ISO IEC FDIS 17021XXXX《合格评定 管理体系审核认证机构的要求》.docx
- 文档编号:24261720
- 上传时间:2023-05-25
- 格式:DOCX
- 页数:61
- 大小:192.27KB
ISO IEC FDIS 17021XXXX《合格评定 管理体系审核认证机构的要求》.docx
《ISO IEC FDIS 17021XXXX《合格评定 管理体系审核认证机构的要求》.docx》由会员分享,可在线阅读,更多相关《ISO IEC FDIS 17021XXXX《合格评定 管理体系审核认证机构的要求》.docx(61页珍藏版)》请在冰豆网上搜索。
ISOIECFDIS17021XXXX《合格评定管理体系审核认证机构的要求》
国际标准最终草案ISO/IEC17021
合格评定——管理体系审核认证机构的要求
Conformityassessment–Requirements
forbodiesprovidingauditand
certificationofmanagementsystems
目次
1前言
国际标准化组织(ISO)和国际电工委员会(IEC)构成了世界标准化的专业体系。
ISO或IEC的国家成员机构通过这两个组织针对特定领域技术活动设立的技术委员会参与国际标准的制定。
ISO和IEC的技术委员会在有共XX趣的领域进行合作。
其他与ISO和IEC有联络关系的政府间或非政府国际组织也参与相关工作。
在合格评定领域,ISO合格评定委员会(CASCO)负责制定国际标准和指南。
国际标准按照ISO/IEC工作导则第二部分所述的规则起草。
国际标准草案提交各成员机构投票表决。
国际标准草案只有获得75%的投票成员机构通过,才能作为国际标准发布。
请注意本文件的某些内容可能涉及专利权。
ISO不负责识别任何专上述利权。
ISO/IEC17021-2由ISO/CASCO制定。
该国际标准提交ISO和IEC的成员机构表决,并获得这两个组织的批准。
ISO/IEC17021的总标题为《合格评定——管理体系审核认证机构的要求及管理体系第三方认证审核的要求》,包括以下部分:
——第1部分:
管理体系审核认证机构的要求
——第2部分:
管理体系第三方认证审核的要求
斜体字文本为原来的ISO/IEC17021:
2006文本。
正体字文本为17021-2文本。
在本国际标准中,“应”(shall)一词表示要求,“宜”(should)一词表示建议。
2引言
管理体系认证(如对组织的质量或环境管理体系的认证)是对组织已实施了与其方针一致、用以管理其活动相关方面的体系提供保证的一种方法。
本国际标准规定了对认证机构的要求。
贯彻这些要求旨在确保认证机构以有能力、一致和公正的方式实施管理体系认证,以促进国际和国内承认这些机构并接受它们的认证。
本国际标准为促进对管理体系认证的承认提供了基础,这种承认有利于国际贸易。
管理体系认证是独立地证明组织的管理体系:
a)符合规定要求;
b)能够自始至终实现其声明的方针和目标;
c)得到有效实施。
因此,诸如管理体系认证的合格评定活动为组织、组织的顾客及利益相关方提供了价值。
本国际标准第4章阐述了可信的认证所依据的原则。
这些原则有助于读者理解认证的本质属性,并为第5章至第10章做了必要的铺垫。
这些原则构成了本国际标准所有要求的基础,但其本身并不是可供评审的要求。
第10章为认证机构通过建立管理体系来保障和证实其始终满足本国际标准要求提供了两种可供选择的途径。
本国际标准旨在供实施管理体系审核和认证的机构使用。
它对从事质量、环境及其他管理体系审核和认证的机构提出了通用要求。
本国际标准将这类机构称为认证机构。
这一用语不妨碍那些有着其他名称、但从事本国际标准X围内活动的机构使用本国际标准。
认证活动包括对组织的管理体系的审核。
认证机构通常以认证文件或证书的形式证明组织的管理体系符合特定的管理体系标准或其他规X性要求。
本国际标准包含ISO/IEC17021:
2006的文本,但删除了其中对ISO19011的相关引用,增加了对第三方审核和认证人员能力管理的具体要求。
