“应对风险和机遇的措施”是2015版ISO9001、ISO14001标准新增加的条款，按新版标准的理解，申请认证的组织需要按照PDCA循环，在利用机遇的过程中去识别、分析、评价并处理风险。在《风险管理原则和指南》中,“风险”的定义是“不确定性对目标的影响”，“风险处理”的定义是“修正风险的过程”。风险处理采取的方法可包括：规避风险；为寻求机会，接受或提高风险；消除风险源；改变可能性；改变后果；风险转移和风险保留等方案/措施。

ISO/IEC 17021:2015《管理体系认证机构要求》于2015年6月15日发布实施后，在认证风险应对方面对认证机构提出了更明确的要求。该文件4.8 条款明确要求：认证机构需要考虑与提供有能力的、一致的和公正的认证相关的风险。5.2.3条款规定：认证机构应持续地识别、分析、评估、处置、监视与认证活动相关的风险。由此可以推断，认证风险管理必将成为认证机构日常管理活动的重要内容之一。如何充分识别并有效控制认证风险，已成为国内认证机构及管理体系认证审核员面临的重要任务。

认证风险是指认证机构在给定的情况下，通过控制自身认证活动所产生的认证结果的差异性。认证风险具有以下特征：

客观性：认证风险具有客观性，任何行业都会存在一定的认证风险，这是一种客观存在。

相对性：对于不同认证机构，由于风险控制能力不同，使得同类认证风险的表现程度有所不同。

可变性：认证风险是随客观环境变化的，也依赖于获证组织管理系统的变化。

可控性：认证风险多数是可以识别的，同时绝大部分认证风险是可以控制的。

众所周知，认证机构最严重的风险就是被停牌或撤销认证资格，对于一个规范的认证机构来说，当然不应发生这样的风险事故，认证机构要想获得持续长久的发展，应该更多地关注机构的品牌形象、关注证书所传递的信任价值。那么对认证机构来说，该识别、控制哪些风险呢？

第一种风险是认证机构发展战略选择所带来的风险。选择什么样的发展战略和运作模式，就决定了所带来的风险类别，不同的发展模式会涉及不同的风险。

第二种风险是人员带来的风险。拥有稳定并具备相应能力的员工队伍是认证机构持续发展的基础，是风险控制的前提。机构管理人员、审核人员对风险的认知水平、现场沟通及应对能力、专业素质、道德水准、健康状况、工作忠诚度等都是降低认证风险所需要的基本能力。

第三种风险是认证项目风险。任何一个行业的认证项目都有风险，这是一种客观存在，认证机构要有选择的进行认证，规避一些行业风险，对那些社会关注度高、风险大的行业，宜采取“有所为、有所不为”的策略。

第四种风险是认证活动风险。认证活动风险主要依靠内部管理和审核过程控制，避免弄虚作假、审核不充分的情况发生，确保认证结果的真实性和有效性。

第五种风险是证后连带责任风险，其重要性将在今后的认证事业中逐步显现。

那么，对审核员来讲，在审核过程中该如何规避审核风险呢？其中非常关键的一点是重视审核准备，防止策划不充分造成的审核风险。

审核组长在审核前要充分了解受审核方的信息，重视文件审核。包括了解受审核方的基本信息，核对认证范围。审核组长还应仔细查看认证申请材料，重点关注多名称、多地址的情况；固定场所之外的过程与活动及其发生的位置；有无申请范围内产品停产；认证范围是否在营业执照核定范围内；有无将应包含在体系范围内的要素从认证范围中剔除；换证审核时体系有无变更等。如果涉及多场所、多产品、多个子公司时，对审核范围的界定应特别慎重，要充分考虑受审核方的管理权限、活动与场所。

了解受审核方适用的法律法规，要求受审核方提供经营/执业资格证照及法规符合性证明材料，如环评（安评）批复、三同时验收、监测报告及守法证明、工业品生产许可证、强制性产品认证证书、特殊行业的生产经营资质如安全生产许可证等。

了解受审核方当前生产和/或服务的状况，相同性质的场所、职能、产品分布情况。对工程建设行业，需了解当年工程项目清单及进度报表，以便合理安排抽样计划，减少抽样风险。

了解受审核方管理体系运行时间是否充分，包括是否按规定进行了内部审核和管理评审，能否为审核提供充分的运行证据。

了解受审核方关键过程、重大环境因素、重大危险源等的控制情况。

另外，文件评审应充分，对文件评审中存在的问题，应明确告知受审核方，根据问题的严重程度以及其对现场审核造成的风险，确定审核是否继续或暂停，直至受审核方将文件问题解决。

根据上述信息的了解、沟通及文件审核的结果，审核组长应进行有效的审核策划，并初步判断项目风险的大小及风险所在，最终确定实施现场审核的可行性。

总之，无论是认证机构还是审核人员，都应牢固树立风险防范意识，养成科学、严谨的工作作风，严格执行认证认可准则，防止由于策划不充分、审核不严谨而造成的认证风险。同时，作为一名优秀的审核员，更要注重专业知识的学习和更新，避免由于自身能力不足而带来的审核风险，在审核过程中还要善于总结审核经验，识别审核过程中可能产生的风险并加以防范，确保审核结论的真实性、客观性和可追溯性。

                                                                 （山东国鉴认证有限公司   史聪颖）