CNASWI130226 B0 文件系统符合性检查单 产品过程和服务.docx
《CNASWI130226 B0 文件系统符合性检查单 产品过程和服务.docx》由会员分享,可在线阅读,更多相关《CNASWI130226 B0 文件系统符合性检查单 产品过程和服务.docx(229页珍藏版)》请在冰豆网上搜索。
CNASWI130226B0文件系统符合性检查单产品过程和服务
文件系统符合性自查报告(产品、过程和服务)
受评审方:
地址:
电话:
传真:
EMAIL:
评审方:
中国合格评定国家认可委员会(CNAS)
评审员:
日期:
年月日
说明:
1.自查事项依据CNAS-CC02:
2013编制
2.认证机构在填写检查单第三列时,不仅需填写与准则要求所对应文件的具体条款,还应简要描述为满足认可准则要求所采取的具体措施。
如涉及到手册和程序文件以外的文件,则提交文审材料时应将这些文件一并提交。
3.评审员应逐项对认证机构文件的符合性进行评价,将发现的认证机构文件存在的问题记入“问题描述”栏,并进一步记录所发现问题的纠正情况,描述最终的文件符合性,且需在本文件首页签字。
文件系统符合性自查表(产品、过程和服务)
认可准则条款号
检查事项
与该认可准则要求相对应的认证机构文件名称及条款(认证机构填写)
问题描述
(评审员填写)
备注
4通用要求
4.1法律和合同事项
4.1.1法律责任
认证机构应是一个法律实体,或一个法律实体内明确界定的一部分,以便该法律实体能够对其所有认证活动承担法律责任。
注:
政府的认证机构基于其政府地位而被视为法律实体。
4.1.2认证协议
4.1.2.1
认证机构应有为客户提供规定认证活动的具有法律约束力的协议。
认证协议应考虑认证机构及其客户的责任。
4.1.2.2
认证机构应确保其认证协议要求客户至少遵守:
a)始终满足认证要求(见3.7),包括当收到认证机构的通知时做出适当变更(见7.10);
b)如果认证适用于持续生产,则获证产品应持续满足产品要求(见3.8);
c)客户为下列事项做出所有必要的安排:
1)实施评价(见3.3)和监督(若需要),包括审查文件和记录,访问相关设备、场所、区域、人员及客户的分包方;
2)投诉的调查;
3)适用时,观察员的参与。
d)客户有关认证的声明与认证范围(见3.10)一致;
e)客户不得以损害认证机构声誉的方式使用产品认证的结果,不得做出使认证机构认为可能误导或XX的有关产品认证的声明;
f)当认证暂停、撤销或终止时,客户停止使用包含产品认证内容的所有广告,采取认证方案要求的措施(如交回认证文件)以及其他需要的措施。
g)如果客户将认证文件的副本提供给其他人,文件应被完整地复制或者按照认证方案的规定复制;
h)在文件、宣传册或广告等传播媒介中涉及到产品认证内容时,应遵守认证机构的要求或认证方案的规定;
i)客户遵守与符合性标志的使用(可能在认证方案中规定的)和产品相关信息的任何要求;
注:
见GB/T27030、GB/T27023和GB/T27027。
4.1.2.2
(续前)
j)客户保存已知的与认证要求符合性有关的所有投诉记录,并在认证机构要求时提供,以及
1)对这些投诉以及在产品中发现的影响认证要求符合性的任何缺陷,采取适当的措施;
2)将所采取的措施形成文件。
注:
认证机构对j)项的证实可在认证方案中规定。
k)当发生了可能影响满足认证要求的能力的变更,客户及时通知认证机构:
注:
变更的例子包括:
-法律、商业、组织的状况或所有权的变更;
-组织和管理层的变更(如:
主要的管理、决策或技术人员变更);
-对产品或生产工艺的改进;
-联系地址和生产场地;
-质量管理体系的重要变更。