我们已从缺少具体的和公认的管理体系(例如质量管理体系、环境管理体系或食品安全管理体系)第三方审核员要求识别出了特定的市场需求。
ISO19011:
2002仅对审核员能力提供了非强制性的指南。
重要的利益相关方(包括工业界的利益相关方)发现缺少对审核员能力及审核员管理与使用方式的要求是一个缺陷。
本国际标准对管理体系审核提供了一套通用要求,目的是使有能力的审核组,具有充足的资源,按照一致的过程,可靠地确定与适用的认证要求的符合性,并以一致的方式报告结果。
本国际标准将作为对第三方管理体系审核与认证能力进行承认的基础和认可准则文件。
本国际标准也可用于同行评审或其他审核过程。
ISO/IEC17021是适用于各种类型管理体系的审核与认证的通用标准。
为实现利益相关方的期望,可能需要对其中一些要求,特别是那些关于审核员能力的要求补充附加准则,这一点得到公认。
在本国际标准中,“应”表示要求,“宜”表示建议。
合格评定——管理体系审核认证机构的要求
1X围
本国际标准包含了所有类型管理体系(如质量管理体系或环境管理体系)审核与认证的能力、一致性和公正性的原则与要求,以及提供上述活动的机构所遵循的原则与要求。
按照本国际标准运作的认证机构不必提供所有类型的管理体系认证。
管理体系认证(本国际标准中称为“认证”)是一种第三方合格评定活动(见ISO/IEC17000:
2004的5.5)。
因此,实施这种活动的机构是第三方合格评定机构(本国际标准中称为“认证机构”)。
注1:
管理体系认证有时也称为“注册”,认证机构有时称为“注册机构”。
注2:
认证机构可以是非政府的或政府的(具有或不具有法定权力)。
注3:
本国际标准可作为认可、同行评审或其他审核过程的准则文件。
2规X性引用文件
下列引用文件对本文件的应用是必不可少的。
凡是注日期的引用,仅所引用的版本适用。
凡是不注日期的引用,所引用文件的最新版本(包括任何修改单)适用。
ISO9000:
2005,质量管理体系——基础和术语
ISO19011:
2002,质量和(或)环境管理体系审核指南
ISO/IEC17000:
2004,合格评定——词汇和通用原则
3术语和定义
ISO9000和ISO/IEC17000中给出的术语和定义以及下列术语和定义适用于本文件。
3.1
获证客户certifiedclient
管理体系已获认证的组织
3.2
公正性impartiality
实际存在的并被认识到的客观性
注1:
客观性意味着利益冲突不存在或已解决,不会对认证机构的后续活动产生不利影响;
注2:
其他可用于表示公正性的要素的术语有:
客观、独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。
3.3
管理体系咨询managementsystemconsultancy
参与设计、实施或保持管理体系
1示例
——筹划或编制手册或程序;
——对管理体系的建立和实施提供具体的建议、指导或解决方案。
注:
如果与管理体系和审核有关的培训课程仅限于提供可在公共场合自由获取的通用信息,那么组织培训并作为培训者参与培训不被视为咨询,即培训者不宜针对特定的公司提出解决方案。
3.4
第三方认证审核third-partycertificationaudit
由独立于客户和用户的审核组织实施的、以对客户的管理体系进行认证为目的的审核
注1:
在下面的定义中,第三方认证审核简称为“审核”。
注2:
第三方认证审核包括初次审核、监督审核和再认证审核,还可以包括特殊审核。
注3:
第三方认证审核通常由提供依据管理体系标准要求的符合性认证的机构的审核组实施。
注4:
两个或两个以上审核组织合作审核一个客户,称作联合审核。
注5:
一个客户同时按照两个或两个以上管理体系标准的要求接受审核,称作结合审核。
注6:
一个客户已将两个或两个以上管理体系标准的要求的应用整合进一个管理体系,并按照一个以上标准接受审核,称作一体化审核。
3.5
客户client
为认证目的接受审核的组织
3.6
审核员auditor
实施审核的人
3.7
能力petence
能够应用知识和技能实现预期结果的特质—去掉经证实
