RB/T 073-2021 认证机构风险管理指南.pdf
- 文档部分内容预览:
RB/T 073-2021 认证机构风险管理指南
a)发展阶段、业务范围、管理成熟程度、组织结构; b)资源与认证机构人员的能力; c)业务流与信息系统、数据的适宜性; d)内外部利益相关方的影响
认证机构宜具备管理风险的职能与责任,并具 保应对措施的充分、有效的能 力。职能与责任可通过以下途径实现: a) 确定风险的拥有者及其责任; b) 确定负责建立、实施和保持风险管理的人员; c) 确定认证机构所有层次人员在风险管理过程中的职责; d) 确定绩效评价、内外部报告、逐级报告程序; e)确定责任的适宜程度
根据框架的设计起重机标准规范范本,为风险管理活动配备以下适宜的资源: a)具备相关技术、经验和能力的人员; b)必要的资金; c)管理认证风险的知识、方法和工具; d) 认证过程的文件化信息; e)对风险进行动态管理的信息系统。
认证机构进行风险管理文化培育时,宜考惠以下因素: a)将风险管理意识和知识融人其组织文化当中; b)通过培训教育,提升全员的风险管理意识和能力; c)通过全员广泛参与风险管理,提高对内外环境变化的敏感性; d)通过绩效考核、检查等措施,持续对其风险管理体系进行改进
5.3.5沟通与咨询机制
认证机构宜建立沟通与咨询机制,内容包括但不限于: a)特定风险责任人的信息共享; b)风险管理参与人的信息反馈; c)与内外部利益相关方进行沟通; d)向专业人员进行咨询。
a)为所有人员提供履行其职责所需的适当权限和资源
RB/T 0732021
b)制定风险管理方针、程序、措施、操作规范等,并文件化; ) 掌握认证机构面临的各项重要风险及其风险管理现状,并做出有效的决策; d) 遵循风险识别、分析、评价的过程步骤,建立风险评估过程; e) 针对每项活动的性质和规模,基于风险评估的结果制定风险应对的方案; f) 形成风险管理报告; g)风险管理信息的沟通机制有效运行
5.5.1认证机构宜建立风险管理评价机制,对风险管理内外部环境适应性和风险管理有效性进行 评价。
5.5.1认证机构宜建立风险管理评价机制,对风险管理内外部环境适应性和风险管理有效性进行 评价。 5.5.2认证机构宜建立风险管理持续改进机制,对风险管理框架进行持续改进,
6.1.1认证机构风险管理贯穿于认证机构决策、经营管理及业务活动的各个环节。业务活动通常包括 申请、申请评审、评价(审核)、复核、认证决定、认证文件、监督、记录、投诉与申诉等。 6.1.2认证机构风险管理过程包括确定风险的范围、环境和准则、风险评估、风险应对、沟通与咨询、监 督与检查、记录等相关过程的实施步骤(见图1)
险管理过程实施步骤示
6.2确定风险的范围、环境和准则
认证机构宜确定其风险管理活动范围并形成文件,文件内容包括但不限于: a 需要达到的目标和做出的决定 b)采取的方式; c)时间、地点; d)适当的风险评价工具及技术; e 需要的资源和保持的记录; f)与其他目标、过程及活动的关系。
6.2.2.1外部环境
6.2.2.2内部环境
