认证风险、认证公正性风险识别和评价报告

中国船级社质量认证公司认证风险、认证公正性风险识别和评价报告编制：刘秀敏审核：黄学良批准：黄世元发布日期：2009.6.18生效日期：2009.6.18概述依据ISO17021标准及公司GP0407《认证风险辨识和控制程序》的要求，由质量监督保障部组织公司各相关部门按照职责分工对认证风险（包括公正性风险）重新进行了识别。2009年5月18日至21日，在管理者代表主持下，公司召开了“认证风险识别和评价”会议，由各相关部门主要负责人参加，以管理体系认证、产品认证业务开展过程为主线，对在认证过程及管理过程中可能存在的认证风险及其风险等级进行了分析评价，确认了目前的控制措施和制定的补充措施或，以降低或避免公司的认证风险。通过评价认为：公司对认证风险、认证公正性风险的识别较为全面，风险等级评价基本正确，相应的控制措施基本合理，通过措施的实施，公司认证过程的风险及公正性风险控制基本有效。但在已识别的风险中部分风险还需通过公司管理体系文件的修订或增加补充管理措施或方案进一步控制。经评价确认的认证风险（包括认证公正性风险）共：234项，其中高风险等级102项、中风险等级84项、低风险等级48项。详见附件1《认证风险识别和评价汇总表》。认证风险按照过程的分布如下：第一部分：管理体系认证业务一、管理体系认证申请及合同条款确认过程：12项（体系认证部/分公司和营业部）二、管理体系审核策划过程：14项（体系认证部/分公司和营业部）三、管理体系审核实施：39项（体系认证部/分公司和营业部）第二部分：产品认证业务一、产品认证制度的策划：3项（产品认证部）二、产品认证申请受理、评审及合同签订过程：5项（产品认证部）三、产品认证评审的实施3项：（产品认证部）四、产品认证设计评估：5项（产品设计评估中心）五、现场评审（型式试验、工厂审查、不符合项纠正及评审报告）14项（产品认证部）六、分包管理：2项（产品认证部/认证决定委）七、产品认证证书状态：2项（产品认证部/认证决定委）第三部分：综合管理一、认证决定过程：25项（认证决定委）二、体系管理和改进机制：15项(质量监督保障部)三、认证人员能力与评价系统及监控：46项(人力资源部/体系认证部)四、认证业务范围管理：6项(质量监督保障部)五、对获证组织发生重大事故的处理过程：3项(质量监督保障部)六、认可标志和国际互认标志的使用：3项（认证决定委/综合事务部）七、投诉的处理过程：2项（质量监督保障部)八、其他方面：35项（公正性委员会、文件档案管理、技术支持、数据库、网络、对外培训、财务等）（综合事务部/研究发展部/财务部/质量监督保障部)经评价确认的公司可能存在的认证公正性风险共计38项，附件2《公正性风险识别分析汇总表》。按照公正性威胁来源划分为来自所有权、法人治理结构、来自管理层、来自内部人员或外部人员、分包、来自共享资源、来自财务、来自合同、来自营销、来自咨询和咨询机构、来自未制定措施、来自风险评估、来自安排、来自内部、来自公正性委员会、来自人员监控、来自人员培训等方面，目前的认证公正性风险控制基本有效，能够确保认证公正性。GP0407R03附件1认证风险识别和评价汇总表主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案第一部分：管理体系认证业务一、管理体系认证申请及合同条款确认过程1申请受理高1.本公司承诺不从事认证咨询活动；申请方组织或其聘请的咨询机构与我公司存在利益关系。体系认证部2.本公司是CCS的独资公司，不对CCS或其下属机构的管理体系提供认证服务；3.本公司未投资任何其他的组织；4.本公司与任何咨询机构无利益关系。2申请受理高1.在本公司网上可查看/下载认证；认证要求未提供给申请组织，或未能向申请方充分说明认证要求。体系认证部/营业部/分公司2.认证规范随申请书一并寄给申请组织。3申请受理申请方/受审核方提供的信息不真实或不完整（如体系内人数与实际不符、多场所、在建项目清单不真实或不完整等）营业部/分公司高1.企业需提供申请书；2.申请书要求申请组织授权人对企业提供的认证信息的真实性做出承诺；3.营业部/分公司市场开发人员及申请评审岗核对；4审核组现场确认5.如申请组织少报人数，需追加补充协议。6体系认证部进行抽查。4申请受理营业部/分公司低1.在申请评审表中以明确对体系运行时间是否满足规定的时间的判企业申请认证的体系运行时间不符合认证条件。1/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案断；2.营业部/分公司相关岗位人员（申请评审、调度、审核组长）核对企业提供的体系文件。5申请受理中1.对相关人员进行培训，尤其是分公司/营业部人员；申请受理人员对认证要求的理解不一致。体系认证部/营业部/分公司2.对申请评审人员进行能力评价。6申请受理营业部/分公司高1.营业部/分公司指导企业填写申请书申请组织提供的认证信息中申请认证的业务范围与实际业务活动不符。2.营业部/分公司市场开发，申请受理岗初步核对3审核组现场确认7申请评审中1.评审策划表明确关注技术和法规环境及产品风险（行政许可、相关方关注程度、产品风险等因素）；受审核方所处行业的风险、认证价格风险。体系认证部/营业部/分公司2.执行国家认证认可协会对认证行业的价格要求。3体系认证部进行抽查。8申请评审高1.英国经济活动工业分类标准的学习；2.有专业代码评审研讨小组。在已认可的认证范围内实施合同评审时明显错判，造成不能有效审核。体系认证部/营业部/分公司3对营业部/分公司进行培训4体系认证部进行核查1完善MI0701再认证工作须知，细化需再认证企业已超出再认证的时限的控制要求。9合同签订高1.MI0701对再认证条件有明确的规定；需再认证企业已超出再认证的时限。体系认证部/营业部/分公司2.在公司认证规范中明确“再认证”的含义；2对营业部、分公司进行培训和问汇总反馈2/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案3体系认证部进行抽查10信息录入不准确，营业部/分公司中1.专人负责录入；合同信息的录入2对分公司/营业部进行培训和问题汇总反馈3分公司/营业部随机抽查11营业部/分公司高1.建立客户信息反馈表；获证企业信息变更未收集获证企业变更信息或未对获证企业变更信息及时更新。2.监督审核组以书面方式反馈企业体系变化情况；3.营业部/分公司/公司体系认证部调度岗根据收集的信息及时修订企业信息。4认证决定委根据监督审核组书面反馈的企业体系变化情况进行更新。12营业部/分公司中1.营业部/分公司核实审核安排前申请资料的完整性；审核安排前申请材料审核安排前申请资料不齐或缺失2.体系认证部抽查申请资料的完整性。二、管理体系审核策划过程1高1.《审核方案管理程序》，对审核方案的策划、实施、监视测量按照整个认证周期进行管理；将再认证的前期工作纳入到前一周期的审核方案管理内容中。修改数据库和组长任命书，区分审核类型（初次认证、在认证）审核方案策划未对企业初次认证、监督和再认证周期、认证证书转换进行策划，或策划方案不满足要求。体系认证部/营业部/分公司2.明确规定需要进行专项审核方案策划的条件，以增强对于非常规认证项目的管理。3.对于具有特殊审核安排的情况，采用在数据库中备注的方式提示；3/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案4.营业部/分公司/调度在安排审核组时综合考虑，并在审核组长任命书中提示审核组长。1完善《审核策划工作须知》，明确：1集团公司审核方案需报体系认证部批准2高1.明确规定需要进行专项审核方案策划的条件；审核方案策划审核方案不充分，导致后续的审核人员安排和审核安排失误（特别是对集团公司、子公司、分公司或关联单位认证时）。体系认证部/营业部/分公司2.对于集团公司、子公司、分公司或关联单位的审核均作为非常规项目管理。2体系认证部调度予以整体协调3审核项目人日数计算不合理高1《审核实施程序》明确规定各类审核所需人日数要求。审核方案策划体系认证部/营业部/分公司2对营业部/分公司进行培训和问题汇总反馈3《体系认证部工作须知》明确体系认证部抽查复核4发现审核项目人日数计算不合理时，调整人日数。4中审核方案策划未安排一阶段审核（现场和非现场）。体系认证部/营业部/分公司《审核策划工作须知》明确实施一阶段非现场或一阶段现场审核的条件5中1《受理申请程序》明确规定企业具备的条件审核方案策划不具备审核条件而安排审核（如无生产活动；现场审核前未进行内审和管理评审、体系运行时间不足）体系认证部/营业部/分公司2营业部/分公司与认证组织加强沟通核实,根据企业情况调整审核安排3审核安排由体系认证部确认后下达任务。6营业部/分公司高1.《审核组工作须知》中要求，审核员在接受审核任务时，需确认对对分公司/营业部内审时应予以关注审核方案策划（调未核实审核组成员与受审核方的关系，影响独立性与公正性。4/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案度）（包括核实企业邀请××审核员的原因）。公正性的影响；2.审核现场签《公正性保证书》。3.营业部/分公司进行培训，要求强化公正性管理；4.公司的兼职人员需定期提供为企业进行管理体系咨询的信息；5.兼职审核员在接受审核任务时，需确认对公正性的影响；7审核方案策划由同一名审核员连续多次担任对同一企业审核的审核组长，可能存在潜在的熟识（或信任）的威胁。营业部/分公司高体系认证部调度在安排审核组长时，已考虑了公正性因素，但目前公司相关文件中未对此做出明确规定。