3.8
向导guide
客户指派的协助审核组的人
3.9
观察员observer
陪同审核组但不审核的人-来自客户或认可委
3.10
技术领域technicalarea
以特定类型管理体系的相关过程的共性为特征的领域
areacharacterizedbymonalitiesofprocessesrelevanttoaspecifictypeofmanagementsystem
4原则
4.1总则
4.1.1本章所述原则是本国际标准中后续的特定绩效要求和说明性要求的基础。
本国际标准未就所有可能发生的情况给出特定要求。
在出现未预料到的情况时,宜应用这些原则作为决策的指南。
这些原则不是要求。
4.1.2认证的总体目标是使所有相关方相信管理体系满足规定要求。
认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度。
认证的利益相关方包括(但不限于):
a)认证机构的客户;
b)获证客户的顾客;
c)政府部门;
d)非政府组织;
e)消费者和其他公众。
4.1.3建立信任的原则包括:
-公正性;
-能力;
-责任;
-公开性;
-XX性;
-对投诉的回应。
4.2公正性
4.2.1公正,并被认为公正,是认证机构提供可建立信任的认证的必要条件。
4.2.2客户支付的认证费用是认证机构的收入来源,也是对公正性的潜在威胁,这一点得到公认。
4.2.3认证机构根据其所获得的符合(或不符合)的客观证据做出决定,且不受其他利益或其他各方的影响,对于获得和保持信任是必不可少的。
4.2.4对公正性的威胁包括:
a)自身利益的威胁:
此类威胁源于个人或机构依其自身利益行事。
在认证中,财务方面的自身利益是一种对公正性的威胁。
b)自我评审的威胁:
此类威胁源于个人或机构评审自己所做的工作。
认证机构对由其进行管理体系咨询的客户实施管理体系审核属于此类威胁。
c)熟识(或信任)的威胁:
此类威胁源于个人或机构对另外一人过于熟悉或信赖,而不去寻找审核证据。
d)胁迫的威胁:
此类威胁源于个人或机构察觉受到公然或暗中的强迫,如威胁用他人取而代之或向主管告发。
4.3能力
认证机构的管理体系所支撑的人员能力是认证提供信任的必要条件。
能力是经证实的应用知识和技能的本领。
4.4责任
4.4.1符合认证要求的责任在于客户组织而不是认证机构。
4.4.2认证机构有责任对足够的客观证据进行评价,并在此基础上做出认证决定。
根据审核结论,如果符合性的证据充分,认证机构做出授予认证的决定;如果符合性的证据不充分,则不授予认证。
注:
任何审核都是基于对组织管理体系的抽样,因此并不保证管理体系100%符合要求。
4.5公开性
4.5.1为获得对认证的诚信性与可信性的信任,认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态(即认证的授予、保持、更新、扩大、缩小、暂停或撤消)的适当、及时信息的公开渠道,或公布这些信息。
公开性是获得或公布适当信息的一项原则。
4.5.2为获得或保持对认证的信任,认证机构宜向特定利益相关方提供获取特定审核(如为回应投诉而做的审核)结论的非XX信息的适当渠道,或公布这些信息。
4.6XX性
为了享有获取充分评价管理体系符合性所需信息的特权,认证机构对任何关于客户的专有信息予以XX是必需的。
4.7对投诉的回应
依赖认证的各方期望投诉得到调查。
认证机构应当使依赖认证的各方相信,在投诉经查明有效时,认证机构将对投诉进行适当的处理,并为解决投诉做出适当的努力。
当投诉表明出现错误、疏忽或不合理行为时,对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手段。
对投诉进行适当处理将维护对认证活动的信任。
注:
为了向认证的所有用户证明认证的诚信性与可信性,需要在公开性和XX性(包括对投诉的回应)等原则之间取得适当的平衡。
5通用要求
5.1法律与合同事宜
5.1.1法律责任
认证机构应为一个法律实体,或一个法律实体内有明确界定的一部分,以便认证机构能够对其所有认证活动承担法律责任。
