作为向社会提供第三方认证服务的机构,认证机构最大的特征是客观公正,核心价值体现为公信力,凡是认证活动中可能对公正性带来影响的因素,均有可能对认证机构声誉及认证有效性带来不同程度的影响。
为此,认证机构应该按照国家的认证认可相关法规要求、认可机构的技术要求建立系统的风险管理机制并有效履行风险管理义务,从而确保认证机构持续运营,赢得各相关方的信任。
一、认证机构建立风险管理机制的基本原则
认证机构在建立风险管理机制时应遵循以下基本原则,并在基本原则指导下开展认证机构风险管理工作。
首先,要确保合规性。认证机构在机构设立、认证活动方面应符合《认证认可条例》《认证机构管理办法》。
其次,要确保系统性。认证机构依据GB/T 24353:2022/ISO 31000:2018《风险管理 指南》建立完整的风险管理过程和制度,通过风险预判和前置控制降低潜在影响和损失,并持续保持风险可控。
第三,要确保全员参与。认证机构应结合自身规模、业务领域和市场分布,建立从风险管理委员会、管理层到分支机构、审核员的全员风险责任,通过压实责任和监督考核,确保风险管理机制的落实。
二、认证机构风险管理的主要内容
认证机构依据建立风险管理机制的基本原则确定风险管理的主要工作内容,通常包括确定风险管理政策与目标、明确风险管理组织架构和职责、提供风险管理资源、建立并实施风险管理制度、监督考核风险管理实施过程。
(一)确定风险管理政策与目标/指标
认证机构风险管理政策应与其战略宗旨保持一致,且作为核心内容呈现。风险管理政策至少应包含对法律法规和认证客观公正性的承诺,同时根据认证机构业务领域的特点增加相应的内容,例如一个信息安全管理体系认证机构的风险管理政策可以为“严格遵守法律法规和行业要求,确保认证活动的独立性、公正性和权威性,保护认证客户信息安全”。
认证机构风险管理目标/指标应在风险管理政策的框架下制定,根据认证机构的认证领域、规模及组织架构特点,建立战略层面及操作层面的目标/指标,其中战略层面目标应确保不出现构成认证机构暂停、撤/注销的风险事件,确保认证机构持续稳定运行;操作层面的指标可以根据各项认证过程的结果制定,也可以根据各个认证领域特点制定,如合同评审及审核方案的差错率、审核过程的差错率、专业能力评定结果的差错率、客户投诉处理及时率、认证决定差错率、证书制作差错率、获证客户证书状态管理零缺陷等,确保每个主要风险控制点及结果均有定量或定性指标,通过风险管理目标/指标实现情况评价认证机构风险管理控制水平。
(二)明确风险管理组织架构和职责
风险管理涉及认证机构全过程和全体人员,为确保风险管理政策和目标/指标的落实,认证机构在设计组织架构和确定人员职责权限时应考虑风险管理的内容,比如按照认可规范要求建立风险管理委员会,审批风险管理政策并对风险管理情况实施监督;建立风险管理部门(可独立或合并),制定并实施风险管理制度并组织落实;对认证活动相关的合同评审、审核方案策划、认证决定、专业人员能力评定、技术领域管理、审核员等岗位明确风险控制的责任内容。
(三)提供风险管理资源
认证机构应为有效实施风险管理提供资源保障,风险管理的资源一般包括人力资源、技术信息、技术手段和外部协作等。就技术信息而言,认证机构必须确保及时获得认证活动中涉及的法律法规、行业要求和标准要求,并及时转化为认证活动主要风险控制点的要求;就技术手段而言,开发和使用认证管理系统,将认证流程管理信息化和数据化,确保程序符合要求并实现自动校验,同时将关键指标设置风险阈值自动触发预警,如未按照规定做出证书状态管理、未按照规定时限做出认证决定、超范围发证等;就外部协作而言,与行业协会、法律顾问、保险公司合作,获取专业支持,包括突发事件发生时的攻关处置。
(四)建立并实施风险管理制度