1修改《体系认证部工作须知》，在须知中明确规定，原则上不应安排一名审核员连续三次以上（不包括三次）担任某一企业的审核组长。如有客观原因，应书面报体系认证部确认。2体系认证部调度不定期对审核组长安排情况进行监督检查。8审核方案策划申请方或相关方指定某位审核中作为审核组长对申请方进行现场审核，可能存在的潜在不公正的风险。营业部/分公司高修改《体系认证部工作须知》，在须知中明确规定：如组织指定或邀请某位审核员担任对该组织审核组长时，调度应以适宜的方式了解核实邀请的原因，判断是否存在熟识、利益关系等影响公正性因素，确认不存在公正性风险后才能安排该审核员担任审调度在安排审核组长时，针对有来自申请方或相关方指定某位审核员担任某一组织的审核组长的情况，一般通过电话方式与相关人员核实邀请原因，在判定不存在公正性风险之后，方才安排其担任审核组长。目前公司文件对此未有明确规定。5/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案核组长。9营业部/分公司高1．营业部/分公司前期根据申请书收集相关信息并进行核实；审核方案策划（调度）未核实受审核方多现场情况而导致组长作出不合理的现场审核日程安排或实际审核人天不足。（如：当天两地飞的情况）2.审核方案策划考虑多现场情况,确定抽样数量；3.调度岗核实；4.强调组长应提前与受审核方确认。组长现场确认核实；5.审核方案策划程序规定各岗位职责，以及三者如何协调、沟通一致。1．细化对高风险，复杂专业组织的审核组专业配备的要求,对于专业部门多、多现场组织的审核，争取专业审核员数量达到60％以上。高1.数据库的审核计划管理功能可以确保审核组的专业能力覆盖认证范围；10体系认证部/营业部/分公司审核方案策划（调度）专业覆盖不全、专业人员不足，导致现场审核日程安排不合理、人天数不足、或实习审核员/技术专家在审核中计算人日数。2.《审核实施程序》明确规定如何计算各类审核所需的人日数，以及对于实习审核员/技术专家在审核中不计算人日数。2．细化对多体系审核安排人日数计算的要求3.营业部/分公司/调度在安排审核任务时严格程序的要求；4．对营业部分公司进行培训和问题汇总反馈5．对审核组进行培训，进行定期问题汇总反馈11高1.质量监督保障部通过媒体收集获证企业事故信息；审核方案策划企业机构调整、文件换版、发生重大事故事件等，审核方案未进行及时调整。体系认证部/营业部/分公司2.体系认证部及时收集企业有关体系变更的来电、来函；3营业部/分公司及时收集企业变更事故信息，得到企业管理体系变更6/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案或发生重大事故的信息后，由体系认证部经理及公司领导确定是否增加附加审核。12营业部/分公司中1.营业部/分公司、质量监督保障部、体系认证部收集相关信息，在数据库中做好反馈。修订《体系认证部工作须知》明确体系认证部加强监督检查审核方案策划（调度）获取的相关信息未在任命书上提示组长，导致组长现场未关注。如：机构调整；文件换版；重大事故事件等。2.审核组长任命书备注中提示。3加强营业部/分公司调度人员的培训。高1.《审核策划工作须知》明确规定第一次监督审核超过12个月应如何控制，具体的条件及审批过程。13体系认证部/营业部/分公司审核方案策划（无正当理由超过认可规范规定的时限三个月未对组织实施监督审核且未暂停、注销或撤消的。调度计划管理）2.营业部/分公司/体系认证部专人负责与企业进行沟通和跟踪。3．营业部/分公司每月报超期企业与体系认证部进行核对。4体系认证部定期进行数据库核查。14高1、成立项目组进行方案的策划；认证的依据变更转换方案的策划变化识别不充分和准确，或转换方案策划、向客户提供的公开文件未制定，或信息不准确和及时。体系认证部2、编制公开文件3、识别相关体系文件修改需求，修改相关的须知三、管理体系审核实施高1文件审核体系认证部营业部/分公司要求审核员执行《审核组工作须知》的要求；文件存在重大问题未发现（如：文件生效和体系运行不足三个月），删减合理性未关注，无专业审核员支持；文件审核意见未落实等。7/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案2营业部/分公司中1.《认证规范》对受审核方提出了文件变化时需要通知CCSC的要求。文件审核（审核策划）体系认证部下达的“委托文审”组长未落实；企业文件变化，组长未做文件审核，导致定期监督计划未能执行。2.《审核组工作须知》对受审核方体系文件变化后的文审给出了具体规定。3文件审核文审活动涉及咨询嫌疑。营业部/分公司中《审核组工作须知》中明确规定文件审核不得提供咨询性意见。高1.《审核组工作须知》中有具体要求；4审核计划体系认证部/营业部/分公司计划安排不合理，审核中涉及的专业活动,但没有安排专业审核员或不配备技术专家进行审核；导致现场审核未能获取认证产品范围内的主要证据或不能满足相关认可要求。2加强对审核组长的培训；3加强审核计划的评审/审查；6现场审核安排实习审核员/技术专家单独审核，导致审核无效。营业部/分公司高1《审核组工作须知》中有规定。2加强对审核组长的培训7现场审核营业部/分公司高1加强对审核方案管理，审核策划时确保抽样的合理性，并保留证据2《审核组工作须知》中有规定；未提供多现场抽样清单，不能证明多现场审核抽样满足要求，或抽样不满足规定要求。3加强对审核组长的培训高1.《审核组工作须知》中有规定；.进一步明确归档材料和修改《审核报告》要求。8现场审核体系认证部/营业部/分公司检查清单中遗漏重要内容，对关键过程、产品种类、重要关键区域无审核证据，或重大环境因素或重大危险源未识别或未实施审核；对重要法律法规未识别或未实施审核的情况，导致无法作出认证决定或对体系作出正确评价。未对适用的重要法律法规的识别或其合规2加强审核员个别培训3认证决定委员会加强认证决定控制，加强案卷质量的考核8/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案性评价进行审核。高1《审核组工作须知》中有规定。1修改《审核报告》9现场审核体系认证部/营业部/分公司企业在法律法规符合性方面存在严重问题（产品实物质量严重不符合；环境、职业健康安全方面存在严重违规或不达标情况等）而审核组已发现但未予以合理处理的。2认证决定委员会复核，汇总反馈2加强对审核员的培训，提高审核技能和风险意识；加强案卷质量的考核营业部/分公司高《审核组工作须知》中有规定。10现场审核审核组长更改审核人员或时间，未得到调度的确认，导致人天数不足或审核组专业能力不足或导致两次审核间隔超期。加强审核安排执行情况的考核11现场审核营业部/分公司中《审核组工作须知》中有规定。审核准备和培训不充分，导致审核不到位，审核证据不充分。高1.《审核组工作须知》中有规定；12现场审核体系认证部/营业部/分公司审核记录未能覆盖审核计划安排的部门、过程、标准条款；审核证据抽样不满足要求；审核证据不可追溯；发现重大问题线索未进行进一步核实等，导致不能做出认证决定或体系的评价。2.修改审核报告和专业检查清单，作出明确要求。3加强审核员个别培训高1《审核组工作须知》中有规定。13现场审核体系认证部/营业部/分公司修改审核组工作须知，明确组长通报营业部/分公司及体系认证部（避免营业部/分公司专业代码评定不准确）现场发现受审核方的产品范围与任命书不一致时未通报体系审核部，导致超业务范围认证或审核组成员不具备相关专业，现场审核无效。2加强对审核组长培训3加强案卷质量的考核14现场审核中1在公司文件中进一步明确组长应反馈的信息要求。现场审核发现企业变更办公地址或生产地址、更名、变更产品范围等情况，未收集相关证体系认证部/营业部/分公司2加强对审核组长培训9/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案据并反馈相关信息，导致CCSC不能及时作出换证等。15现场审核中1.加强培训，提高审核的一致性问题。不同次审核组审核中对企业提出的要求不一致，对企业造成误导或导致顾客投诉。体系认证部/营业部/分公司2.制定专项检查表，统一审核的要求。16现场审核高1.《审核员行为准则》对此类行为做出了限制；审核过程中涉及咨询嫌疑、收受红包礼金、审核员弄虚作假等影响公正性。体系认证部/营业部/分公司2.审核员监控等监督机制。17现场审核高1.加强安排审核前的信息收集；现场核实企业人数超过任命书人数的50％，未通报调度，导致现场审核人天数不满足要求。体系认证部/营业部/分公司2.《审核组工作须知》中有规定。3加强对审核组长培训4加强案卷质量的考核18营业部/分公司高1《审核组工作须知》中有规定。扩大或缩小认证范围的审核现场审核组增发证书、扩大产品范围或作出重大审核决定未通报审核部，导致超范围认证或审核员专业不能满足要求。2加强对审核组长培训3加强案卷质量的考核营业部/分公司高1《审核组工作须知》中有规定。19扩大或缩小认证范围的审核结合年度监督扩大产品范围或区域的审核，扩大证据不充分或未对扩大产品范围或区域的推荐作出评价，导致无法作出认证决定。2加强对审核组长培训3加强案卷质量的考核营业部/分公司中1《审核组工作须知》中有规定。20不符合报告未对需验证的不符合进行验证；实习审核员单独开出不符合报告；不符合事实描述不清楚、不准确，条款判断不准确；不符合报告分析的原因、制定的纠正措施不正确；不符合需要的纠正不满足要求等,受审核加强相关内容的培训。2加强审核员个别培训3加强审核组长培训4加强案卷催交和考核10/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案方对不符合提供的纠正措施证据不满足要求；不符合验证结论不合理；对于涉及成品实物质量的不符合，未就该批产品的处理进行说明。