《認證機構認證責任管理和認證風險防控實施指南》（征求意見稿）

1、SJ/T XXXXX-XXXXRB 中國國家認證認可監(jiān)督管理委員會發(fā)布202X - XX - XX實施202X - XX - XX發(fā)布認證機構風險防控和責任追溯管理實施指南Implementation Guidance for Management of Risk Prevention and Control and Responsibility Traceability of Certification Bodies（征求意見稿）RB/T XXXXX202X中華人民共和國認證認可行業(yè)標準ICS 33.100.20L 061RB/T XXXXX202X目 次前言I引言11 范圍22 規(guī)范性引用

2、文件23 術語和定義24 認證責任和對認證責任的管理44.1 認證責任44.2認證責任落實54.3認證責任追溯54.4記錄保存65 認證風險防控機制65.1總則65.2 領導在風險防控中的作用75.3 認證風險的識別75.4 認證風險評價85.5 認證風險管理策略85.6 認證風險防控95.7 監(jiān)督和制約95.8 財務安排105.9 危機管理105.10 績效評價與持續(xù)改進10附錄A（規(guī)范性附錄）認證機構的認證責任劃分12RB/T XXXXX20XX前言本標準按照GB/T 1.1-2009標準化工作導則 第1部分：標準的結構和編寫給出的規(guī)則起草。本標準由XXXXXXXXXXX提出并歸口。本標準

3、負責起草單位：中國認證認可協(xié)會、XXXXX公司、XXXXX公司、XXXXX公司、XXXXX公司、XXXXX公司、XXXXX公司。本標準主要起草人：董德山、王茜、汪曉東、段淼、XXX、XXX、XXX。IRB/T XXXXX20XX引言認證行業(yè)在市場經(jīng)濟活動中肩負著傳遞信任、服務發(fā)展的使命。認證機構作為行業(yè)主體，具有與其它社會經(jīng)濟組織不同的社會屬性，有一定的公益屬性，其自身價值通過規(guī)范、有效和誠信的認證活動而體現(xiàn)。認證機構應清楚地認識認證責任，管理認證責任，對認證責任的承擔做出妥善安排；尤為重要的是，認證機構的所有者和高級管理人員應意識到，認證機構在實施認證活動的各環(huán)節(jié)中均存在風險，這些風險所導致

4、的后果將影響認證機構目標的實現(xiàn)。因此，提高風險管理意識、有效實施風險防控、落實認證責任追溯，是認證機構在市場活動中必須具備的基本能力。為了更好地為認證機構的正常運營和目標實現(xiàn)提供支持，應全面考慮風險的不確定性，并采取必要的防控措施。風險管理適用于認證機構的全生命周期及其任何階段，適用范圍包括所有領域、層次和活動。有效的風險防控體系涉及組織的經(jīng)營理念、治理結構、管理要求、工作程序、制度規(guī)則、企業(yè)文化等各個方面，風險防控意識、行為和結果是認證機構管理目標中的重要組成部分。本標準旨在指導機構采用系統(tǒng)的管理方法，合理配置資源，通過管理認證責任，提高風險應對能力和效率，增強認證活動的合規(guī)性。同時，指導認

5、證機構對認證責任進行管理為機構開展風險防控工作提供統(tǒng)一、規(guī)范的依據(jù)。本標準為認證機構認證責任管理和認證風險防控管理提供指南。認證機構可按照本標準對認證風險進行自我管理和自我聲明，認證機構在尋求相關方對認證責任管理和認證風險防控的符合性確認時，可參照本標準。認證機構認證責任管理和認證風險防控 實施指南1 范圍本標準描述了認證責任的內(nèi)容，認證機構在認證活動中承擔的認證責任；同時描述了當認證責任未充分履行時，將引發(fā)的認證風險，同時本標準提出了認證機構為避免發(fā)生認證風險應建立的認證風險防控管理機制。本標準用于引導認證機構如何辨識認證責任并作出妥善安排，同時指導日常風險防控管理和風險事件應對，開展各個領

