CNASCC012007 管理体系认证机构要求.pdf

2007 年 04 月 15 日发布2007年 06月15日实施CNAS-CC01管理体系认证机构要求管理体系认证机构要求Requirements for bodies providing audit andcertification of management systems(ISO/IEC 17021:2006)中国合格评定国家认可委员会中国合格评定国家认可委员会CNAS-CC01:2007第 1 页 共 21 页2007 年 04 月 15 日发布2007 年 06 月 15 日实施目录引言.31 范围.42 规范性引用文件.43 术语和定义.44 原则.54.1 总则.54.2 公正性.54.3 能力.54.4 责任.54.5 公开性.54.6 保密性.64.7 对投诉的回应.65 通用要求.65.1 法律与合同事宜.65.2 公正性的管理.65.3 责任和财力.76 结构要求.76.1 组织结构和最高管理层.76.2 维护公正性的委员会.87 资源要求.87.1 管理层和人员的能力.87.2 参与认证活动的人员.87.3 外部审核员和外部技术专家的使用.97.4 人员记录.97.5 外包.98 信息要求.98.1 可公开获取的信息.98.2 认证文件.108.3 获证客户目录.108.4 认证资格的引用和标志的使用.108.5 保密.118.6 认证机构与其客户间的信息交换.119 过程要求.129.1 通用要求.129.2 初次审核与认证.139.3 监督活动.149.4 再认证.159.5 特殊审核.169.6 暂停、撤销或缩小认证范围.169.7 申诉.169.8 投诉.179.9 申请组织和客户的记录.17CNAS-CC01:2007第 2 页 共 21 页2007 年 04 月 15 日发布2007 年 06 月 15 日实施10 认证机构的管理体系要求.1810.1 可选方式.1810.2 方式一：与 GB/T 19001 一致的管理体系要求.1810.3 方式二：通用的管理体系要求.18参考文献.21CNAS-CC01:2007第 3 页 共 21 页2007 年 04 月 15 日发布2007 年 06 月 15 日实施引言管理体系认证（如对组织的质量或环境管理体系的认证）是对组织已实施了与其方针一致、用以管理其活动相关方面的体系提供保证的一种方法。本文件规定了对认证机构的要求。贯彻这些要求旨在确保认证机构以有能力、一致和公正的方式实施管理体系认证，以促进国际和国内承认这些机构并接受它们的认证。本文件为促进对管理体系认证的承认提供了基础，这种承认有利于国际贸易。管理体系认证是独立地证明组织的管理体系：a）符合规定要求；b）能够自始至终实现其声明的方针和目标，并c）得到有效实施；因此，诸如管理体系认证的合格评定活动为组织、组织的顾客及利益相关方提供了价值。本文件第4章阐述了可信的认证所依据的原则。这些原则有助于读者理解认证的本质属性，并为第5章至第10章做了必要的铺垫。这些原则构成了本文件所有要求的基础，但其本身并不是可供评审的要求。第10章为认证机构通过建立管理体系来保障和证实其始终满足本文件要求提供了两种可供选择的途径。本文件旨在供实施管理体系审核和认证的机构使用。它对从事质量、环境及其他管理体系审核和认证的机构提出了通用要求。本文件将这类机构称为认证机构。这一用语不妨碍那些有着其他名称、但从事本文件范围内活动的机构使用本文件。认证活动包括对组织的管理体系的审核。认证机构通常以认证文件或证书的形式证明组织的管理体系符合特定的管理体系标准或其他规范性要求。CNAS-CC01:2007第 4 页 共 21 页2007 年 04 月 15 日发布2007 年 06 月 15 日实施管理体系认证机构要求1范围本文件包含了所有类型管理体系（如质量管理体系或环境管理体系）审核与认证的能力、一致性和公正性的原则与要求，以及提供上述活动的机构所遵循的原则与要求。按照本文件运作的认证机构不必提供所有类型的管理体系认证。管理体系认证（本文件中称为“认证”）是一种第三方合格评定活动（见GB/T 27000的5.5）。因此，实施这种活动的机构是第三方合格评定机构（本文件中称为“认证机构”）。注 1：管理体系认证有时也称为“注册”，认证机构有时称为“注册机构”。注 2：认证机构可以是非政府的或政府的（具有或不具有法定权力）。注 3：本文件可作为认可、同行评审或其他审核过程的准则文件。2规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本文件，然而，鼓励根据本文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本文件。GB/T 19011质量和（或）环境管理体系审核指南（GB/T 190112003,ISO 19011:2002,IDT）1GB/T 27000合格评定词汇和通用原则（GB/T 270002006,ISO/IEC 17000:2004,IDT）ISO 9000:2005质量管理体系基础和术语3术语和定义GB/T 27000和ISO 9000中给出的术语和定义以及下列术语和定义适用于本文件。3.1获证客户certified client管理体系已获认证的组织3.2公正性impartiality实际存在的并被认识到的客观性注 1：客观性意味着利益冲突不存在或已解决，不会对认证机构的后续活动产生不利影响；注 2：其他可用于表示公正性的要素的术语有：客观、独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。3.3管理体系咨询management system consultancy参与设计、实施或保持管理体系。示例 筹划或编制手册或程序；对管理体系的建立和实施提供具体的建议、指导或解决方案。注：如果与管理体系和审核有关的培训课程仅限于提供可在公共场合自由获取的通用信息，那么组织培训并作为1本文件对 GB/T 19011 相关指南的引用适用于所有类型的管理体系。