ISO 9001 2015新标准解析

CNAS-CC01:2015《管理体系认证机构要求》修订ISO/IEC17021-1：2015《合格评定管理体系审核与认证机构的要求第1部分：要求》于2015年6月15日发布CNAS将ISO/IEC17021-1：2015等同转化为CNAS-CC01:2015CNAS-CC01:2015于2015年7月15日发布2015年12月16日正式实施认可转换过渡期从2015年12月16日起至2017年6月15日止。 CNAS-EC-045:2015《CNAS-CC01_2015等调整以及管理体系认证机构认可转换的说明》 要求：管理体系认证机构，应尽快分析和理解新版规范的要求，识别新要求与认证机构自身管理体系的差异； 认证机构应制定覆盖其全部管理体系认证业务的转换，确定需要对其管理体系进行的修改（可能包括机构修改程序、培训、以及建立过程和系统证明其认证人员能力、委员会的调整等），并确定完成这些修改所需的时间。 制定了CQC《2015版管理体系文件换版修订工作方案》CNAS-CC01:2015的变化：局部调整、重新编排、编辑性修改 《CQC管理体系文件修订要点---CNAS-CC01:2015》 1范围 2规范性引用文件 3术语和定义 4原则 5通用要求 6结构要求 7资源要求 8信息要求 9过程要求 10认证机构的管理体系要求 3术语和定义 3.2公正性 实际存在的并被认识到的客观性的存在。 注1：客观性意味着利益冲突不存在或已解决，不会对认证机构的后续活动产生不利影响； 注2：其他可用于表示公正性的要素的术语有：独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。 3.3管理体系咨询 参与设计建立、实施或保持管理体系。示例1：筹划或编制或程序。示例2：对管理体系的建立和实施提供具体的建议、指导或解决方案。注1：如果与管理体系和审核有关的培训课程仅限于提供通用信息，那么组织培训并作为培训者参与培训不被视为咨询，即培训者不宜针对特定的公司客户提出解决方案。注2：为过程或体系的改进提供通用信息，而不是针对特定客户的解决方案，不被视为咨询。此类通用信息可以包括：-解释认证准则的含义和意图；-识别改进机会；-解释相关的理论、方法学、技巧或工具；-分享关于相关良好实践的非保密信息；-所审核的管理体系未覆盖的其他管理问题。 3.10技术领域 以与特定类型管理体系及其预期结果有关的过程的共性为特征的领域注：（7.1.2注）取决于不同的管理体系，术语“技术领域”的应用方式可以有所不同。对于任何管理体系，该术语都与管理体系标准范围内的产品、过程和服务有关。技术领域可由特定认证方案（例如ISO/TS22003(CNAS-CC18)）定义；或者可以由认证机构定义。该术语用于涵盖不同管理体系领域传统使用的一些其他术语，例如“范围”、“类别”、“行业”等。新增术语3.11不符合nonconformity3.12严重不符合majornonconformity3.13轻微不符合minornonconformity3.14技术专家technicalexpert3.15认证方案certificationscheme3.16审核时间audittime3.17管理体系认证审核时间durationofmanagementsystemcertificationaudits 3.11不符合nonconformity 未满足要求 3.12严重不符合majornonconformity 影响管理体系实现预期结果的能力的不符合（3.11） 注1：严重不符合可能是下列情况： -对过程控制是否有效或者产品或服务能否满足规定要求存在严重的怀疑多项轻微不符合都与同一要求或问题有关，可能表明存在系统性失效，从而构成一项严重不符合 3.13轻微不符合minornonconformity 不影响管理体系实现预期结果的能力的不符合（3.11） 3.14技术专家technicalexpert 向审核组提供特定知识或专业意见的人 注1：特定知识或专业意见与所审核的组织、过程或活动有关 3.15认证方案certificationscheme 适用相同的规定要求、特定规则与程序的，与管理体系有关的合格评定 3.16审核时间audittime 为客户组织策划并完成一次完整且有效的管理体系审核所需要的时间 3.17管理体系认证审核时间durationofmanagementsystemcertificationaudits 审核时间（3.16）的一部分，包括从首次会议到末次会议之间实施审核活动的所有时间 注：审核活动通常包括： －举行首次会议； －审核实施阶段的文件评审； －审核中的沟通； －向导和观察员的作用和责任； －信息的收集和验证； －形成审核发现； －准备审核结论； －举行末次会议。4原则 4.1.3建立信任的原则包括： 公正性； 能力； 责任； 公开性； 保密性； 对投诉的回应； 基于风险的方法。 注：本文件在第4章给出了认证的原则，GB/T19011-2013第4章给出了与审核有关的原则。 4.2.1公正，并被认为公正，是认证机构提供可建立信任的认证的必要条件。重要的是所有内部和外部人员都意识到公正性的必要性。 4.2.4对公正性的威胁可能包括，但不限于： a)自身利益的威胁：此类威胁源于个人或机构依其自身利益行事。在认证中，财务方面的自身利益是一种对公正性的威胁。 b)自我评审的威胁：此类威胁源于个人或机构评审自己所做的工作。