合规管理体系认证实施规则

目录

  1.适用范围

  2.认证依据标准

  3.对认证机构的基本要求

  4.对认证审核人员的基本要求

  5.初次认证程序

  6.监督审核程序

  7.再认证程序

  8.特殊审核程序

  9.认证证书状态管理规定、要求

  10.认证证书及认证标志要求

  11.与其他管理体系的结合审核

  12.受理转换认证证书

  13.申投诉的处理

  14.认证记录的管理

  15.认证依据变更

  16.信息报送

  17.其他

  18.附则

  附录A: 合规管理体系认证审核时间要求

  附录B： 确定结合审核人日数的计算方法

  附录C：具备CMS专业能力的审核员或技术专家的资格条件

  附录D: CMS认证证书编号规则

  1.适用范围

  1.1本规则用于规范山西领拓认证有限公司(以下简称LTC)依据GB/T 35770-2022/ISO 37301:2021《合规管理体系

要求及使用指南》标准在中国境内开展的合规管理体系(简称：CMS)认证活动。

  1.2本规则依据认证认可相关法律法规，结合相关技术标准，对合规管理体系认证实施过程作出具体规定，明确LTC对认证过程的管理责任，保证合规管理体系认证活动的规范有效。

  1.3本规则是LTC在合规管理体系认证活动中的基本要求，LTC在该项认证活动中应当遵守本规则。

  2.认证依据标准

  GB/T 35770-2022/ISO 37301:2021《合规管理体系 要求及使用指南》

  3.对认证机构的基本要求

  3.1获得国家认监委批准、取得从事质量管理体系认证的资质。

  3.2认证能力、内部管理和工作体系符合GB/T 27021.1-2017/ISO/IEC 17021-1:2015《合格评定管理体系审核认证机构要求》和GB/Z 27021.13-2025《合格评定 管理体系审核认证机构要求 第13部分：合规管理体系审核与认证能力要求》。

  3.3建立内部制约、监督和责任机制，实现培训(包括相关增值服务)、审核和作出认证决定等工作环节相互分开，符合认证公正性要求。

  3.4不得将申请认证的组织(以下简称申请组织)是否获得认证与参与认证审核的审核员及其他人员的薪酬挂钩。

  4.对认证审核人员的基本要求

  4.1 认证审核员应当取得国家认监委确定的认证人员注册机构颁发的质量管理体系审核员注册资质。

  4.2认证审核员需完成相应的合规管理体系培训，并考核合格。

  4.3认证人员应当遵守与从业相关的法律法规，对认证审核活动及相关认证审核记录和认证审核报告的真实性承担相应的法律责任。

  5.初次认证程序

  5.1受理认证申请

  5.1.1 LTC应向申请组织至少公开以下信息：

  (1)可开展合规管理体系认证业务的范围，获得认可的情况;

  (2)本规则的完整内容，认证证书样式;

  (3)授予、拒绝、保持、更新、暂停(恢复)或撤销认证以及扩大或缩小认证范围的程序规定;

  (4)拟向组织获取的信息以及保密规定;

  (5)认证收费标准;

  (6)认证证书、认证标志及相关的使用规定;

  (7)对认证过程和结果的申诉、投诉规定;

  5.1.2 LTC应当要求申请组织至少提交以下资料：

  (1)取得法人资格(或其组成部分);

  (2)取得相关法规规定的行政许可(适用时);

  (3)已按认证标准建立合规管理体系，且运行满三个月;且已经进行了内部审核和管理评审;

  (4)因获证组织自身原因被原发证机构暂停、撤销认证证书已满一年(适用时);

  (5)原CMS证书发证机构被国家认监委撤销CMS认证资质已满三个月(适用时);

  (6)未被行政监管部门责令停业整顿;

  (7)未被列入国家企业信用信息公示系统和“信用中国”发布的严重违法失信名单;

  (8)一年内未发生行政监管部门责令停产整顿的重大合规事故;

  (9)一年内未发生国家监督抽查(以下简称“国抽”)不合格，或发生国抽不合格但已按相关规定整改合格;

  (10)其他应具备的条件。

  5.1.3申请评审

  5.1.3.1 LTC应建立相应程序，对受审核方提交的申请文件和资料实施申请评审，以确定是否受理认证申请并保存相应评审记录。

  5.1.3.2 满足以下条件的，LTC可以受理认证申请：

  (1)受审核方已具备受理条件(见5.1.2);

  (2)LTC具备实施认证的能力;

  (3)双方就认证事宜达成一致。

  5.1.3.3 LTC应对申请组织提交的申请资料进行评审，根据申请认证的活动范围及场所、员工人数、完成审核所需时间和其他影响认证活动的因素，综合确定是否有能力受理认证申请。

  对被执法监管部门责令停业整顿或在国家企业信用信息公示系统中被列入“严重违法企业名单”的申请组织，LTC不应受理其认证申请。

  5.1.3.4对符合要求的，LTC可决定受理认证申请;对不符合上述要求的，LTC应通知申请组织补充和完善，或者不受理认证申请。

  5.1.4 签订认证合同

  在实施认证审核前，LTC应与申请组织订立具有法律效力的书面认证合同，合同应至少包含以下内容：

  (1)申请组织获得认证后持续有效运行合规管理体系的承诺。

  (2)申请组织对遵守认证认可相关法律法规，协助认证监管部门的监督检查，对有关事项的询问和调查如实提供相关材料和信息的承诺。

  (3)申请组织承诺获得认证后发生以下情况时，应及时向LTC通报：

  ①客户及相关方有重大投诉。

  ②合规管理被监管部门认定不合格

  ③发生不合规事件。

  ④相关情况发生变更，包括：法律地位、生产经营状况、组织状态或所有权变更;取得的行政许可资格、强制性认证或其他资质证书变更;法定代表人、最高管理者变更;生产经营或服务的工作场所变更;合规管理体系覆盖的活动范围变更;合规管理体系和重要过程的重大变更等。

