4-3 认证机构 学习笔记
最后更新:2022-11-21:11:11:51一、认证机构概述
(一)认证机构的特征与运作
认证机构是指运作认证方案的第三方合格评定机构,从事对产品、服务、过程、管理体 系或人员符合规定要求的评价工作。
“认证方案”如前一节所述,指与适用相同规定要求、 具体规则与程序的特定认证对象相关的认证制度
“第三方”指两个相互联系的主体之外的某个客体,认证机构独立于被认证方,也独立于被认证方的利益相关方,它的“第三方” 属性决定了认证结果的公正性及公信力,是其重要特征。第三方认证机构在认证制度的框架下建立和运作认证方案,开展一系列认证活动,以其对认证对象规范地、适宜地评价、确认、复核和证明.传递市场信任,服务经济发展。
认证认可是重要的国家基础制度,是规范市场经济、服务市场监管的重要手段。
认证机构是实施认证活动的主体,建设认证强国,必须建设一定数量的、有扎实能力基础、规范运作、提供良好服务的认证机构。
(二)认证机构的分类
依据认证机构开展的认证业务类型
- 产品认证机构
- 管理体系认证机构
- 管理体系认证机构
- 特种职业人员注册或认证机构
(三)认证机构的管理原则
- 1.公正性
- 2.能力
- 3.责任
- 4.公开性
- 5.保密性
- 6.对投诉和申诉的回应
- 7.基于风险的方法
认证的总体目标是使所有相关方相信认证对象满足规定要求
,认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度
认证机构应致力于建立信任,遵循公正性、能力、责任、公开性、保密性、对投诉的回应和基于风险的方法等管理原则,建立和运行一个确保其自身运作公正性、能力和认证有效性的管理体系,从组织机构、资源保障、认证活动等方面作出规定并予实施, 管理原则是认证机构的能力管理及运作绩效的指导和基础,特别在出现未预料到的情况时,这些原则应作为认证机构决策的指南·
二、认证机构的能力
(一)认证机构的通用要求
1.法律与合同事宜
认证机构应该是一个法律实体,或是一个法律实体内有明确界定的一部分组织单元
认证机构能够对其所有的认证活动承担法律责任。
政府性质的认证机构因其政府地位可以被视为法律实体
.认证机构应与每个被认证组织签订关于提供认证服务的具有法律效力的合同或者协议,认证合同或认证协议应考虑认证机构和被认证组织的责任和义务。
如果认证机构有多个办公场所或被认证组织有多个场所,认证合同或协议应该覆盖认证范围内所有场所,或应具有同等法律效力覆盖所有场所的补充协议。
一项认证协议可以由多个相互引用或以其他方式相互联系的协议来实现,
2.公正性的管理
公正性是合格评定活动的基本原则,认证机构对公正性负责,不允许商业、财务或其他压力损害公正性。
具体的管理要求在认证机构的管理体系中有明确规定并应严格执行。
认证机构最高管理层要对认证活动的公正性做出承诺,表明理解公正性的重要性,并对利益冲突加以管理,确保认证活动的客观性。
认证机构持续地识别、分析、评估、处置、监视与认证活动引起的利益冲突相关的风险,并将其形成文件。
当存在对公正性的威胁时,认证机构将采取措施,消除或最大限度减小对公正性的威胁。当存在不可接受的威胁时(如认证机构的全资子公司向其申请认证时),认证机构不能提供认证。
认证机构的公正性风险可能来自于:
- 对另一认证机构的质量管理体系进行认证;
- 提供或推荐认证有关的咨询及报价:
- 向获证组织提供与认证有关的内部评定(审核);
- 将认证评定活动外包给认证咨询机构;营销或报价与认证咨询机构的活动有联系;
- 参与了对组织认证咨询的人员(包括管理人员)被用于针对该组织的认证活动。
认证机构应采取措施,以应对其他人员、机构或组织的行为对其公正性产生的威胁。
认证机构的公正性管理,可以采用公正性委员会的管理机制,也可以采用其他灵活的管理机制。
最高管理层应审查任何残留风险并决定其是否处于可接受的水平。
风险评估过程应包括识别适宜的利益相关方,并就影响公正性(包括公开性和公众认知) 的事宜向其征询意见。
利益相关方可能包括: 认证机构的人员和客户,获证客户的顾客,行业协会代表,政府监管机构或其他政府部门的代表,或非政府组织(包括消费者组织)的 代表。
向适宜的利益相关方征询意见时应以均衡的、任一方不处于支配地位的方式进行。
3.责任和财力
