从认证申请受理及评审管理端防控认证风险的思考

认证申请受理及评审是认证活动流程中的最前端，认证申请受理及评审环节出现的任何偏颇，都会对后续的审核策划、审核实施、认证评定确认等活动产生不可预计的不确定影响，识别该过程中的潜在风险并采取相应控制措施，对防控机构认证风险将起到积极的促进作用。

一、申请受理及评审过程主要风险

以认证认可文件为依据，申请受理及评审过程的主要风险点大致可以归纳为两大类：一类来源于申请方，另一类源自认证机构自身管理过程。机构风险管理也应从这两方面入手。

（一）公正性缺失风险

公正性是指实际存在着的并被感知到的客观性。客观性应理解为利益冲突不存在或已解决，不会对认证机构的活动产生不利影响。认证受理阶段对公正性的威胁可能源于以下情况：

认证机构对拟开展认证活动组织提供了认证前相关标准培训、内部审核、管理体系架构设计及文件编制等咨询服务；

拟认证审核的组织接受了与认证机构相关联的机构认证咨询服务；

认证机构与拟认证组织存在某种利益关系，如投资关系、上下级关系、商业伙伴关系等，认证机构由此受到胁迫，影响公正性。

（二）组织违规、失信风险

《认证机构管理办法》《质量管理体系认证规则》明确规定，认证机构应核实认证对象信用状况，关注组织是否被国家市场监督管理部门或其他政府部门在全国企业信用信息公示系统中被列入“严重违法企业名单”“质量信用严重信企业名单”。

（三）资质不合规风险

《认证机构管理办法》《质量管理体系认证规则》《能源管理体系认证规则》等文件中均要求组织在提交申请材料时应提供必要的信息，包括法律地位证明文件、管理体系覆盖活动所涉及法律法规要求的行政许可证明、资质证书等。然而，申请组织提供的资质材料往往存在以下问题：

申请组织提交的营业执照不能覆盖申请认证的范围，机构存在超资质认证风险；

申请认证组织不能提供管理体系覆盖的活动所涉及法律法规要求的资质证书、行政许可文件（包括生产许可证、矿山开采许可证、建筑企业资质证书、环评批复等），或提供的材料不完整、有效性缺失；

申请组织提供的法律证明文件与企业实际状况不对应或关联性存在问题，如环评批复中的企业名称、产品与申请企业名称、认证范围不一致，也未提供补充说明及相关证实性材料。

（四）认证范围界定不准确

认证范围是认证文件即认证证书中的主要信息，认证范围描述不准确或严重错误，将影响申请组织满意度，损害机构形象。因此，准确界定认证范围是认证机构全流程过程管理中的重要管控内容。

1. 依据机构批准书确定认证范围

依据《认证认可条例》及《认证机构管理办法》相关规定，认证机构应当在批准的认证领域内从事认证活动，超范围认证会给机构带来被处罚的风险，必须加以控制。

认证机构获取的由国家认监委颁发的“认证机构批准书”明确了认证机构认证业务范围，认证机构受理认证申请时不能超机构证书中的认证类别及认证领域受理认证。

2. 把握认证机构认可业务范围

认证机构应依据获取的“管理体系认证机构认可证书”或“产品认证机构认可证书”开展认证审核、评定活动，不能超认可范围颁发带有认可标志的认证证书。

3. 准确界定认证范围

为规避风险，认证受理时应准确识别并确定认证及审核范围，需关注并考虑以下因素：

（1）应充分考虑组织的产品、服务、过程、活动相对应的区域范围；

（2）产品的表述应与产品标准的名称相一致，宜细化至具体产品；

（3）组织申请认证产品认证单元应涵盖在相应产品认证实施规则中，不能超实施规则认证。

对于多场所认证组织，应识别中心职能，确定每个场所提供的产品、服务、过程，理解不同的场所法律与合同安排。集团公司认证范围描述，应明确所有的认证区域范围及其对应的产品、服务、过程。集团公司下的子证书只能描述子公司涉及的认证区域范围以及对应的产品、服务、过程的范围。