  ⑤出现影响合规管理体系运行的其他重要情况。

  (4)申请组织承诺获得认证后正确使用认证证书、认证标志和有关信息，不利用合规管理体系认证证书和相关文字、符号误导公众认为其产品或服务通过认证。

  (5)拟认证的合规管理体系覆盖的生产或服务的活动范围。

  (6)在认证审核实施过程及认证证书有效期内，LTC和申请组织各自应当承担的责任、权利和义务。

  (7)认证服务的费用、付费方式及违约条款。

  5.2审核方案和审核策划

  5.2.1 审核方案

  5.2.1.1 LTC应针对每一受审核方建立认证周期内的审核方案，以清晰地识别所需的审核活动。

  5.2.1.2 初次认证的审核方案应包括两阶段初次审核、获证后的监督审核和认证到期前进行的再认证审核。

  注：一个认证周期通常为3年，从初次认证(或再认证)决定算起，至认证的有效期截止。

  5.2.1.3 初次认证审核和再认证审核是对受审核方完整体系的审核，应覆盖GB/T 35770-2022/ISO 37301:2021所有要求，以及认证范围内的典型产品和服务。认证证书有效期内的监督审核应覆盖GB/T 35770-2022/ISO 37301:2021所有要求。

  5.2.1.4 初次认证及再认证后的第一次监督审核应在证书签发起12个月内进行。此后监督审核应至少每个日历年(应进行再认证的年份除外)进行一次，且两次监督审核的时间间隔不得超过15个月。

  5.2.2审核时间

  5.2.2.1 审核时间包括在受审核方现场的审核时间以及在现场审核以外的实施策划、文件审核和编写审核报告等活动的时间。审核时间以人天计，1人天为8小时。如果每天的实际工作时间不足8小时，则应延长审核天数以满足人天要求。

  5.2.2.2 LTC应以附录A所规定的审核时间为基础，考虑受审核方有效人数、CMS风险类型等因素，建立文件化的不同类型审核的审核时间(包括现场审核时间)的确定方法。

  5.2.2.3 每次审核的审核时间的确定过程应形成记录，尤其是减少审核时间的理由，减少的时间不得超过附录A所规定的审核时间的30%，现场审核时间不得少于所确定的审核时间的80%。

  5.2.2.4 CMS和其他管理体系实施结合审核时，结合审核的总审核时间不得少于多个单独体系所需审核时间之和的80%，确定减少结合审核人日数的计算方法详见附录B.

  5.2.3多场所审核的策划

  5.2.3.1当申请组织为多场所组织，具备以下资格条件时，可按照多场所策划审核：

  1)组织应具有单一管理体系;

  2)中心职能是组织的一部分且不应被分包给外部的组织;

  3)中心职能应获得组织的授权以规定、建立并保持该单一管理体系;

  4)组织的单一管理体系应服从集中的管理评审;

  5)所有场所应服从组织的内部审核程序。

  6)中心职能应有责任确保来自于所有场所的数据信息得到收集和分析，并且应能够证明其权威和能力，以便在需要时(包括但不限于下述情况)发起组织的变更：

  (i)体系文件和体系变更;

  (ⅱ)管理评审;

  (ⅲ)投诉;

  (ⅳ)纠正措施的评价;

  (v)内部审核的策划和对结果的评价;

  (vi)与适用标准有关的法律法规要求。

  注：中心职能是实施控制并得到组织最高管理者授权的，是对所有场所产生影响的。并没有要求中心职能仅处于某个单一场所。

  5.2.3.2拟抽样组织应满足的条件

  5.2.3.2.1所有场所的过程应实质上属于同一类活动、复杂程度和风险程度相似，并按照相似的方法和程序运作，如果其中某些场所实施的过程与其他场所相似，但过程的数量少于其他场所，那么在实施大多数过程或关键过程的场所要接受完整审核的前提下，可以对上述过程数量较少的场所采用多场所认证。

  5.2.3.2.2当组织通过位于不同地点但相关联的过程开展业务时，如果满足5.2.3.1条的所有其他规定，也可以进行抽样。如果各个地点的过程虽不相似，但明显相互关联，那么抽样计划应至少包括组织实施的每个过程的一个样本(例如，组织在一个地点生产电子元器件，在其他几个地点组装这些电子元器件)。

  5.2.3.2.3应证实组织的中心职能已按照审核所依据的相关管理体系标准建立了管理体系，且整个组织满足该标准的要求。该证实应考虑相关法律法规的要求。

  5.2.3.2.4组织证实其有权且有能力从所有场所(包括中心职能)收集数据(包括但不限于“5.2.3.2.6”所列方面)并进行分析，并且证实其有权并有能力在必要时实施组织变更;

  5.2.3.2.5不是所有满足“多场所组织”定义的组织都可以被抽样。当不同的场所的活动、风险明显有差异的，不宜进行抽样。

  5.2.3.2.6不同场所在实施管理体系方面的差异，例如有的场所经常需要在管理体系内针对不同的活动或不同的合同或法规要求进行策划的，不宜进行抽样。

  5.2.3.4抽样准则

  5.2.3.4.1样本选取准则

  5.2.3.4.1.1在选取多场所的样本时，宜有目的地选取一部分样本，同时随机选取另一部分样本，从而使样本具有代表性，又包含随机抽样的成分(至少25%的样本宜随机选取)。初步合同审查应最大程度地识别场所之间的差异，以便确定足够的、适当的采样水平，并使在证书有效期内选择的场所之间具有尽可能大的差别。