政府的认证机构因其政府地位而被视为法律实体。
5.1.2认证协议
认证机构与客户之间应有在法律上具有强制实施力的提供认证服务的协议。
此外,如果认证机构有多个办公场所或客户有多个场所,则应确保授予认证并颁发证书的认证机构与认证X围覆盖的所有场所之间有在法律上具有强制实施力的协议。
5.1.3认证决定的责任
认证机构应对与认证有关的决定(包括授予、保持、更新、扩大、缩小、暂停和撤消认证)负责,并应保持做出上述决定的权力。
5.2公正性的管理
5.2.1认证机构最高管理层应对管理体系认证活动的公正性做出承诺。
认证机构应具有可公开获取的声明,表明其理解公正性在实施管理体系认证活动中的重要性,对利益冲突加以管理,并确保其管理体系认证活动的客观性。
5.2.2认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件,包括认证机构的各种关系引起冲突的可能性。
有关系不一定都会引起利益冲突。
但是,如果任何关系对公正性构成威胁,认证机构应将其如何消除或最大限度减小此类威胁形成文件,并能予以证实。
6.2所指的委员会应能获得这方面的信息。
所作的证实应包括所有已识别的潜在利益冲突来源,无论其产生于认证机构内部还是其他个人、机构或组织的活动。
注:
威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。
5.2.3当某种关系对认证机构的公正性构成不可接受的威胁时(如认证机构的全资子公司向其申请认证),认证机构不应提供认证。
注:
见5.2.2注。
5.2.4认证机构不应对另一认证机构的管理体系认证活动进行认证。
注:
见5.2.2注。
5.2.5认证机构及同一法律实体的任何其他部分不应提供或推荐管理体系咨询,也不应为管理体系咨询提供报价。
本条款同样适用于政府中被识别为认证机构的那一部分。
5.2.6认证机构及其所属法律实体的任何其他部分不应向获证客户提供内部审核。
如果认证机构对某个管理体系提供了内部审核,则不应在内部审核结束后两年内对该管理体系进行认证。
本条款同样适用于政府中被识别为认证机构的那一部分。
注:
见5.2.2注。
5.2.7如果咨询机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁,而客户的管理体系接受了该咨询机构的管理体系咨询或内部审核,则认证机构不应对该管理体系进行认证。
注1:
在管理体系咨询结束后经过至少两年时间,是将对公正性威胁降至可接受水平的一种方式。
注2:
见5.2.2注。
5.2.8认证机构不应将审核外包给管理体系咨询机构,因为这一做法将对认证机构的公正性构成不可接受的威胁(见7.5)。
本条款不适用于7.3所述的作为签约审核员的个人。
5.2.9认证机构活动的营销或报价不应与管理体系咨询机构的活动有联系。
如果任何咨询机构宣称或暗示选择某认证机构将使认证更为简单、容易、迅速或廉价,则该认证机构应采取措施纠正这种不当表述。
认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。
5.2.10为确保没有利益冲突,参与了对客户管理体系咨询的人员(包括管理人员),在咨询结束后两年内,不应被认证机构用于针对该客户的审核或其他认证活动。
5.2.11认证机构应采取措施,以应对其他人员、机构或组织的行为对其公正性产生的威胁。
5.2.12认证机构所有可以影响认证活动的人员(内部或外部的)或委员会应公正行事,且不应允许商业、财务或其他方面的压力损害公正性。
5.2.13认证机构应要求内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲突的情况。
认证机构应利用这些信息识别他们或其所在单位的活动对公正性产生的威胁,且应在他们能够证明没有利益冲突之后再使用这些内部或外部人员。
5.3责任和财力
5.3.1认证机构应能证明已对认证活动引发的风险进行了评估,并对各个活动领域和运作地域的业务引发的责任作了充分的安排(如保险或储备金)。
