文件系统符合性检查单QMSEMSOHSMS.docx
《文件系统符合性检查单QMSEMSOHSMS.docx》由会员分享,可在线阅读,更多相关《文件系统符合性检查单QMSEMSOHSMS.docx(176页珍藏版)》请在冰豆网上搜索。
文件系统符合性检查单QMSEMSOHSMS
文件系统符合性检查单(QMS/EMS/OHSMS)
(认证机构自我评价报告)
受评审方:
评审地址:
注册地址:
通讯方式电话:
传真:
EMAIL:
评审方:
中国合格评定国家认可委员会(CNAS)
评审组长:
日期:
年月日
本检查单依据CNAS-CC01编制
文件系统符合性检查单(QMS/EMS/OHSMS)
认可准则条款号
检查事项
与该认可准则要求相对应的认证机构文件名称及条款
问题描述
符合性评价
5通用要求
i.5.1.1法律与合同事宜
法律责任
认证机构应为一个法律实体,或一个法律实体内有明确界定的一部分,以便认证机构能够对其所有认证活动承担法律责任。
政府的认证机构因其政府地位而被视为法律实体。
认证协议
认证机构与客户之间应有在法律上具有强制实施力的提供认证服务的协议。
此外,如果认证机构有多个办公场所或客户有多个场所,则应确保授予认证并颁发证书的认证机构与认证范围覆盖的所有场所之间有在法律上具有强制实施力的协议。
认证决定的责任
认证机构应对与认证有关的决定(包括授予、保持、更新、扩大、缩小、暂停和撤销认证)负责,并应保持做出上述决定的权力。
ii.5.2公正性的管理
5.2.1认证机构最高管理层应对管理体系认证活动的公正性做出承诺。
认证机构应具有可公开获取的声明,表明其理解公正性在实施管理体系认证活动中的重要性,对利益冲突加以管理,并确保其管理体系认证活动的客观性。
5.2.2认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件,包括认证机构的各种关系引起冲突的可能性。
有关系不一定都会引起利益冲突。
但是,如果任何关系对公正性构成威胁,认证机构应将其如何消除或最大限度减小此类威胁形成文件,并能予以证实。
6.2所指的委员会应能获得这方面的信息。
所作的证实应包括所有已识别的潜在利益冲突来源,无论其产生于认证机构内部还是其他个人、机构或组织的活动。
2注:
威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。
5.2.3当某种关系对认证机构的公正性构成不可接受的威胁时(如认证机构的全资子公司向其申请认证),认证机构不应提供认证。
3注:
见5.2.2注。
5.2.4认证机构不应对另一认证机构的管理体系认证活动进行认证。
4注:
见5.2.2注。
5.2.5认证机构及同一法律实体的任何其他部分不应提供或推荐管理体系咨询,也不应为管理体系咨询提供报价。
本条款同样适用于政府中被识别为认证机构的那一部分。
5.2.6认证机构及其所属法律实体的任何其他部分不应向获证客户提供内部审核。
如果认证机构对某个管理体系提供了内部审核,则不应在内部审核结束后两年内对该管理体系进行认证。
本条款同样适用于政府中被识别为认证机构的那一部分。
5注:
见5.2.2注。
5.2.7如果咨询机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁,而客户的管理体系接受了该咨询机构的管理体系咨询或内部审核,则认证机构不应对该管理体系进行认证。
1注1:
在管理体系咨询结束后经过至少两年时间,是将对公正性威胁降至可接受水平的一种方式。
2注2:
见5.2.2注。
5.2.8认证机构不应将审核外包给管理体系咨询机构,因为这一做法将对认证机构的公正性构成不可接受的威胁(见7.5)。
本条款不适用于7.3所述的作为签约审核员的个人。
