1　范围

本标准描述了认证责任的内容，认证机构在认证活动中承担的认证责任；同时描述了当认证责任未充分履行时，将引发的认证风险，同时本标准提出了认证机构为避免发生认证风险应建立的认证风险防控管理机制。。

本标准用于引导认证机构如何辨识认证责任并作出妥善安排，同时指导日常风险防控管理和风险事件应对，开展各个领域认证活动的认证机构均可参考此标准进行机构管理。

2　规范性引用文件

下列文件对于本文件的宜用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 19000  质量管理体系 基础和术语

GB/T 23694  风险管理 术语

GB/T 27000  合格评定 词汇和通用原则

GB/T 31000  风险管理标准

3　术语和定义

GB/T 19000、GB/T 23694、GB/T 27000和GB/T 31000界定的以及下列术语和定义适用于本文件。

3.1　 

认证责任  certification responsibility

保证认证结果真实和不偏差地证明认证组织被认证内容符合认证标准要求。 

注1：被认证内容通常为认证组织的管理体系、产品、服务和过程。

注2：“责任”一词在不同的语境中有不同的含义。本标准所使用的词汇“责任”，首先是正面描述认证机构在认证过程中应承担的义务和工作责任；另一方面从负面描述若未履行义务需承担的不利后果，也使用“责任”一词，例如“责任追溯”；使用本标准时，应从上下文表述的逻辑关系上正确理解责任的不同含义。

注3：认证机构的认证责任独立于认证组织（通常也被称为委托人，下同）自身的主体责任。认证组织自身在安全生产、产品质量、环境保护、履行社会责任等方面符合法规或标准要求是其主体责任。认证机构未能真实反映认证组织被认证内容符合性的原因，可能来自于认证机构自身，也可能来自认证组织未能提供真实全面的信息；同样，当认证组织在安全生产、环境保护、产品质量等方面发生事故时，认证组织作为责任主体应承担其责任，对认证机构而言，则应在责任追溯（见3.8）的基础上，根据调查其在认证过程中的履责情况，对其是否承担认证责任及责任大小进行认定和界定。

注4：认证机构及认证相关方 （如获证组织）均有认证责任，本标准主要阐述认证机构的认证责任。

3.2　 

认证责任管理 certification responsibility management

在策划和实施认证活动的全过程中识别认证责任，并对认证责任的承担和责任追溯作出妥善安排。

3.3　 

责任追溯  responsibility traceability

对于已经获得符合性证明文件的认证对象在事后被相关方发现其不满足符合性证明内容，或认证对象因符合性证明文件内容差错/发布不及时造成损失，或相关方发现认证实施过程、认证人员行为不符合认证实施规则要求导致认证符合性评价可能存在不真实结果，进而对认证机构或认证人员进行调查，以确定认证责任的过程。

注1：责任追溯既包括外部相关方包括政府主管部门组织的外部调查，也包括认证机构自身组织的内部调查。

注2：责任追溯的结果通常包括因违反法规要求受到的行政处罚、或者因为违反认证合同约定而承担的民事赔偿的追究。

3.4　 

认证风险  certification risk

认证机构及相关方没有履行认证责任的可能性，以及由此可能带来的不良后果。

注1：认证风险包括来自自身的风险、分包方的风险以及相关方（如获证组织、采信方）的风险。本标准主要阐述认证机构的认证风险。

注2：就认证机构而言，认证风险带来的不良后果包括受到行政处罚、声誉损失、经济赔偿、危机处理导致机构费用支出增加等资质的、经济的、信用的损失。

3.5　 

风险事件  risk events

未能控制风险而导致活动对预期目标实现产生了实际的不良结果。

3.6　 

认证机构管理者  certification body manager

认证机构的所有者或高级管理人员。

注：某些情况下，认证机构所有者（股东）不参与机构管理，由经理人负责机构运行，但所有者的理念对经理人管理行为产生潜在的重大影响。

3.7　 

认证人员  certification persons

认证人员是指能够对认证活动各环节产生重要影响的人员,通常包括认证规则制定人员、合同评审人员、审核方案制定人员、审核员、认证决定人员。

3.8　 

认证风险防控   certification risk prevention and control

在一个肯定存在风险的环境里，认证机构管理者采取各种管理措施和方法，对认证风险实施有效的控制，把认证活动风险造成风险事件的可能性或把风险事件造成的不良影响和损失减至最低的管理过程。