5.3.2认证机构应评估其财务状况和收入来源,并向6.2所指的委员会证明其公正性始终没有受到商业、财务和其他方面压力的损害。
6结构要求
6.1组织结构和最高管理层
6.1.1认证机构应将其组织结构形成文件,并明确管理层和其他认证人员及各委员会的任务、责任和权力。
当认证机构是一个法律实体内有明确界定的一部分时,该文件应说明认证机构与该法律实体间的权力关系以及与同一法律实体内其他部分的关系。
6.1.2认证机构应确定对下列各项具有全部权力和责任的最高管理层(委员会、小组或个人):
a)与认证机构运作有关的政策的制定;
b)政策和程序实施的监督;
c)认证机构财务的监督;
d)管理体系认证服务和认证方案的开发;
e)审核与认证的实施和对投诉的回应;
f)认证决定;
g)在需要时,授权委员会或个人代表最高管理层开展规定的活动;
h)合同安排;
i)为认证活动提供充分的资源。
6.1.3认证机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则。
6.2维护公正性的委员会
6.2.1认证机构的结构应维护认证机构活动的公正性,并具有一个进行下列活动的委员会:
a)协助制定与认证活动公正性有关的政策;
b)阻止认证机构有任何倾向使商业因素或其他因素妨碍其一致地提供客观的认证活动;
c)对影响认证可信度的事宜(包括公开性和公众认识)提出建议;
d)至少每年对认证机构审核、认证和决定过程的公正性进行一次审查。
该委员会也可被委以其他任务或职责,但这些附加的任务或职责不得削弱其确保公正性的基本作用。
6.2.2该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件,并由认证机构最高管理层批准,以确保:
a)各方利益均衡,以使任一利益方不处于支配地位(认证机构的内部或外部人员视为一个利益方,且不应居支配地位);
b)获取所有必要的信息,使其能够履行自己的职能(见5.2.2和5.3.2);
c)如果认证机构最高管理层不尊重委员会的建议,委员会应有权采取独立措施(如报告主管部门、认可机构或利益相关方)。
采取独立措施时,委员会应尊重8.5中与客户和认证机构相关的XX要求。
6.2.3虽然该委员会不能代表所有利益方,但是认证机构宜识别和邀请关键利益方。
这些利益方可能包括:
认证机构的客户,获证客户的顾客,行业协会代表,政府监管机构或其他政府部门的代表,或非政府组织(包括消费者组织)的代表。
7资源要求
7.1管理层和人员的能力
7.1.1总体考虑
认证机构应有过程来确保其人员对其运作涉及的管理体系类型和地域有适宜的相关知识。
认证机构应确定与特定认证方案相关的每个技术领域所需的能力,以及认证活动的每项职能所需的能力。
认证机构应确定在履行特定职能前证实能力的方法。
7.1.2能力准则的确定
认证机构应有形成文件的过程,以确定参与管理和实施审核与认证的人员的能力准则。
应就每类管理体系标准或规X的要求,为每个技术领域,并为认证过程中的每项职能确定能力准则(知识/技能点描述出来)。
该过程的输出应为所要求的知识和技能的形成文件的准则,这些知识和技能是有效地实施为实现预期结果而要完成的审核与认证任务所必需的。
附录A规定了认证机构应为特定职能定义的知识和技能。
如果已经为特定的认证方案建立了附加的特定能力准则,例如ISO/TS2203(食品安全管理体系),这些附加的特定能力准则应得到应用。
注:
术语“技术领域”的应用方式可以根据所考虑的管理体系标准而不同。
对于任何管理体系,该术语都与管理体系标准X围内的产品和过程有关。
技术领域可由特定认证方案(例如ISO/TS22003)定义;或者可以由认证机构定义。
下面给出了术语“技术领域”在不同类型管理体系中的应用实例:
——对于质量管理体系标准,术语“技术领域”与满足顾客对组织的产品和服务的期望以及适用于组织的产品和服务的法律法规要求所需的过程有关。
--产品\服务\法规
——对于环境管理体系标准,术语“技术领域”与影响空气、水、土壤、自然资源、植物、动物和人类的环境因素涉及的活动、产品和服务类别有关。
