Chứng nhận IATF 16949: 2016 - Các Câu Hỏi Thường Gặp (PHẦN 2)

No.

TÀI LIỆU THAM KHẢO

CÂU HỎI VÀ CÂU TRẢ LỜI

9

8.4.2.2

Yêu cầu pháp lý và quy định

8.6.5

Tuân thủ quy định và quy định

CÂU HỎI 1:

Quan điểm (về sự tuân thủ theo luật định và quy định) là gì? Điều gì được coi là bằng chứng đầy đủ về sự phù hợp với các yêu cầu pháp lý và quy định hiện hành (8.6.5)?

TRẢ LỜI 1:

Như được định nghĩa trong 8.3.3.1 g) và 8.3.4.2, tổ chức được yêu cầu phải có phương pháp nghiên cứu, xác định, có được bản sao, xem xét, hiểu và đảm bảo tuân thủ các yêu cầu theo luật định và quy định đối với sản phẩm mà họ đang sản xuất quốc gia nơi họ đang sản xuất sản phẩm và quốc gia đến nơi họ đang vận chuyển sản phẩm đến.

Mục đích của 8.4.2.2 là tổ chức thiết kế phương pháp phát triển sản phẩm / quy trình kinh doanh và phương pháp quản lý nhà cung cấp / quy trình kinh doanh của họ, một hoặc nhiều cách tiếp cận để có được xác nhận và bằng chứng từ nhà cung cấp của họ rằng sản phẩm và dịch vụ được cung cấp bởi nhà cung cấp tuân thủ các yêu cầu theo luật định và quy định của quốc gia nơi nhà cung cấp đang sản xuất, quốc gia nơi tổ chức đang sử dụng và quốc gia nơi tổ chức giao sản phẩm của họ cho khách hàng.

Mục đích của 8.6.5 là yêu cầu tổ chức kiểm tra hồ sơ tuân thủ / tuân thủ nhận được từ nhà cung cấp để đảm bảo rằng mã lô, số lô hoặc thông tin truy nguyên có thể so sánh cho sản phẩm được cung cấp bởi bằng chứng do nhà cung cấp cung cấp. Điều này có thể được thực hiện sau khi nhận được từ nhà cung cấp, hoặc trong khi sản phẩm nằm trong hàng tồn kho, nhưng phải được thực hiện trước khi đưa sản phẩm vào dòng sản xuất của tổ chức.

CÂU HỎI 2:

Ý định của khoản 8.4.2.2 có thay đổi từ ISO / TS 16949 thành IATF 16949 không?

TRẢ LỜI 2:

Mục đích của mệnh đề không thay đổi. Yêu cầu ISO / TS 16949 là “Tất cả sản phẩm đã mua phải phù hợp với các yêu cầu pháp lý và quy định hiện hành”. Trong từ ngữ “giọng nói bị động” này, IATF quyết định mong đợi của họ không rõ ràng. Yêu cầu mới là rõ ràng hơn về những gì sẽ được thực hiện, khi nó được thực hiện, và những bằng chứng được yêu cầu để hỗ trợ tuân thủ.

CÂU HỎI 3:

Làm thế nào để bạn quản lý và duy trì kiến ​​thức hiện tại về các yêu cầu pháp lý và quy định đối với các nhà cung cấp quốc tế?

TRẢ LỜI 3:

IATF 16949, phần 8.6.5, không yêu cầu tổ chức phải nhận thức hoặc giữ danh sách tất cả các yêu cầu pháp lý và quy định quốc tế đối với các quy trình, sản phẩm hoặc dịch vụ được cung cấp bên ngoài mà họ mua.

Tổ chức được yêu cầu xem xét kết quả kiểm toán, hoặc xác minh theo định kỳ, rằng quy trình của nhà cung cấp là mạnh mẽ và đảm bảo tuân thủ các yêu cầu pháp lý, quy định và các yêu cầu mới nhất tại các quốc gia nơi chúng được sản xuất và ở các nước được khách hàng xác định chỉ định.

CÂU HỎI 4:

Làm thế nào hệ thống của chúng tôi có thể hiểu được các yêu cầu theo luật định và quy định nếu chúng không được khách hàng truyền đạt đến tổ chức?

