ICS 03. 120. 20 CCS A 00 团 体•标 准 T/CCAA 36—2022 代替T/CCAA36—2020 认证机构远程审核指南 Guidelines on remote auditing for certification bodies 2022-5-31发布 2022-5-31实施 中国认证认可协会 发布 T/CCAA36—2022 认证机构远程审核指南 1范围 本文件为认证机构实施远程审核提供了审核原则、审核方案管理、审核实施、审核能力、审核评价 与改进的指南。 本文件适用于认证机构开展管理体系认证、产品认证和服务认证的远程审核活动，也可供其他类型 的审核活动参考使用。 注：远程审核的适用范围包含但不限于公共卫生事件、出行限制、自然灾害及其他限制性情况的发生，导致审核员 无法到达受审核方场所实施审核的情况。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件： 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T19000质量管理体系基础和术语 GB/T19011一2021管理体系审核指南 GB/T23694风险管理术语 GB/T27000合格评定词汇和通用原则 document for the use of information and communication technology （ICT）for auditing/assessment purposes) 3术语和定义 GB/T19000、GB/T19011一2021、GB/T23694、GB/T27000、IAFMD4：2022界定的以及下列术语 和定义适用于本文件。 3. 1 远程审核 remote auditing 应用信息和通信技术（ICT），全部或部分的在受审核方实际场所以外任何地点获得客观证据、形成 审核发现，以确定满足审核准则程度所进行的系统的、独立的并形成文件的过程。 注1：ICT是应用技术来收集、存储、检索、处理、分析和发送信息，它包括软件和硬件，例如：智能手机、手持设 备、笔记本电脑、台式电脑、无人机、摄像机、可穿戴技术、人工智能及其他［IAFMD4：2022，0.2]。 注2：远程审核可以是审核员在受审核方某一场所对其他场所的人员、活动或过程进行的审核，也可以是审核员不在 受审核方场所对受审核方的人员、活动或过程进行的审核。 注3：GB/T19011一2021的A.16对远程审核与虚拟场所审核进行了说明。虚拟场所的审核有时称为虚拟审核。关于虚 拟审核，可参考GB/T19011一2021中的有关内容。 1 T/CCAA 36—2022 4远程审核原则 4.1总则 本条款在GB/T19011一2021第4章的基础上，对其进行了补充和说明。 注：本文件4.2、4.3是分别对GB/T19011一2021第4章d)、g)的进一步说明，4.4是对GB/T19011一2021第4章的补 充。 4.2信息安全性与保密性 应用ICT实施远程审核，确保电子信息或电子化传输信息的安全性、保密性和数据保护非常重要。 认证机构宜考虑与安全性、保密性和数据保护相关的法律法规和客户要求，针对审核中应用ICT遵守信 息安全与数据保护的措施和规则，在ICT应用于审核之前，与受审核方相互达成一致意见。 注：在某些情况下，出于信息安全性要求的考虑，审核过程不允许使用ICT，可能导致无法实施远程审核 4.3基于风险的方法 应用ICT实施远程审核，认证机构宜对实现审核目标有影响的风险加以识别、评估和管理。风险可 能与下列方面有关，包括但不限于： 一一审核类型； 一一所审核活动/过程和场所的复杂性、代表性； 一ICT的选择； 一ICT所需的资源与条件； 一一审核组应用ICT获取审核证据的能力： 一一信息处理和分析的能力； 一一电子信息或电子化传输信息的真实性、完整性； 一其他支持条件。 4.4持续改进 认证机构宜根据远程审核活动评价的结果，持续改进远程审核的充分性、适宜性与有效性。 5远程审核方案的管理 5.1总则 认证机构宜建立远程审核方案，该方案在符合GB/T19011一2021中5.1相关内容的同时宜考虑本 文件对远程审核提出的特定因素的建议，这些因素包括但不限于： 与远程审核方案有关的风险（见5.3）及应对措施； 一远程审核的信息安全和保密原则（见4.2)； 一一实施远程审核的能力（见第7章）。 注：认证机构宜不断监视和测量审核方案的执行情况（见5.6），以确保实现其目标，并定期开展审核方案的审查工 作，以便确定变化的需要和可能的改进机会（见5.7）。 5.2实施远程审核的条件 当下列（但不限于）情况得到满足时，认证机构可实施远程审核： a）实施远程审核所需的信息是充分的；