RB_T 073-2021CN认证机构风险管理指南.pdf

ICS 03.120.20CCS A 00RB中华人民共和国认证认可行业标准RB/T 073—2021认证机构风险管理指南Guidelines for risk management of certification body2021-11-04发布2022-01-01实施国家认证认可监督管理委员会发布 RB/T 073—2021目次前言引言范围2规范性引用文件术语和定义风险管理原则4.1战略导向4,2统筹融合4.3业务协调4.4全员参与风险管理框架5.1方针与目标5.2领导作用与承诺5,3框架设计5.4实施5,5评价与改进风险管理过程6.1概速6.2确定风险的范围、环境和准则6.3风险评估6,4风险应对6.5沟通与咨询6.6监督与检查6.7记录附录A(资料性)认证机构风险清单示例附录B（资料性）认证机构风险分析及评价示例13参考文献15 RB/T 073—2021风险分类及重大风险确认的原则；c)风险等级及等级划分标准；d)客户及利益相关方可接受的风险水平；e)认证机构对风险的偏好和容思度，6.3风险评估6.3.1评估过程风险评估具有系统性、达代性和协作性的特点，包括风险识别、风险分析和风险评价三个环节，风险评估宜有充分的可利用信息，并征求利益相关方意见作为补充。6.3.2风险识别风险识别方法认证机构的风险识别方法包括但不限于；a)业务过程分析；b)问卷调查；c)获取外部信息；d)查阅历史记录；e)申投诉事件分析；f)专家意见。风险事件收集认证机构的风险事件收集渠道包括但不限于；a)行业奥情调查；b)外部监督检查；c)内部信息通报；d)利益相关方反馈；e)用户申诉与投诉。形成风险清单宜将识别的风险和收集的风险事件形成认证机构风险清单(示例见附录A)，风险清单应考虑的内容包括但不限于：a)风险类型；b)风险来源；c)风险事件；d)风险性质；e)后果影响。6.3.3风险分析方法可采用定性或定量的方法开展风险分析，包括但不限于： RB/T 073—2021a)听取专家意见；b)经验推导；c)统计学方法(见附录B中的B,1-B,3)，可能性分析认证机构发生风险的可能性包括但不限于：a)几乎肯定；b)很可能；c)可能；d)不太可能；e)罕见，后果分析认证机构发生风险所导致的后果包括但不限于：a)法律责任；b)声誉受损；e)经济受损；d)资质暂停、撤销或注销；人员资格被撤销。6.3.4风险评价认证机构将风险分析的结果与确定的风险准则相比较，决定风险和/或其大小是否可接受，表现风险的排序分布，以支持决策。认证机构宜根据内外部环境和内外部利益相关方对风险的感知，决定对风险是否进一步采取行动、如何制定应对策略、维持现有控制还是重新考虑目标（见B.4)，6.4风险应对6.4.1应对过程认证机构对风险或者风险事件采取相应措施，将风险控制在认证机构可承受范围之内，风险应对包括选择策略、应对准备、制定和实施计刘三个环节。6.4.2选择策略认证机构的风险应对策略包括规避风险、降低风险、转移风险、接受风险和其他策略，可将其单独或组合使用。认证机构选择风险应对策略时，宜考患但不限于：a)认证机构的目标、核心价值观和社会责任等；b)认证机构对风险的偏好和承受度等；c)实施成本与预期收益。6,4.3应对准备认证机构对风险应对的现状进行评估，了解应对现状存在的不足和缺陷，为制定风险应对计划提供支撑，应对准备考虑的因素包括但不限于： RB/T 073—2021a)公正性是否受到影响；b)资源配备能否满足需要；c)职责权限是否明确；d)认证过程是否合规有效；e)内部管理是否健全。6.4.4制定和实施计划认证机构的风险应对措施通常包括但不限于以下类型：a)资源配置类；b)制度流程类；(3标准、规范类；d)技术手段类；(a培训与演练类。6.4,4.2认证机构确定风险应对措施类型后，宜制定风险应对计划。内容包括但不限于：a)机构、人员、职责及奖惩机制；b)应对措施涉及的具体认证业务及活动；(3报告和监督检套的要求；d)资源及配置方案；(a具体实施步骤；f)实施时间表，6.4,4.3风险应对的实施是一个送代的过程，宜根据内外部风险环境的变化对制定的风险应对措施计划进行调整，以确保风险应对结果的有效性。6.5沟通与咨询认证机构宜建立机制并开展内外部沟通与咨询，沟通与咨询内容包括但不限于：a)与利益相关方进行有效的沟通与咨询，保证其了解认证活动可能造成的风险及对机构带来的影响；b)在认证机构内部建立沟通机制，并开展有效沟通与咨询，以支撑认证机构自身的决策；(o建立与相关管理部门的沟通机制，以持续改进其风险管理活动，6.6监督与检查6.6.1认证机构应跟踪外部风险环境的变化，及时对监督和检查认证风险管理流程的运行状况进行监督与检查，确保风险应对计划的有效执行及持续改进，6