认证机构对由其进行管理体系咨询的客户实施管理体系审核属于此类威胁。 c)熟识（或信任）的威胁：此类威胁源于个人或机构对另外一人过于熟悉或信赖，而不去寻找审核证据。 d)胁迫的威胁：此类威胁源于个人或机构察觉受到公然或暗中的强迫，如威胁用他人取而代之或向主管告发。 4.3能力 4.3.1认证活动涉及的所有职能的认证机构人员的能力是认证提供信任的必要条件。 4.3.2能力也需要由认证机构的管理体系来支撑。 4.3.3认证机构管理的一个关键问题是具有一个得到实施的过程，来为参与审核和其他认证活动的人员建立能力准则，并按照准则实施评价。 4.4.1始终一致地达到实施管理体系标准的预期结果和符合认证要求的责任，在于获证客户而不是认证机构。 4.6保密性 为了享有获取充分评价管理体系符合性所需信息的特权，认证机构对任何关于客户的专有信息不透露任何保密信息是至关重要的。 4.8基于风险的方法认证机构需要考虑与提供有能力的、一致的和公正的认证相关的风险。风险可能与下列方面有关（包括但不限于）：审核目的；审核过程中的抽样；真正的和被感知到的公正性；法律法规问题和责任问题；所审核的客户组织及其运行环境；审核对客户及其活动的影响；审核组的健康和安全；利益相关方的认知；获证客户做出的误导性声明；标志的使用。5通用要求 5.1.3认证决定的责任 认证机构应对与认证有关的决定（包括授予、拒绝、保持认证，更新、扩大或缩小认证范围，更新、暂停、在暂停后恢复和、撤销认证）负责，并应保持做出上述决定的权力。 5.2公正性的管理 5.2.1合格评定活动应以公正的方式实施。认证机构应对其合格评定活动的公正性负责，不应允许商业、财务或其他压力损害公正性。 5.2.3认证机构应有过程以持续地识别、和分析、评估、处置、监视由与认证活动引起的利益冲突的可能性相关的风险，并将其形成文件，包括认证机构的各种关系引起的冲突的可能性。有关系不一定都会引起利益冲突。但是，如果任何关系对公正性构成威胁当存在对公正性的威胁时，认证机构应将其如何消除或最大限度减小此类威胁形成文件，并能予以证实，并将任何残留风险形成文件。6.2所指的委员会应能获得这方面的信息。所作的证实应包括所有已识别的潜在利益冲突来源威胁，无论其产生于认证机构内部还是其他个人、机构或组织的活动。 注：威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。 5.2.3当某种关系对认证机构的公正性构成不可接受的威胁时（如认证机构的全资子公司向其申请认证），认证机构不应提供认证。 注：见5.2.2注。 最高管理层应审查任何残留风险并决定其是否处于可接受的水平。 风险评估过程应包括识别适宜的利益相关方，并就影响公正性（包括公开性和公众认知）的事宜向其征询意见。向适宜的利益相关方征询意见应以均衡的、任一方不处于支配地位的方式进行。(最后一句基于2011版6.2.2a) （2011版5.2.2的注）注1：认证机构公正性的威胁可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、培训、营销以及给介绍新客户的人销售佣金或其他好处等。 6.2.3虽然该委员会不能代表所有利益方，但是认证机构宜识别和邀请关键利益方。这些注2：利益方可能包括：认证机构的人员和客户，获证客户的顾客，行业协会代表，政府监管机构或其他政府部门的代表，或非政府组织（包括消费者组织）的代表。 注3：满足本条的征询意见要求的一种方式是使用一个由这些利益相关方组成的委员会。(公正性委员会现在只是可选方式之一) 5.2.4认证机构不应对另一认证机构的质量管理体系认证活动进行认证。注：见5.2.2注。 5.2.5 认证机构及同一法律实体的任何其他部分以及处于认证机构的组织控制（见9.5.1.2b））之下的任何实体不应提供或推荐管理体系咨询，也不应为管理体系咨询提供报价。本条款同样适用于政府中被识别为认证机构的那一部分。 注：本条不排除认证机构与其客户之间交流信息的可能性（例如解释发现或澄清要求）。 5.2.6 认证机构及同一法律实体的任何其他部分向认证机构的获证客户提供内部审核是对公正性的严重威胁。因此，认证机构及同一法律实体的任何其他部分以及处于认证机构的组织控制（见9.5.1.2b））之下的任何实体不应向获证客户提供内部审核。一种公认的减轻这种威胁的方式是，如果认证机构对某个管理体系提供了内部审核，则不应在内部审核结束后至少两年内对该管理体系进行认证。 注：见5.2.3注1。*5.2.7如果咨询机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁，而客户的管理体系接受了该咨询机构的管理体系咨询或内部审核，则认证机构不应对该管理体系进行认证。注1：在管理体系咨询结束后经过至少两年时间，是将对公正性威胁降至可接受水平的一种方式。注2：见5.2.2注。5.2.7如果客户接受了与认证机构有关系的机构的管理体系咨询，这是对公正性的严重威胁。一种公认的减轻这种威胁的方式是，认证机构在咨询结束后至少两年内不应对该管理体系进行认证。注1：见5.2.3注1。17021-1:2015对5.2.7重写“严重威胁”不等于“不可接受”，仍是有补救方法的。例如：如果认证机构和某咨询公司是同一的母公司旗下的两个子公司，那么如果该咨询公司对一个组织实施了管理体系咨询，则认证机构在咨询结束后两年内不能对该组织进行认证。 5.2.10 为确保没有利益冲突，参与了对客户管理体系咨询的人员（包括管理人员）不应被认证机构用于针对该客户的审核或其他认证活动。