1、 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 CNAS-CC01 管理体系认证机构要求 Requirements for bodies providing audit and certification of management systems 中国合格 评定国 家认可委 员会 CNAS-CC01:2015 第 2 页 共 46 页 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 目 次 目次 2 前言 4 引言 5 1 范围 6 2 规范性引用文件 . 6 3 术语和定义 6 4 原则 8 4.1 总则 8 4.2 公正性
2、 9 4.3 能力 9 4.4 责任 10 4.5 公开性 10 4.6 保密性 10 4.7 对投诉的回应 . 10 4.8 基于风险的方法 10 5 通用要求 . 11 5.1 法律与合同事宜 11 5.2 公正性的管理 . 11 5.3 责任和财力 . 13 6 结构要求 . 13 6.1 组织结构和最高 管理层 . 13 6.2 运行控制 13 7 资源要求 . 14 7.1 人员能力 14 7.2 参与认证活动的 人员. 15 7.3 外部审核员和外 部技 术专家的使用 . 16 7.4 人员记录 16 7.5 外包 16 8 信息要求 . 16 8.1 公开信息 16 8.2 认证
3、文件 17 8.3 认证资格的引用 和标志的使用 17 8.4 保密 18 CNAS-CC01:2015 第 3 页 共 46 页 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 8.5 认证机构与其客 户间的信息交换 . 19 9 过程要求 . 20 9.1 认证前的活动 . 20 9.2 策划审核 22 9.3 初次认证 24 9.4 实施审核 26 9.5 认证决定 29 9.6 保持认证 30 9.7 申诉 33 9.8 投诉 33 9.9 客户的记录 . 34 10 认证机构的管理体 系要求 35 10.1 可选方式 35 10.2 方式 A :通用的
4、 管理体系要求 . 35 10.3 方式 B :与 GB/T 19001 一致的管理体 系要求 37 附录 A (规范性附录) 所要求的知识和技能 . 38 附录 B (资料性附录) 可能的评价方法 . 41 附录 C ( 资料性附录) 能 力确定和保持过程的示例 43 附录 D ( 资料性附录)期望 的个人行为 44 附录 E (资料性附录) 审核和认证过程 . 45 参考文献 . 46 CNAS-CC01:2015 第 4 页 共 46 页 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 前 言 本文件等同采用国 际标 准ISO/IEC 17021-1 :2
5、015 合格评定 管理体系审核 与 认证机构的要求 第1 部分: 要求 。 本文件是CNAS 对管理体系认证机构的基本认可 准则, 并与其他适用的CNAS 专用认可准则以及认可方案的相应部分共同构成对特定 管理体系认证机构的认可准则。 为了便于使用,本文件 对ISO/IEC 17021-1:2015 采用转化中做了下列编辑性修 改: 1) 用 “获证客户 ” 替代 4.1.2 b)中“管理体系获得 认证的组织 ” (the organizations whose management systems are certified); 2) 用 “获证客户 ” 替代 5.2.3 注 2 中 “管理
6、体系获 得认证的组织 ” (organizations whose management systems are certified); 3) 用 “本文件” 替代 “ISO/IEC 17021 的本部分” (this part of ISO/IEC 17021 ) ; 4) 在本文件相应条款注明 了 ISO/IEC TS 17021-2 、ISO/IEC TS 17021-3 、 ISO/TS 22003 、ISO/IEC 27006 等标准 分别 对应的 CNAS 认可准则编号; 5) 对“ISO 19011 ”等 部分 国 际标 准的 引 用调 整为 “GB/T19011 ” 等相应 国
