RB／T 074-2021  认证机构认证责任管理实施指南

6.2.1认证风险识别

认证机构是认证活动实施主体，需履行认证责任。认证机构宜考虑认证实施的全过程并从下列方 面识别和分析认证风险： a）法律法规和规则符合性风险； b）诚信风险； c）获证组织运行及结果与认证准则偏差的认证有效性风险； d）机构自身运行和人员能力不足风险； e）其他。 认证机构的风险类别清单示例见附录B

建筑安全管理6.2.2认证风险评价

认证机构开展认证风险评价时宜充分考虑风险发生的概率和后果的产重程度。由于认证机构的风 险难以进行定量估计，因而通常采用风险坐标图评价方法，通过将识别到的风险因素按照其发生可能性 的高低和发生后对目标的影响程度，可将6.2.1识别的认证风险定性或定量地绘制在直角坐标系的平 面上，按照表1中评价等级对其进行评价，最终得出认证机构的风险评价结果。

表1认证风险因素的评价等级

6.2.3认证风险管理策略

认证机构宜根据风险评价的结果，制定并执行一种或多种适宜措施以管理认证风险。可来取的控 制措施包括但不限于： a）对于不可容许/重大风险事件和管理薄弱环节，可建立特别管理目标，围绕关键因素进行机制 和制度设计、培养人员意识和能力以及采取其他必要的措施，确保对此类高风险事件的有效 控制； b 对于中度风险，宜在内部相关的职能和层次明确责任对象，并将风险识别的结果和选择的控制 措施通报给有关责任对象，由其严格执行控制； 对于可容许/忽视风险，宜按照内部自身情况和风险偏好进行控制。

6.3.1认证责任落实

6.3.2认证机构的人员培养

6.3.3认证过程管理

认证机构管理 汇在认 验防控的实施。这些过程包括但不限于下述环节 a）合同受理和评审活动

RB/T 0Z42021

b）审核/检查/审查方案策划活动； c) 审核/检查/审查组委派活动； d）审核/检查/审查实施活动； e） 认证决定活动； f) 分包活动（适用时）； g）认证档案管理过程； h）对获证组织运行规范性所进行的多种方式的监督； i) 审核/检查/审查员行为规范的监督和认证人员能力持续提升； 1 对与认证相关的任何外部信息的持续收集和监视

认证机构宜策划并实施一系列应对异常状况或突发事件的准备和响应措施，以控制这些状况和事 给认证机构、行业或社会带来的不利影响。措施的内容可包括： a）对实际发生的异常状况或突发事件做出及时响应； b）措施需与危机事件的程度相适应。处理过程需充分考虑并预见处理过程和结果可能带来的后 续影响，预防事件进一步扩大或恶化； c）采取有效的纠正措施，保持与相关方（包括政府主管部门、认可机构等）的积极沟通，以获得相 关方理解； d)1 保存完整的处理记录，以便向外部提供有效处理的证据并有利于机构持续改进； e)1 可行时，定期对危机管理措施进行评审，并在机构内部进行全员培训； D 当风险事件涉及获证组织时，认证机构需及时对该组织相关的认证证书采取处理措施

认证机构宜有效运行监督机制和制约机制，防止制度、规则运行出现偏差或失控，采用的措施包括 但不限于： a）在可能发生认证风险的关键环节设置独立和相互制约的决策和批准职能。认证机构管理者需 支持各职能岗位人员履行他们的风险防控职责，需要时，直接参与相关决策； b) 通常情况下，上级人员不宜影响、暗示或干涉职能岗位人员作出的风险判定和处理。对于超出 机构高级管理者或机构内部专业人员知识和能力范围的风险，宜主动寻求外部支持，包括与政 府主管部门、认可机构、协会或相关专业组织进行沟通并获得他们的帮助； c）衣 在总部和分支机构设置特定且独立的监督职能； 设置外部信息收集职能、适用性分析职能和预警职能（如获取并分析政府产品监督抽查结果的 信息）； e) 根据外部风险形势，实施以风险防控有效性为导向的内部专项审核； f) 建立认证人员现场审核行为和审核过程规范性的监督约束手段（如信息化签到、审核员提交经 被审核组织确认的认证行为规范性自我声明、进行获证组织满意度调查等）； g) 配置具备能力的人员，严格评价认证过程记录符合性，实施独立的认证决定； h) 建立并运行风险防控奖惩制度，把认证人员的意识能力、行为表现和工作绩效与薪酬、奖罚、职 业发展机会相关联，对发生风险、不执行制度或规则的人员进行处罚。 在机构各层级定期进行风险形势分析，定期汇总疑难案例并对当时相应处理方式的适宜性进行再 评估。评估结果宜进行内部通报，作为相关岗位处理类似问题的指南，必要时，纳入内部制度规则，以持 续改进。

