导图社区 合格评定 管理体系审核认证机构要求 第一部分 要求 思维导图
合格评定 管理体系审核认证机构要求 第一部分 要求 思维导图,一图图解决ISO17021-1 具体内容
编辑于2022-04-07 15:07:09GB/T 27021.1—2017 第一部分 要求
4 原则
4.2公正性:对公正性的威胁
自身利益
自我评审
熟识或信任
胁迫
4.3能力:认证涉及的所有人的能力是认证提供信任的必要条件,能力也需要由认证机构的管理体系来支撑。
4.4责任
4.4.1 始终一致地达到实施管理体系标准的预期结果和符合认证要求的责任,在于获证客户而不在于认证机构
4.4.2认证机构有责任对足够的客观证据进行评价,并在此基础上做出认证决定。
4.5公开性
4.5.1 认证机构需要获得审核过程、认证过程中客户的相关信息,或公开这些信息。公开性是获得或公布适当信息的一条原则
4.5.2 认证宜向特定利益相关方提供获取特定审核(如为回应投诉而做审核)结论的非保密信息的适当渠道或公布这些信息
4.6保密性
不透露任何保密信息
4.7对投诉的回应
依赖认证的各方期望投诉得到回应,当投诉表明出现错误、或不合理行为是,对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手段。
4.8基于风险的方法
风险来源:审核目的、审核过程中的抽样、真正的和被感知的公正性、法律法规问题和责任问题、所审核客户组织及其运行环境、审核对客户的影响、审核组的健康和安全、利益相关方的认知、客户的误导性声明、标志的使用。
5 通用要求
5.1法律与合同事宜
5.1.2认证机构与每个客户必须具有强制实施力并符全本要求的提供认证服务的协议
5.1.3认证机构应对(授予、拒绝、保持认证,扩大或缩小认证范围,更新、暂停、暂停后恢复、撤销认证)负责,并应保持做出上述决定的权力。
5.2公正性的管理
5.2.1-13 主要明确如何做到公正性:包括高层的承诺、减少威胁须形成文件、不得同行认证、不得提供咨询(含报价)、提供咨询的人员或机构至少两年内不得进行认证、不得外包、不允许商业财务或其他方面的压力
5.3责任和财力
5.3.1对风险做了评估,且对可能的责任作了充分安排(如保险或储备金)
5.3.2对财务状况和收入来源进行了评估,证明其公正性不受商业、财务和其他方面的压力的损害。
6 结构要求
6.1组织结构和最高管理层
6.1.1组织结构、管理层、认证人员及各委员会的职责、责任和权力形成文件
6.1.2组织结构和管理方式应维护认证活动的公正性
6.1.3应确定最高管理层(委员会、小组或个人)对10项工作有全部的权力
6.1.4对参与认证活动的委员会的任命、权限和运行的规则
6.2运行控制
6.2.1应有过程对其分支办公室、合伙人、代理、特许经营者等交付的认证活动进行有效控制
6.2.2应有与所从事活动相适宜的控制水平和方法
7 资源要求
7.1人员能力
7.1.1总体考虑:应有过程来确保对其运作涉及的管理体系类型和地域有适宜的相关知识和技能
7.1.2能力准则的确定:应有过程确定参与管理、实施审核及其他认证活动人员的能力准则,根据管理体系要求,针对每个技术领域和认证中的每项职能确定能力准则。
7.1.3评价过程:应有形成文件的过程,以应用所确定的能力准则,对所有参与管理、实施及其他人员进行能力评价,并持续监视其能力和绩效。
7.1.4其他考虑:应有获得必要的专业知识与技能的途径。
7.2参与认证活动的人员
7.2.1-11要求:有足够的人员或外聘人员、技术专家;参与人员要熟悉自己责任、任务、权力、审核过程;要有过程来选择、培训、正式任用审核员、技术专家;认证机构应监视每个审核员的能力并进行绩效评价。
7.3外部审核员和外部技术专用的使用:要求外部审核员和外部专家通过书面协议承诺其遵守认证机构适用的政策并按规定实施,协议应含有保密及公正性条款,并要求外部审核员和外部技术专家说明与被审核组织的关系。
子主题
7.4人员记录:应保持人员(实施人员、管理人员、行政人员)的最新记录,包括相关的资格、培训、经历、隶属关系、专业状况和能力的记录。
7.5外包
7.5.1应明确可以外包的条件并签订有强制性的协议(外包给组织才算外包,单独聘请审核不算外包)