一种公认的减轻该威胁的方式是在咨询结束后至少两年内不应使用该人员。6结构要求 6.1组织结构和最高管理层 6.1.1认证机构应将其组织结构形成文件，并明确、管理层和其他认证人员及各委员会的任务职责、责任和权力形成文件。当认证机构是一个法律实体内有明确界定的一部分时，该文件应说明认证机构与该法律实体间的权力关系以及与同一法律实体内其他部分的关系。 6.1.2认证机构的结构和管理方式应维护认证活动的公正性。 6.1.2.3 认证机构应确定对下列各项具有全部权力和责任的最高管理层（委员会、小组或个人）： a)与认证机构运作有关的政策的制定以及过程和程序的建立； b)政策、过程和程序实施的监督； c)确保公正性； d)认证机构财务的监督； e)管理体系认证服务和认证方案的开发； f)审核与认证的实施和对投诉的回应； g)认证决定； h)在需要时，授权委员会或个人代表最高管理层开展规定的活动； i)合同安排； j)为认证活动提供充分的资源。删除内容6.2维护公正性的委员会6.2.1认证机构的结构应维护认证机构活动的公正性，并具有一个进行下列活动的委员会：协助制定与认证活动公正性有关的政策；阻止认证机构有任何倾向使得商业或其他考虑妨碍其持续地提供客观的认证活动；对影响认证可信度的事宜（包括公开性和公众认识）提出建议；至少每年对认证机构审核、认证和决定过程的公正性进行一次审查。该委员会也可被委以其他任务或职责，但这些附加的任务或职责不得削弱其确保公正性的基本作用。删除内容6.2.2该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件，并由认证机构最高管理层批准，以确保：各方利益均衡，以使任一利益方不处于支配地位（认证机构的内部或外部人员视为一个利益方，且不应居支配地位）；获取所有必要的信息，使其能够履行自己的职能（见5.2.2和5.3.2）；如果认证机构最高管理层不尊重委员会的建议，委员会应有权采取独立措施（如报告主管部门、认可机构或利益相关方）。采取独立措施时，委员会应尊重8.5中与客户和认证机构相关的保密要求。 删除内容： 6.2.3虽然该委员会不能代表所有利益方，但是认证机构宜识别和邀请关键利益方。这些利益方可能包括：认证机构的客户，获证客户的顾客，行业协会代表，政府监管机构或其他政府部门的代表，或非政府组织（包括消费者组织）的代表。 5.2.3注3：满足本条的征询意见要求的一种方式是使用一个由这些利益相关方组成的委员会。(公正性委员会现在只是可选方式之一)增加内容 6.2运行控制 6.2.1认证机构应有过程对其分支办公室、合伙人、代理、特许经营者等交付的认证活动进行有效控制，不论其法律地位、关系或地理位置如何。认证机构应考虑这些活动给认证机构的能力、一致性和公正性带来的风险。增加内容 6.2.2认证机构应考虑与所从事活动相适宜的控制水平和方法，包括其过程、运作的技术领域、人员能力、管理控制和报告关系以及对操作系统（包括记录）的远程访问。7资源要求 7.1.1总体考虑认证机构应有过程来确保其人员对其运作涉及的管理体系类型（例如质量管理体系、环境管理体系、信息安全管理体系）和地域有适宜的相关知识与技能。 认证机构应确定与特定认证方案相关的每个技术领域所需的能力，以及认证活动的每项职能所需的能力。 认证机构应确定在履行特定职能前证实能力的方法。 7.1.2能力准则的确定 认证机构应有形成文件的过程，以确定参与管理和实施审核及其他认证活动的人员的能力准则。 如果已经为特定的标准或认证方案建立了附加的特定能力准则（例如ISO/IECTS17021-2（CNAS-CC121），ISO/IECTS17021-3（CNAS-CC131）或ISO/TS22003（CNAS-CC18）），这些附加的特定能力准则应得到应用。 注：取决于不同的管理体系标准，术语“技术领域”的应用方式可以有所不同。对于任何管理体系，该术语都与管理体系标准范围内的产品、过程和服务有关。该术语用于涵盖不同管理体系领域传统使用的一些其他术语，例如“范围”、“类别”、“行业”等。 7.1.3评价过程认证机构应有形成文件的过程，以应用所确定的能力准则，对所有参与管理和实施审核及其他认证活动的人员进行初始能力评价，并持续监视其能力和绩效。 注1：附录B介绍了一些可用于知识和技能能力评价的评价方法。 注2：附录C提供了一个能力确定和保持流程的示例。 7.1.4其他考虑 7.1.4.1认证机构在确定认证实施人员的能力要求时，除了那些直接实施审核与认证活动的人员，还应考虑管理层和行政人员所承担的职能。 认证机构应有获取必要的专业知识与技能的途径，以在其运作涉及的所有技术领域、管理体系类型和地域等方面获得与认证活动直接相关的建议。 7.2.1认证机构自身应有具备足够的、有能力的人员以对其各种类型与范围的审核方案以及其他认证工作进行管理和支持的人员。 7.2.7认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。 注：为特定审核组指派审核员和技术专家的要求见9.1.3。 7.2.8做出授予、拒绝、保持、更新、扩大、缩小、暂停、恢复或撤销认证或者扩大或缩小认证范围等决定的小组或个人应理解适用的标准和认证要求，并经证实有能力评价审核过程的结果，包括审核组的相关推荐意见。 7.2.10认证机构应在监视每个审核员时考虑该审核员被认为有能力的每个管理体系类型。形成文件的审核员监视程序过程应把现场评价、审核报告复核及客户或市场反馈相结合。 