认证机构概述

认证机构的特征与运作

认证机构是指运作认证方案的第三方合格评定机构，从事对产品、服务、过程、管理体系或人员符合规定要求的评价工作。“认证方案”如前一节所述,指与适用相同规定要求、具体规则与程序的特定认证对象相关的认证制度，“第三方”指两个相互联系的主体之外的某个客体，认证机构独立于被认证方,也独立于被认证方的利益相关方,它的“第三方”属性决定了认证结果的公正性及公信力，是其重要特征。第三方认证机构在认证制度的框架下建立和运作认证方案,开展一系列认证活动，以其对认证对象规范地、适宜地评价、确认、复核和证明, 传递市场信任，服务经济发展。

认证认可是重要的国家基础制度,是规范市场经济、服务市场监管的重要手段。认证机构是实施认证活动的主体,建设认证强国,必须建设-定数量的、有扎实能力基础规范运作、提供良好服务的认证机构。作为一个法律实体,认证机构可能获得了实施特定认证业务的法定授权,开展诸如强制性产品认证;也可能没有特殊授权,在依法依规设立后开展自愿性认证。截至 2017年底,我国认证机构总数为 402 家,认证机构累计颁发各类有效认证证书 175.34 万张,涉及各类获证组织 58.76 万家。其中,强制性产品认证证书 60.14 万张，自愿性认证证书 115.20 万张。在自愿性认证中,管理体系认证证书 85.49 万张，服务认证证书 5067 张，自愿性产品认证证书 29.20 万张。认证机构的工作成果,为我国中国特色市场经济的发展,为经济建设取得辉煌成就做出了应有的贡献。

认证机构的分类

依据认证机构开展的认证业务类型,可以把认证机构分为产品认证机构、管理体系认证机构、服务认证机构、特种职业人员注册或认证机构。目前我国的认证机构中,一些发展历史长、具有较强技术基础和认证服务能力的认证机构能够同时提供产品认证、管理体系认证、服务认证等业务。这些综合性认证机构可以为认证客户提供多种选择的认证服务，能够很便利地实现--个认证方案的运作,为同--个认证客户提供多种类型的认证服务,颁发多张不同类型的认证证书。只有单一类型认证业务的认证机构,特别是那些有行业特色的产品认证机构、服务认证机构，其认证服务有更强的专业性、有更专注的认证管理,也是认证机构转型升级、提升服务能力的发展方向。

认证机构的管理原则

认证的总体目标是使所有相关方相信认证对象满足规定要求,认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度。认证机构应致力于建立信任,遵循公正性、能力、责任、公开性、保密性、对投诉的回应和基于风险的方法等管理原则,建立和运行-一个确保其自身运作公正性、能力和认证有效性的管理体系,从组织机构、资源保障、认证活动等方面作出规定并予实施。管理原则是认证机构的能力管理及运作绩效的指导和基础,特别在出现未预料到的情况时,这些原则应作为认证机构决策的指南。

公正性

公正,并被认为是公正的,是认证机构提供可信任的认证服务的必要条件,也是认证机构的基本价值观。认证机构的全体人员都必须牢牢树立这种意识。认证机构为被认证组织提供认证服务,这些客户支付的认证费用是认证机构的收入来源,这是一种对公正性的潜在威胁,认证机构应该有效地管理这种威胁。认证机构应该根据所获得的客观证据公正地作出认证决定,不应受其他利益或其他各方的影响。

