最新实施日期：2020年6月15日    版本：A/2  修订号：2

目的

为保证公司认证审核活动的客观性、公正性及公信力，控制认证审核活动中产生的风险和对利益冲突加以管理，特制订本文件对认证活动引起的利益冲突的可能性进行识别、分析和证实。

适用范围

适用于公司认证审核活动中风险的分析、评价、制定控制措施和风险的管理与控制。

职责

3.1 管理者代表组织各部门对可能威胁公正性的各种关系、认证活动可能引起的利益冲突进行识别与分析；对计划开展的业务在开展前、对网站发布、网站更新等活动进行风险性评价；网站发布及更新需先经过审议通过后才能上线。

3.2 管理部、财务部、审核部、技术委员会采取措施消除或最大限度减小对公正性构成的威胁；

3.3 管理者代表负责向最高管理层和公正性委员会报告对认证活动引起的利益冲突可能性的识别、分析和证实的信息；

3.4 财务部定期分析财务状况和收入来源，所形成的《年度财务报告》和《年度收入来源的公正性分析报告》向公正性委员会证明公司公正性始终没有受到商业、财务和其他方面压力；根据认证活动引发的风险评估情况，设置认证风险储备金或必要时，设立其他形式的认证风险专用基金账户，以便在一旦发生如由于本机构的认证责任使证书失效及获证组织发生质量安全、引发机构连带责任时，有能力启动认证风险储备金予以解决。

4. 认证审核活动中风险的识别与评估

4.1 发展战略选择的风险

对自身发展的定位和对经济利益的认识是一个无法回避，且必须首先解决的问题。大量违规现象背后，体现的是在不同定位之下产生的经营观念。如为追求自身的经济效益，不顾资源能力的限制，极力扩大市场份额给认证的公正性带来的隐患；在运行过程中急功近利、不择手段追求短期利益，恶意低价竞争、滥设分支机构、与咨询机构利益相关、不讲诚信弄虚作假、出具假证等恶劣现象。

4.2 影响认证审核活动公正性的风险

4.2.1公司所有权、法人治理结构和管理层的经营意识出现偏差；

4.2.2质量/环境/职业健康安全管理体系审核人员和认证决定人员不满足独立性要求；

4.2.3认证人员与认证组织存在利益关系；

4.2.4内部相关人员承担不适当的财务压力；

4.2.5公司与咨询机构存在利益关系；

4.2.6公司各领域经营活动之间的利益冲突；

4.2.7对申请认证组织有歧视。

4.3 影响认证审核活动的有效性的风险

4.3.1对认证标准理解的不到位；

4.3.2对认证不同领域认识的不充分；

4.3.3对认证范围界定不准确；

4.3.4认证人员能力不充分；

4.3.5审核时间不充分；

4.3.6审核范围和深度不充分。

4.4认证审核活动的管理风险

4.4.1认证制度的建立、实施不完善；

4.4.2认证人员的选择、培训、评定及控制的不充分；

4.4.3质量/环境/职业健康安全管理体系认证活动中合同评审、人员选派、审核方案、评审实施、认证决定等关键过程控制的不到位；

4.4.4对获证组织持续符合性的有效监督不及时；

4.4.5保证机构的稳定运行和持续发展的收费不合理；

4.4.6不能正确处理与咨询机构的关系；

4.4.7认证市场份额占有率与人力资源、认证能力的关系不匹配；

4.4.8在审核活动中由于审核员的过失导致受审核方财产损失或人身伤害的风险；

4.4.9错误地履行合同导致受审核方财产损失或人身伤害的风险。

5.风险控制措施

5.1对已识别出公司在认证审核活动全过程中的风险可分别通过风险回避、风险转移、风险控制、风险分散、风险自留等方法进行控制。

5.1.1对于识别出高风险事件，有如违反CNAS－EC－016《不予受理认证机构认可申请和暂停、撤销认证机构认可资格有关规定的说明》中3.3“撤销认可资格”要求，应采取风险回避的控制办法，主动放弃认证项目而将风险规避；

5.1.2如违反CNAS－EC－016《不予受理认证机构认可申请和暂停、撤销认证机构认可资格有关规定的说明》中3.2“暂停认可资格”要求，采取风险控制的办法，依靠严格管理，并应事先制定后备措施，减少风险发生的可能性；

5.1.3 对于公司正常认证活动中可能存在的一些疏漏，且该疏漏产生的风险在公司可接受的范围之内，是公司现有的风险管理能力完全能够预测和控制的，才能够实施风险自留。