7.2.11认证机构应定期对每位审核员的表现进行现场见证评价。现场见证评价的频率应取决于根据所有可获得的监视信息确定的现场见证需求。 7.3外部审核员和外部技术专家的使用 认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机构适用的政策和程序并按照认证机构的规定实施相关过程。该协议应含有关于保密及独立于商业和其他利益公正性的条款，并要求外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核的组织的关系。 注：依据上述协议使用个人或另一组织的单个雇员作为外部审核员和或技术专家不构成7.5所述的外包。 7.5外包 7.5.2授予、拒绝、保持认证，扩大或缩小认证范围，更新、暂停、恢复或者撤销认证的决定不应外包。 7.5.4认证机构应有程序过程，以对认证活动的所有外包服务承担机构进行资格审查批准和监视，且应确保审核员和技术专家其参与认证活动的所有人员的能力记录得到保持。 注1：对于7.5.1至7.5.4，当认证机构聘用个人或其他组织的雇员来补充资源或专业能力时，如果认证机构与个人签约，以使其在认证机构的管理体系下运作（见7.3），不构成外包。这里可以包括外包给其他认证机构的情况。依据合同使用审核员和技术专家见7.3。 注2：对于7.5.1至7.5.4，“外包”与“分包”视为同义词。*ISO/IEC17021-1:20158.1公开信息8.1.1(不经请求就公开的信息)8.1.2(应索提供的信息)8.1.3(信息需精确且不误导)ISO/IEC17021:20118.1可公开获取的信息8.1.18.1.3、8.1.4及8.3获证客户目录8.1.2条款8.1新旧对照 8.1公开信息 8.1.1认证机构应在其运营的所有地理区域中保持（通过出版物、电子介质或其他方式）并主动公布下列方面的信息： a)审核过程 b)对其用于授予、拒绝、保持、扩大、更新、缩小、暂停、恢复或撤销认证的审核过程和或者扩大或缩小认证范围的过程做出说明的信息，及 c)其运作涉及的认证活动、管理体系类型和地域的信息认证方案，并使这些信息可公开获取，或在有请求时提供这些信息。 d)认证机构的名称和认证标志或徽标的使用 e)信息请求、投诉和申诉的处理过程 f)公正性政策 8.1.2认证机构应在有请求时提供下列方面的信息：a)其运作涉及的地理区域b)特定认证的状态c)特定获证客户的名称、相关的规范性文件、认证范围和地理位置（国家和城市）注1：在特殊情况下，可以根据客户的请求（如出于安全原因）对某些信息的公开程度做出限制。（编者注：原8.1.4注2）注2：认证机构也可以通过任何方式主动公开8.1.2中的信息，例如在其网站上。 8.1.3认证机构向客户或市场提供的信息（包括广告）应准确且不使人产生误解。8.1.3认证机构应使授予、暂停或撤销认证的信息可公开获取。（编者注：被新版的8.1.2b)取代） 8.1.4当任何一方提出请求时，认证机构应提供确认某一认证是否有效的方法。（编者注：被新版的8.1.2b)取代） 注1：如果信息分散在多个来源（如印刷文件或电子文档，或两者结合），可以通过一个系统（如唯一性编码系统或互联网上的超级链接）来确保不同来源之间的可追溯性和明确一致性。 注2：在特殊情况下，可以根据客户的请求（如出于安全原因）对某些信息的公开程度做出限制。（编者注：移至8.1.2注1）*8.2认证文件8.2.2认证文件的生效日期不应早于认证决定的日期。（移至新版的8.2.2b)）8.2.2认证文件应标明：a)每个获证客户的名称和地理位置（或多场所认证范围内总部和所有场所的地理位置）;b)授予认证、扩大或缩小认证范围、更新认证的生效日期，生效日期不应早于相关认证决定的日期；（旧版的8.2.2）注：当证书失效一段时间时，认证机构在满足下列条件时，可以在证书上保留原始的认证日期：-清晰标示了当前认证周期的开始时间和截止时间-把上一认证周期截止时间连同再认证审核的时间一起标示c)认证有效期或与认证周期一致的应进行再认证的日期； d)唯一的识别代码； e)审核获证客户时所用的管理体系标准和（或）其他规范性文件，包括版次和（或）修订号发布状态的标示（例如修订时间或编号）； f)与活动、产品（包括和服务）、过程类型等相关的认证范围，适用时，包括每个场所相应的认证范围，且没有误导或歧义； g)认证机构的名称、地址和认证标志；可以使用其他标识（如认可标识、客户的徽标），但不能产生误导或含混不清； h)认证用标准和（或）其他规范性文件所要求的任何其他信息； i)在颁发经过修改的认证文件时，区分新文件与任何已作废文件的方法。 8.3认证资格的引用和标志的使用 8.3.3认证机构应对在产品包装上或附带信息中声明获证客户的管理体系通过认证有管理规则。产品包装的判别标准是其可从产品上移除且不会导致产品分解、碎裂或损坏。附带信息的判别标准是其可分开获得或易于分离。型号标签或铭牌被视为产品的一部分。声明决不应暗示产品、过程或服务以这种方式得到了认证。声明应包含对下列的引用：--获证客户的标识（例如品牌或名称）；--管理体系的类型（例如质量、环境）和适用标准；--颁发证书的认证机构。 