7.1.1责任追溯机制的建立

责任追溯的核心是判定认证机构和认证人员是否完整准确地按认证规则履行了自身责任。宜从对 事件现象或结果的分析入手，追究到对相关工作环节和岗位人员行为的具体判定，最后对人员意识、能 力和/或管理制度的完整性进行确认，进行逆向追溯，确定最终责任。 认证机构宜根据自身实际建立适合的责任追溯机制，以便在发生认证风险或形成认证风险事件后 有效地进行认证责任追溯。认证责任追溯报告示例详见附录C

7.1.2责任追溯时机

责任追溯通常由三种情形引发： a 获证组织发生事故（如质量、环境、安全事故），外部相关方（媒体、政府或其他组织)质疑其认证 符合性证明文件的真实性、有效性； b）行政监管发现获证组织不符合认证依据： C）行政监管或机构自查发现认证过程不符合法规或认证实施规则。

7.1.3责任主体的确定

7.1.3.1认证机构的责任

性评价。当认证机构未能够合规、完整地开展认证认证活动从而产生风险事件时，认证机构承担主体责 任。此时认证机构管理者需组织调查分析并根据结果进行责任追溯，界定内部责任并采取纠正措施，以 此改进内部管理并应对可能由此带来的外部处罚。 通常情况下，认证机构不能完全免除对认证人员进行有效管理的责任。除非调查结果证明，认证机 构管理确已尽责，因认证人员个体原因（如违法）产生了风险事件，此时由认证人员承担全部责任。认证 机构内部认证责任划分示例详见附录A。 认证活动的分包活动属于整个认证活动的重要环节，认证机构宜采用合约或其他方式与分包方就 认证活动中各自承担的责任范围达成一致。分包机构偏离运行目标所产生的后果一般由认证机构首先 承担主体责任，并由认证机 亍责任道溯

7.1.3.2其他责任

当认证机构证明自身确已尽职履责，发生风险事件源于获证组织或其他外部机构的非诚信行为时， 可判定认证机构非认证责任的主体。此时，认证机构宜理清自身与外部的责任关系，采取措施协助降低 乃至消除影响。同时根据认证合同或相关协议，对获证组织或其他相关方不履行合同要求和认证要求 的行为追究违约责任。获证组织的责任见附录D

任风险事件发生后，认证机构宜采取措施对制度规则进行完善，形成认证责任管理闭环。

认证机构宜保留风险事件处理过程、问题分析、责任界定和处理结果的成文信息，保留的形式包括

电子、硬拷贝或者纸质档案，保存期限宜符合法规或相关规则的规定。

认证机构宜对认证责任管理确定绩效目标，并定期进行监视、测量，通过适当的分析和评价确定并 实施改进措施，以持续提升绩效。开展绩效评价和确定并实施改进措施可包括： a）评价认证责任管理的现状，并对照绩效目标进行评价； b）识别认证责任管理中存在的问题，并对问题进行分析； c）根据评价结论，为提高管理绩效而确定并实施改进措施。 认证机构宜动态更新认证责任管理绩效目标并不断完善责任管理机制，以实现持续改进。认证责 任管理的绩效评价与持续改进报告示例详见附录E。

附录A （资料性） 认证机构内部认证责任划分示例

认证机构内部认证责任划分

认证机构的认证责任包括认证机构的过程管理责任和认证人员的实施责任。认证机构制定 善的流程程序、控制规则，是认证机构对认证全过程进行有效管理的责任；认证人员依据规则相 的程序、步骤、方法、时间进行管理控制，具备能力的审核组对照认证依据文件要求对获证组织 实施现场审核/检查，进行真实和客观公正的评价，这是认证人员实施认证活动的责任。

2认证机构过程管理责任

无效，X 此认证机构须承担过程管理责任， 认证机构过程管理责任包括制度规则完善性责任和治理结构缺失责任

2.1制度规则完善性责任

认证机构对由于制度规则不完善造成的后果承担责任，包括但不限于以下事件引发的责任： a 公开文件、认证合同、审核过程准则、审核/检查文件和记录、认证决定、认证证书或相关 报告等文件内容或记录内容不符合相关认证实施规则或其他法规，不合理地增加要求或 相关内容缺失、错误、虚假； b） 认证过程管理、人员管理，包括机构的相关制度文件内容违反、遗漏或没有充分满足法规 要求及公正性要求。

2.2治理结构缺失责任

认证机构对未充分设置控制环节并安排具备能力的岗位人员以执行制度规则，造成没有达到 预期控制目标的后果承担责任，包括但不限于以下事件引发的责任： a）过程管理缺失，包括在合同评审、审核方案策划、审核组成员的选择和委派、文件审核、第 一阶段审核过程、第二阶段审核过程、审核报告提交、不符合项纠正和验证、认证决定、证 书制以及监督或再认证活动等各环节中出现遗漏、失控或结果差错； b）人员能力缺失，包括对机构聘用的认证人员（包括合同评审人员、审核方案制定人员、审 核员/检查员、认证决定人员、技术专家)的能力评价依据不足、内容遗漏、评价结果失真； C）对分包方（如，分包实验室）管理失控