4   认证责任和对认证责任的管理

认证过程中，认证机构及相关方自身活动（履行责任行为）以及相互作用均对实现认证目标产生影响。认证机构应清楚认识包括自身在内各相关方的认证责任，明确认证责任，分析未履行这些责任将形成的风险，以及对实现认证目标的影响。

认证机构应管理认证责任，在策划和实施认证活动的全过程中对认证责任的承担和责任追溯作出妥善安排。 

4.1 认证责任

实现认证结果真实和不偏差的目标，来自于认证机构、认证分包机构、认证机构所属认证人员、认证组织等各相关方的共同努力，各自履行必须承担的工作流程、规则中确定的工作责任，使规定的要求得到满足。

4.1.1　认证机构的责任

 认证机构的认证责任主要包括：

a） 认证过程符合性控制责任：认证机构有责任保证认证过程各环节符合认证实施规则的要求，即依据认证规则实施认证受理、组织认证实施（包括必要的分包活动）和综合评价，最终出具认证对象符合认证依据的符合性证明文件。认证全过程相关环节出现偏差以及认证结果的偏差，包括过程/程序遗漏、实施和/或判定差错等，认证机构应承担责任；

注：认证机构承担责任的前提是认证委托人/认证对象在对应的相关环节完全履责，没有用虚假证实性文件/资料或其它方式干扰认证机构履行其自身责任。

b） 对所属认证人员及分包机构管理责任：认证机构对于对所属认证人员履行责任能力和行为规范，以及分包机构履行规则要求负有管理责任；

注：认证机构所属认证人员和/或分包机构未履行其自身认证责任而造成认证结果失真等风险，认证机构首先承担认证责任，在此前提下，由认证机构进行内部责任追溯。

c） 对获证组织/认证对象监督责任：认证机构有责任对获证组织/认证对象按认证实施规则要求进行监督，促使其持续保持认证状态。

注：在两次监督期间发现获证组织/认证对象不能保持认证状态，通常情况下由获证组织承担认证责任，除非有证据表明认证机构未能充分履责，例如没有按规则要求的时限进行监督。

4.1.2　认证委托人的责任

认证委托人的认证责任主要包括：

a） 真实客观提供信息责任：向认证机构提供或展示的认证资料和现场活动应真实、客观、全面描述认证的管理体系/产品/服务的过程、状态、参数，能实际反映认证组织在生产实施、服务提供、管理控制、法律法规符合性等认证所需要的信息；

注1：有意无意隐瞒认证所需要的真实信息、提供虚假信息或承诺，由认证委托人承担认证责任。

注2：认证机构的责任在于符合性评价，在其能力范围内对认证组织提供的信息资料进行真实性复核（例如认证组织人数），但没有责任对认证组织所有信息进行法律意义上的真伪判定（如检测报告）。

b） 持续保持一致性责任：认证组织实际生产、控制、管理能力及体系、产品或服务的一致性状态与认证结果保持一致；

c） 信息如实通报责任：按认证机构的要求，如实向认证机构通报重大事项、重大变更或认证范围内体系、产品或服务变更。

4.1.3　分包机构的责任

分包机构的认证责任主要包括：

a） 在能力范围内按规则要求实施分包活动，过程完整、结果真实；

b） 符合认证机构委托的其它要求，包括事后资料妥善保存、信息保密等。

注1：检测任务分包是认证机构认证活动常见分包内容，检测分包机构认证责任的核心是检测方法正确、检测报告内容真实、评价客观、判定准确。

注2：为避免检验检测偏离认证方案的情况，检测机构有责任准确清晰地掌握认证机构委托的分包检验任务，并根据专业和产品特点要求了解必要的相关信息，确保出具的检测报告准确无误。