认证机构会对认证活动引发的风险进行评估,将对各个活动领域和运作地域的业务引发的责任作出安排,如购买与认证有关的保险或保有储备金。认证机构会评估其财务状况和收人来源,并能够自我证明其公正性没有受到商业、财务和其他方面压力的损害。4.认证机构的结构
(1)组织结构和最高管理层。
认证机构有明确的文件对机构的组织结构、管理层、其他认证人员及各委员会的职责、责任和权力做出规定。
认证机构的组织结构和管理方式应该能够维护认证活动的公正性。
认证机构的最高管理层的主要职责有:政策的制定以开发、评定活动与认证的实施、对投诉的回应、认证决定、提供资源等。
(2)运行控制。
认证机构运作有一个复杂的系统来完成,可能存在分支办公室、合伙人、代理、特许经营者等交付的认证活动。
这些组织单元的法律地位、关系或地理位置可能不同,但都被覆盖在认证机构的管理系统中。
在认证机构的风险管理中,需要充分考虑这些活动给认证机构的能力、一致性和公正性带来的风险,通过相关的管理制度、规则程序,对这些组织单元与认证有关的过程进行控制。
(二)认证机构资源
1.认证人员
认证机构最重要的资源是认证人员。
认证人员包括认证管理人员、认证评价人员
认证管理人员包括:认证申请评审人员、认证/审核方案管理人员、认证评定人员、认证人员专业能力评价人员、培训指导与管理人员、管理职能人员(管理层和行政人员)
认证评价人员包括评价人员(对产品认证而言是工厂检查员,对管理体系认证而言是审核员,对服务认证而言是审查员)和技术专家。
| 人员 | 职责 |
|---|---|
| (1)认证申请评审人员: | 核查认证申请及相关信息的充分性、准确性,并评审其个性化 特征; 确认认证机构满足认证要求的能力(人员能力、业务范围、时间等); 解决认证机构与 申请组织之间的理解差异,为建立审核方案提供输人, |
| (2)认证/审核方案管理人员: | 基于申请评审过程的输出,制订认证/审核方案; 对整个 认证周期评价活动(产品检测、工厂检查、审核、监督、再认证)作出安排;组织评价活动的 准备和实施,并在方案实施过程中根据变化和需要进行调整。 |
| (3)认证评定人员: | 对认证评价活动的结果进行复核,并作出认证授予或拒绝认证、扩大或缩小认证范围,暂停或恢复认证、撤销认证或更新认证的决定。 |
| (4)认证人员专业能力评价人员: | 在参与认证活动之前的初始能力评价或在人员履职的连续评价中,依据认证人员能力准则对认证人员的专业能力进行评价的人员。 |
| (5)培训指导与管理人员: | 在认证人员能力保持和提升活动(培训、技术研究、认证技术知识管理等)进行策划、指导和监督的管理人员。 |
| (6)管理职能人员(管理层和行政人员): | 认证机构管理层负有重要的职责,如管理体系建立与运行、公正性管理、财务监督、认证业务开拓、认证流程管理、对投诉和申述回应、 认证决定、合同安排及资源提供等。行政人员负责管理层职责的执行和综合事务的管理。 |
| (7)认证评价人员(检查员、审核员、审查员): | 承担具体认证项目的评价工作,如产品 认证的管理体系评审、管理体系认证的文件审核和现场审核、服务认证的现场评审和服务 特性测评等。 |
| (8)技术专家: | 在认证评价活动中,对认证评价人员的评价工作给予技术上的培训、指 导和咨询等支持性工作,以确保认证评价工作的专业性及有效性。 |
2.认证人员的能力管理
认证机构建立系统化人力资源管理,确保相关人员对其运作的认证业务和地域有适宜的知识与技能。
认证人员的能力管理着力三方面:
(1)能力准则的确定。
认证机构应根据不同认证准则的要求,针对不同认证过程中的每项职能确定能力准则。
(2)人员能力评价。
通过人员能力的评价.认证机构能够保证在委派认证任务之前,识别出具有认证评价与认证过程不同职能所需的能力的人员,从而保证认证过程的能力。
(3)参与认证活动的人员的管理。
认证机构建立管理制度来选择、培训、正式任用认证评价人员,选择并培养认证活动使用的技术专家。
符合能力要求的认证人员是实现和证实有效评价的基础。
三、认证机构的运作
(一)认证机构的信息管理
1.公开信息
基于认证机构公开性原则,认证机构会以各种不同的形式,如网站、出版物、文件或其他方式在业务覆盖的地区主动公布认证相关信息,主要有:- 认证评价过程的安排;
- 授予、拒绝、保持、更新、暂停、恢复或撤销认证,或扩大或缩小认证范围的过程;
- 认证机构业务类型和认证方案;认证机构的名称和认证标志或徽标的使用;
