CNAS-EC-057-2019 落实IAF强制文件要求对代表管理体系认证机构开展业务的实体进行控制

认可说明编号:CNAS-EC-057:2019第1页共6页发布日期:2019年04月03日实施日期:2019年05月08日落实IAF强制文件要求对代表管理体系认证机构开展业务的实体进行控制的说明1背景国际认可论坛（IAF）制定了强制性文件IAFMD23:2018《代表已获得认可管理体系认证机构运作的实体的控制》，该强制文件中同时规定了认证机构及认可机构针对代表管理体系认证机构开展业务的实体进行控制的要求（IAFMD23参考译文见本文件附录），CNAS作为IAF成员认可机构将落实IAFMD23文件要求。2评审中落实IAFMD23对管理体系认证机构的要求IAFMD23的第1章及附件1提出了对该类实体控制过程中认证机构的义务及指南。CNAS在认可过程中发现认证机构业务活动中存在该类实体，并且对其控制未满足IAFMD23第1章相关要求的，将作出如下处置：1）不满足IAFMD23中1.1条对候选实体风险评估要求的，将认为认证机构未满足CNAS-CC01中6.2.1条的要求，并开具不符合；2）不满足IAFMD23中1.2条有关协议内容要求的（即1.2条中第i至ix项内容），将认为认证机构未满足CNAS-CC01中7.5.1条的要求，并开具不符合；3）不满足IAFMD23中1.2条有关认证机构应向认可机构报告实体运作范围、报告认证机构与实体协议终止原因等情况的（即1.2条最后两段），将认为认证机构未满足CNAS-RC03中5.1条的要求，并开具不符合；4）不满足IAFMD23中1.3条有关认证机构对实体运作持续控制要求的，将认为认证机构未满足CNAS-CC01中7.5.4条的要求，并开具不符合。3CNAS履行IAFMD23中关于认可机构义务的安排IAFMD23的第2章及附件2提出了对该类实体控制过程中有关认可机构的义务安排及指南。依据CNAS-RC05，代表认证机构开展认证业务的场所或实体不论其与认证机构之间的法律地位关系如何，CNAS统一按照多场所认证机构策划和实施评审活动（包括采用IAFMD23第2章及其附件2的内容），当实体或场所位于认证机构国外/境外时，CNAS实施认可活动还将同时纳入CNAS-RC07的要求。附录：代表已获得认可管理体系认证机构运作的实体的控制（IAFMD23参考译文）认可说明编号:CNAS-EC-057:2019第2页共6页发布日期:2019年04月03日实施日期:2019年05月08日附录：代表已获得认可管理体系认证机构运作的实体的控制（IAFMD23参考译文）0.范围本文件涉及那些并不是认证机构全部或部分拥有或被认证机构雇用的实体，同时他们代表获认可的认证机构实施和/或管理着管理体系认证活动。该实体可以位于认证机构总部办公室相同或不同的国家，并且该实体可以是认证机构的代理、代表处、特许经营或销售办公室，或者是与认证机构有合同关系的实施认证活动的实体。规范性引用文件：ISO/IEC17011:2017合格评定认可机构要求ISO/IEC17021-1:2015管理体系审核认证机构要求第一部分：要求1认证机构的义务1.1对候选实体的风险评估在签订任何协议之前，认证机构应对候选实体就其所在国家以及该实体将代表认证机构在哪些国家运作进行综合的风险评估。如果发现无法被管理的不可接受的风险，认证机构不应继续签订协议。应考虑与公正性、能力、一致性、独立性有关的风险，以及认证机构计划让该实体在哪个国家运作认证业务相关的当地风险水平（见附件1）。实体现有的认可状态可以纳入考虑。1.2制定具有法律强制力的协议认证机构应与候选实体制定具有法律强制力的协议，包括但不仅限于：i)候选实体应符合适用的要求，包括：法规地位、公正性、能力要求、过程要求，以及符合认证机构的管理体系，与候选实体参与提供认证服务的程度相符。该候选实体的运作应在认证机构的管理体系内，和/或其自身获得认可；根据需要，在风险评估的基础上，应确定和实施额外的控制；ii)该实体持续服从认证机构实施的现场内部审核。该审核（内审）应包括该实体代表认证机构实施的所有活动。审核（内审）的频率应基于风险评估和以前审核的结果；iii)对关键绩效指标（KPI）强制年度报告，包括IAFMD15“为提供管理体系认证机构绩效指标的数据收集”中规定的指标；iv)必要时，提供由（该认证机构的）认可机构控制和监视的接口；v)由该实体提供活动的详细情况；认可说明编号:CNAS-EC-057:2019第3页共6页发布日期:2019年04月03日实施日期:2019年05月08日vi)各方的职责、权限和义务；vii)提供资源、培训、持续专业发展；viii)知识产权与保护；ix)该实体在代表认证机构实施任何分包活动之前，应获得认证机构同意。