7、 家 标准。 本文件代替了CNAS-CC01:2011。 CNAS-CC01:2015 第 5 页 共 46 页 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 引 言 管理体系认证 (如对组织的环境管理体系、 质量管理体系或信息安全管理体系的 认证) 是一种保证方法, 用以确保组织已实施了与其方针及相关国际管理体系标准的 要求一致的、用以管理其活动、产品和服务相关方面的体系。 本文件规定了对管理体系审核和认证机构的要求。 它对从事质量、 环 境及其他管 理体系 审核与认证的机构提出了通用要求。 本文件将这类机构称为认证机构。 贯彻这 些要求旨在确保认证机构以有
8、能力、 一致和公正的方式实施管理体系认证, 以促进国 际和国内承认这些机构并接受它们的认证。 本文件为促进对管理体系认证的承认提供 了基础,这种承认有利 于国际贸易。 管理体系认证是独立地证明组织的管理体系: a )符合规定要求; b )能够自始至终实现其声明的方针和目标; c)得到有效实施。 因此, 诸如管理体系认证的合格评定活动为组织、 组织的顾客及利益相关方提供 了价值。 第4 章阐述了可信的认 证所依据的原则。这 些 原则有助于用户理解 认 证的本质属 性, 并为第5 章至第10 章做了必要的铺垫。 这些原则构成了本文件要求的基础, 但其 本 身 并 不 是 可 供 评 审 的 要 求
9、 。 第10 章 为 认 证 机 构 通 过 建 立 管 理 体 系 来 保 障 和 证 实 其 始终满足本文件要求提供了两种可供选择的途径。 认证活动是构成从申请评审到认 证终止的整个认证过程的单项活动。 附录E 展现 了许多认证活动能够相互作用的方式。 认证活动包括对组织的管理体系的审核。 认证机构通常以认证文件或证书的形式 证明组织的管理体系符合特定的管理体系标准或其他规范性要求。 本文件适用于各种类型管理体系的审核与认证。 为实现利益相关方的期望, 可能 需要对其中一些要求,特别是那些关于审核员能力的要求补充附加准则。 在本文件中: “应”表示要求 ; “宜”表示建议 ; “可以”表示
10、允许 ; “能够”表示一种可能性或能力。 ISO/IEC 工作导则第2 部 分中对这些动词 做了更详细的说明。 CNAS-CC01:2015 第 6 页 共 46 页 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 管 理 体 系 认 证 机构 要 求 1 范围 本文件包含了所有类型管理体系审核与认证机构的能力、 一致性和公正性的原则 与要求。 按照本文件运作的认证机构不必提供所有类型的管理体系认证。 管理体系认证, 是一种第三方合格评定活动 (见 GB/T 27000 的 5.5 ) , 因此实施 这种活动的机构是第三方合格评定机构 。 注 1 :管理体系的示
11、例: 质量管理体系、环境管理体系 和信息安全管理体系。 注 2 :本文件中,管理体系认证称为“认证” ,实施认证的第三方合格评定机构称为 “认证机构” 。 注 3 :认证机构可以是非政府的或政府的,具有或不具有法定权力。 注 4 :本文件可作为认可、同行评审或其他审核过程的准则文件。 2 规 范性 引用文 件 下列引用文件对本文件的应用是必不可少的。 凡是注日期的引用, 仅所引用的版 本适用。凡是不注日期的引用,所引用文件的最新版本(包括任何修改单)适用。 GB/T 19000 质量管 理体系 基础和术语 (ISO 9000 IDT ) GB/T 27000 合格评 定 词汇和通用原则 (IS
12、O/IEC 17000 IDT ) 3 术 语和 定义 GB/T 19000 和 GB/T 27000 中给出的术语和定义以及下列术语和定义适用于本 文件。 3.1 获证客户 certified client 管理体系已获认证的组织 3.2 公正性 impartiality 客观性的存在 注1 :客观性意味着利 益冲突不存在或已解 决 ,不会对认证机构的 后 续活动产生 不利影响; 注 2 :其他可用于表示 公正性的要素的术语 有 :独立、无利益冲突 、 没有成见、 没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。 3.3 管理体系咨询 management system con