8.3.4认证机构应通过在法律上具有强制实施力的安排，要求获证客户：a)在传播媒介（如互联网、宣传册或广告）或其他文件中引用认证状态时，应符合认证机构的要求；b)不做出或不允许有关于其认证资格的误导性说明；c)不以或不允许以误导性方式使用认证文件或其任何部分；d)在其认证暂停或被撤销时，按照认证机构的指令立即停止使用所有引用认证资格的广告材料（见9.6.5）e)在认证范围被缩小时，修改所有的广告材料；f)不允许在引用其管理体系认证资格时，暗示认证机构对产品（包括服务）或过程进行了认证；g)不得暗示认证适用于认证范围以外的活动；h)在使用认证资格时，不得使认证机构和（或）认证制度声誉受损，失去公众信任。 8.4保密 8.4.1认证机构应通过在法律上具有强制实施力的协议，具有政策和相关安排，以确保对在其各个层次（包括代表其活动的委员会、外部机构或个人）对从事认证活动时获得或产生的保密所有信息予以保密的管理负责，并通过在法律上具有强制实施力的协议落实上述政策和安排。 8.4.4当法律要求认证机构或者合同安排（例如与认可机构签订的）授权认证机构提供保密信息时，除法律限制禁止外，认证机构应将拟提供的信息提前通知有关客户或个人。*9过程要求9.1认证前活动9.1.1申请 9.2.1申请9.1.2申请评审9.2.2申请评审9.1.3审核方案9.1.1审核方案9.1.4确定审核时间9.1.4确定审核时间9.1.5多场所抽样9.1.5多场所的抽样9.1.6多管理体系9.2策划审核9.2.1确定审核目的、范围和准则 9.1.2.2确定审核目的、范围和准则9.2.2审核组选择和指派 9.1.3选择和指派审核组9.2.3审核计划9.1.2审核计划9.1.6审核组任务的沟通9.1.7审核组成员信息的通报9.1.8审核计划的沟通9.3初次认证9.2初次审核与认证9.4实施审核9.1.9实施现场审核9.1.10审核报告9.1.11不符合的原因分析9.1.12纠正和纠正措施的有效性9.1.13补充审核9.5认证决定9.1.14认证决定9.1.15作出决定前的行动9.2.5授予初次认证所需的信息9.4.3授予再认证所需的信息9.6保持认证9.3监督活动9.4再认证9.5特殊审核9.7申诉 9.7申诉9.8投诉 9.8投诉9.9客户记录9.9申请组织和客户的记录9.1认证前的活动 9.1.1申请 认证机构应要求申请组织的授权代表提供必要的信息，以便认证机构确定： a)申请认证的范围； b)特定认证方案所要求的申请组织的一般特征相关详细情况，包括其名称、物理场所的地址、过程和运作的重要方面、人力资源和技术资源、职能、关系以及任何相关的法律义务； c)申请组织与申请认证的领域相关的一般信息，包括其活动，人力与技术资源，以及适用时，其在一个较大实体中的职能和关系； c)识别申请组织采用的所有影响符合性的外包过程的信息； d)申请组织寻求认证的标准或其他要求； e)是否接受过与拟认证的管理体系有关的咨询的情况，如果接受过，由谁提供咨询。 9.1.3审核方案 9.1.3.1应对整个认证周期制定审核方案，以清晰地识别所需的审核活动，这些审核活动用以证实客户的管理体系符合认证所依据标准或其他规范性文件的要求。认证周期的审核方案应覆盖全部的管理体系要求。 9.1.3.2初次认证审核方案应包括两阶段初次审核、认证决定之后的第一年与第二年的监督审核和第三年在认证到期前进行的再认证审核。第一个三年的认证周期从初次认证或再认证决定算起。以后的周期从再认证决定（见9.6.3.2.3）算起。审核方案的确定和任何后续调整应考虑客户组织的规模，其管理体系、产品和过程的范围与复杂程度，以及经过证实的管理体系有效性水平和以前审核的结果。 注1：附录E提供了一个典型的审核与认证过程的流程图。 注2：下面列举了建立或修改审核方案时可能需要考虑的其他事项，在确定审核范围和编制审核计划时可能也需要考虑这些事项：-认证机构收到的对客户的投诉；-结合、一体化或联合审核；-认证要求的变化；-法律要求的变化；-认可要求的变化；-组织的绩效数据（例如缺陷水平、关键绩效指标（KPI）数据等）；-利益相关方的关注。注3：如果特定的行业认证方案有规定，认证周期可以不为3年 9.1.3.3监督审核应至少每个日历年（应进行再认证的年份除外）进行一次。初次认证后的第一次监督审核应在第二阶段审核最后一天认证决定日期起12个月内进行。 注：为了考虑诸如季节或有限时段的管理体系认证（例如临时施工场所）等因素，可能有必要调整监督审核的频次。 9.1.3.4如果认证机构考虑客户已获的认证或接受的其他由另一认证机构实施的审核，则应收集获取并保留充足的、可验证的信息证据，例如报告和对不符合采取的纠正措施的文件。所获取的文件应为满足本文件要求提供支持。认证机构应根据获取的信息证明对审核方案的任何调整的合理性，并予以记录，并对以前不符合的纠正措施的实施进行跟踪。 9.1.3.5如果客户采用轮班作业，应在建立审核方案和编制审核计划时考虑在轮班工作中发生的活动。 9.1.4确定审核时间 9.1.4.2在确定审核时间时，认证机构应考虑（但不限于）以下方面： a)相关管理体系标准的要求； b)规模和客户及其管理体系的复杂程度； c)技术和法规环境； d)管理体系范围内活动的分包情况； e)以前审核的结果； f)场所的数量和对多场所的考虑； g)与组织的产品、过程或活动相关联的风险； h)是否是结合审核、联合审核或一体化审核。 注1：往返于审核场所之间所花费的时间不计入管理体系认证审核时间。 注2：认证机构在制定文件化过程时，可以使用ISO/IECTS17023建立的指南来确定管理体系认证审核时间。 在已为特定的认证方案确定了特定的准则时，例如ISO/TS22003或ISO/IEC27006，这些特定准则应得到采用。 9.1.4.3认证机构应记录管理体系审核的时间及其合理性。