李国琴:认证服务的风险管理与控制
本期文章是由卡狄亚小编为大家讲解认证服务的风险管理与控制
随着认证服务领域不断拓展,在国民经济和社会发展各领域都有广泛应用,认证服务业迅速发展壮大,获证组织持续大量增加,在满足经济社会发展需要的同时认证服务风险也日渐凸显,认证责任管理缺失或失控引发的认证服务违法违规事件时有发生。如何充分识别并有效管理和控制认证风险,建立科学有效的认证风险管理体系,成为认证机构在认证行业新发展形势下面临的重要任务。
一、认证风险管控的必要性
(一)履行社会角色职责的必然要求
认证机构作为认证服务的行业主体,在市场经济活动中肩负着“传递信任,服务发展”的重要使命,保证认证结果公正可信是认证机
构提供认证服务的本质属性和原则要求,也是其发挥质量管理“体检证”、市场经济“信用证”、国际贸易“通行证”作用的必然要求。《认证机构管理办法》第十三条强调:认证机构应当建立风险防范机制,对其从事认证活动可能引发的风险和责任,采取合理、有效措施,并承担相应的社会责任。因此,风险管理是认证机构正确履行社会角色职责、承担法定社会责任的必然要求。
(二)实现自身生存发展的必然要求
随着国内认证事业的飞速发展,认证机构间的竞争日趋激烈,认证风险也随之不断增大认证机构因自身风险管理意识不足造成认证事故时,轻者面临投诉、警告或罚款,重者则面临暂停或撤销机构从业资格。对于追求可持续发展的认证机构而言,无论是警告或罚款还是暂停或撤销认证资格,都将对其信誉、品牌、形象带来无形损失,影响认证机构的持续稳定发展。因此,风险管理已然成为认证机构日常运营管理过程中必不可少的重要环节,风险管理能力也是认证机构在市场经济活动中需要具备的重要基础能力。
(三)适应行业自律监管的必然要求
多年来,国家市场监督管理总局按照“放管服”改革总体要求,围绕“市场化、国际化、专业化、集约化、规范化”发展要求,全面建立以“双随机、一公开”监管和“互联网+监管为基本手段,以重点与专项监管为补充,以信用监管为基础的新型监管机制,形成了多部门
联合监管、多种监管手段相互融合的“全国一盘棋”监管格局。在此环境下,认证服务监督检查力度越来越大,抽样覆盖率逐年增加,认证风险或认证事故所带来的不良后果也更加凸品。认证机构只有正确认识并落实认证行业监管要求,加强行业自律,才能真正维护自身长远发展利益。
(二)公正性风险
公正性是认证机构立足社会、获得客户信赖的关键,是认证机构风险管理的首要任务公正性风险是指由于所有权、管理、人员、业务、分包、合同、商业、财务、营销等方面引发的利益关系或利益冲突对认证活动可能产生不利影响,从而导致损害认证活动公正性的风险公正性风险是认证机构面临的首要风险,认证机构与认证客户存在利益关系或利益冲突、认证机构与咨询机构之间存在利益分配关系、认证机构开展与认证客户相同的业务、认证机构或人员层面诚信缺失等,是影响认证公正性的具体表现,也是最常见的方式。
(四)满足国内国际新形势的必然要求为实现我国认证认可强国战略目标,助推中国企业及产品更好地“走出去”,我国参与认证国际合作的广度和深度不断拓展,国内认证机构不断“走出去”,认证机构国际业务规模大幅扩大,国际竞争力明显增强,但是我国认证工作还存在供给能力同需求不适应、社会公信力不足、品牌影响力不强、国际话语权有待提升、国际认证专业队伍人才欠缺等问题与此同时,进入新发展阶段、落实新发展理念构建新发展格局对认证行业服务经济社会高质量发展提出了更高要求。因此,认证机构必须强化风险管理思维,建立维护好信誉品牌,不断提升市场影响力和竞争力,更好地推动认证工作服务经贸发展、促进“一带一路”建设的作用。
(三)有效性风险
有效性风险是指在认证过程中由于认证机构、审核人员、认证客户等因素,造成认证有效性及法律法规符合性出现偏差,从而导致认证机构被监管部门处罚或发生法律纠纷。有效性风险是认证过程中发生最普遍、最频繁的风险,常见的有效性风险包括认证机构审核人员能力不足、认证方案内容不合理、对认证客户的认证范围界定不清晰、审核人员的审核活动偏离审核方案、认证活动未能有效识别和评价涉及行业特定的社会影响和特殊要求、认证客户向认证机构提供虚假信息等。