7.5.2对授予、拒绝、保持认证,扩大或缩小认证范围,更新、暂停、恢复或撤销的决定不允许外包。即决定性的业务不能外包
7.5.3对外包的业务要负责、并有过程记录,确保外包组织的能力和公正性
7.5.4应有过程对外包机构进行批准和监视,并确保外包机构参与人员的能力记录
9 过程要求
9.1认证前的活动
9.1.1申请
要求授权代表提供:申请认证的范围;组织的详细情况(名称、场所、过程和运作的重要方面、人力和技术资源、职能、关系及任何的法律义务;外包过程;寻求认证的标准或要求;是否接受过相关体系的咨询)
9.1.2申请评审
9.1.2.1对认证申请及补充信息进行评审:提供的信息足以建立审核方案;解决了认知差异;有能力进行评审;考虑了认证范围、场所、审核时间及其他可能影响认证的因素(比如语言、安全、对公正性的威胁)
9.1.2.2评审后作出接受或拒绝认证,基于评审拒绝认证时,应记录拒绝原因并使客户清楚
9.1.2.3可认证的,确定审核组及进行认证决定需要具备的能力
9.1.3审核方案
9.1.3.1-5 1.应对整个认证周期制定审核方案;2.初次认证方案包括两阶段初审、认证决定后第一(认证决定12个月内)、二年的监审(每日历年一次)和第三年认证到期之前的再认证审;3.已获认证或其他机构审核的,应获取并保留充足的证据;4.客户班作业的,应在审核方案和审核计划时考虑轮班活动。
9.1.4确定审核时间
9.1.4.1-4 应有形成文件的确定审核时间的程序;确定审核时间主要考虑:相关管理体系的要求;客户及其管理体系的复杂度;技术和法规环境;管理体系内的分包情况况;以前的审核结果;场所的数量和规模、位置;与产品、过程或活动相关联的风险;是否结合审核、联合审核或一体化审核;应记录审核时间及合理性;非审核组成员不计入审核时间,但翻译人员需要增加额外时间。
9.1.5多场所的抽样
当管理体系有多个场所,应制定抽样方案以确保正确审核,抽样计划的合理性形成文件
9.1.6多管理体系标准
多体系审核时,审核策划应确保充分的现场审核,以提供对认证的信任
9.2策划审核
9.2.1确定审核目的、范围和准则
1.审核目的应由审核机构确定,主要包括管理体系与审核准则的符合性、管理体系满足客户的法律法规合同要求、管理体系实现客户预期目标的有效性、识别管理体系的潜在改进区域;2、审核范围应说明审核的内容和界限,如审核的场所、组织单元、活动及过程;3、审核应用作确定符合性的依据,并应包括体系符合规范性要求及制定体系的过程和文件;4、审核范围和准则,应由机构和客户商讨后确定。
9.2.2选择和指派审核组
9.2.2.1总则
1.应有实现审核目的所需的能力以及公正性要求来选择和任命审核组,包括审核组长及必要的技术专家;2.组建审核组主要考虑因素:审核目的、范围、准则和预计的审核时间;是否结合、联合、一体化审核;实现审核目的所需的审核组整体能力;认证要求;语言和文化;3、组长和审核员所需知识、技能可通过专家、翻译补充;4实习审核员可参与审核,但应配备评价人员
9.2.2.2观察员、技术专家和向导
认证机构应与客户就观察员、技术专家达成一致;每个审核员应配备一名向导,除非审核组长与客户另行达成一致。
9.2.3审核计划
9.2.3.1总则:应为审核方案中的每次审核编制审核计划,以便为各方达成一致提供依据
9.2.3.2审核计划应包括或引用:审核目的;准则;范围;现场审核日期、场所;现场审核持续时间;审核组成员及同行人员的角色和职责。
9.2.3.3认证机构与审核组任务的沟通:检查和验证客户与管理体系相关的结构方针过程程序记录相关文件;确保上述文件满足相关要求;了解客户管理体系过程和程序;告知不一致以便客户采取措施
9.2.3.4审核计划的沟通:认证机构与客户提前就审核计划进行沟通,并确定审核日期
9.2.3.5审核组成员信息的通报:及时通报成员信息,有需要时通报成员背景,并留出足够时间给客户确定是否调整成员。
9.3初次认证
9.3.3.1总则:初次认证审核应分两个阶段
9.3.1.2第一阶段