  5.2.3.4.1.2机构对代表性数量场所抽样应考虑到以下方面(但不限于以下方面)：

  a)总部(适宜时)及各场所内部现场审核和管理评审或以往认证审核的结果;

  b)各场所在规模上的差异;

  c)各场所在业务范围上的差异;

  d)投诉记录以及纠正措施和预防措施的其他相关方面;

  e)在倒班安排和工作程序上的差异;

  f)场所的管理体系和过程的复杂程度;

  g)上次认证审核以来的变化;

  h)管理体系的成熟度和组织的理解程度;

  i)地域、文化、语言和法律法规方面的差异;

  j)地理位置的分散程度;

  k)合规问题和合规因素及其关联影响的程度。

  5.2.3.4.1.3以下情况要全部审核：

  a)有证据表明认证的风险性和复杂性很高;

  b)各场所管理体系在实施上有较大的差异(厂房及设备设施、工艺、产品种类、周边环境、人员素质、合规处理流程、技术应用等);

  c)各场所涉及的法律法规或当地行政机关的要求不相同;

  d)CMS中每个具有重大风险的场所。

  5.2.3.4.1.4场所的选取不一定在审核过程开始前进行，也可以在对中心职能的审核完成时由认证审核组根据现场审核信息提议场所选取方案，并与认证机构方案策划人员沟通确认后调整方案。在任何情况下，LTC都应将拟抽样的场所告知中心职能。LTC可以提前较短的时间通知，但宜为迎审准备留出足够的时间。

  5.2.3.4.2样本量

  对多个相似场所可抽样审核，抽样数量应不少于按以下方法计算的结果：

  (1)初次认证审核：

       (2)监督审核

       (3)再认证审核

  注：其中Y为抽样的数量，结果向上取整;X为相似场所的总体数量。

  5.2.3.5多场所审核时间

  多场所审核人日的计算方法参见5.2.2，可依据增减因素进行调整，但审核时间不得少于依据附录A所确定的审核时间的50%。

  5.2.4审核组

  5.2.4.1 LTC应当根据CMS覆盖的活动的认证业务范围类别选择具备相关专业能力的审核员组成审核组，必要时可以选择技术专家参加审核组。审核组中的审核员承担审核任务和责任。

  注1：具备相关专业能力的审核员或技术专家的资格条件详见附录C。

  5.2.4.2技术专家主要负责提供认证审核的技术支持，不作为审核员实施审核，不计入审核时间，其在审核过程中的活动由审核组中的审核员承担责任。

  5.2.4.3审核组可以有实习审核员，其要在审核员的指导下参与审核，不计入审核时间，不单独出具记录等审核文件，其在审核过程中的活动由审核组中的审核员承担责任。

  5.2.4.4审核组成员不得与申请组织存在利益关系。

  5.2.5 远程审核

  5.2.5.1 CMS认证审核应在受审核方的现场实施，初次认证以及认证周期内的每年度的监督审核和再认证审核活动，应包括访问受审核方现场的现场审核。

  5.2.5.2 因安全因素的考虑，审核组可在受审核方的现场采用远程审核方法对受审核方的某个过程的运作情况实施审核：

  1)客户组织及认证机构具备支持远程审核的基础设施;

  2)客户组织及认证机构具备实施远程审核的人员能力;

  3)不存在如下高风险情况：

  a)当受审核方近一年内曾发生下列不合格或负面事件且受到相应的处罚(如列入失信企业名单、处于责令停产整治期或罚款后未通过复查等)时：

  l相关监管部门已公布合规管理不合格信息的;

  l出现对受审核方的重大投诉，且系受审核方责任的;

  l发生了合规事故的;

  l媒体负面曝光且系受审核方责任的;

  b)出于对合规保护的需要，不适宜选择远程审核方式;

  c)暂停恢复审核;

  d)上次认证审核方式已是完全的远程审核方式;

  e)其他不适宜远程审核的活动/过程或场所，如易燃易爆场所、无网络信号或不具备ICT技术实施条件的关键活动或场所等。

  5.2.5.3 审核中采用远程审核方法的，远程审核时间不得超过现场审核时间的30%，并应在审核计划、审核记录及审核报告中予以注明。

  5.2.6审核计划

  5.2.6.1 LTC应为每次审核制定书面的审核计划(第一阶段审核不要求正式的审核计划)。审核计划至少包括以下内容：审核目的，审核准则，审核范围，现场审核的日期和场所，现场审核持续时间，审核组成员(其中：审核员应标明认证人员注册号;技术专家应标明专业代码、工作单位及专业技术职称)。

  5.2.6.2为使现场审核活动能够观察到产品生产或服务活动情况，现场审核应安排在认证范围覆盖的产品生产或服务活动正常运行时进行。

  5.2.6.3在审核活动开始前，审核组应将审核计划交申请组织确认，遇特殊情况临时变更计划时，应及时将变更情况通知申请组织，并协商一致。

  5.3实施审核

  5.3.1审核组应当按照审核计划的安排完成审核工作。除不可预见的特殊情况外，审核过程中不得更换审核计划确定的审核员。

  5.3.2审核组应当会同申请组织按照程序顺序召开首、末次会议，申请组织的最高管理者及与合规管理体系相关的职能部门负责人员应该参加会议。参会人员应签到，审核组应当保留首、末次会议签到表。申请组织要求时，审核组成员应向申请组织出示身份证明文件。

