(征求意见稿)
1 范围
本文件提供了新型冠状病毒肺炎疫情防控期间认证机构的运行管理、认证审核的策划与安排以及疫情结束后的相关工作指南。
本文件适用于所有类型的认证机构。
2 规范性引用
下列文件对于本文件的应用是必不可少的。
凡是标注日期的引用文件,其随后所有的修改单(不 包括勘误的内容)或修订版本均不适用于本文件,然而,鼓励根据本文件达成协议的各方研究是否 可使用上述文件的最新版本。凡是未标注日期的引用文件,使用其最新版本。GB/T 19000《质量管理体系 基础和术语》
GB/T 27000《合格评定 词汇和通用原则》
GB/T 27021.1《合格评定 管理体系审核认证机构要求 第1部分:要求》 GB/T27065《合格评定 产品、过程和服务认证机构要求》
GB/T23694《风险管理 术语》
RB/T 314-2017《合格评定 服务认证模式选择与应用指南》 《市场监管总局办公厅关于在新型冠状病毒感染肺炎疫情防控期间实施好质量认证相关工作的 通知》(市监认证〔2020〕9号)
IAF ID3:2011 《影响认可机构、合格评定机构和获证组织的特殊事件或情况的管理》
IAF MD4:2018 《强制性文件 信息和 通信 技术( ICT )在审核/评审中应用》
3 术语和定义
GB/T 19000、GB/T 27000、GB/T27021.1、GB/T27065、IAF MD4:2018、GB/T 23694 中确立的术语 和定义适用于本文件。
4 通用原则
4.1 总则
4.1.1 本章所述原则是本文件中后续指南的基础。本文件未就所有可能发生的情况给出指南。在出现未 预料到的情况时,可应用这些原则作为决策的基础。
4.1.2 认证机构宜按照国家应对新型冠状病毒肺炎疫情防控及国家认证认可行政主管部门有关要求,结 合各地疫情分区分级情况及防控要求,在风险分析的基础上,制定本机构的防控工作方案,组织开展疫 情防控期间各项认证工作。
4.1.3 鼓励未经国际认可论坛(IAF)认可机构成员认可的认证机构,在按照本文件制定相关措施时, 参考IAF ID3:2011《影响认可机构、合格评定机构和获证组织的特殊事件或情况的管理》、IAF MD4:2018 《信息和通信技术(ICT)在审核中应用》等文件。
4.2 基本原则
4.2.1 以人为本、科学防控 疫情防控期间,认证机构宜以保证人员健康安全为首要任务,积极贯彻落实党中央、国务院关 于新型冠状病毒感染肺炎疫情防控工作的决策部署,实行科学防控。
4.2.2 信息畅通、快速响应 及时关注疫情信息,加强与政府部门、社区、员工、境内境外客户等相关方信息沟通,采取措 施,快速响应疫情防控及客户需求。
4.2.3 传递信任、依法合规 以传递信任为己任,在疫情防控期间做好各项认证工作的策划与安排,依法合规,确保认证业 务的连续性和有效性。
4.2.4 客户至上、共度危机 不断提升机构自身能力,支持认证客户复工复产,服务社会经济发展,共度危机。
5 疫情防控期间认证机构运行管理
5.1 总则
5.1.1认证机构宜根据国家、地方政府及行业主管部门的有关要求,结合认证活动的特点及本机构的运行 机制,对疫情防控期间的运行管理进行策划,策划的输出至少包括国内、国/境外办公安排及防控要求、 应急管理、信息沟通与交流、人员能力建设、分支机构管理等内容。
5.1.2 认证机构的办公安排及防控要求宜参见各级政府疫情期间办公场所防控指南及相关要求。
5.1.3认证机构宜根据策划的安排实施运行管理,监控运行过程和结果,并根据疫情变化及国家、地方 政府及行业主管部门的要求,及时调整策划方案。
5.2 应急管理
5.2.1 应急预案编制
认证机构宜根据国家和地方政府的有关要求,结合认证
活动的特点,编制应急预案。预案宜 按照本指南有关条款要求,就以下活动作出安排:
a)应急组织管理;
b)认证人员情况调查、合理安排使用及安全防护措施;
c)疫情期间认证证书到期情况的处理;
d)必要时,远程电子化审核方案及文件审查安排;
e)就疫情防控期间的认证工作实施方案与客户的沟通安排;
f) 若出现疑似、确诊病例,或密切接触者等突发状况的应对措施。
