iso认证机构建立风险管理机制的必要性
iso认证机构每发放一张认证证书,意味着获得认证服务收益的同时也可能引进新的风险。所以,有必要从建立和维护声誉出发建立认证风险管理机制,包括向取证组织宣传风险管理意识,督促建立风险管理机制。以三鹿奶粉事件为例,消费者投诉等信息已显现了三鹿奶粉的问题,但为何未引起各方注意?是否可以认为,因为有关方面缺乏风险意识和管理机制,没有将消费者投诉、三聚氰胺对人体危害、消费对象的生理特征、企业已获得的检测数据等有效信息从风险角度给予分析,辨识不了所面临的不可接受风险。
iso认证机构应建立风险管理机制,区分不同专业领域、产品风险特征、与法规相关程度等,规定一个过程评估风险,决策可接受风险原则和水平,在合同评审阶段应详尽了解被认证方的产品形成步骤、管理机制及管理现状等,分析可能出现不可接受风险的关注点,并进行有效沟通,以便对现场审核作针对性的策划。如,专业审核人员、审核人日数和日程安排中考虑审核侧重点。现场审核时应从抽样样本的发现来考虑“会在哪儿出错?",继而有的放矢实施追溯。认证决定时结合固定信息和现场审核中发现的动态信息进行分析,觉察风险后充分讨论再作出判定,并为持续完善认证决策保存信息。
在认证证书有效周期内,iso认证机构还应关注取证方在获得认证后的动态信息,收集每次现场监督审核和从各方面得到的取证方的信息,包括识别取证方所在行业的潜规则和社会上与认证范围有关的不良倾向,以及该组织认证范围内有关的新的或者修订的有关法律法规和强制性标准,甚至考虑最新技术应用可能导致的风险。通过开展适当的风险受益评审,可以动态地决定预期受益是否超过剩余风险。如果在采取措施后,有关证据仍不支持受益超过剩余风险的结论,则剩余风险是不可接受的。