CNAS-CC01:2015
标准分类号
关联标准
出版信息
相关单位信息
标准简介
CNAS-CC01:2015 管理体系认证机构要求
CNAS-CC01:2015
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
CNAS-CCO1
管理体系认证机构要求
Requirements for bodies providing audit andcertification of management systems中国合格评定国家认可委员会
2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
规范性引用文件
术语和定义
原则,
公正性.
公开性,
保密性
对投诉的回应
基于风险的方法.
通用要求..
法律与合同事宜..
公正性的管理
责任和财力.
结构要求,
组织结构和最高管理层,
运行控制
资源要求
人员能力
参与认证活动的人员
外部审核员和外部技术专家的使用人员记录
信息要求
公开信息
认证文件
认证资格的引用和标志的使用
保密,
2015年07月15日发布
第2页共46页
2015年12月16日实施
CNAS-CC01:2015
认证机构与其客户间的信息交换过程要求
认证前的活动
策划审核.
初次认证。
实施审核
认证决定..
保持认证,
客户的记录
认证机构的管理体系要求
可选方式
方式A:通用的管理体系要求
方式B:与GB/T19001一致的管理体系要求附录A (规范性附录)所要求的知识和技能附录B(资料性附录)可能的评价方法.附录C(资料性附录)能力确定和保持过程的示例附录D(资料性附录)期望的个人行为附录E(资料性附录)审核和认证过程参考文献
2015年07月15日发布
第3页共46页
2015年12月16日实施
CNAS-CC01:2015
第4页共46页
本文件等同采用国际标准ISO/IEC17021-1:2015《合格评定管理体系审核与认证机构的要求第1部分:要求》。本文件是CNAS对管理体系认证机构的基本认可准则,并与其他适用的CNAS专用认可准则以及认可方案的相应部分共同构成对特定管理体系认证机构的认可准则。为了便于使用,本文件对ISO/IEC17021-1:2015采用转化中做了下列编辑性修改:
1)用“获证客户”替代4.1.2b)中“管理体系获得认证的组织”(theorganizationswhosemanagementsystemsarecertified)2)用“获证客户”替代5.2.3注2中“管理体系获得认证的组织”(organizationswhosemanagementsystemsarecertified):3)用“本文件”替代“ISO/IEC17021的本部分”(thispartofISO/IEC17021);4)在本文件相应条款注明了ISO/IECTS17021-2、ISO/IEC17021-3、ISO/TS22003、ISO/IEC27006等标准分别对应的CNAS认可准则编号:5)对“ISO19011”等部分国际标准的引用调整为“GB/T19011”等相应国家标准。
本文件代替了CNAS-CC01:2011。2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
第5页共46页
管理体系认证(如对组织的环境管理体系、质量管理体系或信息安全管理体系的认证)是一种保证方法,用以确保组织已实施了与其方针及相关国际管理体系标准的要求一致的、用以管理其活动、产品和服务相关方面的体系。本文件规定了对管理体系审核和认证机构的要求。它对从事质量、环境及其他管理体系审核与认证的机构提出了通用要求。本文件将这类机构称为认证机构。贯彻这些要求旨在确保认证机构以有能力、一致和公正的方式实施管理体系认证,以促进国际和国内承认这些机构并接受它们的认证。本文件为促进对管理体系认证的承认提供了基础,这种承认有利于国际贸易。管理体系认证是独立地证明组织的管理体系a)符合规定要求:
b)能够自始至终实现其声明的方针和目标:c)得到有效实施。
因此,诸如管理体系认证的合格评定活动为组织、组织的顾客及利益相关方提供了价值。