4.1.3许可文件、证书和符合性标志的使用
4.1.3.1
认证机构应按照认证方案的规定对许可文件、证书、符合性标志的所有权、使用和展示,以及表明产品已获得认证的任何其他机制进行控制。
注1:
认证机构许可的证书和标志的使用指南见GB/T27023。
注2:
GB/T27030规定了第三方标志的使用要求。
4.1.3.2
对在文件或其他宣传中对认证方案的不正确引用或对许可文件、证书、标志或任何其他表明产品已获认证的其他方式的误用应采取适当的措施。
注:
这类措施见GB/T27027,包括纠正措施、撤销证书,发布违规通告,以及必要时的法律措施。
4.2公正性管理
4.2.1
认证活动应公正地进行。
4.2.2
认证机构应对认证活动的公正性负责,不允许有任何来自商业、财务或其他方面的压力损害公正性。
4.2.3
认证机构应持续地进行公正性风险识别。
这些风险源于其自身的活动或各种关系,或者源于其人员的各种关系(见4.2.12),尽管这些关系不一定给认证机构带来公正性风险。
注1:
给认证机构公正性带来风险的关系可能源于所有权、管理方式、管理层、人员、共享资源、财务、合同、营销(包括品牌)以及给介绍新客户的人佣金或其他好处等。
注2:
此处风险识别并不是指ISO31000中的风险评估。
4.2.4
当识别出了公正性风险,认证机构应能够证实如何消除或最大限度减小此类风险。
5.2所规定的机制应能获得这方面的信息。
4.2.5
认证机构最高管理层应对公正性做出承诺。
4.2.6
认证机构和其在同一法律实体下的任何部分以及在其组织控制(见7.6.4)下的实体不应:
a)是获证产品的设计者、制造商、安装者、分销者或维护者;
b)是获证过程的设计者、实施者、操作者或维护者;
c)是获证服务的设计者、实施者、提供者或维护者;
d)主动或被动地为其客户提供咨询(见3.2);
e)当认证方案要求对客户的管理体系进行评价时,为其客户提供管理体系的咨询或内部审核。
注1:
这不排除下列情况:
—在认证机构与其客户之间可能发生的信息交换(例如:
解释检查发现或阐明要求);和
—认证机构运作所必需的获证产品的使用、安装和维护。
注2:
ISO/IEC17021:
2011中3.3定义了“管理体系咨询”。
4.2.7
认证机构应确保与其直接关联或与其附属机构有关联的其他法律实体的活动不损害其认证活动的公正性。
注:
见4.2.3,注1。
4.2.8
当4.2.7中的其他的法律实体提供或生产获证产品(包括拟认证的产品)或提供咨询(见3.2)时,认证机构的管理人员、复核和认证决定人员不应参与该法律实体的活动。
该法律实体的人员不应参与认证机构的管理、复核和认证决定。
注:
第6章规定了对于评价人员的公正性要求。
6.2.1和6.2.2.1中引用的其他相关标准规定了附加要求。
4.2.9
认证机构活动的营销和报价不应与咨询(见3.2)机构的活动相关联。
认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。
4.2.10
在认证机构规定的期限内,提供过产品咨询(见3.2)的人员不应从事对该产品的复核和认证决定。
注1:
可在认证方案中规定期限,如果由认证机构规定,期限应该足够长,以确保不影响复核和认证决定的公正性。
通常规定为两年。
注2:
第6章规定了对于评价人员的公正性要求。
6.2.1和6.2.2.1中引用的其他相关标准规定了附加要求。
4.2.11
认证机构应采取措施,以应对已知的来源于其他人员、机构或组织的行为所产生的公正性的风险。
4.2.12
认证机构中可能影响认证活动的所有人员(外部或内部)或委员会,均应公正地行使职责。
4.3责任和财力
4.3.1