5.2.2 突发状况的应对措施
认证机构宜明确出现疑似、确诊病例,或密切接触者等突发状况的应对措施。应对措施宜至少 包括以下内容:
a)若在办公区出现传染病病人或者疑似传染病病人时,应及时报告,并配合疾控机构人员,及 时隔离病人和密切接触者;
b)协调员工按规定接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔 离等预防、控制措施,如实提供有关情况;
c)若员工需要接受隔离治疗、医学观察措施的(包括确诊病人、疑似病人、传染病病人密切接 触者),应要求员工予以配合,安排必要的生活保障和心理安慰,并确保按规定给付期间的工资;
d)调查并确定疑似、确诊病例的办公及相关区域,按防疫要求进行消毒处理。
5.3 信息沟通与交流
认证机构宜建立疫情防控期间开展认证工作的信息收集、沟通与交流机制,宜就疫情防控及开 展认证工作的有关信息进行沟通交流,并明确信息沟通交流的职责、方式、时限等要求。
5.3.1 与疫情有关的信息沟通交流至少包括以下方面:
a) 及时了解属地政府及主管部门有关疫情防控的措施、要求,及时处理,必要时告知所有员工;
b)应根据疫情防控要求,建立员工信息报告制度并实施。
5.3.2 与认证工作开展有关的信息沟通交流至少包括以下方面:
a) 疫情防控期间的开展认证工作实施方案及时向社会公布并通报地方市场监管部门;
b) 有关现场审核/工厂检查信息、相关认证证书有效期顺延情况上报应满足市场监管总局(认 监委)的要求。
c) 了解认可要求,必要时及时将疫情防控期间的开展认证工作实施方案报送认可机构;
d) 因疫情影响的获证组织审核、证书有效期顺延等情况的通报应满足认可机构的要求。
5.3.3 与客户的信息沟通
认证机构宜采取多种方式与客户保持通畅的信息沟通,识别、确定并向客户书面通报疫情期间 的认证活动安排,确保客户知悉疫情对认证活动的影响并获得适宜的解决方案。
5.3.3.1 需要与客户沟通的信息包括但不限于以下内容:
a)疫情防控期间认证机构的应急管理措施;
b)在符合有关程序的前提下,保证客户已获证书有效性的措施;c)受疫情影响不能及时完成项目的应对措施;
d)适用时,在疫情期间开展审核的方案及要求。特殊地,认证机构宜关注疫情防控期间涉及国计民生和疫情防控的相关客户,与其沟通并在符 合国家规定的前提下尽可能满足其认证需求。
5.3.3.2 与认证审核有关的信息沟通
若在疫情期间开展认证审核,认证机构宜与客户沟通信息,包括但不限于以下内容:
a)客户所在地疫情信息及管控要求;
b)恢复正常运行或恢复在线生产获证产品的时间;
c)交付当前认证范围内产品/服务的时间;
d)现有库存产品是否仍符合客户要求,以及是否存在让步放行的情况;
e)获证产品是否使用替代的生产场所,过程是否分包给其他组织,以及替代的生产场所或分包 组织的相关活动的控制措施;
f)可以证明获证组织证书有效性的信息,包括但不限于相关的手册、程序、记录等,必要时可 要求组织填写调查表或提供自评估报告;
g)适用时,满足远程审核或现场审核条件的信息,以及远程审核或现场审核的方案及特殊要求, 尤其是疫情防控的要求。
5.4 人员能力建设
5.4.1 疫情防控期间认证人员能力提升的策划与安排
认证机构宜做好疫情防控期间认证人员能力提升的策划和安排,包括但不限于:
a)识别在疫情防控期间认证机构为开展认证活动及保证认证质量所涉及人员的能力提升需求, 如 ICT 在审核中的应用、文件评审技巧、与疫情相关的法律法规要求、疫情期间安全防护要求、沟 通能力等;
b)制定疫情防护期间人员能力提升计划并宜采用适宜方式开展相关活动,,如编制疫情防控期 间工作手册、工作指南,使用远程方式进行在线培训、研讨等。
5.4.2 认证审核人员管理
认证机构宜制定疫情防控期间认证审核人员的管理要求,以确保认证审核人员的人身安全及认 证审核的质量。如果认证机构采用 ICT 方式进行审核,为确保审核质量,认证机构应确保所选派的审核组成员 除了具备 GB/T 27021.1《合格评定 管理体系审核认证机构要求 第 1 部分:要求》中规定通用的审 核知识与技能以及特定技术领域审核所需的知识与技能外,还需要采取措施使审核组成员具备相关 能力和知识, 并通过适当方式予以确认(见 5.4.1)。