CNAS-CC01:2007第 5 页 共 21 页2007 年 04 月 15 日发布2007 年 06 月 15 日实施培训者参与培训不被视为咨询，即培训者不宜针对特定的公司提出解决方案。4原则4.1总则4.1.1本章所述原则是本文件中后续的特定绩效要求和说明性要求的基础。本文件未就所有可能发生的情况给出特定要求。在出现未预料到的情况时，宜应用这些原则作为决策的指南。这些原则不是要求。4.1.2认证的总体目标是使所有相关方相信管理体系满足规定要求。认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度。认证的利益相关方包括（但不限于）：a）认证机构的客户；b）获证客户的顾客；c）政府部门；d）非政府组织；e）消费者和其他公众。4.1.3建立信任的原则包括：公正性；能力；责任；公开性；保密性；对投诉的回应。4.2公正性4.2.1公正，并被认为公正，是认证机构提供可建立信任的认证的必要条件。4.2.2客户支付的认证费用是认证机构的收入来源，也是对公正性的潜在威胁，这一点得到公认。4.2.3认证机构根据其所获得的符合（或不符合）的客观证据做出决定，且不受其他利益或其他各方的影响，对于获得和保持信任是必不可少的。4.2.4对公正性的威胁包括：a）自身利益的威胁：此类威胁源于个人或机构依其自身利益行事。在认证中，财务方面的自身利益是一种对公正性的威胁。b）自我评审的威胁：此类威胁源于个人或机构评审自己所做的工作。认证机构对由其进行管理体系咨询的客户实施管理体系审核属于此类威胁。c）熟识（或信任）的威胁：此类威胁源于个人或机构对另外一人过于熟悉或信赖，而不去寻找审核证据。d）胁迫的威胁：此类威胁源于个人或机构察觉受到公然或暗中的强迫，如威胁用他人取而代之或向主管告发。4.3能力认证机构的管理体系所支撑的人员能力是认证提供信任的必要条件。能力是经证实的应用知识和技能的本领。4.4责任4.4.1符合认证要求的责任在于客户组织而不是认证机构。4.4.2认证机构有责任对足够的客观证据进行评价，并在此基础上做出认证决定。根据审核结论，如果符合性的证据充分，认证机构做出授予认证的决定；如果符合性的证据不充分，则不授予认证。注：任何审核都是基于对组织管理体系的抽样，因此并不保证管理体系100%符合要求。4.5公开性CNAS-CC01:2007第 6 页 共 21 页2007 年 04 月 15 日发布2007 年 06 月 15 日实施4.5.1为获得对认证的诚信性与可信性的信任，认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态（即认证的授予、保持、更新、扩大、缩小、暂停或撤消）的适当、及时信息的公开渠道，或公布这些信息。公开性是获得或公布适当信息的一项原则。4.5.2为获得或保持对认证的信任，认证机构宜向特定利益相关方提供获取特定审核（如为回应投诉而做的审核）结论的非保密信息的适当渠道，或公布这些信息。4.6保密性为了享有获取充分评价管理体系符合性所需信息的特权，认证机构对任何关于客户的专有信息予以保密是必需的。4.7对投诉的回应依赖认证的各方期望投诉得到调查。认证机构应当使依赖认证的各方相信，在投诉经查明有效时，认证机构将对投诉进行适当的处理，并为解决投诉做出适当的努力。当投诉表明出现错误、疏忽或不合理行为时，对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手段。对投诉进行适当处理将维护对认证活动的信任。注：为了向认证的所有用户证明认证的诚信性与可信性，需要在公开性和保密性（包括对投诉的回应）等原则之间取得适当的平衡。5通用要求5.1法律与合同事宜5.1.1法律责任认证机构应为一个法律实体，或一个法律实体内有明确界定的一部分，以便认证机构能够对其所有认证活动承担法律责任。政府的认证机构因其政府地位而被视为法律实体。5.1.2认证协议认证机构与客户之间应有在法律上具有强制实施力的提供认证服务的协议。此外，如果认证机构有多个办公场所或客户有多个场所，则应确保授予认证并颁发证书的认证机构与认证范围覆盖的所有场所之间有在法律上具有强制实施力的协议。5.1.3认证决定的责任认证机构应对与认证有关的决定（包括授予、保持、更新、扩大、缩小、暂停和撤消认证）负责，并应保持做出上述决定的权力。5.2公正性的管理5.2.1认证机构最高管理层应对管理体系认证活动的公正性做出承诺。认证机构应具有可公开获取的声明，表明其理解公正性在实施管理体系认证活动中的重要性，对利益冲突加以管理，并确保其管理体系认证活动的客观性。5.2.2认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件，包括认证机构的各种关系引起冲突的可能性。有关系不一定都会引起利益冲突。但是，如果任何关系对公正性构成威胁，认证机构应将其如何消除或最大限度减小此类威胁形成文件，并能予以证实。6.2所指的委员会应能获得这方面的信息。所作的证实应包括所有已识别的潜在利益冲突来源，无论其产生于认证机构内部还是其他个人、机构或组织的活动。注：威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。5.2.3当某种关系对认证机构的公正性构成不可接受的威胁时（如认证机构的全资子公司向其申请认证），认证机构不应提供认证。注：见5.2.2注。5.2.4认证机构不应对另一认证机构的管理体系认证活动进行认证。注：见5.2.2注。CNAS-CC01:2007第 7 页 共 21 页2007 年 04 月 15 日发布2007 年 06 月 15 日实施5.2.5认证机构及同一法律实体的任何其他部分不应提供或推荐管理体系咨询，也不应为管理体系咨询提供报价。本条款同样适用于政府中被识别为认证机构的那一部分。5.2.6认证机构及其所属法律实体的任何其他部分不应向获