9.3.1.2.2第一阶段目的:审查文件化管理信息;评价客户现场情况并与客户讨论决定第二阶段准备情况;审查客户理解和实施标准情况,特别是关键绩效、重要因素、过程、目标和运作的识别;收集必要信息(客户场所、使用的过程和设备、所建立的控制水平、适用的法律法规、第二阶段所需资源并商定第二阶段细节、了解管理体系及现场运作确定第二阶段关注点、评价客户是否为第二阶段作好了准备)
9.3.1.2.3认证机构应将第一阶段目的是否达到及第二阶段是否准备就绪的书面结论告知客户,包括识别为关注点、可能在第二阶段判定为不符合的问题。
9.3.1.2.4第一阶段和第二阶段的间隔时间,应考虑客户解决问题的时间;如发生重大变更,可重复整个或部分第一阶段。
9.3.1.3第二阶段,目的是评价客户管理体系的实施情况,包括有效性,应在现场进行,至少包括以下方面:与体系或规范性文件的符合情况及证据;依据关键绩效指标对绩效进行监视测量报告评审;体系的能力以及符合法律法规、合同要求方面的绩效;客户过程的运作控制;内审和管理评审;客户方针的管理职责。
9.3.1.4初次认证的审核结论:审核组应对第一、二阶段中收集的所有住处和证据进行分析,以评审审核发现并就审核结论达成一致。
9.4实施审核
9.4.1总则:认证机构应有现场审核的过程,该过程包括开始时的首次会议和审核结束时的末次会议
9.4.2召开首次会议:审核组应与客户的层召开正式的首次会议,通常由审核组长主持,目的是简要解释将如何进行审核,主要考虑:确认人员、审核计划等相关内容
9.4.3审核中的沟通:定期评估审核进程并沟通信息,必要时审核组长可高速成员分工;当审核目的可能无法实现或出现紧急、重大风险时,组长应向客户报告以确定适当的行动;如需改变审核范围,应与客户沟通并报审核机构。
9.4.4获取和骓信息:通过适当的抽样来获取与审核目的、范围、准则相关信息并进行验证后成为审核证据,方法包括:面谈、对过程活动进行观察、审查文件和记录
9.4.5确定和记录审核发现:确定、记录审核发现(符合概述、不符合详述)并以分级和报告,以便为认证决定或保持认证提供充分信息。可以识别和记录改进机会,除非标准不允许。对不符合应与客户讨论并得到理解,对分歧意见组长应争取解决并作记录。
9.4.6准备审核结论:审核组长负责,应对照审核目的、准则、发现和审核中获得的信息,对不符合进行分级、就不确定性和有必要的跟踪活动达成 一致,并确认审核方案的适宜性,提出将来的审核修改(范围、时间、监督频次、审核组能力)
9.4.7末次会议:审核组长应召集客户管理层召开末次会议,目的是提出审核结论、审核证据分歧、风险对、对不符合提出纠正措施,应让客户提出问题就分歧进行讨论并尽可能解决,未解决的分歧应记录并提交认证机构。
9.4.8审核报告:每次审核都应提交书面报告,审核组长应确保报告的编制并对内容负责,可以识别改进机会,但不应提出解决办法。报告内容包括必要的详细信息、审核情况、推荐意见、是否达到目的等。
9.4.9不符合原因分析:对不符合应要求客户在规定期限内分析原因并说明为消除不符合已采取或拟采取的具体纠正措施9.6.4
9.4.10纠正和纠正措施的有效性:应审查客户提效的纠正、原因、措施,以确定是否可接受并验证纠正措施的有效性。必要时,可补充一次全面或部分审查,并作为证据予以记录,结果应告知客户。
9.5认证决定
9.5.1总则:认证决定人员不能是审核实施人员、必须是认证机构雇员,认证机构就记录每项认证决定,包括审核组或其他来源获得的补充住处或澄清。
9.5.2作出决定前的行动:应审查审核组提供的符合信息;对所有轻微不符合,已审查和接受纠正和纠正措施的计划;对严重不符合,还应验证纠正和纠正措施。
9.5.3授予初次认证所需要的信息:审核组必须提供审核报告相关信息;不能在6个月内验证严重不符合的纠正和纠正措施的,应在推荐前再实施一次第二阶段审核;转换认证,应有充分过程获取信息。
9.5.4授予再认证所需信息:根据再认证审核的结果,以及主证周期内的体系评价结果和认证使用方的投诉,做出是否更新认证的决定。
9.6保持认证
9.6.1总则:对严重不符合或其他可能导致暂停或撤销认证的情况时,审核组长应报告需由具备适宜能力且未实施该审核的人员进行复核,同时由具备能力的人对监督活动进行监督的前提下,可以根据审核组长的肯定性结论保持认证。