二、典型认证风险类型
(一)合规性风险
合规性风险是指认证机构因未能遵守适用于自身业务活动的法律法规、认证规则、行业规范、自律准则和监管要求而可能遭受法律或监管处罚、重大财务损失或声誉损失的风险。合规性是认证机构赖以生存和发展的内在需求和必然选择,合规性风险则是认证机构面临的基础性风险,通常表现为认证机构发展战略或业务目标定位偏离、认证机构合规管理意识和能力不足、审核人员管理不善和合规意识缺失等原因导致认证业务活动违反认证领域适用的
(四)其他风险
认证服务中的其他风险包括因认证合同不能按约履行造成违约的风险,认证客户发生质量、环境、职业健康安全、信息安全等事故对认证机构带来的连带责任风险等。
三、风险管理与控制
(一)风险识别认证服务中的风险识别是指在认证服务所
有领域、层次和活动中识别可能影响认证合规性、公正性和有效性等影响认证机构战略和业务目标实现的有关因素。认证机构可以采取问卷调查、小组讨论、专家咨询、情景分析、政策分析、行业标杆比较等方式对认证风险因素进行准确识别,并进一步对认证风险进行分类形成文件化的认证风险清单。
认证服务风险识别过程中,认证机构应当准确识别与实现认证业务目标相关的内部风险和外部风险,内部风险识别可以重点关注管理机制、认证能力、认证过程和认证人员等方面的风险,外部风险识别可以重点关注法律法规监管要求、经济形势、产业政策、市场竞争资源供给、技术进步等方面的风险。
当风险识别的基础条件或风险因素发生重大变化时,如所有权变更、组织变更、管理层变更等,认证机构应重新进行认证风险识别和风险分析评价,并及时调整风险控制措施。
(二)风险分析评价
认证服务风险分析评价主要从风险发生的可能性和对认证业务目标的影响程度两个角度,对识别的风险进行分析和评价,确定风险的重要程度和优先控制等级。风险分析评价一般采用定性或定量的方法。在风险分析评价不适宜采取定量分析的情况下,或者用于定量分析所需要的足够可信的数据无法获得,再或者获取成本很高时,通常采用定性分析法。表给出了一种根据风险发生可能性和风险影响程度定性分析评价认证服务风险的结果示例。
表1 认证服务风险分析评价结果示例
影响程度轻微影响可能性极小可能发生很低风险低风险可能发生极大可能发生中等风险
一般影响
低风险中等风险
高风险
严重影唁中等风险高风险很高
值得注意的是,服务认证风险分析评价应当充分吸收专业人员,组成风险分析评价团队,
以确保风险分析评价结果的准确性。
(三)风险控制
认证机构应当根据风险分析评价得到的风险等级结果,结合风险发生的原因以及风险承受度和容忍度,权衡风险控制成本与经营收益,选择规避风险、接受风险、降低风险或转移风险等风险管理策略,最终确定和采用适宜的控制措施管理认证风险。
对于高/很高风险,可制定专门的风险管理解决方案,明确管理目标、组织领导、所需资源以及风险事件发生前、中、后所采取的具体应对措施。同时,对高/很高风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施,以有效控制高/很高风险的发生,对于中等风险,可重点将中等风险所涉及的各个管理和业务流程中的关键环节作为控制点,选择和采取相应的控制措施,在内部相关职能和层次明确责任主体加以严格执行。
对于低/很低风险,可按照认证机构内部自身情况和风险偏好采取相应控制措施。
结语
认证服务机构在实施认证服务的各环节中均存在风险,这些风险所导致的后果将影响认证机构战略目标和业务目标的实现。因此,建立和有效实施认证风险管控机制,实现对履行认证责任的有效管理,是认证机构内部建设和管理中极为重要的工作,同时也是认证机构在市场活动中必须具备的基本能力。为避免因认证责任管理缺失或失控等造成认证风险事件带来不良后果,认证机构宜将风险管理和控制要求融入战略规划、经营理念、组织架构、职责权限、管理要求、业务过程、绩效考核等方面建立健全认证风险管理和控制所需要的约束和控制机制,从而达到有效管理和控制认证风险的目标。
www.gicg-sh.com.cn
