管理程序
发布日期:(2024-10-14 12:17:20) 点击次数:140
文件编号:GB-CX-27
|
序号 |
编写人员 |
审核人员 |
批准人员 |
修订次数 |
修订日期 |
发布日期 |
实施日期 |
|
1 |
技委会 |
季明玉 |
徐传海 |
0 |
2022.11.18 |
2022.11.18 |
2022.11.18 |
|
2 |
技委会 |
季明玉 |
徐传海 |
1 |
2023.06.01 |
2023.06.01 |
2023.06.01 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
文件修订日志
|
版次 |
修改内容摘要 |
编制人 |
审核人 |
批准人 |
实施日期 |
|
B/0 |
整体换版 |
技委会 |
|
|
2023.06.01 |
目录
1 目的
为对公司的风险管理建立规范、有效的风险控制体系,提高风险防范能力,保证公司安全、稳健运行,提高经营管理水平,根据《中华人民共和国认证认可条例》等法律、法规和规范性文件的有关规定,结合公司的实际情况,制定本程序。
适用于公司提供资质范围内各类认证的专业性、一致性和公正性风险管理。这些风险可能与下列方面有关:
——审核目的;
——审核过程中的抽样;
——真正的和被感知到的公正性;
——法律法规问题和责任问题;
——所审核的客户组织及其运行环境;
——审核对客户及其活动的影响;
——审核组的健康和安全;
——利益相关方的认知;
——获证客户做出的误导性声明;
——标志的使用。
3职责
3.1总经理:
a) 负责年度认证风险评估报告的审批
b) 负责重大风险控制方案和资源配置的审批
3.2技术总监:
a) 负责组织认证风险识别、分析、评价工作
b) 负责公司认证风险管理工作的整体策划,编写年度认证风险评估报告
3.3市场总监:
a) 协助总经理组织认证风险评估工作
b) 监督认证风险控制措施的执行情况
3.4各职能岗位:
a) 负责收集本岗位风险评估范围内所有信息;
b) 负责风险控制措施的正确执行,并对措施执行的有效性负责;
c) 负责本岗位风险问题点的纠正和持续改进。
3.5 维护公正性委员会成员:
a) 负责监督公正性风险管理工作;
b) 负责实施年度公正性审查活动。
保证遵循认证认可的法律法规,将风险控制在与公司质量方针、质量目标相适应并可承受的范围内,并为认证活动引发的责任做出充分的安排。
4.2 工作原则
以公司整个经营过程中的风险为特征,定期进行认证风险评估,通过风险识别、风险分析、风险对策三个步骤,以达到风险控制的目的。
4.3 风险与责任安排
4.3.1结合公司自身管理水平,从事认证活动领域、范围和地域,认证人员的能力及组成等不同的背景情况,分析和评估可能面临的认证活动引发的风险与责任主要来源于:
1)由于公司或认证审核人员违反国家有关法律、法规或认证活动不符合认可规范文件要求,导致公司被国家有关管理部门经济处罚、被暂停或撤销认证认可资格,从而对获证客户造成影响,公司应承担由此引发的责任。
2)公司的获证客户发生体系范围内的生产/销售/服务问题或事故,导致公司需承担连带责任,接受处罚或赔偿。
3)聘用的认证审核人员在为公司工作过程中受到意外伤害,公司应负有民事赔偿责任。
4.3.2针对上述责任,公司通过如下安排提供充分的财务保障:
1)公司为认证审核人员缴纳社保,包含工伤保险。
2)公司定期或不定期开展培训,包含线上和线下两种模式。
4.4风险识别与分类
4.4.1依据下列认证认可相关的法律、法规和认可规范文件开展风险识别活动。如果违
反相关要求,就可能导致公司被处罚、被暂停、被撤销,或公司将被评为C类机构或不能被评为A类机构的事项均识别为公司不可接受的风险。
①《中华人民共和国认证认可条例》国务院令第390号(2003年11月1日实施)