4.1.4　认证人员责任

认证人员在认证实施过程中的责任：

a） 不同岗位的认证人员严格按照认证实施规则和认证机构流程管理/控制工作职责要求，完整实施与岗位责任相关的管理、控制、评价活动；尤其是承担现场审核任务的审核组审核员，围绕审核目标，按照程序规则要求、遵循审核技术和审核方法，收集客观证据，对认证组织的认证对象进行完整准确评价；

b） 未履行或未完整履行认证规则和认证机构流程管理/控制工作职责全部要求，认证人员需在机构内部承担责任；现场审核人员及业务管理人员在违反行业相关的法规要求时需承担法律责任。

注：本标准主要描述认证机构的认证责任。

4.2认证责任落实

认证机构是认证活动实施主体，应履行主体责任，在认证过程中有责任采取有效方式努力督促各相关方按照认证活动的要求履行各自的责任，以保证认证结果真实客观并实现认证目标。

由于未履行主体责任而造成认证结论出现虚假、夸大、片面等符合性偏差时，承担行政处罚责任或者民事赔偿责任。

4.3认证责任追溯

为有效督促认证机构履行认证责任、有效运行风险防控机制，在发生认证风险或形成风险事件后，应进行认证责任追溯。责任追溯通常由三种情形引发：

a） 认证对象发生事故（如质量、环境、安全），外部相关方（媒体、政府或其它组织）质疑其认证符合性证明文件的真实性、有效性；

b） 行政监管发现认证对象不符合认证依据（包括法规要求）；

c） 持有符合性证明的组织因其符合性证明文件和/或信息不能被相关方采信而造成不良后果（包括经济损失）；

责任追溯的核心是判定认证机构和认证人员是否完整准确地按认证实施规则的要求履行了自身责任。当确定认证机构承担责任，将引发认证机构对其内部的责任追溯及对有关人员的处罚。

4.3.1责任主体

当风险事件发生造成认证结果偏离目标时，认证机构应积极应对，针对风险事件的产生原因展开调查分析，结合各方已确定的责任关系确定责任主体。

4.3.1.1认证机构自身责任

   a）当风险事件的产生源自认证机构时，可判定认证机构为认证责任的主体，首先由认证机构承担责任。在此前提下，认证机构管理者应组织调查分析并根据结果进行责任追溯，界定内部责任并采取纠正措施，以此改进内部管理并应对可能由此带来的外部处罚。

   b）通常情况下，认证机构不能完全免除对认证人员进行有效管理的责任。除非根据调查的结果，认证机构管理确已尽责，由认证人员承担全部责任。认证机构内部责任划分详见附录A.

4.3.1.2分包机构责任

认证活动的分包（检测）机构，属于整个认证活动的重要环节，由于分包机构偏离运行目标带来的后果首先由认证机构承担主体责任，并由认证机构进行责任追溯。认证机构宜采用合约或其他方式与分包（检测机构）就认证活动中各自承担的责任范围达成一致。

注：分包机构违反法律法规要求的行为（如出具虚假检测报告）由政府主管部门直接处罚。

4.3.1.3外部责任

认证为诚信前提下的符合性评价活动，认证机构在其专业能力范围内对认证对象/组织所提供的证实性资料进行符合性评价，但无对所有证据的真实性进行鉴别的责任。

当认证机构证明自身确以尽职履责，风险事件的原因来自于认证对象/认证组织或其它外部机构，可判定认证机构非认证责任的主体。此时，认证机构宜理清自身与外部的责任关系，采取措施协助降低乃至消除影响，并在后续工作中采取有效措施规避风险事件的再次发生。同时根据认证合同或相关协议，对认证对象/认证组织或其它相关方不履行合同要求和认证要求进行违约责任追究。

4.4记录保存

认证机构应保留风险事件处理过程、问题分析和责任界定包括结果形成文件的信息，保留的形式包括电子、硬拷贝或者纸质档案，保存期限应满足法规或规则的要求。

5 认证风险防控机制

认证责任管理缺失或失控所造成认证风险事件将给认证机构带来的不良后果，包括受到行政处罚、声誉损失、经济赔偿、危机处理导致机构费用支出增加等资质的、经济的、信用的损失。