第4章阐述了可信的认证所依据的原则。这些原则有助于用户理解认证的本质属性,并为第5章至第10章做了必要的铺垫。这些原则构成了本文件要求的基础,但其本身并不是可供评审的要求。第10章为认证机构通过建立管理体系来保障和证实其始终满足本文件要求提供了两种可供选择的途径,认证活动是构成从申请评审到认证终止的整个认证过程的单项活动。附录E展现了许多认证活动能够相互作用的方式。认证活动包括对组织的管理体系的审核。认证机构通常以认证文件或证书的形式证明组织的管理体系符合特定的管理体系标准或其他规范性要求。本文件适用于各种类型管理体系的审核与认证。为实现利益相关方的期望,可能需要对其中一些要求,特别是那些关于审核员能力的要求补充附加准则。在本文件中:
一“应”表示要求;
一“宜”表示建议:
一“可以”表示允许;
“能够”表示一种可能性或能力。ISO/IEC工作导则第2部分中对这些动词做了更详细的说明。2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
1范围
管理体系认证机构要求
第6页共46页
本文件包含了所有类型管理体系审核与认证机构的能力、一致性和公正性的原则与要求。
按照本文件运作的认证机构不必提供所有类型的管理体系认证。管理体系认证,是一种第三方合格评定活动(见GB/T27000的5.5),因此实施这种活动的机构是第三方合格评定机构。注1:管理体系的示例:质量管理体系、环境管理体系和信息安全管理体系。注2:本文件中,管理体系认证称为“认证”,实施认证的第三方合格评定机构称为“认证机构”。
注3:认证机构可以是非政府的或政府的,具有或不具有法定权力。注4:本文件可作为认可、同行评审或其他审核过程的准则文件。2规范性引用文件
下列引用文件对本文件的应用是必不可少的。凡是注日期的引用,仅所引用的版本适用。凡是不注日期的引用,所引用文件的最新版本(包括任何修改单)适用。GB/T19000《质量管理体系基础和术语》(ISO9000IDT)GB/T27000《合格评定—词汇和通用原则》(ISO/IEC17000IDT)3术语和定义
GB/T19000和GB/T27000中给出的术语和定义以及下列术语和定义适用于本文件。
3.1获证客户certifiedclient
管理体系已获认证的组织
3.2公正性impartiality
客观性的存在
注1:客观性意味着利益冲突不存在或已解决,不会对认证机构的后续活动产生不利影响:
注2:其他可用于表示公正性的要素的术语有:独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。3.3管理体系咨询managementsystemconsultancy参与建立、实施或保持管理体系示例1:筹划或编制手册或程序。2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
第7页共46页
示例2:对管理体系的建立和实施提供具体的建议、指导或解决方案。注1:如果与管理体系和审核有关的培训课程仅限于提供通用信息,那么组织培训并作为培训者参与培训不被视为咨询,即培训者不宜针对特定的客户提出解决方案。注2:为过程或体系的改进提供通用信息,而不是针对特定客户的解决方案,不被视为咨询。此类通用信息可以包括:解释认证准则的含义和意图;
·识别改进机会;
·解释相关的理论、方法学、技巧或工具;·分享关于相关良好实践的非保密信息;·所审核的管理体系未覆盖的其他管理问题。3.4认证审核certificationaudit由独立于客户和依赖认证的各方的审核组织实施的、对客户的管理体系进行以认证为目的的审核
注1:在下面的定义中,第三方认证审核简称为“审核”。注2:认证审核包括初次审核、监督审核和再认证审核,还可以包括特殊审核。注3:认证审核通常由依据管理体系标准要求提供符合性认证的认证机构的审核组实施。
注4:两个或两个以上审核组织合作审核同一个客户,称作联合审核注5:一个客户同时按照两个或两个以上管理体系标准的要求接受审核,称作结合审核。
注6:一个客户已将两个或两个以上管理体系标准要求的应用整合在一个单一的管理体系中,并按照一个以上标准接受审核,称作一体化审核。3.5客户client
其管理体系为认证目的接受审核的组织3.6审核员auditor
实施审核的人
3.7能力competence
能够应用知识和技能实现预期结果的本领3.8向导guide
客户指派的协助审核组的人
3.9观察员observer
与审核组同行,但不实施审核的人3.10技术领域technicalarea