5.4.2.1 审核组能力
a)宜具备相应的能力和知识,以理解并利用所采用的信息和通信技术取得期望获得的审核结果;
b)宜理解应用信息和通信技术的风险和机遇,以及应用这些技术对信息收集有效性和客观性的 影响。
5.4.2.2 审核员通用知识
适当时,每位审核员宜具备以下通用知识:
a)ICT 审核工具应用,包括硬件和应用系统 (硬件如:智能手机、手持设备、笔记本电脑、台 式电脑、无人机、摄像机、可穿戴技术、人工智能及其他;应用系统如:QQ、钉钉、微信等即时通 信工具及视频会议系统等);
b)网络信息安全的基本知识. 注:保证电子信息或电子化传输信息的安全性和保密性非常重要。
5.4.2.3 审核员特定知识
每位审核员宜具有以下特定知识:
a)受审核方相关的信息管理系统的基本知识;
b)受审核方特定的网络和信息安全知识。以上知识宜由受审核方提供基本要求,ICT 审核实施前,审核组成员应进行学习或培训。
5.4.2.4 审核人员的监控
认证机构宜采用适宜的方式对认证审核人员在实施 ICT 审核过程进行监控,监控内容宜包括:审核计划的执行、沟通的有效性、审核结果、ICT 工具应用能力等。监控的结果宜作为对 ICT 审核人员能力评价的输入。
5.5 分支机构管理
5.5.1 认证机构策划疫情防控期间运行管理要求时宜考虑国内、国/境外分支机构运行管理。总部可 以建立统一的管理要求与各分支机构共同执行,分支机构也可以在总部的统一部署下建立差异化的 管理要求。无论采用何种方式宜至少包括以下内容:
a) 分支机构与总部、分支机构与地方认证监督主管部门之间的沟通机制;
b) 符合当地疫情防控要求的办公、消毒、通报、应急响应等要求;
c) 总部其他方面要求。
5.5.2 分支机构宜在总部的指导下收集分支机构所在地的联防联控的要求,并根据总部的授权按如下 方式开展认证业务:
a) 制定符合当地疫情防控要求的认证审核工作方案,并上报总部后执行;或 b) 执行总部根据各地疫情防控要求统一制定的认证审核工作方案。
6 疫情防控期间认证机构审核的策划与安排
6.1 策划
认证机构宜对疫情防控期间认证业务影响进行分析并评估,宜确定、策划、实施和控制认证业 务持续发展所需的措施 ,以对疫情防控期间的整体认证审核工作进行合理、有效安排,满足适用的 需求和要求。
认证机构宜运用审核方案管理,策划、制定疫情防控期间的专项方案,其中对于各类活动开展 所需措施的制定应具有可操作性并为后续评估和可能的补救措施以及全面恢复业务预留管理途径。以确保认证机构的认证审核业务连续和获得有效的管理和控制。
6.1.1 策划输入
策划时可考虑且不限于以下因素:
a) 国家及认证机构所属地区疫情防控政策要求;
b) 市场监管总局/国家认监委相关文件管理要求;
c) 认证认可监管要求;
d)认可机构相关文件管理要求(适用时);
e) 认证机构拟采取相应措施所需的内部、外部资源要求;
f) 认证机构国内及国/境外认证客户的情况;
g) 国际国内认证行业相关研究实践成果等。
6.1.2 策划输出
认证机构宜对疫情防控期间认证审核活动整体调整安排形成工作方案,宜包括但不限于以下内 容:
a) 认证客户联系和沟通安排;
b) 初审、监督、再认证/复评、扩大、暂停等认证项目的安排措施,包括具备现场审核及不具 备现场审核条件的安排;
6 c) 认证审核活动时限调整说明;
d) 特殊情况处理措施;
e) 认证安排客户告知;
f) 违约事项采取措施;
g) 认证决定要求;
h) 认证证书处置;
i) 认证认可业务信息统一上报平台信息处理要求;
j) 必要时,调整业务系统操作说明;
k) 必要时,采取新审核方式的人员培训及能力确认的安排等。策划的输出工作方案应适合于认证机构和认证客户实际情况的运行。工作方案宜根据疫情防控 政策变更进行及时调整。
6.2 认证项目安排
6.2.1 总则