TRẢ LỜI 4:

Các mệnh đề như diễn đạt kỳ vọng khách hàng cung cấp thông tin cho tổ chức nơi sản phẩm sẽ được chuyển đến. Những thay đổi đối với các yêu cầu pháp lý và quy định hiện hành do những thay đổi trong các điểm đến này chỉ là yêu cầu đối với tổ chức “nếu được cung cấp” bởi khách hàng.

10

8.4.2.3.1

Phần mềm liên quan đến sản phẩm ô tô hoặc sản phẩm ô tô có phần mềm được nhúng

CÂU HỎI 1:

Định nghĩa “phần mềm nhúng” là gì? Khi nào nó được áp dụng?

TRẢ LỜI 1:

Định nghĩa chính thức của phần mềm nhúng sẽ được phát hành như là một giải thích xử phạt IATF 16949 tương lai (SI).

Phần mềm nhúng là chuyên biệt cho phần cứng cụ thể mà nó chạy trên và thường có những hạn chế về thời gian và bộ nhớ.

Khả năng tự đánh giá khả năng phát triển phần mềm được thực hiện khi tổ chức có trách nhiệm thiết kế và phát triển phần mềm để đáp ứng các đặc điểm hoặc yêu cầu của khách hàng.

Nếu tổ chức ký hợp đồng với quy trình phát triển phần mềm để sử dụng trong một phần sản phẩm, thì tổ chức cần đảm bảo rằng nhà cung cấp chịu trách nhiệm thiết kế và phát triển phần mềm đã thực hiện tự đánh giá khả năng phát triển phần mềm ô tô.

CÂU HỎI 2:

Nếu tổ chức không phát triển phần mềm nhúng, tổ chức có chuyên môn để đánh giá phần mềm được cung cấp bởi nhà cung cấp như thế nào?

TRẢ LỜI 2:

Nếu tổ chức không chịu trách nhiệm thiết kế và phát triển phần mềm nhúng, thì tổ chức cần đảm bảo nhà cung cấp chịu trách nhiệm đã xác thực chức năng của phần mềm và đáp ứng các yêu cầu của khách hàng.

11

8.7.1.7

Bố trí sản phẩm không phù hợp

CÂU HỎI 1:

Mục đích và yêu cầu về “dựng hình không sử dụng được” trước khi thải bỏ là gì? Khi nào và ở đâu thì "hiển thị không sử dụng được" sản phẩm cần phải xảy ra?

TRẢ LỜI 1:

Mục đích là để đảm bảo rằng sản phẩm không thể tìm được đường vào thị trường hậu mãi không chính thức, lên một phương tiện giao thông đường bộ hoặc vô tình được chuyển đến khách hàng.

Quá trình kết xuất sản phẩm không phù hợp không sử dụng được, không phải xuất hiện trong khu vực sản xuất miễn là sản phẩm được trả lại không sử dụng được trước khi thải bỏ cuối cùng.

CÂU HỎI 2:

Tổ chức kiểm soát điều này như thế nào?

TRẢ LỜI 2:

Tổ chức chịu trách nhiệm phát triển và thực hiện quy trình định vị sản phẩm không phù hợp và xác minh tính hiệu quả của nó.

CÂU HỎI 3:

Tổ chức có thể sử dụng nhà cung cấp dịch vụ để làm cho sản phẩm không sử dụng được không?

TRẢ LỜI 3:

Có, có thể chấp nhận hợp đồng quá trình hiển thị sản phẩm không sử dụng được với nhà cung cấp dịch vụ. Nếu nhà cung cấp dịch vụ được sử dụng, tổ chức cần phê duyệt và định kỳ xác minh, cách nhà cung cấp đang hiển thị sản phẩm không sử dụng được.

CÂU HỎI 4:

Bố trí sản phẩm không phù hợp chỉ áp dụng cho sản phẩm cuối cùng hay nó cũng áp dụng cho lắp ráp phụ thành phần / tạm thời?

TRẢ LỜI 4:

Yêu cầu này áp dụng cho sản phẩm đã trải qua quá trình phê duyệt từng phần và tổ chức đang giao hàng cho khách hàng.

CÂU HỎI 5:

Để hiển thị không sử dụng được, cần phải thực hiện bao nhiêu thiệt hại cho sản phẩm không phù hợp?

