认可风险分级评价标准理解与实施090512_发布稿..doc

认可风险分级管理评价标准理解与实施 评 分 项 目 评 分 标 准 一、认可评审信息（88分） 1、公正性（6分） 1.1公正性委员会各利益方代表合理，均衡，符合规范要求(1) 1.2公正性委员会每年对认证机构认证审核和认证决定过程的公正性进行了审查(1) 理解： 1）执行主体是公正性委员会而不是机构； 2）审查频次不超过一年； 3）对认证流程的公正性的审查，方式灵活，但应有审查报告和审查结果。 1.3所有参与认证活动的人员或委员会成员的公正性符合要求(1) ●实施审核的人员参与了认证决定直接评为C级 理解： 实施审核的人员可以提供审核信息并作出解释，但在认证决定中无表决权，更不能独立作出认证决定 1.4已识别和分析了由认证活动引起的利益冲突的可能性并将其形成文件(2) ●未对由认证活动引起的利益冲突的可能性进行充分分析不能评为A级 理解： 利益冲突应包括来自内部和外部等方面的分析。同时应包括CC01中的四种危胁，8种关系（所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处）。 1.5评估了财务状况和收入来源，并向公正性委员会证明其公正性符合要求 (1) 2、风险管理（4分） 2.1认证机构对其可能引发的认证风险和新出现的、变化的风险进行了评估并对由此引发的责任作出充分安排(2) ●不能提供证据证明其对可能引发的认证风险和新出现的、变化的风险进行了评估并对由此引发的责任作出充分安排的不能评为A级 理解： 1）认证机构应对影响认证风险的因素进行充分分析与评估并形成文件； （风险应包括运作和活动中引发的责任） 2）针对风险评估结果做出了适当的责任安排（如风险基金或投保）； 3）适时对影响认证风险的因素的变化情况进行评审，如发生变化，应对责任安排进行再评估，并作出适当处置； 4）可能包括的风险：业务范围的变化、人员的变化（人力资源与现有业务的是否匹配）、客户的变化、法律法规及专业技术要求的变化、组织机构的变化、自然灾害的影响等 。 操作要求： 1）评审时应评审认证机构对风险分析评估的记录；并附风险分析报告或相应的文件。 2）对风险分析作出哪些安排？ 收集安排的证明材料 2.2认证机构与组织签订了具有法律效力的协议，并建立了要求获证组织对其体系变更和发生重大责任事故的申报和处理机制，并实施有效（2） ●获证组织发生重大事故，认证机构未能及时采取措施，直接评为C级 理解： 1）在相关文件或合同中已明确要求获证组织对其体系变更和发生重大事故进行申报； 2）认证机构应关注新闻媒体、网站等重大事故的相关消息。“及时”是要求认证机构有尽快发现问题的机制； 3）发现获证组织发生重大事故及时进行调查处理，处理是否得当。 3、改进机制（12分） 3.1内审和管理评审按要求实施，内容全面(2) 理解： 1）依据策划的结果实施内审； 2）内审活动的结果能够导致管理体系的改进； 3）按照管理体系文件的要求开展管理评审活动； 4）管理评审的输出能够为管理体系有效性的改进提供依据，并能够提供证据予以证实； 3.2内审能发现问题，问题描述准确（2） 3.3内审不符合纠正措施及时、有效（2） 理解： 1）不符合问题的原因分析深入准确到位 2）不符合的整改按照纠正和纠正措施的顺序实施的，如可能的话纠正和纠正措施实施结果的可接受程度 3)对比以往内审发现和评审发现存在同级问题未有反复出现的情况 3.4对认可评审中发现的问题，原因分析到位，纠正措施及时、有效的（3） ●未能在规定时间内对认可评审中的不符合进行有效整改的,直接评为C级 理解： 1）满足不符合关闭的时限要求； 2）不符合问题的原因分析深入准确到位 3）不符合的整改按照纠正和纠正措施的顺序实施的，如可能的话纠正和纠正措施实施结果的可接受程度 3.5在前后两次外部评审中，涉及相同类型活动的一般不符合没有重复出现的（2） ●相同类型活动的一般不符合连续出现两次不能评为A级 理解： 1）相同类型活动的理解：指的是某一具体的活动如人员管理中的培训等。 2）“连续出现两次”指上次不符合的纠正措施实施后，问题重复出现； 3）不符合的来源：包括认可评审和非例行检查，如：专项检查、、行政监督中发现的问题。 3.6管理评审能制定系统的改进方案，且有相应的监控机制（1） ●管理评审报告内容空洞，对体系运行缺乏指导意义，不能评为A级 理解： 1）管理评审的输入输出信息至少要包括以下内容： 管理评审输入信息充分，包括了以下内容：人力资源情况、内审和外审