5.1.4 将公司认证市场中产生的风险分散到业务员，建立风险责任负责制，要求大家均要有很强的风险意识，并要从管理上和经济上承担风险责任；

5.1.5对各种无法预测的风险，如公司应负民事责任的风险，通过认证风险基金（保险或储备金）处理；

5.2 公司抵制风险的市场战略

公司发展战略的和运行模式的选择，决定了公司认证活动中所产生的风险类别。公司制定的宏观发展方针为“持续、稳步、科学地发展；规范、公正、有效的运行”。公司发展定位的确定，使得公司的发展架构和发展理念也随之形成，它将成为公司全体员工共同遵守的准则。

5.3 控制认证活动公正性风险的保障措施

5.3.1控制公司法人结构和管理层的经营意识出现偏差

为维护公司认证活动的公正性，公司管理层应切实履行“关于管理体系认证活动的公正性的承诺和关于公正性的声明”；

公司成立维护公正性委员会，由管理体系认证领域的政府监管机构或政府部门的代表、行业协会的代表、获证组织的顾客、认证机构的客户、非政府组织的代表、认证机构的代表共六个方面的代表组成，各领域均有六方代表组成，其中任何一方不处于支配地位。

委员会的工作职责包括审议公司质量方针及管理手册；审议公司质量/环境/职业健康安全管理体系认证审核和认证决定过程的公正性；审议公司年度财务收支状况及有无受到商业、财务或其他方面压力的影响；处理公司的重大投诉等。其中重大事项的表决均需有各领域中关键利益方参与。

5.3.2 公司不对另一认证机构的管理体系认证活动进行认证。

5.3.3对咨询活动的控制

5.3.3.1公司对咨询和认证的市场行为的控制要求

为避免给外部造成认证和咨询一条龙服务的印象，将采取以下有效措施：

1) 公司不提供咨询服务，也不与任何咨询机构有合作关系；

2) 独立签署认证合同，不签署认证咨询总合同，也不一揽子商洽咨询、认证合同。

3) 认证机构活动的营销或报价不应与管理体系咨询机构的活动有联系，认证费用由企业直接汇款给公司，不得由咨询代收。

5.3.3.2公司对认证审核人员咨询活动的控制要求

1) 公司的专职审核员不得以任何名义从事认证咨询活动；

2) 公司独立于为组织获得认证实施内部质量/环境/职业健康安全管理体系审核的机构（包括任何个人）；

3) 审核员本人曾在最近的两年内向拟认证的企业提供过咨询服务的不得参与对该企业的认证活动；

4) 聘用的人员在受聘前如果为一个组织提供过咨询服务，该人员在两年内不得参与对该组织的认证活动。

5.3.3.3公司对可能涉嫌咨询的活动的控制要求

a.对有可能演变为咨询的活动（包括培训）进行识别和控制。

对培训的控制要求

—不向拟认证的单一组织提供专门培训；

—公开向外部提供的培训课程、培训内容、培训教材，并将外部培训记录公开。

对预审核的目的仅限于：

—确定认证申请人的管理体系是否基本就位，能否迎接认证审核。

—使认证申请人获得对审核和审核气氛的感性认识。

3）预审核的控制应至少包括以下措施：

—对同一认证申请方的预审核次数不得超过1次。

—预审核的现场审核人日数最多不得超过正式审核人日数的50%。

—不能因为预审核而减少正式审核的人日数。

5.3.4对不公平竞争行为的控制要求

公司遵循公平竞争的原则开展认证业务，不采用诸如下述各种不正当的竞争手段：

5.3.4.1在公开文件中或签署认证合同前未向认证申请人明示本公司的认可业务范围而造成误导；

5.3.4.2认证收费不执行有关部门发布的质量/环境/职业健康安全管理体系认证收费标准的规定，以各种手段采取高收费或压价竞争；

5.3.4.3无正当理由全部或部分免收认证费用；

5.3.4.4以任何名义给予认证申请人或其代表回扣，给予中间人介绍费，并以此招徕认证客户；

5.3.4.5与咨询机构达成给予介绍费等的任何协议或默契；

5.3.4.6与任何咨询机构/人员的咨询收费发生任何关系。

5.3.5对认证人员行为的控制要求

根据认证人员（包括审核员和技术专家）行为规范。认证人员在执行认证审核任务时，不得收受企业的礼品、礼金、有价证券和珠宝首饰等，也不得参加其审核企业安排的娱乐活动和宴请。

5.4 控制认证活动有效性风险的保障措施

5.4.1提高合同评审和审核方案策划的有效性

由于不能确保公司在所有行业都具备认证能力，也不能确保所有申请认证的客户都具备认证条件，因此在合同评审和审核方案策划过程中需要具备专业知识，必要时需要相应的专业人员协助评审。不规范/走过场的合同评审都将给公司带来认证风险。合同评审过程较容易出现的问题如下：