对认证机构公正性的威胁可能包括:自身利益、自我评审、熟知(或信任)、倾向、胁迫、竞争等。

(1) 自身利益造成的威胁:如认证费用产生的公正性威胁就是一种自身利益的威胁。|认证费用是认证机构支持自身认证业务活动所必需的,但认证机构不能仅仅以盈利为目的，以避免造成对公正性的影响。还有过分依赖服务合同或费用、担心失去客户、担心失业，以至于对合格评定活动的公正性带来不利影响,都属于自身利益的威胁。
(2) 自我评审造成的威胁:如认证机构从事合格评定活动，评价本机构提供的其他服务结果，例如认证自己咨询的组织，可能会关注强项，忽视弱项,会对公正性产生不利影响,这属于自我评审产生的公正性威胁。
(3) 熟知或信任造成的威胁:如过分熟悉,即由于认证机构或其人员对对方过分熟悉或信任以至于不去寻求符合性的证据。产品认证人员需掌握特定专业能力,而往往有资格的人员有限，因此在产品认证领域,这种风险更难控制。忠诚的老客户对认证机构来说是宝贵的财富,但与这些老客户的熟识，可能导致在评价活动中或主观判断、或回避不符合,其评价结果可能就会产生公正性偏差。
(4) 倾向造成的威胁:如认证机构或其人员行为支持或反对某公司，而这个公司同时又是认证客户,这种支持或反对可能会对认证过程和认证结果产生影响,进而对公正性产生不利影响。政府、上级管理机构以能否获得认证作为对被认证组织的重要考核,这种压力可能会使评价活动受到影响。对评价对象的偏差或不符合放弃准则，也会造成对公正性的威胁。
(5) 胁迫造成的威胁:认证机构或其人员因来自客户或其他利益相关方的风险或恐吓,可能妨碍其行为的公正性。
(6) 竞争造成的威胁:如客户与签约人员之间的竞争对公正性的影响。

能力

人力资源是认证机构最重要的资源，认证活动各职能人员的能力是认证提供信任的必要条件。认证活动各职能人员主要有两类:一是认证评价人员,对于产品认证是工厂检查员,对于管理体系认证是审核人员,对于服务认证是服务认证审查员;二是认证管理人员,如认证申请评审人员、认证(审核)方案管理人员、认证决定人员、专业能力评定人员等。这些人员能力管理是要通过认证机构的系统管理实现的,包括人员的评价、选择、初始能力评价、能力和绩效的持续评价、能力的保持提升等,其中关键是要为参与认证活动的人员进行能力管理，即建立能力准则,并按照准则对人员能力进行评价和管理。

责任

在以认证建立的关系中,获证组织和认证机构各有其责任,符合认证要求的责任在于获证组织,发布客观公正的认证结果的责任在于认证机构。

获证组织的责任是获得认证的产品、管理体系或服务要能始终一致地符合认证准则的要求。获证组织应通过人财物、基础设施、工作环境和信息等资源投入，通过系统的组织机构和管理制度,确保各项过程正常有效地运行,确保产品、服务和管理体系持续符合相关标准和法律法规、技术规范的要求,保持认证基础,保持与认证文件承载的信任一致。认证机构的责任则是通过一系列规范、系统的认证活动的实施，对足够的客观证据进行评价,并在此基础上作出客观、公正的认证决定。基于对这些证据的评审,如果符合性的证据充分,认证机构将作出批准授予认证的决定;如果符合性的证据不充分，则不批准认证，或作出不保持认证的决定。

公开性

公开性是认证信息获得或公布的一项原则。为获得对认证的信任，认证机构需要提供适当、及时的信息公开渠道,公布认证过程和获证组织的认证状态等适当信息。如在受理认证申请之前,认证机构应发布公开文件，公示相关信息。例如，某认证机构公开文件清单(至少包括):

认证机构简介;

公正性声明(承诺);

申请人/获证方的权利和义务; 认证业务范围;

X X 认证方案(或实施规则)/认证程序(若干); 认证资格的批准、保持、暂停、撤销和注销; 认证范围的扩大缩小、变更的规定;

认证证书和标志的使用规则; 申诉、投诉和争议程序;

认证工作量计算与认证收费。

认证决定后,认证机构要公开发布获证组织获得认证的授予、保持的信息。当存在认证范围扩大或缩小,认证更新、暂停恢复或撤销等情况时，也要公开发布这些信息。发布认证范围的扩大或缩小,认证的更新、暂停、恢复或者撤销等信息。认证机构也可向特定利益相关方提供其他的特定信息，如为回应投诉而做的评价及结论的非保密信息。

保密性

与认证机构签约的个人或组织为了承担认证活动，有要求时,他们应能获得认证机构持有的有关评价和(或)认证产品、服务和管理体系的任何信息,这是认证机构及相关人员的一项特权。认证机构应有对人员能力和认证活动的管理措施,对这项特权予以保护和限制，确保不透露认证活动所获取到的任何保密信息。所有组织和人员有权确保其提供的任何专有信息得到保护,除非法律有规定或适用的认证方案有要求。