13、sultancy 参与建立、实施或保持管理体系 示例1 :筹划或编制手册或程序 。 CNAS-CC01:2015 第 7 页 共 46 页 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 示例2 :对管理体系的建立和实施提供具体的建议、指导或解决方案。 注 1 : 如果与管理体系和审核有关的培训课程仅限于提供通用信息, 那么组织培 训并作为培训者参与培训不被视为咨询, 即培训者不宜针对特定的客户提出解决方案。 注 2 : 为过程或体系的改进提供通用信息, 而不是针对特定客户的解决方案, 不 被视为咨询 。此类通用信息可以包括: - 解释认证准则的含义和意图 ;
14、- 识别改进机会 ; - 解释相关的理论、方法学、技巧或工具 ; - 分享关于相关良好实践的非保密信息 ; - 所审核的管理体系未覆盖的其他管理问题 。 3.4 认证审核 certification audit 由独立于客户和依赖认证的各方的审核组织实施的、 对客户的管理体系进行以认 证为目的的审核 注 1 :在下面的定义中,第三方认证审核简称为 “审核” 。 注 2 :认证审核包括初次审核、监督审核和再认证审核,还可以包括特殊审核。 注 3 : 认证审核通常由依据管理体系标准要求提供符合性认证的认证机构的审核组实 施。 注4 :两个或两个以上审核组织合作审核同一个客户,称作联合审核。 注5
15、:一个客户同时按 照两个或两个以上管 理 体系标准的要求接受 审 核,称作结合审 核。 注 6 : 一个客户已将两个或两个以上管理体系标准要求的应用整合在一个单一的管理 体系中,并按照一个以上标准接受审核,称作一体化审核。 3.5 客户 client 其管理体系为认证目的接受审核的组织 3.6 审核员 auditor 实施审核的人 3.7 能力 competence 能够应用知识和技能实现预期结果的本领 3.8 向导 guide 客户指派的协助审核组的人 3.9 观察员 observer 与审核组同行,但不实施审核的人 3.10 技术领域 technical area 以与特定类型管理体系及其
16、预期结果有关的过程的共性为特征的领域 注:见 7.1.2 注。 3.11 不符合 nonconformity CNAS-CC01:2015 第 8 页 共 46 页 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 未满足要求 3.12 严重不符合 major nonconformity 影响管理体系实现预期结果的能力的不符合(3.11 ) 注:严重不符合可能是下列情况: - 对过程控制是否有效或者产品或服务能否满足规定要求存在严重的怀疑 ; - 多项轻微不符合都与同一要求或问题有关, 可能表明存在系统性 失效, 从而构 成一项严重不符合 3.13 轻微不符合 m
17、inor nonconformity 不影响管理体系实现预期结果的能力的不符合(3.11 ) 3.14 技术专家 technical expert 向审核组提供特定知识或专业意见的人 注:特定知识或专业意见与所审核的组织、过程或活动有关 。 3.15 认证方案 certification scheme 应用相同的规定要求、特定规则与程序的 ,与管理体系有关的合格评定制度 3.16 审核时间 audit time 策划并完成一次完整有效的 客户组织管理体系审核所需要的时间 3.17 管理体系认证审 核时间 duration of management system certification a
18、udits 审核时间 (3.16 ) 的一 部分, 包括从首次会议到末次会议之间实施审核活动的所 有时间 注:审核活动通常包括: 举行首次会议; 审核实施中的文件评审; 审核中的沟通; 向导和观察员的作用和责任; 信息的收集和验证; 形成审核发现; 准备审核结论; 举行末次会议。 4 原则 4.1 总则 4.1.1 本 章 所 述 原 则 是 本 文 件 中 后 续 的 特 定 绩 效 要 求 和 说 明 性 要 求 的 基 础 。 本 文 件 未就所有可能发生的情况给出特定要求。 在出现未预料到的情况时, 宜应用这些原则 作为决策的指南。这些原则不是要求。 CNAS-CC01:2015 第