(原9.1.4.1最后一句“认证机构应记录所确定的时间及其合理性”) 9.1.5多场所的抽样 当客户管理体系包含在多个地点进行的相同活动时，如果认证机构在审核中使用多场所抽样，则应制定抽样方案以确保对该管理体系的正确审核。认证机构应针对每个客户将抽样计划的合理性形成文件。一些特定的认证方案不允许抽样，如果特定认证方案已经建立了具体准则（例如ISO/TS22003（CNAS-CC18）），应采用这些准则。 注：当多场所不是覆盖相同的活动时，抽样是不适宜的。 9.1.6多管理体系标准 对于多场所认证或认证机构在提供依据多个管理体系标准进行认证时，再认证审核策划应确保充分的现场审核，以提供对认证的信任。9.2策划审核 9.2.1确定审核目的、范围和准则 9.2.1.2审核目的应说明审核要完成什么，并应包括下列内容： a)确定客户管理体系或其部分与审核准则的符合性； b)评价确定管理体系确保客户满足适用的法律、法规及合同要求的能力； c)评价确定管理体系在确保客户组织可以合理预期实现其持续实现其规定目标方面的有效性； d)适用时，识别管理体系的潜在改进区域。 9.2.2选择和指派审核组 9.2.2.1.1认证机构应有根据实现审核目的所需的能力以及公正性要求来选择和任命审核组（包括审核组长以及必要的技术专家）的过程。如果仅有一名审核员，该审核员应有能力履行适用于该审核的审核组长职责。审核组应整体上具备认证机构按照9.1.2.3确定的审核能力。 9.2.2.1.2决定审核组的规模和组成时，应考虑下列因素： a)审核目的、范围、准则和预计的审核时间； b)是否是结合、一体化或联合或一体化审核； c)实现审核目的所需的审核组整体能力（见表A.1）； d)认证要求（包括任何适用的法律、法规或合同要求）； e)语言和文化； 注：结合审核或一体化审核的审核组长宜至少对一个标准有深入的知识，并了解该审核所使用的其他标准。 审核组成员以前是否审核过该客户的管理体系。 9.2.2.2.2技术专家 认证机构应在实施审核前与客户就技术专家在审核活动中的作用达成一致。技术专家不应担任审核组中的审核员。技术专家应由审核员陪同。 注：技术专家可以就审核准备、策划或审核向审核组提出建议。 9.2.2.2.3向导 注2：适宜时，受审核方也可以担任向导。9.3初次认证 9.3.1.2.1策划应确保第一阶段的目的能够实现，应告知第一阶段需实施的任何现场活动。 注：第一阶段不要求正式的审核计划（见9.2.3） 9.3.1.2.2第一阶段的目的为： a)审核客户的文件化的管理体系文件信息； b)评价客户的运作场所和现场的具体情况，并与客户的人员进行讨论，以确定第二阶段审核的准备情况； c)审查客户理解和实施标准要求的情况，特别是对管理体系的关键绩效或重要的因素、过程、目标和运作的识别情况； d)收集关于客户的管理体系范围、过程和场所的必要信息，包括： -客户的场所 -使用的过程和设备 -所建立的控制的水平（特别是客户为多场所时） -以及相关适用的法律法规要求和遵守合规义务的情况（如客户运作中的质量、环境、法律因素，相关的风险等）； e)审查第二阶段审核所需资源的配置情况，并与客户商定第二阶段审核的细节； f)结合管理体系标准或其他规范性文件可能的重要因素充分了解客户的管理体系和现场运作，以便为策划第二阶段提供关注点； g)评价客户是否策划和实施了内部审核与管理评审，以及管理体系的实施程度能否证明客户已为第二阶段审核做好准备。 注：为实现上述目标，对于大多数管理体系而言，建议如果至少部分第一阶段活动在客户场所实施，这能有助于达到上述目的。 9.3.1.2.3认证机构应将第一阶段发现形成文件并目的是否达到及第二阶段是否准备就绪的书面结论告知客户，包括识别任何引起关注的、在第二阶段可能被判定为不符合的问题。 注：第一阶段的输出不必满足审核报告的所有要求（见9.4.8）。 9.3.1.2.4认证机构在确定第一阶段和第二阶段的间隔时间时，应考虑客户解决第一阶段识别的任何需关注问题所需的时间。认证机构也可能需要调整第二阶段的安排。如果发生任何将影响管理体系的重要变更，认证机构应考虑是否有必要重复整个或部分第一阶段。认证机构应告知客户第一阶段的结果有可能导致推迟或取消第二阶段。9.4实施审核 9.4.1总则 认证机构应有实施现场审核的过程。该过程应包括审核开始时的首次会议和审核结束时的末次会议。 当审核的任何部分以电子手段实施时，或拟审核的场所为虚拟场所时，认证机构应确保由具备适宜能力的人员实施此类活动。在此类审核活动中获取的证据应足以让审核员对相关要求的符合性做出有根据的决定。 注：除了访问有形场所（如工厂）外，“现场”审核可以包括对包含管理体系审核相关信息的电子化场所的远程访问。也可以考虑使用电子手段实施审核。 9.4.5确定和记录审核发现 9.4.5.1应确定审核发现应（概述符合性并详细描述不符合）以及为其提供支持的审核证据，并予以记录分级和报告，以能够为认证决定或保持认证提供充分的信息。 9.4.5.3关于不符合的审核发现应对照审核准则的具体要求予以记录，包含对不符合的清晰陈述，并（详细标识不符合所基于的客观证据）。应与客户讨论不符合，以确保证据准确且不符合得到理解。但是，审核员应避免提示不符合的原因或解决方法。 注：与9.1.15.b）所述情况一致的不符合可被划为严重不符合，其他不符合（9.1.15.c））可被划为一般不符合。 