当疫情发生时,认证机构宜在确保认证活动合规、有效、可持续的同时,结合认证机构自身实 际及风险控制能力,对认证项目实施作出合理优化调整和有效安排。认证机构需要根据政府相关部门对突发重大公共卫生事件控制的总体要求、认证机构及客户所 在区域的控制要求、认证机构与客户的沟通情况、客户具体情况以及审核员能力等,分别根据不同 领域的预期结果各认证类别、认证活动各阶段的认证要求,制定认证方案实施认证。
6.2.2 产品认证
认证机构对开展产品认证业务,应进行风险评估,制定与风险评估结果相适宜的产品检验检测 及实施检查的认证方案,认证机构应做好产品检验及现场检查协调安排。
6.2.2.1 初次认证
a)认证机构应采用合理方式受理初次认证申请并进行评审,对于符合要求的项目,宜在疫情结 束后实施现场检查;
b) 如已完成产品检测,未实施现场检查的项目,由认证机构进行风险评估,根据风险评估结果, 对于风险较低的项目可采取适宜方式完成检查,如采用文件信息资料以及采用信息和通信技术(ICT) 或采信其他认证评价信息进行实施;对于风险较高的组织应进行现场检查。
6.2.2.2 监督检查
在疫情防控期间应安排实施的例行监督检查,认证机构可以通过与客户沟通,修订产品认证检 查的策划,制定专项检查方案(含产品抽样及检测方案),认证机构通过风险评估,视客户情况可采 用延期现场检查或通过对收集的客户信息资料进行文件检查,客户配合检查组完成必要的 ICT 检查。客户需提供不限于以下资料:
a)自上次检查以来变化情況;
b)最近一次内审及管理评审报告;
c) 相关产品合规性的检测报告;
d)疫情防控期间,客户为确保认证的产品符合规定要求所采取的措施及相关记录;
e)国家及地方产品抽样检查中发现的问题及整改措施;
f)顾客的申/投诉处理情況;
g)需要时,符合产品认证要求有效保持和运行产品保证体系所需的其他文件;
h )需要时,根据产品认证领域不同时要求提交其他相关资料。
6.2.2.3 再认证/复评检查
疫情防控期间,认证机构可正常受理再认证申请,对不具备条件的暂不实施现场检查。若以延续现有认证周期为目的可采用 ICT 技术实施远程审核。
对于经评估产品认证证书有效期 的连续性不受影响的再认证/复评项目,可以在疫情结束后 3 个月内安排现场检查。认证机构经适宜的方式进行评价后可换发认证证书,延期至疫情结束后 3 个月;或按 IAF ID 3:2011《影响认可机构、合格评定机构和获证组织的特殊事件或情况的管理》的相关规定进行延期, 最长不超过 6 个月。
6.2.2.4 产品检验
认证机构可根据风险评估的结果,与认证委托方沟通产品抽样的方式,必要时可采用 ICT 方式 实施,使用 ICT 方式时,认证机构应制定相应的程序要求并予以执行。对于由客户送样检验检测或实验的,可以根据认证机构所制定的产品认证实施规则进行实施。
对受疫情影响且产品认证实施规则中要求现场进行产品抽样或现场实施见证试验等项目,宜在 疫情结束后与客户协商确定适宜的时间进行实施。对于季节性或订单产品确定需要实施产品检测的项目,认证机构可制定相关采信条件,根据风险评 估结果,在评估基础上采信认证客户现有的同类产品有效检测报告(农食产品除外)。
6.2.3 管理体系认证
6.2.3.1 初次认证
a)认证机构宜采用合理方式正常受理初次认证申请,且可通过非现场一阶段包括文件审核,完 成部分审核工作,为后续现场审核的实施提供业务连续的有关资讯。在疫情期间不建议实施现场审 核;
b)对于已完成一阶段现场审核,并满足二阶段审核条件的,由认证机构进行风险评价,根据风 险评价结果,采取相应的认证措施方案。如对于风险较低的组织,基于一阶段获取的现场运行控制 的信息,可以通过文件和资料以及采用信息和通信技术(ICT)等适宜有效的方式完成二阶段的审核;对于风险较高的组织则建议疫情结束后实施现场审核。
6.2.3.2 监督审核
对在疫情期间应安排实施的例行监督审核,认证机构可以通过与客户沟通,修订周期审核策划 方案,制定专项审核方案,在风险评估的基础上,考虑采取合理的审核方式实现方案的目标。如认 证项目风险较低,并能够收集相应的资料,已验证组织体系的持续有效性,审核组通过对收集的资 料进行评审,以确定认证的持续适用性。所提供的信息包括但不限于:
a)自上次审核以来组织的变化情況;
b)最近一次的内审及管理评审报告;
c) 疫情防控期间,客户为确保管理体系认证的有效性所采 取的措施及相关记录;
d)国家及地方产品抽样检查中发现的问题及整改措施;
e)顾客的申/投诉处理情況;
f)客户组织的管理体系文件及审核组认为按照管理体系认证规则或相关规范要求有效保持和运 行产品保证体系所需的其他文件;
g)可以证明管理体系运行绩效的相关记录;
h) 若需要,还可调取其他相关资料。
6.2.3.3 再认证审核
疫情防控期间,认证机构可正常受理再认证申请,对不具备条件的暂不实施现场审核。若以延 续现有认证周期为目的可采用 ICT 技术实施远程审核。对于经评估管理体系认证证书有效期的连续 性不受影响的再认证项目,可以在疫情结束后 3 个月内安排现场审核,否则宜实施新的初次审核。认证机构经适宜的方式进行评价后可换发认证证书,延期至疫情结束后 3 个月;或按 IAF ID 3:2011《影响认可机构、合格评定机构和获证组织的特殊事件或情况的管理》的相关规定进行延期, 最长不超过 6 个月;
6.2.4 服务认证
在突发重大公共卫生事件时,服务行业往往是维系人们基本生活的主场和救援提供者,如医院 和医护人员,商场和商场的服务人员,小区的物业管理等;因此,在疫情期间应关注有关服务认证 活动的实施。应利用特殊时期的认证方案,对测评时间和方式作出策划,还应适当考虑所需的后续 补救措施。
6.2.4.1 初次认证
由认证机构进行风险评价,根据风险评价结果,策划服务认证审查方案,包括实施管理能力和 服务特性测评的认证模式。
a)疫情期间认证机构对服务特性测评部分,可根据不同服务业态的情况,选择符合疫情防控期 间要求的服务认证模式(认证模式的选择参见《服务认证模式选择与应用导则》RB/T 314-2017.)
b) 对于服务提供过程和管理过程的审核,宜参照本标准 6.2.3.1b)条款并根据服务认证审查方 案开展审核活动
6.2.4.2 监督审核
对在疫情期间应安排实施的例行监督审查,认证机构可以通过与客户沟通,了解并确定当前的 状态和预期状态,修订周期认证策划方案,制定替代的审查方案,审查组可通过对收集的客户电子 版资料进行文件检查,客户配合审核组完成必要的 ICT 审查沟通的认证模式。客户需提供的但不限 于的必要的资料如下:
a)自上次审查以来组织的变化情況 ;
b)内部自我评价档案:含评价方式方法及评价结果等 ;
c)服务规范和服务提供规范(含疫情期间的服务规范);
d)疫情防控期间,组织为确保管理体系的有效性所采取的措施及相关记录,特别是服务提供对 疫情防控各项措施的实施情况;
e)顾客的申/投诉处理情況。
6.2.4.3 再认证审核
疫情期间,认证机构可正常受理再认证申请,不具备条件的暂不实施现场审查。对于经评估服 务认证证书有效期的连续性不受影响的再认证项目,可以在疫情结束后安排现场部分的测评和审查。否则,可以按 6.2.4.1 和 6.2.4.2 选择适宜的认证模式进行测评和审查。认证机构经适宜的方式进行评价后可换发认证证书,延期至疫情结束后 3 个月;或按 IAF ID 3:2011《影响认可机构、合格评定机构和获证组织的特殊事件或情况的管理》的相关规定进行延期, 最长不超过 6 个月。
6.2.5 其他领域的认证
疫情期间,除产品认证、管理体系认证和服务认证外的其他领域,应根据各领域的认证规则, 对需开展的检验检测等认证活动,进行风险评估,制定与风险评估结果相适宜的认证方案,根据检 验检测等认证活动的特性要求开展相关业务。
a) 对于由客户送样检验检测或实验的,可以根据各机构所制定的相关方案实施;
b) 对于需去客户现场实施的检验检测或实验等项目,不建议采取非现场的认证活动,待疫情 结束后与客户协商确定适宜的时间进行;
c) 对认证证书即将到期的,对于经评估服务认证证书有效期的连续性不受影响的再认证项目, 可以在疫情结束后安排现场部分的测评和审查,或按《市场监管总局办公厅关于在新型冠状 病毒感染肺炎疫情防控期间实施好质量认证相关工作的通知》• (市监认证〔2020〕9 号) 通知要求,经适宜的方式进行评价后延期至疫情结束后 3 个月。
