评审，落实改进意见，并进行充分的试运行，以查漏补缺，确保兼容性和可操作性。应建立信息化系统功能优化机制，当使用者发现信息化系统存在问题时，应有相关流程来确保问题得到及时的识别、上报和解决。

最后，信息化时代的数据安全也是企业必须考虑的因素。信息化系统的电子化数据具有可修改的特性，在设计信息化系统时，要考虑限制不同用户群的数据修改权限。尤其是涉及产品生产和产品安全或程序已明确要求禁止修改的数据，应建立完备的数据保护机制，封闭全部的流程漏洞。同时加大培训力度，提高相关人员的质量意识和产品安全意识，从根本上杜绝质量不诚信行为。

4 下一步展望

未来，随着计算机、互联网的技术升级，人工智能、云计算、大数据的深度和广泛运用，信息化系统将在工业生产、公司运营中承担更多、更复杂、更重要的任务。

根据上文的思考，显然对于每一个新上线的信息化系统，不论是该系统的策划者，使用该系统的过程所有者，都应将该系统与质量程序的符合性放在第一位，即信息化系统只能在质量管理体系框架内运行，其功能不能脱离质量管理体系要求的限制。信息化系统上线前，应组织专业团队进行评审，落实改进意见，各项功能应接受全面、充分的测试，并及时采纳用户的意见，保持系统功能的持续维护和改进。更复杂的系统意味着潜在的更多漏洞，应及时查漏补缺，建立有效的数据保护机制保护数据安全。否则，必将对质量管理体系运行和产品安全造成影响。

参考文献

[1] 肖婷，白琰，潘奕飞，等.信息化、智能化对企业创新和产业发展的影响——以第三、第四次工业革命下的高端装备制造业为例[J].经济研究参考，2020,(3):60-61.

[2] 张智勇.ISO9001:2015内审员实战通用教程[M].北京：机械工业出版社，2016:165-172.

[3] 刘春玲，韩笑梅.内部质量审核系统分析的研究[J].沈阳航空航天大学学报，2013,30(5):92-93.