一、ISO/IEC 17021主要内容和特点
ISO/IEC 17021基于ISO/IEC指南62和66以及**认可论坛(IAF)对ISO/IEC指南62和66的应用指南(即IAF GD2和GD6,但不包括其附件)四份文件制定的,它适用于所有类型的管理体系认证。标准第1章“范围”明确写道:本标准包含了关于所有类型管理体系审核与认证的能力、一致性和公正性的原则与要求,以及关于提供上述活动的机构的原则与要求。也就是说,ISO/IEC 17021是为现在的和将来可能出现的所有管理体系认证活动制定规则。
标准的结构完全有别于原ISO/IEC指南62和66,主要内容分为“原则”(第4章)和“要求”(第5章至第10章)两大部分。
1. “原则”构成标准的灵魂
标准第4章的核心内容阐述了六项原则,即:“公正性”(4.2)、“能力”(4.3)、“责任”(4.4)、“开放性”(4.5)、“保密性”(4.6)和“对投诉的回应”(4.7)。这部分内容是全新。
六项原则奠定了标准中所有要求的基础,每项要求都可以和相应的原则联系起来,如同ISO 9000中的质量管理八项原则和ISO19011中的审核原则一样,这六项原则是认证可信性的核心与基础。标准在“原则”一章中指出:“认证的价值在于公正、有能力的第三方评定所建立的公信力的程度”。认证活动存在的价值在于确保相关利益方(如认证机构的客户、获证组织的顾客、政府部门、消费者和其他公众等)对认证具有信心,而树立这种信心的根本在于贯彻上述六项原则。
另一方面,虽然标准试图为所有管理体系认证活动提供规则,但对于未来出现的新型管理体系,必然有考虑不到之处,其预见性受到局限,因此在“出现未预料到的情况时,应当应用这些原则作为决策的指南”(4.1.1)。这些原则将成为认证活动中指导行为、制定相关准则或特定要求的基本出发点。
2. “要求”充分而具体
标准的第五章至第十章阐述了有关认证机构运作的通用要求。这部分基本采纳了原来四份文件(IAF GD2和GD6的附件除外)的大部分内容(即将原IAF的指南部分的内容有些内容也纳入进标准正文作为要求提出)。同时结合认证实践的发展增加了新的内容和要求,不少的地方还体现了新标准增强了适用性和可操作性,另一方面标准还体现了对现代管理新理念新技术的引入,如:5.1条款中对于“法律责任”的描述;在标准9.2.3.1.1C)中要求认证机构的**阶段审核“审查客户组织理解和实施标准要求的情况,特别是对管理体系的关键绩效或重要的因素、过程、目标和运作的识别情况”;9.1.9注1说明现场审核除了访问物理场所(如工厂)外,还可以包括远程访问包含管理体系审核相关信息的电子站点,等等。
由于标准在制定的过程中将IAF指南部分以及将多年实践证实有效的方法均纳入到“要求”中,故许多方面解决了操作一致性的问题,有效的起到了通过标准的实施提升认证可信度的作用。如:标准通过9.1“通用要求”中对于审核方案的策划的要求以及审核方案与“审核时间”、“抽样计划”、“客户组织产品与过程的范围与复杂程度”之间关系的处理处理,从要求上很好的解决在认证机构中普遍存在的审核方案策划过于“普适化”的问题。在如:对于再认证审核的策划和实施,标准指出:“再认证审核应考虑管理体系在认证周期内的绩效,包括调阅以前的监督审核报告”,这就较为现实的解决了担任再认证审核的审核组长如何策划再认证审核以及如何评价体系作为一个整体的持续符合性和有效性(显然,再认证审核的审核报告应对此有充分的描述)。
3. 第五章至第十章“要求”部分较显著的变化
1) 规定认证机构较高管理层应对管理体系认证活动的公正性做出承诺(5.2.1)。
2) 规定认证机构应向维护公正性的委员会(6.2)证明其如何消除对公正性的威胁或使之较小化(5.2.2),且其公正性始终没有受到商业、财务和其它方面压力的损害(5.3.2)。
3) 公正性委员会至少每年对认证机构认证机构审核、认证和决定过程的公正性进行一次审查。(6.2.1)
4) 不再使用“相关机构”这一概念,改为通过分析认证机构的关系来界定利益冲突(5.2.2)。
5) 规定认证机构不得将审核分包给咨询机构(5.2.8)。
6) 共有7处规定认证机构应按照ISO 19011的相关指南制定其相关活动的要求,如7.2.5规定:“认证机构应有实现和证实有效审核的过程……该过程应在根据ISO 19011相关指南制定的文件化要求中予以规定”。
7) 明确对于审核员要进行初始能力评价,对于适用的个人素质及在审核中应用所需知识与技能的本领应由有能力的评价者在对审核员的见证中确定。(7.2.4)
8) 规定所有管理体系的初次认证审核分为两个阶段实施:第1阶段和第2阶段(9.2.3)。并建议对于大多数管理体系,至少有部分**阶段审核活动在现场进行(9.2.3.1.1)。
9) 明确规定认证周期为三年,包括分为两阶段初次审核、**年与**年的监督审核和第三年在认证到期前进行的再认证审核(9.1.1)。并且要求再认证审核所发现的不符合的纠正和纠正措施必须在认证证书有效期之前实施(9.4.2.2)。
10) 标准增加了第八章“信息要求”,较好的解决了在对待“可公开获取的信息”、“获证客户目录”、“保密”、“认证资格的引用和标志的使用”等方面,认证机构与客户组织之间的责任、义务和权力的问题。
11) 规定认证机构可以选择两种方式之一建立自身的管理体系(10.1):即按照ISO 9001要求及标准的补充要求(10.2),或按照标准中通用的管理体系要求(10.2)。
二、ISO/IEC 17021的过渡期和要求
关于管理体系认证机构认可如何从ISO/IEC指南62、66和IAF GD2、GD6过渡至ISO/IEC 17021的问题,IAF技术委员会在07年11月IAF第20届成员大会期间讨论后的意见是:
1) 建议ISO/IEC 17021的过渡期为标准发布后两年;
2) 成立由认可机构和认证机构人员组成的ISO/IEC 17021过渡计划起草组,过渡计划经IAF成员表决通过后,以IAF和ISO联合公报的形式发布;
3) 鉴于ISO/IEC 17021已采纳了IAF GD2和GD6的大部分内容,不再针对ISO/IEC 17021制定全面的应用指南,而是将IAF GD2和GD6的附件(认可范围、审核员时间、多场所认证、已认可认证的转换、**监督和复评程序)修订后作为ISO/IEC 17021实施中相应问题的独立指南文件,新指南争取在过渡期结束前发布;
4) 建议IAF GD2和GD6的附件在被新指南取代前继续用于ISO/IEC 17021的认可;
根据IAF技术委员会的建议,IAF第20届成员大会通过了关于ISO/IEC 17021过渡期的决议:“认证机构符合ISO/IEC 17021:2006的过渡期为标准发布后两年。因此,从2008年9月15日起,依据ISO/IEC指南62或66的认可不再有效。IAF GD2和GD6的附件在被新指南取代前继续保持有效”。