认证机构认可风险分级管理办法(征求意见稿)中国合格评定国家认可委员会CNAS-EC-017:2009第1页共13页发布日期:2009年*月*日实施日期:2009年*月*日认证机构认可风险分级管理办法1.目的为了提高认可管理的有效性和效率,降低认可风险,促进认证机构加强自律管理,CNAS特制定本管理办法,对认证机构实施认可风险分级管理。2.依据GB/T27011-2006《合格评定-认可机构通用要求》CNAS-CC01《管理体系认证机构要求》RC01《认证机构认可规则》RC04《认证机构认可收费管理规则》RC05《多场所认证机构认可规则》3.适用范围本管理办法适用于在质量、环境、职业健康安全和食品安全管理体系四领域已经获得并持续保持CNAS认可资格,且任一领域超过一个认可周期的认证机构。4.定义认证机构认可风险分级管理:是出于认可机构自身风险管理的需要,根据在各种渠道获得的相关信息,对已获得认可的认证机构管理体系运行的成熟度和有效性进行评价,以此确定认证机构自律管理的能力,并根据其能力程度划分风险级别,采取相应的管理方式和管理措施。CNAS-EC-017:2009第2页共13页发布日期:2009年*月*日实施日期:2009年*月*日5.风险分级评价原则5.1信息来源5.1.1评分标准使用的信息来自评审、信息通报等途径,是认证机构稳定可靠的信息。5.1.2对于认可风险程度高并对认可风险分级的结果有较大影响的其它信息和评分标准中关键要素判定的信息将采取直接评价的方式。5.2风险级别评价方式评价方式采用评分和直接评价两种方式。当两种评价方式产生不同的结果时优先采用直接评价的结果。5.2.1评分是依据设定的评分标准进行评价。评分标准是从认可规范要求中选取关键、重要的内容而形成,包括认可评审信息和认可管理信息两部分。对多领域的认证机构,先对分领域分别进行评价,再由评审组长评价汇总,对同一要素在不同领域或同一领域的不同场合/方式(如办公室评审、见证、分支机构)的评价结果按最低分计算分值。5.2.2直接评价是通过申诉、投诉、专项评审、行政监督等其他渠道获取的信息和针对评分标准中关键要素判定的信息对认证机构进行评价。5.2.3CNAS秘书处对评审组长的评分进行审核,可对评分结果进行调整并实施直接评价,确定分级评价结果。5.3动态管理每年按机构的年度评审周期对评价结果更新一次。当认证机构出CNAS-EC-017:2009第3页共13页发布日期:2009年*月*日实施日期:2009年*月*日现重大问题,将及时采用直接评价法进行评价,根据评价结果即时调整风险级别。6.级别划分6.1A级机构:认证管理系统运作良好,自律行为积极主动,持续改进工作效果明显,认可风险低的机构。A级机构的评价结果应高于85分(含85分)且无直接判断项判定的。6.2B级机构:认证管理系统运作正常,能采取自律行动但效果不明显,认可风险中等的机构。B级机构的评价结果应在70-84分之间(含70分)。6.3C级机构:认证管理系统运作基本正常,但存在问题较多,认可风险高的机构。C级机构的评价结果低于69分或根据直接判断项判定的。当出现以下情况直接按C级管理:1)对认证机构的申诉、投诉和专项检查等信息查证发现重大问题,经评价认为认可风险高的;2)出现暂停的认证机构恢复资格后的第一年内的;3)受到相关行政处罚的;4)其他认可风险高,需要按C级管理的。7.管理措施7.1根据认证机构所处的风险级别,CNAS分别采取信任管理、正常管理和加强管理的措施。CNAS-EC-017:2009第4页共13页发布日期:2009年*月*日实施日期:2009年*月*日7.2CNAS从监督评审频次、见证项目数量、抽样量、现场评审人日数等方面体现认可风险分级管理的差别(具体措施见附件2)。7.3根据获取的重要信息可对任一级别机构实施专项检查。7.4CNAS将充分考虑认可风险分级的结果向有关行政管理部门提出管理建议。8.其它本办法实施程序另行规定。