6、域認證活動的認證機構均可參考此標準進行機構管理。2 規(guī)范性引用文件下列文件對于本文件的宜用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 19000 質(zhì)量管理體系 基礎和術語GB/T 23694 風險管理 術語GB/T 27000 合格評定 詞匯和通用原則GB/T 31000 風險管理標準3 術語和定義GB/T 19000、GB/T 23694、GB/T 27000和GB/T 31000界定的以及下列術語和定義適用于本文件。3.1認證責任 certification responsibility保證認

7、證結果真實和不偏差地證明認證組織被認證內(nèi)容符合認證標準要求。 注1：被認證內(nèi)容通常為認證組織的管理體系、產(chǎn)品、服務和過程。注2：“責任”一詞在不同的語境中有不同的含義。本標準所使用的詞匯“責任”，首先是正面描述認證機構在認證過程中應承擔的義務和工作責任；另一方面從負面描述若未履行義務需承擔的不利后果，也使用“責任”一詞，例如“責任追溯”；使用本標準時，應從上下文表述的邏輯關系上正確理解責任的不同含義。注3：認證機構的認證責任獨立于認證組織（通常也被稱為委托人，下同）自身的主體責任。認證組織自身在安全生產(chǎn)、產(chǎn)品質(zhì)量、環(huán)境保護、履行社會責任等方面符合法規(guī)或標準要求是其主體責任。認證機構未能真實反映

8、認證組織被認證內(nèi)容符合性的原因，可能來自于認證機構自身，也可能來自認證組織未能提供真實全面的信息；同樣，當認證組織在安全生產(chǎn)、環(huán)境保護、產(chǎn)品質(zhì)量等方面發(fā)生事故時，認證組織作為責任主體應承擔其責任，對認證機構而言，則應在責任追溯（見3.8）的基礎上，根據(jù)調(diào)查其在認證過程中的履責情況，對其是否承擔認證責任及責任大小進行認定和界定。注4：認證機構及認證相關方 （如獲證組織）均有認證責任，本標準主要闡述認證機構的認證責任。3.2認證責任管理 certification responsibility management在策劃和實施認證活動的全過程中識別認證責任，并對認證責任的承擔和責任追溯作出妥善安排

9、。3.3責任追溯 responsibility traceability對于已經(jīng)獲得符合性證明文件的認證對象在事后被相關方發(fā)現(xiàn)其不滿足符合性證明內(nèi)容，或認證對象因符合性證明文件內(nèi)容差錯/發(fā)布不及時造成損失，或相關方發(fā)現(xiàn)認證實施過程、認證人員行為不符合認證實施規(guī)則要求導致認證符合性評價可能存在不真實結果，進而對認證機構或認證人員進行調(diào)查，以確定認證責任的過程。注1：責任追溯既包括外部相關方包括政府主管部門組織的外部調(diào)查，也包括認證機構自身組織的內(nèi)部調(diào)查。注2：責任追溯的結果通常包括因違反法規(guī)要求受到的行政處罰、或者因為違反認證合同約定而承擔的民事賠償?shù)淖肪俊?.4認證風險 certificati

10、on risk認證機構及相關方?jīng)]有履行認證責任的可能性，以及由此可能帶來的不良后果。注1：認證風險包括來自自身的風險、分包方的風險以及相關方（如獲證組織、采信方）的風險。本標準主要闡述認證機構的認證風險。注2：就認證機構而言，認證風險帶來的不良后果包括受到行政處罰、聲譽損失、經(jīng)濟賠償、危機處理導致機構費用支出增加等資質(zhì)的、經(jīng)濟的、信用的損失。3.5風險事件 risk events未能控制風險而導致活動對預期目標實現(xiàn)產(chǎn)生了實際的不良結果。3.6認證機構管理者 certification body manager認證機構的所有者或高級管理人員。注：某些情況下，認證機構所有者（股東）不參與機構管理，

11、由經(jīng)理人負責機構運行，但所有者的理念對經(jīng)理人管理行為產(chǎn)生潛在的重大影響。3.7認證人員 certification persons認證人員是指能夠?qū)φJ證活動各環(huán)節(jié)產(chǎn)生重要影響的人員,通常包括認證規(guī)則制定人員、合同評審人員、審核方案制定人員、審核員、認證決定人員。3.8認證風險防控 certification risk prevention and control在一個肯定存在風險的環(huán)境里，認證機構管理者采取各種管理措施和方法，對認證風險實施有效的控制，把認證活動風險造成風險事件的可能性或把風險事件造成的不良影響和損失減至最低的管理過程。4 認證責任和對認證責任的管理認證過程中，認證機構及相關方