建立和运行认证风险防控机制，实现对履行认证责任的有效管理，是认证机构内部管理和机制建设中极为重要的工作。

5.1总则

认证风险防控机制一般可包括领导作用、风险识别、风险评价、认证风险管理策略、机制运行、财务安排（风险转移）、以及危机管理。

认证机构宜将风险防控要求融入经营政策、组织架构、职责权限、业务过程、绩效考核、薪酬激励设置等方面，建立风险防控所需要的约束、制衡和控制机制，并提供所需资源。

注1：资源包括数量和质量。当资源不能有效支持风险防控要求，宜将业务成长控制在资源可以支持的范围内。

5.2  领导在风险防控中的作用

5.2.1 领导的承诺

最高管理者的意识在认证机构风险防控中发挥重要作用。管理者理解认证风险及其可能导致的后果，理解认证责任，并在认证机构建立风险防控机制，是认证机构风险防控的基本保证。

5.2.2全员意识和共识

    认证机构管理者，包括认证机构存在分支机构的管理者，宜清楚地理解下述要求对实现认证价值的重要作用，以及违背要求未履行认证责任导致认证风险事件对行业公信力的伤害和对机构及从业人员可能带来的影响：

——诚实信用、客观真实，不实施虚假审核、不出具虚假证书。

——勤勉尽责，严格执行法规和规则要求的认证环节的每个过程，过程规范并实施完整。

——监督认证组织持续符合标准要求。

——持续提升机构管理和认证能力。

——规范认证人员的行为。

5.3认证风险的识别

认证机构应对认证风险及其产生原因进行识别和分析，并建立文件化的风险清单，用以提出针对性控制措施，预防风险事件。

认证机构可对认证风险进行分类。认证风险的类型一般包括：

a） 法律法规和规则符合性风险；

b） 诚信风险；

c） 认证组织运行及结果与标准要求偏差的认证有效性风险；

d） 机构自身运行和人员能力不足风险；

e） 其他。

示例1:

XXX认证机构的风险类别清单

1.法律法规和规范性文件的合规风险

a） 机构层面通常表现为价值定位偏离、商业模式缺陷、机构能力不足、人员意识偏差和行为失控等原因导致违反认证适用的法律、法规和其他要求，以及认证活动超越资质范围；

b） 认证活动未能有效识别和评价涉及行业特定的社会影响和特殊要求（如认证对象的生产涉及行政许可要求，产品涉及食品卫生、人身安全要求等）。

2.诚信风险

a） 机构层面诚信缺失：主要表现通常表现为隐瞒自身能力不足而提供认证服务，发放带相关标志的证书；安排不具备资质和能力审核员进行认证活动；为经济利益不顾规则要求而发放证书；

b） 审核人员层面诚信缺失对机构带来的风险：主要表现在不到审核现场、任意缩短审核时间或减少审核人日（合规风险），违反认证人员行为规范，收受礼金而降低认证标准、违反审核客观公正原则（诚信）。机构相关层级管理者和/或认证相关环节员工违反规则/制度要求处理与认证有关的事宜； 

c） 相关方诚信缺失给认证机构带来的风险：主要表现为认证组织等相关方提供虚假信息或资料、故意欺骗认证机构或审核人员致使未达到认证标准而骗取认证，隐瞒组织内部或外部情况发生的重大变更。

3.认证组织运行及结果与标准要求偏差的认证有效性风险

a） 认证机构通常表现为认证过程管理控制不符合相关规则要求，由于过程不规范而导致认证结果有效性不足；

b） 人员通常表现为不能客观、完整、准确、专业地实施审核，能力欠缺或不足，未发现认证组织运行和结果与标准的偏差，导致评价结果和审核结论失实；

c） 认证组织层面通常表现为不能持续保持符合标准要求的认证状态。 

4.机构自身运行和人员能力不足风险

a） 认证机构能力不足，表现为管理人员不能准确掌握和执行法规和相关规范的要求，人员能力分析与评价系统不能达到要求，审核人力资源和其它必须的资源配置不能满足认证需求，未对认证相关环节员工实施持续有效的风险和/或规则意识教育；