附件1:认可风险分级管理评价标准附件2:认证机构认可风险分级管理对应措施CNAS-EC-017:2009第5页共13页发布日期:2009年*月*日实施日期:2009年*月*日附件1:认可风险分级管理评价标准评分项目评分标准一、认可评审信息(88分)1、公正性(6分)1.1公正性委员会各利益方代表合理,均衡,符合规范要求(1)1.2公正性委员会每年对认证机构审核、认证和决定过程的公正性进行了审查(1)1.3所有参与认证活动的人员或委员会成员的公正性符合要求(1)●实施审核的人员参与了认证决定直接评为C级1.4已识别和分析了由认证活动引起的利益冲突的可能性并将其形成文件(2)●未对由认证活动引起的利益冲突的可能性进行充分分析不能评为A级1.5评估了财务状况和收入来源,并向公正性委员会证明其公正性符合要求(1)2、风险管理(4分)2.1认证机构对其可能引发的认证风险和新出现的、变化的风险进行了评估并对由此引发的责任作出充分安排(2)CNAS-EC-017:2009第6页共13页发布日期:2009年*月*日实施日期:2009年*月*日评分项目评分标准●不能提供证据证明其对可能引发的认证风险和新出现的、变化的风险进行了评估并对由此引发的责任作出充分安排的不能评为A级2.2认证机构与客户签订了具有法律效力的协议,并建立了要求获证组织对其体系变更和发生重大责任事故的申报和处理机制,并实施有效(2)●获证组织发生重大事故,认证机构未能及时采取措施,直接评为C级3、改进机制(12分)3.1内审和管理评审按要求实施,内容全面(2)3.2内审能发现问题,问题描述准确(2)3.3内审不符合纠正措施及时、有效(2)3.4对认可评审中发现的问题,原因分析到位,纠正措施及时、有效的(3)●未能在规定时间内对认可评审中的不符合进行有效整改的,直接评为C级3.5在前后两次外部评审中,涉及相同类型活动的一般不符合没有重复出现的(2)●相同类型活动的一般不符合连续出现两次不能评为A级3.6管理评审能制定系统的改进方案,且有相应的监控机制(1)CNAS-EC-017:2009第7页共13页发布日期:2009年*月*日实施日期:2009年*月*日评分项目评分标准●管理评审报告内容空洞,对体系运行缺乏指导意义,不能评为A级4、认证机构能力分析与评价系统(18分)4.1各领域配备人力资源与认证业务活动的规模相适应(2)4.2对已认可和拟扩大的业务范围的专业特点和风险进行了分析与评估且结果合理(2)4.3对法律法规、专业技术标准的变化重新进行了专业特点分析和风险评估且结果合理(2)4.4审核员的初始能力评价由有能力的评价者在对审核员审核的见证中确定(2)`4.5对认证人员的管理能力、专业能力、审核能力进行了评价、监视和考核且符合要求(3)4.6定期对每位审核员的表现进行现场见证,现场见证的频率安排合理,见证实施有效。(2)●未对认证人员的管理能力、专业能力、审核能力进行有效评价、监视和考核;未定期、合理安排审核员能力的现场见证或不能有效实施不能评为A级出现以下任一情况直接评为C级:●未对已开展的认证业务范围进行初始能力分析的;●CNAS在评审中发现审核人员专业能力存在严重不符合的;CNAS-EC-017:2009第8页共13页发布日期:2009年*月*日实施日期:2009年*月*日评分项目评分标准●经抽查三人次的人员档案出现评价结果证据缺乏,影响到评价结果可信度的。4.7建立了培训需求分析机制,把人员监视结果作为培训需求的输入,制订了适宜的培训计划且提供了充分、必要的培训(2)●培训的策划和实施未依据需求分析,缺少针对性,不能评为A级4.8对认可业务范围扩大或缩小进行了管理(1)4.9能力分析评价系统的信息全面,且及时更新(2)5、审核方案策划(10分)5.1审核方案的管理符合要求(2)●无充分理由不进行一阶段现场审核的不能评为A级5.2审核项目的专业范围界定准确,人日数计算合理(2)●经查2个以上的审核项目,人日数偏低且没有书面证据说明减少人日数的理由直接评为C级。