5.4.1.1负责合同评审的人员专业能力不足，造成错误的评审结果

合同评审的重要内容之一是根据申请的认证范围，确认公司是否具备认证的专业能力。如果在合同评审中，错误地划分专业类别，首先带来由非专业审核员进行审核的风险。非专业审核员往往难以识别受审核方过程控制关键点，审核抽样缺少代表性，不能准确发现受审核方存在的问题。这样的审核，轻者是不能发现问题，审核专业性不强，被企业视为外行，重者审核走过场，作出错误的审核结论，向存在重大问题的企业签发认证证书。其二，若把未认可的专业错误划分成经认可的其他专业，那么公司签发的证书则是无效的。  

5.4.1.2评审的审核人日数不合理，对审核的有效性产生负面影响

审核人日数的确定是合同评审的另一项重要工作公司根据认可委对审核时间的规定，制定审核时间评审的方法和规则。在受理认证申请后，将根据申请方的人员规模和认证范围确定文件审核和现场审核人日数。

充分的审核时间是提供优质认证服务的保证，审核人日的评审同样需要专业性和审核经验，审核人日过多或过少都会对审核的有效性带来影响。若审核人日过多，会造成审核效率低下、审核拖沓的不良影响；若审核人日过少，会造成审核抽样不充分，无法客观评价体系运行的效果，直接影响到审核质量，严重者会造成审核形式化。由于审核人日与认证成本直接有关，会存在故意减少审核人日，片面追求利益最大化的违规行为。

5.4.1.3不了解申请组织的行业，受理了不具备认证条件的认证申请

业务人员在签署合同之前，应对申请组织的体系运行情况有一定的了解，必要时对企业进行初访，确认申请组织是否具备认证的条件，对不具备认证条件的组织，拒绝申请的受理。在申请过程中会遇到以下情况：

a.申请认证的范围不属于该企业工商营业执照中注册的范围；

b.对于强制性认证的产品，申请方未经相关部门许可批准，如生产许可证，卫生许可证；

c.该企业申请认证的时间为非正常生产过程或停产，现场审核不能获取体系运行的客观证据；

d.对于高风险行业不能提供行业的资质证明，如建筑公司；

e.体系建立时间非常短，不能确保体系充分有效运行；

f.企业虚报人数，故意减少与生产有关的工作人员数量；

g.未真实说明分现场的情况；

h.负有设计责任的组织申请不含设计的ISO9001认证；

j.污染超标排放/重大危险源治理不符合国家相关规定却无任何治理措施的企业，或未通过“三同时”验收的重污染/高风险企业申请ISO14001/OHSMS18001认证；正在接受环保部门处罚期间，申请ISO14001/OHSMS18001认证；近期环保监测未达到规定要求，申请ISO14001/OHSMS18001认证；未按规定要求进行“环评”或评价不合格的企业申请ISO14001/OHSMS18001认证。对于上述情况，公司需要与申请组织协商，必要时延迟其认证申请或另行商定审核时间。

5.4.1.4合同评审违背流程规定，可能造成既成事实的失误

根据申请受理与合同评审的流程，应要求申请组织先填写申请书，然后进行合同评审，并就认证各项要求与申请组织达成一致后确认是否具备满足认证申请的能力。在此基础上，再向申请组织报价，签署认证合同。但是，某些情况下会出现先签合同后作合同评审的现象。产生的潜在风险是，当在审核前进行合同评审时发现公司不具备该专业的认证资格，此时为时已晚，取消合同是违约行为，审核发证则是欺诈行为。

5.4.1.5专业管理人员把关不严，未及时发现评审中存在的问题

审核项目管理人员从事合同评审工作，由于受认证经验和专业领域知识的局限，可能会出现错误的评审结果，如专业范围划分不准确或审核人日数不足。为确保评审的准确性，专业管理人员负责对合同评审过程提供专业支持，确认专业范围和审核人日评审的准确性。如果专业管理人员对审核项目管理人员初步评审的结果不进行仔细核实就签字，那么专业管理就流于形式，合同评审的结果容易出现偏差。若专业管理人员自身的专业能力不强，往往也很难对合同评审的准确性进行评判。

因此，应从源头抓起，重视合同评审，不仅对负责合同评审和审核项目管理的人员培训专业知识，使其熟悉并掌握各认证标准合同评审的要求，同时加强专业管理的把关，确保每一份合同的顺利履行，有效规避认证风险。