5.2.9认证机构活动的营销或报价不应与管理体系咨询机构的活动有联系。
如果任何咨询机构宣称或暗示选择某认证机构将使认证更为简单、容易、迅速或廉价,则该认证机构应采取措施纠正这种不当表述。
认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。
5.2.10为确保没有利益冲突,参与了对客户管理体系咨询的人员(包括管理人员),在咨询结束后两年内,不应被认证机构用于针对该客户的审核或其他认证活动。
5.2.11认证机构应采取措施,以应对其他人员、机构或组织的行为对其公正性产生的威胁。
5.2.12认证机构所有可以影响认证活动的人员(内部或外部的)或委员会应公正行事,且不应允许商业、财务或其他方面的压力损害公正性。
5.2.13认证机构应要求内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲突的情况。
认证机构应利用这些信息识别他们或其所在单位的活动对公正性产生的威胁,且应在他们能够证明没有利益冲突之后再使用这些内部或外部人员。
5.3责任和财力
5.3.1认证机构应能证明已对认证活动引发的风险进行了评估,并对各个活动领域和运作地域的业务引发的责任作了充分的安排(如保险或储备金)。
5.3.2认证机构应评估其财务状况和收入来源,并向6.2所指的委员会证明其公正性始终没有受到商业、财务和其他方面压力的损害。
6结构要求
i.6.1组织结构和最高管理层
6.1.1认证机构应将其组织结构形成文件,并明确管理层和其他认证人员及各委员会的任务、责任和权力。
当认证机构是一个法律实体内有明确界定的一部分时,该文件应说明认证机构与该法律实体间的权力关系以及与同一法律实体内其他部分的关系。
6.1.2认证机构应确定对下列各项具有全部权力和责任的最高管理层(委员会、小组或个人):
a)与认证机构运作有关的政策的制定;
b)政策和程序实施的监督;
c)认证机构财务的监督;
d)管理体系认证服务和认证方案的开发;
e)审核与认证的实施和对投诉的回应;
f)认证决定;
g)在需要时,授权委员会或个人代表最高管理层开展规定的活动;
h)合同安排;
i)为认证活动提供充分的资源。
6.1.3认证机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则。
6.2维护公正性的委员会
6.2.1认证机构的结构应维护认证机构活动的公正性,并具有一个进行下列活动的委员会:
a)协助制定与认证活动公正性有关的政策;
b)阻止认证机构有任何倾向使得商业或其他考虑妨碍其持续地提供客观的认证活动;
c)对影响认证可信度的事宜(包括公开性和公众认识)提出建议;
d)至少每年对认证机构审核、认证和决定过程的公正性进行一次审查。
该委员会也可被委以其他任务或职责,但这些附加的任务或职责不得削弱其确保公正性的基本作用。
6.2.2该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件,并由认证机构最高管理层批准,以确保:
a)各方利益均衡,以使任一利益方不处于支配地位(认证机构的内部或外部人员视为一个利益方,且不应居支配地位);
b)获取所有必要的信息,使其能够履行自己的职能(见5.2.2和5.3.2);
c)如果认证机构最高管理层不尊重委员会的建议,委员会应有权采取独立措施(如报告主管部门、认可机构或利益相关方)。
采取独立措施时,委员会应尊重8.5中与客户和认证机构相关的保密要求。
6.2.3虽然该委员会不能代表所有利益方,但是认证机构宜识别和邀请关键利益方。
这些利益方可能包括:
认证机构的客户,获证客户的顾客,行业协会代表,政府监管机构或其他政府部门的代表,或非政府组织(包括消费者组织)的代表。
7资源要求
ii.7.1管理层和人员的能力