19、9 页 共 46 页 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 4.1.2 认 证 的 总 体 目 标 是 使 所 有 相 关 方 相 信 管 理 体 系 满 足 规 定 要 求 。 认 证 的 价 值 取 决于第三方通过公正、 有能力的评定所建立的公信力的程度。 认证的利益相关方包括 (但不限于): a) 认证机构的客户; b) 获证客户的顾客; c) 政府部门; d) 非政府组织; e) 消费者和其他公众。 4.1.3 建立信任的原则 包括: 公正性; 能力; 责任; 公开性; 保密性; 对投诉的回应 ; 基于风险的方法 。 注:本文件在第 4 章给出
20、了认证的原则,GB/T 19011-2013 第 4 章 给出了与审 核有关的原则 。 4.2 公正 性 4.2.1 公 正 , 并 被 认 为 公 正 , 是 认 证 机 构 提 供 可 建 立 信 任 的 认 证 的 必 要 条 件 。 重 要 的是所有内部和外部人员都意识到公正性的 必要性 。 4.2.2 客 户 支 付 的 认 证 费 用 是 认 证 机 构 的 收 入 来 源 , 也 是 对 公 正 性 的 潜 在 威 胁 , 这 一点得到公认。 4.2.3 认 证 机 构 根 据 其 所 获 得 的 符 合 ( 或 不 符 合 ) 的 客 观 证 据 做 出 决 定 , 且 不 受
21、 其 他利益或其他各方的影响,对于获得和保持信任是必不可少的。 4.2.4 对公正性的威胁 可能包括,但不限于: a) 自身利益: 此类威胁源于个人或机构依其自身利益行事。 在认证中, 财务方面的 自身利益是一种对公正性的威胁。 b) 自我评审: 此类威胁源于个人或机构评审自己所做的工作。 认证机构对由其进行 管理体系咨询的客户实施管理体系审核属于此类威胁。 c) 熟识 (或信任) : 此类 威胁源于个人或机构对另外一人过于熟悉或信赖, 而不去 寻找审核证据。 d) 胁迫: 此类威胁源于个人或机构察觉受到公然或暗中的强迫, 如威胁用他人取而 代之或向主管告发。 4.3 能力 4.3.1 认证活
22、动涉及的所有职能的认证机构 人 员的能力是认证提供 信任的必要条件。 CNAS-CC01:2015 第 10 页 共 46 页 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 4.3.2 能力也需要由认 证机构的管理体系来支撑。 4.3.3 认 证 机 构 管 理 的 一 个 关 键 问 题 是 具 有 一 个 得 到 实 施 的 过 程 , 来 为 参 与 审 核 和 其他认证活动的人员建立能力准则,并按照准则实施评价。 4.4 责任 4.4.1 始终一致地达 到 实 施 管 理 体 系 标 准 的 预 期 结 果 和 符 合 认 证 要 求 的 责 任 ,
23、在于 获证 客户而不是认证机构。 4.4.2 认 证 机 构 有 责 任 对 足 够 的 客 观 证 据 进 行 评 价 , 并 在 此 基 础 上 做 出 认 证 决 定 。 根据审核结论, 如果符合性的证据充分, 认证机构做出授予认证的决定; 如果符合性 的证据不充分,则不授予认证。 注: 任何审核都是基于对组织管理体系的抽样, 因此并不保证管理体系 100% 符 合要求。 4.5 公开 性 4.5.1 为 获 得 对 认 证 的 诚 信 性 与 可 信 性 的 信 任 , 认 证 机 构 需 要 提 供 获 取 有 关 审 核 过 程、认证 过程和所 有组 织认证状 态(即认 证的 授予
24、、保 持,认证 范围 的扩大或 缩小, 认证的更新、 暂停 、 恢复或者撤销) 的适当、 及时信息的公开渠道, 或公布这些信息。 公开性是获得或公布适当信息的一项原则。 4.5.2 为 获 得 或 保 持 对 认 证 的 信 任 , 认 证 机 构 宜 向 特 定 利 益 相 关 方 提 供 获 取 特 定 审 核(如为回应投诉而做的审核)结论的非保密信息的适当渠道,或公布这些信息。 4.6 保密 性 为了享有获取充分评价管理体系符合性所需信息的特权, 认证机构不 透露任何保 密信息是 至关重要的。 4.7 对投 诉的回 应 依赖认证的各方期望投诉得到调查。 认证机构应当使依赖认证的各方相信,