以与特定类型管理体系及其预期结果有关的过程的共性为特征的领域注:见7.1.2注。
3.11不符合nonconformity
2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
未满足要求
3.12严重不符合majornonconformity影响管理体系实现预期结果的能力的不符合(3.11)注:严重不符合可能是下列情况:第8页共46页
-对过程控制是否有效或者产品或服务能否满足规定要求存在严重的怀疑;-多项轻微不符合都与同一要求或问题有关,可能表明存在系统性失效,从而构成一项严重不符合
3.13轻微不符合minornonconformity不影响管理体系实现预期结果的能力的不符合(3.11)3.14技术专家technicalexpert
向审核组提供特定知识或专业意见的人注:特定知识或专业意见与所审核的组织、过程或活动有关。3.15认证方案certificationscheme应用相同的规定要求、特定规则与程序的,与管理体系有关的合格评定制度3.16审核时间audittime
策划并完成一次完整有效的客户组织管理体系审核所需要的时间3.17管理体系认证审核时间durationofmanagementsystemcertificationaudits审核时间(3.16)的一部分,包括从首次会议到末次会议之间实施审核活动的所有时间
注:审核活动通常包括:
一举行首次会议;
一审核实施中的文件评审;
-审核中的沟通;
一向导和观察员的作用和责任;一信息的收集和验证;
-形成审核发现;
一准备审核结论;
一举行末次会议。
4原则
4.1总则
4.1.1本章所述原则是本文件中后续的特定绩效要求和说明性要求的基础。本文件未就所有可能发生的情况给出特定要求。在出现未预料到的情况时,宜应用这些原则作为决策的指南。这些原则不是要求。2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
第9页共46页
4.1.2认证的总体目标是使所有相关方相信管理体系满足规定要求。认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度。认证的利益相关方包括(但不限于):
认证机构的客户;
获证客户的顾客:
政府部门;
非政府组织;
消费者和其他公众。
建立信任的原则包括:
公正性;
能力;
责任:
公开性:
保密性;
对投诉的回应;
-基于风险的方法。
注:本文件在第4章给出了认证的原则,GB/T19011-2013第4章给出了与审核有关的原则。
4.2公正性
4.2.1公正,并被认为公正,是认证机构提供可建立信任的认证的必要条件。重要的是所有内部和外部人员都意识到公正性的必要性。4.2.2客户支付的认证费用是认证机构的收入来源,也是对公正性的潜在威胁,这一点得到公认。
4.2.3认证机构根据其所获得的符合(或不符合)的客观证据做出决定,且不受其他利益或其他各方的影响,对于获得和保持信任是必不可少的。4.2.4对公正性的威胁可能包括,但不限于:a)自身利益:此类威胁源于个人或机构依其自身利益行事。在认证中,财务方面的自身利益是一种对公正性的威胁,自我评审:此类威胁源于个人或机构评审自已所做的工作。认证机构对由其进行b
管理体系咨询的客户实施管理体系审核属于此类威胁。熟识(或信任):此类威胁源于个人或机构对另外一人过于熟悉或信赖,而不去c)
寻找审核证据。
d)胁迫:此类威胁源于个人或机构察觉受到公然或暗中的强迫,如威胁用他人取而代之或向主管告发。
4.3能力
认证活动涉及的所有职能的认证机构人员的能力是认证提供信任的必要条件。2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
4.3.2能力也需要由认证机构的管理体系来支撑。第10页共46页
4.3.3认证机构管理的一个关键问题是具有一个得到实施的过程,来为参与审核和其他认证活动的人员建立能力准则,并按照准则实施评价。4.4责任
4.4.1始终一致地达到实施管理体系标准的预期结果和符合认证要求的责任,在于获证客户而不是认证机构,
4.4.2认证机构有责任对足够的客观证据进行评价,并在此基础上做出认证决定。根据审核结论,如果符合性的证据充分,认证机构做出授予认证的决定;如果符合性的证据不充分,则不授予认证。注:任何审核都是基于对组织管理体系的抽样,因此并不保证管理体系100%符合要求。