对投诉和申诉的回应

有效处理投诉和申诉,是保护认证机构、客户以及认证结果采信方,避免产生错误、遗漏和不合理行为的重要手段。如果投诉和申诉得到了恰当的处理,对认证活动的信任就得到了保障。认证结果的采信方期望投诉和申述得到调查,对投诉和申述进行适当处理将维护对认证活动的信任。在调查表明投诉和申述有效时,认证机构应对投诉和申述进行适当的处理,并为解决投诉和申述做出积极努力。当调查表明投诉和申述是错误、疏忽或不合理行为时,认证机构也应对投诉和申述做出有效回应,以保护认证机构、获证组织和其他认证采信方。

基于风险的方法

认证机构应致力于提供有能力的、一致的和公正的认证，防止产生与此管理目标偏离的风险。认证机构的风险可能来自以下方面:

认证目的;

认证评定过程中的抽样;

实际存在的和被感知到的公正性; 法律法规符合性和责任;

被认证组织及其运行环境对认证结果的影响; 认证评价过程对被认证组织及其活动的影响; 认证人员的健康和安全;

利益相关方的认知;

获证组织做出的误导性声明; 认证证书和标志的使用。

例如，管理体系认证审核活动本身客观上存在的风险可能有:审核目的、审核过程中的抽样、审核对客户及其活动的影响、审核组的健康和安全、申请评审结果的偏差、审核组的专业能力评定或配置过程中存在的偏差、认证决定过程中的偏差、审核人员能力不足等带来的风险

认证机构的通用要求1.法律与合同事宜

认证机构应该是一个法律实体,或是一个法律实体内有明确界定的一部分组织单元，这种明确的法律地位使得认证机构能够对其所有的认证活动承担法律责任。政府性质的认证机构因其政府地位可以被视为法律实体。

认证机构应与每个被认证组织签订关于提供认证服务的具有法律效力的合同或者协议,认证合同或认证协议应考虑认证机构和被认证组织的责任和义务。如果认证机构有多个办公场所或被认证组织有多个场所,认证合同或协议应该覆盖认证范围内所有场所,或应具有同等法律效力覆盖所有场所的补充协议。-项认证协议可以由多个相互引用或以其他方式相互联系的协议来实现。

2. 公正性的管理:

公正性是合格评定活动的基本原则,认证机构对公正性负责,不允许商业、财务或其他压力损害公正性。具体的管理要求在认证机构的管理体系中都有明确规定并应严格执行。认证机构最高管理层要对认证活动的公正性做出承诺,表明理解公正性的重要性,并对利益冲突加以管理,确保认证活动的客观性。

认证机构持续地识别、分析、评估、处置、监视与认证活动引起的利益冲突相关的风险,并将其形成文件。当存在对公正性的威胁时,认证机构将采取措施,消除或最大限度减小对公正性的威胁。当存在不可接受的威胁时(如认证机构的全资子公司向其申请认证时) ,认证机构不能提供认证。认证机构的公正性风险可能来自于:对另一认证机构的质量管理体系进行认证; 提供或推荐认证有关的咨询及报价;向获证组织提供与认证有关的内部评定(审核);将认证评定活动外包给认证咨询机构;营销或报价与认证咨询机构的活动有联系;参与了对组织认证咨询的人员(包括管理人员)被用于针对该组织的认证活动。认证机构应采取措施,以应对其他人员、机构或组织的行为对其公正性产生的威胁。认证机构的公正性管理，可以采用公正性委员会的管理机制,也可以采用其他灵活的管理机制。不管采用哪种管理机制，认证机构公正性的威胁应该考虑所有权、法人治理结构、管理层人员、共享资源、财务、合同、培训、营销以及给介绍新客户的人销售佣金或其他好处等各个方面。最高管理层应审查任何残留风险并决定其是否处于可接受的水平。风险评估过程应包括识别适宜的利益相关方,并就影响公正性 (包括公开性和公众认知)的事宜向其征询意见。利益相关方可能包括:认证机构的人员和客户, 获证客户的顾客，行业协会代表,政府监管机构或其他政府部门的代表,或非政府组织(包括消费者组织)的代表。向适宜的利益相关方征询意见时应以均衡的、任-方不处于支配地位的方式进行。