6.2.6 增加或变更认证范围的认证活动
疫情期间,对于客户提出的增加或变更认证范围申请时,各认证机构宜根据认证业务流程进行 受理、评审,制定相宜的认证方案。
a) 对于产品、管理体系及服务认证项目,可进行文件及相关资料等非现场的评审,如需开展 相关现场认证活动,可参阅 6.2.2、6.2.3、6.2.4 的相关要求进行。
b) 对于其他领域的认证活动,可进行文件及相关资料等非现场的评审,需在现场各机构宜在 疫情结束后与客户协商确定适宜的时间进行,或按 6.2.5 的相关要求进行。
6.2.7 境外项目
对于境外项目,根据疫情发生地的控制要求,由机构及时评审所了解到的获证客户当期和预期 的未来的情况,在获得必要信息的基础上制定适宜的措施。必要的信息以及后续的措施,参见 IAF ID3:2011《影响认可机构、合格评定机构和获证组织 的特殊事件或情况的管理》 同时应遵循疫情发生地政府关于疫情控制的要求,以及国内对于疫情发生地的控制政策和认证 人员的意愿,机构进行风险评估,根据评估结果采取与风险等级相适宜的措施。如非必需,不宜在 疫情期间实施境外认证活动;对于必须参加境外认证活动的人员应采取必要的人员防控措施,以确 认人身安全。
6.3 信息和通信技术在审核中的应用
在审核过程中应用 ICT 技术,为审核过程的完整性和可信性提供保障,同时,应用 ICT 技术也 可实现优化审核的有效性和效率。作为在审核中使用信息和通信技术(ICT)的一套方法,IAF 已发 布 IAF MD4:2018《强制性文件信息和通信技术(ICT)在审核/评审中的应用》。作为对认证过程管理的一部分,该文件对于经 IAF 认可机构成员认可的认证机构是强制性的。在特殊事件或情况下,如疫情发生时,可能暂时阻止了认证机构正常计划实施的现场审核,因 此,认证机构采用 ICT 技术将对审核的实施提供有力的技术支撑。ICT 技术的应用可应用于当地现 场审核或应用于远程场所审核。
6.3.1 策划
在疫情期间针对认证实施的具体情况,认证机构可结合自身认证程序,策划并制定包含对 ICT 应用的合理方案,以降低疫情对认证结果的影响。
认证方案至少应考虑:
a)若采用 ICT,认证机构需了解和评审客户组织和认证机构是否具有必要的技术条件(摄像头、 智能手机、手持设备、笔记本电脑、台式电脑、摄像机、无人机、可穿戴设备、人工智能及其他)
b)对可能采用的 ICT 技术进行策划,如:
1) 会议:通过远程电信会议设施,包括音频、视频或数据共享;(如:钉钉、腾讯视频等);
2) 通过远程接入方式对文件或记录的审核;(如通过授权登录客户组织的业务系统查阅文件 或记录);
3) 通过静止影像、视频或音频录制的方式记录信息和证据;
c)策划采用 ICT 方式审核的范围和时期;
d)方案中设置风险评估过程,考虑根据评估结果制定可能的后续措施;
e)对采用 ICT 方式的有关技术进行管理;
f)对认证决定的原则进行规定。
6.3.2 人员能力要求
当应用 ICT 技术时,认证机构的审核员及涉及的有关人员应具备能力,以便理解和使用所采用 的信息和通信技术,从而实现对审核证据及有关信息的获取。当由于技术的原因,活动受到阻碍时, 审核员应基于风险客观的评估对信息收集的有效性和客观性的影响并予以记录。认证机构宜考虑通过对审核人员给予足够的培训/训练,使其具备可以利用 ICT 有效开展审核的 能力。
6.3.3 资源配备
a) 申请评审应确认客户组织是否具有支持 ICT 的必要设施;
b) 认证机构宜为审核活动的实施配置相应的资源,例如:智能手机、手持设备、笔记本电脑、 台式电脑、摄像机等。
6.3.4 实施
当认证机构将 ICT 用作审核方法的一部分时,经 IAF 认可机构成员认可的认证机构应符合 IAF MD4:2018《信息和通信技术(ICT)在审核中应用》的要求,以确保认证活动的有效性和效率。
a) 疫情期间,通过电子邮件、电话、微信等方式与客户组织进行沟通,确认是否具有必要的基 础设施以支持使用 ICT 技术;
b) 审核组宜通过审核计划对应用 ICT 技术实施审核作出有效安排,如:利用视频会议或电话会 议的方式召开首次会议。