认证机构依据《认证认可条例》《认证机构管理办法》以及相关认证规范,参考GB/T 24353/ISO 31000《风险管理 指南》建立系统的风险管理制度,该制度对风险辨识、风险分析、风险评估、风险控制措施以及风险监控做出规定,形成“风险数据库”并根据外部及内部环境变化定期更新。
风险辨识过程应覆盖认证全流程活动,可从对相关方、认证机构自身、获证组织、认证过程管理、认证人员管理、机构体系(公正性)管理、突发情况等可能存在的风险点进行辨识,考虑采用流程图和历史数据(事件)等辨识方法。风险分析过程是分析每一个风险对认证机构产生的影响,如是否构成行政处罚(警告、罚款、撤销)、刑事责任、认可暂停/撤销、客户重大投诉、无法做出认证决定等。风险评估过程通过采用D(风险等级)=LC(可能性*严重性)方法,对风险进行定量和定性判定,凡是影响认证机构战略目标实现的应作为主要风险进行控制。风险控制措施制定通常基于规避、降低、转移、接受的控制策略,建立相应的控制措施,一般包括管理程序、资源提供、技术控制、监控考核等。风险监控过程是风险管理的重要环节,采用内部检查、技术手段监控、外部信息收集等各种方式,定期监控主要风险过程和结果,并及时分析风险变化的趋势,纠正偏离规定的做法。
(五)监督考核风险管理实施过程
认证机构针对风险管理实施情况进行有效监督并建立一套完整的考核体系,风险管理部门和岗位定期对认证过程、认证结果以及风险指标检查评价,定期收集公开信息获得相关方的反馈,形成认证机构“风险提示单”和“风险监控报告”。
认证机构依据“风险数据库”所列风险控制点及其措施实施风险检查。“风险提示单”列出检查中所有问题,用于改进;“风险监控报告”体现目前认证机构风险管理水平、风险趋势、风险预防措施,同时识别新增风险。风险检查方法可以采取对认证过程主要风险点交叉复核、认证过程抽查、确认审核、客户访问、负面信息收集以及通过管理系统技术手段校验等。
认证机构对制定的风险管理目标/指标进行定期统计、评价和考核,如定期统计高风险项目占比、第一阶段文件审核占比、小企业项目占比、技术专家使用比例等用于评价认证机构经济指标情况;定期统计合同评审、审核方案及认证决定差错率等用于评价认证机构主要过程指标情况;定期统计审核员进出、项目暂停/撤销数量等用于评价认证机构运营稳定性情况。针对偏离指标趋势,及时分析、采取措施,加以改进。
三、认证机构主要风险点和控制措施
笔者从认证机构自身、获证组织、认证人员以及认证过程列举示例,描述认证机构的主要风险点、风险类型及控制措施,并对照说明违反的法律法规和相关要求,帮助认证机构从业者规避重大风险,其他如相关方管理、突发事件管理等方面存在的风险和影响,不做全部阐述。
示例1:认证机构应严格遵守《认证认可条例》《认证机构管理办法》,认证机构在违反政府主管部门政策方面可能涉及以下风险和影响:
违反认证机构设立、运营管理要求,将不被批准新领域或被国家认监委暂停、撤销机构批准书;
不按规定提交合格的机构重新登记材料,将不被重新登记;
超过国家认监委批准的认证业务范围从事认证活动,将被国家认监委暂停、撤销机构批准书;
不按期接受资格年检,将被国家认监委暂停;
不按期完成国家认监委规定的报表、上报材料,将被通报批评;
对国家认监委稽查、日常监管过程中发现的问题不及时整改或整改措施不符合要求,将被国家认监委行政告诫、暂停、撤销。
示例2:获证组织向认证机构提供虚假信息,可造成审核有效性差,导致认证机构被行政处罚或暂停/撤销认可资格。认证机构应在申请受理及审核、认证阶段对影响审核有效性的信息进行确认。存在以下情况,导致不符合要求的不予做出认证决定:
提供虚假法律地位证明文件及其他信息,包括虚报员工人数、提供虚假检验或监测报告、隐瞒多现场或临时现场、纳入失信名单;