25、 在投 诉经查明有效时, 认证机构将对这些投诉进行适当的处理, 并为 解决这些投诉做出适 当的努力。 当投诉表明出现错误、 疏忽或不合理行为时, 对投诉做出有效回应是保护 认证机构及其客户和其他认证使用方的重要手段。 对投诉进行适当处理将维护对认证 活动的信任。 注: 为了向认证的所有用户证明认证的诚信性与可信性, 需要在公开性和保密性 (包括对投诉的回应)等原则之间取得适当的平衡。 4.8 基于 风险的 方法 认证机构需要考虑与提供有能力的、 一致的和公正的认证相关的风险。 风险可能 与下列方面有关 (包括但不限于 ): 审核目的; 审核过程中的抽样 ; 真正的和被感知到的公正性 ; 法律法
26、规问题和责任问题 ; CNAS-CC01:2015 第 11 页 共 46 页 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 所审核的客户组织及其运行环境 ; 审核对客户及其活动的影响 ; 审核组的健康和安全 ; 利益相关方的认知 ; 获证客户做出的误导性声明 ; 标志的使用。 5 通 用要 求 5.1 法律 与合同 事宜 5.1.1 法 律责任 认证机构应为一个法律实体, 或一个法律实体内有明确界定的一部分, 以便认证 机构能够对其所有认证活动承担法律责任。 政府的认证机构因其政府地位而被视为法 律实体。 5.1.2 认 证协议 认证机构与每个客户之间应有在
27、法律上具有强制实施力并符合本 文 件 相 关 要 求 的提供认证服务的协议。 此外, 如果认证机构有多个办公场 所或客户有多个场所, 则 应 确 保 授 予 认 证 的 认 证 机 构 与 客 户 之 间 具 有 覆 盖 认 证 范 围 内 所 有 场 所 的 在 法 律 上 具 有强制实施力的协议。 注:一项协议可以 由多个相互引用或以其他方式 相互联系的协议 来实现。 5.1.3 认 证决定 的责任 认证机构应对与认证有关的决定 (包括授予、 拒绝、 保持认证, 扩大或缩小认证 范围, 更新、 暂停、 在 暂停后恢复、 撤销认证) 负责, 并应保持做出上述决定的权力。 5.2 公正 性的管
28、 理 5.2.1 合 格 评 定 活 动 应 以 公 正 的 方 式 实 施 。 认 证 机 构 应 对 其 合 格 评 定 活 动 的 公 正 性 负责,不应允许商业、财务或其他压力损害公正性 。 5.2.2 认 证 机 构 最 高 管 理 层 应 对 管 理 体 系 认 证 活 动 的 公 正 性 做 出 承 诺 。 认 证 机 构 应 具有政策, 表明其理解公正性在实施管理体系认证活动中的重要性, 对利益冲突加以 管理,并确保其管理体系认证活动的客观性。 5.2.3 认 证 机 构 应 有 过 程 以 持 续 地 识 别 、 分 析 、 评 估 、 处 置 、 监 视 与 认 证 活 动
29、 引 起 的利益冲突相关的风险 , 并将其形成文件, 包括认证机构的各种关系引起的冲突。 当 存在对公正性的威胁时, 认证机构应将其如何消除或最大限度减小此类威胁形成文件, 并予以证实, 并将任何残留风险形成文件。 所作的证实应包括所有已识别的潜在威胁, 无论其产生 于认证机构内部还是其他个人、 机构或组织的活动。 当某种关系对认证机 构的公正性构成不可接受的威胁时 (如认证机构的全资子公司向其申请认证) , 认证 机构不应提供认证。 最高管理层应审查任何残留风险并决定其是否处于可接受的水平 。 CNAS-CC01:2015 第 12 页 共 46 页 2015 年 07 月 15 日 发布
30、2015 年 12 月 16 日 实施 风险评估过程应包括识别适宜的利益相关方, 并就影响公正性 (包括公开性和公 众认知) 的事宜向其征询意见。 向适宜的利益相关方征询意见应以均衡的、 任一方不 处于支配地位的方式进行。 注 1 : 认证机构公正性的威胁可能源自其所有权、 法人治理结构、 管理层、 人员、 共享资源、财务、合同、 培训、营销以及给介绍新客户的人销售佣金或其他好处 等 。 注 2 : 利益相关方可能包括: 认证机构的 人员和客户, 获证客户的顾客, 行业协 会代表, 政府监管机构或其他政府部门的代表, 或非政府组织 (包括消费者组织) 的 代表。 注 3 : 满足本条征询意见要