未按时对不符合纠正措施进行验证；21高1.《审核组工作须知》中有规定；不符合报告不符合的纠正措施未经验证有效或验证的证据不充分就推荐认证注册，导致违反认可要求作出认证决定。体系认证部/营业部/分公司2.案卷审核时注意核查相关内容。3加强对审核组长培训22审核报告中1《审核组工作须知》中有规定。审核报告内容空洞，未能针对不同组织的管理体系的运行情况进行充分描述体系认证部/营业部/分公司2加强审核组长培训23审核报告高1．《审核组工作须知》中有规定。审核报告结论与审核发现有明显矛盾，导致不能正确作出认证决定。（审核结论未基于审核发现）体系认证部/营业部/分公司2．加强审核组长培训24审核报告中1《审核组工作须知》中有规定。审核报告描述不准确，不清晰，不全面，不适宜，引起顾客抱怨、投诉或误解体系认证部/营业部/分公司2认证决定委员会复核，汇总反馈3对审核员进行专项培训25高1《审核组工作须知》中有规定。认证范围确认组长未关注到认证范围超出了审核范围体系认证部/营业部/分公司2认证决定委员会复核，汇总反馈3加强案卷审核质量考核。26营业部/分公司高1《审核组工作须知》中有规定。认证范围确认审核报告和信息确认书中的产品范围超出企业营业执照、许可证、资质证书、3C证书的范围，导致该范围认证无效。2文件中进一步明确具体操作的要求。3加强审核组长培训27营业部/认证范围一阶段审核确认的产品范围与分高1《审核组工作须知》中有规定。11/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案确认公司2文件中规定一阶段必须反馈的至少包括哪些信息。申请不一致未及时反馈调度，导致二阶段审核时超范围认证或审核员无专业。3体系认证部定期抽查4加强案卷审核质量考核。营业部/分公司高《审核组工作须知》中有规定。28监督计划监督计划不合理，周期内未能覆盖产品范围内的重要场所和部门，导致监督审核不能全面、准确地对企业的管理体系作出正确评价；监督计划的每次监督审核内容未覆盖产品范围（大类）监督审核未覆盖规定的内容而导致违反认可要求。/认证决定委员会案卷审核时注意核查相关内容。29监督计划营业部/分公司高1《审核组工作须知》中有规定。企业机构、职能发生变化，组长未对后续的监督计划作出调整，导致后续的监督审核不满足认可要求。2文件规定出监督审核的覆盖要求。3认证决定委员会复核，汇总反馈4加强对审核组长培训30监督审核中1、MI0701审核策划工作程序规定如何控制、具体的条件及审批过程。2．营业部/分公司专人负责与企业进行沟通跟踪。初次认证后的第一次监督审核超过12个月体系认证部/营业部/分公司3．营业部/分公司每月报超期企业与体系认证部进行核对。4体系认证部定期进行数据库核查。31高1暂停、撤销、注销、缩小证书应该暂停、撤销、注销、缩小证书的，而未采取措施，导致违反认可规定。作出提供暂停、撤销认证证书的证据不准确,,体系认证部/营业部/分公司认证决定控制程序中明确放行条件，审批流程。2．营业部/分公司专人负责与企业进行沟通跟踪。12/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案导致客户的申诉。3．营业部/分公司每月报相关企业与体系认证部进行核对。4体系认证部定期核查数据库32延长证书高延长认证证书的条件不具备而延长认证证书，导致不符合要求的企业仍然持有认证证书。体系认证部/营业部/分公司《审核策划工作须知》中有规定。修改《审核策划工作须知》进一步明确延长证书的条件。33增发证书高1《审核组工作须知》中有规定，增发证书流程要求及增发不同证书的条件。增发证书资料不全而增发认证证书，导致违反认可要求。体系认证部/营业部/分公司2认证决定委员会控制34案卷接收低1《案卷审核要求》有规定。未严格检查案卷质量，归档资料不全即提交认证决定委员会作认证决定。体系认证部/营业部/分公司2体系认证部核查3纳入绩效考核内容35案卷流转高1《审核组工作须知》及《体系认证部工作须知》中规定了流转登记要求。案卷流转管理不当，导致案卷部分或全部丢失，无法作出认证决定或体系运行情况评价。体系认证部/营业部/分公司2加强审核组长的培训36案卷流转营业部/分公司中1《审核组工作须知》有规定案卷流转不及时，导致顾客抱怨或投诉。2案卷交回及时性作为绩效考核内容营业部/分公司高1《审核组工作须知》中有规定。37生产许可证、3C证书、资质证书等未收集（或不全），导致部分（或全部）超资质（或许可）发证。资质变更未及时获取。认证信息材料收集2加强审核员培训，进一步明确材料收集要求。3认证决定委员会复核，汇总反馈4纳入绩效考核内容38未收集重要环境因素/危险源清单、法律法规、标准清单、适用有效的法定的质检报告、环境监测报告、环评报告、安评营业部/分公司中1《审核组须知》中有规定认证信息材料收集2加强审核员培训3纳入绩效考核内容13/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案报告、三同时报告和等必要材料。39特殊审核出现特殊审核未提前“较短时间”通知受审核方，导致顾客投诉或拒绝接受审核。中《审核组工作须知》中有规定。体系认证部/营业部/分公司第二部分：产品认证业务一、产品认证制度的策划（产品认证部）1总体策划产品认证制度未做事先策划中1产品认证部对每类产品制定并确认认证策划书2根据策划书要求制定产品认证规则21、规则制定人员能力不足中认证规则制定产品认证部内外部反馈意见进行评审和修订，不断完善规则的合理性2、依据的标准不适宜3、内容不合理（认证模式、单元划分收费等）31人员能力不足低人员能力与合理性产品认证部部门领导对编写规则人员的能力和标准进行确认2依据的标准不合理二、产品认证申请受理、评审及合同签订过程（产品认证部）1申请受理低1以公开文件形式告知在公司网站上公布认证要求未提供给申请组织，或未能向申请方充分说明认证要求。产品认证部2.以适当方式发送企业2申请受理低1.申请评审时核实申请书填写的内容。申请方提供的信息不真实或不完整。产品认证部2.评审组人员核对组织提供的信息的完整性及资料的完整性。3申请受理低1通过培训、交流消除不一致申请受理人员对认证要求的理解不一致，产品认证部2按规则要求划分单元认证单元划分不合理。14/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案低1核对是否在认证范围4申请评审产品认证部在已认可的认证范围内，实施申请评审时专业代码明显错判，造成不能有效评审2没有能力的不受理3超范围的向认监委提出扩大申请范围后经批准后可受理申请的产品不在授权认证范围内5低1专人负责录入；建立产品认证信息平台合同信息的录入信息录入不准确，或未对获证企业变更信息及时更新。产品认证部2部门领导抽查。三、产品认证实施的策划（产品认证部）1实施策划人员能力不满足要求中1选择具备能力的人员。产品认证部2实施策划低1.评审人员签订“保密与公正性承诺书”。安排的人员与企业存在利益冲突产品认证部2.程序已规定不得安排与企业有利益冲突的人员参与评审工作。3实施策划中工厂审查时现场不具备评审条件。产品认证部评审安排前充分了解企业生产状况，确定是否具备工厂审查条件。四、产品认证设计评估（产品设计评估中心）11标准规范收集不全高1.评审现有标准规范的有效性设计评估产品设计评估中心2标准规范过期2不定期补充完善标准规范2设计评估1安排的人员专业配置不合理中1对相关人员进行培训产品设计评估中心2确定相关人员的能力3评估中使用软件：中设计评估产品设计评估中心申请评审时候确认是否有资源能力，不具备条件不能受理合同。--缺少必要的软件--软件升级不及时专人负责跟踪软件升级信息，确保及时升级。4缺少指导评估过程的须知中部分专业已制定了须知完善专业指导须知设计评估产品设计15/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案评估中心5中1、结合各类检查结果反馈改进设计评估评估过程控制，没有执行程序或须知的规定产品设计评估中心2、加强人员培训提高能力3、通过认证决定过程，加强对评估案卷的审查；五、现场评审（型式试验、工厂审查、不符合项纠正及评审报告）1型式试验中型式试验方案及大纲不满足规则要求产品认证部方案和大纲在实施前需经具备专业能力的人员审查。2型式试验中现场不具备型式试验条件或试验能力不满足要求。产品认证部型式试验前必须核实现场条件和试验能力能否满足型式试验要求。3工厂审查低1选派培训合格人员组成评审组。工厂审查策划不严谨，存在内容/活动的遗漏产品认证部2工厂审查计划经评审组长审查。4工厂审查低1安排不具备能力的人员单独实施评审产品认证部评审组长不得安排不具备能力的人员单独实施评审5工厂审查中1审查过程中遗漏重要内容，对关键过程、产品的一致性无检查证据产品认证部制定工厂审查计划时确认关键过程与产品一致性要求，2实施过程中由具有能力的人员担任负责人3对检查记录进行核对6工厂审查低现场发现申请认证的产品与实际生产的产品不一致时未做相关处理。产品认证部评审组发现后及时向产品认证部报告，重新确定产品认证范围。7工厂审查低1收集相关证据现场评审发现企业变更生产地址、更名、变更产品范围等情况。产品认证部2按相关程序办理扩大或变更认证。8工厂审查低1.行为准则对此类行为做出了限制；现场评审检测过程中涉及人员收受红包礼金、评审员弄虚作产品认证部16/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案假等影响公正性。