  5.3.3审核过程及环节

  5.3.3.1初次认证审核，分为第一、二阶段实施审核。

  5.3.3.2第一阶段审核应至少覆盖以下内容：

  (1)结合现场情况，确认申请组织实际情况与合规管理体系成文信息描述的一致性，特别是体系成文信息中描述的产品和服务、部门设置和职责与权限、生产或服务过程等是否与申请组织的实际情况相一致。

  (2)结合现场情况，审核申请组织理解和实施GB/T 35770-2022/ISO

37301:2021标准要求的情况，评价合规管理体系运行过程中是否实施了内部审核与管理评审，确认合规管理体系是否已运行并且超过3个月。

  (3)确认申请组织建立的合规管理体系覆盖的活动内容和范围、体系覆盖范围内有效人数、过程和场所，遵守适用的法律法规及强制性标准的情况。

  (4)结合合规管理体系覆盖产品和服务的特点识别对合规目标的实现具有重要影响的关键点，并结合其他因素，科学确定重要审核点。

  (5)与申请组织讨论确定第二阶段审核安排。对合规管理体系成文信息不符合现场实际、相关体系运行尚未超过3个月或者无法证明超过3个月的，以及其他不具备二阶段审核条件的，不应实施二阶段审核。

  5.3.3.3在下列情况，第一阶段审核可以不在申请组织现场进行，但应记录未在现场进行的原因：

  (1)申请组织已获本LTC颁发的其他有效认证证书，LTC已对申请组织合规管理体系有充分了解。

  (2)LTC有充足的理由证明申请组织的生产经营或服务的技术特征明显、过程简单，通过对其提交文件和资料的审查可以达到第一阶段审核的目的和要求。

  (3)申请组织获得了其他经认可机构认可的认证机构颁发的有效的合规管理体系认证证书，通过对其文件和资料的审查可以达到第一阶段审核的目的和要求。

  除以上情况之外，第一阶段审核应在受审核方的生产经营或服务现场进行。

  5.3.3.4审核组应将第一阶段审核情况形成书面文件告知申请组织。对在第二阶段审核中可能被判定为不符合项的重要关键点，要及时提醒申请组织特别关注。

  5.3.3.5第二阶段审核应当在申请组织现场进行。重点是审核合规管理体系符合GB/T35770-2022/ISO 37301:2021标准要求和有效运行情况，应至少覆盖以下内容：

  (1)在第一阶段审核中识别的重要审核点的过程控制的有效性。

  (2)为实现合规方针而在相关职能、层次和过程上建立合规目标是否具体适用、可测量并得到沟通、监视。

  (3)对合规管理体系覆盖的过程和活动的管理及控制情况。

  (4)申请组织实际工作记录是否真实。对于审核发现的真实性存疑的证据应予以记录并在做出审核结论及认证决定时予以考虑。

  (5)申请组织的内部审核和管理评审是否有效。

  5.3.4发生以下情况时，审核组应向LTC报告，经LTC同意后终止审核。

  (1)受审核方对审核活动不予配合，审核活动无法进行。

  (2)受审核方实际情况与申请材料有重大不一致。

  (3)其他导致审核程序无法完成的情况。

  5.4审核报告

  5.4.1审核组应对审核活动形成书面审核报告，由审核组组长签字。审核报告应准确、简明和清晰地描述审核活动的主要内容，至少包括以下内容：

  (1)申请组织的名称和地址。

  (2)申请组织活动范围和场所。

  (3)审核的类型、准则和目的。

  (4)审核组组长、审核组成员及其个人注册信息。

  (5)审核活动的实施日期和地点，包括固定现场和临时现场;对偏离审核计划情况的说明，包括对审核风险及影响审核结论的不确定性的客观陈述。

  (6)叙述从5.3条列明的程序及各项要求的审核工作情况，其中：对5.3.3.5条的各项审核要求应逐项描述或引用审核证据、审核发现和审核结论;对合规目标和过程及合规绩效实现情况进行评价。

  (7)识别出的不符合项。

  (8)审核组对是否通过认证的意见建议。

  5.4.2LTC应保留用于证实审核报告中相关信息的证据。

  5.4.3LTC应在作出认证决定后30个工作日内将审核报告提交申请组织，并保留签收或提交的证据。

  5.4.4对终止审核的项目，审核组应将已开展的工作情况形成报告，LTC应将此报告及终止审核的原因提交给申请组织，并保留签收或提交的证据。

  5.5不符合项的纠正和纠正措施及其结果的验证

  5.5.1对审核中发现的不符合项，LTC应要求申请组织分析原因，并提出纠正和纠正措施。对于严重不符合，应要求申请组织在最多不超过6个月期限内采取纠正和纠正措施。LTC应对申请组织所采取的纠正和纠正措施及其结果的有效性进行验证。