●专业范围界定不准确,影响了审核有效性的直接评为C级。5.3审核组专业能力的配备和认证项目相适应(2)5.4建立了初次审核、监督审核、再认证审核以及特殊审核的保障机制,并按要求实施(2)5.5按照要求对获证组织实施了授予、保持、缩小、扩大、CNAS-EC-017:2009第9页共13页发布日期:2009年*月*日实施日期:2009年*月*日评分项目评分标准暂停、撤销及转换(2)●认证证书的转换未按认可准则要求进行的直接评为C级6、认证实施过程(22分)(包括现场档案审查和见证评审)6.1审核活动覆盖的范围(过程、要素、场所等)满足要求(4)●未对关键场所、关键过程实施审核,直接评为C级●无专业审核人员参加专业过程的审核,直接评为C级6.2审核分工合理,能够保障审核过程对专业能力的要求(2)6.3确认组织已对法律法规要求的符合性作出了评价,并对存在的不符合采取了纠正措施(4)●组织在法律法规符合性方面存在严重问题但审核组未发现或已发现但未予以合理处理的直接评为C级6.4对受审核方的守法证据获取充分(2)6.5审核结论和审核发现一致(2)●审核报告内容空洞,未能针对不同客户的管理体系运行情况进行充分描述的不能评为A级●审核结论未基于审核发现,直接评为C级6.6按时对不符合纠正措施进行了有效验证(3)6.7认证决定依据充分,结论适宜(2)●未依据审核结论和相关信息作出认证决定直接评为C级CNAS-EC-017:2009第10页共13页发布日期:2009年*月*日实施日期:2009年*月*日评分项目评分标准6.8认证范围界定准确、描述适宜(3)●认证范围超出了审核范围的直接评为C级7.对关键场所和一般场所的管理(10分)(包括对关键场所的现场评审)7.1制定了对关键场所、一般场所的系统管理文件,符合要求(1)7.2内审定期实施并覆盖所有关键场所和一般场所且符合认可规范的要求。经评价,不符合在所有相关场所进行了纠正。(1)7.3总部对关键场所和一般场所的人员符合要求,对关键场所的业务范围授权明确,管理符合要求。(2)7.4审核管理和实施符合规定要求(2)7.5关键场所和一般场所从事的活动与其授权相适应。(2)●关键场所和一般场所从事的活动超出其授权范围或不具备能力直接评为C级7.6关键场所和一般场所能正确宣传机构的认可领域和业务范围(2)8、认可标识和国际互认标志的使用(3分)8.1网站、公开文件等对外宣传符合要求(1)8.2认证证书信息完整,使用认可标识和国际互认标识符合要求(1)●误导或错误使用认可标识和国际互认标识直接评为C级8.3使用互认标志前与CNAS签订了相关协议(1)CNAS-EC-017:2009第11页共13页发布日期:2009年*月*日实施日期:2009年*月*日评分项目评分标准9、申投诉的处理(3分)9.1有明确的受理申诉、投诉的途径并对外公布(1)9.2职责明确,能保证按程序及时有效处理申诉、投诉,处理结果反馈及时(1)●向认可评审组隐瞒相关申诉、投诉信息直接评为C级9.3对申诉投诉处理结果有分析和持续改进的措施(1)二、认可管理信息(12分)1、认可费用(4分)1.1按规定时间自觉交纳认可费用(4)●认证机构超出《认可收费通知书》中规定时间未付款的,不能评为A级●认证机构超出《认可收费通知书》中规定时间2个月仍未付款的,直接评为C级2、认证信息(4分)3.1信息报送及时、准确且全面(4)●认证机构在规定时间内未能及时报送认证信息的不能评为A级3、见证项目的选择(4分)4.1认证机构按照规定要求提供见证项目清单及见证项目(4)●未按规定要求提供见证项目和被见证人不能评为A级CNAS-EC-017:2009第12页共13页发布日期:2009年*月*日实施日期:2009年*月*日附件2:认证机构认可风险分级管理对应措施根据RC01《认证机构认可规则》/ISO17011《合格评定-认可机构通用要求》,CNAS采取以下几方面的措施对认