2.评审员监控等监督机制。低19产品认证部由评审组长对不符合项提出和纠正措施的符合性进行审查，不符合项纠正未对需验证的不符合进行验证；不符合事实描述不清楚、不准确；不符合报告分析原因、制定的纠正措施不正确；不符合需要的纠正不满足要求等2由认决委对不符合项进行审查。10报告编制编制检验/检查报告结论不合理，检查检测报告结论与检查检测发现有明显矛盾，导致不能正确作出认证决定。低1评审组长负责各项认证工作报告的审查，产品认证部2报告发出前，按程序要求由认决委审查。3评审组型式试验见证人员负责试验报告的一致性。11证书认证证书格式及内容差错。低1评审组长负责对认证证书中的技术内容的正确性。产品认证部2产品认证部负责证书格式及内容的符合性。3认决委负责证书的最终确认。12监督评审低1和企业沟通了解实际情况。监督计划不合理，未能覆盖重要场所和认证的产品产品认证部2按相关规则要求实施14监督评审低1产品认证部制定获证单位相关信息表，提前2个月做好准备。初次认证后的监督评审超过规定周期。产品认证部2对没有正当理由超过规定周期不接受监督评审的获证组织暂停或撤消证书六、分包管理（产品认证部/认证决定委）1分包管理低1选择的分包单位不符合程序规定。产品认证部分包前按程序文件要求，确认分包单位的能力2年度监督分包单位的保持能力2分包管理高严格按照程序文件要求执行实验室条件不具备而得到批准认证决定17/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案委七、产品认证证书状态（产品认证部/认证决定委）低11扩大1企业超范围使用证书和产品标志产品认证部通过公开文件告之获证单位证书标志使用范围及滥用责任暂停2监督评审时核查证书和标志的使用情况2企业暂停后继续使用证书和产品标志3对暂停使用证书和标志的单位进行跟踪监督3对扩大、暂停单位未在公开信息中公示。4对扩大、暂停企业，通过公司网站公示2证书保持1产品认证要求变化后，公司未及时调整认证的要求低1产品认证部/认证决定委实施已制定认证要求变更的控制程序2未告之获证单位认证要求调整内容2产品认证部将相关信息准确及时传递到认证决定委3按照认证决定程序作出相应的认证决定。第三部分：综合管理一、认证决定过程25高1、管理体系认证和产品认证相应的工作须知中规定了案卷流转登记要求。1案卷流转案卷流转管理不当，导致案卷部分或全部丢失，无法作出认证决定或体系运行情况评价。审核组长、分公司、营业部、体系认证部、认证决定委员会2、审核/评审组严格执行，并进行考核。2中案卷审核、审定、批准未严格检查案卷质量，导致重大问题未发现或未解决即作出认证决定。认证决定委员会在认证决定程序中明确案卷审核、审定的要求。3中1、管理体系认证和产品认证相应的案卷流转、案卷提交、内部流转、案卷审审核组18/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案工作须知中规定了案卷流转登记要求。审核、审定、批准不及时核、审定、批准不及时，导致顾客抱怨或投诉。长、各分公司、营业部、体系认证部、认证决定委员会2、审核/评审组严格执行，并进行考核。4审核/评审报告中1、《审核组工作须知》中有明确规定。审核报告对顾客的关键活动、产品实现过程描述不准确，引起顾客误解，导致顾客抱怨或投诉。审核组长、认证决定委员会产品认证程序中有关报告的要求2、案卷质量考核3、加强对审核组长的责任心教育。高1、《审核组工作须知》中有规定。5生产许可证、3C证书、资质证书等未收集（或不全），导致部分（或全部）超资质（或许可）发证。资质变更未及时获取。审核组长、认证决定委员会加强审核组长培训，进一步明确材料收集要求。认证信息材料收集2、案卷审核要求中有规定。3、编制《生产许可证、3C认证、有资质证书要求行业目录》，以使相关人员准确把握国家、行业的相关要求，及时收集有关材料。4、动态跟踪资质、许可证等有关要求的变化情况，及时更新《生产许可证、3C认证、有资质证书要求行业目录》。中1、《审核组工作须知》中有规定。6未收集重要环境因素/危险源清单、法律法规、标准清单、适用有效的法定的质检报告、环境监测报告、环评报告、安评报告、三同时报告等必要材料。加强审核员培训，进一步明确材料收集要求。审核组长、研究拓展部、认证决定委员会认证信息材料收集2、案卷审核要求中有规定。7高专业范围检查未对申请认证的范围进行复核，导致超认可认证业务范围认证决定委员会按《认证决定决定程序》的规定执行。19/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案发证。8认证决定中1、按《认证决定决定程序》的规定执行。认证决定过程中疏忽，导致认证决定的偏差。认证决定委员会2、强化认证决定质量考核9认证决定高1、案卷分配人员严格按《认证决定程序》的规定分配案卷。实施审核/评审的人员参与了认证决定。认证决定委员会2、对案卷审核分配人员进行考核、卷审人员进行考核。10认证决定中执行《认证决定程序》无充分的理由即推翻现场审核组/评审组作出的结论，导致认证决定不准确。认证决定委员会11中执行《认证决定程序》初次认证批准被认证组织不满足认证条件即作出认证批准，导致认证决定不准确。认证决定委员会高执行《认证决定程序》12认证决定委员会再认证批准在认证终止前，未对再认证审核/评审中发现的不符合实施的纠正与纠正措施进行验证，即批准再认证，导致违反认可规定。13高执行《认证决定程序》扩大认证范围批准被认证组织未满足扩大认证条件即作出认证批准，导致扩大证书不准确。认证决定委员会高执行《认证决定程序》14认证决定委员会缩小认证范围的批准客户认证内容发生变化，经核实缩小后的认证范围满足独立认证的条件但未作出缩小认证范围批准，导致认证证书范围超出企业管理体系/产品覆盖范围。20/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案高执行《认证决定程序》15认证决定委员会暂停认证证书的批准组织出现特殊事件而未批准暂停其认证证书，导致违反认可要求（特殊事件指：组织的管理体系存在较为严重的问题；组织的产品质量发生严重不合格；主要污染物排放超过国家或地方的排放标准或违反国家的环保法律法规；严重违反职业健康安全法规；对不正确使用认证证书或标志未按要求纠正等）。高执行《认证决定程序》16认证决定委员会撤销认证证书的批准组织出现特殊情况而未对其认证证书作出撤消批准，导致违反认可要求（特殊情况指：暂停无法恢复或拒绝恢复审核；发现经证实发生重大质量事故、重大污染事故或职业健康安全事故等）。17高执行《认证决定程序》恢复认证证书的批准组织满足认证证书的恢复条件但未作出恢复认证证书的批准，导致顾客投诉。认证决定委员会18高执行《认证决定程序》多现场认证证书的批准未进行多现审核而批准多现场认证证书，导致违反认可要求。认证决定委员会19高认可证书标志使用错误使用认可证书、认可标志和国际互认标识，未采取纠正措施的。认证决定委员会《认证证书和各类标志的管理及使用须知》中规定。20未获得批准颁发证书高《证书编制须知》中规定。认证证书的管理认证决定委员会21/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案21中《证书编制须知》中规定。认证证书的管理证书格式表达信息不足，未满足认可规范要求。认证决定委员会22证书内容编制错误。低《证书编制须知》中规定。认证证书的管理认证决定委员会23低《证书编制须知》中规定。认证证书的管理颁发、暂停、撤销、注销等认证信息的公布错误或不及时。认证决定委员会数据库及网络的支持管理24证书的发放和回收不及时。低《证书编制须知》中规定。认证证书的管理认证决定委员会高按照《认证信息通报须知》执行25未按CNAS-RCO3《认证机构信息通报规则》及时准确通报信息的；或对影响认可结果可信性的重要信息，包括对获证组织发生重大产品质量、环境、职业健康安全、食品安全等事故，未在规定时间内通报的。认证决定委认证信息通报二、体系管理和改进机制151高1、公司规定了对质量管理体系进行策划、建立、实施和监督的职责。质量管理体系的策划和建立质量管理体系文件策划不全面，缺少确保认证过程有效策划、运行和控制所需的文件。质量监督保障部2.定期进行跟踪检查，发现问题及时补充。2高1、专门岗位负责跟踪认可要求变化。定时查询相关网站，及时收集相关信息。质量管理体系的策划和实施收集认证认可规范和认可要求不准确或不及时，特别是当认可准则发生变化时没有及时获取并进行转换。质量监督保障部2、策划转化认可要求的方案3高1.管理手册承诺依据认可要求建立、实施和保持质量管理体系；质量管理体系的策划与实施质量管理体系文件没有根据认证认可的要求进行编制和修改。质量监督保障部2.部门职责规定了编制和修订质量管理体系文件的职责。4高1、公司分别制订以下程序和须知对质量管理未按规定时间间隔实施内部审质量监督22/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案保障部内部审核和管理评审工作进行控制体系的策划与实施核和管理评审（含总部对分支机构未进行内审），或虽实施内审和管理评审，但其管理体系运作有效性存在系统性严重问题。2、执行《内部审核程序》；3、执行《管理评审程序》。5高质量管理体系的策划和建立无正当理由超过规定时限接受认可机构审核。质量监督保障部公司设专人与认可机构协调认可相关事宜。6内部审核高1.执行《内部审核程序》；内部审核策划不充分，内审计划不能覆盖各部门和各项认证活动。质量监督保障部2.管理者代表对内部审核的策划工作进行控制。3、部门设立专门岗位负责内部审核7内部审核中1.