认证机构风险管理探讨

1、认证审核中的风险控制李在卿一、概述随着国家对认证行业监管的不断规范、认证认可制度的进一步完善、国民对认证认识的 提高、获证组织的大量增加及需求的变化，认证机构也同其它行业的企业一样，经营风险逐 步显现，且不断增大。当今的认证机构，早已不是十年前相对服务对象而言具有绝对优势的 一方，必须在法律法规及相关制度的规范和市场经济规律的框架下运作。认证机构自身的违 规运作、获证组织的各类事故、审核人员的不规范行为都可能给认证机构带来风险，轻者赔 偿经济损失或罚款，重者可能会被撤销机构的从业资格。如何规避认证机构的风险，确保认证机构健康持续又快又好地发展是认证机构普遍关 注的问题。全面、充分地认识认证机构

2、经营过程中的风险，合理准确地评价风险程度，对于认证 机构有针对性地防范风险，降低风险发生的频率和风险等级，减少风险发生后的损失具有重 要意义。本文系统分析了认证机构的风险因素，采用风险矩阵和经营条件风险度评价法对各风 险因素进行了分析，并提出了风险控制的建议对策。二、风险识别与评价1定义风险因素是指可能导致认证机构经济损失、人员流失、认证资格被暂停、撤销、认可 业务范围被缩小/暂停/撤销等的原因或状态。风险是指某一特定风险因素发生的可能性和后果的结合。风险分析就是识别认证机构的风险因素，确定其特性，评估其风险大小以及确定风险 是否可控制的过程。2风险因素识别认证机构的风险主要来自三个方面:机构

3、自身、获证组织、审核人员三方面。就认证机构而言：风险因素可包括：因违反国家法律法规、违背认可规范、违反认可 协议、违反行业自律要求而引起的各种经营管理行为，以及人员能力不足或经营管理不善等 方面的因素。就获证组织而言：可能给认证机构带来风险的因素包括：组织违法经营，向认证机构 提供虚假信息，出现重大质量、环境、职业健康安全、食品安全事故，不遵守认证合同等方 面的因素。就审核人员而言：可能给认证机构带来风险的因素可能包括：审核人员能力、身体、 工作态度，违反职业道德和行为规范要求，向认证机构提供虚假信息，审核过程中出现人身 伤亡事故等方面。表1对上述三大类的风险因素进行了详细的风险描述，并说明了

4、其可能导致的结果， 共27个风险因素。表1认证机构风险因素识别序号风险来源风险因素风险描述可能导致的结果1认证机构 自身违反国家法律法规在机构经营、工商注册、商标注册、 财务管理、税收、劳动用工制度、分被国家或地方相关党政 机关、司法机关、公安配制度、知识产权保护、保密制度、 外事纪律等方面违反国家相关法律法 规要求机关实施处罚、罚款、 停业整顿、撤销认证资 格、吊销营业执照2违反政府主管部门 政策1）违反认监委有关认证机构设立、 运营管理规定；不被批准新领域或被认 监委暂停、撤销机构批 准书2）不按规定提交合格的机构重新登 记材料；不被重新登记3）超过认监委批准的认证业务范困 从事认证活动；

5、被认监委暂停、撤销机 构批准书4）不按期接受资格年检；被认监委暂停5）不按期完成认监委规定的报表、 上报材料；被通报批评6）对认监委稽查、口常监管过程中 发现的问题不及时整改或整改措 施不符合要求；被认监委行政告诫、暂 停、撤销7）违反认监委发布的相关文件规 定。被认监委突然稽查、行 政告诫、暂停、撤销3违反认可 文件1）在管委会组成及运作机制、认证 决定、审核人员安排方面违反公 正性、客观性原则；被认可委评审开具不符 合、暂停2）没有识别或正确处理相关机构业 务活动与认证活动之间可能存在 的利益冲突；认可评审时文审通不过3）未对申请认证的产品、服务、管 理体系实施有效认证而颁发认证 证书：被

6、认可委暂停、撤销相 应领域的认可资格4）未及时准确通报认证信息；被认可委暂停5）不能为相应的产品、服务、管理 体系认证满足规定要求提供充分 信心：被认可委暂停、撤销相 应体系的认可资格6）未对认证的产品、服务、管理体 系实施有效监督或复评；被认可委暂停、撤销相 应领域认可资格7）发现认证的产品、服务和管理体 系不能持续满足认证要求，不及 时暂停或撤销认证资格；被认可委暂停、撤销认 可资格8）咨询认证一条龙；序号风险来源风险因素风险描述可能导致的结果4认证机构自身违反认可 行业规则1）违反认证行业自律要求；1）被协会罚款；2）被协会通报批评；3）被协会取消会员资2）违反认证价格规定；3）不及时向

