认证机构认可评审及认可管理工作通报
认证机构认可评审是认可活动的重要过程,是确认认证机构具备开展各类认证工作能力的重要手段。CNAS通过认可评审对认证机构符合认可规范的情况进行评价,同时,为加强对认证机构的管理,CNAS还通过其他认可管理手段对认证机构加强监督。下面将对今年来认可评审和认可管理两大方面的工作做一下总结,并通报有关问题及下一年度的重点工作。
一、认可评审工作
(一)已认可认证机构的情况
截至2012年6月30日,经CNAS认可的认证机构共有128家。按照认可的领域划分为:质量管理体系(QMS)认证有86家,其中通讯业质量管理体系(TL9000)认证有5家,工程建设施工企业质量管理体系认证有47家,中国共产党基层组织质量管理体系认证有10家;环境管理体系(EMS)认证有81家;职业健康安全管理体系(OHSMS)认证有78家;食品安全管理体系(FSMS)认证有29家;危害分析与关键控制点(HACCP)体系认证有1家;良好生产规范(GMP)认证有1家;信息安全管理体系(ISMS)认证有5家;产品认证有58家,其中常规产品认证有35家,服务认证有2家,良好农业规范(GAP)认证有14家,有机产品认证有21家;软件过程及能力成熟度评估(SPCA)有3家;人员认证有1家。
(二)本年度认可评审安排情况
本年度认可评审工作均按照年度大计划有条不紊地进行,未发生任何原因地推迟评审安排的情况。截至2012年6月30日,CNAS共对96家认证机构实施了评审;共派出346个评审组,总计评审1586人日。其中:文审83个评审组,148人日;现场评审98个评审组,1049.5人日;见证评审165个评审组,388.5人日。完成监督项目(领域)268个,复评项目(领域)146个,初评项目(领域)17个,扩关键场所3个,扩大认可领域9个,扩大业务范围(领域)48个。
2012开展的转换评审工作完成情况如下:
1.CC01转换评审工作
目前,CNAS已完成29家认证机构关于CC01转换的评审,约占应转换机构的三分之一,其中,按照领域分别有23家QMS认证机构、22家EMS认证机构和18家OHSMS认证机构。
2.ISMS转换评审工作
认可准则CC17《信息安全管理体系认证机构要求》于2012年1月12日完成变更并对外公布,2012年4月1日,CNAS对外发布了SC18《信息安全管理体系认证机构认可方案》。目前,已完成1家认证机构ISMS的转换,其他4家机构正在转换评审过程中。
3.OHSMS转换评审工作
CNAS于2012年3月7日发布了EC034《认证机构依据GB/T28001-2011实施OHSMS认证的认可转换说明》。目前,已有7家认证机构正式申请该标准的转换评审。
(三)加严有机认证认可评审
自2012年4月1日起,CNAS在受理和现场评审过程中,已根据加严方案实施,加大评审力度。目前,已对部分有机产品认证机构按照加严工作方案实施了策划和评审。
(四)认可评审一致性研讨
二、认可管理工作
(一)风险分级管理
1.2008-2011年分级评价结果统计--按级别
表1:2008-2011年分级评价结果
级别A级机构B级机构C级机构年度数量/比例数量/比例数量/比例2008(79个)10/12.7%66/83.5%3/3.8%2009(85个)13/15.3%65/76.5%7/8.2%2010(87个)18/20.7%65/74.7%4/4.6%2011(85个)18/21.2%61/71.8%6/7%
从上表可见:由于参加分级评价的机构有限定条件,即满足一个认可周期且是四大管理体系的认证机构参加评价,同时每年有注销和撤销的机构,因此每年参评的机构总数略有变化,2008-2011年,分别有79、85、87和85家机构参加了分级评价。从各级机构的数量和比例来看,B级机构>A级机构>C级机构,说明认证机构的分级统计结果比较符合通常对机构的整体认识。分级制度实施四年以来,A级机构数量有所增长,说明分级管理制度促进了认证机构的良性发展,机构进一步加强自律,持续改进效果明显,降低了认可风险。C级机构总体数量较少,年度变化较大,其评价结果具有不确定性。2010年是分级管理制度应用较为成熟的一年,通过2年的宣传和试用,机构的重视程度和自我管理能力都有了一个新的发展,因此该年度A级数量较多,C级数量较少;随着2011年分级管理制度的改革,增加了连带扣分的规定和对有关要求进行加严,使得C级机构数量再次增多。
图1:2008-2011年各级机构数量分布柱形图
从上图可以看出,机构数量分布两头小中间大,即B级机构占大多数,A和C级的占少数。可见,多数机构还是有很大的提升空间,应更加重视分级评价,做好机构的基础管理工作。
2.2008-2011年分级管理结果统计--按机构
表2:典型数据统计表
分级情况4年中至少一次评为A级连续4年A级连续3年A级连续2年A级4年中至少一次评为C级连续2年C级数量30443161
