cnas於2023年7月15日正式發布了cnas-cc01:2015《管理體系認證機構要求》,並於2023年8月24-25日在北京舉辦了新版cc01為主,兼顧「大類管理能力的理解」、「多場所認證機構認可評審方式調整」、「認可流程相關要求的變化與調整」的專項培訓。經過自學和接受培訓,現總結新版cc01的主要變化如下:
1、關於再認證審核及發證要求(8.3.3b)、9.1.3.2、9.6.3.2.3-5)
這方面要求有些放鬆。原來要求在證書有效期內完成再認證所有要求,否則按照初次認證實施。按照新版cc01要求,再認證時,如果上一輪證書到期前未完成全部的再認證活動,則可繼續實施,但應在六個月內完成,完成後可仍按再認證發證。
如果六個月內仍不能完成,則本次審核作為一階段,需要增加二階段審核,才能發證。
關於證書有效期,分以下三種情況:
(1)未到期完成再認證
這種情況下,證書有效期的起始日為認證決定通過日期,結束日為上一輪證書有效期結束日往後推三年。也就是說,這種情況下,證書有效期可以超過三年。
(2)到期後六個月內完成再認證
這種情況下,證書有效期的起始日為認證決定通過日期,結束日為上一輪證書有效期結束日往後推三年。也就是說,這種情況下,證書有效期少於三年。但需要「把上一認證週期截止時間連同再認證審核的時間一起標示。
」(3)過期六個月後完成認證
這種情況下,補充二階段審核後,按照初次認證發證,證書有效期的起始日為認證決定通過日期,證書有效期為三年。
2、關於監督審核(9.1.3.3)
(1)初次認證後第一次監督
原來要求「初次認證後的第一次監督審核應在第二階段審核最後一天起12個月內進行。」
新版cc01要求「初次認證後的第一次監督審核應在認證決定日期起12個月內進行。」
要求有些放鬆
(2)其他監督
原來要求「監督審核應至少每年進行一次。」
新版cc01要求「監督審核應至少每個日曆年進行一次。」
二者意思一樣,後者意思更明確。
3、增加「執行控制」(6.2)和「基於風險的方法」(4.8)
在新版cc01中增加了「6.2執行控制」,只是原則性要求,主要指採用基於風險的方法,通過執行控制降低風險。
在第4章原則中增加了「4.8基於風險的方法」
4、關於第10章的變化
(1)刪去 「預防措施」(原10.3.8)
認為 「預防措施」屬於風險管理範疇。
(2)方式一與方式二交換
(3)不提管理者代表
(4)管理評審輸入增加「風險應對措施的狀況」,輸出中增加「組織的方針、政策和目標的修訂」
5、公正性管理(5.2)
新版cc01不再要求有維護公正性委員會,但需要有措施能夠保證收集到各方面的公正性意見,並且保證利益平衡。即公正性委員會是一種推薦的方式。
5.2.3條款要求,檔案化的風險分析報告應包括利益衝突、如何消除或最大程度減少殘留風險,最高管理層負責「審查任何殘留風險並決定其是否處於可接受的水平」。
6、明確了「增值服務」和「諮詢」的區別(3.3)
諮詢:參與建立、實施或保持管理體系
示例1:籌畫或編制手冊或程式。
示例2:對管理體系的建立和實施提供具體的建議、指導或解決方案。注1:
如果與管理體系和審核有關的培訓課程僅限於提供通用資訊,那麼組織培訓並作為培訓者參與培訓不被視為諮詢,即培訓者不宜針對特定的客戶提出解決方案。
新版cc01的3.3中增加了注2:為過程或體系的改進提供通用資訊,而不是針對特定客戶的解決方案,不被視為諮詢。
此類通用資訊可以包括:
- 解釋認證準則的含義和意圖;
- 識別改進機會;
- 解釋相關的理論、方法學、技巧或工具;
- 分享關於相關良好實踐的非保密資訊;
- 所審核的管理體系未覆蓋的其他管理問題。
新版cc01的導向是鼓勵「增值服務」,除非直接替客戶建立、執行管理體系,否則可不被認為諮詢。也即是說,進行技術支援是允許的。
7、增加了一些術語
如不符合、嚴重不符合、輕微不符合、技術專家、認證方案、審核時間、認證審核時間等。其中大部分與以前的認識是一致的,只是審核時間是指總審核時間,包括策劃、實施審核、編寫報告等時間;管理體系認證審核時間是指我們以前所說的現場審核時間。
8、關於公開資訊
(1)不提獲證客戶目錄的公開,在8.1.2c)中提出有請求時提供「特定獲證客戶的名稱、相關的規範性檔案、認證範圍和地理位置(國家和城市)」,目前的查詢可滿足此要求。
(2)8.1.1中更加明確了主動公開的資訊型別
(3)8.1.3中明確要求「認證機構向客戶或市場提供的資訊(包括廣告)應準確且不使人產生誤解」
9、新增一些具體要求
新增9.1.3.5:「如果客戶採用輪班作業,應在建立審核方案和編制審核計畫時考慮在輪班工作中發生的活動」
(1)7.2.10(原7.
2.11)中增加「認證機構應在監視每個審核員時考慮該審核員被認為有能力的每個管理體系型別」,要求現場見證應涵蓋其所有資格,即多體系審核員應見證每個體系能力。
(2)7.5.4中增加的注強調了聘用兼職人員不屬於外包
新增8.3.3中對獲證客戶在包裝上如何表明獲證提出明確要求,機構要有管理規則,同時明確了包裝的含義。
(3)9.1.3.2的注2中明確了「在確定審核範圍和編制審核計畫時」可能需要考慮的事項
(4)將9.1.4.
