IATF 最新更新揭示的审核期望

除了更新内容本身，我们还采访了 DQS 公司汽车行业经理Jorge Correa。在这个职位上，Jorge 与汽车企业和审核团队紧密合作，这使他对当前 IATF 期望的应用情况以及企业最常遇到的挑战有了实际的了解。

Jorge 并没有重述这些变化，而是分享了他对审核人员关注的重点、企业倾向于低估期望值的地方以及最常出现实施差距的地方的见解。以下要点反映了他从近期审计和客户互动中观察到的情况。

应急计划不再是理论

在最新的 IATF 认可解释中，最明确的重点之一就是应急计划。虽然这一要求本身并不新鲜，但围绕范围、测试和证据的期望已变得更加明确，而且在审核过程中得到了更严格的评估。

特别是，最近的 IATF 认可解释修订和审核实践越来越强调以前隐含但没有明确说明的情况，最明显的是流行病和网络相关干扰。

审计中越来越关注的不仅仅是应急计划中是否列出了这些风险，而是组织是否能证明其计划经过了测试并具有可操作性。

审计人员越来越多地在寻找证据，证明测试在完成演习之后还能带来学习和改进。

"他们需要某种类型的报告或同等的客观证据，表明他们进行了哪种类型的测试，以及根据测试结果采取了哪些行动"。

豪尔赫-科雷亚（Jorge Correa）认为，一个常见的挑战是，企业经常会开展一些有意义的活动，但却没有完整地记录下来，也没有将这些活动与基于风险的决策联系起来。

"有时，他们不会将自己所做的事情归功于自己，也不会将这些事情记录在案"。

对于准备接受即将到来的审计的组织来说，这意味着应急措施要作为一个活的流程来评估，反映当前的风险，纳入现实的测试，并展示后续行动。

网络安全期望正在扩展到 IT 之外

各组织越来越关注的另一个审计领域是网络安全。虽然网络安全已经成为 IATF 讨论的一部分有一段时间了，但最新的解释强化了这一点，即网络安全不再被视为孤立的 IT 问题。

相反，网络安全越来越多地被评估为运营和业务连续性风险，尤其是在涉及制造设备、生产系统或互联技术的情况下。

正如豪尔赫-科雷亚（Jorge Correa）所解释的那样："网络攻击是一个不断发展的领域......可能需要更频繁地进行审查，以确保每个人都能跟上时代的步伐。

从审计的角度来看，各组织应展示出对网络相关风险的持续认识和审查。审计人员正在寻找证据，以证明网络安全考虑因素已被纳入更广泛的风险分析和应急计划中，特别是在中断可能影响产品合格性或交付的情况下。

对企业来说，这进一步说明网络安全不再仅仅通过政策或 IT 控制来评估。人们越来越多地从基于风险的思维、运营影响和准备的角度来看待网络安全，并期望审查是最新的、相关的，并与现实世界的情景相联系。

这种脱节往往在高风险领域更为明显，因为审计人员希望风险识别、纠正措施和后续行动之间有更清晰的联系。如果缺乏这种联系，即使基本意图或努力是正确的，也更有可能出现不符合项。

对于准备接受审核的组织来说，信息是直截了当的：仅有良好的意图是不够的。重要的是能够以符合基于风险的期望和审计证据要求的方式，展示决策、行动和有效性。

风险导向思维正在塑造审计深度和重点

贯穿最新 IATF 解释的一条共同主线是，更加强调以风险为基础的思维，将其作为审计重点和深度的实际驱动力。

审计人员应根据风险最高的地方和历史上出现过绩效问题的地方，确定时间和审查的优先次序。

正如豪尔赫-科雷亚（Jorge Correa）所观察到的，这种转变已经在满足最低要求的组织和主动管理风险的组织之间形成了明显的区别。

"你会看到两种类型的组织：一些组织会做最基本的合规工作，而另一些组织则会做得更多。

从审计的角度来看，这意味着对风险较高、性能较弱或对产品符合性和交付有较大潜在影响的流程给予更多关注。

"IATF始终希望看到组织对其风险有非常清醒的认识"。