李國琴：認證服務的風險管理與控制

本期文章是由卡狄亞小編為大家講解認證服務的風險管理與控制

隨著認證服務領域不斷拓展，在國民經濟和社會發展各領域都有廣泛應用，認證服務業迅速發展壯大，獲證組織持續大量增加，在滿足經濟社會發展需要的同時認證服務風險也日漸凸顯，認證責任管理缺失或失控引發的認證服務違法違規事件時有發生。如何充分識別并有效管理和控制認證風險，建立科學有效的認證風險管理體系，成為認證機構在認證行業新發展形勢下面臨的重要任務。
一、認證風險管控的必要性
(一)履行社會角色職責的必然要求
認證機構作為認證服務的行業主體，在市場經濟活動中肩負著“傳遞信任，服務發展”的重要使命，保證認證結果公正可信是認證機
構提供認證服務的本質屬性和原則要求，也是其發揮質量管理“體檢證”、市場經濟“信用證”、國際貿易“通行證”作用的必然要求。《認證機構管理辦法》第十三條強調:認證機構應當建立風險防范機制，對其從事認證活動可能引發的風險和責任，采取合理、有效措施，并承擔相應的社會責任。因此，風險管理是認證機構正確履行社會角色職責、承擔法定社會責任的必然要求。
(二)實現自身生存發展的必然要求
隨著國內認證事業的飛速發展，認證機構間的競爭日趨激烈，認證風險也隨之不斷增大認證機構因自身風險管理意識不足造成認證事故時，輕者面臨投訴、警告或罰款，重者則面臨暫停或撤銷機構從業資格。對于追求可持續發展的認證機構而言，無論是警告或罰款還是暫停或撤銷認證資格，都將對其信譽、品牌、形象帶來無形損失，影響認證機構的持續穩定發展。因此，風險管理已然成為認證機構日常運營管理過程中必不可少的重要環節，風險管理能力也是認證機構在市場經濟活動中需要具備的重要基礎能力。
(三)適應行業自律監管的必然要求
多年來，國家市場監督管理總局按照“放管服”改革總體要求，圍繞“市場化、國際化、專業化、集約化、規范化”發展要求，全面建立以“雙隨機、一公開”監管和“互聯網+監管為基本手段，以重點與專項監管為補充，以信用監管為基礎的新型監管機制，形成了多部門

聯合監管、多種監管手段相互融合的“全國一盤棋”監管格局。在此環境下，認證服務監督檢查力度越來越大，抽樣覆蓋率逐年增加，認證風險或認證事故所帶來的不良后果也更加凸品。認證機構只有正確認識并落實認證行業監管要求，加強行業自律，才能真正維護自身長遠發展利益。
(二)公正性風險
公正性是認證機構立足社會、獲得客戶信賴的關鍵，是認證機構風險管理的首要任務公正性風險是指由于所有權、管理、人員、業務、分包、合同、商業、財務、營銷等方面引發的利益關系或利益沖突對認證活動可能產生不利影響，從而導致損害認證活動公正性的風險公正性風險是認證機構面臨的首要風險，認證機構與認證客戶存在利益關系或利益沖突、認證機構與咨詢機構之間存在利益分配關系、認證機構開展與認證客戶相同的業務、認證機構或人員層面誠信缺失等，是影響認證公正性的具體表現，也是最常見的方式。
(四)滿足國內國際新形勢的必然要求為實現我國認證認可強國戰略目標，助推中國企業及產品更好地“走出去”，我國參與認證國際合作的廣度和深度不斷拓展，國內認證機構不斷“走出去”，認證機構國際業務規模大幅擴大，國際競爭力明顯增強，但是我國認證工作還存在供給能力同需求不適應、社會公信力不足、品牌影響力不強、國際話語權有待提升、國際認證專業隊伍人才欠缺等問題與此同時，進入新發展階段、落實新發展理念構建新發展格局對認證行業服務經濟社會高質量發展提出了更高要求。因此，認證機構必須強化風險管理思維，建立維護好信譽品牌，不斷提升市場影響力和競爭力，更好地推動認證工作服務經貿發展、促進“一帶一路”建設的作用。
(三)有效性風險
有效性風險是指在認證過程中由于認證機構、審核人員、認證客戶等因素，造成認證有效性及法律法規符合性出現偏差，從而導致認證機構被監管部門處罰或發生法律糾紛。有效性風險是認證過程中發生最普遍、最頻繁的風險，常見的有效性風險包括認證機構審核人員能力不足、認證方案內容不合理、對認證客戶的認證范圍界定不清晰、審核人員的審核活動偏離審核方案、認證活動未能有效識別和評價涉及行業特定的社會影響和特殊要求、認證客戶向認證機構提供虛假信息等。
二、典型認證風險類型
(一)合規性風險
合規性風險是指認證機構因未能遵守適用于自身業務活動的法律法規、認證規則、行業規范、自律準則和監管要求而可能遭受法律或監管處罰、重大財務損失或聲譽損失的風險。合規性是認證機構賴以生存和發展的內在需求和必然選擇，合規性風險則是認證機構面臨的基礎性風險，通常表現為認證機構發展戰略或業務目標定位偏離、認證機構合規管理意識和能力不足、審核人員管理不善和合規意識缺失等原因導致認證業務活動違反認證領域適用的
(四)其他風險
認證服務中的其他風險包括因認證合同不能按約履行造成違約的風險，認證客戶發生質量、環境、職業健康安全、信息安全等事故對認證機構帶來的連帶責任風險等。
三、風險管理與控制
(一)風險識別認證服務中的風險識別是指在認證服務所