9.4.6准备审核结论 在末次会议前，由审核组长负责，审核组应： a)对照审核目的和审核准则，审查审核发现和审核中获得的任何其他适用的信息，并对不符合分级； b)考虑审核过程中内在的不确定性，就审核结论达成一致； c)就任何必要的跟踪活动达成一致； d)确认审核方案的适宜性，或识别任何为将来的审核所需要的修改（例如认证范围、审核时间或日期、监督频次、审核组能力）。 9.4.8.2审核组长应确保审核报告的编制，并应对审核报告的内容负责。审核报告应提供对审核的准确、简明和清晰的记录，以便为认证决定提供充分的信息，并应包括或引用下列内容： a)注明认证机构； b)客户的名称和地址及其管理者代表； c)审核的类型（例如初次、监督、再认证或特殊审核）； d)审核准则； e)审核目的； f)审核范围，特别是标识出所审核的组织或职能单元或过程，以及审核时间； g)任何偏离审核计划的情况及其理由； h)任何影响审核方案的重要事项； i)注明审核组长、审核组成员及任何与审核组同行的人员； j)（现场或非现场）审核活动（现场或非现场，永久或临时场所）的实施日期和地点； k)与审核类型的要求一致的审核发现、对审核证据的引用以及审核结论、审核发现（见9.4.5）和审核结论； l)如有时，在上次审核后发生的影响客户管理体系的重要变更； m)已识别出的任何未解决的问题； n)适用时，是否为结合、联合或一体化审核； o)说明审核基于对可获得信息的抽样过程的免责声明； p)审核组的推荐意见； q)适用时，接受审核的客户对认证文件和标志的使用进行着有效的控制； r)适用时，对以前不符合采取的纠正措施有效性的验证情况。 9.4.8.3审核报告还应包含：a)关于管理体系符合性与有效性的声明以及对下列方面相关证据的总结：--管理体系满足适用要求和实现预期结果的能力；--内部审核和管理评审的过程；b)对认证范围适宜性的结论；c)确认是否达到审核目的。 9.4.10纠正和纠正措施的有效性 认证机构应审查客户提交的纠正、所确定的原因和纠正措施，以确定其是否可被接受。认证机构应验证所采取的任何纠正和纠正措施的有效性。所取得的为不符合的解决提供支持的证据应予以记录。应将审查和验证的结果告知客户。如果为了验证纠正和纠正措施的有效性，将需要补充一次全面的或有限的审核，或者需要文件化的证据（需要在未来的审核中确认），则认证机构应告知客户。 注：可以通过审查客户提供的文件化信息，或在必要时实施现场验证来验证纠正和纠正措施的有效性。验证活动通常由审核组成员完成。 9.5认证决定 9.5.1总则 9.5.1.1认证机构应确保做出授予或拒绝认证、扩大或缩小认证范围、暂停或恢复认证、撤销认证或更新认证的决定的人员或委员会不是实施审核的人员。被指定进行认证决定的人员应具有适宜能力。 9.5.1.2认证机构指定的认证决定人员（不包括委员会（见6.1.4）成员）应为认证机构的雇员，或者是一个处于认证机构组织控制下的实体的雇员；或者与认证机构或上述实体具有在法律上有强制实施力的安排。认证机构的组织控制应为下列情况之一：a)认证机构拥有另一实体的全部或多数所有权；b)认证机构在另一实体的董事会中占多数；c)在一个通过所有权或董事会控制联结而成的法律实体网络中（认证机构处于其中），认证机构对另一实体有形成文件的权力。注：对于政府认证机构，同一政府内部的其他部分可视为通过所有权与该认证机构相联系。 9.5.1.3处于认证机构组织控制下的实体的雇员或与该实体有合同的人员，应同认证机构雇员或与认证机构有合同的人员一样满足本文件要求。 9.5.1.4认证机构应记录每项认证决定，包括从审核组或其他来源获得的任何补充信息或澄清。 9.5.2作出决定前的行动 认证机构在做出授予或拒绝认证、扩大或缩小认证范围、更新、暂停或恢复或者撤销认证的决定前，应有过程对下列方面进行有效的审查： a)审核组提供的信息足以确定认证要求的满足情况和认证范围； b)对于所有反映以下问题的严重不符合，认证机构已审查、接受和验证了纠正和纠正措施的有效性： 　　1)未能满足管理体系标准的一项或多项要求；或 　　2)使人对客户管理体系实现预期结果的能力产生重大怀疑的情况； c)对于任何其他所有轻微不符合，认证机构已审查和接受了客户计划采取的对纠正和纠正措施的计划。 9.5.3.1为使认证机构做出认证决定，审核组至少应向认证机构提供以下信息： a)审核报告； b)对不符合的意见，适用时，还包括对客户采取的纠正和纠正措施的意见； c)对提供给认证机构用于申请评审（见9.1.2）的信息的确认； d)对是否达到审核目的的确认； e)对是否授予认证的推荐性意见及附带的任何条件或评论。 9.5.3.2如果认证机构不能在第二阶段结束后6个月内验证对严重不符合实施的纠正和纠正措施，则应在推荐认证前再实施一次第二阶段。 9.5.3.3当认证从一个认证机构转换到另一个认证机构时，接受认证机构应有过程获取充分的信息以做出认证决定。 注：特定认证方案可能有认证转换的具体规则。 9.6保持认证 9.6.1总则 认证机构应在证实获证客户持续满足管理体系标准要求后保持对其的认证。认证机构满足下列前提条件时，可以根据审核组长的肯定性结论保持对客户的认证，而无需再进行独立复核和决定： a)对于任何可能导致暂停或撤销认证的严重不符合或其他可能导致暂停或撤销认证的情况，认证机构有制度要求审核组长向认证机构报告需由具备适宜能力（见7.2.8）且未实施该审核的人员进行复核，以确定能否保持认证； 9.6.2.2监督审核 监督审核是现场审核，但不一定是对整个体系的审核，并应与其他监督活动一起策划，以使认证机构能对获证客户管理体系在认证周期内持续满足要求保持信任。