②《认证机构管理办法》总局令第164号(2015年8月1日实施)
③CNAS-R01:2015《认可标识使用和认可状态声明规则》(2015年第一次修订)
④CNAS-RC02:2014《认证机构认可资格处理规则》(2015年第一次修订);
⑤CNAS-RC03:2013《认证机构信息通报规则》(2015年第一次修订);
⑥CNAS-EC-017:2013《认证机构认可风险分级管理办法》。
4.4.2基于认证公正性、专业性、一致性不同的内、外部风险来源,公司风险可分为:
公正性风险、认证实施过程风险、认证经营管理风险和来自认证客户的风险。
1)公正性风险:对公司公正性造成的威胁可能源自其所有权、法人治理机构、管理层、人员、共享资源、财务、合同、培训、营销以及给介绍新客户的人销售佣金或其他好处等情形。
2)认证实施过程风险:主要源自认证受理、申请评审、审核方案策划、审核实施、认证决定、监督管理、能力分析及评价系统、认证信息管理等环节的实施而引发的风险。
3)认证经营管理风险:主要源自于违反法律法规、认证机构管理办法、CNAS的认可规范等而引发风险,如:向行政机关提供虚假材料、公司体系出现系统性失效、不接受上级主管部门的监督、未认可的分支机构从事关键活动等情况。
4)来自认证客户的风险:主要指由于获证客户未能遵守认证合同的要求,弄虚作假、违规使用认证证书、认证标志或引用认证资格所带来的风险。
4.5 风险分析与分级
风险分析主要是从风险发生的可能性和对公司目标的影响程度两个方面,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
风险分析方法一般采用定性和定量方法组合而成。在风险分析不适宜采用定量分析的情况下,或者用于定量分析所需要的足够可信的数据无法获得,或者获取成本很高时,公司通常采用定性分析法,通过对公司风险控制现状水平的对比分析,按照风险影响程度,将风险划分为“重要风险”与“一般风险”,从而为风险对策奠定基础。
1)重要风险:**
此类风险指风险影响程度较高,即使发生的频率并不高,仍需要采取特别关注的控制手段加以控制的风险。
2)一般风险:*
此类风险指风险影响程度较低,通过日常的运行控制基本不会发生或发生频率较低的风险。
4.6 风险对策
4.6.1根据风险分析的结果,结合风险发生的原因以及承受度,权衡风险与收益,按风险规避、风险转移、风险控制、风险承担的优先顺序选择风险应对方案(风险策略)。
1)风险规避
通过风险投入与产出分析后,决定主动放弃或终止认证活动来回避风险。该策略能避免潜在的或不确定的损失,但获得的收益的机会也同时丧失。
2)风险转移
通过签订保险、委托、保证、租赁等合同或协议,将自身可能的潜在损失以一定的方式转移给对方或第三方承担的行为,该策略可大大降低经济主体的风险。
3)风险控制
通过制定方案、计划和采取措施降低威胁发生的可能性或减轻威胁程度,如:管理措施、教育培训、应急措施等。
4)风险承担
通过准备《认证风险储备金》等方式承担风险损失,如果损失发生,利用该资金承担风险损失。风险自留包括无计划自留、有计划自我保险。
4.6.2在确定具体的风险应对方案时,应考虑以下因素:
1)风险应对方案对风险可能性和风险程度的影响,风险应对方案是否与公司的风险承受度一致;
2)对方案的成本与收益比较;
3)对方案中可能的机遇与相关的风险进行比较;
4)充分考虑多种风险应对方案的组合;
5)合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给公司经营带来重大损失;
6)经评估确认行之有效的、常态化的风险应对方案,应融入公司的日常业务过程中,纳入公司的服务文件。
4.6.3风险控制措施