4.5公开性
4.5.1为获得对认证的诚信性与可信性的信任,认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态(即认证的授予、保持,认证范围的扩大或缩小,认证的更新、暂停、恢复或者撤销)的适当、及时信息的公开渠道,或公布这些信息。公开性是获得或公布适当信息的一项原则。4.5.2为获得或保持对认证的信任,认证机构宜向特定利益相关方提供获取特定审核(如为回应投诉而做的审核)结论的非保密信息的适当渠道,或公布这些信息。4.6保密性
为了享有获取充分评价管理体系符合性所需信息的特权,认证机构不透露任何保密信息是至关重要的。
4.7对投诉的回应
依赖认证的各方期望投诉得到调查。认证机构应当使依赖认证的各方相信,在投诉经查明有效时,认证机构将对这些投诉进行适当的处理,并为解决这些投诉做出适当的努力。当投诉表明出现错误、疏忽或不合理行为时,对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手段。对投诉进行适当处理将维护对认证活动的信任。
注:为了向认证的所有用户证明认证的诚信性与可信性,需要在公开性和保密性(包括对投诉的回应)等原则之间取得适当的平衡。4.8基于风险的方法此内容来自标准下载网
认证机构需要考虑与提供有能力的、一致的和公正的认证相关的风险。风险可能与下列方面有关(包括但不限于):一审核目的:
一审核过程中的抽样:
一真正的和被感知到的公正性:一法律法规问题和责任问题;
2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
所审核的客户组织及其运行环境:一审核对客户及其活动的影响:一审核组的健康和安全:
利益相关方的认知;
一获证客户做出的误导性声明
一标志的使用。
5通用要求
5.1法律与合同事宜
5.1.1法律责任
第11页共46页
认证机构应为一个法律实体,或一个法律实体内有明确界定的一部分,以便认证机构能够对其所有认证活动承担法律责任。政府的认证机构因其政府地位而被视为法律实体。
5.1.2认证协议
认证机构与每个客户之间应有在法律上具有强制实施力并符合本文件相关要求的提供认证服务的协议。此外,如果认证机构有多个办公场所或客户有多个场所,则应确保授予认证的认证机构与客户之间具有覆盖认证范围内所有场所的在法律上具有强制实施力的协议。
注:一项协议可以由多个相互引用或以其他方式相互联系的协议来实现。5.1.3认证决定的责任
认证机构应对与认证有关的决定(包括授予、拒绝、保持认证,扩大或缩小认证范围,更新、暂停、在暂停后恢复、撤销认证)负责,并应保持做出上述决定的权力。5.2公正性的管理
5.2.1合格评定活动应以公正的方式实施。认证机构应对其合格评定活动的公正性负责,不应允许商业、财务或其他压力损害公正性。5.2.2认证机构最高管理层应对管理体系认证活动的公正性做出承诺。认证机构应具有政策,表明其理解公正性在实施管理体系认证活动中的重要性,对利益冲突加以管理,并确保其管理体系认证活动的客观性。5.2.3认证机构应有过程以持续地识别、分析、评估、处置、监视与认证活动引起的利益冲突相关的风险,并将其形成文件,包括认证机构的各种关系引起的冲突。当存在对公正性的威胁时,认证机构应将其如何消除或最大限度减小此类威胁形成文件,并予以证实,并将任何残留风险形成文件。所作的证实应包括所有已识别的潜在威胁无论其产生于认证机构内部还是其他个人、机构或组织的活动。当某种关系对认证机构的公正性构成不可接受的威胁时(如认证机构的全资子公司向其申请认证),认证机构不应提供认证。
最高管理层应审查任何残留风险并决定其是否处于可接受的水平。2015年07月15日发布
2015年12月16日实施
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
管理体系认证机构要求
Requirements for bodies providing audit andcertification of management systems中国合格评定国家认可委员会
2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
规范性引用文件
术语和定义
原则,
公正性.