提供虚假体系运行信息,包括提供虚假内审报告、合规性评价报告、管理评审报告以及虚假运行记录。
示例3:认证人员违反审核人员职业道德和行为规范要求,可造成认证活动失效,可能导致机构暂停和客户投诉等。认证机构应制定审核员管理规定,规定工作纪律和考核要求,通过各种方式对审核人员不规范行为进行监控,比如:
未按照规定时间进出审核企业、收受礼金、礼品;
提供虚假审核记录和信息;
服务态度差,引起客户不满。
示例4:在认证过程管理中未按照规定程序实施受理评审、审核策划、审核实施、认证决定等,可影响现场审核和认证决定,若控制不到位可导致认可资格暂停/撤销或行政处罚。认证机构应建立完整认证过程程序、确保认证人员专业能力到位、实施必要检查,需重点关注以下几个方面:
认证申请受理阶段,存在体系运行不足3个月或纳入失信黑名单、行政许可文件失效,不具备审核或发证条件导致的合同纠纷等;
审核方案策划不准确,合同评审专业类别判定有误;认证合同人数少于实际人数,审核人日数不满足要求;在不应开展远程审核的情况下采取远程审核方式;审核组不具备能力;
现场审核计划安排不合理,不具备相关专业能力审核员审核专业内容;监督审核计划未策划证书和标志使用情况;未考虑多场所的抽样、多场所路途时间和多班次作业等情况;
审核准备不充分,未进行有效文审,导致后续的审核无法正常进行;审核前未与客户进行沟通,确认企业负责人或审核活动是否开展;
审核活动无效,认证审核弄虚作假,无生产或服务现场;未覆盖关键场所、关键过程或全部认证范围;增加减少遗漏审核程序;受审核方体系文件与组织实际运营情况不相符;内审和管理评审等运行记录不同年份完全雷同;对法律法规的符合性审核不到位;审核发现不支持审核结论;
认证决定缺失或失效,未作认证决定即颁发认证证书;认证范围与审核发现不符或超过获证组织营业执照范围或行政许可范围,产品范围与获证组织实际生产产品不符;纠正措施不到位发证。
示例5:就认证分包过程而言,涉及法律合规、质量控制、声誉损失等多方面风险,控制不到位会对认证机构的公正性带来较大影响,严重时会造成机构资格暂停/撤销。认证机构应建立并有效实施分包过程管理程序,包括依法依规选择评价分包方、完善合同约定、加强日常监督,重点关注以下三方面:
分包不合法,认证机构将明令禁止分包的项目进行分包,如国家监督抽查项目、司法鉴定关键环节;进行二次分包或转包;
分包方能力不足,如分包方未通过资质认定或技术能力不达标,可能导致检测结果失真,影响认证有效性;分包方项目管理人员能力未满足行政及认可要求;
分包前未取得客户书面同意,可能引发合同纠纷或客户终止合作;长期或大规模分包易引发客户对机构技术能力的质疑,损害市场信誉。
结语
本文给出了认证机构风险管理机制基本原则、主要工作内容以及实际案例,旨在帮助认证机构确定认证风险管理的基本思路以及开展风险管理的基本方法,以确保风险辨识结果充分完整并有效控制。
作为向社会提供公信力服务的特殊行业,为确保风险管理机制持续有效,认证机构应始终严格遵守《认证机构管理办法》《认证认可条例》规定以及《质量管理体系认证规则》《信息技术服务管理体系认证实施规则》等特殊认证领域规则,同时还需收集与开展认证领域的行政法规和要求,如环评、安评要求等,从管理制度和技术标准层面全面把控认证风险,保证认证机构合规守法、稳健运行。
中国新技术新产品
计算机科学与探索
中国洗涤用品工业
世界科学
暴雨灾害
四川环境
中国信息化周报
物理化学学报
现代食品·下
现代食品·上
工矿自动化
机器人产业
乳业科学与技术
安徽地质
科技创新与品牌
中国认证认可
科学中国人
中国国家天文
广东科技
宝石和宝石学杂志
海洋开发与管理
新一代信息技术
岩土力学(英文网络版)
煤气与热力
中国高新科技
电信科学
宇航学报 
化学试剂
电子测试
科技传播