b） 人员能力不足对机构的影响，通常表现为专业能力和审核能力不充分，不能提供足以支撑审核结论的审核方案、审核计划、审核记录和审核报告。

5.剩余风险

根据外部信息，及时识别各认证领域特定的认证管理过程、实施过程和相关活动中存在的风险源，可能的风险：

a） 内、外部已发生的风险事件、影响以及本机构产生类似风险的可能性；

b） 机构的市场模式、管理模式和人员能力可能的缺陷以及导致风险的类型和严重程度；

c） 变更可能引起的混乱进而导致的风险，包括已纳入的新的领域的开发，或者已有模式的修改；

d） 异常状况和可合理预见的突发事件；

e） 客户及其他相关方超越认证规则的要求。

5.4  认证风险评价

风险评价是评估风险大小以及确定风险是否容许的全过程。用数学公式来表示风险，风险=损害发生的概率*损害的后果（严重程度），由于认证机构的风险难以进行定量的风险估计，所以一般采用风险坐标图评价方法，通过将识别到的风险因素按照其发生可能性的高低和发生后对目标的影响程度，定性或定量地回执再指教坐标系的平面上，可将5.3识别到的认证风险按照具体情况进行罗列，按照表1中的评价等级对其进行评价，得出认证机构的风险的评价结果。

表1 认证风险的评价结果

             影响程度

可能性

轻微影响

一般影响

严重影响

极不可能

可忽略风险

可容许风险

中度风险

可能

可容许风险

中度风险

重大风险

很可能

中度风险

重大风险

不可容许风险

5.5 认证风险管理策略

认证机构应根据风险评价的结果，制定并执行一种或多种措施以管理认证风险。确定风险等级并采取适宜的控制措施： 

a） 对于不可容许/重大风险事件和管理薄弱环节，可建立特别管理目标，围绕关键因素进行机制和制度设计、人员意识和能力培养以及其它必要的措施，确保对此类风险的有效控制，通过机制运行，有效控制高风险事件的发生；

b） 对于中度风险，宜在内部相关的职能和层次明确责任主体，并将风险识别的结果和选择的控制措施通报给有关责任主体，由其严格执行措施机构；

c） 对于可容许/忽视风险，宜按照内部自身情况和风险偏好进行控制。

5.6  认证风险防控

5.6.1认证机构的人员培养

    认证机构宜确定各层级人员须达到的能力准则和须遵守的行为准则，特别是认证人员和认证风险控制岗位人员。参与认证活动各环节人员宜具备与岗位责任要求相适应的能力。

机构管理者宜在机构内部安排包括相应知识、技能和风险防控要求的培训，确保各层级人员达到能力要求并熟悉行为准则要求。同时持续关注认证人员能力，提供必要的培训；提前关注并采取必要措施消除人员调动或流失可能造成的管理失控。 

5.6.2认证过程管理

    认证机构管理者宜在日常运营过程中关注风险防控要求的持续实施。落实全过程认证风险管理，包括下述环节：

a） 合同受理和评审活动；

b） 审核方案策划活动；

c） 审核组委派工作；

d） 现场审核活动；

e） 认证决定活动；

f） 分包活动（适用时）；

g） 监督、再认证活动；

h） 对获证组织运行规范性多种方式的监督；

i） 审核员行为规范性监督和认证人员能力持续提升；

j） 对外部与认证相关的任何信息的持续收集和监视。

注1：审核员现场审核规范性、过程完整性、评价充分性和现场行为表现是认证结论真实有效的关键，有规则但不执行将形成显而易见的风险，包括重大风险。

注2：制定明确的认证档案质量及完整性要求，选择优秀人员并从机制上支持和保障他们进行严格评审，这是规避和降低发生此类风险可能性的有效措施。

5.7 监督和制约

认证机构宜有效运行监督机制和制约机制，防止制度、规则运行偏差或失控，采用的措施包括但不限于：

a） 涉及风险事项的判定和决定上，在可能发生认证风险的关键环节，设置独立和相互制约的决策和批准职能（示例2）。机构高级管理者应支持各职能岗位人员履行他们的风险防控职责，需要时，直接参与相关决策；