公开性,
保密性
对投诉的回应
基于风险的方法.
通用要求..
法律与合同事宜..
公正性的管理
责任和财力.
结构要求,
组织结构和最高管理层,
运行控制
资源要求
人员能力
参与认证活动的人员
外部审核员和外部技术专家的使用人员记录
信息要求
公开信息
认证文件
认证资格的引用和标志的使用
保密,
2015年07月15日发布
第2页共46页
2015年12月16日实施
CNAS-CC01:2015
认证机构与其客户间的信息交换过程要求
认证前的活动
策划审核.
初次认证。
实施审核
认证决定..
保持认证,
客户的记录
认证机构的管理体系要求
可选方式
方式A:通用的管理体系要求
方式B:与GB/T19001一致的管理体系要求附录A (规范性附录)所要求的知识和技能附录B(资料性附录)可能的评价方法.附录C(资料性附录)能力确定和保持过程的示例附录D(资料性附录)期望的个人行为附录E(资料性附录)审核和认证过程参考文献
2015年07月15日发布
第3页共46页
2015年12月16日实施
CNAS-CC01:2015
第4页共46页
本文件等同采用国际标准ISO/IEC17021-1:2015《合格评定管理体系审核与认证机构的要求第1部分:要求》。本文件是CNAS对管理体系认证机构的基本认可准则,并与其他适用的CNAS专用认可准则以及认可方案的相应部分共同构成对特定管理体系认证机构的认可准则。为了便于使用,本文件对ISO/IEC17021-1:2015采用转化中做了下列编辑性修改:
1)用“获证客户”替代4.1.2b)中“管理体系获得认证的组织”(theorganizationswhosemanagementsystemsarecertified)2)用“获证客户”替代5.2.3注2中“管理体系获得认证的组织”(organizationswhosemanagementsystemsarecertified):3)用“本文件”替代“ISO/IEC17021的本部分”(thispartofISO/IEC17021);4)在本文件相应条款注明了ISO/IECTS17021-2、ISO/IEC17021-3、ISO/TS22003、ISO/IEC27006等标准分别对应的CNAS认可准则编号:5)对“ISO19011”等部分国际标准的引用调整为“GB/T19011”等相应国家标准。
本文件代替了CNAS-CC01:2011。2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
第5页共46页
管理体系认证(如对组织的环境管理体系、质量管理体系或信息安全管理体系的认证)是一种保证方法,用以确保组织已实施了与其方针及相关国际管理体系标准的要求一致的、用以管理其活动、产品和服务相关方面的体系。本文件规定了对管理体系审核和认证机构的要求。它对从事质量、环境及其他管理体系审核与认证的机构提出了通用要求。本文件将这类机构称为认证机构。贯彻这些要求旨在确保认证机构以有能力、一致和公正的方式实施管理体系认证,以促进国际和国内承认这些机构并接受它们的认证。本文件为促进对管理体系认证的承认提供了基础,这种承认有利于国际贸易。管理体系认证是独立地证明组织的管理体系a)符合规定要求:
b)能够自始至终实现其声明的方针和目标:c)得到有效实施。
因此,诸如管理体系认证的合格评定活动为组织、组织的顾客及利益相关方提供了价值。
第4章阐述了可信的认证所依据的原则。这些原则有助于用户理解认证的本质属性,并为第5章至第10章做了必要的铺垫。这些原则构成了本文件要求的基础,但其本身并不是可供评审的要求。第10章为认证机构通过建立管理体系来保障和证实其始终满足本文件要求提供了两种可供选择的途径,认证活动是构成从申请评审到认证终止的整个认证过程的单项活动。附录E展现了许多认证活动能够相互作用的方式。认证活动包括对组织的管理体系的审核。认证机构通常以认证文件或证书的形式证明组织的管理体系符合特定的管理体系标准或其他规范性要求。本文件适用于各种类型管理体系的审核与认证。为实现利益相关方的期望,可能需要对其中一些要求,特别是那些关于审核员能力的要求补充附加准则。在本文件中:
一“应”表示要求;
一“宜”表示建议:
一“可以”表示允许;
“能够”表示一种可能性或能力。ISO/IEC工作导则第2部分中对这些动词做了更详细的说明。2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
1范围
管理体系认证机构要求
第6页共46页
本文件包含了所有类型管理体系审核与认证机构的能力、一致性和公正性的原则与要求。
按照本文件运作的认证机构不必提供所有类型的管理体系认证。管理体系认证,是一种第三方合格评定活动(见GB/T27000的5.5),因此实施这种活动的机构是第三方合格评定机构。注1:管理体系的示例:质量管理体系、环境管理体系和信息安全管理体系。注2:本文件中,管理体系认证称为“认证”,实施认证的第三方合格评定机构称为“认证机构”。
注3:认证机构可以是非政府的或政府的,具有或不具有法定权力。注4:本文件可作为认可、同行评审或其他审核过程的准则文件。2规范性引用文件
下列引用文件对本文件的应用是必不可少的。凡是注日期的引用,仅所引用的版本适用。凡是不注日期的引用,所引用文件的最新版本(包括任何修改单)适用。GB/T19000《质量管理体系基础和术语》(ISO9000IDT)GB/T27000《合格评定—词汇和通用原则》(ISO/IEC17000IDT)3术语和定义
GB/T19000和GB/T27000中给出的术语和定义以及下列术语和定义适用于本文件。
3.1获证客户certifiedclient
管理体系已获认证的组织
3.2公正性impartiality
客观性的存在
注1:客观性意味着利益冲突不存在或已解决,不会对认证机构的后续活动产生不利影响:
注2:其他可用于表示公正性的要素的术语有:独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。3.3管理体系咨询managementsystemconsultancy参与建立、实施或保持管理体系示例1:筹划或编制手册或程序。2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
第7页共46页
示例2:对管理体系的建立和实施提供具体的建议、指导或解决方案。注1:如果与管理体系和审核有关的培训课程仅限于提供通用信息,那么组织培训并作为培训者参与培训不被视为咨询,即培训者不宜针对特定的客户提出解决方案。注2:为过程或体系的改进提供通用信息,而不是针对特定客户的解决方案,不被视为咨询。此类通用信息可以包括:解释认证准则的含义和意图;
·识别改进机会;
·解释相关的理论、方法学、技巧或工具;·分享关于相关良好实践的非保密信息;·所审核的管理体系未覆盖的其他管理问题。3.4认证审核certificationaudit由独立于客户和依赖认证的各方的审核组织实施的、对客户的管理体系进行以认证为目的的审核
注1:在下面的定义中,第三方认证审核简称为“审核”。注2:认证审核包括初次审核、监督审核和再认证审核,还可以包括特殊审核。注3:认证审核通常由依据管理体系标准要求提供符合性认证的认证机构的审核组实施。
注4:两个或两个以上审核组织合作审核同一个客户,称作联合审核注5:一个客户同时按照两个或两个以上管理体系标准的要求接受审核,称作结合审核。
注6:一个客户已将两个或两个以上管理体系标准要求的应用整合在一个单一的管理体系中,并按照一个以上标准接受审核,称作一体化审核。3.5客户client
其管理体系为认证目的接受审核的组织3.6审核员auditor
实施审核的人
3.7能力competence
能够应用知识和技能实现预期结果的本领3.8向导guide
客户指派的协助审核组的人
3.9观察员observer
与审核组同行,但不实施审核的人3.10技术领域technicalarea
以与特定类型管理体系及其预期结果有关的过程的共性为特征的领域注:见7.1.2注。
3.11不符合nonconformity