认证机构应做好充分的安排(例如:
保险或储备金)以承担由于运作引发的责任。
4.3.2
认证机构应保持财务状况稳定,并且应具备运作所需的资源。
4.4非歧视性条件
4.4.1
认证机构运作所遵循的方针和程序以及对它们的管理应是非歧视性的。
除非本标准规定,否则程序不应妨碍或阻止申请人申请。
4.4.2
对于其活动在认证机构运作范围内的所有申请人,认证机构的服务都应开放。
4.4.3
不应以客户的规模、某一协会或团体的成员、已颁发证书的数量作为实施认证的限制条件。
不应含有任何不恰当的财务或其他条件。
注:
当存在一些原则性的或明显的理由时,例如客户参与非法活动,或以往有重复发生不符合认证要求和(或)产品要求及类似情况时,认证机构可以婉拒其认证申请或维持认证合同。
4.4.4
认证机构应将与要求、评价、复核、决定和监督(如果有)有关的事项限定在认证范围内。
4.5保密性
4.5.1
认证机构应通过具有法律约束力的承诺,对从事认证活动时获得或产生的所有信息的管理负责。
除客户自己公开的或机构与客户之间商定(如为应对投诉)的信息外,所有其他信息均应视为专有信息并应视为保密信息。
认证机构拟向公众公开保密信息时,应提前通知客户。
4.5.2
当认证机构根据法律要求或合同安排提供保密信息时,认证机构应将提供的信息通知有关客户或个人,除非法律限制。
4.5.3
从客户以外其他来源(如投诉者、监管机构)获得的关于客户的信息应按保密信息处理。
4.6可公开获取的信息
4.6
认证机构应(通过出版物、电子媒介或其他方式)保存和根据请求提供下列信息:
a)有关(或涉及)认证方案的信息,包括评价程序,批准、保持、范围扩大或缩小、暂停、撤销或拒绝认证的规则和程序;
b)认证机构获得财力支持方式的描述以及向申请人和客户收取费用的一般信息;
c)申请人与客户的权利和义务的描述信息,包括使用认证机构名称和认证标志以及认证结论引用方式的要求、约束或限制;
d)有关处理投诉和申诉程序的信息。
5结构要求
5.1组织结构和最高管理层
5.1.1
认证活动应从结构和管理上保证公正性。
5.1.2
认证机构应将其组织结构形成文件,并明确管理层和其他认证人员及各委员会的任务、责任和权力。
当认证机构是一个法律实体内明确界定的一部分时,这种结构应包括认证机构的权力界线和与同一法律实体内其他部分的关系。
5.1.3
认证机构的管理层应确定对下列各项具有全部权力和责任的委员会、小组或个人:
a)制定有关认证机构运作的方针;
b)监督方针和程序的实施;
c)监督认证机构的财务;
d)开发认证活动;e)制定认证要求;
f)评价(见7.4);
g)复核(见7.5);
h)认证决定(见7.6);
i)需要时,授权委员会或人员代表管理层开展规定的活动;
5.1.3(续前)
j)合同安排;
k)为认证活动提供充分的资源;
l)回应投诉和申诉;
m)人员能力要求;
n)认证机构的管理体系(见第8章)。
5.1.4
认证机构应有关于参与认证过程(见第7章)的任何委员会的任命、权限和运作的正式规则。
这种委员会应免受来自商业、财务和其他可能影响决定的压力。
认证机构应保留任命和撤销委员会成员的权力。
5.2维护公正性的机制
5.2.1
认证机构应有一个维护公正性的机制,该机制应提供以下方面的输入:
a)与认证活动的公正性有关的方针和原则;
b)认证机构出于商业或其他考虑而妨碍一致公正地提供认证活动的任何倾向;
c)影响认证的公正性、保密性等事项,包括信息公开;
注1:
该机制可被赋予其他任务或职责(例如参与做决定的过程),其前提是这些增加的任务或职责不得损害其确保公正性的基本作用。
注2:
该机制可以是由一家或多家认证机构组建的委员会、方案所有者运作的委员会、某个政府部门或类似团体。