由上表可见,四年中至少一次评为A级的机构共30个,在认可的机构中所占比例为23%,可见不少机构具有一定的自律管理能力,但是从连续多年评为A级的机构数量来看,保持A级有一定的难度,需要认证机构做好审核、管理、人力资源等各项工作。
一些接近A级的B级机构最终未能评为A级,主要由于综合评价分数未达到A级的要求,或存在不能评为A级的问题(即评价标准中的黑点项,也是认可风险较高的问题)。在认可评审和认可管理中发现不能评为A级的问题主要有:
---人员能力管理存在问题;
---同类不符合连续出现;
---无充分理由不进行一阶段审核;
---未定期、合理安排审核员能力的现场见证或不能有效实施;
---信息报送和认可费用缴纳不满足要求;
---不配合CNAS提供见证项目等。
四年至少一次评为C级的机构共16个,在认可的机构中所占比例为12%。连续2年评为C级的仅有2家,可见C级机构的评价结果有偶然性也有必然性。
认证机构被评价为C级的主要原因包括:
---认证人员能力管理问题;
---未对关键场所、关键过程实施审核;
---无专业审核员实施专业过程的审核;
---认可费用缴纳不满足要求(评价标准中规定超出认可收费通知书规定2个月仍未付款的直接评价为C级);
---暂停后第一年按照C级管理;
---对认证机构的申诉、投诉和专项检查等信息查证发现重大问题,经评价认为风险较高。
(二)信息通报管理
1.信息通报完成情况
自2007年,CNAS建立信息化认证机构信息通报制度以来,经过5年多的运行,实现了认证信息的统计、认证信息的核查等工作。认证机构信息通报质量较初期也有较大改变,但也有部分认证机构由于信息通报员出差、休假、工作疏忽等原因导致不报或延报的情况。2011年度,CNAS对2家认证机构给予了告诫处理,并有16家认证机构因此在CNAS认证机构认可风险分级管理中影响了该机构的级别。
2.数据库的更新情况
2011年,国家认监委考虑到各认证领域管理的特殊性和提升信息系统的统计功能,将《获证组织基本信息数据库》分为管理体系认证、中国食品农产品认证和产品认证等三套获证组织基本信息通报系统。为了保证认可信息采集的充分性,CNAS积极参与系统升级改造工作。目前,已配合CNCA完成了信息化代码的编制和《获证组织基本信息数据库》的升级改进研究工作,并在信息中心的配合下,完成了《CNAS认可的认证信息基础数据库》建设工作,8月5日CNCA正式启用《管理体系获证组织基本信息月报系统》后,CNAS同时启用该套信息库替换原《认可的认证信息基础数据库》,以保证获CNAS认可的认证信息统计和核查工作的延续性。
2012年下半年,CNAS将在《认可的认证信息基础数据库》上,开发研制认可的认证信息数据统计系统,实现模块统计认可的认证数据按认证机构、认可制度、证书状态、业务范围等时时统计功能。
3.信息通报员培训
为了保证认可信息采集质量,提升认证机构信息通报员对CNAS认证机构信息通报制度的理解和实操能力,CNAS于2012年6月和7月组织召开了“认证机构信息通报员培训沟通会”,对138家机构200余位认证机构信息通报员进行了培训。
(三)重大事故核查工作
经统计,2012年1月至7月共有29家带CNAS认可标志的获证组织发生了重大质量、安全、环境、食品安全事故/事件,涉及21家认证机构;其中只有8家认证机构通过自查发现其获证组织发生事故/事件后,主动通报CNAS的,仅占涉及事故/事件认证机构的32%,其余均为CNAS核查发现后通知机构进行调查处理的。同时,该21家认证机构中,有6家认证机构发生事故/事件的组织在两家以上,其余15家认证机构仅涉及1起获证事故组织。每家机构在获悉获证组织的有关事故后,均能积极采取措施,调阅审核档案,深入分析认证过程是否存在疏漏以及分析事故和获证领域之间的关系,根据具体情况对获证组织的证书采取了相应的暂停、撤销或保持的处理决定。
表3:发生重大事故/事件组织按照行业的分布图
行业农业采矿业食品化工业药品金属制品造船业运输设备建筑业销售业事故数2234362151
(四)与认证机构间的技术交流和沟通
为了搭建认证机构之间的交流平台,做好机构之间的联络纽带,更为了做好认可增值服务,加强与认证机构的日常沟通,CNAS采取了多种提升服务的手段。
1.认可规范培训
2.举办认证机构座谈会
2012年,7月25日CNAS已邀请部分在京认证机构负责人召开认证机构座谈会,会议讨论了全国合格评定认可工作会议议题,品牌认证机构评选条件以及认证机构质量风险等议题,与会代表肯定了近年来CNAS对认证机构的认可管理方式和认可增值服务,为认证认可行业的发展提出了积极的建议。
3.搭建认证机构交流研讨平台