12、自身活動（履行責任行為）以及相互作用均對實現(xiàn)認證目標產(chǎn)生影響。認證機構應清楚認識包括自身在內(nèi)各相關方的認證責任，明確認證責任，分析未履行這些責任將形成的風險，以及對實現(xiàn)認證目標的影響。認證機構應管理認證責任，在策劃和實施認證活動的全過程中對認證責任的承擔和責任追溯作出妥善安排。 4.1 認證責任實現(xiàn)認證結果真實和不偏差的目標，來自于認證機構、認證分包機構、認證機構所屬認證人員、認證組織等各相關方的共同努力，各自履行必須承擔的工作流程、規(guī)則中確定的工作責任，使規(guī)定的要求得到滿足。4.1.1認證機構的責任 認證機構的認證責任主要包括：a） 認證過程符合性控制責任：認證機構有責任保證認證過程各環(huán)節(jié)符

13、合認證實施規(guī)則的要求，即依據(jù)認證規(guī)則實施認證受理、組織認證實施（包括必要的分包活動）和綜合評價，最終出具認證對象符合認證依據(jù)的符合性證明文件。認證全過程相關環(huán)節(jié)出現(xiàn)偏差以及認證結果的偏差，包括過程/程序遺漏、實施和/或判定差錯等，認證機構應承擔責任；注：認證機構承擔責任的前提是認證委托人/認證對象在對應的相關環(huán)節(jié)完全履責，沒有用虛假證實性文件/資料或其它方式干擾認證機構履行其自身責任。b） 對所屬認證人員及分包機構管理責任：認證機構對于對所屬認證人員履行責任能力和行為規(guī)范，以及分包機構履行規(guī)則要求負有管理責任；注：認證機構所屬認證人員和/或分包機構未履行其自身認證責任而造成認證結果失真等風險，

14、認證機構首先承擔認證責任，在此前提下，由認證機構進行內(nèi)部責任追溯。c） 對獲證組織/認證對象監(jiān)督責任：認證機構有責任對獲證組織/認證對象按認證實施規(guī)則要求進行監(jiān)督，促使其持續(xù)保持認證狀態(tài)。注：在兩次監(jiān)督期間發(fā)現(xiàn)獲證組織/認證對象不能保持認證狀態(tài)，通常情況下由獲證組織承擔認證責任，除非有證據(jù)表明認證機構未能充分履責，例如沒有按規(guī)則要求的時限進行監(jiān)督。4.1.2認證委托人的責任認證委托人的認證責任主要包括：a） 真實客觀提供信息責任：向認證機構提供或展示的認證資料和現(xiàn)場活動應真實、客觀、全面描述認證的管理體系/產(chǎn)品/服務的過程、狀態(tài)、參數(shù)，能實際反映認證組織在生產(chǎn)實施、服務提供、管理控制、法律法規(guī)

15、符合性等認證所需要的信息；注1：有意無意隱瞞認證所需要的真實信息、提供虛假信息或承諾，由認證委托人承擔認證責任。注2：認證機構的責任在于符合性評價，在其能力范圍內(nèi)對認證組織提供的信息資料進行真實性復核（例如認證組織人數(shù)），但沒有責任對認證組織所有信息進行法律意義上的真?zhèn)闻卸ǎㄈ鐧z測報告）。b） 持續(xù)保持一致性責任：認證組織實際生產(chǎn)、控制、管理能力及體系、產(chǎn)品或服務的一致性狀態(tài)與認證結果保持一致；c） 信息如實通報責任：按認證機構的要求，如實向認證機構通報重大事項、重大變更或認證范圍內(nèi)體系、產(chǎn)品或服務變更。4.1.3分包機構的責任分包機構的認證責任主要包括：a） 在能力范圍內(nèi)按規(guī)則要求實施分包活