2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
未满足要求
3.12严重不符合majornonconformity影响管理体系实现预期结果的能力的不符合(3.11)注:严重不符合可能是下列情况:第8页共46页
-对过程控制是否有效或者产品或服务能否满足规定要求存在严重的怀疑;-多项轻微不符合都与同一要求或问题有关,可能表明存在系统性失效,从而构成一项严重不符合
3.13轻微不符合minornonconformity不影响管理体系实现预期结果的能力的不符合(3.11)3.14技术专家technicalexpert
向审核组提供特定知识或专业意见的人注:特定知识或专业意见与所审核的组织、过程或活动有关。3.15认证方案certificationscheme应用相同的规定要求、特定规则与程序的,与管理体系有关的合格评定制度3.16审核时间audittime
策划并完成一次完整有效的客户组织管理体系审核所需要的时间3.17管理体系认证审核时间durationofmanagementsystemcertificationaudits审核时间(3.16)的一部分,包括从首次会议到末次会议之间实施审核活动的所有时间
注:审核活动通常包括:
一举行首次会议;
一审核实施中的文件评审;
-审核中的沟通;
一向导和观察员的作用和责任;一信息的收集和验证;
-形成审核发现;
一准备审核结论;
一举行末次会议。
4原则
4.1总则
4.1.1本章所述原则是本文件中后续的特定绩效要求和说明性要求的基础。本文件未就所有可能发生的情况给出特定要求。在出现未预料到的情况时,宜应用这些原则作为决策的指南。这些原则不是要求。2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
第9页共46页
4.1.2认证的总体目标是使所有相关方相信管理体系满足规定要求。认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度。认证的利益相关方包括(但不限于):
认证机构的客户;
获证客户的顾客:
政府部门;
非政府组织;
消费者和其他公众。
建立信任的原则包括:
公正性;
能力;
责任:
公开性:
保密性;
对投诉的回应;
-基于风险的方法。
注:本文件在第4章给出了认证的原则,GB/T19011-2013第4章给出了与审核有关的原则。
4.2公正性
4.2.1公正,并被认为公正,是认证机构提供可建立信任的认证的必要条件。重要的是所有内部和外部人员都意识到公正性的必要性。4.2.2客户支付的认证费用是认证机构的收入来源,也是对公正性的潜在威胁,这一点得到公认。
4.2.3认证机构根据其所获得的符合(或不符合)的客观证据做出决定,且不受其他利益或其他各方的影响,对于获得和保持信任是必不可少的。4.2.4对公正性的威胁可能包括,但不限于:a)自身利益:此类威胁源于个人或机构依其自身利益行事。在认证中,财务方面的自身利益是一种对公正性的威胁,自我评审:此类威胁源于个人或机构评审自已所做的工作。认证机构对由其进行b
管理体系咨询的客户实施管理体系审核属于此类威胁。熟识(或信任):此类威胁源于个人或机构对另外一人过于熟悉或信赖,而不去c)
寻找审核证据。
d)胁迫:此类威胁源于个人或机构察觉受到公然或暗中的强迫,如威胁用他人取而代之或向主管告发。
4.3能力
认证活动涉及的所有职能的认证机构人员的能力是认证提供信任的必要条件。2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
4.3.2能力也需要由认证机构的管理体系来支撑。第10页共46页
4.3.3认证机构管理的一个关键问题是具有一个得到实施的过程,来为参与审核和其他认证活动的人员建立能力准则,并按照准则实施评价。4.4责任
4.4.1始终一致地达到实施管理体系标准的预期结果和符合认证要求的责任,在于获证客户而不是认证机构,