1中要求「認證機構應記錄所確定的時間及其合理性」,單獨列為9.1.4.
3「認證機構應記錄管理體系審核的時間及其合理性」,強化了記錄的重要性,基本要求未變。
(5)9.1.5中增加注:「當多場所不是覆蓋相同的活動時,抽樣是不適宜的」,基本要求未變,強化了抽樣使用的條件。
(6)將原9.4.1.4的內容單獨列為9.1.6「多管理體系」要求
(7)增加了9.2.2.2.2 「技術專家」,對技術專家提出了更加明確的要求。
(8)9.2.2.2.3 嚮導中新增注2「適宜時,受審核方也可以擔任嚮導」,放寬了要求,嚮導可以接受審核。
(9)9.2.3.1(原9.1.2.1)中新增「注:不期望認證機構在建立審核方案時,為每次審核都編制審核計畫」,進一步說明一階段可以不編制審核計畫。
(10)新增9.3.1.2.1 「策劃應確保第一階段的目的能夠實現,應告知第一階段需實施的任何現場活動。 注:第一階段不要求正式的審核計畫」
(11)9.3.1.2.2第一階段的目的中d) 收集關於客戶的管理體系範圍的必要資訊,更加明確了資訊的範圍。
(12)9.3.1.
2.3中新增「注:第一階段的輸出不必滿足審核報告的所有要求」,表明可以不要一階段報告,只有問題清單是可以的,也不必有文審報告,因為可以認為文審是一階段的一部分。
(13)9.3.1.
2.4中增加「如果發生任何將影響管理體系的重要變更,認證機構應考慮是否有必要重複整個或部分第一階段。認證機構應告知客戶第一階段的結果有可能導致推遲或取消第二階段」
(14)9.4.1(原9.
1.9.1)中增加「當審核的任何部分以電子手段實施時,或擬審核的場所為虛擬場所時,認證機構應確保由具備適宜能力的人員實施此類活動。
在此類審核活動中獲取的證據應足以讓審核員對相關要求的符合性做出有根據的決定」,更加明確了電子化審核的要求
(15)9.4.8.
2(原9.1.10.
2)中增加了審核報告的一般內容要求,有10小條增為18條,細化了要求,同時新增9.4.8.
3中強調了「審核報告還應包含的內容」
(16)9.4.10「糾正和糾正措施的有效性」中增加「驗證活動通常由審核組成員完成」的要求
(17)新增9.5.1.2條款對認證決定人員身份做了更加明確的要求,並說明了什麼是組織控制
(18)新增9.5.1.3條款,要求使用組織控制下的實體人員應與組織人員有同樣的要求
(19)新增9.5.1.4「認證機構應記錄每項認證決定,包括從審核組或其他**獲得的任何補充資訊或澄清」
(20)新增9.5.3.
2 「如果認證機構不能在第二階段結束後6個月內驗證對嚴重不符合實施的糾正和糾正措施,則應在推薦認證前再實施一次第二階段」。這不是新要求,以前一般也是這麼做的。
(21)新增9.5.3.3「當認證從乙個認證機構轉換到另乙個認證機構時,接受認證機構應有過程獲取充分的資訊以做出認證決定」。這不是新要求,cc12有更加具體的要求。
(22)9.6.5.
4(原9.6.4)中增加「如果造成暫停的問題已解決,認證機構應恢復被暫停的認證」。
加上原有的「如果客戶未能在認證機構規定的時限內解決造成暫停的問題,認證機構應撤銷或縮小其認證範圍」,說明暫停後的結果只能是「恢復」或「撤銷(或縮小)」,不能再暫停一次。
(23)新增9.8.1「認證機構應對投訴處理過程各層級的決定負責」。和9.8.2 「投訴的提交、調查和決定不應造成針對投訴人的任何歧視行為」
(24)9.9.2「獲證客戶記錄應包括以下內容」中增加「k) 審核方案」
10、刪除了一些重複的或太籠統的要求
(1)術語「技術領域」中刪去不同型別管理體系中的應用例項;
(2)刪去7.1.4.1「…能力要求…還應考慮管理層和行政人員所承擔的職能」
(3)7.1.3中增加「在認證機構內,人員為其活動績效承擔責任前,能力應得到證實」,刪去了7.2.7「認證機構應僅使用審核員和技術專家從事已證實他們具備能力的那些認證活動」
(4)8.2.2「認證檔案的生效日期不應早於相關認證決定的日期」放入新的8.2.2(原8.2.3)b)中
(5)9.2.2.1.2(原9.1.3.2)中「決定審核組的規模和組成時,應考慮下列因素」中刪去了「f) 審核組成員以前是否審核過該客戶的管理體系」
(6)9.3.1.
3(原9.2.3.
2)第二階段審核中,刪去了「g) 規範性要求、方針、績效目標和指標(與適用的管理體系標準或其他規範性檔案的期望一致)、適用的法律要求、職責、人員能力、運作、程式、績效資料和內部審核發現及結論之間的聯絡」
(7)刪去「9.1.13補充審核」,內容併入9.4.10(原9.1.12)
(8)刪去9.2.2.5條款,其內容併入9.5.1.1中,增加「被指定進行認證決定的人員應具有適宜能力」要求
(9)刪去9.6.6和9.6.7條款,這些要求體現在其他地方。
(10)刪去9.7.2.和9.8.1條款,申訴處理和投訴處理過程要求已在公開資訊中體現。