16、動，過程完整、結果真實；b） 符合認證機構委托的其它要求，包括事后資料妥善保存、信息保密等。注1：檢測任務分包是認證機構認證活動常見分包內(nèi)容，檢測分包機構認證責任的核心是檢測方法正確、檢測報告內(nèi)容真實、評價客觀、判定準確。注2：為避免檢驗檢測偏離認證方案的情況，檢測機構有責任準確清晰地掌握認證機構委托的分包檢驗任務，并根據(jù)專業(yè)和產(chǎn)品特點要求了解必要的相關信息，確保出具的檢測報告準確無誤。4.1.4認證人員責任認證人員在認證實施過程中的責任：a） 不同崗位的認證人員嚴格按照認證實施規(guī)則和認證機構流程管理/控制工作職責要求，完整實施與崗位責任相關的管理、控制、評價活動；尤其是承擔現(xiàn)場審核任務的審核

17、組審核員，圍繞審核目標，按照程序規(guī)則要求、遵循審核技術和審核方法，收集客觀證據(jù)，對認證組織的認證對象進行完整準確評價；b） 未履行或未完整履行認證規(guī)則和認證機構流程管理/控制工作職責全部要求，認證人員需在機構內(nèi)部承擔責任；現(xiàn)場審核人員及業(yè)務管理人員在違反行業(yè)相關的法規(guī)要求時需承擔法律責任。注：本標準主要描述認證機構的認證責任。4.2認證責任落實認證機構是認證活動實施主體，應履行主體責任，在認證過程中有責任采取有效方式努力督促各相關方按照認證活動的要求履行各自的責任，以保證認證結果真實客觀并實現(xiàn)認證目標。由于未履行主體責任而造成認證結論出現(xiàn)虛假、夸大、片面等符合性偏差時，承擔行政處罰責任或者民事

18、賠償責任。4.3認證責任追溯為有效督促認證機構履行認證責任、有效運行風險防控機制，在發(fā)生認證風險或形成風險事件后，應進行認證責任追溯。責任追溯通常由三種情形引發(fā)：a） 認證對象發(fā)生事故（如質(zhì)量、環(huán)境、安全），外部相關方（媒體、政府或其它組織）質(zhì)疑其認證符合性證明文件的真實性、有效性；b） 行政監(jiān)管發(fā)現(xiàn)認證對象不符合認證依據(jù)（包括法規(guī)要求）；c） 持有符合性證明的組織因其符合性證明文件和/或信息不能被相關方采信而造成不良后果（包括經(jīng)濟損失）；責任追溯的核心是判定認證機構和認證人員是否完整準確地按認證實施規(guī)則的要求履行了自身責任。當確定認證機構承擔責任，將引發(fā)認證機構對其內(nèi)部的責任追溯及對有關人員

19、的處罰。4.3.1責任主體當風險事件發(fā)生造成認證結果偏離目標時，認證機構應積極應對，針對風險事件的產(chǎn)生原因展開調(diào)查分析，結合各方已確定的責任關系確定責任主體。4.3.1.1認證機構自身責任 a）當風險事件的產(chǎn)生源自認證機構時，可判定認證機構為認證責任的主體，首先由認證機構承擔責任。在此前提下，認證機構管理者應組織調(diào)查分析并根據(jù)結果進行責任追溯，界定內(nèi)部責任并采取糾正措施，以此改進內(nèi)部管理并應對可能由此帶來的外部處罰。 b）通常情況下，認證機構不能完全免除對認證人員進行有效管理的責任。除非根據(jù)調(diào)查的結果，認證機構管理確已盡責，由認證人員承擔全部責任。認證機構內(nèi)部責任劃分詳見附錄A.4.3.1.2

20、分包機構責任認證活動的分包（檢測）機構，屬于整個認證活動的重要環(huán)節(jié)，由于分包機構偏離運行目標帶來的后果首先由認證機構承擔主體責任，并由認證機構進行責任追溯。認證機構宜采用合約或其他方式與分包（檢測機構）就認證活動中各自承擔的責任范圍達成一致。注：分包機構違反法律法規(guī)要求的行為（如出具虛假檢測報告）由政府主管部門直接處罰。4.3.1.3外部責任認證為誠信前提下的符合性評價活動，認證機構在其專業(yè)能力范圍內(nèi)對認證對象/組織所提供的證實性資料進行符合性評價，但無對所有證據(jù)的真實性進行鑒別的責任。當認證機構證明自身確以盡職履責，風險事件的原因來自于認證對象/認證組織或其它外部機構，可判定認證機構非認證責

