第三期

  ◇ 北京中大华远认证中心 王献新

  GB/T 27021-2007/ISO/IEC 17021:2006《合

  格评定 管理体系审核认证机构的要求》于2007年10月1日正式实施后,在认证风险应对方面对国内认证机构提出了更明确的要求。该文件5.3.1条款明确要求,认证机构应能证明已对认证活动引发的风险进行了评估,并对各个活动领域和运作领域的业务引发的责任作了充分的安排(如保险或储备金)。由此可以推断,认证风险管理必将成为国内认证机构日常管理活动的重要内容之一。如何充分识别并有效控制认证风险,建立持续改进的认证风险自我防范体系,已成为国内认证机构面临的重要任务。

  一、为什么国内认证机构要

  关注认证风险

  1. 认证成果来之不易

  我国管理体系认证事业取得了举世瞩目的成就,无论认证数量还是从业人员都走在了世界前列,受到国际同行的认可和敬重。如何从认证大国走向认证强国,如何在认证理论上创新发展,是国内认证机构面临的共同任务。国内认证机构不能忘记认证事业发展的艰辛,应该珍惜今天取得的成果,使我国认证事业健康、稳定地发展下去。

  2. 国际融合的新要求

  随着国际认证认可事业的蓬勃发展,国内认证机构纷纷走向世界,与国外认证机构逐渐呈现交融的发展局面。因此,国内认证机构应该学习或借鉴国外著名认证机构先进的经营理念和管理思想,提高品牌和服务水平,提高理论技术研究能力,培养高素质的认证人才队伍,增强综合服务能力,积极面对认证新形势。

  3. 行业发展规律要求对认证风险进行控制

  近几年来,国内认证市场进入寿命周期的成熟期,仅仅追求认证数量不符合认证发展的客观规律。在这种客观环境下,国内认证机构必须立足于加强内部管理,提高认证技术能力,做好日常认证管理服务,培养获证组织的忠诚度。从服务成本理论讲,开发新客户的综合成本将高于维护老客户的综合成本。从认证风险角度讲,开发新客户带来的风险也将高于维护老客户带来的风险。因此,优质的证后服务将成为国内认证机构未来几年的管理重点。

  4. 监管部门力度加大

  多年来,国家认监委、中国合格评定国家认可委员会(CNAS)、必赢娱乐官网、地方认证监督管理部门对认证市场价格、认证档案、认证现场有效性的监督检查力度越来越大,抽样量逐年增加。认证监管部门对国内认证市场的发展作出了正面引导,同时也对国内认证机构的日常规范运作形成了客观约束机制,不规范就没有出路,就会增大管理成本,就会被认证市场边缘化,就会受到处罚。任何一个认证机构只有顺应行业发展潮流,正确认识并面对认证行业监管活动,才能获得持续发展的动力,才能真正保护自身的发展利益。

  二、认证风险的概念和基本特征

  对国内认证机构来说,认证风险是一个非常重要的概念。大家可以参考美国风险管理专家C·Arther Williams,Jr Rocjard M Heoms作出的风险定义,即“给定情况下的可能结果的差异性”。也就是说,认证风险就是认证机构通过控制自身认证活动所产生的认证结果差异性。

  认证风险具有以下四个基本特征:

  客观性。认证风险具有客观性,任何行业都会存在一定的认证风险,这是一种客观存在,只是面临的认证风险程度不同而已。

  相对性。对于不同认证机构,由于认证风险控制能力不同,使得同类认证风险的表现程度有所不同,因此不同管理水平下的风险结果是不同的。

  可变性。认证风险是随客观环境而变化的,也依赖于获证组织管理系统的变化。如果认证机构对获证组织不进行有效监督,认证风险反而会增大,因此需要实施多层次动态控制。

  可控性。认证风险多数是可以识别的,同时绝大部分认证风险是可以控制的。风险控制主要是在原始认证风险的基础上,通过有效的认证活动使其降低到认证机构可接受的水平。

  三、国内认证机构应该关注的

  认证风险

  每当谈到认证机构风险,很多认证机构首先想到的就是机构的生存问题,最典型的风险就是被停牌或撤销认证资格。事实上,认证机构更应该关注品牌、形象损失,比如受到告诫、顾客满意度/档案稽查排名靠后、认可分级结果不理想、CNAS评审结果一般、价格检查结果不规范、市场及获证组织认可程度较低等。对于一个希翼长远发展的认证机构,不应发生停牌或撤销认证资格这样的认证风险事故,而应该更多关注品牌、形象,这才是认证机构持续稳定发展的核心任务,要花成本和精力来建立和维护。

  首先提到的认证风险,是发展战略选择的风险。这是一个认证机构发展定位的问题,一旦发展定位确定下来,就有了一个发展的架构,就形成了一个共同的发展理念,成为全体员工共同遵守的准则。选择什么样的发展战略和运作模式,就决定了所带来的风险类别,不同的发展模式会涉及不同种类的风险。发展战略的选择,应该体现持续、科学发展,应该面对未来共同的选择。在现有客观环境下,认证机构应该紧紧围绕“规范、能力、和谐、发展”等主题来发展。

  第二种风险是人员能力和人员稳定的风险。这是一个认证机构持续发展的基础,是风险控制的前提条件,没有稳定的并具备一定能力的人员,风险管理不可能成功。同时,人员风险与机构的技术风险是紧密相关的,高素质的人员队伍可以提升机构的技术水平,良好的技术保障平台也可以提高人员的能力。比如,审核人员如何合理抽取样本、提高审核质量、严格界定审核范围,如何提高对法律/产品质量风险的认知水平、现场沟通应对能力,以及专业素质、道德水准、健康状况、工作忠诚度都是降低认证风险所需要的基本能力。认证机构不仅要关注人员引入、培训成本,更应关注人员稳定、使用成本。