TRẢ LỜI 5:

Sản phẩm không phù hợp cần được hiển thị không sử dụng được và không thể sửa chữa được. Không có yêu cầu nghiền hoặc nghiền sản phẩm thành nhiều phần.

12

Trong suốt tiêu chuẩn IATF 16949

CÂU HỎI:

Có thể chấp nhận để ghi lại nhiều quy trình trong một “quy trình được ghi chép” không? Hay họ từng phải là các quy trình được ghi chép riêng lẻ?

CÂU TRẢ LỜI:

Có, có thể chấp nhận cho một tổ chức nhóm nhiều quy trình được ghi thành một (hoặc nhiều) quy trình. Mỗi quá trình được lập tài liệu không phải là một quá trình độc lập. Các tổ chức nên ghi lại các quy trình của mình vì nó có ý nghĩa đối với nhu cầu kinh doanh và tổ chức cá nhân của họ.

13

4.4.1.2 An toàn sản phẩm

CÂU HỎI:

Các yêu cầu về mức độ đào tạo và các tiêu chí cụ thể được yêu cầu để được xác định liên quan đến an toàn sản phẩm (4.4.1.2) là gì?

CÂU TRẢ LỜI:

Như với tất cả các yêu cầu về năng lực của nhân viên, những người được giao nhiệm vụ cụ thể cần phải có thẩm quyền cho nhiệm vụ đó. Thẩm quyền đó cần bao gồm các quy tắc và quy định liên quan đến nhiệm vụ.

Các yêu cầu an toàn trong 4.4.1.2 rất cụ thể về những gì được yêu cầu. Các phần bao gồm, đề cập đến phần IATF 16949 4.4.1.2: a) các nhà cung cấp dự kiến ​​sẽ nhận thức được tất cả các yêu cầu theo luật định và quy định liên quan đến thị trường để sử dụng các bộ phận, như được xác định bởi khách hàng. Các nhà cung cấp cần phải biết nơi để nghiên cứu các quy định cho tất cả các quốc gia hoặc khu vực bị ảnh hưởng.

b) Các chi tiết cụ thể của khách hàng sẽ xác định mọi yêu cầu thông báo của khách hàng; do đó, kiến ​​thức về các chi tiết cụ thể của khách hàng (có thể được giảng dạy bởi một chuyên gia về vấn đề được chỉ định nội bộ).

c) Các chấp thuận đặc biệt đối với các thiết kế FMEA sẽ được xác định trong các chi tiết cụ thể của khách hàng, xem mục b) ở trên.

d) và e) Việc xác định các đặc điểm liên quan đến an toàn sản phẩm và kiểm soát của chúng sẽ được xác định bởi khách hàng trong định nghĩa của các đặc tính đặc biệt và các điều khiển bắt buộc. Nhân viên phát triển PFMEA và Kế hoạch kiểm soát sẽ cần phải am hiểu trong các lĩnh vực của (các) tài liệu khách hàng của họ.

Mỗi mục hàng f) đến m) cũng có thể được phân tích tương tự để xác định mức độ đào tạo và nguồn của đào tạo đó cho từng yêu cầu trong các yêu cầu an toàn.

Vì nhiều yêu cầu phụ thuộc vào yêu cầu cụ thể của khách hàng, nên không có đào tạo công nghiệp hoàn chỉnh nào về chủ đề này. Tổ chức cần xem xét các yêu cầu của khách hàng và các quy định liên quan đến từng bộ phận của nó phù hợp với quốc gia dự định sử dụng và các đặc điểm của bộ phận liên quan đến an toàn.

Một số khách hàng có thể có yêu cầu cụ thể về an toàn sản phẩm, đào tạo, kiến ​​thức và nhân sự. Trách nhiệm của tổ chức là hiểu được các yêu cầu cụ thể của khách hàng liên quan đến an toàn sản phẩm.

14

7.1.5.3.2

Phòng thí nghiệm bên ngoài

CÂU HỎI:

Có yêu cầu giấy chứng nhận hiệu chuẩn hoặc báo cáo (kiểm tra) của phòng thí nghiệm bên ngoài mang dấu (hoặc logo hoặc biểu tượng) của cơ quan kiểm định quốc gia có liên quan đã được phòng thí nghiệm công nhận theo tiêu chuẩn ISO / IEC 17025 không?