21、任的主體。此時，認證機構宜理清自身與外部的責任關系，采取措施協(xié)助降低乃至消除影響，并在后續(xù)工作中采取有效措施規(guī)避風險事件的再次發(fā)生。同時根據(jù)認證合同或相關協(xié)議，對認證對象/認證組織或其它相關方不履行合同要求和認證要求進行違約責任追究。4.4記錄保存認證機構應保留風險事件處理過程、問題分析和責任界定包括結果形成文件的信息，保留的形式包括電子、硬拷貝或者紙質(zhì)檔案，保存期限應滿足法規(guī)或規(guī)則的要求。5 認證風險防控機制認證責任管理缺失或失控所造成認證風險事件將給認證機構帶來的不良后果，包括受到行政處罰、聲譽損失、經(jīng)濟賠償、危機處理導致機構費用支出增加等資質(zhì)的、經(jīng)濟的、信用的損失。建立和運行認證風險防控

22、機制，實現(xiàn)對履行認證責任的有效管理，是認證機構內(nèi)部管理和機制建設中極為重要的工作。5.1總則認證風險防控機制一般可包括領導作用、風險識別、風險評價、認證風險管理策略、機制運行、財務安排（風險轉移）、以及危機管理。認證機構宜將風險防控要求融入經(jīng)營政策、組織架構、職責權限、業(yè)務過程、績效考核、薪酬激勵設置等方面，建立風險防控所需要的約束、制衡和控制機制，并提供所需資源。注1：資源包括數(shù)量和質(zhì)量。當資源不能有效支持風險防控要求，宜將業(yè)務成長控制在資源可以支持的范圍內(nèi)。5.2 領導在風險防控中的作用5.2.1 領導的承諾最高管理者的意識在認證機構風險防控中發(fā)揮重要作用。管理者理解認證風險及其可能導致的

23、后果，理解認證責任，并在認證機構建立風險防控機制，是認證機構風險防控的基本保證。5.2.2全員意識和共識 認證機構管理者，包括認證機構存在分支機構的管理者，宜清楚地理解下述要求對實現(xiàn)認證價值的重要作用，以及違背要求未履行認證責任導致認證風險事件對行業(yè)公信力的傷害和對機構及從業(yè)人員可能帶來的影響：誠實信用、客觀真實，不實施虛假審核、不出具虛假證書。勤勉盡責，嚴格執(zhí)行法規(guī)和規(guī)則要求的認證環(huán)節(jié)的每個過程，過程規(guī)范并實施完整。監(jiān)督認證組織持續(xù)符合標準要求。持續(xù)提升機構管理和認證能力。規(guī)范認證人員的行為。5.3認證風險的識別認證機構應對認證風險及其產(chǎn)生原因進行識別和分析，并建立文件化的風險清單，用以提出

24、針對性控制措施，預防風險事件。認證機構可對認證風險進行分類。認證風險的類型一般包括：a） 法律法規(guī)和規(guī)則符合性風險；b） 誠信風險；c） 認證組織運行及結果與標準要求偏差的認證有效性風險；d） 機構自身運行和人員能力不足風險；e） 其他。示例1:XXX認證機構的風險類別清單1.法律法規(guī)和規(guī)范性文件的合規(guī)風險a） 機構層面通常表現(xiàn)為價值定位偏離、商業(yè)模式缺陷、機構能力不足、人員意識偏差和行為失控等原因?qū)е逻`反認證適用的法律、法規(guī)和其他要求，以及認證活動超越資質(zhì)范圍；b） 認證活動未能有效識別和評價涉及行業(yè)特定的社會影響和特殊要求（如認證對象的生產(chǎn)涉及行政許可要求，產(chǎn)品涉及食品衛(wèi)生、人身安全要求等

