管理体系基础—管理体系认证机构知识点（管理体系认证基础是什么）

·1.管理体系认证机构概念

对管理体系认证机构规定统一的要求，可确保认证机构有能力以一致和公正的方式实施管理体系认证，以促进国际和国内承认这些机构并接受他们的认证。

1.1管理体系认证机构和审核机构

认证机构：证明产品、服务、过程、体系或人员符合规定要求或标准的合格评定机构。

审核机构：从事对产品、服务、过程、体系或人员符合规定要求实施审核活动的合格评定机构。审核机构可以实施第一方，二方和三方审核。

区分：管理体系的审核机构仅就组织的管理体系与规定要求的符合性进行评价并得出评价结论。管理体系认证机构除了上述活动外，还必须根据评价结论做出能否授予、保持、暂停、撤销、更新的认证决定，并颁发相应的认证文件。

1.2管理体系认证机构基本要求

通用要求：依据ISO/IEC17021-1《合格评定 管理体系审核认证机构要求 第1部分 要求》4原则要求；5通用要求；6结构要求；7资源要求；8信息要求；9过程要求；10管理体系要求

特定要求：

ISO/IEC17021-2《合格评定 管理体系审核认证机构要求 第2部分 环境管理体系审核认证能力要求》

ISO/IEC17021-3《合格评定 管理体系审核认证机构要求 第3部分 质量管理体系审核认证能力要求》

ISO/IEC17021-4《合格评定 管理体系审核认证机构要求 第4部分 大型活动可持续性管理体系审核认证能力要求》

ISO/IEC17021-5《合格评定 管理体系审核认证机构要求 第5部分 资产管理体系审核认证能力要求》

ISO/IEC17021-6《合格评定 管理体系审核认证机构要求 第6部分 业务连续性管理体系审核认证能力要求》

ISO/IEC17021-7《合格评定 管理体系审核认证机构要求 第7部分 道路交通安全管理体系审核认证能力要求》

ISO/IEC17021-8《合格评定 管理体系审核认证机构要求 第8部分 社区可持续发展管理体系审核认证能力要求》

ISO/IEC17021-9《合格评定 管理体系审核认证机构要求 第9部分 反贿赂管理体系审核认证能力要求》

ISO/IEC17021-10《合格评定 管理体系审核认证机构要求 第10部分 职业健康安全管理体系审核认证能力要求》

·2.管理体系认证机构特征【思考题2：管理体系认证机构的主要特征】

2.1法律地位：取得认证机构资质，具有法人资格；经国务院认证认可监督部门批准；在批准范围内从事认证活动。

2.2公正性【思考题1：如何理解管理体系认证机构的公正性】

1）定义：实际存在着的并被感知到的客观性。客观性意味着利益冲突不存在或已解决。表示公正性的词语有独立，无利益冲突；没有成见；没有偏见；中立，公平，思想开明；不偏不倚；不受他们影响；平衡等。公正性是认证机构提供可建立信任的认证的必要条件。认证价值取决于第三方通过公正，有能力的评价所建立的公信力的程度。

2）对公正性的威胁：某种关系；某种活动；认证人员；财务方面自身利益

3）认证机构公正性管理

——维护公正性管理机制：认证机构通常成立维护公正性的委员会，该委员会由认证的利益相关方组成

——最高管理者对公正性的承诺

——识别，避免，减轻或管理利益冲突

——确保独立性：一种公认的减轻威胁的方式是在咨询结束后至少两年内不应使用该人员。

2.3责任：认证责任保险是国际上通行的做法

2.4 信息公开与保密

1）信息公开 信息公开的三个原则

——公开性 ：认证申请受理条件，认证流程，认证方案，授予，拒绝，保持，更新，暂停，恢复或撤销认证，扩大或缩小认证范围的过程，申诉和投诉的处理过程；证书和标志的使用要求等。

——信息的可获取性

与认证机构由合同关系的个人或组织为了开展认证评价活动对信息获取有要求时，认证或审核机构有责任与义务向其提供本机构所掌握的与本次审核或认证对象的任何信息。

——信息保密和公开的可质疑性

认证机构为了获取组织的管理体系有效运行的相关证据，享有查看和访问的权利，组织和个人对其提供的任何专有信息有权要求受到保护。认证机构对其从事认证活动时获取或产生的所有信息的管理负责。