3. 责任和财力

认证机构会对认证活动引发的风险进行评估,将对各个活动领域和运作地域的业务引发的责任作出安排,如购买与认证有关的保险或保有储备金。认证机构会评估其财务状况和收人来源, 并能够自我证明其公正性没有受到商业、财务和其他方面压力的损害。

4. 认证机构的结构

(1) 组织结构和最高管理层。认证机构有明确的文件对机构的组织结构、管理层、其他认证人员及各委员会的职责、责任和权力做出规定。认证机构的组织结构和管理方式应该能够维护认证活动的公正性。认证机构的最高管理层的主要职责有:政策的制定以及过程和程序的建立、政策、过程和程序实施的监督、确保公正性、财务监督、认证方案的开发、评定活动与认证的实施、对投诉的回应、认证决定、提供资源等。

(2) 运行控制。认证机构运作有一个复杂的系统来完成，可能存在分支办公室、合伙人、代理特许经营者等交付的认证活动。这些组织单元的法律地位、关系或地理位置可能不同,但都被覆盖在认证机构的管理系统中。在认证机构的风险管理中,需要充分考虑这些活动给认证机构的能力、一致性和公正性带来的风险,通过相关的管理制度、规则程序,对这些组织单元与认证有关的过程进行控制。

(二)认证机构资源1.认证人员

认证机构最重要的资源是认证人员，认证人员包括认证管理人员、认证评价人员。认证管理人员包括:认证申请评审人员、认证/审核方案管理人员、认证评定人员、认证人员专业能力评价人员、培训指导与管理人员、管理职能人员(管理层和行政人员)。认证评价人员包括评价人员(对产品认证而言是工厂检查员,对管理体系认证而言是审核员,对服务认证而言是审查员)和技术专家。这些人员的职责分别如下:

(1) 认证申请评审人员:核查认证申请及相关信息的充分性、准确性,并评审其个性化特征;确认认证机构满足认证要求的能力(人员能力、业务范围、时间等) ;解决认证机构与申请组织之间的理解差异,为建立审核方案提供输人。
(2) 认证/审核方案管理人员:基于申请评审过程的输出,制订认证/审核方案;对整个认证周期评价活动(产品检测、工厂检查、审核、监督、再认证)作出安排;组织评价活动的准备和实施,并在方案实施过程中根据变化和需要进行调整。
(3) 认证评定人员:对认证评价活动的结果进行复核,并作出认证授予或拒绝认证、扩大或缩小认证范围、暂停或恢复认证、撤销认证或更新认证的决定。
(4) 认证人员专业能力评价人员:在参与认证活动之前的初始能力评价或在人员履职的连续评价中,依据认证人员能力准则对认证人员的专业能力进行评价的人员。
(5) 培训指导与管理人员:在认证人员能力保持和提升活动(培训、技术研究、认证技术知识管理等)进行策划、指导和监督的管理人员。
(6) 管理职能人员(管理层和行政人员):认证机构管理层负有重要的职责,如管理体系建立与运行、公正性管理、财务监督、认证业务开拓、认证流程管理、对投诉和申述回应、认证决定、合同安排及资源提供等。行政人员负责管理层职责的执行和综合事务的管理。
(7) 认证评价人员(检查员、审核员、审查员):承担具体认证项目的评价工作,如产品认证的管理体系评审、管理体系认证的文件审核和现场审核、服务认证的现场评审和服务特性测评等。(8)认证规则制定人员：负责按照国家发布的认证制度和认证规则，针对认证机构特定的技术领域，开发的认证产品，为其制符合认证认可管理制度要求的认证规则的人员。

2.认证人员的能力管理

认证机构建立系统化人力资源管理,确保相关人员对其运作的认证业务和地域有适宜的知识与技能。为了实现这一目的，认证人员的能力管理着力在以下三方面:

(1) 能力准则的确定。认证机构要确定认证管理和认证人员的能力准则。应根据不同认证准则的要求,针对不同认证过程中的每项职能确定能力准则。该过程输出要求知识和技能的准则, 这些知识和技能是有效地实施认证及评价实现认证目标所必需的。
(2) 人员能力评价。认证机构授权有能力的管理人员,对照所确定的能力准则,对所有参与认证管理和实施认证评价及其他认证活动的人员进行初始能力评价,并在后续的使用过程中持续对他们的能力和绩效进行评价。通过人员能力的评价，认证机构能够保证在委派认证任务之前,识别出具有认证评价与认证过程不同职能所需的能力的人员,从而保证认证过程的能力。认证评价人员的初始能力评价包括在实际评价活动中应用所需知识与技能的本领的证实,后续的人员能力持续评价中需进--步确认这些能力的表现。现场对认证人员进行见证评价是重要的方法,并结合其他如评价报告复核及被认证组织或市场反馈等方法- -并进行。
(3) 参与认证活动的人员的管理。认证机构必须具备足够的、有能力的人员以对其各种类型与范围的认证方案以及其他认证工作进行管理和支持。认证机构聘用或有途径获得足够数量的认证评价人员,如产品认证工厂检查员、管理体系审核员、服务认证审查员，以完成所有认证活动并满足评价工作量的需要。认证机构的工作人员应该清楚自己的任务、责任和权力。认证机构建立管理制度来选择、培训、正式任用认证评价人员,选择并培养认证活动使用的技术专家。符合能力要求的认证人员是实现和证实有效评价的基础。其基础能力除了包括认证评价人员具备的通用能力外,还应该包括相关的专业能力。需要时,认证机构也可以聘请外部评价人员和技术专家承担认证任务。

对于人员能力的保持和提升方面的管理也是认证机构能力管理的重要一环，诸如在认证机构开展培训、认证技术研究、认证技术知识管理等活动。

认证机构的信息管理

1.公开信息

基于认证机构公开性原则，认证机构会以各种不同的形式，如网站、出版物、文件或其他方式在业务覆盖的地区主动公布认证相关信息，主要有:认证评价过程的安排;授予、拒绝、保持、更新、暂停、恢复或撤销认证,或扩大或缩小认证范围的过程;认证机构业务类型和认证方案;认证机构的名称和认证标志或徽标的使用;对索要信息的请求、投诉和申诉的处理过程; 公正性政策。

被动的信息公开是指在有请求时,认证机构能提供下列方面的信息:业务开展的地区;与信息提供请求相关的获证组织的认证状态(证书有效、失效、暂停等);获证组织的名称、相关的规范性文件、认证范围和地理位置(国家和城市)。

在特殊情况下,可以根据被认证组织请求(如出于安全原因)对某些信息的公开程度作出限制。认证机构向客户或市场提供的信息(包括广告)必须准确,而且不能使人产生误解。

2. 认证文件

认证机构的认证文件有特定的含义,--般指认证证书及证书附件等,认证机构可以由任何方式向获证组织提供认证文件,如书面形式、电子形式等。认证制度中的认证规则对认证文件的内容有着明确的要求,包括:获证组织的名称和地理位置(或多场所认证范围内总部和所有场所的地理位置);授予认证、扩大或缩小认证范围、更新认证的生效日期，生效日期不应早于相关认证决定的日期;认证有效期或与认证周期--致的应进行再认证的日期;唯--的识别代码; 认证获证客户时所用的法规、标准和(或)其他规范性文件，包括发布状态的标示(例如修订时间或编号);与活动、产品和服务类型等相关的认证范围，包括每个场所相应的认证范围，且没有误导或歧义;认证机构的名称、地址和认证标志;可以使用其他标识(如认可标识、客户的徽标),但不能产生误导或含混不清;认证用标准和(或)其他规范性文件所要求的任何其他信息;在颁发经过修改的认证文件时，区分新文件与任何已作废文件的方法等。

