9.2 初次审核与认证
9.2.1申请
认证机构应要求申请组织的授权代表提供必要的信息,以便认证机构确定:
a) 申请认证的范围;
b) 申请组织的一般特征,包括其名称、物理场所的地址、过程和运作的重要方面以及任
何相关的法律义务;
c) 申请组织与申请认证的领域相关的一般信息,包括其活动,人力与技术资源,以及适用时,其在一个较大实体中的职能和关系;
d) 申请组织采用的所有影响符合性的外包过程的信息;
e) 申请组织寻求认证的标准或其他要求;
f) 接受与管理体系有关的咨询的情况。
9.2.2申请评审
9.2.2.1 在实施审核前,认证机构应对认证申请及补充信息进行评审,以确保:
a) 关于申请组织及其管理体系的信息充分,可以进行审核;
b) 认证要求已有明确说明并形成文件,且已提供给申请组织;
c) 解决了认证机构与申请组织之间任何已知的理解差异;
d) 认证机构有能力并能够实施认证活动;
e) 考虑了申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证活动的因素(语言、安全条件、对公正性的威胁等);
f) 保持了决定实施审核的理由的记录。
9.2.2.2 根据上述评审,认证机构应确定审核组及进行认证决定需要具备的能力。
9.2.2.3 认证机构应任命审核组。组成审核组的所有审核员(必要时,还有技术专家)作为一个整体应具备认证机构按9.2.2.2 确定的对申请组织实施认证的能力。认证机构应根据审核员和技术专家具备的能力(如7.2.5所述)来选择审核组,并可以使用内部和外部的人力资源。
9.2.2.4 认证机构应指定将进行认证决定的人员,以确保具有实施认证决定的适宜能力(见7.2.9 和9.2.2.2)。
9.2.3初次认证审核
管理体系的初次认证审核应分两个阶段实施:第一阶段和第二阶段。
9.2.3.1 第一阶段审核
9.2.3.1.1 第一阶段审核应:
a) 审核客户的管理体系文件;
b) 评价客户的运作场所和现场的具体情况,并与客户的人员进行讨论,以确定第二阶段审核的准备情况;
c) 审查客户理解和实施标准要求的情况,特别是对管理体系的关键绩效或重要的因素、过程、目标和运作的识别情况;
d) 收集关于客户的管理体系范围、过程和场所的必要信息,以及相关的法律法规要求和遵守情况(如客户运作中的质量、环境、法律因素,相关的风险等);
e) 审查第二阶段审核所需资源的配置情况,并与客户商定第二阶段审核的细节;
f) 结合可能的重要因素充分了解客户的管理体系和现场运作,以便为策划第二阶段审核提供关注点;
g) 评价客户是否策划和实施了内部审核与管理评审,以及管理体系的实施程度能否证明客户已为第二阶段审核做好准备。为实现上述目标,对于大多数管理体系而言,建议至少部分第一阶段审核活动在客户的场所进行。
9.2.3.1.2 认证机构应将第一阶段审核发现形成文件并告知客户,包括识别任何引起关注的、在第二阶段审核中可能被判定为不符合的问题。
9.2.3.1.3 认证机构在确定第一阶段审核和第二阶段审核的间隔时间时,应考虑客户解决第一阶段审核中识别的任何需关注问题所需的时间。认证机构也可能需要调整第二阶段审核的安排。
9.2.3.2 第二阶段审核
第二阶段审核的目的是评价客户管理体系的实施情况,包括有效性。第二阶段审核应在客户的现场进行,并至少覆盖以下方面:
a) 与适用的管理体系标准或其他规范性文件的所有要求的符合情况及证据;
b) 依据关键绩效目标和指标(与适用的管理体系标准或其他规范性文件的期望一致),对绩效进行的监视、测量、报告和评审;
c) 客户的管理体系和绩效中与遵守法律有关的方面;
d) 客户过程的运作控制;
e) 内部审核和管理评审;
f) 针对客户方针的管理职责;
g) 规范性要求、方针、绩效目标和指标(与适用的管理体系标准或其他规范性文件的期望一致)、适用的法律要求、职责、人员能力、运作、程序、绩效数据和内部审核发现及结论之间的联系;
9.2.4初次认证的审核结论
审核组应对在第一阶段和第二阶段审核中收集的所有信息和证据进行分析,以评审审核发现并就审核结论达成一致。
9.2.5授予初次认证所需的信息
9.2.5.1 为使认证机构做出认证决定,审核组至少应向认证机构提供以下信息:
a) 审核报告;