注3:
多个认证方案共用一个机制也符合此要求。
注4:
如果认证机构也提供管理体系认证,符合ISO/IEC17021:
2011的6.2的委员会同时满足5.2的所有要求可视为符合本标准的5.2。
5.2.2
应将该机制形成正式的文件以确保:
a)重要利益相关方均衡,以使任一利益方不处于支配地位(认证机构的内部或外部人员视为一个利益方,且不应居支配地位);
b)获取所有必要的信息以使其能够履行所有职能。
5.2.3
如果认证机构的最高管理层不采纳该机制提出的意见和建议,则该机制应有权独立采取措施(如报告主管部门、认可机构或利益相关方)。
在采取适当措施时,应尊重4.5中与客户和认证机构相关的保密要求。
不宜采纳与认证机构运行程序或其他强制性要求相冲突的意见和建议。
管理层宜将不采纳的理由形成文件,并保存以备适当的人员审查。
5.2.4
虽然这一机制不能代表每个利益方,但是认证机构应识别并邀请重要的利益方。
注1:
这些利益方可能包括认证机构的客户、客户的顾客、制造商、供方、用户、合格评定专家、行业协会代表、政府监管机构或其他政府部门的代表及非政府组织(包括消费者组织)的代表。
该机制中每个利益方只要有一个代表就可以满足要求。
注2:
这些利益方可根据认证方案的性质来限定。
6资源要求
6.1认证机构的人员
6.1.1总则
6.1.1.1
认证机构应聘用或有途径获得足够数量的人员,以支撑其与认证方案、适用的标准及其它规范性文件相关的运行。
注:
人员包括为机构工作的正式人员,也包括通过签订合同或协议使其置于认证机构(见6.1.3)管理控制及体系和(或)程序内的人员。
6.1.1.2
这些人员应有能力履行职责,包括根据需要做出技术判断、确定方针并加以实施。
6.1.1.3
除非法律或认证方案有要求,无论委员会成员、外部机构人员或代表认证机构利益的人员,对认证活动过程中获得的或产生的所有信息都应保密。
6.1.2参与认证过程的人员能力管理
6.1.2.1
认证机构应建立、实施并维护对参与认证过程(见第7章)的人员能力进行管理的程序。
该程序应要求认证机构:
a)确定认证过程中每项职能所需人员能力的准则,确定时要考虑认证方案的要求;
b)识别培训需求,必要时提供有关对认证过程、要求、方法、活动和其他有关认证方案要求的培训方案;
c)证实这些人员具备承担任务和责任所需的能力;
d)为认证过程中履行职能的人员正式授权;
e)监视人员绩效。
6.1.2.2
认证机构应保存参与认证过程(见第7章)人员的下列记录:
a)姓名和地址;
b)所在单位及职位;
c)学历及专业状况;
d)经历和培训;
e)能力评价;
f)绩效监视;
g)在认证机构内具有的权限;
h)每项记录的最新更新日期。
6.1.3与人员签约
6.1.3
认证机构应要求参与认证过程的人员与其签署合同或其他文件,以做出下列承诺:
a)遵守由认证机构确定的规则,包括与保密性(见4.5)和独立于商业和其他利益有关的规则;
b)在被安排进行评价或认证时,声明以前和(或)现在本人或其雇主与如下各方的关系:
1)产品的供方或设计方,或
2)服务的提供方或开发方,或
3)过程的作业方或开发方
c)告知了解的可能导致其本人或认证机构发生利益冲突的任何情况(见4.2)。
认证机构应根据这些信息,来识别由这类人员或雇用他们的组织的活动引发的公正性风险(见4.2.3)。
6.2评价的资源
6.2.1内部资源
认证机构进行评价活动时,无论使用内部资源还是其直接控制的其它资源,均应满足相关标准和认证方案中规定的其他文件的适用要求。
对于检测,应满足GB/T27025中的适用要求;对于检验,应满足GB/T27020中的适用要求;对于管理体系审核,应满足GB/T27021中的适用要求。