7、协会通报相关信息格5违反认可 协议1）无正当理由不按期接受认可监督 或复评；1）认可评审时出现严 重不符合；2）被认可委暂停、撤 销认可资格；2）不按规定及时缴纳各种费用；3）虚报瞒报认证数量；4）认可要求变更后不能确保符合变 更后的要求；5）错误使用认可标志和认可证书。6违反认证 合同规定1）受理认证后不及时安排审核：1）被顾客投诉；2）顾客流失：3）不交费2）随意变更认证费用；3）不提供相应公开文件；4）不提供企业要求的正当服务：5）不满足组织提出的合理要求：6）无故拖延证书发放。7违反公开 承诺不兑现在管理体系文件、公开文件中 对组织的承诺机构信誉受到影响8出现重大人身伤亡 事故1）发生

8、火灾、触电、交通等事故：1）机构要赔偿，经济 上受损失：2）人才损失。2）在审核过程中出现重大审核人员 伤亡事故。9出现经营 危机1）认证合同少，不能有效开拓市场：1）机构经济上受影 响，2）机构破产2）品牌和1碑差；3）获证组织大量流失。10内部管理 混乱1）没有建立和健全有效的管理制度 或制度不能被落实；1）机构缺乏竞争 力,会最终被市场淘汰；2）客户流失；3）队伍不稳定， 容易人才流失；4）员工没有工作 积极性；5）由于办事处出 问题导致机构被认监委/ 认可委处罚。2）没有建立有特色的适宜的企业文 化；没有良好的激励机制；3）不能形成有效或高效的团队，出 现信任危机；4）工作效率低下；5

9、）员工服务态度差；6）出现重大投诉；7）财务管理差；8）对关键场所和一般场所管理不到 位。11主要经营管理人员 违纪违法1）机构主要领导或班子成员个人违 法被国家专政机关处理；1）机构声誉受影响： 从而影响市场；2）机构经济损失。2）挪用、私分和贪污公款；3）个人另行办相关企业。序号风险来源风险因素风险描述可能导致的结果12认证机构 自身投资人或主管机关1）投资人出现重大经济问题；1）机构被主动撤销；2）影响经营和正常工2）股东撤资；做出发生重要变化3）主管部门被撤销/合并；作。4）主管部门职能发生重大变化。13人员与资源不满足 要求1）领导缺乏管理能力；1）机构运作不畅，管 理效率低下；2）

10、专业能力不足，有 些业务难于开展；3）奖罚不分明，审核 人员流失：4）被认可机构缩小业 务范围。2）人力资源不足；3）财务管理混乱，财力不足；4）对审核人员没有动态考核和评 价：5）对审核员培训不够，人员能力不 能持续保持。14体系运行 与管理不 符合要求1）超过认可范围发证；被认可委暂停或撤销认 证资格2）未建立或有效运行人员能力分析 评价系统；3）内审没有深度；4）管理评审走过场；5）内审没有覆盖全部分支机构：6）文件管理混乱；7）管理体系运行出现系统性问题。15审核与审 核管理不 符合要求1）认证审核中弄虚作假；被认可委暂停或撤销认 证资格2）审核有效性差；3）超期未实施监督或处理；4）

11、合同评审专业明显判错；5）实习审核员/技术专家独立审核；6）审核人口数不足；7）不具备专业审核能力；8）不按计划实施审核；9）审核员不到现场；10）审核策划不具体，审核方案不当;11）审核作业指导书不能充分指导审核；12）对关键过程、重要环境因素、重大危险源审核不到位；13）对组织法律法规的符合性审核不到位：14）审核证据不支持审核结论；15）认证决定人员不具备能力。序号风险来源风险因素风险描述可能导致的结果16认证机构风险管理1）没有识别不同组织的认证风险：1）被认可委暂停认证不七2）对认证活动中引发的责任没作安 排。资格；2）组织出现问题后负 连带责任。17信息管理不符合要 求1）不按期上