  5.5.2 如果未能在第二阶段结束后6个月内验证对严重不符合实施的纠正和纠正措施，则应按5.6.5条处理，或者按照5.3.3.5条重新实施第二阶段审核。

  5.6认证决定

  5.6.1 LTC应该在对审核报告、不符合项的纠正和纠正措施及其结果进行综合评价基础上，作出认证决定。

  5.6.2认证决定人员应为LTC管理控制下的人员，审核组成员不得参与对审核项目的认证决定。

  5.6.3 LTC在作出认证决定前应确认如下情形：

  (1)审核报告符合本规则第5.4条要求，审核组提供的审核报告及其他信息能够满足作出认证决定所需要的信息。

  (2)反映以下问题的不符合项，LTC已评审、接受并验证了纠正和纠正措施的有效性。

  ①在持续改进合规管理体系的有效性方面存在缺陷，实现合规目标有重大疑问。

  ②制定的合规目标不可测量，或测量方法不明确。

  ③对实现合规目标具有重要影响的关键点的监视和测量未有效运行，或者对这些关键点的报告或评审记录不完整或无效。

  ④其他严重不符合项。

  (3)LTC对其他一般不符合项已评审，并接受了申请组织计划采取的纠正和纠正措施。

  5.6.4在满足5.6.3条要求的基础上，LTC有充分的客观证据证明申请组织满足下列要求的，评定该申请组织符合认证要求，向其颁发认证证书。

  (1)申请组织的合规管理体系符合标准要求且运行有效。

  (2)认证范围覆盖的产品和服务符合相关法律法规要求。

  (3)申请组织按照认证合同规定履行了相关义务。

  5.6.5申请组织不能满足上述要求或者存在以下情况的，评定该申请组织不符合认证要求，以书面形式告知申请组织并说明其未通过认证的原因。

  (1)受审核方的合规管理体系有重大缺陷，不符合GB/T 35770-2022/ISO 37301:2021标准的要求。

  (2)发现受审核方存在重大合规问题或有其他与产品和服务合规相关严重违法违规行为。

  5.6.6 LTC在颁发认证证书后，应当在30个工作日内按照规定的要求将认证结果相关信息报送国家认监委。

  6.监督审核程序

  6.1 LTC应对持有其颁发的合规管理体系认证证书的组织(以下称获证组织)进行有效跟踪，监督获证组织持续运行合规管理体系并符合认证要求。

  6.2为确保达到6.1条要求，LTC应根据获证组织的产品和服务的风险程度或其他特性，确定对获证组织的监督审核的频次。

  6.2.1作为最低要求，初次认证后的第一次监督审核应在认证证书签发日起12个月内进行。此后，监督审核应至少每个日历年(应进行再认证的年份除外)进行一次，且两次监督审核的时间间隔不得超过15个月。

  6.2.2超过期限而未能实施监督审核的，应按9.1或9.2条处理。

  6.2.3获证企业合规检查中被查出不合格时，机构在获知相关信息后10个工作日内应作出相应处理。

  6.3监督审核的时间，应不少于按5.2.1条计算审核时间人日数的1/3。

  6.4监督审核的审核组，应符合5.2.4.3条和5.3.1条的要求。

  6.5监督审核应在获证组织现场进行，且应满足第5.2.3.3条确定的条件。由于市场、季节性等原因，在每次监督审核时难以覆盖所有产品和服务的，在认证证书有效期内的监督审核需覆盖认证范围内的所有产品和服务。

  6.6监督审核时至少应审核以下内容：

  (1)上次审核以来合规管理体系覆盖的活动及影响体系的重要变更及运行体系的资源是否有变更。

  (2)按5.3.3.2(4)条要求已识别的重要关键点是否按合规管理体系的要求正常和有效运行。

  (3)对上次审核中确定的不符合项采取的纠正和纠正措施是否继续有效。

  (4)合规管理体系覆盖的活动涉及法律法规规定的，是否持续符合相关规定。

  (5)合规目标及合规绩效是否达到合规管理体系确定值。如果没有达到，获证组织是否运行内审机制识别了原因、是否运行管理评审机制确定并实施了改进措施。

  (6)获证组织对认证标志的使用或对认证资格的引用是否符合《中华人民共和国认证认可条例》及其他相关规定。

  (7)内部审核和管理评审是否规范和有效。

  (8)是否及时接受和处理投诉。

  (9)针对体系运行中发现的问题或投诉，及时制定并实施了有效的改进措施。

  6.7在监督审核中发现的不符合项，LTC应要求获证组织分析原因，规定时限要求获证组织完成纠正和纠正措施并提供纠正和纠正措施有效性的证据。

  LTC应采用适宜的方式及时验证获证组织对不符合项进行处置的效果。

  6.8 监督审核的审核报告，应按6.6条列明的审核要求逐项描述或引用审核证据、审核发现和审核结论。

  6.9 LTC根据监督审核报告及其他相关信息，作出继续保持或暂停、撤销认证证书的决定。

  7.再认证程序

  7.1认证证书期满前，若获证组织申请继续持有认证证书，LTC应当实施再认证审核，并决定是否延续认证证书。

  7.2 LTC应按5.2.4.3条和5.3.1条要求组成审核组。按照5.2.6条要求并结合历次监督审核情况，制定再认证审核计划交审核组实施。

  在合规管理体系及获证组织的内部和外部环境无重大变更时，再认证审核可省略第一阶段审核，但审核时间应不少于按5.2.2条计算人日数的2/3。

  7.3 对再认证审核中发现的严重不符合项，LTC应规定时限要求获证组织实施纠正与纠正措施，并在原认证证书到期前完成对纠正与纠正措施的验证。

  7.4 LTC按照5.6条要求作出再认证决定。获证组织继续满足认证要求并履行认证合同义务的，向其换发认证证书。

  7.5 如果在当前认证证书的终止日期前完成了再认证活动并决定换发证书，新认证证书的终止日期可以基于当前认证证书的终止日期。新认证证书上的颁证日期应不早于再认证决定日期。

  如果在当前认证证书终止日期前，LTC未能完成再认证审核或对严重不符合项实施的纠正和纠正措施未能进行验证，则不应予以再认证，也不应延长原认证证书的有效期。

  在当前认证证书到期后，如果LTC能够在6个月内完成未尽的再认证活动，则可以恢复认证，否则应至少进行一次第二阶段审核才能恢复认证。认证证书的生效日期应不早于再认证决定日期，终止日期应基于上一个认证周期。

  8.特殊审核程序

  8.1扩大认证范围

  对于已授予的认证，认证机构应对扩大认证范围的申请进行评审，并确定任何必要的审核活动，以做出是否可予扩大的决定。

  这类审核活动可以结合监督审核同时进行。

  8.2提前较短时间通知的审核

  为调查投诉、合规事故、对变更做出回应或对被暂停的客户进行追踪，可能需要在提前较短时间或不通知获证组织的情况下进行审核：

  (1)LTC应说明并使获证组织提前了解将在何种条件下进行此类审核;