- 对索要信息的请求、投诉和申诉的处理过程;
- 公正性政策。
- 业务开展的地区;
- 与信息提供请求相关的获证组织的认证状态(证书有效、失效、暂停等);
- 获证组织的名称、相关的规范性文件、认证范围和地理位置(国家和城市)。
2.认证文件
认证机构的认证文件有特定的含义,一般指认证证书及证书附件等,认证机构可以由任何方式向获证组织提供认证文件,如书面形式、电子形式等。
认证制度中的认证规则对认证文件的内容有着明确的要求,包括:
- 获证组织的名称和地理位置(或多场所认证范围内总部和所有场所的地理位置);
- 授予认证、扩大或缩小认证范围、更新认证的生效日期,生效日期不应早于相关认证决定的日期;
- 认证有效期或与认证周期一致的应进行再认证的日期;
- 唯一的识别代码;
- 认证获证客户时所用的法规、标准和(或)其他规范性文件,包括发布状态的标示(例如修订时间或编号);
- 与活动、产品和服务类型等相关的认证范围,包括每个场所相应的认证范围,且没有误导或歧义;
- 认证机构的名称、地址和认证标志;
- 可以使用其他标识(如认可标识、客户的徽标),但不能产生误导或含混不清;
- 认证用标准和(或)其他规范性文件所要求的任何其他信息;
- 在颁发经过修改的认证文件时,区分新文件与任何已作废文件的方法等。
3.认证资格的引用和标志的使用
机构对授权获证组织使用的认证标志应有管理规则。
认证标志的管理规则应确保可以从标志追溯到认证机构,标志或所附文字不应使人对认证对象和授予认证的认证机构产生歧义。
认证机构通过合同或协议等具有法律效力的规定,应对获证组织对证书标志的使用作出要求。
要求获证组织:
- 在传播媒介(如互联网、宣传册或广告)或其他文件中引用认证状态时,应符合认证机构的要求;
- 不作出或不允许有关于其认证资格的误导性说明:
- 不以或不允许以误导性方式使用认证文件或其任何部分;
- 在其认证被撤销时,按照认证机构的
- 指令立即停止使用所有引用认证资格的广告材料;
- 在认证范围被缩小时,修改所有的广告材料:
- 不允许在引用其认证资格时,误导公众对认证类型的理解;
- 不得暗示认证适用于认证范围以外的活动和场所;
- 在使用认证资格时,不得使认证机构和(或)认证制度声誉受损从而失去公众信任。
4.信息的保密
认证机构在管理中应严格遵循保密原则,与所有在认证活动中能够接触各类保密信息的人员(包括代表其工作的委员会、内部或外部机构的人员)签订法律文件,对在各个层次从事认证活动时获得或产生的所有信息的管理负责。
对于拟公开的信息,认证机构应提前告知客户。认证机构获取和评价的认证活动所有信息均视为保密信息,除非被认证组织自己公开相关信息。
认证机构及工作人员对于特定获证客户或个人的信息,未经其书面同意,不得向第三方披露。
认证机构的人员,包括代表认证机构工作的任何委员会成员、合同方、外部机构人员或个人,除法律有要求外,对从事认证机构的活动时获得或产生的所有信息予以保密。
5.认证机构与认证组织间的信息交换
认证机构应与认证组织就认证过程和要求的相关信息建立良好的沟通机制。
- 认证机证、监督和授予、拒绝、保持认证、扩大或缩小认证范围,更新、暂停、恢复、撤销认证的过程;
- 认证依据的规范性要求;
- 申请、初次认证和保持认证资格所需费用的信息;
- 认证机构在遵守认证要求、配合认证过程实施时对客户的要求;
- 获证组织引用认证资格时的权利和责任(包括要求)予以说明的文件;
- 投诉和申诉处理过程的信息。
- 在认证制度的规则、程序和管理要求发生变更时,在认证依据发生变更时,认证机构将以适当方式通知获证组织,并安排特定的认证活动验证每个获证组织是否符合新的要求。
(二)认证机构的业务过程管理
认证机构的业务过程管理即运用合格评定技术,在认证制度的框架下运作认证方案的过程
>>查看第二节内容认证机构的认证业务流程一般如下
:认证申请申请评审一认证方案一评定准备一评定实施一评定结果复核一认证决定―认证许可。
各体系总体的管理思路基本一致。
(三)认证机构的通用管理
认证机构应建立、实施和保持一个文件化的、能够规范运作认证过程的管理体系。
1.管理职责
认证机构最高管理层为认证机构的活动制定方针和目标,并形成文件。
认证机构的管理方针应体现认证机构的战略方向和经营理念,符合认证活动的关键特性和价值体现,包含客观、公正、规范、服务的内涵。
