RB_T 0732023 认证机构风险管理指南.docx

《RB_T 0732023 认证机构风险管理指南.docx》由会员分享，可在线阅读，更多相关《RB_T 0732023 认证机构风险管理指南.docx（19页珍藏版）》请在第一文库网上搜索。

1、IC,S03.120.20CCSA00RB中华人民共和国认证认可行业标准RB/T0732023认证机构风险管理指南Guide1inesforriskmanagementofcertificationIxx1y2023-01-01实施2023-11-04发布国家认证认可监督管理委员会发布目次前言1引言I11范闱12现他性引用文件13术语和定义II风险管理原则24.1 战略导向24.2 统筹融合34.3 业芬协疆3IJ全员参号3风险管理框型35.1 方针与目标35.2 俵导作用与承诺35.3 框架设U45.1实俺45.5那价与改进56风险管理过程56.1 修述56.2 确定风险的范围、环境和准则6

2、6.3 风险评估76.4 风险应对86.5 沟通与咨谕96.6 监与检查96.7 记录9附求A（资料件）认证机构风险清单示例11附录B（资料性）认证机构风阶分析及评价示例13参与文*15本支件按照GBT1.12O2W.标准化.作存则第1部分,标准化文件的结构和起草规则的规定起草.请注意本文件的某些内容可能涉及专利本文件的发布机构不承招做别专利的责任.本文件由国家认i（E认可监督管理委员会提出并归口本文件起草单位,国家市场监每管理总局认证认可技术研究中心、中国标准标准化研究院、中国合格评定国家认可中心.中国认证认可协会、中国贸促会商业行业委员会.中国人力资源开发研究公、中标华侑（北京）认证中心、

3、中国质量认证中心、北京中偃药大学、中国海洋石油布限公司本文件匕要起草人：手11华、岳岩、刘伯钊、闫存岩、E梅、附小伟，欠大川、黄炜、桃敏，周元元、吴海文、王依、出京、施爱红、郭天愚、汪环海有效的风险管理可帮助认证机构决策者在面临风险时做出正确选择.为认证机构创造并保护价值.本文件提供认证机构风险管理的通用指南、不同认证机构开展风险管理实践时可根据自需求引虑风险管理他架的设计和实施的路衿通过风险识别、分析、评价及制定相应的应对措施.确保其风险管理活动的行效性认证机构风险管理水平会受到人员能力及其认知水平等因素的拈著影响,需要全员参与并明确贡任同时因风险本身的迭代性认证机构需对内、外部环境的变化保

4、持效感并不断改进风险管理措施认证机构风险管理指南1范围本文件提供广认i正机构实施风险管理的原则、楸架和过程本文件适川于各种类型利不同规模的认证机构.为其开展风险管理提供指小2规范性引用文件卜列文件中的内容通过文中的说值性用用而构成本文件必不可少的条款其中.注日期的引用文件便读日期对应的版本适用于本文件I不注日期的引用文件其JR新版本（包括所有的修改单）适用于本文件，（；BT23694风险管理GBT27000合格评定GBT27065合格评定术语词汇和通用原则产品过程和服务认证机构瞿求3术语和定义（；BT23694.GB/T27000和GBT27065界定的以及卜列术语和定义适用于本文件.为了便于

5、使川以下就复列出TGBT23694、GBT27000和GBT27065中的某些术语和定义3.1风险risk不确定性对11标归影响.注b注2：注3：注4c注5：彩晌是指的独愕可以1E面的和成价面的H林可以兄不同方面，如J务*明与安全、环地等）和布面（如旅略.组织.项H产品和过W等）的目标两常州潜在那件.后果或A两彳仁包含京X分风险通潜用多件后果（包括情杉的空化）和，1的可能性的排合来收示风险不确定性是指对事件及其后果或可便性的俏恩缺失大r解片面的状态.来源：（；Br23694-2013.2.13.2风险管理risknianagcnwnt作风险方面指导和控制组织的协蚓活动JRtGBZT236942

6、013.3.13.3认证certification与产品、过程、体系或人员石美的第三方证明注1忏理体系认if行时也称为注册注21认证适用r除介格评定机构自。外的所外介格注定对象来源：GBT27000-2006,5.5J认证机构certiica1ionIhk1运作认证方案的第三方合格评定机构注：认证机构可以是#政价的或政府的（母仃或不具有陈管权力来源：GB/T27O65-2O15.3.123.5风险评估riskassessment包括风险识别、风险分析和风险i*价的全过程来源：GBT23691-2013.1.4.13.6风险识别riskindentification发现、确认和描述风险的过程。注

7、1风险职别包括风险源、事件及算瞑因和潘A结果的职别注2：风险识别可能涉及历史数攘.理论分析.4家意见及科核相关匕的需求来源：GB2369420131.5.13.7风险分析riskana1ysis理解风险性质确定风险等级的过理注1风险分析是风险评价和风险应对决策的整破注2,风险分析包括风险估计来源：GB/T236942013.1.6.13.8风险评价riskassessment对比风险分析结果和风险准则.以确定风险和或其大小是用可以接受或容忍的过程注：风险讨价I助于风险应时小略来源：GBT23691-2013.1.7.13.9风险应对risktnamnt处理风险的过程注1：风险应对可以包括；一不

8、开蛤或不用悔续恃致风力的；二动以二型风IKH为J求机会司木担或用加风险，消除风检源；改变可能性，改变0米，与K他各方分扪风险包括合同和双险融贸h慎成考虑后果决定保物风除注3针对伊而结果的风险应对有时指“风险搜和风险消除“风险饮劭“和“以长曲OrP注3：风险应对可能产生新的风检或改变现“风险来源：GBr236942013.1.8.14风险管理原则4.1 战略导向认证机构风阶管理活动宜充分考虑风险与战略H标之间的相互关系为认证机构战略目标的实现提供保障4.2 统筹融合风险管理是认证机构管理的机组成部分。认证机构故略管理、流程管理.绩效管理、信息管现等密切相关.宜充分考虑认证机构当前的整体管理水平惟