随着这两年各级管理机构对认证行业监督管理的加强、各类认证认可标准的变化,认证机构在适应外界环境变化和自身发展方面渐渐面临诸多困惑和疑虑,也有了和其他认证机构进行交流的迫切需求。CNAS作为认证机构的认可管理机构,拟为认证机构搭建沟通交流学习的平台,不定期开展关于标准理解、机构管理、认证宣传、认证审核经验等各方面的研讨,另外,CNAS也将把认可评审一致性会议中关于认证机构评审共性问题的讨论结果通报各认证机构,有助于机构的借鉴和使用。
4.邀请认证机构代表参加专业委员会的工作
三、下一年认可工作的重点
(一)落实《认证机构管理办法》
(二)应对新增分支机构的评审工作
随着认监委对认证机构的分支机构审批量的增大以及认证机构按照有关要求对新设关键场所进行认可申请的增多,CNAS将会增加大量的关于认证机构分支机构的认可评审工作量。CNAS拟研究更加简化和高效的评审方式以满足集中且大量的评审工作。
(三)实施OHSMS转换评审工作
CNAS对认证机构依据GB/T28001-2011/OHSAS18001:2007开展OHSMS认证的认可转换期至2013年12月31日结束。目前,各认证机构可在满足EC034文件有关要求的情况下,向CNAS提出转换评审申请,即可结合正常的监督或复评同时实施OHSMS的转换评审。
(四)开展新的认可业务
随着CNAS发布SC17《危害分析与关键控制点(HACCP)体系认证机构认可方案》和《能源管理体系认证机构要求》,且自2012年5月1日HACCP体系认证实施规则实施起,CNAS开始受理HACCP管理体系认证机构的认可申请,同时,CNAS也将在2012年下半年推出能源管理体系认证机构的认可业务。另外,低碳产品认证、IT技术服务和温室气体审定/核查机构认可制度等认可制度正在加紧研发,将陆续在年底前推出。
四、需要与认证机构沟通的问题
(一)评审安排问题
(二)CC01转换评审中的问题
2012年认可评审的重点工作是QMS、EMS和OHSMS这三个领域关于CC01-2011版认可准则的转换评审工作,根据今年以来转换评审工作的开展情况,CNAS总结了各机构在转换过程中主要存在的几个方面的问题:
1.技术领域划分问题:
1)技术领域划分的合理性不明确:有的机构只是对各专业小类进行了专业特点分析,或者只是把各类别的工艺流程、危险源、控制措施、法规清单罗列出来,并没有把各小类汇总综合进行相似性和差异性分析,得出划分为同一技术领域的理由,尤其是跨大类划分技术领域时,这个问题更加突出;
2)技术领域中的专业性分析较弱:目前机构在技术领域的分析中,专业性的分析比较通用,专业特点不鲜明,如对行业典型危险源的识别大多是大概念范围的机械伤害/触电/火灾/噪声/粉尘,未对具体的行业、专业进行分析,或分析得很笼统;
3)由于疏忽,导致部分已认可的业务范围未进行技术领域的分析和划分,即产生遗漏;
2.人员能力互通原则问题:
同一技术领域各专业小类,有明显的差异性,但是没有规定人员能力的互通原则;
3.技术领域中特定知识和技能的要求:
1)在文件中只规定了审核员通用的知识和技能的要求,没有在技术领域中规定特定的知识和技能的要求;
2)对认证管理人员的能力要求也只是规定了通用的要求,没有在技术领域中规定特定的知识和技能的要求;
4.对人员能力的评定:
5.对于人员能力的证实:
1)人员能力证实走过场;
2)面谈考官的专业能力不足,应确保面谈考官是有能力的;
3)技术领域划分发生变化(尤其范围变宽),但是没有进行人员能力的证实即评定出了新技术领域的能力;
6.作业指导书的问题:
1)编制需求:应识别技术领域中的能力要求与现有人员的能力水平的差异而得出作业指导书的编制需求,作业指导书编制需求识别为需编制,实际又不编制;
2)作业指导书编写格式不统一,五花八门;
3)作业指导书的深度不足,不能指导现场审核。
(三)转换评审的安排和时限问题
根据《CNAS-CC01:2011<管理体系认证机构要求>过渡转换安排的说明》的安排,已经依据CC01-2007版准则获得CNAS认可的管理体系认证机构,应于2013年2月1日前完成依据2011版准则认可转换的工作。转换期自2011年7月1日至2013年2月1日。
根据《认证机构依据GB/T28001-2011实施OHSMS认证的认可转换说明》的安排,CNAS对认证机构依据GB/T28001-2011/OHSAS18001:2007开展OHSMS认证的认可转换期自2012年03月05日起,至2013年12月31日止。
(四)分支机构认可问题
《认证机构管理办法》的出台,使得认证机构在其分支机构管理方面产生了巨大的变化。认证机构在贯彻落实《认证机构管理办法》过程中,经认监委审批,增加了大批量的认证机构的分支机构。根据RC05《多场所认证机构认可规则》的规定,认证机构认可评审的范围应覆盖认证机构的总部及所有关键场所。因此,一旦认证机构的分支机构从事了签订合同、合同评审、认证策划与实施、监督或再认证审核的控制、认证人员评价、认证决定等关键活动,都应该作为关键场所经CNAS认可。针对这些新增的分支机构,认证机构应按照RC05中第七款要求对新设关键场所进行认可申请。