7.1.1总体考虑
认证机构应有过程确保其人员对其运作涉及的管理体系类型和地域有适宜的相关知识。
认证机构应确定与特定认证方案相关的每个技术领域所需的能力,以及认证活动的每项职能所需的能力。
认证机构应确定在履行特定职能前证实能力的方法。
7.1.2能力准则的确定
认证机构应有形成文件的过程,以确定参与管理和实施审核与认证的人员的能力准则。
应就每类管理体系标准或规范的要求,为每个技术领域,并为认证过程中的每项职能确定能力准则。
该过程的输出应为所要求的知识和技能的形成文件的准则,这些知识和技能是有效地实施为实现预期结果而要完成的审核与认证任务所必需的。
附录A规定了认证机构应为特定职能定义的知识和技能。
如果已经为特定的认证方案建立了附加的特定能力准则,例如ISO/TS22003(食品安全管理体系),这些附加的特定能力准则应得到应用。
注:
术语“技术领域”的应用方式可以根据所考虑的管理体系标准而不同。
对于任何管理体系,该术语都与管理体系标准范围内的产品和过程有关。
技术领域可由特定认证方案(例如ISO/TS22003)定义;或者可以由认证机构定义。
下面给出了术语“技术领域”在不同类型管理体系中的应用实例:
——对于质量管理体系标准,术语“技术领域”与满足顾客对组织的产品和服务的期望以及适用于组织的产品和服务的法律法规要求所需的过程有关。
——对于环境管理体系标准,术语“技术领域”与影响空气、水、土壤、自然资源、植物、动物和人类的环境因素涉及的活动、产品和服务类别有关。
——对于供应链安全管理体系标准,术语“技术领域”与供应的安全风险涉及的过程有关,例如运输、仓储和信息。
——对于信息安全管理体系标准,除了别的,术语“技术领域”与选择充分且适当的保护信息资产的安全控制措施所涉及的信息安全技术与实践、信息和通信技术和业务活动的类别有关。
7.1.3评价过程
认证机构应有形成文件的过程,以应用所确定的能力准则,对所有参与管理和实施审核与认证的人员进行初始能力评价,并持续监视其能力和表现。
认证机构应证实其评价方法是有效的。
这些过程的输出应为识别出那些经证实具有审核和认证过程不同职能所要求的能力水平的人员。
注:
附录B介绍了一些可用于知识和技能评价的评价方法。
7.1.4其他考虑
7.1.4.1认证机构在确定认证实施人员的能力要求时,除了那些直接实施审核与认证活动的人员,还应考虑管理层和行政人员所承担的职能。
7.1.4.2认证机构应有途径获取必要的专业知识与技能,以在其运作涉及的技术领域、管理体系类型和地域等方面获得与认证直接相关的建议。
这些建议可由外部人员或认证机构人员提供。
7.2参与认证活动的人员
7.2.1认证机构自身应有具备足够能力对其各种类型与范围的审核方案以及其他认证工作进行管理的人员。
7.2.2认证机构应聘用或有途径获得足够数量的审核员(包括审核组长)和技术专家,以覆盖其所有活动并满足审核工作量的需要。
7.2.3认证机构应使所有有关人员清楚自己的任务、责任和权力。
7.2.4认证机构应有明确的过程来选择、培训、正式任用审核员和选择认证活动使用的技术专家。
审核员的初始能力评价应包括对在审核中应用所需知识与技能的本领的证实。
在审核中应用所需知识与技能的本领应由有能力的评价者在对审核员审核的见证中确定。
7.2.5认证机构应有实现和证实有效审核的过程。
该过程应确保所使用的审核员和审核组长具备通用的审核知识与技能以及特定技术领域审核所需的知识与技能。
7.2.6认证机构应确保审核员(需要时,包括技术专家)充分了解其审核过程、认证要求和其他相关要求。
认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有效的文件化程序。
7.2.7认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。