2）保密性

——秘密和保密

秘密：个人，集团和国家在一定时间和范围内，为保护自身的安全和利益，需要加以隐蔽，保护，限制，不让外界客体知悉的事项的通城。

保密：个人，集团和国家不想让外界知道而且不能泄露出去的秘密进行隐蔽和保护的活动。

秘密按照性质可分为：国家秘密、商业秘密、工作秘密、个人秘密

秘密按照存在方式：有形秘密(密件和密品);无形秘密(人脑中的意识和思维)

——认证中的保密性

认证中保密性原则：所有组织和个人对其提供的任何专有信息有权要求受到保护

保密措施：认证机构应策划具有法律效力的协议或承诺书，明确保密要求，内容，时限，责任和义务等款项。

公开信息和保密信息【思考题3：如何理解认证中公开信息和保密信息】

实施保密的信息包括：客户申请认证的资料及文件；审核（含文件审核和现场审核）中所获取的有关信息；客户（潜在客户）档案；通过其他渠道获取的客户保密信息；其他专门确定/约定的保密信息。可以披露的保密信息包括履行法律责任，或者得到被认证的客户的书面同意的信息。

不属于认证机构履行保密责任的信息包括：出版物上公布的关于获准认证客户的认证状态的信息及相关信息；特定获证客户被授予认证，保持，暂停或撤销认证资格，扩大或缩小认证范围的事实及认证范围的详细情况；客户或获证客户已公开或应公开的信息；认证机构从其他合法渠道获得的有关客户或获证客户的公开信息。

保密的实施

当法律要求认证机构向第三方提供保密信息时，除法律限制外，认证机构应将所提供的信息提前通知有关客户或个人。当认证机构向认可机构和或在同行评审基础上的承认协议集团等其他机构公开保密信息时，应告知客户。从其他来源（投诉人，监管机构）获得的关于客户的信息应根据认证机构的管理政策按保密信息处理。

保密信息的安全处理

安全处理设备和设施主要用于保密信息的建立，保管，储存，防止非预期复制，最终处置。

2.5风险管理

1）认证风险的概念

认证机构或认证人员失误，获证企业活动发生偏离对认证有效性的影响程度与发生的可能性的组合。认证风险只界定对认证有效性影响程度和发生的可能性，隐含部分法律风险，经济风险，不包括认证经营性风险，自然灾害。

2）认证风险管理

——认证风险识别与评估

成因：盲目进入高风险专业领域；受理高风险认证项目；审核方案策划和实施有缺陷；报告复核认证决定失效；认证机构个别人员工作不规范；认证机构经营管理出现重大失误。

影响因素：认证制度缺陷；认证人员失误；获证组织活动的偏离

——认证风险对策

风险承担：认证风险最终由认证机构承担

风险规避

风险转移

风险控制

——认证风险控制

开拓新认证领域和扩大认证业务范围的风险控制

认证受理的风险控制

策划审核方案的风险控制

审核活动实施的风险控制

认证决定的风险控制

认证后风险控制

——风险控制分析

2.6申诉投诉处理

1）申诉和投诉的概念

申诉：认证申请方或获证组织请认证机构重新考虑其关于认证资格所做决定的正式请求

投诉：任何组织或个人对认证机构的认证互动表达不满意并期望得到回复的行为。认证认可中的申诉属于投诉范畴，是一种特定投诉。

2）处理申诉和投诉的要求

——申诉和投诉的基本要求：认证机构应对在申诉和投诉处理过程中各个层次的所有决定负责

——申诉和投诉的处理原则：处理过程中应包括如下要素和方法：

□对申诉和投诉的接收，确认，调查以及决定采取何种应对措施的过程描述；

□跟踪并记录申诉和投诉，包括解决申诉和投诉所采取的措施

□确保采取适宜的措施

认证机构在接到申诉和投诉后，应负责收集并验证所有必要的信息，以便确认该申诉或投诉是否有效。只要可能，应告知投诉人或申诉人已收到申诉或投诉。并向其提供有关处理进行的报告和处理结果。对送交投诉人或申诉人的决定，应由与申诉或投诉所涉及的合格评定活动无关的人员做出，或者对其审查和批准。只要可能，机构应将申诉和投诉处理过程的结果正式通知投诉人或申诉人。