加强审核前的策划；内部审核人员对认证规范和公司体系文件不熟悉，审核深度不够，影响内审的效果。质量监督保障部2.审核前留出充分的培训时间。3.强化内部审核员的培训8内部审核中未按规定对内审员进行评价。质量监督保障部《内部审核程序》的要求对内审员进行定期评定，保留评审记录。9管理评审高加强管理评审前的策划。管理评审输入不充分，不能为管理评审提供充分的依据。质量监督保障部10管理评审中1.专人进行跟踪检查；管理评审提出的改进措施未得到落实，影响公司的持续改进。质量监督保障部2.需要时，对未能实施的措施及时提出调整方案。11中不合格控制未对不符合进行原因分析，并制定和实施纠正预防措施。质量监督保障部执行《不符合控制和纠正预防措施程序》。12中不合格控制对于认可评审中提出的不符合，未按认可机构规定时限采取纠正和纠正措施。质量监督保障部执行《不符合控制和纠正预防措施程序》。13高不合格控制在前后两次认可评审中，同样类型的严重不符合重复出现质量监督保障部执行《不符合控制和纠正预防措施程序》。23/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案的，且本次纠正措施不满足要求的；或在前后两次认可评审中，一般不符合重复出现，并导致机构体系运行出现系统性问题，影响认证审核有效性和公正性等关键问题的；14中1.建立了控制程序，规范对于客户满意信息的收集、分析和处理活动；满意度调查和分析满意度调查策划不足，方法单一，不具有代表性。质量监督保障部2.指定专人负责客户满意信息的收集、分析和处理。3、采取多种形式进行客户满意度的调查。15风险管理高1.建立《认证风险辨识和控制程序》；未健全认证风险的控制机制，未识别清楚风险的来源，质量监督保障部2.定期进行风险辨识和评价。3.通过培训宣传，提高每个审核员的风险意识，提高审核员的能力，并通过完善来有效的抵御认证风险。三、认证人员能力与评价系统及监控1高能力要求分析认证实施人员和认证管理人员的管理能力、专业能力的需求分析和资格准则建立的工作不完善。人力资源部依据管理体系认证、产品认证人员能力评价程序1、建立了从事认证人员能力分析系统，对经认可的业务领域提出对人员的能力要求和评价方法；2.建立了认证管理人员的能力要求和评价方法；3、已按照要求开展人员能力评价。2中1.设立审核作业指导书管理岗位，专业能力专业能力分析文件中关于专业体系认证24/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案分析部专人管理；特点的描述、对审核人员的要求等出现错误，导致本机构专业人员评定时发生错误。2.编写专业能力分析文件时对作业指导书的编写需求进行识别并组织人员编写。3、当认证的依据发生变化时，组织识别变化对技术能力分析和审核人员要求的影响，识别相关作业文件修改的需求，并完成修改。3人员聘用中《人员选择录用程序》公司聘用人员管理制度不完善或执行不到位人力资源部1、建立了人员使用前的背景调查2、严格按程序要求执行中4人员聘用人力资源部《人员选择录用程序》各领域配备人力资源与认证业务活动的规模相适应的情况，人员聘用需求分析系统未健全，可能导致审核资源的配备和所面临的审核工作量不相匹配。人力资源部根据公司发展战略和业务发展规划，分析和制订人力资源需求计划5人员聘用中分公司属地化管理后，分公司各属地配备人力资源与认证业务活动的规模不相适应人力资源部《人员选择录用程序》1、每年初，各分公司根据业务发展需求及属地各领域资源配备情况向公司报需求2、根据公司批准聘用人员。6人员聘用高初次聘用人员的初始能力评价的内容，不够完善。人力资源部依据管理体系认证、产品认证人员能力评价程序1.采取面谈/面试/笔试，及审核能力现场见证等方式对人员进行考察；2.完善人员能力要求、确定度量能力的指标和评价能力所采取的方法。25/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案高7人员聘用人力资源部依据管理体系认证、产品认证人员能力评价程序对外部审核员、技术专家的初始能力评价仅仅是对于人员的经历材料进行评价和记录，如学历、培训经历、工作经历、审核经历评价，用经历评价代替能力评定，导致能力评价的偏差。1、增加正式使用前的面谈测试，间接的进行证实和评价2、增加使用中对能力复核的要求。8人员聘用中由于一人一户的规定，专职人员聘用（转机构）前采用现场考评造成不满足认证认可协会的要求。人力资源部《人员选择录用程序》结合考察期（考察期形式包括试用期），采用间接考察的方式进行进一步评价9人员聘用中内部或外部个别人员存在咨询情况，但又未向公司告知，影响公正性。人力资源部《人员选择录用程序》1、与所有人员签订保密与公正性承诺，2、对有信息反映的人员建立内部档案，重点监控；3.按照劳动合同规定，发现后作为解除合同的要约。10人员聘用中保密和公正性承诺未覆盖所有人员，会造成潜在的公正性影响。人力资源部《人员选择录用程序》1、与所有人员签订保密与公正性承诺。2、建立随机抽查制度。11人员聘用低1.与原单位人事部门了解情况；学历证书原件的真实性无法确认，但就证书原件而言，很难确认真实性。人力资源部2.建立举报制度；3.发现后解除合同；4.聘用人员的证书复印件都须与原件确认，并由公司/分公司或推荐单位签字盖章。12人员聘用中1、各分公司负责定期对属地人员的信息和记录的更新并反馈人力资源记录未及时更新，导致信息不准确人力资源部26/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案部2、人力资源部负责人员记录的定期核定13人员聘用中审核员未按规定经国家认证人员注册机构注册。人力资源部《审核员资格管理规定》1、明确要求审核员必须取得注册资格；2.审核员的注册由专人管理；3.数据库录入经注册和专业评定的人员。14人员聘用中要求本人提交详细工作、审核和咨询经历分公司对转会人员离职和工作背景不够了解，导致区域审核员审核了有利益关系或冲突的企业人力资源部《人员选择录用程序》1、签订保密与公正性承诺。2、建立随机抽查制度。15资格管理中体系审核员审核经历不满足CCAA审核员注册准则要求无法完成年度确认或再注册导致注册证书失效。人力资源部《审核员资格管理工作须知》1、规定了审核员资格保持的条件以及资格管理的办法。2.人力资源部提前向本人和所属部门发出进行年度确认和注册到期人员的通知16资格管理中1、建立产品认证人员资格管理及专业清单。公司未建立产品认证人员资格管理和专业能力信息系统，导致使用部门无法及时得到相关信息。人力资源部2、人力资源部收集从事产品认证人员信息，建立人员档案和相应的信息记录，不定期发给相关部门和各分公司。17资格管理分公司未按CCAA转换职业机构要求，在审核员未正式办理转会之前，就安排审核任务高《人员资质管理程序》人力资源部1、人力资源部对各分公司进行CCAA转换职业机构要求的培训2、分公司接到人力资源部正式通知27/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案后，方能安排审核18资格管理中1、对提交的资料应由各分公司和人力资源部核实；其证书都须与原件核实确认后复印在各类人员上报的资料中，审核员提交虚假证书复印件或虚假工作经历等人力资源部1、通过与应聘人员原单位了解本人的真实背景2、上网查询2、推荐人或单位签字盖章。19资格管理高实施认证人员的证书失效后仍参加公司安排的审核工作导致审核失效。人力资源部实施认证人员证书失效后，及时在数据库中关闭。20资格管理高各类人员技术档案失火，失窃等意外情况，或审核员技术档案借阅管理不当导致丢失等。人力资源部《档案记录管理须知》规定了档案管理的要求。21能力评价中1、根据使用中现场监控反馈信息，进行有针对性的现场能力见证缺少在使用中通过现场进行能力的见证，不能进一步复核人员能力的符合性。人力资源部2、管理体系认证实施中结合审核由组长实施监控，一个周期/3年作一次现场考评。22能力评价中未规定对审核人员扩展专业进行必要的评价方式，不能有效判断对人员专业能力。人力资源部管理体系认证、产品认证人员能力评价程序已规定了对审核人员扩专业应进行的评价要求和方式中《人员考评程序》23能力评价人力资源部对于机构长期使用人员未根据所承担审核任务量的多少和项目的风险程度以及个人能力表现，设计和策划对其实施监视的时间和频次。1、根据审核频次、专业领域的风险、组长监控结论和客户见反馈设计、策划实施监控的时间和频次。2、]结合审核由组长实施监控，一个周期/3年作一次现场考评。24能力评价中体系审核员仅使用从事产品质量工作的经历来支持扩大EMS或OHSMS风险等级为一/二级的专业。人力资源部根据《认证人员能力要求和专业能力评定程序》中的条件对人员能力进行评定。28/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案25能力评价高未按新调整的岗位及时对认证管理人员进行能力评定人力资源部及时安排岗位调整人员按管理体系认证、产品认证人员能力评价程序进行能力评定26能力评价高审核员的初始能力未由有能力的评价人员在对审核员审核见证中确定人力资源部管理体系认证、产品认证人员能力评价程序规定1、规定了有能力进行初始能力评价人员的选择原则2、严格按要求执行27能力评价高对认证人员和认证管理人员评价结果证据缺乏，影响到评价结果的可信度人力资源部严格按管理体系认证、产品认证人员能力评价程序要求执行28能力评价高增加数据库自动提示功能未对专业审核员、技术专家按规定的周期进行专业能力保持的评价人力资源部管理体系认证、产品认证人员能力评价程序规定了审核员、技术专家专业能力保持的评价周期、保持条件和评价方式29能力评价高严格按《人员考评程序》执行未及时安排各类人员的现场综合考评人力资源部30能力评价未对间隔超过12月未审核人员再次审核时进行审核能力的评价高定期筛查和监控人力资源部中1、执行《人员监控评价管理程序》和《人员考核程序》。