9.6.2监督活动:1.认证机构应对其监督活动进行设计,定期对其管理体系有代表性的区域和职能进行监督,并考虑其体系变更情况,监督活动应现场审核,还可以询问客户、审查其运行情况说明、要求获得文件化信息、其他监视绩效的方法。2.监督审核是现场审核,但不一定是对整个体系的审核,并应与其他监督活动一起策划(内审评审、不符合采取的措施、投诉处理、体系有效性、运作控制、变更、标志使用等)
9.6.3再认证明1.再认证的策划:目的是确认管理体系作为一个整体的持续符合性与有效性,以及与认证范围的持续相关性和适宜性。再认证应考虑一个认证周期内的绩效,包括调阅监督审核报告,体系有重大变化时,可能需第一阶段。2.有严重不符合时,应明确纠正措施并在认证到期前得到实施和验证,在到期前未能完成验证则不应再推荐再认证也不得延长认证效力。在认证到期后6个月内完成再认证活动的,可以恢复认证,否则至少进行一次第二阶段认证。
9.6.4特殊审核:扩大认证审核可以监督审核一块;提前较短时间审核是指为了调查投诉、对变更做出回应或对被暂停的客户进行追踪,应说明并使客户提前了解且给予以更多关注。
9.6.5暂撤缩审核:当严重不满足或不按频次监督审核、客户主动要求暂停时,应予以暂停,暂停一般不超过6个月,暂停问题解决后予以恢复;当认证范围内部分严重不满足时,就缩小认证范围。
9.7申诉:申诉应有形成文件的过程,申诉的收集和验证应收集必要的信息,申诉的调查和决定不能为实施审核的人员,受理确认调查申诉时应参考以前类似申诉结果并跟踪记录申诉、解决措施,申诉结果应正式通知申诉人。
9.8投诉:与申诉类似,但处理人员应与投诉无关,是否公开应与客户、投诉人共同商定。
9.9客户的记录:对所有的客户都应记录,记录内容包括审核报告、认证协议、抽样方案、审核时间、纠正及纠正措施的验证、投诉申诉的处理、决定文件、认证文件、审核方案等;记录应确保安全保密且有形成文件的记录程序。
8 信息要求
8.1公开信息
8.1.1在运营地域主动公开的信息:审核过程;授予、拒绝、保持、更新、暂停、恢复、撤销或扩大、缩小认证范围的过程。
8.1.2有请求时公开的信息:运作涉及的领域、特定认证的状态、特定获证客户的名称、相关的规范性文件、认证范围和地理位置。
8.1.3信息公开的要求:准确不使人产生误解
8.2认证文件
8.2.1应以其选择的任何方式向获证客户提供认证文件
8.2.2认证文件应标明:获证客户的名称和地理位置;生效日期;认证有效期或再认证日期;唯一的识别代码;所用的管理体系或其他规范性文件;与活动、产品、服务类型等相关的认证范围;认证机构的名称、地址、标志;认证标准或规范性文件;经修改的还要区分新发和作废。
8.3认证资格的引用和标志的使用
8.3.1-5认证标志的使用应有管理规则;标志不得用于实验室检测检验校准报告;不得误用;要有强制性法规规定不得误用;误用的纠正措施。
8.4保密
8.4.1-7要有强制实施力的法律协议进行保密;原则上信息都应保密;拟公开或法律法规要求提供的信息,要提前告知客户;与认证有关的人员、合同方、外部人员,都应保守秘密。
8.5认证机构与其客户间的信息交换
8.5.1认证过程和要求的信息:认证活动的详细说明,包括申初监,授拒扩缩,更暂恢撤整个过程;认证依据;费用信息;对客户的要求;引用认证资格时的权利义务;投诉申诉处理过程。
8.5.2认证机构的变更通知:以适当 的方式将其认证要求的任何变更通知获证客户。
8.5.3获证客户的变更通知:具有法律强制实施力的安排要求,以下变更及时通知:法律地位、经营状况、组织状态或所有权;组织和管理层;联系地址和场所;获证体系运作范围;管理体系或过程的重大变更。
10认证机构的管理要求
10.1可选方式:除满足17021要求外,还可选通用的管理要求或ISO9001
10.2方式A 通用的管理体系要求:认证机构应建立实施和保持一个能够支撑并证实基始终满足17021要求的管理体系并形成文件,并要有相应的管理手册、文件控制、记录控制、管理评审、内审、纠正措施等程序和内容。
10.3方式B:与ISO9001一致:按ISO9001要求建立和保持一个能够支撑并证实始终满足17021要求的管理体系,其范围包括认证服务的设计和开发,要求以顾客为关注焦点,并以认证活动的使用方相关申诉投诉及公正性审查作为管理评审的输入。