31、求的一种方式是使用一个由这些利益相关方组成的委 员会。 5.2.4 认证机构不应对 另一认证机构的 质量管理体系 进行认证。 5.2.5 认 证 机 构 及 同 一 法 律 实 体 的 任 何 其 他 部 分 以 及 处 于 认 证 机 构 的 组 织 控 制 ( 见 9.5.1.2 b ) ) 之下的任何实体不应提供或推荐管理体系咨询, 也不应 为管理体系咨询 提供报价。本条款同样适用于政府中被识别为认证机构的那一部分。 注: 本条不排除认证机构与其客户之间交流信息的可能性 (例如解释发现或澄清 要求) 。 5.2.6 认证机构及同一 法律实体的任何其他 部分向认证机构的获证 客户提供内部审
32、 核是对公正性的严重威胁。 因此, 认证机构及 同一法律实体的任何其他部分以及处于 认证机构的组织控制 ( 见 9.5.1.2 b ) ) 之下的任 何实体不应向获证客户提供内部审核。 一种公认 的减轻这 种威 胁的方式 是,如果 认证 机构对某 个管理 体 系提 供了内部 审核, 则不应在内部审核结束后至少两年内对该管理体系进行认证。 注:见 5.2.3 注 1 。 5.2.7 如 果 客 户 接 受 了 与 认 证 机 构 有 关 系 的 机 构 的 管 理 体 系 咨 询 , 这 是 对 公 正 性 的 严重威胁。 一种公认的减轻这种威胁的方式是, 认证机构在咨询结束后至少两年内不 应对
33、该管理体系进行认证 。 注:见 5.2.3 注 1 。 5.2.8 认 证 机 构 不 应 将 审 核 外 包 给 管 理 体 系 咨 询 机 构 , 因 为 这 一 做 法 将 对 认 证 机 构 的公正性构成不可接受的威胁 (见 7.5 ) 。 本条 款不适用于 7.3 所述的 作为签约审核员 的个人。 5.2.9 认 证 机 构 活 动 的 营 销 或 报 价 不 应 与 管 理 体 系 咨 询 机 构 的 活 动 有 联 系 。 如 果 任 何咨询机构的链接或声明宣称或暗示选择某认证机构将使认证更为简单、 容易、 迅速 或廉价, 则该认证机构应采取措施纠正这种不当表述。 认证机构不应宣
34、称或暗示选择 某咨询机构将使认证更为简单、容易、迅速或廉价。 5.2.10 为 确 保 没 有 利益 冲 突 , 参 与 了 对 客 户 管 理 体 系 咨 询 的 人 员 ( 包 括 管 理 人 员 ) 不应被认证机构用于针对该客户的审核或其他认证活动。 一种公认的减轻该威胁的方 式是在咨询结束后至少两年内不应使用该人员。 CNAS-CC01:2015 第 13 页 共 46 页 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 5.2.11 认证机构应采 取措施, 以应对其他人员 、 机构或组织的行为对其公正性产生 的威胁。 5.2.12 认证机构所有 可以影
35、响认证活动的人员 (内部或外部的) 或 委员会应公正行 事,且不应允许商业、财务或其他方面的压力损害公正性。 5.2.13 认 证 机 构 应 要 求 内 部 和 外 部 的 人 员 告 知 他 们 所 了 解 的 任 何 可 以 使 其 或 认 证 机构陷入利益冲突的情况。 认证机构应记录并利用这些信息识别他们或其所在单位的 活动对公正性产生的威胁, 且应在他们能够证明没有利益冲突之后再使用这些内部或 外部人员。 5.3 责任 和财力 5.3.1 认 证 机 构 应 能 证 明 已 对 认 证 活 动 引 发 的 风 险 进 行 了 评 估 , 并 对 各 个 活动领域 和运作地域的业务引发
36、的责任作了充分的安排(如保险或储备金) 。 5.3.2 认证机构应评估 其财务状况和收入来源, 并证明其公正性始终没有受到商业、 财务和其他方面压力的损害。 6 结 构要 求 6.1 组织 结构和 最高管 理层 6.1.1 认 证 机 构 应 将 其 组 织 结 构 、 管 理 层 和 其 他 认 证 人 员 及 各 委 员 会 的 职 责 、 责 任 和权力形成文件。 当认证机构是一个法律实体内有明确界定的一部分时, 该文件应说 明认证机构与该法律实体间的权力关系以及与同一法律实体内其他部分的关系。 6.1.2 认证机构的结构 和管理方式应维护认证活动的公 正性。 6.1.3 认 证 机 构