31人员监控质量监督保障部/人力资源部/认证决定委对审核员和其他与认证活动相关人员实施连续监视和评价的准则不完善（如：组长对组员的考评内容不完善，考评表内容不能很真实地反映审核员的现场表现）。认证决定人员监控2、案卷考核32人员监控中未按监视和评价准则对人员实施监控（如：审核计划安排不质量监督保障部质量监督保障部设专人对人员监控活动进行管理。29/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案能保证审核员在规定时间内实施有效的内部监控，核实人员能力，或考评未按要求时间反馈等）。33人员监控低没有利用现场见证、审核报告复核及客户或市场反馈相结合的方式得出监视结果。质量监督保障部/人力资源部《人员监控评价管理程序》和《人员考核程序》。专职人员在年终考评时利用现场见证、审核案卷复核及客户或市场反馈的结果。34人员监控低1、质量监督保障部负责审核员监控、客户意见反馈信息汇总分析和利用；缺乏对监视结果的收集、整理、分析和利用，不能为培训提供输入信息。质量监督保障部/人力资源部2、人力资源部根据考核/考评信息的汇总分析和利用。35人员监控分公司/人力资源部低安排现场人员实施见证时，作为审核组人员同时担当审核任务，不能有效实施见证。调度在安排审核任务时适当增加审核时间。36人员监控中加强见证策划对现场实施人员见证缺乏前期策划，达不到预期效果。人力资源部37低内部人员培训缺乏对培训的策划，或培训策划内容不能满足公司发展的需要。人力资源部按照《人员培训程序》的要求，在年度培训策划前认真做好培训需求分析。38高内部人员培训未将人员监视结果作为培训需求的输入，以制订适宜的培训计划并提供充分培训人力资源部每年的年终考核，根据人员现场监视结果汇总（审核组长、企业），进行表现和能力评价，对监控优秀率≤60%人员，将其结果反馈所在单位，安排对其进行培训39中1.不定期举办专业培训；内部人员培训未向专业审核员、技术专家提供专业发展的培训，使其专业人力资源部2.采取本人提供专业知识更新证据30/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案能力不能得到保持。的形式（包括发表的专业文章、技术标准的制修订、学习心得等），证实技术专家的专业能力得到保持。40中1、审核员/技术专家和认证管理人员已发GB/T27021标准等认可文件。内部人员培训缺乏对认可规范知识的学习和培训，导致工作出现偏差。人力资源部2、不定期组织人员培训认可规范的要求。41中。内部人员培训体系发生变化时或认证依据变化时未能及时培训，导致对新的文件不了解造成的工作不规范。人力资源部加强体系和认证依据变化时的质量管理体系文件学习和培训42中内部人员培训培训计划未能实施，培训需求得不到满足。人力资源部《人员培训程序》人力资源部负责对培训计划实施情况的进行跟踪落实。43中内部人员培训未认真做好审核员现场审核前培训，影响审核的深度。人力资源部《审核组工作须知》规定了现场审核前培训的要求。44教师能力不足,选择不当，讲课教师误导，课程针对性不强。低对教师进行评审，审批。内部人员培训人力资源部45低规定了培训组织工作的要求。内部人员培训组织培训时，对培训方式、地点、培训设施及相应的服务考虑不足，影响培训效果。人力资源部46*分包方人员的管理中分包方有关人员的保险责任没有考虑，人力资源部客户资料的保密，使用公司统一的记录媒介，保存的地方应该确保不被泄密。信息保密，现场工作的原始记录未妥善处理而可能泄密。四、认证业务范围管理1高《业务范围扩大与缩小程序》。认证业务缺乏对认证业务范围的管理。质量监督31/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案范围管理保障部2中建立专业能力分析系统。经认可的业务范围管理未对已认可和拟扩大的业务范围的专业特点和风险的分析和评估。体系认证部3高1.《业务范围扩大与缩小程序》；经认可的业务范围管理人员变动时或人员能力不满足要求时，未对已认可的业务范围的人员能力进行分析和评估。人力资源部2.按专业范围建立认证人员名录。4中《业务范围扩大与缩小程序》；经认可的业务范围管理经认可的业务范围变更后，未能及时变更数据库信息和手册相关信息。质量监督保障部2.质量监督保障部专人负责。5申请受理中1.质量监督保障部将认可的业务范围挂在内网上，供查询；受理不在经认可的业务范围内的合同。体系认证部/产品认证部/营业部/分公司数据库对未经认可业务范围设定提示功能。2.申请评审岗核对。3体系认证部/产品认证部确认高1.业务范围挂在数据库上，供查询；公示认可的业务范围；数据库内对未认可的专业代码进行标识6审核范围控制超出经认可的认证业务范围（大类或要求强制见证的小类）进行认证，并颁发带有认可标志的认证证书。综合事务部/体系认证部/产品认证部/营业部/分公司/认证决定委员会数据库设定提示功能2.申请评审人员核对；审核/评审安排各阶段进行提示；3.产品认证部/体系认证部监控4决定委按照认可范围发证。五、对获证组织发生重大事故的处理过程中1.《审核组工作须知》中规定了对获证组织发生的重大质量、安全、环境污染事故检查以及向公司报告的要求；1现场审核中对获证方的监督对受审核方发生重大质量、安全、环境污染事故等信息了解不充分或不及时，导致CCSC不能作出及时的反应。体系认证部/营业部/分公司/质量监督部2.《认证规范》要求获证组织在发32/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案生重大质量、安全、环境污染事故时及时向公司报告。3业务部门按照通函规定执行2质量/环境/安全事故信息处理未关注获证企业的重大事件，高1质量监督保障部依据通函“关于跟踪获证企业重大事故处理的要求”进行2.由专人通过媒体进行跟踪，发现问题及时处理。高13未及时收集、跟踪和处理政府部门抽查获证组织的不合格信息、违法/违规信息。质量监督保障部依据通函“关于跟踪获证企业重大事故处理的要求”进行政府部门抽查的不合格信息、违法违规信息收集2.由专人通过媒体进行跟踪，发现问题及时处理。六、认可标志和国际互认标志的使用1对外宣传高对外宣传中错误地使用认可证书标志和国际互认标志。综合事务部已制定认证证书和认证标识的管理须知和通函2认证证书高严格按照认证决定程序执行对未经认可的领域或专业范围颁发带有认可标志的认证证书。认证决定委3高1.《认证规范》和《产品认证规则》中明确了认证证书和标志（含认可标志）的使用要求；认可证书标志的使用发现获证组织误使用认可标志的行为，未采取有效纠正措施。认证决定委2.现场审核时对认证证书和标志的使用进行检查；3.对暂停、撤销或注销认证的组织，收回或让其销毁认证证书和认证标志。七、申投诉的处理过程1申诉投诉中1.《申诉、投诉和争议处理程序》规定了对申诉、投诉和争议的处理对申诉、投诉的事件未及时处理，未按规定要求及时回复。质量监督保障部33/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案要求。2.质量监督保障部专人负责申诉、投诉和争议的处理。2申诉投诉高公司文件中对公众的申、投诉渠道没有文字上明确。质量监督保障部公司网站上对外公布申、投诉电话。八、其他方面（公正性委员会、文件档案管理、技术支持、数据库、网络、对外培训、财务等）1低文件管理控制程序文件的控制文件未能有效控制，例如未获批准发放文件，发放不及时，未撤回旧版本等。综合事务部2低文件的控制电子文件的存储管理不完善，造成文件丢失或失密。综合事务部文件管理控制程序、收文管理规定和发文管理规定3外来文件未及时传递。低文件的控制综合事务部文件管理控制程序、收文管理规定和发文管理规定4低计算机网络设备规定公司办公场所维护办公设备不能正常运转导致公司不能正常运作。综合事务部5中认证档案的管理保管不善导致档案丢失损毁。综合事务部质量记录管理程序和档案记录管理须知6交接记录不全无法追溯。低认证档案的管理综合事务部质量记录管理程序和档案记录管理须知7档案的保密管理不善。中档案记录管理须知认证档案的管理认证决定委8高公正性委员会章程和程序规则公正性委员会公正性委员会的组成结构不能满足认可规范的要求，如不能代表全部的相关利益方。综合事务部9高公正性委员会章程和程序规则公正性委员会公正性委员会成员应获得的信息不充分（如业务范围、新产品开发、国家对认证行业的要求），导致无法对公司公正性综合事务部34/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案做出判断。10高公正性委员会章程和程序规则公正性委员会没有达到公正性委员会提出的与公正性相关的要求。综合事务部11数据库系统策划不充分。高每个项目开发计划书数据库系统综合事务部项目开发计划书经评审后实施12数据库功能不完善。高项目开发计划书/数据库运行管理规定。数据库系统综合事务部13高数据库运行管理规定/项目开发计划书数据库系统数据库数据不准确，不一致，或丢失。综合事务部14低数据库系统数据库开发外包的保密和利益冲突。综合事务部网站管理规定，签署保密公正性协议15网站管理内容的及时性，准确性。高网站管理规定综合事务部16网站管理低网站开发的外包的保密和利益冲突。