《认证机构风险管理指南》.docxVIP

PAGE 2 RB中国国家认证认可监督管理委员会发布××××-××-××实施××××-××-××发布认证机构风险管理指南 RB 中国国家认证认可监督管理委员会 发布 ××××-××-××实施 ××××-××-××发布 认证机构风险管理指南 Guidelinesfor risk management of certification body （征求意见稿） 本稿完成日期：2019年6月30日 RB/T ××××—×××× 中华人民共和国认证认可行业标准 ICS 03.120.20 A00 备案号：XXXX-XXXX 目 次 TOC \o 1-3 \h \z \u 前言 3 引言 4 1 范围 5 2 规范性引用文件 5 3 术语和定义 5 4原则 6 5实施要素 7 5.1概述 7 5.2 确定风险管理活动的范围和目标 7 5.3 确定认证机构风险环境信息 8 5.4认证机构风险评估 9 5.5认证机构风险应对 10 6 认证机构风险管理的实施 12 6.1 风险管理需考虑的因素 12 6.2 认证机构风险管理方针与目标 12 6.3认证机构风险管理组织机构机职能 13 6.4认证机构风险管理的制度流程 13 6.5认证机构风险管理的资源配置 13 6.6 认证机构风险管理的文化 13 附录A (资料性附录) 认证机构风险清单示例 15 附录B (资料性附录) 认证机构风险分析示例 20 前言 本标准按照GB/T 1.1-2009的规则起草。 本标准由国家认证认可监督管理委员会提出并归口。 本标准起草单位：国家认证认可监督管理委员会认证认可技术研究所、中国合格评定国家认可中心、中国标准标准化研究院、中国贸促会商业行业委员会、中标华信（北京）认证中心、北京中医药大学管理学院、中国海洋石油有限公司………… 本标准主要起草人： 引 言 认证机构的风险管理目标是，以机构的最终发展战略为出发点，对机构的各个经营生产环节进行风险管理，培训机构风险管理的文化，在风险管理工作不断深入的同时，建立并健全相应的体系，为实现最终发展目标提供安全的管理环境，有效的风险管理体制确保机构发展的安全底线。 本标准的研制旨通过对认证活动中的风险识别、分析，制定相应的应对措施为认证机构在合格评定活动中进行有效的风险管理提供依据，确保机构持续健康发展。 认证机构风险管理指南 1 范围 本标准提供了认证机构实施风险管理的通用指南。 本标准适用于各种类型和规模的认证机构，为在其整个生命周期和所有认证活动环节中开展风险管理提供指导。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最近版本（包括所有的修改单）适用于本文件。 GB/T 23694 风险管理 术语 GB/T 27921 风险管理 风险评估技术 GB/T27000 合格评定 词汇和同意原则 3 术语和定义 ISO31000及GB/T27000界定的以及下列术语和定义适用于本文件。 3.1 风险risk 不确定性对目标的影响。 注1：影响是指与期望的偏差，它可能是正面的，负面的或两者兼有； 注2：目标有不同的方面，能够应用于不同的层面； 注3：风险通常表示为风险源、潜在的事件、产生的后果及其可能性。 [源自：ISO31000-2018，3.1] 3.2 风险管理 risk management 一个组织指挥和控制风险的协调活动。 [源自：ISO31000-2018，3.2] 3.3 认证 certification 与产品、过程、体系或人员有关的第三方证明。 注1：管理体系认证有时也成为注册。 注2：认证适用于除合格评定机构自身外的所有合格评定对象。 [源自：GB/T27000-2006,5.5] 3.4 认证机构 certification body 依法经批准设立，独立从事产品、服务和管理体系符合标准、相关技术规范要求的合格评定活动，并具有法人资格的证明机构。 [认证机构管理办法] 3.5 认证机构风险管理 certification body risk management 认证机构指挥和控制风险的协调活动。 3.6 风险评估 risk assessment 风险识别、风险分析和风险评价的全过程。 3.7 风险分析 risk analysis 理解风险本性和确定风险等级的过程。 3.8 风险容量 risk tolerance 组织或利益相关方为达成其目标在风险应对后愿意承受的风险。 4原则 4.1 战略导向 认证机构风险管理活动要充分考虑风险与战略目标之间的相互关系，以确