认证机构的内部环境包括但不限于: a) 愿景、使命、价值观; b) 治理与组织结构; c) 战略、目标、政策; d) 组织文化; e) 业务流程、认证规范及程序设计; f) 从业人员能力; g) 自身经营情况; h) 对国家法律法规、认可规范、行业自律要求及与认证相关方协议要求的遵从情况; i) 对认证人员能力、身体条件、职业道德和行为规范的要求; j) 审核过程中出现的人员伤亡事件。
3.2确定准则宜考虑的因素包括但不限于: a)风险发生的可能性及影响结果;
2.3.1确定认证机构风险的准则宜体现认证机构对风险管理的目标、价值观、资源、偏好和承受度 2.3.2确定准则宜考虑的因素包括但不限于: a)风险发生的可能性及影响结果:
b)风险分类及重大风险确认的原则; c 风险等级及等级划分标准; d)客户及利益相关方可接受的风险水平; e)认证机构对风险的偏好和容忍度。
b)风险分类及重大风险确认的原则; c)风险等级及等级划分标准; d)客户及利益相关方可接受的风险水平; e)认证机构对风险的偏好和容忍度,
风险评宿其有系统性、送代性和协 包括风险识别、风险分析和风险评价三个环节。风
6.3.2.1风险识别方法
认证机构的风险识别方法包括但不限于: a) 业务过程分析; b)卷调查; c) 获取外部信息; d)查阅历史记录; e) 申投诉事件分析; f)专家意见。
6.3.2.2风险事件收集
认证机构的风险事件收集渠道包括但不限于: 行业奥情调查; b) 外部监督检查; c) 内部信息通报; d)利益相关方反馈; e) 用户申诉与投诉。
6.3.2.3形成风险清单
宜将识别的风险和收集的风险事件形成认证机构风险清单(示例见附录A),风险清单应考虑的内 容包括但不限于: a)风险类型; b) 风险来源; C) 风险事件; 风险性质; e)后果影响。
可采用定性或定量的方法开展风险分析,包括但不限于
6.3.3.2可能性分析
认证机构发生风险的可能性包括但不限于: a) 几乎肯定; b) 很可能; c) 可能; d)不太可能; e)罕见,
6.3.3.3后果分析
认证机构发生风险所导致的后果包括但不限于: a)法律责任; b)声誉受损; c) 经济受损; d)资质暂停、撤销或注销; e)人员资格被撤销
可按文,衣 现风险的排序分布,以支持决策。 6.3.4.2认证机构宜根据内外部环境和内外部利益相关方对风险的感知,决定对风险是否进一步采取 行动、如何制定应对策略、维持现有控制还是重新考虑目标(见B.4)
认证机构对风险或者风险事件采取相应措施,将风险控制在认证机构可承受范围之内。风险应对 包括选择策略、应对准备、制定和实施计划三个环节
认证机构的风险应对策略包括规避风险、降低风险、转移风险、接受风险和其他策略,可将其单独或 组合使用。认证机构选择风险应对策略时,宜考虑但不限于: a)认证机构的目标、核心价值观和社会责任等; b)认证机构对风险的偏好和承受度等; c)实施成本与预期收益。
认证机构对风险应对的现状进行评估,了解应对现状存在的不足和缺陷,为制定风险应对计划提供 支撑。应对准备考虑的因素包括但不限于
a) 公正性是否受到影响; b) 资源配备能否满足需要; c)职责权限是否明确; d)认证过程是否合规有效; e)内部管理是否健全。
a) 公正性是否受到影响; b) 资源配备能否满足需要; c)职责权限是否明确; d)认证过程是否合规有效; e)内部管理是否健全
6.4.4制定和实施计划
6.4.4.1认证机构的风险应对措施通常包括但不限于以下类型!