c) 审核记录和审核报告宜适当说明应用 ICT 的情况,对审核过程的完整性和可行性提供支持和 保障做必要说明。
d) 随着对 ICT 的应用以及项目的进展,对其风险和后续措施的必要性进行评审并提出改进的机 会。
e) 认证机构宜对应用 ICT 技术实施的审核制定认证决定原则。包括制定待疫情解除后对评定结 果的确认或决定补充进行现场审核/工厂检查。
6.3.5 保密和记录控制
a) 在实施 ICT 审核时,应关注对电子信息和电子化传输信息的安全性和保密性。在有要求的情 况下,应用 ICT 审核之前,受审核方与认证机构之间应达成一致意见。
b) 认证机构宜规定应用 ICT 审核过程中需要保持的记录以及记录的保存形式和内容。
c) 审核报告及相关记录应指出实施审核过程中所采用 ICT 的范围,以及为达到审核目的应用 ICT 的有效性。
d) 如果审核范围中包括虚拟场所,认证的记录材料中应包括虚拟场所,并且应识别出在虚拟场 所实施的活动。
6.4 受疫情影响不能及时完成项目的应对措施
6.4.1 不符合无法按期整改及验证
由于疫情影响,如审核组提出的不符合项受审核方无法按要求的期限完成整改,认证机构宜制 订应对措施并与受审核方沟通,以维持疫情期间认证活动的连续性。在风险评估基础上,认证机构可采取的不符合项验证措施包括:验证受审核方制订的不符合整 改措施计划、延长不符合整改时限、验证多个同类不符合的综合整改措施等。无论采取何种措施, 认证机构宜有成文的方案,支持在疫情结束后认证机构需实施的补充措施并评价活动的有效性。参照市监认证〔2020〕9 号通知和 GB/T 27021.1 要求,不符合项延期整改及验证的期限:
a) 初次认证审核(一、二阶段):一般不符合整改验证的时限可延长至疫情结束后 3 个月,但 严重不符合整改措施的最长期限为审核结束后 6 个月。
b) 监督审核:不符合整改验证的时限可延长至疫情结束后 3 个月。
c) 再认证审核:不符合整改验证的时限可延长至疫情结束后 3 个月。如在原证书有效期内不能 完成不符合整改,认证机构应对受审核方一个认证周期运行情况通过资料评价方式进行整体评估, 确定其管理体系的符合性及有效性,延长原证书有效期 6 个月,对不符合整改验证的时限进行相应 延期。受核方在原证书到期后 6 个月内完成不符合整改活动,则按再认证进行认证决定,证书的生 效日期应不早于再认证决定日期,终止日期应基于上一个认证周期。
6.4.2 二阶段审核无法实施
受审核方已完成一阶段审核,由于疫情影响无法接受二阶段审核,认证机构可采用非现场审核 方式(包括 ICT 的应用)对资料进行收集,参照市监认证〔2020〕9 号通知要求,延长受审核方一 阶段审核结论至疫情结束后 3 个月。
6.4.3 暂停证书的处理
参照市监认证〔2020〕9 号通知要求,对于受疫情影响停产而不能接受监督审核/工厂检查的企 业所持有的认证证书,认证机构对认证证书实施暂停等处理的时限,可延迟至疫情解除后 3 个月。已暂停证书因疫情影响到期无法恢复,认证机构宜进行评估,延长暂停期限,不超过疫情解除 后 3 个月。
6.4.4 资质超期
对于资质超期的获证组织,认证机构可考虑疫情影响,对各类资质的有效期控制进行适当延长。适用时,依据《国市监综〔2020〕30 号》通知的要求,延长行政许可资质有效期:
a) 营业执照:对在疫情防控期间营业执照登记事项发生变化或到期,延期至疫情解除之后 1 个 月;
b) 工业产品生产许可证:因疫情影响未及时换证过期,工业产品生产许可证的有效期可顺延至 疫情解除后 1 个月。符合条件的特种设备生产单位,可采用自我声明承诺的方式免评审换证;
c) 食品生产、经营许可证:疫情期间到期未换证,食品生产、经营许可证的有效期可顺延至当 地疫情解除;
d) 专利、商标、集成电路布图设计等事务:因受疫情影响超出相关期限的,按市场监管总局便 利化救济政策予以相应的认可。
6.4.5 其他方面
认证机构可参照《支持复工复产十条》(国市监综〔2020〕30 号)通知要求,对获证组织检验/ 检测等有关报告有效期进行评估并延期:
a) 强制检验/检测:对受疫情影响无法按期检验检测监测的,可以延期至疫情解除后办理,原 检验检测监测报告有效期延长至疫情解除后 3 个月;
b) 特种设备检验:特种设备使用单位,在正常的维护保养前提下,原特种设备检验报告有效期 延期至疫情解除后 3 个月;
c) 计量器具检定:强制检测目录中的计量器具,使用单位在确认状态完好提前下,检测证书有 效期延期至疫情解除后 3 个月,具备校准能力的使用单位应按周期及时进行内部校准。对于政府主管部门或行业有其他要求的,按照相关要求执行。
6.5 其他安排
6.5.1 业务系统的管理
a) 认证机构宜在疫情防控期间,进一步强化对自身业务系统的有效管理,确保认证业务持续性 和有能力不中断对客户组织的服务。
b) 在特殊时期,业务系统为申请评审、审核方案策划、审核任务下达、审核资料上传等活动有 效的提供支持;
c) 当需要时,认证机构宜对业务系统的应用作出临时性安排,如对特殊时期实施的项目的标注, 以便于对项目采取的后续措施的有效实施;
d) 有需要时,可以考虑在业务系统中增加必要的功能,以支持应用 ICT 技术远程审核的实施。
6.5.2 监控管理
a)认证机构宜基于风险控制对实施的过程进行监控,至少包括:——法规符合性的监控;——特殊时期对各地方有关政策、策略的执行情况的监控;——特殊时期审核方案实施情况的监控;
b)监控的内容、频次、方式、监控结果的使用等应体现在前期策划的方案中;
c)监控的结果作为信息输入,用于支持后续工作所需作出的抉择。
6.5.3 现场审核疫情风险控制
在疫情期间,疫区内原则上不安排现场审核。若条件允许在非疫区实施现场审核时,也需充分 考虑可能的突发状况,对经策划的方案有效实施带来的阻碍,还需充分考虑疫情给审核组成员带来 的风险。除本标准第 5 章节条款的要求外,应对以下情形予以控制:
a) 认证机构有过程确保与地区政府及相关部门的沟通;
b) 认证机构能够及时获取客户组织所在地区的疫情防控情况和相关要求;
c) 确保针对现场审核,认证机构与客户组织的疫情防控信息是畅通有效的;
d) 认证机构宜有过程确保审核组掌握遇到紧急情况时的处置和报告程序;
e) 确保审核组已具备有效防控的各项措施(包括个人防护),以确保疫情期间审核人员的职业 健康安全满足要求;
f) 审核计划宜适当考虑特殊情况(疫情)下,审核方式从简的具体操作方法和步骤,包括适 当的现场审核时间、适当减少参与审核的人员、优先就近安排审核人员、非公共交通和独立的食宿 安排,减少受审核方参与审核的人员等。
7 疫情结束后续工作
7.1 总则
7.1.1 认证机构宜对疫情防控期间制定的认证工作实施方案及其实施情况进行评估,重点关注采取 措施的合理性和实施的有效性。
7.1.2 对评估中发现的问题应及时予以纠正,采取有效措施,控制认证风险,以确保认证活动合规、 有效。
7.1.3 适宜时,认证机构宜进一步修订完善疫情防控期间认证工作实施方案,总结形成应对公共卫 生事件的常态化机制和方案,不断提升机构应对风险的能力。
7.2 后续工作的实施
7.2.1 疫情防控期间选择了适宜方法开展审核(例如:使用信息和通信技术(ICT)实施审核是一种 适宜的远程审核方法)的,疫情结束后,认证机构应对相关结果予以评价确认或补充进行现场审核。
7.2.2 疫情防控期间因疫情导致需延期实施现场审核的,疫情结束后,认证机构应与客户及时沟通, 协商确定适宜的时间进行现场审核。
7.2.3 疫情防控期间因疫情影响办理了证书有效期顺延或暂停/延迟暂停的,疫情结束后,认证机构 应与客户及时沟通,协商确定适宜的时间进行现场审核,获取相关符合性证据,予以换发认证证书/ 恢复证书。
7.2.4 对于暂停/暂停延迟到期仍无法接受审核的获证客户,认证机构应对其证书进行暂停或缩小认 证范围。再认证宜在允许的延长期内进行,否则,宜实施新的初次审核。如果无法与获证客户取得 联系,认证机构宜遵循暂停和撤销认证的正常流程和程序。
7.2.5 在后续认证审核实施过程中,认证机构宜关注疫情对获证客户带来的影响,以及客户在疫情 防控期间采取措施的合理性和实施的有效性。