  (2)由于获证组织缺乏对审核组成员的任命表示反对的机会，认证机构应在指派审核组时给予更多的关注;

  (3)获证组织在监管部门的抽查中被查出不合格时，自监管部门发出通报起30日内，LTC应对该组织实施监督审核。

  9.认证证书状态管理规定、要求

  9.1认证资格的暂停

  9.1.1获证组织有以下情形之一的，LTC应在调查核实后的5个工作日内暂停其认证资格，并保留相应证据：

  (1)CMS持续或严重不满足认证要求，包括对CMS运行有效性要求的;

  (2)不满足CMS适用的法律法规要求，且未采取有效纠正措施的;

  (3)受到与合规相关的行政处罚;

  (4)发生较大或重大合规事件，反映获证组织CMS运行存在重大缺陷的;

  (5)拒绝配合市场监管部门的认证执法监督检查，或者提供虚假材料或信息的;

  (6)持有的与CMS范围有关的行政许可文件、资质证书等过期失效的;

  (7)不能按照规定的时间间隔接受监督审核的;

  (8)未按相关规定正确引用和宣传获得的认证资格和有关信息，包括认证证书和认证标志的使用，造成严重影响或后果的;

  (9)不承担、履行认证合同约定的责任和义务的;

  (10)被有关行政监管部门责令停业整顿的;

  (11)发生与合规相关的重大舆情;

  (12)主动请求暂停的;

  (13)其他应暂停认证资格的。

  9.1.2认证资格暂停期不得超过6个月，但属于9.1.1第(6)项情形的暂停期可至相关单位作出许可决定之日。

  9.1.3 LTC应以适当方式公开暂停认证资格的信息，明确暂停的起始日期和暂停期限，并声明在暂停期间获证组织不得以任何方式使用认证证书、认证标识或引用认证信息。

  9.2认证资格的撤销

  9.2.1获证组织有以下情形之一的，LTC应在获得相关信息并调查核实后5个工作日内撤销其认证资格，并保留相应证据：

  (1)被注销或撤销法律地位证明文件的;

  (2)被列入信用严重失信企业名单;

  (3)拒绝配合认证监管部门实施的监督检查，或者对有关事项的询问和调查提供了虚假材料或信息的;

  (4)拒绝接受监督抽查的;

  (5)出现重大合规事故，经执法监管部门确认是获证组织违规造成的;

  (6)有其他严重违反法律法规行为，受到相关行政部门处罚的;

  (7)暂停认证证书的期限已满但导致暂停的问题未得到解决或纠正的(包括持有的与CMS范围有关的行政许可证明、资质证书等已经过期失效但申请未获批准);

  (8)没有运行CMS或者已不具备运行条件的;

  (9)不按相关规定正确引用和宣传获得的认证信息，造成严重影响或后果，或者LTC已要求其纠正但超过2个月仍未纠正的;

  (10)其他应当撤销认证证书的。

  9.2.2撤销认证证书后，LTC应及时收回撤销的认证证书。若无法收回，LTC应及时在相关媒体和网站上公布或声明撤销决定。

  9.3认证资格的注销

  获证组织主动申请不再保持认证资格时，LTC应注销其认证资格，并保留相应证据。

  9.4认证资格的恢复

  暂停期间，如获证组织采取有效的纠正措施，造成暂停的原因已消除的，LTC应恢复其认证资格，并保留相应证据。

  9.5 LTC应当在公司网站上公布认证证书暂停、撤销、注销的信息，同时按规定程序和要求报国家认监委。

  9.6 LTC应采取有效措施避免各类无效的认证证书和认证标志被继续使用。

  10.认证证书及认证标志要求

  10.1总则

  10.1.1 LTC应明确认证证书及认证标志使用者的权利和义务，明确LTC对使用状况的跟踪调查要求，以确保符合《认证证书和认证标志管理办法》的相关要求。规定至少包括下述第10.1.2~10.1.8条内容要求：

  10.1.2获证组织应当在广告、宣传等活动中正确使用认证证书和认证标志，获得认证的管理体系发生重大变化时，应当向LTC申请变更，未变更或者经认证机构调查发现不符合认证要求的，不得继续使用该认证证书和认证标志。

  10.1.3不得利用产品、服务认证证书、认证标志和相关文字、符号，误导公众认为其管理体系已通过认证，也不得利用管理体系认证证书、认证标志和相关文字、符号，误导公众认为其产品、服务已通过认证。

  10.1.4获证组织可以在认证有效期内使用管理体系认证标志，但必须接受LTC的监督管理。

  10.1.5获证组织在广告等有关宣传中须正确使用管理体系认证标志，只能使用与所持有的认证证书完全相同的认证标志，不得在产品上标注管理体系认证标志，只有在注明获证组织通过管理体系认证的情况下方可在产品的包装上标注管理体系认证标志。

  10.1.6认证证书和认证标志不准以任何方式转让、出售或借用、冒用，使用时必须与获证方单位名称和产品名称放在一起;LTC至少在监审、再认证时监督认证证书和认证标志使用状况。

  10.1.7 LTC发现获证组织未正确使用认证证书和认证标志的，获证组织须立即采取有效纠正措施，并跟踪监督纠正情况。

  10.1.8对不能符合认证要求的，LTC会暂停获证组织使用直至撤销认证证书，暂停或停止其使用认证标志，并予以公布;对撤销或注销的证书予以收回，无法收回的，予以公布。