6注:
为特定审核组指派审核员和技术专家的要求见9.1.3。
7.2.8认证机构应识别培训需求,并向审核员、技术专家和其他参与认证活动的人员提供或使其有机会参加特定的培训,以确保他们胜任所从事的工作。
7.2.9做出授予、保持、更新、扩大、缩小、暂停或撤销认证等决定的小组或个人应理解适用的标准和认证要求,并经证实有能力评价审核过程和审核组的推荐意见。
7.2.10认证机构应确保所有参与审核和认证活动的人员均有令人满意的表现。
认证机构应有形成文件的程序和准则,以根据这些人员的使用频率及其活动的风险水平来监视和衡量他们的表现。
认证机构尤其应根据人员的表现来复核他们的能力,以识别培训需求。
7.2.11形成文件的审核员监视程序应把现场见证、审核报告复核及客户或市场反馈相结合。
认证机构应在文件要求中详细说明该程序。
在设计监视方式时,应使正常认证过程所受干扰最小(尤其是从客户角度来看)。
7.2.12认证机构应定期对每位审核员的表现进行现场见证。
现场见证的频率应取决于根据所有可获得的监视信息确定的现场见证需求。
i.7.3外部审核员和外部技术专家的使用
认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机构适用的政策和程序。
该协议应含有关于保密及独立于商业和其他利益的条款,并要求外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核的组织的关系。
7注:
依据上述协议使用单个审核员和技术专家不构成7.5所述的外包。
i.7.4人员记录
认证机构应保持人员(包括认证活动实施人员、管理人员和行政人员)的最新记录,包括相关的资格、培训、经历、隶属关系、专业状况、能力以及可能提供过的任何相关咨询服务的记录。
ii.7.5外包
7.5.1认证机构应说明可以进行外包(即向另一个组织分包,由其代表认证机构提供部分认证服务)的条件。
认证机构应与每个承担外包服务的机构就相关安排(包括保密和利益冲突)签订在法律上具有强制实施力的协议。
3注1:
这里可以包括外包给其他认证机构的情况。
依据合同使用审核员和技术专家见7.3。
4注2:
本文件中,“外包”与“分包”视为同义词。
7.5.2授予、保持、更新、扩大、缩小、暂停或撤销认证的决定不应外包。
7.5.3认证机构应:
a)对外包给另一机构的所有活动负责;
b)确保外包服务承担机构及其使用的人员符合认证机构的要求和本文件的适用要求,包括能力、公正性和保密;
c)确保外包服务承担机构及其使用的人员与拟审核的组织没有可能损害公正性的关系(无论是直接的还是通过任何其他雇主发生的关系)。
7.5.4认证机构应有形成文件的程序,以对认证活动的所有外包服务承担机构进行资格审查和监视,且应确保其审核员和技术专家的能力记录得到保持。
8信息要求
iii.8.1可公开获取的信息
8.1.1认证机构应保持说明其用于授予、保持、扩大、更新、缩小、暂停或撤销认证的审核过程和认证过程的信息,及其运作涉及的认证活动、管理体系类型和地域的信息,并使这些信息可公开获取,或在有请求时提供这些信息。
8.1.2认证机构向客户或市场提供的信息(包括广告)应准确且不使人产生误解。
8.1.3认证机构应使授予、暂停或撤销认证的信息可公开获取。
8.1.4当任何一方提出请求时,认证机构应提供确认某一认证是否有效的方法。
5注1:
如果信息分散在多个来源(如印刷文件或电子文档,或两者结合),可以通过一个系统(如唯一性编码系统或互联网上的超级链接)来确保不同来源之间的可追溯性和明确一致性。
6注2:
在特殊情况下,可以根据客户的请求(如出于安全原因)对某些信息的公开程度做出限制。
iv.8.2认证文件
8.2.1认证机构应以其选择的任何方式向获证客户提供认证文件。