根据经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对每一项风险制定风险控制措施。措施内容可包括:风险控制的具体目标、相关的责任领导或责任人、所涉及的管理及业务流程,所需的条件、手段等资源,以及风险事件发生前、中、后所采取的具体应对措施等。
目前,公司制定并实行的,行之有效的风险控制措施有:
1)关键岗位授权机制
针对申请评审、审核方案策划、认证业务范围管理、人员能力评价、认证决定、认证批准等各关键认证环节规定授权的对象、条件和范围,任何部门和个人不得越权做出风险性决定。
2)内部沟通与报告机制
公司和各职能岗位定期组织管理例会,与审核组之间建立沟通机制,及时传递和交流风险动向,研究和探讨风险应对策略,必要时及时报告上一级领导决策处置。
3)外部沟通与通报机制
公司通过合同和公开文件约定认证客户应承担的认证风险及应履行的认证责任,并对其遵守情况予以监查、处置。
4)重大风险预警和突发事件应急处理机制
通过设置专岗跟踪质量公告信息、定期组织认证有效性自查自纠、申诉和投诉处理程序等管理机制,避免重大风险的发生,确保突发事件得到及时妥善处理。
5)公正性风险审查机制
公司成立由认证的关键利益方代表组成的“维护性公正委员会”,每年组织针对认证活动进行一次公正性审查,协助公司制定与认证活动公正性有关的政策,监督公司的认证活动和财务状况,阻止妨碍认证活动持续客观性的任何倾向。
6)风险监视与处罚机制
公司建立内、外部审核监视机制,将风险控制指标纳入公司各职能部室的KPI考核指标,执行情况与绩效薪酬挂钩,对于违反规定给公司带来认证风险的责任人实施处罚。
7)财务审计检查机制
公司每年聘请有资质的审计单位进行财务审计,并对当年的财务收入来源和总体财务状况进行全面分析,保障投资者利益,确保财务风险保障能力。
4.7 风险评估与报告
4.7.1每年2月份技术总监组织各职能岗位,基于公正性风险识别与分析和认证风险识别与分析两个方面的风险评估结果,汇总编制《认证风险评估报告》,提交维护公正性
委员会审查、管理评审审议通过后予以内部公示。
1)公正性风险识别与分析
针对源自所有权、法人治理机构、管理层、人员、共享资源、财务、合同、培训、营销和其他的公正性威胁,逐一进行风险分析,确定风险等级,评估风险控制措施的有效性,形成《公正性风险识别与分析报告》。
2)认证风险识别与分析
将CNAS-RC02:2014《认证机构认可资格处理规则》中的暂停、撤销的处置原则,CNAS-EC-017:2013《认证机构认可风险分级管理办法》中评价标准不能评为A级和直接评为C级的问题、和CNCA《认证机构管理办法》中的处罚规定,按照认证流程逐项列出,对照公司现有控制水平确定风险等级,修订并完善风险控制措施,明确责任部门和关键责任人,形成《认证风险识别与控制工作标准》。
4.7.2风险评估过程,应重点考虑以下因素:
1)公司发展战略和规划;
2)年度经营指标;
3)风险控制措施的执行情况及有效性;
4)申诉和投诉的处理结果;
5)行业政策、法规的变化;
6)认可规范文件的修订;
7)市场营销环境;
8)关键认证人员的能力水平;
9)公司所有权、治理结构、最高管理者等方面的重大变更等。
4.7.3年度内,常务副总应结合内、外部环境因素的重大变化和行业政策、法规、规范文件的重大修订,及时更新风险评估报告,调整风险策略。
5.相关文件
①CXLM/CX-01《申请受理及审核实施管理程序》
②CXLM/CX-08《认证过程监控及纠正预防措施实施管理程序》
③CXLM/CX-09《申诉和投诉处理程序》
④CXLM/CX-12《认证管理人员管理程序》
⑤CXLM/GF-02《审核组工作规范》
⑥CXLM/GF-09《审核人员监视与考评管理规范》
⑦CXLM/GF-10《认证决定工作规范》
⑧CXLM/GF-15《维护公正性委员会工作规则》
6 相关记录
《认证风险评估报告》
《认证风险储备金》