认证机构的管理者确保认证机构的政策和管理制度在组织的各个层次上得到理解、执行.规范、科学地运作认证过程。
认证机构的管理目标是在管理方针的框架下制定的,体现机构具体的工作目标。
2.文件化信息的管理
认证机构与认证的有关的管理系统是以文件化为基础的。
认证机构编制管理手册及管理程序、工作规范、工作标准及各类认证技术规则等。
管理手册表明认证机构管理框架和总体信息,内容包括管理方针、管理目标、组织机构及管理职责,也包括认证资源、认证信息管理、认证流程管理总体要求。
认证机构对管理文件进行系统管理,包括:文件的审核批准,文件的评审、更新及修订状态管理;文件的使用;文件的作废管理;外来文件管理等。
认证活动中产生的大量信息需要保存下来,应形成记录,为认证的证明作用提供支撑,认证机构的记录管理主要涉及识别、贮存、保护、检索和处置与保存等。
认证机构的认证档案管理是一项重要的工作,认证资料的保存往往涉及与获证组织的合同、相关法律责任、保密性要求等。
3.改进机制
认证机构内部设有三层次改进机制,日常工作质量监督、内部审核、管理评审评估自身管理,运用纠正措施流程管理,不断进步。
日常管理改进的机会主要来自机构自身设立的例行检查制度,(对认证流程工作质量的检查、对认证档案的复核、对客户的回访、对管理目标的考核等);
被动的日常管理改进的机会:客户投诉和抱怨、外部监管出现的问题、获证组织产品质量或管理绩效出现问题等。
内审和管理评审是认证机构必须建立的内部评价及改进制度,全面评定认证机构自身管理系统的符合性、适宜性、充分性和有效性。
四、认证机构管理体系示例(某认证机构的管理体系)
(一)认证机构业务类型
| 大类 | 小类 |
|---|---|
| 管理体系认证: | 质量管理体系(QMS)、 环境管理体系(EMS)、职业健康安全管理 体系(OHSMS)、食品安全管理体系(FSMS) 、信息安全管理体系(ISMS) , 信息技术服务管理体系(ITSMS) 、能源管理体系(EnMS) |
| 产品认证 | 03加工食品、饮料和烟草,04纺织品、服装和皮革制品,12电子设备及 零部件 |
| 服务认证 | 保养和修理服务,批发业和零售业服务,卫生保健和社会福利; |
| 过程认证 | 有机产品认证(养殖、种植、加工) , 良好农业操作规范(GAP) , 食品危 害分析与关键控制点(HACCP) 等; |
| 人员认证 | CCAA的审核员能力评价。 |
(二)组织机构
(三)管理体系文件结构(某认证机构管理体系文件结构表)
| 一层次:管理纲要 | 二层次:程序文件 | 三层次:作业文件 |
|---|---|---|
| 1.管理手册 | 1.认证申请评审管理程序 | 1.审核时间确定规范 |
| 2.公正性委员会章程 | 2.认证/审核方案管理程序 | 2.专业类别评定准则 |
| 3.技术委员会章程 | 3.认证过程管理程序 | 3.多场所认证规范 |
| 4.申投诉委员会章程 | 4.认证决定管理程序 | 4.已认证证书转换规范 |
| 5.组织机构图及职责 | 5.认证人员管理程序 | 5.认证范围表达确认规范 |
| 6.公正性承诺 | 6.认证业务范围管理程序 | 6.资质许可合规性评定准则 |
| 7.公开文件 | 7.产品检测管理程序 | 7.标准确认准则 |
| 8.认证管理方案 (党建、建筑施工、产品认证、服务 认证、FSMS认证、En MS认证、FSMS认证、1SMS认证、IT SMS 认证) | 8.服务特性测评管理程序 | 8.认证过程文件编制规范 |
| 9.认证有效期监督管理程序 | 9.检查/审核/审查员工作规范 | |
| 10,客户服务管理程序 | 10.批准/保持/扩大/缩小/暂停/ 撤销认证准则 | |
| 11.认证信息管理程序 | 11.人员能力分析评价规范 | |
| 12.分支机构管理程序 | 12.认证技术领域能力准则 | |
| 13.内审管理评审管理程序 | 13.人员能力保持提升管理规范 | |
| 14.不符合纠正措施管理程序 | 14.认证业务范围扩大工作规范 | |
| 15.文件记录管理程序 | 15.认证风险评估及控制规范 | |
| 16.认证新产品研发管理规范 | ||
| 17.固定资产管理规范 | ||
| 18.财务管理规范(系列) | ||
| 19.人事管理规范(系列) | ||
| 20.行政管理规范(系列) |