3. 认证资格的引用和标志的使用

认证制度对认证资格的引用和标志的使用都有明确的要求。机构对授权获证组织使用的认证标志应有管理规则。这些规则应确保可以从标志追溯到认证机构，标志或所附文字不应使人对认证对象和授予认证的认证机构产生歧义。产品认证、服务认证、管理体系认证因其认证对象及认证制度不同，标志使用要求也不同。如产品认证标志可以直接用于产品,而管理体系认证标志不能直接用于产品或能够直接到达客户的产品包装上。认证机构通过合同或协议等具有法律效力的规定,应对获证组织对证书标志的使用作出要求。要求获证组织:在传播媒介 (如互联网、宣传册或广告)或其他文件中引用认证状态时,应符合认证机构的要求;不作出或不允许有关于其认证资格的误导性说明;不以或不允许以误导性方式使用认证文件或其任何部分;在其认证被撤销时,按照认证机构的指令立即停止使用所有引用认证资格的广告材料; 在认证范围被缩小时,修改所有的广告材料;不允许在引用其认证资格时,误导公众对认证类型的理解;不得暗示认证适用于认证范围以外的活动和场所;在使用认证资格时,不得使认证机构和(或)认证制度声誉受损从而失去公众信任。

4. 信息的保密

认证机构在管理中应严格遵循保密原则，与所有在认证活动中能够接触各类保密信息的人员 (包括代表其工作的委员会、内部或外部机构的人员)签订法律文件,对在各个层次从事认证活动时获得或产生的所有信息的管理负责。对于拟公开的信息，认证机构应提前告知客户。认证机构获取和评价的认证活动所有信息均视为保密信息，除非被认证组织自已公开相关信息。认证机构及工作人员对于特定获证客户或个人的信息,未经其书面同意,不得向第三方披露。当法律要求认证机构或者合同安排(例如与认可机构签订的)授权认证机构提供保密信息时, 除法律禁止外,认证机构应将拟提供的信息提前通知有关客户或个人。从其他来源(如投诉人、监管机构)获得的关于客户的信息应根据认证机构的政策按保密信息处理。认证机构的人员, 包括代表认证机构工作的任何委员会成员、合同方、外部机构人员或个人,除法律有要求外, 对从事认证机构的活动时获得或产生的所有信息予以保密。

5. 认证机构与认证组织间的信息交换

认证机构应与认证组织就认证过程和要求的相关信息建立良好的沟通机制。认证机构向组织提供并为其更新以下信息:对认证活动整个过程的详细说明,包括申请、初次认证、监督和授予、拒绝、保持认证、扩大或缩小认证范围,更新、暂停、恢复、撤销认证的过程;认证依据的规范性要求;申请、初次认证和保持认证资格所需费用的信息;认证机构在遵守认证要求、配合认证过程实施时对客户的要求;获证组织引用认证资格时的权利和责任(包括要求)予以说明的文件;投诉和申诉处理过程的信息。

在认证制度的规则程序和管理要求发生变更时,在认证依据发生变更时,认证机构将以适当方式通知获证组织,并安排特定的认证活动验证每个获证组织是否符合新的要求。按照认证制度要求，当获证客户的认证对象及基础状况发生重大变化时,如法律地位和经营状况变化，组织状态或所有权变化，组织和管理层(如关键的管理、决策或技术人员)变化,地址和场所变化，认证证书覆盖的运作范围变化,产品、管理体系和过程的重大变更等,获证组织也应通知认证机构,认证机构应采取适当的行动和措施,如实施非例行监督，以确认是否能够保持认证基础。这些重要的沟通要求,应在认证机构和获证组织签订的认证合同和认证协议中进行约定。

认证机构的业务过程管理

认证机构的业务过程管理即运用合格评定技术,在认证制度的框架下运作认证方案的过程,其内容已在第二节中详述。

认证机构的认证业务流程一般如下:认证申请→申请评审→认证方案→评定准备→评定实施

→评定结果复核→认证决定→认证许可。产品认证、管理体系认证、服务认证的认证流程在过程细节上存在不同,过程要求也各有特点,但总体的管理思路基本--致,都应该按照明确的认证制度要求,制定并实施认证程序和工作规则;也都应该制订详细的认证方案,并按照 PDCA 过程方法的管理思路运作认证方案,以控制认证质量,确保认证有效性。

认证机构的通用管理

认证机构应建立、实施和保持一个文件化的、能够规范运作认证过程的管理体系。除了本节二、三部分描述的管理活动外,还有一些通用的管理活动，以支撑和改进认证机构的能力管理和业务管理。

