《认证机构认证责任管理和认证风险防控实施指南》编制说明

1、附件7：认证认可行业标准草案编制说明1、基本信息1.1 标准草案名称中文认证机构风险防控和责任追溯实施指南英文Implementation Guidance for Management of Risk Prevention and Control and Responsibility Traceability of Certification Bodies1.2 与国际标准和国外先进标准一致性程度情况等同采用修改采用非等效采用未采用标准编号英文名称中文名称1.3 任务来源批准立项的文件名称和文件号国家认监委关于下达2017年第二批认证认可行业标准制定计划项目的通知（国认科2017136号）计

2、划编号2017RB0701.4制（修）订制定 修订（被修订标准名称及编号： ）1.5 起止时间2017年12月 2019年12月1.6 标准起草单位中国认证认可协会1.7 起草组成员1.中国认证认可协会 董德山2.中国认证认可协会 王茜3.杭州万泰认证有限公司 汪晓东4.北京赛西认证有限责任公司 段淼5.华夏认证中心 夏芳6.北京中建协认证中心有限公司 杨文东7.江苏艾凯艾国际标准认证有限公司 张国禹1.8标准体系表内编号1.9调整情况无2、背景情况2.1 目的、意义（工作开展背景及要求）行政体制改革、政府职能转变，是全面深化改革、完善社会主义市场经济体制的重要内容，也是提高政府现代化治理能力

3、的关键举措，是政府的自身改革。今年来，国务院取消和下放行政审批事项比例超过40%，认证机构审批也在不断进行改革，用政府权力的减法换取市场活力的乘法，给认证行业发展带来了新的活力；但同时也对行业的治理提出了新的要求。新批认证机构不断增加，新机构申请认可评审数量却增长缓慢，且有些机构虽然申请了认可，但其实际的运作情况也与认可规则要求相去甚远，导致认可评审组的现场评审工作根本无法有效开展。认证机构在认证行业的运行中，呈现出一些不规范、不诚信的行为，导致本应承担“传递信任”使命的认证行业，其公信力大打折扣。尤其是新批准的认证机构，在机构运作的规范性以及对于行业相关制度的理解和执行上，多数存在着能力不足

4、，内部管理欠缺等问题，这些问题的解决有赖于通过行业角度指导认证机构规范运作，更好的发展。认证行业在市场经济活动中肩负着传递信任、服务发展的使命。认证机构作为行业主体，具有与其它社会经济组织不同的社会属性，有一定的公益属性，其自身价值通过规范、有效和诚信的认证活动而体现。认证机构应清楚地认识认证责任，管理认证责任，对认证责任的承担做出妥善安排；尤为重要的是，认证机构的所有者和高级管理人员应意识到，认证机构在实施认证活动的各环节中均存在风险，这些风险所导致的后果将影响认证机构目标的实现。因此，提高风险管理意识、有效实施风险防控、落实认证责任追溯，是认证机构在市场活动中必须具备的基本能力。为了更好地

5、为认证机构的正常运营和目标实现提供支持，应全面考虑风险的不确定性，并采取必要的防控措施。风险管理适用于认证机构的全生命周期及其中的任何阶段，适用范围包括所有领域、层次和活动。有效的风险防控体系涉及组织的经营理念、治理结构、管理要求、工作程序、制度规则、企业文化等各个方面。风险防控意识、行为和结果是认证机构管理目标中的重要组成部分。本标准旨在指导机构采用系统的管理方法，合理配置资源，通过管理认证责任，提高风险应对能力和效率，增强认证活动的合规性。同时，指导认证机构对认证责任进行管理为机构开展风险防控工作提供统一、规范的依据。根据目前的行业背景，认证行业的机构应该是命运共同体。一家认证机构的风险，

6、可能引来的是行业的整体风险，因此对于认证机构，在国家法律法规的要求，国际通行的认可规范规定以外，要根据目前行业发展的现状，给予认证机构更多的切实的管理指导。本标准为认证机构认证责任管理和认证风险防控管理提供指南。认证机构可按照本标准对认证风险进行自我管理和自我声明，认证机构在寻求相关方对认证责任管理和认证风险防控的符合性确认时，可参照本标准。2.2 与国内外相关标准、文献的关系目前,对于认证机构风险防控和责任追溯的要求，在 ISO/IEC 17021-2011 合格评定管理体系审核认证机构的要求IS09000：2015质量管理体系基础和术语，ISO/IEC 17065-2012合格评定 产品、

7、过程和服务认证机构的要求这些标准都有一定的描述，但是都是笼统的要求，没有具体的实施方法。因此项目的设立是对目前认证机构管理的已有标准的补充，是对认证机构完善风险防控和进行责任追随管理的具体指导。 同时也参考了ISO31000风险管理标准2018新版内容，将风险管理标准中较为成熟的管理方法与认证机构的实际管理相结合，制定出比较贴近机构管理，方便易用的标准内容。3 编制过程3.1 分工情况标准起草组成员均来自认证机构，从事认证工作多年，并且在对于行业有深入研究，同时具备丰富的认证机构管理经验。本标准由主编单位中国认证认可协会负责编制进度并提出主体标准草案，协同编制组各单位共同参与编制和讨论，杭州万

