RB/T 073-2021 认证机构风险管理指南

ICS0312020

CCSA0.0.

中华人民共和国认证认可行业标准

RB/T073—2021

认证机构风险管理指南

Guidelinesforriskmanagementofcertificationbody

2021-11-04发布2022-01-01实施

国家认证认可监督管理委员会发布

RB/T073—2021

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

风险管理原则

4……………2

战略导向

4.1……………2

统筹融合

4.2……………3

业务协调

4.3……………3

全员参与

4.4……………3

风险管理框架

5……………3

方针与目标

5.1…………………………3

领导作用与承诺

5.2……………………3

框架设计

5.3……………4

实施

5.4…………………4

评价与改进

5.5…………………………5

风险管理过程

6……………5

概述

6.1…………………5

确定风险的范围环境和准则

6.2、………………………6

风险评估

6.3……………7

风险应对

6.4……………8

沟通与咨询

6.5…………………………9

监督与检查

6.6…………………………9

记录

6.7…………………9

附录资料性认证机构风险清单示例

A()………………11

附录资料性认证机构风险分析及评价示例

B()………13

参考文献

……………………15

RB/T073—2021

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规

GB/T1.1—2020《1:》

定起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由国家认证认可监督管理委员会提出并归口

。

本文件起草单位国家市场监督管理总局认证认可技术研究中心中国标准标准化研究院中国合

:、、

格评定国家认可中心中国认证认可协会中国贸促会商业行业委员会中国人力资源开发研究会中标

、、、、

华信北京认证中心中国质量认证中心北京中医药大学中国海洋石油有限公司

()、、、。

本文件主要起草人李卫华岳岩刘伯钊闫存岩王梅陆小伟吴大川黄炜魏敏周元元

:、、、、、、、、、、

吴海文王姣吕京范爱红郭天慧汪环海

、、、、、。

Ⅰ

RB/T073—2021

引言

有效的风险管理可帮助认证机构决策者在面临风险时做出正确选择为认证机构创造并保护

,

价值

。

本文件提供了认证机构风险管理的通用指南不同认证机构开展风险管理实践时可根据自身需

。,

求考虑风险管理框架的设计和实施的路径通过风险识别分析评价及制定相应的应对措施确保其

,,、、,

风险管理活动的有效性

。

认证机构风险管理水平会受到人员能力及其认知水平等因素的显著影响需要全员参与并明确责

,

任同时因风险本身的迭代性认证机构需对内外部环境的变化保持敏感并不断改进风险管理

。,,、,

措施

。

Ⅱ

RB/T073—2021

认证机构风险管理指南

1范围

本文件提供了认证机构实施风险管理的原则框架和过程

、。

本文件适用于各种类型和不同规模的认证机构为其开展风险管理提供指导

,。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

风险管理术语

GB/T23694

合格评定词汇和通用原则

GB/T27000

合格评定产品过程和服务认证机构要求

GB/T27065、

3术语和定义

和界定的以及下列术语和定义适用于本文件为了便于

GB/T23694、GB/T27000GB/T27065。

使用以下重复列出了和中的某些术语和定义

,GB/T23694、GB/T27000GB/T27065。

31

.

风险risk

不确定性对目标的影响

。

注1影响是指偏离预期可以是正面的和或负面的

:,/。

注2目标可以是不同方面如财务健康与安全环境等和层面如战略组织项目产品和过程等的目标

:(、、)(、、)。

注3通常用潜在事件后果或者两者的组合来区分风险

:、。

注4通常用事件后果包括情形的变化和事件发生的可能性的组合来表示风险

:()。

注5不确定性是指对事件及其后果或可能性的信息缺失或了解片面的状态

:。

来源

[:GB/T23694—2013,2.1]

32

.

风险管理riskmanagement

在风险方面指导和控制组织的协调活动

,。

来源

[:GB/T23694—2013,3.1]

33

.

认证certification

与产品过程体系或人员有关的第三方证明

、、。

注1管理体系认证有时也称为注册

:。

注2认证适用于除合格评定机构自身外的所有合格评定对象

:。

来源

[:GB/T27000-2006,5.5]

1

RB/T073—2021

34

.

认证机构certificationbody

运作认证方案的第三方合格评定机构

。

注认证机构可以是非政府的或政府的具有或不具有监管权力

:()。

来源

[:GB/T27065—2015,3.12]

35

.

风险评估riskassessment

包括风险识别风险分析和风险评价的全过程

、。

来源

[:GB/T23694—2013,4.4.1]

36

.

风险识别riskindentification

发现确认和描述风险的过程

、。

注1风险识别包括对风险源事件及其原因和潜在结果的识别

:、。

注2风险识别可能涉及历史数据理论分析专家意见及利益相关者的需求

:、、。

来源

[:GB/T23694—2013,4.5.1]

37

.

风险分析riskanalysis

理解风险性质确定风险等级的过程

,。

注1风险分析是风险评价和风险应对决策的基础

:。

注2风险分析包括风险估计

:。

来源

[:GB/T23694—2013,4.6.1]

38

.

风险评价riskassessment

对比风险分析结果和风险准则以确定风险和或其大小是否可以接受或容忍的过程

,/。

注风险评价有助于风险应对策略

:。

来源

[:GB/T23694—2013,4.7.1]

39

.

风险应对risktreatment

处理风险的过程

。

注1风险应对可以包括

::

不开始或不再继续导致风险的行动以规避风险

———,;

为寻求机会而承担或增加风险

———;

消除风险源

———;

改变可能性

———;

改变后果

———;

与其他各方分担风险包括合同和风险融资

———[];

慎重考虑后果决定保留风险

———。

注2针对负面结果的风险应对有时指风险缓和风险消除风险预防和风险降低等

:“”“”“”“”。

注3风险应对可能产生新的风险或改变现有风险

:,。

来源

[:GB/T23694—2013,4.8.1]

4风险管理原则

41战略导向

.

认证机构风险管理活动宜充分考虑风险与战略目标之间的相互关系为认证机构战略目标的实现

,

2

RB/T073—2021

提供保障

。

42统筹融合

.

风险管理是认证机构管理的有机组成部分与认证机构战略管理流程管理绩效管理信息管理等

,、、、

密切相关宜充分考虑认证机构当前的整体管理水平整合认证机构已有的管理体系将风险管理融入

,,,

认证机构经营管理的全过程贯穿决策执行监督反馈等各个环节

,、、、。

43业务协调

.

认证机构宜采取审慎的风险管理在遵守法律合规经营诚实守信的前提下认证机构风险管理的

,、、,

策略和方法宜与其业务相协调

。

44全员参与

.

认证机构风险管理宜全员参与机构管理层宜明确各层级的风险管理职责及承担的相应责任

,。

5风险管理框架

51方针与目标

.

511风险管理方针是认证机构管理方针的组成部分宜阐明风险管理的目标和承诺方针通常包括

..,,

以下方面的考虑

:

认证机构管理风险的基本规则和准则

a);

经营方针与风险管理方针的联系

b);

风险管理的责任和职责

c);

处理利益冲突的方法

d);

提供风险管理所需资源的承诺

e);

风险管理绩效测量和报告的方法

f);

对定期评审和改进风险管理方针和框架以及对事件和环境变化做出相应的承诺

g)