  10.2认证证书

  10.2.1 LTC应及时向认证决定符合要求的组织出具认证证书，认证证书的签发日期不应早于作出认证决定日期。

  10.2.2 CMS认证证书的有效期最长为3年，初次认证证书有效期的起算日期为认证决定日期，再认证证书有效期的起算日期不得晚于最近一次有效认证证书的截止日期。

  10.2.3对每张CMS认证证书应赋予一个认证证书编号，认证证书编号应遵循一定的规律。

  10.2.4认证证书在中华人民共和国境内使用的，证书使用的语言至少应包括中文。

  10.2.5认证证书的信息应真实、准确，不产生误导，并至少包含以下内容：

  (1)获证组织名称、统一社会信用代码、注册地址、经营地址/审核地址。若认证的CMS覆盖多场所，表述覆盖的相关场所的名称和地址信息;

  注：认证证书中可不包括临时场所，当在认证证书上展示临时场所时，应注明这些场所为临时场所。

  (2)获证组织CMS所覆盖的产品、活动、服务的范围;包括每个场所相应的认证范围，且没有误导或歧义(适用时);

  (3)认证依据的认证标准所采用的当时有效版本的完整标准号;

  (4)证书编号(或唯一识别代码);

  (5)首次颁证日期、本次颁证日期、证书有效日期、换证日期(换证时适用)。证书应注明：“在本认证证书有效期内应通过监督审核合格后保持有效性”的提示信息;

  (6)发证机构名称、发证机构地址、签发人、机构公章;

  (7)相关的认可标识、认可注册号(获得相关认可时适用);

  (8)证书二维码;

  (9)证书信息及证书状态的查询途径。

  10.3认证标志

  LTC暂无认证标志。若制定使用认证标志，须符合《认证证书和认证标志管理办法》中认证标志管理规定。认证标志的式样、文字和名称，不得违反法律、行政法规的规定，不得与国家推行的或其他机构制定并公布的认证标志相同或者相近似，不得妨碍社会管理秩序，不得有损社会道德风尚。标志制定后须经认监委的认证规则备案平台公布通过后才可使用。

  11.与其他管理体系的结合审核

  11.1对合规管理体系和其他管理体系实施结合审核时，通用或共性要求应满足本规则要求，审核报告中应清晰地体现5.4条要求，并易于识别。

  11.2结合审核的审核时间人日数，不得少于多个单独体系所需审核时间之和的80%。

  12.受理转换认证证书

  12.1 LTC应当履行社会责任，严禁以牟利为目的受理不符合标准、不能有效执行合规管理体系的组织申请认证证书的转换。

  12.2 LTC受理组织申请转换为LTC的认证证书，应该详细了解申请转换的原因，必要时进行现场审核。

  12.3转换仅限于现行有效认证证书。被暂停或正在接受暂停、撤销处理的认证证书以及已失效的认证证书，不得接受转换申请。

  12.4被发证的认证机构撤销证书的，除非该组织进行彻底整改，导致暂停或撤销认证证书的情形已消除，否则不应受理其认证申请。

  13.申投诉的处理

  13.1 获证组织对认证决定有异议的，可以向LTC提出申诉。任何组织和个人对认证过程和决定有异议的，可以向LTC提出投诉。

  13.2 申诉(投诉)的提交、调查和决定不应造成针对申诉人/投诉人的歧视。LTC对申诉人(投诉人)、申诉(投诉)事项的信息应予以保密。

  13.3 LTC应及时、公正、有效地处理申诉(投诉)，采取必要的纠正措施。对申诉(投诉)的处理决定，应由与申诉(投诉)事项无关的人员做出，或经其审核和批准，并应在60日内将处理结果书面告知申诉人(投诉人)。

  13.4 认为LTC未遵守认证相关法律法规或本规则，并导致自身合法权益受到严重侵害的，可以直接向LTC所在地市场监管部门或国家认监委投诉。

  14.认证记录的管理

  14.1 LTC应当建立认证记录保持制度，记录认证活动全过程并妥善保存。

  14.2 记录应当真实准确以证实认证活动得到有效实施。记录资料应当使用中文，保存时间至少应当与认证证书有效期一致。

  14.3 以电子文档方式保存记录的，应采用不可编辑的电子文档格式。

  14.4 所有具有相关人员签字的书面记录，可以制作成电子文档保存使用，但是原件必须妥善保存，保存时间至少应当与认证证书有效期一致。

  15.认证依据变更

  15.1本规则内容提及GB/T 35770/ISO 37301标准时均指认证活动发生时该标准的有效版本。认证活动及认证证书中描述该标准号时，应采用当时有效版本的完整标准号。

  15.2当认证依据有变更时，若国家市场监管部门有统一制订发布的关于CMS认证标准转版要求的，应按国家市场监管部门要求执行，若国家市场监管部门没有统一制订发布认证标准转版要求的，可按照国际标准的转版要求执行，确保组织能够及时获得新版标准认证。

  16.信息报送

  16.1 LTC应至少在审核实施前3日，将审核计划上报国家认监委相关网站，并应在上报认证证书信息的同时，上报管理体系审核结果信息。

  16.2在颁发认证证书后，应在次月10日前，将认证结果相关信息报送国家认监委。

  17.其他

  17.1本规则所提及的各类证明文件的复印件应是在原件上复印的，并经审核员确认是与原件一致。

  17.2 LTC可开展CMS及相关技术标准的宣贯培训，促使组织的全体员工正确理解和执行CMS标准。

  18.附则

  18.1本规则包含的术语具有如下含义：

  18.1.1申请组织：申请认证并接受认证审核、尚未获得认证的组织;