认证机构应向其认可机构报告所有已确定的实体的运作，以及他们运作的市场。对终止协议的情况，认证机构应通知其认可机构终止的原因。1.3实体的运作遵守适用要求、认证机构管理体系以及管理文件在实体代表认证机构实施服务的范围内，（认证机构）符合的适用认可要求延伸到该实体。认证机构应监视实体的持续绩效，包括依据认证机构管理体系相关的认可要求、认证机构的管理文件、以及实体代表认证机构实施服务的范围内适用的其他文件，对实体的现场内审（包括见证审核）。2认可机构义务2.1认可机构对于实体的监视当认可机构被告知认证机构将使用这样的实体时，认可机构应将该信息（ISO/IEC17011的7.8.1）与当地认可机构共享，并考虑ISO/IEC17011第8章的要求可以寻求当地认可机构的信息输入。一旦当地认可机构注意到被境外认可机构认可的实体在当地市场运作，当地认可机构应予以识别，并将该信息与境外认可机构沟通。认证机构的认可机构应根据ISO/IEC17011、IAFMD12“在多国参与活动的合格评定机构的认可评审”的要求，以及其他适用文件来确定针对认证机构的实体的评审方案；并且，如适宜应通知当地的认可机构。认证机构的认可机构应将认证机构与实体之间因为欺诈或不道德行为终止协议的情况通知当地认可机构。2.2认可机构对实体运行的评审认可机构应根据ISO/IEC17011和适用的IAF文件要求，确定认可周期内对每个认证机构及其实体评审的频次。可以由负面趋势（包括：要求由实体和认证机构识别并定期向认可机构报告的指标）或市场反馈，触发认证机构的认可机构开始对实体访问以调查特定情况。例如：认证机构颁发证书数量的突然变化；如果实体实施审核，而很长一段时间（例如：整个认证周期）很少或没有提出不符合；对获认可认证的可信性引起质疑的情况；认可说明编号:CNAS-EC-057:2019第4页共6页发布日期:2019年04月03日实施日期:2019年05月08日来自获认证组织顾客或其他相关方的投诉，指向对实体承担认证过程有效性的顾虑；负面公共信息：即媒体组织提出的与特定技术领域有关的特定产品、组织或实体的问题，社交媒体网站识别的问题，非政府组织（NGO）提出的与获认可认证绩效有关的特定负面反馈；监管机构介入，或来自监管机构的负面反馈；在认可机构进行见证评审过程中，实体发现客户存在系统性问题和顾虑，同时这些发现并没有在以前对相同客户的审核中被记录（特别是由相同审核组/审核员实施的）；监管要求没有被充分审核的证据，特别是在监管敏感的管理体系（例如：FSMS，EMS或OHSMS），特别是存在对人身健康或安全有直接影响的。注：附件2可以用来帮助对这类情况调查。实体出现绩效低下的事件（这些事件可能由后述情况触发：当地认可机构、监管机构或其他相关方的投诉、不充分的运行保持记录、对当地员工培训和评价无效等），认可机构可能需要变更对认证机构的评审方案，例如：策划额外的专门访问。与绩效低下实体有关的信息应与当地认可机构共享，并且任何需要合作的后续措施与认证机构取得一致。认可说明编号:CNAS-EC-057:2019第5页共6页发布日期:2019年04月03日实施日期:2019年05月08日附件1：风险评估过程中可检查的要素（资料性）风险评估过程中可检查的要素包括但不仅限于：——所有权和所有者及其关系（业务和其他的）；——相关业务，包括与咨询公司的关系；——所有者和实体的犯罪记录-记录清白；——与行政管理机构、违规、法令、禁令、税务记录、社会安全记录有关的潜在问题；——以前与其他认证机构的关系，如果有，目前状况，终止关系的原因；——有记录的雇员人数，包括外部资源；——审核员的能力范围、审核员档案，当前的合同；——财务稳定性。注：当地认可机构可以是信息的来源之一。认可说明编号:CNAS-EC-057:2019第6页共6页发布日期:2019年04月03日实施日期:2019年05月08日附件2:对实体运行专项调查评审的工具箱（资料性）如果有必要进行专项调查评审，推荐可以检查下列的主题，来评定实体运行符合性的证据。——法律信息、注册登记、所有权、公司和所有者/管理者的法律记录；——实体运作的其他类型的活动；——通过共同所有权以及所有者间关联而有关的实体；——管理结构与利益冲突的管理；——税收和社会保障信息以及与其一致的工作量；——审核员资源–他们存在的证据及他们被证实的能力；——财务方面；——审核日期的交叉核对和审核员在场的确凿证据（例如，旅行收据、酒店发票、支付详单等与其他审核不重叠）；——与客户确认审核组在场、审核天数、审核时间长度等；——公司实际情况；——检查直接成本费用；——检查大额咨询分包商-支付给分包商的大量款项；支付给审核员的款项，与审核员的合同，支付给公司做审核的费用；可以根据需要添加其他检查主题。——