CÂU TRẢ LỜI:

Có, chỉ có các giấy chứng nhận hiệu chuẩn hoặc báo cáo thử nghiệm bao gồm cả dấu của cơ quan kiểm định quốc gia mới được chấp nhận.

Dấu kiểm định (thường được gọi là "biểu tượng công nhận" hoặc "biểu tượng công nhận") của cơ quan kiểm định quốc gia cung cấp bằng chứng được chứng minh rằng các dịch vụ kiểm định, kiểm tra hoặc hiệu chuẩn được thực hiện theo phạm vi công nhận và tuân thủ các yêu cầu của ISO / IEC 17025 và chịu sự giám sát của cơ quan kiểm định quốc gia.

15

8.3.2.3

Phát triển sản phẩm bằng phần mềm nhúng

CÂU HỎI:

Phương pháp được chấp nhận để đánh giá khả năng phát triển phần mềm của nhà cung cấp là gì?

CÂU TRẢ LỜI:

Mục đích của IATF 16949, Mục 8.3.2.3 là áp dụng cùng một mức độ nghiêm ngặt cho sự phát triển của phần mềm như mong đợi trong sự phát triển của các bộ phận phần cứng. Cũng giống như các bộ phận, phần mềm đã xác định hiệu suất, điều kiện hoạt động, đầu vào được xác định, thông số môi trường (ví dụ: kích thước của tệp), yêu cầu quy định (nếu có), chế độ lỗi đã biết, hồ sơ sử dụng, biến đổi điều kiện hoạt động, v.v. .

Việc lập kế hoạch, thiết kế, viết, thử nghiệm, xác nhận và các giai đoạn xác nhận sản xuất trong việc phát triển phần mềm không khác biệt nhiều về khái niệm từ việc phát triển các bộ phận phần cứng. IATF 16949 cung cấp một khuôn khổ mạnh mẽ để xác nhận rằng tất cả các bước cần thiết đã được thực hiện để thiết kế, xác minh và sản xuất các bộ phận phần cứng tiếp tục đáp ứng đặc điểm kỹ thuật trong sản xuất hàng loạt. Trong khi khái niệm tương tự, các bước này không giống nhau cho sự phát triển của phần mềm. Do đó, một bộ tiêu chí khác được sử dụng để đánh giá các phương pháp được sử dụng để phát triển phần mềm.

Những tiêu chí này không được bao gồm trong IATF 16949; do đó, các phương pháp khác được đề cập đến, chẳng hạn như SPICE và CMMI. Có thể có các phương pháp có thể chấp nhận khác được xác định bởi một số khách hàng. Mỗi khách hàng có thể có một công cụ ưu tiên để đánh giá khả năng phát triển phần mềm của nhà cung cấp. Tổ chức nên yêu cầu (các) khách hàng của họ xác nhận công cụ đánh giá có thể chấp nhận được. Mỗi khách hàng cũng có thể chỉ định một cách tiếp cận khác được sử dụng (ví dụ: đánh giá trên trang web của khách hàng, tự đánh giá nhà cung cấp hoặc kết hợp cả hai).

Vai trò của kiểm toán viên nội bộ hoặc bên ngoài của IATF 16949 không có kiến ​​thức để tiến hành đánh giá Ô tô SPICE hoặc CMMI. Tuy nhiên, kiểm toán nội bộ hoặc bên ngoài phải đủ quen thuộc với các đánh giá để có thể nhận ra khi một yêu cầu đánh giá phần mềm chưa được đáp ứng và có các kế hoạch hành động khắc phục tại chỗ, với các nguồn lực phù hợp được giao. Kiểm toán viên nội bộ và bên ngoài của IATF 16949 cũng nên biết liệu khách hàng có tham gia vào đánh giá phát triển phần mềm đó hay không và cách tài liệu đó được ghi nhận như thế nào.

16

8.4.2.4.1

Đánh giá của bên thứ hai

CÂU HỎI:

Nếu có rủi ro thấp với (các) nhà cung cấp của tổ chức, thì có phải yêu cầu đánh giá của bên thứ 2 không? Mục đích là gì?

CÂU TRẢ LỜI:

Phương pháp tư duy dựa trên rủi ro, theo tiêu chuẩn ISO 9001: 2015, cần được đưa vào quản lý nhà cung cấp. Phân tích rủi ro cần được hoàn thành và tùy thuộc vào kết quả đánh giá rủi ro (xem bên dưới), khi đó việc đánh giá của bên thứ 2 có thể không cần thiết.