25、）。2.誠信風險a） 機構層面誠信缺失：主要表現(xiàn)通常表現(xiàn)為隱瞞自身能力不足而提供認證服務，發(fā)放帶相關標志的證書；安排不具備資質(zhì)和能力審核員進行認證活動；為經(jīng)濟利益不顧規(guī)則要求而發(fā)放證書；b） 審核人員層面誠信缺失對機構帶來的風險：主要表現(xiàn)在不到審核現(xiàn)場、任意縮短審核時間或減少審核人日（合規(guī)風險），違反認證人員行為規(guī)范，收受禮金而降低認證標準、違反審核客觀公正原則（誠信）。機構相關層級管理者和/或認證相關環(huán)節(jié)員工違反規(guī)則/制度要求處理與認證有關的事宜； c） 相關方誠信缺失給認證機構帶來的風險：主要表現(xiàn)為認證組織等相關方提供虛假信息或資料、故意欺騙認證機構或?qū)徍巳藛T致使未達到認證標準而騙取認證，

26、隱瞞組織內(nèi)部或外部情況發(fā)生的重大變更。3.認證組織運行及結果與標準要求偏差的認證有效性風險a） 認證機構通常表現(xiàn)為認證過程管理控制不符合相關規(guī)則要求，由于過程不規(guī)范而導致認證結果有效性不足；b） 人員通常表現(xiàn)為不能客觀、完整、準確、專業(yè)地實施審核，能力欠缺或不足，未發(fā)現(xiàn)認證組織運行和結果與標準的偏差，導致評價結果和審核結論失實；c） 認證組織層面通常表現(xiàn)為不能持續(xù)保持符合標準要求的認證狀態(tài)。 4.機構自身運行和人員能力不足風險a） 認證機構能力不足，表現(xiàn)為管理人員不能準確掌握和執(zhí)行法規(guī)和相關規(guī)范的要求，人員能力分析與評價系統(tǒng)不能達到要求，審核人力資源和其它必須的資源配置不能滿足認證需求，未對認

27、證相關環(huán)節(jié)員工實施持續(xù)有效的風險和/或規(guī)則意識教育；b） 人員能力不足對機構的影響，通常表現(xiàn)為專業(yè)能力和審核能力不充分，不能提供足以支撐審核結論的審核方案、審核計劃、審核記錄和審核報告。5.剩余風險根據(jù)外部信息，及時識別各認證領域特定的認證管理過程、實施過程和相關活動中存在的風險源，可能的風險： a） 內(nèi)、外部已發(fā)生的風險事件、影響以及本機構產(chǎn)生類似風險的可能性；b） 機構的市場模式、管理模式和人員能力可能的缺陷以及導致風險的類型和嚴重程度；c） 變更可能引起的混亂進而導致的風險，包括已納入的新的領域的開發(fā)，或者已有模式的修改；d） 異常狀況和可合理預見的突發(fā)事件；e） 客戶及其他相關方超越認

28、證規(guī)則的要求。5.4 認證風險評價風險評價是評估風險大小以及確定風險是否容許的全過程。用數(shù)學公式來表示風險，風險=損害發(fā)生的概率*損害的后果（嚴重程度），由于認證機構的風險難以進行定量的風險估計，所以一般采用風險坐標圖評價方法，通過將識別到的風險因素按照其發(fā)生可能性的高低和發(fā)生后對目標的影響程度，定性或定量地回執(zhí)再指教坐標系的平面上，可將5.3識別到的認證風險按照具體情況進行羅列，按照表1中的評價等級對其進行評價，得出認證機構的風險的評價結果。表1 認證風險的評價結果 影響程度可能性輕微影響一般影響嚴重影響極不可能可忽略風險可容許風險中度風險可能可容許風險中度風險重大風險很可能中度風險重大風險

29、不可容許風險5.5 認證風險管理策略認證機構應根據(jù)風險評價的結果，制定并執(zhí)行一種或多種措施以管理認證風險。確定風險等級并采取適宜的控制措施： a） 對于不可容許/重大風險事件和管理薄弱環(huán)節(jié)，可建立特別管理目標，圍繞關鍵因素進行機制和制度設計、人員意識和能力培養(yǎng)以及其它必要的措施，確保對此類風險的有效控制，通過機制運行，有效控制高風險事件的發(fā)生；b） 對于中度風險，宜在內(nèi)部相關的職能和層次明確責任主體，并將風險識別的結果和選擇的控制措施通報給有關責任主體，由其嚴格執(zhí)行措施機構；c） 對于可容許/忽視風險，宜按照內(nèi)部自身情況和風險偏好進行控制。5.6 認證風險防控5.6.1認證機構的人員培養(yǎng) 認證