4.4.2认证机构有责任对足够的客观证据进行评价,并在此基础上做出认证决定。根据审核结论,如果符合性的证据充分,认证机构做出授予认证的决定;如果符合性的证据不充分,则不授予认证。注:任何审核都是基于对组织管理体系的抽样,因此并不保证管理体系100%符合要求。
4.5公开性
4.5.1为获得对认证的诚信性与可信性的信任,认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态(即认证的授予、保持,认证范围的扩大或缩小,认证的更新、暂停、恢复或者撤销)的适当、及时信息的公开渠道,或公布这些信息。公开性是获得或公布适当信息的一项原则。4.5.2为获得或保持对认证的信任,认证机构宜向特定利益相关方提供获取特定审核(如为回应投诉而做的审核)结论的非保密信息的适当渠道,或公布这些信息。4.6保密性
为了享有获取充分评价管理体系符合性所需信息的特权,认证机构不透露任何保密信息是至关重要的。
4.7对投诉的回应
依赖认证的各方期望投诉得到调查。认证机构应当使依赖认证的各方相信,在投诉经查明有效时,认证机构将对这些投诉进行适当的处理,并为解决这些投诉做出适当的努力。当投诉表明出现错误、疏忽或不合理行为时,对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手段。对投诉进行适当处理将维护对认证活动的信任。
注:为了向认证的所有用户证明认证的诚信性与可信性,需要在公开性和保密性(包括对投诉的回应)等原则之间取得适当的平衡。4.8基于风险的方法此内容来自标准下载网
认证机构需要考虑与提供有能力的、一致的和公正的认证相关的风险。风险可能与下列方面有关(包括但不限于):一审核目的:
一审核过程中的抽样:
一真正的和被感知到的公正性:一法律法规问题和责任问题;
2015年07月15日发布
2015年12月16日实施
CNAS-CC01:2015
所审核的客户组织及其运行环境:一审核对客户及其活动的影响:一审核组的健康和安全:
利益相关方的认知;
一获证客户做出的误导性声明
一标志的使用。
5通用要求
5.1法律与合同事宜
5.1.1法律责任
第11页共46页
认证机构应为一个法律实体,或一个法律实体内有明确界定的一部分,以便认证机构能够对其所有认证活动承担法律责任。政府的认证机构因其政府地位而被视为法律实体。
5.1.2认证协议
认证机构与每个客户之间应有在法律上具有强制实施力并符合本文件相关要求的提供认证服务的协议。此外,如果认证机构有多个办公场所或客户有多个场所,则应确保授予认证的认证机构与客户之间具有覆盖认证范围内所有场所的在法律上具有强制实施力的协议。
注:一项协议可以由多个相互引用或以其他方式相互联系的协议来实现。5.1.3认证决定的责任
认证机构应对与认证有关的决定(包括授予、拒绝、保持认证,扩大或缩小认证范围,更新、暂停、在暂停后恢复、撤销认证)负责,并应保持做出上述决定的权力。5.2公正性的管理
5.2.1合格评定活动应以公正的方式实施。认证机构应对其合格评定活动的公正性负责,不应允许商业、财务或其他压力损害公正性。5.2.2认证机构最高管理层应对管理体系认证活动的公正性做出承诺。认证机构应具有政策,表明其理解公正性在实施管理体系认证活动中的重要性,对利益冲突加以管理,并确保其管理体系认证活动的客观性。5.2.3认证机构应有过程以持续地识别、分析、评估、处置、监视与认证活动引起的利益冲突相关的风险,并将其形成文件,包括认证机构的各种关系引起的冲突。当存在对公正性的威胁时,认证机构应将其如何消除或最大限度减小此类威胁形成文件,并予以证实,并将任何残留风险形成文件。所作的证实应包括所有已识别的潜在威胁无论其产生于认证机构内部还是其他个人、机构或组织的活动。当某种关系对认证机构的公正性构成不可接受的威胁时(如认证机构的全资子公司向其申请认证),认证机构不应提供认证。
最高管理层应审查任何残留风险并决定其是否处于可接受的水平。2015年07月15日发布
2015年12月16日实施
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。