Để hỗ trợ phân tích rủi ro, tổ chức cần xem xét các tiêu chí như: trạng thái chứng nhận nhà cung cấp, độ phức tạp của hàng hóa, khởi chạy sản phẩm mới, chuyển đổi nhân viên quan trọng, vấn đề chất lượng sản phẩm, vấn đề phân phối, yêu cầu cụ thể của khách hàng và các rủi ro khác tổ chức hoặc cho (các) khách hàng của họ.

17

8.5.6.1.1

Tạm thời thay đổi quy trình điều khiển

CÂU HỎI:

Có phải có một điều khiển quá trình thay thế cho mỗi điều khiển chính được chỉ định trong kế hoạch kiểm soát không?

CÂU TRẢ LỜI:

Không, nó không phải là một yêu cầu để có một điều khiển quá trình thay thế cho mỗi kiểm soát chính.

Khi giới thiệu sản phẩm mới, một tổ chức nên xem xét rủi ro của kiểm soát chính có khả năng thất bại và, dựa trên rủi ro và mức độ nghiêm trọng của chế độ thất bại, quyết định nơi cần điều khiển quá trình thay thế. Khi cần điều khiển quá trình dự phòng hoặc thay thế, thì cả điều khiển quá trình chính và thay thế phải được xác định trong quy trình, PFMEA, kế hoạch kiểm soát và công việc chuẩn hóa sẵn có.

Đối với các quy trình hiện tại, trong trường hợp có sự thất bại trong quá trình điều khiển chính, và không có điều khiển quy trình thay thế nào được xác định, tổ chức nên xem xét rủi ro (ví dụ FMEA) và nếu được chấp thuận, phát triển công việc được chuẩn hóa để kiểm soát quá trình thay thế, thực hiện kiểm soát, xác minh tính hiệu quả thông qua quản lý hàng ngày và sau đó xác thực lại khi điều khiển chính được khôi phục.

Định kỳ, tổ chức sẽ xem xét các trường hợp nơi các biện pháp kiểm soát quy trình thay thế đã được sử dụng và coi đây là đầu vào để cập nhật quy trình xử lý, FMEA và kế hoạch kiểm soát.

(Xem PL 11)

18

Đánh giá hệ thống quản lý chất lượng

9.2.2.2

CÂU HỎI:

Tại sao chu trình đánh giá lại tăng lên 3 năm? Điều này có nghĩa là một tổ chức có thể chờ đợi để thực hiện kiểm toán QMS trong năm thứ 3? Hoặc các cuộc đánh giá dự kiến sẽ được thực hiện trong các năm 1, 2 và 3?

CÂU TRẢ LỜI:

Tất cả các quy trình hệ thống quản lý chất lượng cần phải được đánh giá và đánh giá định kì trong khoảng thời gian ba năm, với chương trình kiểm toán hàng năm giải quyết các quy trình QMS, được ưu tiên dựa trên rủi ro. Tuy nhiên, nó không phải là mục đích của yêu cầu này để cho phép tất cả các quá trình được đánh giá ba năm một lần.

Chu kỳ đánh giá hoàn chỉnh vẫn còn 3 năm. Trong 3 năm của chu kỳ đánh giá, tất cả các quy trình và tất cả các ca được yêu cầu phải được đánh giá cho tất cả các yêu cầu áp dụng trong tiêu chuẩn IATF 16949, bao gồm các yêu cầu cơ sở ISO 9001 và bất kỳ yêu cầu cụ thể nào của khách hàng.

Một ví dụ điển hình của chu kỳ đánh giá 3 năm sẽ là thể hiện tất cả các yêu cầu hệ thống quản lý chất lượng trong tổ chức và xác định, dựa trên rủi ro, trong đó mỗi chương trình đánh giá hàng năm sẽ được đánh giá.

9.2.2.3 Đánh giá quy trình sản xuất

CÂU HỎI:

Đối với mỗi đợt đánh giá quá trình sản xuất, tất cả các ca làm việc phải được bao trả?

