RB_T 073-2021CN 认证机构风险管理指南.docx

ICS 03.120.20 CCS A 00 中华人民共和国认证认可行业标准 RB/T 073—2021 认证机构风险管理指南 Guidelines for risk management of certification body 2021-11-04发布 2022-01-01 实施 国家认证认可监督管理委员会 发 布 RB/T 073—2021 目 次 前言 I 引言 Ⅱ 1 范 围 1 2 规范性引用文件 1 3 术语和定义 1 4 风险管理原则 2 4.1 战略导向 2 4.2 统筹融合 3 4.3 业务协调 3 4.4 全员参与 3 5 风险管理框架 3 5.1 方针与目标 3 5.2 领导作用与承诺 3 5.3 框架设计 4 5.4 实 施 4 5.5 评价与改进 5 6 风险管理过程 5 6.1 概 述 5 6.2 确定风险的范围、环境和准则 6 6.3 风险评估 7 6.4 风险应对 8 6.5 沟通与咨询 9 6.6 监督与检查 9 6.7 记录 9 附录 A(资料性)认证机构风险清单示例 11 附录B(资料性)认证机构风险分析及评价示例 13 参考文献 15 I RB/T 073—2021 前 言 本文件按照 GB/T1.1—2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由国家认证认可监督管理委员会提出并归口。 本文件起草单位：国家市场监督管理总局认证认可技术研究中心、中国标准标准化研究院、中国合 格评定国家认可中心、中国认证认可协会、中国贸促会商业行业委员会、中国人力资源开发研究会、中标 华信(北京)认证中心、中国质量认证中心、北京中医药大学、中国海洋石油有限公司。 本文件主要起草人：李卫华、岳岩、刘伯钊、闫存岩、王梅、陆小伟、吴大川、黄炜、魏敏、周元元、 吴海文、王姣、吕京、范爱红、郭天慧、汪环海。 Ⅱ RB/T 073—2021 引 言 有效的风险管理可帮助认证机构决策者在面临风险时做出正确选择，为认证机构创造并保护 价值。 本文件提供了认证机构风险管理的通用指南。不同认证机构开展风险管理实践时，可根据自身需 求，考虑风险管理框架的设计和实施的路径，通过风险识别、分析、评价及制定相应的应对措施，确保其 风险管理活动的有效性。 认证机构风险管理水平会受到人员能力及其认知水平等因素的显著影响，需要全员参与并明确责 任。同时，因风险本身的迭代性，认证机构需对内、外部环境的变化保持敏感，并不断改进风险管理 措施。 1 RB/T 073—2021 认证机构风险管理指南 1 范围 本文件提供了认证机构实施风险管理的原则、框架和过程。 本文件适用于各种类型和不同规模的认证机构，为其开展风险管理提供指导。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于 本文件。 GB/T 23694 风险管理 术语 GB/T 27000 合格评定 词汇和通用原则 GB/T 27065 合格评定 产品、过程和服务认证机构要求 3 术语和定义 GB/T 23694、GB/T 27000 和 GB/T 27065界定的以及下列术语和定义适用于本文件。为了便于 使用，以下重复列出了GB/T 23694、GB/T 27000和 GB/T 27065 中的某些术语和定义。 3.1 风险 risk 不确定性对目标的影响。 注1:影响是指偏离预期，可以是正面的和/或负面的。 注2:目标可以是不同方面(如财务、健康与安全、环境等)和层面(如战略、组织、项目产品和过程等)的目标。 注3:通常用潜在事件、后果或者两者的组合来区分风险。 注4:通常用事件后果(包括情形的变化)和事件发生的可能性的组合来表示风险。 注5:不确定性是指对事件及其后果或可能性的信息缺失或了解片面的状态。 [来源：GB/T 23694—2013,2.1] 3.2 风险管理 risk management 在风险方面，指导和控制组织的协调活动。 [来源：GB/T 23694—2013,3.1] 3.3 认证 certification 与产品、过程、体系或人员有关的第三方证明。 注1:管理体系认证有时也称为注册。 注2:认证适用于除