8、泰认证有限公司、北京赛西认证有限责任公司、华夏认证中心、北京中建协认证中心有限公司、江苏艾凯艾国际标准认证有限公司共同参与了技术研究和行业机构管理方案的讨论与编写，北京赛西认证有限责任公司还主要负责了标准格式内容的整理工作。准起草组在标准编制过程中，始终坚持起草组全员参与的原则，将编写组成员的起草意见也作为行业意见的重要输入。3.2起草阶段为了能够使本标准具有科学性、先进性以及行业适用性，标准起草组始终将标准化对象实际情况以及管理需求，作为研究过程中的重要参考，同时将目前行业中对于风险的要求以及国家标准中风险标准的内容作为参考，保证标准化内容原则性要求的协调一致，同时避免内容的重复。本标准不仅

9、是为认证机构在管理上作为指导，更重要的是在行业中建立风险管理和责任管理的意识和可参考的指南。2017年12月，正式组成项目小组；2017年12月，项目正式立项后，召开了项目启动大会成立了标准起草小组，并初步拟定了项目研究方案，确定了以为主体的框架路线。2018年3月，项目小组组织讨论，确定标准名称、结构框架及适用范围；2018年3月-2018年5月，组织调研、收集相关行业资料，对包括起草组所在的多家管理相对成熟的认证机构目前风险管理的情况进行调研，收集了目前认证机构可能认为的风险因素以及管理方法，收集了各机构的风险管理和责任追究的机构管理文件。2018年5月-2018年11月，起草标准，形成标

10、准初稿；2018年11月-2019年8月，根据标准的内容，起草组研讨标准初稿，同时根据目前行业发展阶段中发现出来的问题，不断调整标准初稿的内容；2019年12月，形成了标准征求意见稿；3.3征求意见阶段3.4标准审定阶段4 主要技术内容的确定根据目前的行业背景，认证行业的机构应该是命运共同体。一家认证机构的风险，可能引来的是行业的整体风险，因此对于认证机构，在国家法律法规的要求，和国际通行的认可规范规定以外，要根据目前行业发展的现状，给予认证机构更多的切实的管理指导。尤其是面对风险，是任何一个组织面临的风险和竞争不断增多，这对机构的管理的能力和方法提出了越来越高的要求。因此标准起草组认为，对于

11、自我风险防控以及责任管理，需要搞清楚的是，认证机构的责任是什么，风险是什么，如何对于潜在的风险进行有效的防控，认证机构首先要做的是认清作为认证机构的认证责任究竟是什么，要承担的认证责任是什么，在不履责的情况下可能发生的风险是什么，以及认证相关方因为不履责会带来什么风险，既需要有防范风险的先手，也要有应对和化解风险挑战的高招；既要打好防范和抵御风险的有准备之战，也要打好化险为夷、转危为机的战略主动战。标准编写过程中实施的技术路线如下：构建风险防控与责任追溯的系统性要求以作为机构内部管理风险和责任追溯具体实施指南，全面梳理认证机构运行过程中关键控制点，本标准共分6 章：1.范围；2.规范性引用文件

12、；3.术语和定义4.认证责任和对认证责任的管理 ；5.认证风险防控机制；附录A（规范性附录）认证机构的认证责任划分。从以下几方面进行描述：首先，在研究过程中发现，是责任与风险的内在联系，需要阐述风险管理，首先需要阐述清楚，认证责任，这是认证机构使用认证的手段传递信任以及自我管理的最重要的要求，也是认证机构进行风险防控的内部动力，搞清楚要承担的责任，才能为后续的风险管理建立基础。对于“责任管理”应该包括明确责任、落实责任、责任追究三个方面，认证责任相关方不仅仅是认证机构，但是标准化对象是认证机构，本标准只阐述认证机构的认证责任，对于其他相关方的认证责任，认证机构只能尽到相应的合同约定的义务。然后

13、认证风险也是可能给多方带来风险的，本标准针对于认证机构，同时针对的是认证机构的认证风险，（不针对于认证机构的全部风险），机构需要在做好自我风险防控的同时，对风险防控的机制作出妥善安排。将机构内部、外部可能存在的风险识别出来，并识别认证相关方的需求和期望。认证机构的风险点，主要是从认证过程和认证人员的管理中发生。同时标准起草组，根据行业发展的现状，对于标准目前应该表述的内容中，不适宜标准化的内容，以“示例”以及“附录”的形式进行表述，保证标准的完整性同时也尊重目前行业发展的现实状况，具体如下：1.研究中发现，风险清单，不是一个固定的文件，而是根据机构的风险偏好，受机构的管理水平和发展规模等多方面

14、原因影响，因此每个机构应建立自己的风险清单，编写组在标准中以示例的方式，提出了 XXX认证机构的风险类别清单，作为机构在制定本机构风险清单的参考，2.标准起草组起草过程中发现，每个机构在风险防控中的监督和制约要求，每个机构都有差异性，因此在提出原则性的管理指导意见以外，以附录的形式提出涉及风险事项的判定和决定及认证人员现场审核行为和审核过程规范性的监督约束手段，供认证机构进行参考。3.风险防控要起到作用，适宜的风险防控绩效的评价是必须的，但是绩效评价本身在机构之间是有差异的，标准起草组只对于绩效评价的基本要求在标准正文中进行规定，对于具体的绩效评价的制标以示例的形式认证机构风险防控绩效指标给予机构参考，机构应该根据实际情况参考示例建立绩效指标，4.每个认证机构对机构内部的认证责任划分，是很多机构管理上的困难点，但是此块内容在标准正文中不宜体现，因此在附录中提出了责任划分的参考内容供机构参考。5 验证情况（适用于方法类标准）5.1 验证单位情况验证单位验证人员验证时