12、报信息；1）被认监委行政处罚；2）被认可委暂停认证资 格。2）上报信息不完整；3）虚报瞒报认证信息。18认可评审1）不按期接受认可监督评审；1）被认可委暂停或撤销 认证资格。2）对认可评审提出的不符合整改不 符合要求；3）出现严重不符合；4）同类问题重复出现；5）不及时提供见证项目。19获证组织提供虚假 信息1）提供虚假法律地位证明文件及其 它信息；2）虚报员工人数；3）提供虚假检验或监测报告；4）隐瞒多现场或临时现场。1）增加认证风险，导 致机构被认可委暂停或 撤销认证资格；2）审核有效性差；3）审核人口数不足20提供虚假体系运行信息1）提供虚假内审报告、合规性评价 报告、管理评审报告；2）

13、提供虚假运行记录。1）认证结论失实， 导致被认可委暂停或撤 销认证资格。21出现事故5）出现产品质量事故；6）出现环境污染事故；7）出现职业健康安全事故；8）出现食品安全事故。1）机构负连带责任；2）被认可委暂停或撤 销认证资格。22经营出现 问题1）违法经营；2）超范围经营：3）企业合并、解散、破产。1）机构负连带责任；2）认证组织数量减 少。23不遵守合 同1）不按时接受监督；2）不交纳审核费用；3）不按规定使用认证标志；4）不提供审核的必要条件。1）审核费收入减少， 成本增加；2）客户流失：3）机构负连带责任；4）审核雅于实施。24审核员违反审核 人员职业 道德1）在现场审核过程中违反审

14、核人员 必备的职业道德要求和行为规范 要求；2）服务态度差；3）提供虚假记录和证据。1）影响机构形象和声 誉；2）审核风险增加，导 致被认可委处理；25能力不够1）缺乏专业能力和获取证据的能 力；2）语言表达能力和文字写作能力 差；3）管理知识不足。1）审核有效性差；26出现意外 情况1）审核过程中出现突发疾病；2）审核过程中出现伤亡事故。经济损失27违法个人出现违法情况。影响机构声誉。3风险评价机构的总风险由机构自身风险、获证组织带来的风险、审核人员带来的风险组成，其 中机构自身风险（用X表示）的权重为0.5,获证组织带来的风险（用Y表示）的权重为 0.35、审核人员带来的风险（用Z表示）的

15、权重为0.15，各风险因素分别用X,、Y,、乙表 示，其权重分别用d,表示，则：机构自身各风险因素的风险=XM,；获证组织带来的风险中各风险因素的风险=Y,*di：审核人员带来的风险中各风险因素的风险=乙，*d,：机构的总风险=0.5 X】*D】+0.35 L YD+0.15 乙*。单一风险因素的风险D=控制措施状态（A）*可能性（B） *后果（C）。单一风险因素的风险的评价方法可采用风险矩阵法和经营条件风险评价法。表5给出了风险评价的结果。风险分为五级，【、II、III、IV、V级。3.1风险矩阵法用风险发生的可能性作为横座标，用风险导致的后果作为纵座标，将可能性和后果的 级别分别赋值为1、

16、2、3、4,得出用相对数表示的风险程度，图1为风险矩阵示意图，表 2给出了风险可接受的程度、风险度指数及控制要求，表3根据风险控制措施情况和发生 频率给出了风险发生的可能性，表4说明了风险发生的后果，表5确定了风险发生的程度。44812163369122246811741234图1风险矩阵示意图表2风险可接受程度风险度指数及控制措施要求风险可接受程度风险度指数控制行动轻微I1无，不监控可承受1【2无，监控中度【II34控制严重IV68紧急行动不可承受V立即行动表3风险发生的可能性（B）控制措施（A）频率极少发生特殊或偶然很可能出现经常出现无控制措施（10）2344有措施但不充分（5）1233有

17、预防措施（1）0112措施完全有效， 能主动控制（0.1）0001表4风险发生的后果（C）处罚结果经济损失5万以下20万以下50万以下100万以下缩小范围0121警告1122暂停2333撤销3444表5风险发生的程度（D）（C） 可能展12341IIIIIIIII2IIIIIIVIV3IIIIVVV4IIIIVVV3.2经营条件风险评价法风险等于控制措施状态、风险出现的可能性及可能导致后果的乘积。艮化D=A*B*C表7 D值及风险级别D值风险级别3600V450-599IV300449III150-299II150I表8措施状态（A）A值措施状态5无控制措施3有控制措施，但不充分1有预防措施,