30、機構宜確定各層級人員須達到的能力準則和須遵守的行為準則，特別是認證人員和認證風險控制崗位人員。參與認證活動各環(huán)節(jié)人員宜具備與崗位責任要求相適應的能力。機構管理者宜在機構內(nèi)部安排包括相應知識、技能和風險防控要求的培訓，確保各層級人員達到能力要求并熟悉行為準則要求。同時持續(xù)關注認證人員能力，提供必要的培訓；提前關注并采取必要措施消除人員調(diào)動或流失可能造成的管理失控。 5.6.2認證過程管理 認證機構管理者宜在日常運營過程中關注風險防控要求的持續(xù)實施。落實全過程認證風險管理，包括下述環(huán)節(jié)：a） 合同受理和評審活動；b） 審核方案策劃活動；c） 審核組委派工作；d） 現(xiàn)場審核活動；e） 認證決定活動；

31、f） 分包活動（適用時）；g） 監(jiān)督、再認證活動；h） 對獲證組織運行規(guī)范性多種方式的監(jiān)督；i） 審核員行為規(guī)范性監(jiān)督和認證人員能力持續(xù)提升；j） 對外部與認證相關的任何信息的持續(xù)收集和監(jiān)視。注1：審核員現(xiàn)場審核規(guī)范性、過程完整性、評價充分性和現(xiàn)場行為表現(xiàn)是認證結論真實有效的關鍵，有規(guī)則但不執(zhí)行將形成顯而易見的風險，包括重大風險。注2：制定明確的認證檔案質(zhì)量及完整性要求，選擇優(yōu)秀人員并從機制上支持和保障他們進行嚴格評審，這是規(guī)避和降低發(fā)生此類風險可能性的有效措施。5.7 監(jiān)督和制約認證機構宜有效運行監(jiān)督機制和制約機制，防止制度、規(guī)則運行偏差或失控，采用的措施包括但不限于：a） 涉及風險事項的判

32、定和決定上，在可能發(fā)生認證風險的關鍵環(huán)節(jié)，設置獨立和相互制約的決策和批準職能（示例2）。機構高級管理者應支持各職能崗位人員履行他們的風險防控職責，需要時，直接參與相關決策；b） 在總部和分支機構設置特定且獨立的監(jiān)督職能；c） 設置外部信息收集、適用性分析、預警職能（如獲取并分析政府產(chǎn)品監(jiān)督抽查結果的信息）；d） 根據(jù)外部風險形勢，實施以風險防控有效性為導向的內(nèi)部專項審核；e） 配置具備能力的人員，對認證人員現(xiàn)場審核行為和審核過程規(guī)范性建立監(jiān)督機制（示例3），同時嚴格評價認證過程記錄符合性，實施獨立的認證決定；f） 建立并運行風險防控獎懲制度，把認證人員的意識能力、行為表現(xiàn)和工作績效與薪酬、獎罰

33、、職業(yè)發(fā)展機會向關聯(lián)，對發(fā)生風險、不執(zhí)行制度或規(guī)則人員進行處罰；g） 在機構各層級定期進行風險形勢分析，定期匯總疑難案例并對當時相應處理方式的適宜性進行再評估，評估結果宜進行內(nèi)部通報，作為相關崗位處理類似問題的指南，必要時，納入內(nèi)部制度規(guī)則，以持續(xù)改進。示例2：涉及風險事項的判定和決定 1、上級職能崗位人員通常不宜影響、暗示或干涉職能崗位人員作出的風險判定和處理，除非判定錯誤和/或處理不能達到風險防控的目的； 2、對于職能崗位提出的疑難風險問題，上級職能崗位人員有責任幫助分析并提出處理意見，必要時，宜會同有關職能人員包括機構高級管理者共同分析并作出決定； 3、對于超出機構高級管理者或機構內(nèi)部專