3）申诉和投诉的处理过程

沟通；受理；原始评估；答复及通知处理意见；跟踪；结束投诉

2.7许可与授权

§认证机构开展认证活动必须经过许可和授权

2.8认证证书与标志

1）基本概念

认证证书：在第三方认证制度定的程序下，表明组织的管理体系符合规定的管理体系标准和产品特性符合特定标准，以及其他任何补充规定的文件。

徽标：认证机构使用的一种符号

认证标志

认可标志

IAF国际互认标识

2）认证证书内容要求

——每个获证客户的名称和地理位置

——授予认证，扩大或缩小认证范围，更新认证的生效日期，生效日期不应早于相关认证决定日期

——认证有效期或与认证周期一致的应进行再认证的日期

——唯一的识别代码

——审核获证客户时所用的管理体系标准和其他规范性文件，包括发布状态的标示

——与活动，产品和服务类型等相关的认证范围，适用时，包括每个场所相应的认证范围，没有误导和歧义

——认证机构名称，地址和认证标志

——认证用标准和其他规范性文件所要求的其他信息

——认证徽标，标志，认可标识，互认标识

——在颁发经修改的认证文件时，区分新文件与任何已作废文件的方法

3）徽标、标志、标识图案

4）认证证书的使用

5）认证证书、徽标和标志使用的监督管理

2.9认可【管理体系认可及国际互认的内涵】

表明合格评定机构具备实施特定合格评定工作能力的第三方证明，由认可机构按照相关国际标准或国家标准，对从事认证，检测和检验等活动合格评定机构实施评审，证实其满足相关标准要求，进一步证明其具有从事认证，检测和检验等活动的技术能力和管理能力，并颁发认可证书。

我国认可机构是中国合格评定国家认可委员会CNAS

2.10互认

1）认可互认机制：国际认可论坛（IAF）；国际认可论坛多边承认协议（IAF-MLA）

2）认证互认机制：国际认证联盟（IQNet）

·3.认证机构的管理体系

3.1认证机构管理体系建立依据

§通用要求；特定要求；国家认证认可相关制度，如认证机构管理办法，认可规则。

3.2认证机构管理体系主要内容

认证机构管理；资源管理；认证制度管理；认证过程管理；信息管理；测量分析改进。

4.认证机构对过程思维的应用

4.1战略和方针目标管理

战略和方针目标的制定；展开和考评

4.2人力资源管理【思考题6：认证机构人力资源管理的输入与输出的主要内容。】

人力资源规划；基于战略进行人力资源现状分析；人员招聘；管理人员培训；审核员培养；审核员监视；审核员评价；审核员能力提升。

输入：业务发展规划；已有业务变更需要；过程监测结果；合作方管理需要；

输出：符合业务发展的认证相关人员；审核人员（数量，能力，适度超前储备）

4.3基础设施和工作环境

提供办公场所，环境，办公设施，设备；认证项目管理软件件系统管理。

4.4供方和合作方管理

供方和合作方的选择，评价和管理。

4.5分支机构管理

体系运行管理，业务项目管理；技术管理；审核人员管理。

4.6市场分析、业务推进过程

市场分析；行业，顾客需求分析；业务推进活动

4.7认证服务项目开发和技术管理

科研开发，新业务开发

4.8技术信息和管理

专业审核知识经验的收集管理，认证过程管理相关知识经验的收集管理；分支运作相关知识经验的管理。

4.9认证过程管理

受理与审核方案的策划，现场审核，审定发证过程，项目管理过程。

4.10改进过程

体系改进，过程改进，产品改进，与监管部门，认可机构，协会沟通，投诉处理，审核员监视与管理；过程监视与管理；业务过程监视，体系监督，相关方沟通。