相关管理体系标准的每次监督审核方案至少应包括对以下方面的审查： a)内部审核和管理评审； b)对上次审核中确定的不符合采取的措施； c)投诉的处理； d)管理体系在实现获证客户目标和各管理体系的预期结果方面的有效性； e)为持续改进而策划的活动的进展； f)持续的运作控制； g)任何变更； h)标志的使用和（或）任何其他对认证资格的引用。 9.6.3再认证 9.6.3.1.1再认证审核的目的是确认管理体系作为一个整体的持续符合性与有效性，以及与认证范围的持续相关性和适宜性。认证机构应策划并实施再认证审核，以评价获证客户是否持续满足相关管理体系标准或其他规范性文件的所有要求。上述策划和实施应及时进行，以便认证能在到期前及时更新。 9.6.3.1.3当管理体系、获证组织或管理体系的运作环境（如法律的变更）有重大变更时，再认证审核活动可能需要有第一阶段审核。 注：此类变更可能在认证周期中的任何时间发生，认证机构可能需要实施特殊审核（见9.6.4），该特殊审核可能需要或不需要两阶段审核。 9.6.3.2再认证审核 9.6.3.2.1再认证审核应包括针对下列方面的现场审核： a)结合内部和外部变更来看的整个管理体系的有效性，以及认证范围的持续相关性和适宜性； b)经证实的对保持管理体系有效性并改进管理体系，以提高整体绩效的承诺； c)获证管理体系的运行是否促进了组织方针和目标的实现管理体系在实现获证客户目标和管理体系预期结果方面的有效性。 9.6.3.2.2在再认证审核中发现不符合或缺少符合性的证据时对于严重不符合，认证机构应规定实施纠正与纠正措施的时限。这些措施应在认证到期前得到实施和验证。 9.6.3.2.3如果在当前认证的终止日期前成功完成了再认证活动，新认证的终止日期可以基于当前认证的终止日期。新证书上的颁证日期应不早于再认证决定日期。 例：当前认证终止日期：2015.12.31再认证审核时间：2015.10.8再认证决定时间：2015.10.31新证书的有效期：2015.10.31--2018.12.31 9.6.3.2.4如果在认证终止日期前，认证机构未能完成再认证审核或不能验证对严重不符合实施的纠正和纠正措施（见9.5.2.1），则不应推荐再认证，也不应延长认证的效力。认证机构应告知客户并解释后果。 9.6.3.2.5在认证到期后，如果认证机构能够在6个月内完成未尽的再认证活动，则可以恢复认证，否则应至少进行一次第二阶段才能恢复认证。证书的生效日期应不早于再认证决定日期，终止日期应基于上一个认证周期。 例：当前认证周期：2012.5.31---2015.5.31 恢复认证（完成未尽的再认证活动）决定时间：2015.8.31 新证书的有效期：2015.8.31---2018.5.31 9.7.2申诉处理过程的说明应可公开获取。 9.7.5收到申诉的认证机构应负责收集和验证所有必要的信息，以确定申诉的有效性。 9.8.1认证机构应使对投诉处理过程的说明可公开获取。 9.8.1认证机构应对投诉处理过程各层级的决定负责。 9.8.2投诉的提交、调查和决定不应造成针对投诉人的任何歧视行为。 9.9客户的记录 9.9.2获证客户记录应包括以下内容： a)申请资料及初次认证、监督和再认证的审核报告； b)认证协议； c)适用时，多场所抽样方法的理由； 注：抽样方法包括为审核特定管理体系和（或）在多场所审核中选取场所而做的抽样。 d)确定审核时间的理由（见9.1.4）； e)纠正与纠正措施的验证； f)投诉和申诉及任何后续纠正或纠正措施的记录； g)适用时，委员会的审议和决定； h)认证决定的文件； i)认证文件，包括与产品（包括服务）、过程相关的认证范围，适用时，包括每个场所相应的认证范围； j)建立认证的可信度所需的相关记录，如审核员和技术专家能力的证据； k)审核方案。 注：抽样方法包括为评审特定管理体系和（或）在多场所评审中选取场所而做的抽样。 10.2.1总则 认证机构最高管理层应分派任命一名有下列职责和权力的管理层成员，无论其是否有其他职责： a)确保管理体系所需的过程和程序得到建立、实施和保持； b)向最高管理层报告管理体系的绩效及任何改进需求。 10.2.5.2评审输入 管理评审的输入应包括与下列方面有关的信息： a)内部审核和外部评审的结果； b)客户和本文件实施涉及的利益相关方的反馈； c)维护公正性的委员会的反馈； d)预防措施和纠正措施的状况； e)风险应对措施的状况； f)以往管理评审的后续措施； g)目标的实现情况； h)可能影响管理体系的变更； i)申诉和投诉。 10.2.5.3评审输出 管理评审的输出应包括与下列方面有关的决定和措施： a)管理体系及其过程的有效性的改进； b)与本文件实施有关的认证服务的改进； c)资源需求； d)组织的方针、政策和目标的修订。 删除 10.3.8预防措施 认证机构应建立采取预防措施以消除潜在不符合的原因的程序。预防措施应与潜在问题的可能影响程度相适应。预防措施程序应明确对下列方面的要求： a)识别潜在的不符合及其原因； b)评价防止不符合发生的措施的需求； c)确定和实施所需的措施； d)记录所采取措施的结果； e)评审采取的预防措施的有效性。 注：纠正措施和预防措施的程序不一定要分别制定。“严重威胁”不等于“不可接受”，仍是有补救方法的。例如：如果认证机构和某咨询公司是同一的母公司旗下的两个子公司，那么如果该咨询公司对一个组织实施了管理体系咨询，则认证机构在咨询结束后两年内不能对该组织进行认证。