37、 应 确 定 对 下 列 各 项 具 有 全 部 权 力 和 责 任 的 最 高 管 理 层 ( 委 员 会 、 小 组或个人): a) 与认证机构运作有关的政策的制定以及过程和程序的建立; b) 政策、过程和程序实施的监督; c) 确保公正性; d) 认证机构财务的监督; e) 管理体系认证服务和认证方案的开发; f) 审核与认证的实施和对投诉的回应; g) 认证决定; h) 在需要时,授权委员会或个人代表最高管理层开展规定的活动; i) 合同安排; j) 为认证活动提供充分的资源。 6.1.4 认 证 机 构 应 有 关 于 任 何 参 与 认 证 活 动 的 委 员 会 的 任 命 、
38、权 限 和 运 行 的 正 式 规 则。 6.2 运行 控制 CNAS-CC01:2015 第 14 页 共 46 页 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 6.2.1 认证机构应有过 程对其分支办公室、合伙人、代理、特许经营者等交付的认 证活动进行有效控制, 不论其法律地位、 关系或地理位置如何。 认证机构应考虑这些 活动给认证机构的能力、一致性和公正性带来的风险。 6.2.2 认 证 机 构 应 考 虑 与 所从事活动相 适 宜 的 控 制 水 平 和 方 法 , 包 括 其 过 程 、 运 作 的技术领域、 人员能力、 管理控制 和报告关系 以及
39、对操作系统 (包括记录) 的远程访 问。 7 资 源要 求 7.1 人员 能力 7.1.1 总 体考虑 认证机构应有过程来确保其人员对其运作涉及的管理体系类型 (例如 质量管理体 系、 环境管理体系、信息安全管理体系)和地域有适宜的相关知识与技能。 7.1.2 能 力准则 的确定 认证机构应有过程, 以确定参与管理和实施审核 及其他认证活动的人员的能力准 则。 应根据每类管理体系标准的要求, 针对每个技术领域和认证过程中的每项职能确 定能力准则。 该过程的输出应是形成文件的所要求知识和技能的准则, 这些知识和技 能是有效地实施审核与认证任务以实现预期结果所必需的。 附录A 明确了认证机构应 为
40、特定职能确定的知识和技能。 如果已经为特定的 标准或认证方案建立了附加的特定 能 力 准 则 ( 例 如ISO/IEC TS 17021-2 (CNAS-CC121 ) ,ISO/IEC TS 17021-3 (CNAS-CC131 )或ISO/TS 22003 (CNAS-CC18 ) ) ,这 些 附 加的 特 定 能 力 准 则 应得到应用。 注: 取决于不同的管理体系标准, 术语 技术领域 的应用方式可以有所不同。 对 于任何管理体系, 该术语都与管理体系标准范围内的产品、 过程 和服务 有关。 技术领 域可由特定认证方案 (例如ISO/TS 22003 (CNAS-CC18 ) )
41、定义; 或者可以由认证 机构定义。 该术语用于涵盖不同管理体系领域传统使用 的一些其他术语, 例如 范围 、 类别 、 行业 等。 7.1.3 评 价过程 认证机构应有形成文件的过程, 以应用所确定的能力准则, 对所有参与管理和实 施审核 及其他认证活动的人员进行初始能力评价, 并持续监视其能力和绩效。 认证机 构应证实其评价方法是有效的。 这些过程的输出应是识别出有能力的人员, 即被证实 具有审核与认证过程不同职能所需的能力水平的人员。 在认证机构内 , 人员为其 活动 绩效 承担责任前,能力应得到 证实。 注1 :附录B 介绍了一些 可用于能力评价的评价方法。 注 2 :附录 C 提供了一
42、个能力确定和保持流程的示例。 7.1.4 其 他考虑 认证机构应有获取必要的专业知识与技能的途径, 以在其运作涉及的所有技术领CNAS-CC01:2015 第 15 页 共 46 页 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 域、 管理体系类型和地域等方面获得与认证 活动 直接相关的建议。 这些建议可由外部 人员或认证机构人员提供。 7.2 参与 认证活 动的人 员 7.2.1 认 证 机 构 应 有 足 够 的 、 有 能 力 的 人 员 以 对 其 各 种 类 型 与 范 围 的 审 核 方 案 以 及 其他认证工作进行管理 和支持。 7.2.2 认