综合事务部项目合同书，签署保密公正性协议17网络瘫痪/病毒攻击等导致无法正常工作高计算机网络管理规定计算机网络综合事务部18中新产品开发（指开发新的认证品种）开发过程没有按照认可要求或本机构新产品开发程序进行控制。体系认证部新产品开发过程严格执行认可要求或本机构新产品开发程序。19高1.开发新产品时必须进行对公正性威胁的分析；新产品开发（指开发认证以外的新品种）新开发的产品可能影响本机构认证的公证性。研究发展部2.开发的新产品必须得到公正性委员会的同意。20认证规范中1.编写人员加强对认可规范等及公司相关文件的学习，及时更新有关信息；认证规范内容不全面，未将需要告知客户的有关认证认可要求信息及时告知客户。体系认证部35/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案2.按照文件审批程序评审，对发现的错误进行纠正；3.对使用过程中发现的错误及时进行修订。21中1.编写人员加强对认可规范等及公司相关文件的学习，及时更新有关信息；核对现有作业指导书，对一级风险专业（对于QMS，带*号专业）没有审核作业指导书同时本机构又有认证客户的范围，补充编写作业指导书。审核作业指导书编写审核作业指导书专业特点、危险源、环境因素描述不准确、不全面，可能影响审核员现场审核。体系认证部2.按照文件审批程序评审，对发现的错误进行纠正；3.对使用过程中发现的错误及时进行修订。低1.技术部对编写的作业指导书进行审核，必要时请专业人员审核；22对于QMS，个别带*号专业（对于EMS/OHS，个别一级风险专业）本机构没有审核指导书也没有专业能力分析文件，并且因为缺少以上文件影响了审核组现场审核的有效性。体系认证部审核作业指导书编写2.通过会签流转过程，对发现的错误进行处理。23低1、每季度收集EMSOHSMS最新法律法规，放入公司数据库中1法律法规的收集、更新未收集最新的重要的法律法规，或重要的法律法规没有及时更新。研究发展部如果发现重要的法律法规有遗漏，及时对数据库和清单相关内容修改。2、每年更新法律法规清单一次。24对外培训低1.CCSC培训课程的介绍；培训课程不能满足接受培训的需求。质量监督保障部2.充分了解客户的需求。25对外培训低1.加强对教师选择和评价；强化对教师的培训。教师个人能力偏差，授课内容不统一或造成对接受培训人员的误导。质量监督保障部2.针对不同的培训课程，安排具备专业特长的教师授课。26对外培训低1、授课内容仅限于公开的标准基础知识和审核知识，不针对企业的具体情况。培训安排和内容影响公正、独立性的保持。质量监督保障部36/38GP0407R03主要责任部门风险等级序号目前控制措施备注认证活动认证风险描述应采取的补充措施或方案2、按公司标准的公开课程教材和培训课件要求进行培训。27对外培训低1、要求教师严格遵守保密协议。在不经意的情况下，如讲课时候举具体企业的例子，造成企业信息失密。质量监督保障部2、强化对教师的培训，不断提醒，不定期监控。28收入来源分公司/财务部中获证企业的审核费不能回收，导致资金实力的减弱。分公司负责发收费催费通知和电话联系。29收入来源分公司/财务部中1、分析是否适当，只要中性可接受某一客户明显占优势，可能产生对公正性的威胁2、内度财务报告分析30分公司/财务部中1、制定财务运作的各种制度财务稳定性公司财务运作不善，造成财务压力2、定期检查分公司的财务状况31合同管理财务部低财务部专人负责保存。公司合同原件只有一份，存在不安全的风险。32财务独立性。财务部高已独立设置财务部财务公证性33财务部中财务公证性帐目上区分认证和其他活动收入，避免可能存在的认证费用低于有效费用的风险。已对不同的收入类别进行分类核算，区分了不同的体系收入、培训收入、证书收入等。34财务部中财务公证性收入来源导致的认证机构不公正的风险。未接受任何形式的客户等捐赠和其他的可能导致不公正的资金支持。35财务风险财务部高办理认证认可责任保险。未对认证机构应承担的认证活动中所引发责任做出必要的安排。37/38格式：GP0407R03附件2公正性风险识别分析汇总表备注拟补充采取的措施序号威胁的来源可能存在的公正性风险目前控制措施1来自所有权公司投资方或董事会对认证活动的干预。本公司是中国船级社的全资子公司。中国船级社是不以盈利为目的的，独立的第三方专业技术检验机构。本公司的认证活动不受中国船级社及其下属机构的控制，中国船级社所有产品认证和管理体系认证业务由中国船级社质量认证公司统一负责，与中国船级社及其下属机构没有任何利益冲突，在经济上相互独立。2来自所有权投资方对认证机构收入和利润指标的要求。中国船级社每年与公司签订《目标责任书》作为对业绩的考核要求，其中包含了对收入和利润的考核指标。收入和利润的指标是根据公司的现状以及认证业务的发展趋势提出的，指标要求合理，公司不需要采取有违公正性的方式完成指标。3来自所有权对全资子公司提供认证。有分公司/营业部本公司无全资或控股子公司。现10个，均为非法人机构，在总公司统一管理控制下运作。4来自法人治理结构（股东会，董事会，监事会，经理层之间法人治理结构对认证机构的运作产生影响的各个方面所造成的对认证活动的本公司实行董事会领导下的总经理负责制，总经理对认证活动及其公正性负全责。公司董事会不对认证活动进行干预。1/12格式：GP0407R03备注拟补充采取的措施序号威胁的来源可能存在的公正性风险目前控制措施的关系）干预，从而影响公证性。5来自管理层管理层人员的选择和任命。公司管理层由董事会任命，其人员均为专职人员，未在其他单位兼职。6来自管理层/产品认证规则、认证机构最高管理层委对认证的公正性做出承诺。公司总经理批准的《认证规范》管理总手册/分手册包含了对认证公正性的承诺。7来自管理层管理方式所产生的对其公正性的影响。公司按照认可机构的要求建立了从事认证业务的管理体系。按照管理体系的要求，每年度进行内部审核和管理评审，以保证运作的符合性。公司每年接受认可机构的认可评审，由外部对公司进行评价。8来自内部人员或外部人员、分包方公司内部人员或外部人员可能与认证活动或其认证对象存在经济或利益的关联，因此会造成潜在冲突。本公司要求所有与本公司认证相关的内、外部人员（如临时雇佣人员）、分包方及人员理解公正性对认证机构的影响，并要求他们不得在认证或相关活动中与认证对象产生经济或利益的关联（如接受礼金、礼品等）。公司与所有与认证有关的内、外部人员签署《保密与公正性承诺》。产品认证分手册规定：“6．2．4分包机构应具备符合产品试验要求的监测资质、设备、人员和管理体系能力，同时不直接或不参与有损公正性的产品2/12格式：GP0407R03备注拟补充采取的措施序号威胁的来源可能存在的公正性风险目前控制措施设计和生产。”“6．2．6被评价为合格实验机构的分包方，CCSC应与其签订一份包括保密和利益冲突在内的书面协议。”9来自内部人员或外部人员公司没有告知他们利用已识别的信息来识别他们或其所在单位的活动对公正性产生的威胁，且应在他们能够证明没有利益冲突之后再使用这些内部或外部人员。本公司要求内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲突的情况，包括工作经历、从事过的咨询活动等。在安排认证审核/评审和做出认证决定的过程中，不使用可能对公正性造成影响的人员。10来自共享资源认证机构内除认证以外的其他业务类型，可能源于与认证业务共享资源，造成对公正性降低。本公司除了认证业务以外，本公司还从事管理培训业务。在开展管理培训工作时，仅提供公开课程的培训，不对企业的管理提出有针对性的咨询意见。公司新增的产品认证、工业产品检验、集装箱检验业务性质均为自愿性服务项目，未强制性要求企业进行体系认证。公司管理手册“公正性保证和责任风险控制”部分规定：公司管理体系认证、产品认证、工业产品检验、集装箱检验等业务，各自独立运作，不得互为前提条件，避免利益冲突，不影响公正性。3/12格式：GP0407R03备注拟补充采取的措施序号威胁的来源可能存在的公正性风险目前控制措施11来自财务如果公司财务方面获得了某种内外部支持或压力，由此可能引发影响公正性的状况出现。本公司不接受公司的客户或潜在客户任何形式的馈赠、捐款和财务上的转让；不接受非认证领域的营业性收入；不接受认证咨询机构的财务分成或财务支持。12来自财务本公司不要求与认证相关的市场人员、审核人员/认证活动人员由于承受商业、财务或其他方面的压力而损害公证性。评审人员承包市场份额或财务收入。13来自合同某个客户的合同额较高、或是对公司是非常重要的大客户，或公司为了获取客户所在的领域的知名度和地位可能采取降低收费等手段,影响公正性。本公司的认证费用严格执行中国认证认可协会（CCAA）的规定，并接受CCAA定期检查和抽查。本公司的认证服务向所有组织开放，没有单一的组织的认证费用在公司认证收入中占有支配性。本公司对待所有客户均执行统一的收费政策。14来自合同为其他认证机构的管理体系提供认证服务。本公司在《认证规范》中承诺不对其他认证机构的管理体系提供认证服务。15来自营销由于市场竞争，公司使用一些营销手段，如给介绍客户的人销售佣金或其他好处等，如果在此背景下开展活本公司不实行对介绍客户的单位或人员支付佣金或其他好处的政策，并在接受CCAA对认证收费检查时接受此方面的检查。4/12格式：GP0407R03备注拟补充采取的措施序号威胁的来源可能存在的公正性风险目前控制措施动的话，势必会以牺牲公证性为代价。16来自咨询公司或分公司/营业部，提供管理体系咨询，为管理体系咨询提供报价。本公司严格执行认证机构不得从事管理体系认证和产品认证咨询的要求，如有企业希望获得咨询服务时，不为其推荐咨询机构或提供报价。17来自咨询公司分公司/营业部本公司不向获证客户提供内部审核服务。