iso体系认证标准中关于要保持的文件化信息要求的强制性规定较少，种更高的灵活性允许要求所记录的信息与所生产的产品或所提供的服务的复杂性和重要性相匹配。如果存在大风险或潜在的不合规情况，则需要更多控制来降低风险和潜在影响的可能性。记录的信息可能包括程序，工作指令，图纸，清单，数据表，以及被认为适合组织运营的媒体或记录，以及基于风险的识别风险和应对风险的方法，如人员能力，材料，工艺程序或设备，设施，产品和服务的工作说明是必不可少的。 

iso认证不要求正式的风险评估，织将确定是否需要进行正式的风险评估，并在必要时确定最合适的风险评估方法，质量管理体系审核将要求审核员，顾问和其他相关方使用不同的方法来确定组织是否符合iso认证标准的要求。审核员必须了解与产品，服务和审核流程相关的风险，并能够审核用于管理这些风险的控制的有效性。

iso认证公司应考虑以下措施，获得iso体系认证文本并熟悉其要求。通过认证机构，专业评估和认证委员会，其他认可的培训提供商参加iso体系认证培训。考虑培训，险管理，则和指南，以确保熟悉基本的风险管理实践和术语。通过iso体系认证网站下载基于风险的方法的免费文件和幻灯片。这些信息有助于促进和理解基于风险的方法。对现有质量管理体系进行差距分析。认证机构必须提供适合此目的的清单。联系认证机构，如果组织正在计划或正在获得iso体系认证，请联系认证机构以确定何时开始颁发iso体系认证。