1. 管理职责

认证机构最高管理层为认证机构的活动制定方针和目标，并形成文件。认证机构的管理方针应体现认证机构的战略方向和经营理念,符合认证活动的关键特性和价值体现，包含客观.公正、规范、服务的内涵。认证机构的管理者会通过各种形式向在认证活动中承担职责的人员传达管理方针的内涵,确保认证机构的政策和管理制度在组织的各个层次上得到理解、执行, 规范、科学地运作认证过程。认证机构的管理目标是在管理方针的框架下制定的,体现机构具体的工作目标,如认证客户的满意度,认证受理评审优良率、现场审核质量优良率、产品检测报告差错率、认可评审不合格率等。良好的工作目标管理，能够推动认证机构的各项活动提高质量,防止认证风险的发生，为认证客户提供良好服务。

2. 文件化信息的管理.

认证机构与认证的有关的管理系统是以文件化为基础的。通常情况下,认证机构编制管理手册及管理程序、工作规范、工作标准及各类认证技术规则等。管理手册表明认证机构管理框架和总体信息,内容包括管理方针、管理目标、组织机构及管理职责,也包括认证资源、认证信息管理、认证流程管理总体要求。其他文件为工作程序、技术要求等操作性文件,将指导认证机构工作人员规范地开展各项认证活动。

认证机构对管理文件进行系统管理,包括;文件的审核批准,文件的评审、更新及修订状态管理;文件的使用;文件的作废管理;外来文件管理等。在认证活动中产生的大量信息需要保存下来,应形成记录，为认证的证明作用提供支撑。认证机构的记录管理主要涉及识别、贮存、保护、检索和处置与保存等。认证机构的认证档案管理是一项重要的工作，认证资料的保存往往涉及与获证组织的合同、相关法律责任、保密性要求等。

3. 改进机制

认证机构内部设有三层次改进机制,日常工作质量监督、内部审核、管理评审评估自身管理, 运用纠正措施流程管理,不断进步。日常管理改进的机会主要来自机构自身设立的例行检查制度,可能有对认证流程工作质量的检查、对认证档案的复核、对客户的回访、对管理目标的考核等;有一些日常管理改进的机会是被动的，比如客户投诉和抱怨、外部监管出现的问题、获证组织产品质量或管理绩效出现问题等。内审和管理评审是认证机构必须建立的内部评价及改进制度,全面评定认证机构自身管理系统的符合性、适宜性、充分性和有效性。认证机构应恪守规范,不断提升服务能力,不断改善服务增添动力。

认证机构业务类型

管理体系认证:质量管理体系(QMS) ,环境管理体系(EMS)，职业健康安全管理体系(OHSMS)，食品安全管理体系(FSMS) ,信息安全管理体系(ISMS) ,信息技术服务管理体系(ITSMS) ,能源管理体系(EnMS) ;

产品认证:03 加工食品、饮料和烟草,04 纺织品、服装和皮革制品,12 电子设备及零部件; 服务认证:保养和修理服务,批发业和零售业服务,卫生保健和社会福利;

过程认证:有机产品认证(养殖、种植、加工)，良好农业操作规范(GAP),食品危害分析与关键控制点(HACCP)等;

人员认证:CCAA 的审核员能力评价。

4.8 基于风险的方法

认证机构需要考虑与提供有能力的、- -致的和公正的认证相关的风险。风险可能与下列方面有关(包括但不限于):

审核目的;

审核过程中的抽样;

真正的和被感知到的公正性; 法律法规问题和责任问题;

所审核的客户组织及其运行环境; 审核对客户及其活动的影响;

审核组的健康和安全; 利益相关方的认知;