b） 在总部和分支机构设置特定且独立的监督职能；

c） 设置外部信息收集、适用性分析、预警职能（如获取并分析政府产品监督抽查结果的信息）；

d） 根据外部风险形势，实施以风险防控有效性为导向的内部专项审核；

e） 配置具备能力的人员，对认证人员现场审核行为和审核过程规范性建立监督机制（示例3），同时严格评价认证过程记录符合性，实施独立的认证决定；

f） 建立并运行风险防控奖惩制度，把认证人员的意识能力、行为表现和工作绩效与薪酬、奖罚、职业发展机会向关联，对发生风险、不执行制度或规则人员进行处罚；

g） 在机构各层级定期进行风险形势分析，定期汇总疑难案例并对当时相应处理方式的适宜性进行再评估，评估结果宜进行内部通报，作为相关岗位处理类似问题的指南，必要时，纳入内部制度规则，以持续改进。

示例2：

涉及风险事项的判定和决定

    1、上级职能岗位人员通常不宜影响、暗示或干涉职能岗位人员作出的风险判定和处理，除非判定错误和/或处理不能达到风险防控的目的；

    2、对于职能岗位提出的疑难风险问题，上级职能岗位人员有责任帮助分析并提出处理意见，必要时，宜会同有关职能人员包括机构高级管理者共同分析并作出决定；

    3、对于超出机构高级管理者或机构内部专业人员知识和能力范围的风险，宜主动寻求外部支持，包括与政府主管部门、认可机构、协会或相关专业组织进行沟通并获得他们的帮助。

示例3：

认证人员现场审核行为和审核过程规范性的监督约束手段

    1、采用信息化签到（如“钉钉”签到）

    2、审核员填报认证行为规范性自我声明、被审核组织签字确认后上报；

    3、进行认证组织满意度调查。

5.8  财务安排

 认证机构宜就应对风险事件引发责任追究时可能涉及的赔偿事宜提前做出管理安排和财务安排，包括在合同中确定责任边界和赔偿的相关事宜、进行投保或在机构内部建立风险基金。

5.9  危机管理

    认证机构宜策划并实施一系列应对异常状况或突发事件的准备和响应措施，以控制这些状况和事件给认证机构、行业或社会带来的不利影响。措施的内容可包括：

a） 对实际发生的异常状况或突发事件做出及时响应；

b） 控制措施应与危机事件的程度相适应。处理过程须充分考虑并预见处理过程和结果可能带来的后续影响，预防事件进一步扩大或恶化；

c） 采取有效的纠正措施，保持与相关方（包括政府主管部门、认可机构等）的积极沟通，以获得相关方理解；

d） 保存完整的处理记录，以便向外部提供有效处理的证据及利于机构持续改进；

e） 可行时，定期对危机管理措施进行评审，并在机构内部进行全员培训。

注：当风险事件涉及获证组织时，认证机构应及时对该组织相关的认证证书采取处理措施。

5.10  绩效评价与持续改进

5.10.1绩效评价

认证机构宜根据风险控制目标确定绩效指标， 宜定期监视、测量其风险防控绩效，并对绩效目标的实现情况进行评价。

示例4：

认证机构风险防控绩效指标

    1、风险责任事件发生数量与拥有的客户数量的比率；

    2、重大风险责任事件的数量和机构损失的金额；

    3、风险责任事件中机构承担主要责任和个人承担主要责任的数量比率；

    4、机构接受外部检查数量及发生风险事件数量的比率；

    5、机构在主管部门或行业协会组织的监督考核中的评价；

5.10.2 持续改进

认证机构宜对风险防控绩效进行分析和评价，确定改进目标和措施，以持续提升绩效。改进措施可包括：

a） 强化措施，确保实现风险防控目标；

b） 对未达到绩效要求的目标采取更有效的措施；

c） 提高绩效目标，并策划与目标对宜的新的风险防控措施，更新风险相关清单内容，完善风险防控机制，持续改进。

附  录  A（规范性附录）认证机构的认证责任划分

1总则

    认证机构承担认证责任，包括认证机构的过程管理责任和认证人员的实施责任。认证机构制定完善的流程程序、控制规则，是机构认证机构全过程有效管理的责任；认证人员依据规则所要求的程序、步骤、方法、时间进行管理控制，具备能力的审核组对照认证标准要求对认证对象实施现场审核/检查，进行真实和客观公正的评价，这是认证人员的实施责任。