相关标准中规定的对评价人员公正性的要求始终都应适用。
注:
有些要求不适用的理由的示例包括:
-在利用评价活动的结果时,认证机构内部已具备专业技能;
-认证机构对检测(包括目击试验)、检验(如规定检验方法或参数)或管理体系评审(如对管理体系有特定详细要求)的控制程度较强;
-某一特定要求已由本标准中等效的方式涵盖,或者在认证决定时无需特别关注的。
6.2.2外部资源(外包)
6.2.2.1
认证机构应只能将评价活动外包给那些满足相关标准和认证方案中规定的其他文件的适用要求的机构。
对于检测,应满足GB/T27025中的适用要求;对于检验,应满足GB/T27020中的适用要求;对于管理体系审核,应满足GB/T27021中的适用要求。
相关标准中规定的对评价人员公正性的要求始终都应适用。
注1:
有些要求不适用的理由的示例包括:
-在利用评价活动的结果时,认证机构内部已具备专业技能;
-认证机构对检测(包括目击试验)、检验(如规定检验方法或参数)或管理体系评审(如对管理体系有特定详细要求)的控制程度较强;
-某一特定要求已由本标准中等效的方式涵盖,或者在认证决定时无需特别关注的。
注2:
这可包括外包给其他认证机构。
按照合同使用外部人员不属于外包。
注3:
在本标准中,“外包”和“分包”被认为是同义词。
6.2.2.2
评价活动外包给非独立机构(如,客户实验室)时,认证机构应确保评价活动得到管理,这种管理的方式能提供可信任的结果,且有记录证实这种信任。
6.2.2.3
认证机构应与提供外包服务的机构签署具有法律约束力的合同,包括保密性条款和6.1.3c中规定的利益冲突条款。
6.2.2.4
认证机构应:
a)对外包给其他机构的所有活动负责;
b)确保提供外包服务的机构及其使用的人员的参与(直接的或通过任何其他雇主)不能影响认证结果的可信性;
c)对提供用于认证活动的外包服务的所有机构的资格、评价和监视都有形成文件的方针、程序和记录;
d)保存获得批准的外包服务机构清单;
e)对已知的任何违反6.2.2.3协议或6.2.2中的其他要求的行为采取纠正措施;
f)外包活动前通知客户,以给客户一个提出异议的机会。
注:
如果对外包服务机构的资格认定、评价和监视由其他组织(如认可机构、同行评审机构或政府部门)实施,只要满足以下条件,认证机构就可以考虑采信这些资格认定或监视结果:
6.2.2.4(续前)
——方案要求中有规定的;
——范围与承担的工作相符;
——按照认证机构确定的周期对资格、评价和监视安排的有效性进行核实。
7过程要求
7.1总则
7.1.1
认证机构应运作一个或多个覆盖其认证活动的认证方案。
注1:
认证方案的要素可以与对生产的监督或对客户管理体系的评审和监督结合,或两者都有。
注2:
GB/T27067结合GB/T27028和GB/T27053给出了制订认证方案的通用指南。
7.1.2
评价客户产品的要求应是包含在特定标准和其他规范性文件中的要求。
注:
制定适用于此目的规范性文件的指南见GB/T27007。
7.1.3
对某个特定认证方案,如需要对这些文件(见7.1.2)的应用进行解释,这些解释应由相关的、公正的和具备必要技术能力的人员或委员会做出。
在有请求时,认证机构应予提供。
7.2申请
对于认证申请,认证机构应获取依据相关认证方案完成认证过程的所有必要信息。
注1必要信息的例子如下:
—拟认证的产品;
—客户寻求的认证所依据的标准和(或)其他规范性文件(见7.1.2);
—客户的基本特征,包括名称、实际位置、过程和运作的重要方面(如果相关认证方案有要求),以及任何相关的法律义务;