18、且能降低风险0.2措施充分，能消除风险表9可能性(B)B值可能性B值可能性10完全可能预料0.5很不可能，可以设想6相当可能0.2极不可能3可能，但不经常0.1实际不口J能1可能性小完全意外表10后果(C)C值后果C值后果100撤销批准书100损失50万元以上50撤销认可资格502050万元25暂停半年251020万元20暂停3个月201015万元15缩小认可业务范围15510万元10缩小认可专业范围1015万元5警告/通报51万元以下表5风险分析风险来源及权重风险因素及权重风险描述风险评价风险等级代码风险来源代码风险因素控制措施（A）发生的可 能性（B）可能导致 的结果风险评价D-A-B*C

19、X认证机构0.5XI违反国家法律 法规 0.150.15在机构经营、工商注册.商标 注册.射务管理、税收、劳动 用工制度、分配制度、知识产 权保护.保密制度.外事纪律 等方面违反国家相关法律法 规要求11100100IX2违反政府主管 部门政策 0.150.0201）违反认监委有关认证机构 设立、运营管理规定：10.210020IX30.0152）不按规定提交合格的机构重新登记材料：0.20.11002IX40.0303）超过认监委批准的认证业 务范围从事认证活动：3350450IX50.0154）不按期接受资格年检:10.25010IX60.0155）不按期完成认监委规定的 报表、上报材料：

20、1155IX70.0256）对认监委稍查.口常监管过 程中发现的问题不及时整改 或整改措施不符合要求：10.25010IX80.0307）违反认监委发布的相关文 件规定。10.25010IX9违反认可文件 0.150. 0151）在管委会组成及运作机制、 认证决定审核人员安排方面 违反公正性.客规性原则：0.20.2208X100. 0152）没有识别或正确处理相关 机构业务活动与认证活动之 间可能存在的利益冲突：0.20.252IXll0.0253）未对申清认证的产品.服 务、管理体系实施有效认证而 颁发认证证书：10.52512.5IX120.014）未及时推确通报认证信息；132060I

21、X130.025）不能为相应的产品、服务、 管理体系认证满足规定要求 提供充分信心：112020IX140.0256）未对认证的产品服务管 理体系实施有效监皆或复评：3320ISO11X150.027）发现认证的产品服务和管 理体系不能持续满足认证要 求不及时暂停或撤销认证资 格：3620360111X160.028）咨询认证一条龙，332522511X17违反认可行业 规则0.050.021）违反认证行业自律要求：10.520101XIS0.022）违反认证价格规定：1320601X190.013）不及时向协会通报相关信 息312060IX20违反认可协议0.10.021）无正当理由不按期接

22、受认 可监督或复评：10.2255IX210.022）不按规定及时缴纳各种费 用：5320300111X220.023）虚报瞒报认证数量：5625750VX230.024）认可要求变史后不能确保 符合变更后的要求：0.20.5101IX240.025）错误使用认可标志和认可 证书。0.20.1100.2IX25违反认证合同 规定0.010.0021）受理认证后不及时安排审 核：31515IX260.0012）随意变更认证贤用:10.110.1IX270.0023）不提供相应公开文件:0.20.150.1IX280.0024）不提供企业要求的正当服 务：30.110.3IX290.0015）不淌

23、足组织提出的合理要 求：30.110.3IX300.0016）无故拖延证书发放0.20.110.02IX31违反公开承诺 0.010.01不兑现在管理体系文件、公开 文件中对组织的承诺53575IX32出现重大人身 伤亡事故 0.030.011）发生火灾.触电、交通等事 故：10.2255iX330.022）在审核过程中出现重大审 核人员伤亡事故。10.25010iX34出现经营危机0.020.0051）认证合1可少,不能有效开拓 市场：3650900VX350.0052）品牌和口碑差:3650900VX3(50.013）我证组织大量流失.56100300111X37内部管理混乱 0.030.