获证客户做出的误导性声明; 标志的使用。

认证过程风险识别（针对多场所的客户，有可能发生的风险）

1 申请方/受审核方提供的信息不真实或不完整(如体系内人数与实际不符、多场所清单不真实或不完整等),造成审核方案策划不完整
2 抽样与时间安排不满足多场所审核要求，导致不能充分地进行多场所审核
3 审核方案不充分,导致后续的审核人员安排和审核安排失误(现场审核日程安排与抽样不符合要求或实际审核人天不足,特别是对集团公司、子公司、分公司或关联单位认证时)
4 审核策划未覆盖彼此业务互不相干,产品结构属无关产品型,在经营上有较大独立性的下属场所
5 不能证明多场所审核抽样满足要求，或抽样不满足规定要求
6 实施抽样的场所,未证实或没有证据证明其按照相似的方法和程序进行了运作 3.未对明显相互关联的过程进行审核,未能获取覆盖组织实施的每个过程的实施情况的证据;抽样审核未包括组织实施的每个过程充分的样本
7 未证实组织有能力从所有场所(包括中心办公室)获取信息并进行分析,并未证实其有权并有能力在必要时实施组织变更
8 对关键过程、产品种类、重要关键区城无审核证据,或重大环境因素或重大危险源未识别或未实施审核;对重要法律法规未识别或未实施审核的情况，导致无法作出认证决定或对体系作出正确评价;
9 彼此业务互不相干,产品结构属无关产品型,在经营上有较大独立性的下属场所的审核证据不充分
10 未能针对多场所组织的管理体系的运行情况进行充分描述
11 未评价多场所组织已按照审核所依据的相关管理体系标准建立了管理体系,且整个组织满足该标准的要求。并证实应考虑相关法律法规的要求
12 未按照多场所审核要求进行多场所审核，颁发的认证文件覆盖组织的每个或部分场所

认证过程风险识别（审核方案实施和评审中可有可能发生的风险）：

1 审核策划薄弱。
2 审核前绩效评效薄弱。
3 企业的组织机构变化没有及时核实。
4 现场巡视安排不合理，到达现场时生产或服务已经停止。
5 现场的测量效绩不充分使用。
6 审核时对企业内审的审核不足。
7 管理评审的改进项没有充分利用。
8 现场审核能力不足。
9 缺乏合理抽样。
10 现场审核的信息不充分利。
11 过程绩效没有充分评诂。
12 技术准备不充分。
13 顾客要求关注的不系统。
14 问题解决和改进方案的审核能力薄弱。
15 审核深度不足。
16 设计开发过程审核存在问题。
17 审核记录没有体现审核思路

喵呜刷题：让学习像火箭一样快速，快来微信扫码，体验免费刷题服务，开启你的学习加速器！

（认证通用基础）认证机构相关总结

对认证机构公正性的威胁可能包括:自身利益、自我评审、熟知(或信任)、倾向、胁迫、竞争等。

在以认证建立的关系中,获证组织和认证机构各有其责任,符合认证要求的责任在于获证组织,发布客观公正的认证结果的责任在于认证机构。

对于人员能力的保持和提升方面的管理也是认证机构能力管理的重要一环，诸如在认证机构开展培训、认证技术研究、认证技术知识管理等活动。

被动的信息公开是指在有请求时,认证机构能提供下列方面的信息:业务开展的地区;与信息提供请求相关的获证组织的认证状态(证书有效、失效、暂停等);获证组织的名称、相关的规范性文件、认证范围和地理位置(国家和城市)。

认证机构业务类型

审核目的;

真正的和被感知到的公正性; 法律法规问题和责任问题;

审核组的健康和安全; 利益相关方的认知;

认证过程风险识别（针对多场所的客户，有可能发生的风险）

认证过程风险识别（审核方案实施和评审中可有可能发生的风险）：

最热门资讯

JAVA工程师面试指导--猎头内部资料

常见面试问题100问！

（认证通用基础）认证机构相关总结

对认证机构公正性的威胁可能包括:自身利益、自我评审、熟知(或信任)、倾向、胁迫、竞争等。

在以认证建立的关系中,获证组织和认证机构各有其责任,符合认证要求的责任在于获证组 织,发布客观公正的认证结果的责任在于认证机构。

对于人员能力的保持和提升方面的管理也是认证机构能力管理的重要一环，诸如在认证机构开展培训、认证技术研究、认证技术知识管理等活动。

认证机构业务类型

审核目的;

真正的和被感知到的公正性; 法律法规问题和责任问题;

审核组的健康和安全; 利益相关方的认知;

认证过程风险识别（针对多场所的客户，有可能发生的风险）

认证过程风险识别（审核方案实施和评审中可有可能发生的风险）：

最热门资讯

JAVA工程师面试指导--猎头内部资料

常见面试问题100问！

在以认证建立的关系中,获证组织和认证机构各有其责任,符合认证要求的责任在于获证组织,发布客观公正的认证结果的责任在于认证机构。