9、合认证机构已有的管理体系将风险管理融入认证机构经营管理的全过程.我疗决策、执行.监饵、反慨等各个环4.3 业务协调认证机构宜栗取审慎的风险管理在遵W法律、合规经营、诚实守信的前提卜认证机构风险管理的策略和方法官与我业务相协调4.4 全员参与认证机构风险管理化全员参与.机构管理层位明确各层级的风险管理职志及承担的相应贡任一5风险管理框架5.1 方针与目标5.1.1 风险管理方针是认证机构管理方豺的组成部分,宜阐明风险管理的目标和承诺方针通常包括以下方面的考虑：a）认证机构管现风险的基本规则和准则：b）经营方针与风险管理方针的联系IO风险管理的近任和职Jhd）处理利益冲突的方法，O提供风险管理所需

10、资源的承诺，f）风险管理绩效测盘和报告的方法，g）对定期评审和改进风险管理H针和框架以及对小件和环境变化做出相应的承诺5.1.2 认证机构H孝虑，讽险管理目标没定与使命、愿家的关系.号虑与认证机构的风险承受度相协谢在实现目标的过程中.宜/空风仁承受度即可接受的蝙离目标的程度风险管理目标包括以下方面：a）战略目标，横略目标通常是也定的1询保与认证机构的内外部环境相适应：b）合规目标：及时跟踪识别适用的法件法规而标准并纳人管理要求c）过程目标I确保认证活动全过程的公正件知C业忤.用关目标宜明确、清晰、可评价：d）结果目标：确保认证结果和证B的有效性，并蟒足利益楣丈方需求5.2 领导作用与承诺认许机

11、构最高管理层宜确保将风险管理融人认证机构的所育活动并通过I，下方面实现其便导作用和承诺tB）确定风险管理方针，1）明确风险管理职责和权限：C）为实现风险管理配备相应资源，d）监督和评审风院管理的和效性.5.3 框架设计5.3.1 概述认证机构风险竹理框架的设计宜芍虑以下因素：a）发展阶段、业务范IM、管理成熟程度、组织结构，b）资源与认证机构人员的能力IO业务流与,系统、数据的适宜性Id）内外部利益相关方的影响5.3.2 职能与贵任认诉机构宜其篇管理风险的职徒与设任.并具备与实施风险管理和确保应M措施的充分、有效的能力职能与去任可通过以下途径实现：a）确定风险的拥有者及其衣任：b）确定依黄建立

12、、实施和保持风险管理的人员；O确定认证机构所彳i层次人员在风险管现过程中的职货Id）确定绩效泞价、内外部报告、逐级报告程序，c）确定奏任的适宜程发，5.3.3 资源配置根据枢架的设计为风险管理活动配备以F适宜的贾源：a）I1番相关技术、经冷和能力的人员，b）必要的资金，O管理认讦风险的知识、方法和1.具：（1）认证过程的文件化信息，e）时风险进行动态管理的信息系统，5.3.4 文化培育认证机构进行风险看理文化系育时.宜考志以下因素Ia将风险管理意识和如识险人“结讥文化当中：b）通过培训教育.提升全员的双电性理口M和循力；O通过全员广泛参F风险管理提高引3外环境空化的敏感性；d）通过绩效学核、构

13、件等措施持续对其风的管用体系沙行改进5.3.5 沟通与咨词机制认证机构宜建立沟通与咨训机制内容包括但不限T,a）特定风险责任人的信息共享b）风险管理参与人的信息反馈，O与内外部利益相关方进行沟通，d）向专业人员进行咨询.5.4 实施认证机构宜考遨以下因素，保其风险管理的有效实施：a为所人员提供履行K职责所需的适当权限和资源，b）制定风险竹理方针、程序、措施、操作埋他等.并文件化：C）掌握认证机构面临的各项歪要风险及大风险管理现状.并做出彳i效的决策：d）遵循风险识别、分析、评价的过程步骤.建也风险评估过程IC）针对每项活动的性质和规模.堪于风险W估的结果制定风险应对的方案，O形成风险管理报告，

14、g）风险管理信息的沟通机制有效运行5.5 评价与改进5.5.1 认证机构宜建/风险管理评价机制.对风险管理内外部环境适应性和风险管理有效性进行评价.552认证机构宜建立风险管理势续改进机制对风险管理框架进行持续改进6风险管理过程6.1 概述6.1.1 认证机构风冷管理外穿r认证机构次第、经营管理及业务活动的各个环巾业务活动通常包括申请、申请评审、济价（审犊八复核、认证决定、认证文件、陈督、记录、投诉与申诉等6.1.2 认证机构风险管理过程包括确定风险的他阳、环境和准则、风险普估、风险应对、沟通与咨词、监将与检有、延录等相关过程的实施步骤（则图Dn图1风险管理过程实施步骤示意图6.2 确定风险的范围、环境和准则6.2.1 范国认证机构宜确定其风险管理活动他的并形成文件.文件内容包括但不限于:a）需要达到的目标和做出的决定，b）采取的方式IC）时间、地点3d）适当的风险普价IF1及技术，e）需要的资源和保持的记hD与我他H标、过程及活动的关系:6.2.2 环境6.2.2.1 外部环境外部环境是指认证机构外部。其风险忏理相关的政治、经济、文化，社会、技术、法律等各种相关信息包括但不限r：a）国内外与认证行业相关的政治,经济，文化，社会、法律，技术以及自然环境等，1）认i正行业相美的监管体制、