a) 资源配置类; b) 制度流程类; c)标准、规范类; d)技术手段类; 培训与演练类。 6.4.4.2 认证机构确定风险应对措施类型后,宜制定风险应对计划。内容包括但不限于: a) 机构、人员、职责及奖惩机制; b) 应对措施涉及的具体认证业务及活动; 报告和监督检查的要求; d)资源及配置方案; e) 具体实施步骤; f) 实施时间表。 6.4.4.3风险应对的实施是一个迭代的过程,宜根据内外部风险环境的变化对制定的风险 划进行调整,以确保风险应对结果的有效性。
.4.4.3风险应对的实施是一个送代的过程,宣根据内外部风险环境的变化对制定的风险应对措施计 刻进行调整,以确保风险应对结果的有效性
认证机构宜建立机制并开展内外部沟通与咨询,沟通与咨询内容包括但不限宇: a)与利益相关方进行有效的沟通与咨询,保证其了解认证活动可能造成的风险及对机构带来的 影响; b)在认证机构内部建立沟通机制,并开展有效沟通与咨询,以支撑认证机构自身的决策; c)建立与相关管理部门的沟通机制,以持续改进其风险管理活动。
6.6.1认证机构应跟踪外部风险环境的变化,及时对监督和检查认证风险管理流程的运行状况进行监 督与检查,确保风险应对计划的有效执行及持续改进。 6.6.2认证机构开展风险管理监督与检查的内容包括但不限于: a)内外部认证风险环境的变化; b)监测认证活动风险事件;
.6.1认证机构应跟踪外部风险环境的变化,及时对监督和检查认证风险管理流程的运行状况进 与检查,确保风险应对计划的有效执行及持续改进。
6.2认证机构开展风险管理监督与检查的内容包括但不限于: a)内外部认证风险环境的变化; b)监测认证活动风险事件; c)对照认证活动检查与计划的偏差; d)执行进度和管理方针的遵循情况; e)实施认证风险管理绩效评估,
认证机构宜记录并保存实施风险管理活动的相关记录,记录保存宜考虑的因素包括但不限于,
a)认证机构管理目的; b) 分析和调整风险管理措施; c) 风险管理活动可追溯; d)有效沟通; e)法律法规; f) 认证机构持续学习; g)所需的文件化信息,并规定期限
a)认证机构管理目的; b) 分析和调整风险管理措施; c) 风险管理活动可追溯; d)有效沟通; e)法律法规; f)认证机构持续学习; g)所需的文件化信息,并规定期限
附录A (资料性) 认证机构风险清单示例
认证机构风险清单示例见表A.1,
RB/T 0732021
附录A (资料性) 认证机构风险清单示例
附录A (资料性) 认证机构风险清单示例
表A.1认证机构风险清单示例
表A1认证机构风险清单示例(续)
合内外部环境及其变化梳理自身的相关风险 注2:认证机构可参考本表制定自身的风险指标体系,但本表并无意推动认证机构风险管理的统一,认证机构 根据自身情况考虑。 注3:各项指标的权重由认证机构根据自身情况确定,可采用层次分析法计算
认证机构风险分析及评价示例
本附录以附录A中“合规风险”为例,采用统计学方法(矩阵法)对认证机构风险分析及风险评价进 行举例。
B.2可能性及后果分析
认证机构参照本文件正文“可能性 (6.3.3.3)中的指标,结合自身的风 险的偏好、发展现状等,用0、1、 值(表B.1、表B.2)
路桥施工组织设计 合规风险的可能性分机
表B.2合规风险的后果
依照表B.1和表B.2的赋值结果,测算附录A合规风险”中每项三级指标对应的风险指数,测算公 式为:风险指数=可能性*后果。测算结果见表 B.3
表B.3合规风险指标的风险指数测算及结果
表B.3合规风险指标的风险指数测算及结果(续)
确定了认证机构发生合规风险的风险指数(表B.3)后,认证机构参照6.3.4"风险评价”要求,将风险 指数与确定的风险准则相比较,确定该风险是否可接受,表B.4给出认证机构合规风险的风险评价 示例。
服务质量标准表B.4合规风险的风险评价示例
[1」GB/T19001—2016质量管理体系要求 [2]ISO31000:2018(E):Riskmanagement—Guidelines [3] GB/T27021.1一2017合格评定管理体系审核认证机构要求第1部分:要求 [4]GB/T27065一2015合格评定产品、过程和服务认证机构要求 5 GB/T27914—2011企业法律风险指南 GB/T24353—2009风险管理原则与实施指南 [7】目存岩,韩旭军,王大军.风险管理基础知识.北京:经济管理出版社,2018.
....- 相关专题: 认证机构