5.4.2提高审核现场的有效性

现场审核必须在规定的时间内取得足以证明体系有效运行的证据。充分的证据、公正客观的判定和评价反映了审核的有效性，在有限的时间内完成取证任务体现了审核的效率。因此，现场审核必须把握好审核的效率和有效性，以保证圆满完成审核任务。

审核项目管理人员确保审核任务书中给予的人日数满足要求，确保专业能力满足要求，即审核组中一定要有满足专业能力的审核员或技术专家。

审核组长对审核现场的有效性负责，确保审核组员按时到达现场，不得提前离开，同时保证专业能力的人员（专业审核员或技术专家）安排在专业部门及专业条款的审核，认真界定认证范围。认证风险控制不只是审核组长的责任，每位审核组成员都必须履行风险控制责任。如果审核组的能力充分、运作规范，风险识别和控制能力就强，就可是该项目的认证风险可预测、可控制、可接受。

5.4.2.1审核的有效性

现场审核的有效性主要体现为是否实现审核目的，可从以下几个方面考虑。

审核广度

收集到的审核证据必须覆盖审核范围（即产品／服务范围）和过程范围（设计／开发、生产、销售和服务）。审核范围决定认证证书所载明的体系覆盖范围，也是认证机构审批认证证书的核心内容，现场审核必须从销售、设计、生产服务提供过程以及检验等多方面认真求证，以取得支持性的证据。

2) 审核深度

① 取得判定体系有效性的充分证据。体系是由各个过程组成的，对每个过程的审核必须涉及以下内容。

—过程是否已展开，即过程的流程是否确定、过程的有关条件和要求是否被规定、过程的职责是否明确；

—过程是否被执行，如过程是否按规定的流程运作、运作是否符合规定的条件和要求等；

—过程的结果是否达到了预期的目的。

② 开具不合格报告要慎重

—每个不合格报告应代表一个方面；

—不合格事实应直接指向问题的实质和要害，不可避重就轻

—不合格项开出的角度、用词等应认真推敲。

一个恰当的不合格项可以有力地推动受审核方在某一个方面的改进，而一个不恰当的不合格项则会降低审核组的形象，引起受审核方的反感，使其产生应付审核的情绪，从而降低审核工作的有效性。

③ 对受审核方的体系做出全面评价。

该评价应是系统的综合评价，即体系应保持和发扬什么、改进的方向是什么。这是受审核方非常关注的问题，也是审核是否成功的表现之一。

5.4.2.2提高审核效率和有效性的对策

1) 审核准备

① 首先，应从宏观上搞清楚审核范围，即本次审核的体系所覆盖的产品／服务范围及产品／服务活动所涉及的过程范围。忽视了这一点，很难保证全面取证，其结果将影响审核结论的确定和认证的批准。其次，要明确受审核部门的职责。

② 审核员应认真阅读受审核方的体系文件。如果出现以下情况，应编制检查表；重要的审核，如对高层领导的审核；对较陌生行业的审核；审核经验尚不丰富。审核人员可以事先理出一个清晰的思路，以便快捷、圆满地完成审核任务。

关注结果，更关注过程

过程的方法、过程的资源配置、过程条件的稳定性等决定了过程的结果。因此，审核中不仅要关注结果的符合性，更要关注过程转换中的各相关因素。产品实现过程如此，其他管理过程也如此，如管理评审、设计评审等。审核人员不仅要查看其评审报告，更应了解其评审的过程和评审的方法。采用正确的评审途径和方法，可保证预期结果的实现，一旦这些评审活动流于形式，必然影响其结果的有效性。

3) 审核记录

审核记录是现场审核取得证据的证明。记录过简有取证不足之嫌，过细则耗时费力，其结果势必因审核效率过低而影响审核的有效性。如何记录才能满足要求，是一个涉及诸多因素的问题；

审到的必须记到，以证明审核人员在哪些方面实施了审核；

 不抄写所审到的文件内容，不抄写审核所涉及到的记录内容；

③ 审核记录要繁简适度，应掌握的一般原则是：重要的活动和事件应详细记录，次要的可简单记录；不符合事实应详细记录，符合事实可简单记录；审核报告有具体内容要求的应详细记录，无具体内容要求的可简单记录。