有領域、層次和活動中識別可能影響認證合規性、公正性和有效性等影響認證機構戰略和業務目標實現的有關因素。認證機構可以采取問卷調查、小組討論、專家咨詢、情景分析、政策分析、行業標桿比較等方式對認證風險因素進行準確識別，并進一步對認證風險進行分類形成文件化的認證風險清單。
認證服務風險識別過程中，認證機構應當準確識別與實現認證業務目標相關的內部風險和外部風險，內部風險識別可以重點關注管理機制、認證能力、認證過程和認證人員等方面的風險，外部風險識別可以重點關注法律法規監管要求、經濟形勢、產業政策、市場競爭資源供給、技術進步等方面的風險。
當風險識別的基礎條件或風險因素發生重大變化時，如所有權變更、組織變更、管理層變更等，認證機構應重新進行認證風險識別和風險分析評價，并及時調整風險控制措施。
(二)風險分析評價
認證服務風險分析評價主要從風險發生的可能性和對認證業務目標的影響程度兩個角度，對識別的風險進行分析和評價，確定風險的重要程度和優先控制等級。風險分析評價一般采用定性或定量的方法。在風險分析評價不適宜采取定量分析的情況下，或者用于定量分析所需要的足夠可信的數據無法獲得，再或者獲取成本很高時，通常采用定性分析法。表給出了一種根據風險發生可能性和風險影響程度定性分析評價認證服務風險的結果示例。
表1 認證服務風險分析評價結果示例
影響程度輕微影響可能性極小可能發生很低風險低風險可能發生極大可能發生中等風險
一般影響
低風險中等風險
高風險
嚴重影唁中等風險高風險很高
值得注意的是，服務認證風險分析評價應當充分吸收專業人員，組成風險分析評價團隊，
以確保風險分析評價結果的準確性。
(三)風險控制
認證機構應當根據風險分析評價得到的風險等級結果，結合風險發生的原因以及風險承受度和容忍度，權衡風險控制成本與經營收益，選擇規避風險、接受風險、降低風險或轉移風險等風險管理策略，最終確定和采用適宜的控制措施管理認證風險。
對于高/很高風險，可制定專門的風險管理解決方案，明確管理目標、組織領導、所需資源以及風險事件發生前、中、后所采取的具體應對措施。同時，對高/很高風險所涉及的各管理及業務流程，制定涵蓋各個環節的全流程控制措施，以有效控制高/很高風險的發生，對于中等風險，可重點將中等風險所涉及的各個管理和業務流程中的關鍵環節作為控制點，選擇和采取相應的控制措施，在內部相關職能和層次明確責任主體加以嚴格執行。
對于低/很低風險，可按照認證機構內部自身情況和風險偏好采取相應控制措施。
結語
認證服務機構在實施認證服務的各環節中均存在風險，這些風險所導致的后果將影響認證機構戰略目標和業務目標的實現。因此，建立和有效實施認證風險管控機制，實現對履行認證責任的有效管理，是認證機構內部建設和管理中極為重要的工作，同時也是認證機構在市場活動中必須具備的基本能力。為避免因認證責任管理缺失或失控等造成認證風險事件帶來不良后果，認證機構宜將風險管理和控制要求融入戰略規劃、經營理念、組織架構、職責權限、管理要求、業務過程、績效考核等方面建立健全認證風險管理和控制所需要的約束和控制機制，從而達到有效管理和控制認證風險的目標。

www.jglocqr.cn