43、证 机 构 应 聘 用 或 有 途 径 获 得 足 够 数 量 的 审 核 员 ( 包 括 审 核 组 长 ) 和 技 术 专 家,以覆盖其所有活动并满足审核工作量的需要。 7.2.3 认证机构应使所 有 相关人员清楚自己的任务、责任和权力。 7.2.4 认 证 机 构 应 有 过 程 来 选 择 、 培 训 、 正 式 任 用 审 核 员 , 选 择 并 培 养 认证活动使 用的技术专家。 审核员的初始能力评价应包括在审核中应用所需知识与技能的本领的 证实。 在审核中应用所需知识与技能的本领应由有能力的评价者在对审核员审核的见 证中确定。 注: 在上述的选择和培训过程中可以考虑所期望的个人行
44、为。 所期望的个人行为 是影响一个人实施特定职能的能力的特性。 对个人行为的了解能使认证机构能够发挥 人员的强项并尽可能减小其弱点的影响。 附录D 介绍了所期望的个人行为, 它们对参 与认证活动的人员是重要的。 7.2.5 认证机构应有 实现和证实有效审核的 过程。该过程应确保所 使用的审核员和 审核组长具备通用的审核知识与技能以及特定技术领域审核所需的知识与技能。 7.2.6 认 证 机 构 应 确 保 审 核 员 ( 需 要 时 , 包 括 技 术 专 家 ) 充 分 了 解 其 审 核 过 程 、 认 证要求和其他相关要求。 认证机构应使审核员和技术专家有途径获取指导审核和提供 认证活动
45、所有相关信息的现行有效的文件化程序。 7.2.7 认 证 机 构 应 识 别 培 训 需 求 , 并 向 审 核 员 、 技 术 专 家 和 其 他 参 与 认 证 活 动 的 人 员提供或使其有机会参加特定的培训,以确保他们胜任所从事的工作。 7.2.8 做 出 授 予 、 拒 绝 、 保 持 、 更 新 、 暂 停 、 恢 复 或 撤 销 认 证 或 者 扩 大 或 缩 小 认 证 范围等决定的小组或个人应理解适用的标准和认证要求, 并经证实有能力评价审核过 程的结果,包括审核组的相关推荐意见。 7.2.9 认 证 机 构 应 确 保 所 有 参 与 审 核 和 其 他 认 证 活 动 的
46、 人 员 均 有 令 人 满 意 的 表 现 。 认证机构应有形成文件的过程, 以根据这些人员的使用频率及其活动的风险水平来监 视他们的能力和表现。 认证机构尤其应根据人员的表现来复核并记录他们的能力, 以 识别培训需求。 7.2.10 认 证 机 构 应 在 监 视 每 个 审 核 员 时 考 虑 该 审 核 员 被 认 为 有 能 力 的 每 个 管 理 体 系类型。 形成文件的审核员监视过程应把现 场 评价、 审核报告复核及客户或市场反馈 相结合。 认证机构应在文件要求中详细说明该程序。 在设计监视方式时, 应使正常认 证过程所受干扰最小(尤其是从客户角度来看) 。 7.2.11 认证机
47、构应定 期对每位审核员的表现进行现场评价。 现场评价的频率应取决 于根据所有可获得的监视信息确定的现场见证需求。 CNAS-CC01:2015 第 16 页 共 46 页 2015 年 07 月 15 日 发布 2015 年 12 月 16 日 实施 7.3 外部 审核员 和外部 技术 专家的 使用 认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机构 适用的政策并 按照认证机构的 规定实施相关过程。 该协议应含有关于保密及公正性的 条款, 并要求外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核 的组织的关系。 注:使用个人或另一组织的单个雇员作为外部审核员或技术
48、专家不构成外包。 7.4 人员 记录 认证机构应保持人员 (包括认证活动实施人员、 管理人员和行政人员) 的最新记 录,包括相关的资格、培训、经历、隶属关系、专业状况和能力的记录。 7.5 外包 7.5.1 认 证 机 构 应 说 明 可 以 进 行 外 包 ( 即 向 另 一 个 组 织 分 包 , 由 其 代 表 认 证 机 构 提 供部分认证服务) 的条件。 认证机构应与每个承担外包服务的机构就相关 安排 (包括 保密和利益冲突)签订在法律上具有强制实施力的协议。 7.5.2 授 予 、 拒 绝 、 保 持 认 证 , 扩 大 或 缩 小 认 证 范 围 , 更新、暂停 、 恢复或者撤销 认证的决定不应外包。 7.5.3 认证机构应: a) 对外包给另一机构的所有活动负责; b) 确保外包服 务承担机 构 及其使用的 人员符合 认 证机构的要 求和本文 件 的适
