管理體系認證基礎簡答-風險管理相關

1、試述應對風險和機遇的措施的原理及内涵，你作為稽核員怎麼稽核？

1)“應對風險和機遇的措施”的原理及内涵：

在策劃管理體系時，組織應考慮到4.1所提及的因素和4.2所提及的要求，并确定需要應對的風險和機遇。

确定風險和機遇并不是目的，目的是通過策劃應對這些風險和機遇的措施，確定組織能夠實作管理體系的預期結果，預防或減少非預期影響，并實作持續改進。

應對風險和機遇的策劃，可能輸出多個措施。按照系統思維，還要将這些措施進行整合後予以實施，以減少措施之間的接口，也可以避免重複。依據PDCA理論，還要對措施的有效性進行評價。

由于特定管理體系有其明顯的領域特征，是以，特定管理體系往往在二級條款的基礎上，可增加與特定管理體系相關的三級和四級條款。

由于風險管理是一個系統的管理過程，是以高層結構并不要求組織針對一個特定管理體系專門再建立風險管理體系，除非組織主動地建立風險管理體系。

2)稽核“應對風險和機遇的措施”這一條款按照如下步驟：【GB/T19011-2021-P29-30】

A.10對風險和機遇的稽核

稽核組織風險和機遇的确定和管理可作為單個稽核的一部分工作。此項稽核工作的核心目标是：

①确認風險和機遇識别過程的可信性，

②确認正确地确定和管理了風險和機遇；

③評審組織如何應對其所确定的風險和機遇。

對組織确定風險和機遇的方法的稽核不應作為孤立的活動來進行。應隐含在對管理體系的整個稽核過程中，包括對最高管理者的訪談。稽核員應按照下列步驟稽核并收集如下客觀證據。

a)組織用于确定其風險和機遇的輸入，可包括：

①對外部和内部因素的分析：

②組織的戰略方向；

③與特定領域的管理體系有關的相關方以及他們的要求；

④風險的潛在來源，例如環境因素、安全危險源等。

b)評價風險和機遇的方法，不同領域和專業可能不同。

組織對其風險和機遇的處理。包括其希望接受的風險水準以及如何控制風險，需要稽核員應用專業判斷。

2、為了使風險管理有效，組織宜在各層次中遵循的原則有哪些？

《管理體系認證基礎》P45

1)風險管理創造和保護價值；

2)風險管理是整合所有組織過程中的部分；

3)風險管理支援決策；

4)風險管理有助于解決不确定問題；

5)風險管理具備系統性、結構化和及時性；

6)風險管理基于最可用的資訊；

7)風險管理是量體裁衣的；

8)風險管理要考慮人文因素；

9)風險管理是透明和包容的；

10)風險管理是動态、選代和應對變化的；

11)風險管理可以實作組織的持續改進。

3.實施風險管理有助于組織獲得的效果有哪些？《管理體系認證基礎》P45-46

（1）提高實作目标的可能性；

（2）鼓勵主動性管理；

（3）在整個組織意識到識别和處理風險的需求；

（4）改進機會和威脅的識别能力；

（5）符合相關法律法規要求和國際規範；

（6）改進強制性和自願性報告；

（7）改善治理；

（8）提高利益相關方的信心和信任；

（9）為決策和規劃建立可靠的根基；

（10）加強控制；

（11）有效地配置設定和利用風險處理的資源；

（12）提高營運的效果和效率；

（13）增強健康安全績效，以及環境保護；

（14）改善損失預防和事件管理；

（15）減少損失；

（16）提高組織的學習能力；

（17）提高組織的應變能力。

4.認證風險管理

《管理體系認證基礎》P200

（1） 認證風險識别和評估；

（2） 認證風險對策；

（3） 認證風險的控制；

（4） 風險控制分析。

一、認證風險識别和評估

認證風險識别和評估：認證機構實施認證服務應符合适用的法律法規和認可規範要求，稽核結果資訊的真實可靠，確定認證有效性和效率。

認證風險成因主要包括：盲目進入高風險專業領域、受理高風險認證項目、稽核方案策劃和實施有缺陷、報告複核認證決定失效、認證機構個别人員工作不規範、認證機構經營管理出現重大失誤。

認證風險影響因素：認證制度缺陷、認證人員失誤、獲證組織活動的偏離，如獲證組織的認證意圖、上司意識、合規性、突發事件、外包方規範性、法律法規要求變化、其他外部因素影響。

二、認證風險對策：包括風險承擔；風險規避、風險轉移、風險控制。

風險規避：在認證全過程明确相關規定，控制認證風險的發生，包括明确不進入的認證領域和認證範圍，明确不予受理的情況，明确終止稽核的情況，明确不予準許認證，以及獲證組織發生偏離後，暫停或撤銷認證的規定等，以規避認證風險。

風險轉移：投保認證責任險，以轉移認證風險。

風險控制：做好認證風險控制管理工作，包括提高認證管理人員和稽核人員的風險意識和業務能力、加強内部管理和監督檢查、建立風險控制管理制度、建立突發事件應急處理制度、向維護公正性管理委員會報告和接受指導等。

三、認證風險的控制

（1）開拓新認證領域和擴大認證業務範圍的風險控制。

（2）認證受理的風險控制。

（3）策劃稽核方案的風險控制。

（4）稽核活動的風險控制。

（5）認證決定的風險控制。

四、風險控制分析

認證機構應實施常态化的統計和品質分析，在認證業務運作中關注公司經營績效和規範運作，確定為客戶提供穩定的認證服務。

認證機構通過内部稽核、認可評審、國際同行評審、政府監督部門檢查發現的重大違規運作的不符合資訊的收集和分析，根據對體系運作和監控結果的分析，編制年度風險分析報告。針對機構面臨的風險，采取措施實施風險管理。