4)审核应注意的几个问题

—少讲解标准。当遇到受审核部门领导对标准条款理解不透彻时，少数审核人员喜欢用很多时间讲解标准；

—不“审批”文件。对受审核方的文件，只要其运作和控制思路清楚就可以，而不要过于从语法、用词等方面进行挑剔；

—不纠缠过细的情节。类似事情关注多了，既会影响审核效率，又会影响审核效果。

5)监督审核有别于初审

监督审核不应是初审的重复。以对高层领导的审核为例，监督审核的重点是：

—组织的变化情况，如组织结构、体系文件、产品/服务以及方什、目标的变化情况等；

—对法律法规的遵守情况；

—以顾客为关注焦点，如市场及销售基本情况、顾客投诉及处置情况、顾客满意情况；

—监视和测量，如方针/目标的实现情况，产品/服务质量的稳定情况，内审情况；

—管理评审的基本情况；

—持续改进的情况等。

对受审核方工艺部门的监督审核，当涉及到工艺文件时，应重点关注其针对新产品实现所策划的有关工艺文件的充分性和适宜性。对于受审核方以前的工艺文件，则不必耗费过多的精力。

减少不必要的重复，提高审核效率，对保证审核有效性是非常重要的。

5.4.3 提高管理体系认证决定的有效性

选择有专业能力的认证决定人员对审核实施认证决定，该人员一定要独立于审核项目。

5.4.3.1认证决定人员依据认证过程中和其他方面得到的有关组织的信息实施认证决定,做出认证决定的人不得是参与审核的人员；

5.4.3.2认证决定的内容主要为：评价认证资料的质量，认证活动的规范性，审核活动的有效性和充分性，审核结论的合理性等;

5.4.3.3当认证决定人员做出同意决定时，即可做出批准认证的决定；如确实不能推荐，则应向组织作出书面说明；

5.4.3.4认证决定人员在认证决定过程中如有不符合发现，应要求审核组组长予以纠正，必要时采取纠正措施，并组织验证其准确性和有效性，符合后按原程序进行。

5.5加强管理是控制认证风险的有力保障

5.5.1加强对审核员的选择、培训及管理控制

5.5.1.1 关注人员引入和培训成本的协调，确保人员的稳定和使用成本的协调。

5.5.1.2 新选择聘用的审核员应对其进行现场审核能力见证，证实其实际审核能力、专业能力和个人素质均符合要求后，才可正式聘为公司的审核员，独立开展审核工作。

5.5.1.3 为保证审核员能力可持续满足公司认证活动的要求，在对审核员的使用过程中必须定期进行现场见证，其见证频率取决于公司对该审核员不同的使用频率、涉及的不同风险专业和对其监视的结果及公司的管理风险，并根据监视的结果确定培训需求。

5.5.1.4 审核员专业和技术方面的知识需不断更新与补充，可通过参加行业内的专题讲座、邀请行业内知名专家培训、网络上新知识新技术的信息收集、专业审核人员工作经验交流等，并根据公司对审核员监视的结果确定培训需求。

5.5.2加强对获证组织监督审核的管理控制

公司应对每个获证组织进行审核方案策划，包括定期的监审时间、每次监审对认证范围内有代表性的区域、职能和部门的抽样，以及组织管理体系的变更情况。监审至少12个月进行一次，时间间隔应从初审第二阶段现场审核结束的时算起。公司对经证实了管理体系持续满足要求的获证组织，做出保持认证资格的决定。

5.5.3加强公司业务范围的有效控制

对认证业务范围的有效控制，着眼于公司的内部管理、审核人员和认证管理人员专业能力、专业培训等多方面的实际能力的控制。任何一个领域的认证项目都有风险，只是风险的程度不同而已。公司要根据自己的发展战略有选择的进行认证活动，规避一些行业的认证风险，尤其是那些社会关注度高的、风险大的行业，要从源头予以控制。

将公司目前涉及到三个领域专业进行高、中、低的风险分类，按不同类别采取不同的管理控制，且该分类是动态的，应按公司的专业运行情况不定期修改、完善。

高风险的专业是公司加强监控的重点，对该类行业的认证审核工作应从人员评定、合同评审、人员选派、审核方案、审核实施、管理体系认证决定等每一过程进行监控。高风险专业必须对认证管理人员进行必要的培训，公司对每一高风险专业设立一项目管理人员，其职责为建立、实施、监视、评定与改进审核方案，识别并确保提供必要的审核资源，参与审核项目全过程的控制工作。

5.5.4由于认证活动而引发出的民事责任   

在认证审核活动中由于审核员的过失导致受审核方财产损失或人身伤害的风险，错误地履行合同导致受审核方财产损失或人身伤害的风险。公司将通过认证风险基金（保险或储备金）处理。

6 . 引用文件及记录表单

6.1 CNAS－EC－016《不予受理认证机构认可申请和暂停、撤销认证机构认可资格有关规定的说明》

6.2 《年度收入来源的公正性分析报告》

6.3 《年度财务报告》