b) 对不符合的意见,适用时,还包括对客户采取的纠正和纠正措施的意见;
c) 对提供给认证机构用于申请评审(见9.2.2)的信息的确认;
d) 对是否授予认证的推荐性意见及附带的任何条件或评论。
9.2.5.2 认证机构应在评价审核发现和结论及任何其他相关信息(如公共信息、客户对审核报告的意见)的基础上做出认证决定。
9.3 监督活动
9.3.1总则
9.3.1.1 认证机构应对其监督活动进行设计,以便定期对管理体系范围内有代表性的区域和职能进行监视,并应考虑获证客户及其管理体系的变更情况。
9.3.1.2 监督活动应包括对获证客户管理体系满足认证标准规定要求的情况进行评价的现场审核。监督活动还可以包括:
a) 认证机构就认证的有关方面询问获证客户;
b) 审查获证客户对其运作的说明(如宣传材料、网页);
c) 要求获证客户提供文件和记录(纸质或电子介质);
d) 其他监视获证客户绩效的方法。
9.3.2监督审核
9.3.2.1 监督审核是现场审核,但不一定是对整个体系的审核,并应与其他监督活动一起策划,以使认证机构能对获证管理体系在认证周期内持续满足要求保持信任。监督审核方案至少应包括对以下方面的审查:
a) 内部审核和管理评审;
b) 对上次审核中确定的不符合采取的措施;
c) 投诉的处理;
d) 管理体系在实现获证客户目标方面的有效性;
e) 为持续改进而策划的活动的进展;
f) 持续的运作控制;
g) 任何变更;
h) 标志的使用和(或)任何其他对认证资格的引用。
9.3.2.2 监督审核应至少每年进行一次。初次认证后的第一次监督审核应在第二阶段审核最后一天起12 个月内进行。
9.3.3保持认证
认证机构应在证实获证客户持续满足管理体系标准要求后保持对其的认证。认证机构满足下列前提条件时,可以根据审核组长的肯定性结论保持对客户的认证,而无需对这一结论进行独立复核:
a) 对于任何可能导致暂停或撤消认证的不符合或其他情况,认证机构有制度要求审核组长向认证机构报告需由具备适宜能力(见7.2.9)且未实施该审核的人员进行复核,以确定能否保持认证;
b) 具备能力的认证机构人员对认证机构的监督活动进行监视,包括对审核员的报告活动进行监视,以确认认证活动在有效地运作。
9.4 再认证
9.4.1再认证审核的策划
9.4.1.1 认证机构应策划和实施再认证审核,以评价获证客户是否持续满足相关管理体系标准或其他规范性文件的所有要求。再认证审核的目的是确认管理体系作为一个整体的持续符合性与有效
性,以及与认证范围的持续相关性和适宜性。
9.4.1.2 再认证审核应考虑管理体系在认证周期内的绩效,包括调阅以前的监督审核报告。
9.4.1.3 当管理体系、获证组织或管理体系的运作环境(如法律的变更)有重大变更时,再认证审核活动可能需要有第一阶段审核。
9.4.1.4 对于多场所认证或依据多个管理体系标准进行的认证,再认证审核的策划应确保现场审核具有足够的覆盖范围,以提供对认证的信任。
9.4.2再认证审核
9.4.2.1 再认证审核应包括针对下列方面的现场审核:
a) 结合内部和外部变更来看的整个管理体系的有效性,以及认证范围的持续相关性和适宜性;
b) 经证实的对保持管理体系有效性并改进管理体系,以提高整体绩效的承诺;
c) 获证管理体系的运行是否促进了组织方针和目标的实现。
9.4.2.2 在再认证审核中发现不符合或缺少符合性的证据时,认证机构应规定在认证终止前实施纠正与纠正措施的时限。
9.4.3授予再认证所需的信息
认证机构应根据再认证审核的结果,以及认证周期内的体系评价结果和认证使用方的投诉,做出是否更新认证的决定。
9.5 特殊审核
9.5.1扩大认证范围
对于已授予的认证,认证机构应对扩大认证范围的申请进行评审,并确定任何必要的审核活动,以做出是否可予扩大的决定。这类审核活动可以和监督审核同时进行。
9.5.2提前较短时间通知的审核
认证机构为调查投诉(见9.8)、对变更(见8.6.3)做出回应或对被暂停的客户(见9.6)进行追踪,
可能需要在提前较短时间通知获证客户后对其进行审核。此时:
a) 认证机构应说明并使获证客户提前了解(如在8.6.1所述的文件中)将在何种条件下进行此类审核;
b) 由于客户缺乏对审核组成员的任命表示反对的机会,认证机构应在指派审核组时给予更多的关注。