——对于供应链安全管理体系标准,术语“技术领域”与供应的安全风险涉及的过程有关,例如运输、仓储和信息。
——对于信息安全管理体系标准,除了别的,术语“技术领域”与选择充分且适当的保护信息资产的安全控制措施所涉及的信息安全技术与实践、信息和通信技术和业务活动的类别有关。
7.1.3评价过程
认证机构应有形成文件的过程,以应用所确定的能力准则,对所有参与管理和实施审核与认证的人员进行初始能力评价,并持续监视其能力和表现。
认证机构应证实其评价方法是有效的。
这些过程的输出应为识别出那些经证实具有审核和认证过程不同职能所要求的能力水平的人员。
注:
附录B介绍了一些可用于知识和技能评价的评价方法。
7.1.4其他考虑
7.1.4.1(译注:
ISO/IEC17021:
2006条款7.1.2)认证机构在确定认证实施人员的能力要求时,除了那些直接实施审核与认证活动的人员,还应考虑管理层和行政人员所承担的职能。
7.1.4.2(译注:
ISO/IEC17021:
2006条款7.1.3)认证机构应有获取必要的专业知识与技能的途径,以在其运作涉及的技术领域、管理体系类型和地域等方面获得与认证直接相关的建议。
这些建议可由外部人员或认证机构人员提供。
7.2参与认证活动的人员
7.2.1认证机构自身应有具备足够能力对其各种类型与X围的审核方案以及其他认证工作进行管理的人员。
7.2.2认证机构应聘用或有途径获得足够数量的审核员(包括审核组长)和技术专家,以覆盖其所有活动并满足审核工作量的需要。
7.2.3认证机构应使所有有关人员清楚自己的任务、责任和权力。
7.2.4认证机构应有明确的过程来选择、培训、正式任用审核员和选择认证活动使用的技术专家。
审核员的初始能力评价应包括对适用的个人素质及在审核中应用所需知识与技能的本领的证实。
适用的个人素质及在审核中应用所需知识与技能的本领应由有能力的评价者在对审核员审核的见证中确定。
个人素质-技能\所期望的个人行为
注:
在上述的选择和培训过程中可以考虑所期望的个人行为。
所期望的个人行为是影响一个人实施特定职能的能力的特性。
因此,个人行为方面的知识使认证机构能够利用人员的强项并使其弱点的影响最小化。
附录D介绍了对认证活动参与人员重要的所期望的个人行为。
7.2.5认证机构应有实现和证实有效审核的过程。
该过程应确保所使用的审核员和审核组长具备通用的审核知识与技能以及特定技术领域审核所需的知识与技能。
认证机构应在根据GB/T19011相关指南制定的文件要求中明确该过程。
7.2.6认证机构应确保审核员(需要时,包括技术专家)充分了解其审核过程、认证要求和其他相关要求。
认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有效的文件化程序。
7.2.7认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。
注:
为特定审核组指派审核员和技术专家的要求见9.1.3。
7.2.8认证机构应识别培训需求,并向审核员、技术专家和其他参与认证活动的人员提供或使其有机会参加特定的培训,以确保他们胜任所从事的工作。
7.2.9做出授予、保持、更新、扩大、缩小、暂停或撤消认证等决定的小组或个人应理解适用的标准和认证要求,并经证实有能力评价审核过程和审核组的推荐意见。
7.2.10认证机构应确保所有参与审核和认证活动的人员均有令人满意的表现。
认证机构应有形成文件的程序和准则,以根据这些人员的使用频率及其活动的风险水平来监视和衡量他们的表现。
认证机构尤其应根据人员的表现来复核他们的能力,以识别培训需求。
7.2.11形成文件的审核员监视程序应把现场见证、审核报告复核及客户或市场反馈相结合。
认证机构应在根据GB/T1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 合格评定 管理体系审核认证机构的要求 ISO IEC FDIS 17021XXXX合格评定 管理体系审核认证机构的要求 17021 XXXX 合格 评定 管理体系 审核 认证 机构 要求