—与申请认证范围相关的客户的基本信息,比如客户的活动;人力与技术资源,包括实验室和/或检验设施;以及适用时,其在一个较大集团中的职能和关系;
—客户使用的有关影响对要求符合性的所有外包过程的信息;如果客户已确定了由自己以外的法律实体生产认证的产品,为有效监督,必要时认证机构可通过适当的合约对该法律实体予以控制。
如果需要这种合约控制,则其可在提交正式的认证文件(见7.7)之前建立;
—相关认证要求所需的所有其他信息,诸如初始评价和监督活动的信息,如:
认证的产品的生产地点,这些地点的联系人。
注2:
可用多种媒介和方式在不同时间收集这种信息,包括申请表。
收集这些信息可与签署4.1.2规定的具有法律约束力的协议(认证协议)同时进行,也可分开进行。
注3:
扩大认证范围的申请可以包含同类产品、不同地点等。
7.3申请评审
7.3.1
认证机构应对所获得的信息(见7.2)进行评审以确保:
a)认证过程所需的客户信息和产品信息是充分的;
b)认证机构和客户之间任何已知的理解上的分歧已经得到解决,包括在相关标准或规范性文件方面达成一致;
c)认证范围(见3.10)得到确定;
d)实施所有评价活动的方法是可行的;
e)认证机构有能力并能够实施认证活动;
7.3.2
当客户的认证要求涉及以下内容,而认证机构又无先例时,应有一个过程来识别:
—产品的类型,或
—规范性文件,或
—认证方案.
注:
当对某产品的相关要求、特性和技术的掌握足以理解另一产品的要求、特性和技术时,可视它们为同一类产品。
7.3.3
在这些情况(见7.3.2)下,认证机构应确保其具有能力实施要求其进行的所有认证活动,同时应保存对决定开展认证的理由的记录。
7.3.4
如果认证机构缺乏能力开展需要其进行的认证活动,认证机构应婉拒开展这一特定的认证。
7.3.5
如果认证机构根据其已经批准的该客户或其他客户的认证结果省略任何活动,认证机构应把对已有的认证结果的引用保存在记录中。
如客户要求,认证机构应提供省略这些活动的理由。
7.4评价
7.4.1
认证机构应制定一个评价活动计划,以做出必要的安排。
注:
根据认证方案的特性和产品要求,该计划可以是适用于所有活动的通用计划,包括适用时对质量管理体系的评价,或是针对一项特定活动的专门计划,或是两者的结合。
7.4.2
利用认证机构内部资源(见6.2.1)进行的各项评价任务应由认证机构指派人员去执行。
注:
外包任务通常由外包方指派的人员去完成。
这种人员一般不由认证机构指派。
7.4.3
认证机构应确保可获得执行评价任务必须的所有信息和(或)文件。
注:
评价任务可能包括设计评估和文件审查、取样、检测、检查、审核等活动。
7.4.4
认证机构应按评价计划(见7.4.1)完成利用内部资源(见6.2.1)进行的评价活动和管理外包资源(见6.2.2)。
应依据认证范围覆盖的要求和认证方案规定的其他要求评价产品。
7.4.5
认证机构应只采信本次认证申请之前完成的与认证相关的评价结果,在这种情况下,认证机构应对评价结果负责,并且证明实施评价的机构满足6.2.2及认证方案规定的要求。
注:
这可以包括根据认证机构之间的互认协议开展的工作。
7.4.6
认证机构应将所有不符合告知客户。
7.4.7
如果发现了一个或多个不符合,且客户希望继续认证过程,认证机构应提供为验证不符合得到纠正所需的附加评价任务的有关信息。
7.4.8
如果客户同意完成附加的评价任务,则应重复7.4中规定的过程以完成附加的评价任务。
7.4.9
复核(见7.5)之前,所有评价活动的结果应形成文件。
注1:
这些文件可以为确定产品要求(包括如认证方案有要求时,对生产产品的质量管理体系的要求)是否得到满足提供意见。
注2:
认证方案可指出评