34、業(yè)人員知識和能力范圍的風險，宜主動尋求外部支持，包括與政府主管部門、認可機構、協(xié)會或相關專業(yè)組織進行溝通并獲得他們的幫助。示例3：認證人員現(xiàn)場審核行為和審核過程規(guī)范性的監(jiān)督約束手段 1、采用信息化簽到（如“釘釘”簽到） 2、審核員填報認證行為規(guī)范性自我聲明、被審核組織簽字確認后上報； 3、進行認證組織滿意度調(diào)查。5.8 財務安排 認證機構宜就應對風險事件引發(fā)責任追究時可能涉及的賠償事宜提前做出管理安排和財務安排，包括在合同中確定責任邊界和賠償?shù)南嚓P事宜、進行投保或在機構內(nèi)部建立風險基金。5.9 危機管理 認證機構宜策劃并實施一系列應對異常狀況或突發(fā)事件的準備和響應措施，以控制這些狀況和事件給認

35、證機構、行業(yè)或社會帶來的不利影響。措施的內(nèi)容可包括：a） 對實際發(fā)生的異常狀況或突發(fā)事件做出及時響應；b） 控制措施應與危機事件的程度相適應。處理過程須充分考慮并預見處理過程和結果可能帶來的后續(xù)影響，預防事件進一步擴大或惡化；c） 采取有效的糾正措施，保持與相關方（包括政府主管部門、認可機構等）的積極溝通，以獲得相關方理解；d） 保存完整的處理記錄，以便向外部提供有效處理的證據(jù)及利于機構持續(xù)改進；e） 可行時，定期對危機管理措施進行評審，并在機構內(nèi)部進行全員培訓。注：當風險事件涉及獲證組織時，認證機構應及時對該組織相關的認證證書采取處理措施。5.10 績效評價與持續(xù)改進5.10.1績效評價認證

36、機構宜根據(jù)風險控制目標確定績效指標， 宜定期監(jiān)視、測量其風險防控績效，并對績效目標的實現(xiàn)情況進行評價。示例4：認證機構風險防控績效指標 1、風險責任事件發(fā)生數(shù)量與擁有的客戶數(shù)量的比率； 2、重大風險責任事件的數(shù)量和機構損失的金額； 3、風險責任事件中機構承擔主要責任和個人承擔主要責任的數(shù)量比率； 4、機構接受外部檢查數(shù)量及發(fā)生風險事件數(shù)量的比率； 5、機構在主管部門或行業(yè)協(xié)會組織的監(jiān)督考核中的評價；5.10.2 持續(xù)改進認證機構宜對風險防控績效進行分析和評價，確定改進目標和措施，以持續(xù)提升績效。改進措施可包括：a） 強化措施，確保實現(xiàn)風險防控目標；b） 對未達到績效要求的目標采取更有效的措施；

37、c） 提高績效目標，并策劃與目標對宜的新的風險防控措施，更新風險相關清單內(nèi)容，完善風險防控機制，持續(xù)改進。11RB/T XXXXX20XX附 錄 A（規(guī)范性附錄）認證機構的認證責任劃分1總則 認證機構承擔認證責任，包括認證機構的過程管理責任和認證人員的實施責任。認證機構制定完善的流程程序、控制規(guī)則，是機構認證機構全過程有效管理的責任；認證人員依據(jù)規(guī)則所要求的程序、步驟、方法、時間進行管理控制，具備能力的審核組對照認證標準要求對認證對象實施現(xiàn)場審核/檢查，進行真實和客觀公正的評價，這是認證人員的實施責任。2.認證機構過程管理責任認證機構在其內(nèi)部管理、控制認證全過程各環(huán)節(jié)出現(xiàn)的增加、減少、遺漏程序等，通常認定為最終認證結果無效或部分無效，對此認證機構應承擔過程管理責任。認證機構過程管理責任包括制度規(guī)則完善性責任和治理結構缺失責任。2.1制度規(guī)則完善性責任 認證機構對由于制度規(guī)則不完善造成的后果承擔責任，包括但不限于：a） 公開文件、認證合同、審核過程要求、審核/檢查文件和記錄、認證決定、認證證書或相關報