24、00041）没有建立和健全有效的管 理制度或制度不能被落实：10.52010-X380.00032）没有建立有特色的适宜的 企业文化：没有息好的激励机 制：531015011X390.0043）不能形成有效或高效的团 队.出现信任危机：5320300IIIX400.0034） 1：作效率低下：53575IX410.0035）员1：服务态度差：3610ISOIIX420.0056）出现重大投诉：30.550751X430.0037）财务管理差：10.51051X440.0058）对关键场所和一般场所管 理不到位。3320ISOIIX45主要经营管理 人员违纪违法 0.020.01机构主要秘导或班

25、子成员 个人违法被国家专政机关处 理：30.2159IX460.0052）挪用.私分和贪污公款：10.2157.5IX470.0053）个人另行办相关企业.5615450lX4S投资人或主管 机关做出发生 重要变化 0.010.00251）投资人出现重大经济问题：10.22041X490.00252）股东撤资：10.12021X500.00253）主管部门被撤销/合并：10.520101X510.00254）主管部门职能发生重大变 化。1120201X52人员与资源不 满足要求0.070.021）领导缺乏管理能力：5125125iX530.022）人力资源不足；1315451X540.013）

26、财务管理混乱，财力不足：3110301X 认证机构 0.5X550.014）对审核人员没有动态考核 和评价：3610ISO11X5(50.015）对审核员培训不够人员能 力不能持续保持。331090IX57体系运行与管理不符合要求 o.os0.021）超过认可范围发证；0.20.5505IX580.012）未建立或有效运行人员能 力分析评价系统：312575IX590.013）内审没有深度：0.20.2200.8IX(500.014）管理评审走过场：5620600VX610.015）内审没有覆盖全部分支机 构：311545iX620.016）文件管理混乱:0.20.2200.8iX(530.0

27、17）管理体系运行出现系统性 问阪0.20.1200.4IX54审核与审核管 理不符合要求 0.100.0251）认证审核中弄虚作假；115050IX650.0062）审核有效性差：1325751X660.0273）超期未实施监督或处理：3620360IIIX610.0024）合I可评审专业明显判错：1110101X680.0035）实习审核员/技术专家独立 审核：311030IX690.0046）审核人日数不足：3620360IIIX700.0057）不具备专业审核能力：1120201X710.0018）不按计划实施审核：0.23531X720.0039）审核员不到现场：3320ISO11X

28、730.00210）审核策划不具体.审核方33151351案不当：X认证机构0.5X740.00111）审核作业指导书不能充分 指导审核：0.20.2100.4IX750.0112）对关键过程、重要环境因 素、重大危险源审核不到位；3620360IIIX750.00413）对组织法律法规的符合性审核不到位：3620360IIIX770.00314）审核证据不支持审核结 论：30.52030IX7S0.00715）认证决定人员不具备能 力。1320600VX79风险管理不当 0.020.011）没有识别不1可组织的认证 风险：361527011xso0.012）对认证活动中引发的责任 没作安fl

29、h0.20.1200.4IXS1信息管理不符令戏求0.020.0071）不按期上报信息：131545IXS20.0062）上报信息不完整：3615270liX830.0073）虚报瞒报认证信息。5325375IIIX84认可评审 0.050.011）不按期接受认可监督评审：0.20.250.2IXS50.012）对认可评审提出的不符合 整改不符合要求：0.20.2150.6IX860.013）出现严重不符合：112020IXS70.014）同类问题重复出现:31020500VX8S0.015）不及时提供见证项目。0.20.550.5I风险来源及权重风险因素及权重风险描述风险评价风险等级代 码风

30、险来源1代 码风险因素权重控制措施（A）发生的可 能性（B）可能导致 的站果（C）风险评价D-ABCY获证组织0.35YI提供虚假企业 信息0.21）提供虚假法律地位证明交 件及其它信息：2）虚报员工人数:3）提供虚假检验或监测报告：4）隐瞒主现场或临时现场。31020600VY2提供虚假体系 运行信息0.151）提供虚假内审报告、合规性 评价报告、管理评审报告：2）提供虚假运行记录。1320601Y3出现事故0.41）出现产品质鱼事故：2）出现环境污染事故：3）出现职业健康安全事 故：4）出现食品安全事故。5350750VY4经营出现问题0.11）违法经营：2）超范围经营：3）企业合并、解故、破产。5115751Y5不遵守合同0.151）不按时接受监侈：2）不交纳审核费用：3）不按规定使用认证标志：4）不提供审核的必要条件。1610601风险来源及权重风险因素及权重风险描述风险评价风险等级代 码风险来源代 码风险因素权重控制措施（A）发生的可 能性（B）可能导致 的站果（C）风险评价D-A-BCZ审核人员0.15ZI违反审核人员 职业道德0.51）在