8.2.2认证文件的生效日期不应早于认证决定的日期。
8.2.3认证文件应标明:
a)每个获证客户的名称和地理位置(或多场所认证范围内总部和所有场所的地理位置);
b)授予、扩大或更新认证的日期;
c)认证有效期或与认证周期一致的应进行再认证的日期;
d)唯一的识别代码;
e)审核获证客户时所用的标准和(或)其他规范性文件,包括版次和(或)修订号;
f)与产品(包括服务)、过程等相关的认证范围,适用时,包括每个场所相应的认证范围;
g)认证机构的名称、地址和认证标志;可以使用其他标识(如认可标识),但不能产生误导或含混不清。
h)认证用标准和(或)其他规范性文件所要求的任何其他信息;
i)在颁发经过修改的认证文件时,区分新文件与任何已作废文件的方法。
v.8.3获证客户目录
认证机构应以其选择的任何方式保持有效认证的目录,并使其可公开获取,或在有请求时提供该目录。
该目录应至少说明每个获证客户的名称、相关的规范性文件、认证范围和地理位置(如国家和城市)或多场所认证范围内总部和所有场所的地理位置。
8注:
该目录是认证机构的专有资产。
i.8.4认证资格的引用和标志的使用
8.4.1认证机构对其授权获证客户使用的任何标志应有管理政策。
该政策应确保可以从标志追溯到认证机构。
标志或所附文字不应使人对认证对象和授予认证的认证机构产生歧义。
标志不应用于产品或消费者所见的产品包装之上,或以任何其他可解释为表示产品符合性的方式使用。
9注:
ISO/IEC17030提供了对使用第三方标志的要求。
8.4.2认证机构不应允许其标志被用于实验室检测、校准或检查的报告,这里将此类报告视为产品。
8.4.3认证机构应要求客户组织:
a)在传播媒介(如互联网、宣传册或广告)或其他文件中引用认证状态时,应符合认证机构的要求;
b)不做出或不允许有关于其认证资格的误导性说明;
c)不以或不允许以误导性方式使用认证文件或其任何部分;
d)在其认证被暂停或撤销时,按照认证机构的指令立即停止使用所有引用认证资格的广告材料(见9.6.3和9.6.6);
e)在认证范围被缩小时,修改所有的广告材料;
f)不允许在引用其管理体系认证资格时,暗示认证机构对产品(包括服务)或过程进行了认证;
g)不得暗示认证适用于认证范围以外的活动;
h)在使用认证资格时,不得使认证机构和(或)认证制度声誉受损,失去公众信任。
8.4.4认证机构应正确地控制其所有权,并采取措施处理认证状态的错误引用或认证文件、标志或审核报告的误导性使用。
10注:
此类措施可以包括要求纠正或采取纠正措施、暂停认证、撤销认证、公告违规行为以及必要的法律措施。
i.8.5保密
8.5.1认证机构应具有政策和相关安排,以确保其各个层次(包括代表其活动的委员会、外部机构或个人)对从事认证活动时获得或产生的保密信息予以保密,并通过在法律上具有强制实施力的协议落实上述政策和安排。
8.5.2认证机构应将其拟对公众公开的信息提前告知客户。
所有其他信息均应视为保密信息,客户自己公开的信息除外。
8.5.3除本文件有要求外,关于特定客户或个人的信息,未经其书面同意,不应向第三方披露。
当法律要求认证机构向第三方提供保密信息时,除法律限制外,认证机构应将拟提供的信息提前通知有关客户或个人。
8.5.4从其他来源(如投诉人、监管机构)获得的关于客户的信息应根据认证机构的政策按保密信息处理。
8.5.5认证机构的人员,包括代表认证机构工作的任何委员会成员、合同方、外部机构人员或个人,应对从事认证机构的活动时获得或产生的所有信息予以保密。
8.5.6认证机构应能获得确保保密信息(如文件、记录)的安全处理的设备和设施,并使用这些设备和设施。
8.5.7认证机构向其他机构(如认可机构、建立在同行评审基础上的协议集团)公开保密信息时,应将这一行动通知其客户。