3.1内部认证流程控制实施责任

认证人员对准确、完整地进行认证全流程控制过程承担实施责任，包括但不限于因未履行下 列要求而引发的责任： a） 获证组织提交的相关资料的完整性、充分性审查和控制； b) 准确识别和界定申请认证范围涉及专业领域； c) 依据获证组织提交的相关资料，准确制定审核方案，包括确定审核人日，全面覆盖审核范 围的产品、区域和活动，审核组组成人员具备充分能力； d) 充分考虑审核组成员执行审核任务所需的行程安排的适宜性； e) 认证决定实施过程的充分性和准确性； f) 认证证书制的完整性和准确性； g) 保持监督和/或再认证时间间隔的合理性和有效执行； 监督和/或再认证前，对涉及认证的变化信息进行收集、识别、评价的充分性； 认证证书暂停/恢复、撤注销认证的及时性和手续完整性； 1)认证信息披露的及时性、准确性

3.2审核人员现场审核实施执行责任

审核组成员对实施现场审核、评价承担实施责任，包括但不限于以下事件引发的责任： a）真实诚信、充分完整地实施审核； b) 准确界定和确认认证范围； c)7 准确界定和确认认证范围涉及的区域、地域、主要现场、分现场； d)3 全面评价和确认认证范围涉及的相关法规的符合性证据； 全面评价和确认相关作业活动、过程活动和控制活动与标准符合性证据，包括对活动/人 员/设备的抽样合理性，确认作业文件/技术规范的完整性和准确性，核实作业人员资格/ 能力验证，设备、设施、材料、环境的符合性； f) 审核记录对审核结论的充分支撑，包括记录的真实、客观、可追溯，以及评价的准确完整； g) 审核过程各环节的完整，包括见面会、总结会和现场审核活动； h) 遵守审核时间安排； 及时向机构报告在审核现场发现且超出审核组权限的事项、事实，如组织的人数、认证产 品、活动区域与审核任务的差异，以及现场发生的、影响到现场审核进行的突发事件； J) 履行认证人员行为规范，包括但不限于公正地实施审核和评价，不收受礼品礼金，不报销 与审核无关的票据，不接受娱乐宴请等。

1法律法规和规范性文件的合规风险

附录B （资料性） 认证机构的风险类别清单示例

区XX认证公司风险类别清单

在认证机构层面通常表现为因价值定位偏离、商业模式缺陷、机构能力不足、人员意识偏差和 行为失控等而导致违反认证适用的法律、法规和其他要求建材标准，以及认证活动超越资质范围或认证活 动未能有效识别和评价涉及行业特定的社会影响和特殊要求（如获证组织的生产涉及行政许可， 产品涉及食品卫生、人身安全要求等）。

诚信风险主要分为以下三个层面： 认证机构层面：通常表现为隐满自身能力不足而提供认证服务，发放带相关标志的证书； 安排不具备资质和能力审核员进行认证活动；为经济利益不顾规则的规定发放证书； 审核人员层面：主要表现在不到审核现场、任意缩短审核时间或减少审核人日，收受礼金 而降低认证标准、违反审核客观公正原则等。机构相关层级管理者和/或认证相关环节 员工违反规则/制度要求处理与认证有关的事宜； 相关方层面：主要表现为获证组织等相关方提供虚假信息或资料、故意欺骗认证机构或 审核人员致使未达到认证标准而骗取认证证书，隐瞒组织内部或外部情况发生的重大 变更。

认证有效性风险主要分为以下三个层面： 认证机构层面：通常表现为认证过程管理控制不符合相关规则，由于过程不规范而导致 认证结果有效性不足； 审核人员层面：通常表现为不能客观、完整、准确、专业地实施审核，能力欠缺或不足，未 发现获证组织运行和结果与认证标准要求的偏差，导致评价结果和审核结论失实； 获证组织层面：通常表现为不能持续保持符合认证标准要求的认证状态。

能力不足的风险主要分为以下三个层面： 认证机构层面：人力资源和其他必须的资源配置不满足认证需求，未对认证人员实施有 效的防范风险培训，人员风险意识缺乏； 管理人员层面：不能准确掌握和执行法规和相关规则，不能有效实施认证管理以及人员 能力分析与评价； 审核人员层面：专业能力和审核能力不足，不能有效实施审核，不能发现获证组织运行和 结果与认证标准的偏差，导致评价结果和审核结论失实。

RB/T0742021

附录C （资料性） 认证责任追溯报告示例

复行社会资在等方面付合法规或标准要求而 被视作其主体责任。 当因获证组织未按认证机构要求提供真实、全面的信息而造成认证机构未能真实反映认证内容的 符合性时，获证组织作为责任主体需承担责任。 当获证组织在获证范围内的产品质量、安全生产、环境保护等方面发生事故时，获证组织作为责任 主体宜承担其责任。此时对认证机构而言景观标准规范范本，则宜在责任追溯的基础上，根据调查其在认证过程中的履责 情况，对认证机构自身是否承担认证责任及责任大小进行认定和界定。

[1]GB/T27914—2011企业法律风险管理指南 [2】GB/T35245一2017企业产品质量安全事件应急预案编制指南