，向获证客户提供内部审核。18来自咨询参与了对客户的管理体系咨询的人员（包括管理岗位的人员），在咨询结束后两年内，又被公司用于该客户的审核或其他认证活动。为确保没有利益冲突，参与了对客户的管理体系咨询的人员（包括管理岗位的人员），在咨询结束后两年内，不允许参加针对该客户的审核/评审或其他认证活动。19来自咨询机构某咨询机构与公司之间的关系对公司的公正性已构成了不可接受的威胁，而客户的管理体系接受了该咨询机构的管理体系咨询或内部审核，如果公司对该管理体系进行认证，势必造成对公正性的威胁。本公司没有投资任何咨询机构，也没有与任何咨询机构建立特殊的利益关系。5/12格式：GP0407R03备注拟补充采取的措施序号威胁的来源可能存在的公正性风险目前控制措施20来自咨询机构将审核外包给管理体系咨询机构。本公司所有的审核/评审、检验工作均由公司的专、兼职审核人员完成，不承认和使用来自咨询机构的审核/评审记录或报告作为认证决定的依据。21来自咨询机构如果公司的营销或报价与管理体系咨询机构的活动有联系，将带来公证性的威胁。本公司没有与任何咨询机构达成认证、咨询“一条龙”服务的协议或默契。22来自咨询机构如果咨询机构通过各种途径，如在其网站、宣传册、咨询机构为其咨询人员印制的名片上宣称或暗示选择我公司将使认证更为简单、容易、迅速或廉价，而我公司没有采取措施纠正这种不当表述，公证性会受到损害。本公司没有与任何咨询机构达成认证、咨询“一条龙”服务的协议或默契。当发现咨询机构做出选择我公司将使认证更为简单、容易、迅速或廉价的宣称或暗示时，本公司将发表声明给予制止，或通过法律手段给予制止。认证规范或其他公开文件中增加明确详细相关公正管理的声明及公司的公正性管理要求。23来自咨询机构公司如果宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价，将影响公证性。本公司要求所有市场人员不得为客户或潜在客户推荐咨询机构，也不能宣传或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。6/12格式：GP0407R03备注拟补充采取的措施序号威胁的来源可能存在的公正性风险目前控制措施24来自未制定措施如果公司没有应对其他人员、机构或组织的行为对其公正性产生的威胁应采取的措施，或措施不当，将影响公证性。公司制定了《申诉、投诉和争议处理程序》，对于涉及公正性的申诉、投诉和争议规定了处理的要求。25来自风险评估未对认证活动引发的风险进行全面评估，或仅对部分认证风险进行评估。公司制定了《认证风险辨识和控制程序》，根据程序的要求，定期对认证风险进行辨识、评价和控制。26来自责任的安排未对各个活动领域和运作地域的业务引发的责任未作充分的安排（如保险或储备金）。公司办理了认证责任保险，如发生认证责任索赔事件，可由保险机构提供赔偿。27来自内部重组后增加的产品认证、工业产品检验和集装箱检验业务可能强制要求企业进行体系认证，影响公正性。公司新增的产品认证、工业产品检验、集装箱检验业务性质均为自愿性服务项目，未强制性要求企业进行体系认证。公司管理手册“公正性保证和责任风险控制”部分规定：公司管理体系认证、产品认证、工业产品检验、集装箱检验等业务，各自独立运作，不得互为前提条件，避免利益冲突，不影响公正性。7/12格式：GP0407R03备注拟补充采取的措施序号威胁的来源可能存在的公正性风险目前控制措施28来自内部重组后的从事产品认证的人员、工业产品检验、集装箱检验人员提供管理体系咨询或为管理体系咨询提供报价，不同业务之间的共同客户，在市场宣传可能产生威胁公正性因素。管理总手册第三章规定：“公司有管理体系认证、产品认证、工业产品检验，集装箱检验等业务，相互没有利益冲突，不影响公正性。不同业务之间不互相为客户提供咨询或提供内审服务，不暗示共同的客户会低价或更容易获得认证。”管理体系认证分手册：“本公司及所属法律实体的任何其他部分不提供管理体系咨询，也不为管理体系咨询提供报价。本公司的营销或报价不与任何管理体系咨询机构有联系。如果任何咨询机构宣称或暗示选择本公司将使认证更为简单、容易、迅速或廉价，则本公司将对其采取措施纠正这种不当表述。本公司也不会宣传或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。”产品认证分手册“为保证认证工作的独立性和公正性，本公司不提供为获取或保持认证资格为目的的咨询服务。”29来自公司不同业务类型认证决定人员安排方面由于管理规定不完善而忽略人员公正性的考虑，产生潜在对公正性的威胁。认证管理业务工作的人员相对独立，对业务运作的公正性及有效性明确控制及管理要求。认证决定人员除不应是参加了现场审核/评审的人员外，已制定限制条件：“如果认证人员1年内参加了对某组织的管理体系认证、自愿产品认证、工业产品检验或集装箱检验活动，则不应参加对该组织的认证决定8/12格式：GP0407R03备注拟补充采取的措施序号威胁的来源可能存在的公正性风险目前控制措施活动”。30来自人员安排申诉、投诉的受理、调查和处理全过程的参与人员应有与申诉、投诉事项无关的人员做出，该项规定被忽略风险。公司制定了《申诉、投诉处理程序》，对于涉及申诉、投诉和争议规定了处理确保公正性的原则。如：不能歧视申诉人，对投诉人和有关投诉事项予以保密等要求。申诉、投诉的受理、调查和处理全过程的参与人员应有与申诉、投诉事项无关的人员做出31。来自公正性委员会公正性委员会利益方的力量不均衡（母公司领导担任主任委员,和本公司领导在委员会中担任委员）。公正性委员会的表决是通过投票制实现的，任何利益和个人均无一票否决的权利。在公正性委员会的程序规则中已详细规定。且来自同一利益方的多个委员在表决过程中，只有拥有一票权利。公正性监督程序不明确。公正性委员会程序规则详细规定了公正性审查的程序，确保公正性审查的有效性。1．明确主任委员及委员的职责；2．委员会程序规则中表决规则进规定“投票表决应由三分之二利益方通过，视为有效决定”。3．公正性委员会章程文件规定，在每年对认证公司做公正性审查时，程序规则中规定在选择审查人员时候尽量规避公正性的风险，本机构的委员回避不参加公正性审查。9/12格式：GP0407R03备注拟补充采取的措施序号威胁的来源可能存在的公正性风险目前控制措施32来自人员由同一名审核员/评审连续多次担任对同一企业审核/评审的组长，可能存在潜在的熟识（或信任）的威胁。在安排审核组长时，已考虑了公正性因素，但目前公司相关文件中未对此做出明确规定。《审核部工作须知》，在须知中明确规定，不应安排一名审核员连续三次以上（不包括三次）担任某一企业的审核组长。33来自人员审核/评审组现场审核时受到来自客户或相关方的某种威胁（如，限制其人身自由）而做出不公平、公正的现场审核结论，给公司带来的公正性风险。在对专职人员进行聘用时的培训中，针对现场突发事件的处理方式等作了明确要求，相关文件中针对突发事件的处理也有相关规定，但针对受到相关方威胁时的应急处理未做出明确规定。明确要求审核组/评审组在受到顾客或相关方的威胁等突发事件时，不能因此而做出不公正的现场结论，应以适当的方式和途径向公司如实反映企业实际情况。10/12格式：GP0407R03备注拟补充采取的措施序号威胁的来源可能存在的公正性风险目前控制措施34来自人员申请方或相关方指定某位审核中作为审核组长对申请方进行现场审核，可能存在的潜在不公正的风险。在安排组长时，针对有来自申请方或相关方指定某位审核/评审员担任某一组织的组长的情况，一般通过电话方式与相关人员核实邀请原因，在判定不存在公正性风险之后，方才安排其担任组长。目前公司文件对此未有明确规定。在须知中明确规定：如组织指定或邀请某位审核员/评审人员担任对该组织组长时，应以适宜的方式了解核实邀请的原因，判断是否存在熟识、利益关系等影响公正性因素，确认不存在公正性风险后才能安排该该人员担任组长。35来自人员1.公司聘用所有人员，包括临时雇员等均签署《保密与公正性承诺》，承诺对接触或获取的受审核方信息承担保密义务。公司所有接触了有关认证信息的人员（包括临时人员，外来人员）没有履行保密的要求，可能造成的风险。2.现场审核时，首末次会议均作保密承诺。11/12格式：GP0407R03备注拟补充采取的措施序号威胁的来源可能存在的公正性风险目前控制措施来自人员聘用内部或外部个别人员存在咨询情况等构成公正性威胁的情况，但又未向公司告知，影响公正性361.中国法规明确规定审核员不得从事管理体系咨询，审核员与咨询师为两种不同的注册制度，审核员不能同时注册为咨询师。2.审核/评审员聘用时签署的《保密与公正性承诺》中要求审核/评审员将与受审核方可能存在的利益关系提前告诉认证公司。3.公司审核/评审计划发送通知书中明确要求受审核/评审方确认：审核/评审组成员如存在咨询等与受审核方有利益冲突关系时，需将信息反馈认证公司。4.现场审核/评审时要求审核/评审组成员签署公正性保证书，承诺与受审核/评审方无利益冲突，并经受审核/评审方签署确认。来自人员监控实施审核/评审的人员没有严格履行行为准则，在审核/评审时候收受礼品和礼金，对公正性构成威胁。37公司对审核/评审员行为准则有明确的规定并在每次的现场的首末次会议上公开声明，要求监督；公司通过顾客满意调查、客户意见反馈等监控反馈渠道，对人员遵守准则情况进行监督，发现问题采取措施，情况严重的解除聘用合同。内部人员培训缺乏对实施认证人员和管理人员对公正性风险的培训38制定年度计划，定期组织相关人员进行公正性风险方面的培训，组织学习员工手册12/12 认证风险、认证公正性风险识别和评价报告.pdf 附件1认证风险识别和评价汇总表.pdf 附件2公正性风险识别分析汇总表.pdf