ii.8.6认证机构与其客户间的信息交换
8.6.1认证过程和要求的信息
认证机构应向客户提供并为其更新以下信息:
a)对认证活动整个过程的详细说明,包括申请、初次审核、监督审核和授予、保持、缩小、扩大、暂停、撤销认证以及再认证的过程;
b)认证依据的规范性要求;
c)申请、初次认证和保持认证资格所需费用的信息;
d)认证机构对拟接受审核的客户的要求:
1)遵守认证要求;
2)为实施审核做出所有必要的安排,包括在初次认证、监督、再认证和解决投诉时,为检查文件和接触所有过程与区域、记录及人员提供条件;
3)适用时,为接纳到场的观察员(如认可评审员或实习审核员)提供条件。
e)对获证客户根据8.4的要求在各类沟通中引用认证资格时的权利和责任(包括要求)予以说明的文件;
f)投诉和申诉处理程序的信息。
8.6.2认证机构的变更通知
认证机构应以适当方式将其认证要求的任何变更通知获证客户。
认证机构应验证每个获证客户符合新的要求。
11注:
为确保实施这些要求,认证机构可能需要与获证客户在合同中做出安排。
有关认证资格使用许可协议的范本,包括变更通知的相关方面,见ISO/IEC指南28:
2004附录E的适用内容。
8.6.3客户的变更通知
认证机构应做出在法律上具有强制实施力的安排,以确保获证客户即时将可能影响管理体系持续满足认证标准要求的能力的事宜通知认证机构,包括(但不限于)与下列方面有关的变更:
a)法律地位、经营状况、组织状态或所有权;
b)组织和管理层(如关键的管理、决策或技术人员);
c)联系地址和场所;
d)获证管理体系覆盖的运作范围;
e)管理体系和过程的重大变更。
12注:
有关认证资格使用许可协议的范本,包括变更通知的相关方面,见ISO/IEC指南28:
2004附录E的适用内容。
9过程要求
9.1通用要求
9.1.1审核方案
9.1.1.1应制定整个认证周期的审核方案,以清晰地确定证实客户的管理体系满足依据所选标准或其他规范性文件的认证的要求所需的审核活动。
9.1.1.2审核方案应包括两阶段初次审核、第一年与第二年的监督审核和第三年在认证到期前进行的再认证审核。
三年的认证周期从初次认证或再认证决定算起。
审核方案的确定和任何后续调整应考虑客户组织的规模,其管理体系、产品和过程的范围与复杂程度,以及经过证实的管理体系有效性水平和以前审核的结果。
注1:
附录E提供了一个典型的第三方审核与认证过程的流程图。
注2:
附录F列举了建立或修改审核方案时可能需要考虑的附加因素。
9.1.1.3如果认证机构考虑客户已获的认证或接受的其他审核,则应收集充足的、可验证的信息,以证明对审核方案的任何调整的合理性,并予以记录。
9.1.2审核计划
9.1.2.1总则
认证机构应确保为审核方案中确定的每次审核编制审核计划,以便为有关各方就审核活动的日程安排和实施达成一致提供依据。
审核计划应基于认证机构的文件要求。
9.1.2.2确定审核目标、范围和准则
9.1.2.2.1审核目标应由认证机构确定。
审核范围和准则,包括任何更改,应由认证机构在与客户商讨后确定。
9.1.2.2.2审核目标应说明审核要完成什么,并应包括下列内容:
a)确定客户管理体系或其部分与审核准则的符合性;
b)评价管理体系确保客户组织满足适用的法律、法规及合同要求的能力;
注:
管理体系认证审核不是合规性审核。
c)评价管理体系确保客户组织持续实现其规定目标的有效性;
d)适用时,识别管理体系的潜在改进区域。
9.1.2.2.3审核范围应说明审核的区域和边界,例如拟审核的实际场所、组织单元、活动及过程。
当初次认证或再认证过程包含一次以上审核(例如覆盖不同场所的审核)时,单次审核的范围可能并不覆盖整个认证范围,但所有审核的整体应与认证文件中的范围一致。
注:
附录F列举了在确定或修改审核范围时可以考虑的附加因素。
升级会员 