  18.1.2获证组织：管理体系已获认证的组织。

  18.1.3CMS认证业务范围：以CMS相关过程及预期结果的共性为特征的领域。

  注：认证业务范围类别与合规管理体系范围内的产品、过程和服务有关，认证业务范围也被称作“技术领域”“行业”等。

  18.1.4审核时间：策划并完成一次完整有效的管理体系审核所需要的时间。

  18.1.5现场审核时间：审核时间的一部分，包括从首次会议到末次会议之间实施审核活动的所有时间。

  18.1.6远程审核：利用信息和通信技术(ICT)在申请组织或获证组织所在地以外的任何地方实施审核的活动。

  18.1.7严重不符合：影响管理体系实现预期结果的能力的不符合。

  注：严重不符合可能是下列情况：

  —对过程控制是否有效或者产品或服务能否满足规定要求存在严重的怀疑。

  —多项轻微不符合都与同一要求或问题有关，可能表明存在系统性失效，从而构成一项严重不符合。

  18.1.8轻微不符合：不影响管理体系实现预期结果的能力的不符合。

  18.1.9多场所组织：单一管理体系覆盖的一个组织，其构成包括经识别的中心职能以及多个场所，中心职能(并不必须是组织的总部)对某些过程、活动进行策划和控制，在多个场所(常设的、临时的或虚拟的)中这些过程、活动得到全部或部分实施。

  附录A：合规管理体系认证审核时间要求

  注：

  1.有效人数包括认证范围内涉及的所有人员(含每个班次的人员)。覆盖于认证范围内的非固定人员(如：承包商人员)和兼职人员也应包括在有效人 数内。

  2. 对非固定人员(包括季节性人员、临时人员和分包商人员)和兼职人员的有效人数核定，可根据其实际工作小时数予以适当减少或换算成等效的全职人员数。

  3.组织正常工作期间(如轮班制组织)安排的审核时间可以计入有效的管理体系认证审核时间，但往返多审核场所之间所花费的时间不计入有效的管理体系认证审核时间。

  附录B： 确定结合审核人日数的计算方法

  C.1 总则

  确定减少结合审核人日数应综合组织管理体系一体化程度及审核组实施一体化审核的能力两种因素考量而确定

  C.2 结合审核时间减少量

  结合审核时间减少量(%)及其与管理体系一体化程序和审核组执行一体化审核能力之间的关系如下图：

  注1：图中纵坐标为组织管理体系整合水平。审核策划人员宜通过对组织整合管理绩效的评价确定其管理体系的整合水平，评价和量化组织管理体系整合水平可参考下列因素确定：

  (1)一套整合的文件，适宜时，包括适度融合的作业文件;

  (2)考虑总体经营战略和计划的管理评审;

  (3)对内部审核采用的一体化方法;

  (4)对方针和目标采用的一体化方法;

  (5)对体系过程采用的一体化方法;

  (6)对改进机制(纠正和预防措施、测量和持续改进)采用的一体化方法;

  (7)一体化的管理支持和管理职责。

  注2：图中横坐标为审核组承担结合审核能力的水平。可参考如下公式计算：

  审核组结合审核能力水平=[(X1-1)+(X2-1)+(X3-1)+…+(Xn-1)]/[Z(Y-1)]×100%

  式中 X1、X2…Xn 代表审核组中每位审核员有能力承担管理体系审核领域的数量;

  式中 Z 为结合审核组中审核员的数量;

  式中 Y 为结合审核所覆盖的整合管理体系的数量。

  注3：图中数值代表该区域可缩减的结合审核人日数占结合审核人日数起始点(T)的百分数。

  注4：结合审核人日数的起始点应为各单一管理体系的审核人日数之和。其中每个单一管理体系审核人日数(Sn)是针对单一管理体系考虑了增加或减少审核人日数因素后确定的时间值(注：这里不能把结合审核作为减少单一管理体系审核人日数的一个因素)。

  C.3 结合审核时间确定

  结合审核时间应为结合审核人日数的起始点减去按照C.2确定的减少量，无论如何，不宜使结合审核人日数少于起始点的 80%。

  附录C：具备CMS专业能力的审核员或技术专家的资格条件

  所选择的审核员或技术专家应具有CMS认证业务范围中相应专业能力，具备专业能力的审核员或技术专家应具备以下条件之一：

  (1)具有大专以上学历，并且具有至少3年(含)以上的合规管理工作经历;本科及以上学历具有2年(含)以上的合规管理工作经历;或

  (2)参加机构合规管理专业技术培训且考核合格，并且在CMS专业审核员指导下完成不少于4次10个现场审核工作日的CMS专业审核活动：

  注1：合规管理专业工作经历通常是指：在法律法规、行业准则及企业内部制度框架下，围绕 “识别、评估、控制合规风险”

展开的系统性工作经验，涵盖策略制定、流程设计、风险管控、监管应对等工作经历。

  附录D: CMS认证证书编号规则

  C.1 CMS 认证证书编号由认证机构批准号 、获证年份号 、CMS 英文缩写、顺序号 、认证周期、客户规模和子证书号构成 ，格式如下：

  C.2 同一个组织的认证范围覆盖多个场所并需要颁发子证书时 ，在子认证证书编号后加上“-” 和序号 ，如-1(-2 ，-3，⋯) 。

  C.3 有效期内换发证书 ，认证证书编号中的机构注册号 、年份号 、顺序号和认证的有效期保持不变 ，应注明换证日期。

  C.4 再认证完成后换发证书， 按 C. 1规定重新赋予认证证书编号， 第一次再认证为“R1”， 第二次再认证为“R2”， 以此类推。

  C.5 撤销证书后， 原认证证书编号废止，不再使用。

        办理咨询15034409001（同V）