  第三种风险是大家所熟知的认证项目风险。任何一个行业的认证项目都有风险,这是一种客观存在,只是风险程度不同而已。为什么机构要有选择的进行认证,就是要根据发展战略要求,规避一些行业的风险,尤其对那些社会关注度高、风险大的行业,要从源头予以控制。所以,认证机构接认证项目的时候,要对其固有的原始风险进行充分的识别,关注那些隐性的风险。事实上,认证机构在认证项目选择上,宜采取“有所为、有所不为”的策略。

  第四种风险是认证活动风险。认证活动风险主要依靠内部细节管理和审核组的有效运转为前提。在认证实践中,不应该发生“弄虚作假式认证”。要不断改进“不充分性认证”(审核深度定位、专业划分、审核人日合理性、标准理解、信息识别收集充分性、评价完整性),合理保证认证结果的有效性。

  第五种风险是颁发证书后的连带责任风险。这是近年来受到关注的问题,其重要性将在今后的认证事业发展中逐步显现出来。

  四、如何处理认证市场和

  认证风险的关系

  处理好认证市场和认证风险的关系非常难,任何一个认证机构都应该根据行业要求、自身定位、风险控制能力来进行考量。认证市场与认证风险本来就是一个事物的两个方面,没有认证市场谈何认证风险,没有认证风险的认证市场也是不存在的。只有充分评估认证机构内部的有效管理能力和对认证风险的可承受能力,才能确定相对合理的应对方式。对于认证风险控制,关键要看审核组的风险识别和控制能力。即使一个风险相对不大的认证项目,如果审核组运作不规范、能力不足,就可能造成很大的风险,而且风险结果是随机不可测的。即使一个风险看似较大的认证项目,如果审核组能力充分、运作规范,就会将可能的风险识别出来加以控制,使认证风险可预测、可控制、可接受。

  提到认证风险,大家不能不提到CNAS发布的两个文件,一是《不予受理认证机构认可申请和暂停、撤销认证机构认可资格有关规定的说明》,二是《认证机构认可风险分级管理方案》。这两个文件涉及的审核过程风险,主要依靠审核组控制或反馈信息,比如专业范围最终界定问题、人日数计算合理性问题、审核组专业能力配备问题、重要场所和要素遗漏问题、法律法规收集不充分问题、审核结论未基于审核发现问题、纠正措施未有效验证问题、未按照过程方法审核问题、实习审核员或技术专家独立审核问题、出具虚假认证结论问题等,都需要审核组给予重点关注。认证风险控制不只是审核组长的责任,每位审核组成员必须履行风险控制责任。

  五、认证风险的控制思路及方法

  目前,可以将我国的认证认可监管体系概括为法律监管、行政监管、认可约束、行业自律、社会监督。应该说,监管方式和内容在不断深化过程中。在这种大环境下,认证机构必须加强两方面的能力,一是认证技术能力,这是认证机构的生命力;二是认证管理能力,这是认证机构的发展力。也就是说,认证机构的生命力和发展力是日常管理的核心任务。

  事实上,认证风险管理的对象主要是那些可管理的风险,不可管理的认证风险则需要深入研究和评估,并在此基础上采取风险回避等恰当的措施。对于可管理的风险,要建立有效的日常管理机制。另外,风险评价的对象是残余风险,必须将残余风险控制在可以接受的范围内。因此,风险接受是对残余风险进行确认和评价的过程。即:残余风险=原始风险-控制风险(日常管理)≤认证机构可接受风险。

  从风险理论上讲,有效控制认证机构风险的途径主要是四种:

  风险回避。这是持续、稳定、健康发展战略所决定的,尤其要回避潜在认证风险,避免“不稳定认证状态”。风险回避是指当认证项目风险潜在威胁发生的可能性太大,不利后果也太严重,又无其他风险控制策略可用时,主动放弃认证项目而规避风险的一种策略。

  风险控制。主要体现在损失预防或损失减轻,依靠严格、合理的日常管理制度保证,是在认证全过程进行监控的内容,是认证机构加强内部管理的核心任务。有些认证风险要求事先制定后备措施,如补充审核、预算应急费、技术评估等。

  风险自留。残余风险在可接受范围之内才能够实施风险自留,将风险大的认证项目交给风险管理能力强的认证机构。对于自留风险,认证机构现有的风险管理能力完全能够预测、控制。

  风险转移。一般为了预防认证结果所造成的连带责任,如认证活动缺陷引发的质量、污染、安全事故等,风险转移适用于不可预测风险。转移风险的目的不是降低风险发生的概率和不利的后果,而是借用合同等手段,在风险一旦发生时将损失的一部分转移到第三方身上。目前的国内认证行业,保险是转移认证风险最常用的一种方法。认证机构只要向保险企业缴纳一定数额的保险费,当认证风险事件发生后,就能获得保险企业的补偿,从而将风险转移给保险企业。

  总之,我国认证认可行业风险监管活动越来越频繁,认证市场也呈现一些新的发展特点。国内认证机构必须考虑这些特点,积极应对。在持续发展过程中,国内认证机构应该从我国认证事业的整体利益出发,力求使认证活动规范化,降低认证风险。