（五）认证受理超时限要求

《能源管理体系认证规则》指出认证机构受理组织申请时，组织应按照GB/T 23331《能源管理体系 要求》标准及相应的《能源管理体系 行业认证要求》建立能源管理体系且正常运行至少6个月以上；《质量管理体系认证规则》对认证时限提出了明确要求，即认证机构应结合一阶段审核确认质量管理体系是否已运行并且超过3个月。认证受理时应收集组织“管理手册”或其他控制文件，关注申请组织体系运行时间，确保能源管理体系满足运行6个月以上要求，质量管理体系尽量在受理时组织体系运行时间就应满足3个月要求，否则应做好记录，并将该信息传递给审核策划人员，实施后续持续监控，降低认证风险。

（六）认证信息不完整

认证申请受理时应收集申请评审、审核策划及审核实施所需的所有信息，这些信息应包括法律证明文件、资质证书、行政许可证明、管理体系控制文件、拟认证的范围、法律法规标准或其他要求及确定组织的审核时间及审核组的能力要求所需其他信息。信息缺失有可能造成技术领域专业判定及企业风险等级确定错误，也有可能使审核的充分性、有效性受到影响。

（七）认证申请受理及评审人员能力不足

认证机构要合规管理申请受理及评审活动，人力资源是满足合规管理的重要一环。认证受理及评审人员是认证机构参与管理和实施认证活动人员中的重要组成，他不应是一个人而应该是一组人。这些人员不仅要精通与认证活动有关的法律法规要求，掌握认证机构认证业务范围，还应了解相关行业产业政策，熟悉申请组织业务领域的专业知识。

二、申请受理及评审过程风险控制要点

（一）掌握认证认可法规要求，完善机构管理制度

1. 认证认可法规

认证机构规避认证风险的前提是了解掌握并贯彻执行国家认证认可相关法规要求。自2003年《认证认可条例》颁布实施后，国家及相关主管部门先后制定并发布了《强制性产品认证管理办法》《认证机构管理办法》等多项认证认可法规。近年来，随着我国认证认可事业的不断发展，国家认证认可法规制度不断完善，2014年5月国家认监委、国家发展和改革委员会发布实施了《能源管理体系认证规则》，2016年10月国家认监委修订实施了《质量管理体系认证规则》，2018年国务院发布《关于加强质量认证体系建设促进全面质量管理的意见》。

此外，中国合格评定国家认可委员会（CNAS）按照国家相关法律法规、国际和国家标准、规范等，发布并实施了多项认可工作的规则、准则、指南等规范性文件，明确了实施认证认可活动的政策和程序及认可的合格评定机构应满足的基本要求，是认证机构规范管理的根本依据。

2. 认证机构管理制度

认证机构应依据认证认可法规、规范及认证规则要求，对认证全流程各关键节点制定适宜的管理制度，就申请受理及评审过程而言，机构应编制“认证活动公正性相关规定”“认证申请程序及要求”“认证申请评审管理相关规定”“产品认证及管理体系认证范围确定相关规定”“已认可的管理体系认证的转换管理程序”管理程序或制度。

（二）增强风险意识，注重人才培养

随着国家认证制度的完善，认证监管力度不断加强，认证机构合规运行及认证人员能力提高也越来越重要。就申请评审岗位人员而言，提高员工综合能力机构应重点做好以下几方面：

识别并确定各岗位人员任职要求，新员工招聘应符合机构相应岗位人员能力要求；

制定并实施人力资源管理程序，总体策划并实施培训活动，采用多种方式开展岗前培训，如按计划组织的集中培训、网络学习、自学、师带徒等；

加强岗中培训，鼓励员工积极参加相关培训，采用考试、考评、评价等方式适时对培训效果进行验证；

建立健全考核机制，以问题为导向，针对发现的问题有的放矢地开展相关知识培训，提高员工能力水平，降低认证认可风险。

（三）加强申请受理评审管理节点控制

基于风险思维，机构应识别贯穿整个认证过程的风险，申请受理及评审作为认证过程全链条中的一个环节，机构应对此环节的管理节点加以控制，下表给出了申请受理及评审过程主要风险及管控要点，供机构参阅。