2.认证机构过程管理责任

认证机构在其内部管理、控制认证全过程各环节出现的增加、减少、遗漏程序等，通常认定为最终认证结果无效或部分无效，对此认证机构应承担过程管理责任。认证机构过程管理责任包括制度规则完善性责任和治理结构缺失责任。

2.1制度规则完善性责任

    认证机构对由于制度规则不完善造成的后果承担责任，包括但不限于：

a） 公开文件、认证合同、审核过程要求、审核/检查文件和记录、认证决定、认证证书或相关报告等文件内容或记录内容不符合相关认证实施规则或其它法规性要求，存在不合理地增加要求或相关要求内容缺失、错误、虚假；

b） 认证过程管理、人员管理，包括机构的相关制度文件内容违反、遗漏或没有充分满足法规要求及公正性要求。

2.2治理结构缺失责任

    认证机构未充分设置具备能力的岗位人员以执行制度规则，造成控制环节没有达到预期目标，包括但不限于：

a） 过程管理缺失，包括合同评审、审核方案策划、审核组成员的选择和委派、文件审核、第一阶段审核过程、第二阶段审核过程、审核报告提交、不符合项纠正和验证、认证决定、证书缮制以及监督或再认证活动各环节中，相关环节遗漏、失控或结果差错；

b） 人员能力缺失，包括对机构聘用的认证人员包括合同评审人员、审核方案制定人员、审核员/检查员、认证决定人员、技术专家的能力评价依据不足、内容遗漏、评价结果失真。

c） 对分包方（如，分包实验室）管理失控。

3认证人员实施责任

认证人员实施责任包括内部认证流程控制实施责任和现场审核实施执行责任。

3.1 内部认证流程控制实施责任

    认证人员对准确完整进行认证全流程控制过程承担实施责任，包括但不限于：

a） 认证组织提交的相关资料的完整性、充分性审查和控制；

b） 准确识别和界定申请认证范围涉及专业领域；

c） 依据认证组织提交的相关资料，准确制定审核方案包括确定审核人日，全面覆盖审核范围的产品、区域和活动，审核组组成人员具备充分能力；

d） 充分考虑审核组成员执行审核任务所需的行程安排的适宜性；

e） 认证决定实施过程的充分性和准确性；

f） 认证证书缮制的完整性和准确性；

g） 保持监督和/或再认证时间间隔的合理性和有效执行；

h） 监督和/或再认证前，对涉及认证的变化信息进行收集、识别、评价的充分性；

i） 认证证书暂停/回复、撤注销认证的及时性和手续完整性；

j） 认证信息披露的及时性、准确性。

3.2审核人员现场审核实施执行责任

    审核组成员对实施现场审核、评价承担实施责任，包括但不限于：

a） 真实诚信、充分完整地实施审核；

b） 准确界定和确认认证范围涉及的产品、产量、绩效；

c） 准确界定和确认认证范围涉及的区域、地域、主要现场、分现场；

d） 全面评价和确认认证范围涉及的相关法规的符合性证据，特别是质量、环境、安全；

e）  全面评价和确认相关作业活动、过程活动和控制活动与标准符合标准符合性证据，包括对活动/人员/设备的抽样合理性，作业文件/技术规范的完整性和准确性，作业人员的资格/能力验证，设备、设施、材料、环境的符合性；

f） 审核记录对审核结论的充分支撑，包括记录的真实、客观、可追溯，以及评价的准确完整；

g） 审核过程各环节的完整，包括见面会、总结会和现场审核活动；

h） 审核时间的充分性。

i） 及时向机构报告在审核现场发现且超出审核组权限事项、事实，如组织的人数、认证产品、活动区域与审核任务的差异；

j） 履行认证人员行为规范要求，包括但不限于公正地实施审核和评价，不收受礼品礼金，不报销与审核无关的票据，不接受娱乐宴请等。