CÂU TRẢ LỜI:

Mỗi lần đánh giá không phải bao gồm tất cả các thay đổi trong một đánh giá (ví dụ đánh giá quá trình ép có thể được thực hiện trên ca 1 và 2, chuyển đổi lấy mẫu trong năm 1, và sau đó trong năm 2 hoặc 3 đánh giá được thực hiện vào lần thứ ba thay đổi để nhấn). Tuy nhiên, tất cả các quy trình sản xuất phải được đánh giá trên tất cả các ca trong chu kỳ ba năm, tần số tùy thuộc vào rủi ro, hiệu suất, thay đổi, v.v.

20

9.2.2.4

Đánh giá sản phẩm

CÂU HỎI:

Tại sao không có tần suất đánh giá được xác định cho đánh giá sản phẩm?

CÂU TRẢ LỜI:

Tần suất đánh giá phải được xác định dựa trên độ phức tạp của rủi ro và sản phẩm (Xem ISO 9001, Mục 9.2.2). Nếu một tổ chức có rủi ro cao và phức tạp về sản phẩm cao, chúng tôi đề nghị tăng tần suất đánh giá sản phẩm.

21

8.6.2 Kiểm tra bố cục và chức năng

CÂU HỎI:

Kiểm tra bố cục có khác với việc xác nhận lại sản phẩm hay kiểm tra chức năng không?

CÂU TRẢ LỜI:

Có, như đã nêu trong Chú giải 1 của 8.6.2 của IATF 16949, [Kiểm tra bố cục là phép đo hoàn chỉnh tất cả các kích thước sản phẩm được hiển thị trên (các) bản ghi thiết kế); kiểm tra bố trí được giới hạn trong đo lường và yêu cầu về chiều. Đo lường hiệu suất hoặc vật liệu không được bao gồm trong kiểm tra bố cục.

Việc xác nhận lại sản phẩm thường ngụ ý xác nhận đầy đủ tất cả các yêu cầu phê duyệt sản phẩm (ví dụ: PPAP hoặc PPA) và do đó vượt quá phạm vi kiểm tra bố cục.

Kiểm tra / xác minh chức năng thường sẽ bị hạn chế đối với các phép đo hiệu suất và vật liệu chẳng hạn như độ bền hoặc độ bền kéo và sẽ không bao gồm các phép đo chiều.

Trường hợp tần số không được xác định bởi khách hàng, tổ chức có trách nhiệm xác định tần suất kiểm tra bố cục.

Kiểm tra bố cục là một phần của việc xác nhận lại sản phẩm, nếu yêu cầu xác nhận sản phẩm là do khách hàng yêu cầu.

Việc kiểm tra bố cục đang diễn ra và các yêu cầu kiểm tra chức năng được xác định trong kế hoạch kiểm soát. Nếu các yêu cầu cụ thể của khách hàng tồn tại, thì các yêu cầu đó (bao gồm cả kiểm tra bố trí và các yêu cầu kiểm tra chức năng) cũng được bao gồm trong kế hoạch kiểm soát.

22

9.2.2.4 Đánh giá sản phẩm

CÂU HỎI:

Đánh giá sản phẩm khác với kiểm tra bố cục như thế nào?

CÂU TRẢ LỜI:

Như được định nghĩa trong phần 3 của IATF 16949, sản phẩm thuật ngữ được sử dụng để đại diện cho “… bất kỳ đầu ra dự định nào…” của quy trình sản xuất.

Các sản phẩm thường có các yêu cầu về kích thước, hiệu suất (chức năng) và vật liệu, do đó, kiểm toán sản phẩm có thể chứa xác minh về các yêu cầu về chiều, hiệu suất (chức năng) hoặc yêu cầu vật chất. Như đã nêu trong Câu hỏi thường gặp trong 21 câu ở trên, việc kiểm tra bố cục được giới hạn theo các yêu cầu về chiều.

Kiểm tra sản phẩm có thể được thực hiện trên thành phẩm hoặc một phần thành phẩm, theo các phương pháp tiếp cận được khách hàng chỉ định (ví dụ: Kiểm định sản phẩm VDA 6.5), nếu có. Kiểm tra sản phẩm có thể bao gồm các yêu cầu đóng gói và ghi nhãn.

Đánh giá sản phẩm, giống như các loại đánh giá khác, là xác minh độc lập tuân thủ các yêu cầu. Như vậy, đánh giá sản phẩm có tần suất và phạm vi được xác định trong chương trình đánh giá và dựa trên rủi ro.