多场所组织认证管理程序

1目的

明确多场所的理解、可能的多场所和多场所抽样的原则，对多场所组织的评定、多场所的抽样审核、多场所的审核时间、多场所组织及各多场所在认证证书的表达进行规定，满足《管理体系认证机构要求》(CNAS-CC01)、《多场所组织的管理体系审核和认证》(CNAS-CC11)等的要求。

2范围

适用于多场所组织的管理体系的抽样审核的管理活动。

3定义

3.1常设场所

客户组织持续进行工作或提供服务的场所（有形或虚拟）。

3.2临时场所

客户组织为在有限时期内进行特定工作或提供服务而设立的场所（有形或虚拟），该场所不准备作为常设场所。

3.3新增场所

在认证范围内的场所外增加的场所或一组场所。

3.4多场所组织

某单一管理体系覆盖的一个组织，其构成包括经识别的中心职能以及多个场所，中心职能（并不必须是组织的总部）对某些过程、活动进行策划和控制，在多个场所（常设的、临时的或虚拟的）中这些过程、活动得到全部或部分实施。

可能的多场所组织举例如下：

1）从事特许经营的组织；

2）有销售网络的制造企业（本文件将适用于这些销售网络）；

3）服务企业有多个场所，各场所提供相似的服务；

4）有多个分支的企业。

3.5中心职能

对管理体系负责并对管理体系集中控制的职能。

3.6虚拟场所

虚拟地点指客户组织完成工作或提供服务所用到的，允许处于不同物理地点的人员执行过程的在线环境。

注1：当某过程必须在某一有形环境实现时不能将其考虑为虚拟场所，如：仓储、物理检测实验、安装或维修有形产品等。

注2：这类虚拟场所的一个例子是，一个设计和开发组织的所有员工在远程位置开展工作，在云环境中工作。

注3：一个虚拟场所（如：一个组织的内部网络）被当作一个独立场所来计算审核时间。

3.7子范围

单个场所的范围

注1：单个场所的范围可能与多场所组织的全部范围相同，但也有可能是多场所

组织范围的一小部分。

注2：“子范围”针对认证范围而言，而非针对认可范围。

3.8最高管理者

在最高层指挥和控制组织的一个人或一组人

注1∶最高管理者在组织内有授权和提供资源的权力。

注2∶如果管理体系（3.5.3）的范围仅覆盖组织的一部分，在这种情况下，最高管理者是指管理和控制组织的这部分的一个人或一组人。

4应用

4.1场所

4.1.1场所可以包括所有土地，在其上的特定地点实现组织所控制的过程、活动，包括任何相关联或附属的仓库，用以储存原材料、副产品、中间产品、最终产品和废料，以及上述过程、活动涉及的任何固定的或活动的设备或设施。另外，如果法律有要求，场所的定义应以国家或地方的相关注册登记制度的定义为准。

4.1.2在无法确定地点时（如：服务提供组织可能会有这种情况），认证的覆盖范围宜考虑组织总部的过程、活动以及服务的交付。识别并审核所有与中心职能有关的接口时可以决定仅在组织交付服务的地方进行认证审核。

4.2临时场所

4.2.1应通过抽样对组织管理体系覆盖的临时场所进行审核，以获得管理体系运行和有效性的证据。当与客户组织协商一致时，多场所认证的范围以及认证文件中也可以包括临时场所。当认证文件中显示临时场所时，应注明该场所是临时的。

4.3多场所组织

4.3.1一个多场所组织可以包含一个以上的法律实体，但该组织的所有场所应与该组织的中心职能具有法律或合同联系，并服从于单一管理体系。该管理体系应由中心职能制定、建立，并服从于中心职能的持续监督和内部审核。这意味着中心职能有权要求任何场所在必要时采取纠正措施。适用时，中心职能与各场所的正式协议宜对此作出规定。

5抽样方法的基本原理

5.1处理单一管理体系下的多场所组织的审核。

5.2任何一个场所可以实施管理体系范围所覆盖的全部或部分过程、活动，并且不同的场所可以属于相同的或不同的法律实体。

5.3关于组织的管理体系涉及单独一个的法律实体或多个法律实体的任何法律考虑，通常与管理体系审核不相关，另有声明除外。

5.4须被审核与认证的是组织的管理体系，而且根据定义管理体系审核只是基于可获得信息的有限样本，必须证实管理体系有能力让所有参与的场所达到预期结果。

5.5合逻辑的是从组织及其实施的管理体系，哪种抽样方式可行在适用的开始考虑。

5.6当多场所组织的每个场所均实施非常相似的过程、活动时，这可能是比较明确的适用场所抽样的情况（如：一系列特许经营店或银行分支机构网络）。另一方面，也包括了不适用场所抽样的情况。不适用场所抽样可能有多种原因，例如：

1)所有场所实施的过程、活动与管理体系的范围有关且存在显著差别；

2)客户要求对每个场所审核；

3)有专门的方案或法规要求规定了系统性地对每个场所审核。

处于这两种极端情况之间还有很多多场所组织，他们的一部分场所运行相似的过程、活动，而其他场所专注于非常特殊并且不在组织的其他部分运行的过程。与任何抽样过程一样，恰当的场所抽样仅限于对组织范围内运行非常相似过程、活动的场所。

6多场所组织认证的资格要求

6.1组织应具有单一管理体系。

6.2组织应识别其中心职能。中心职能是组织的一部分并且不应被分包给外部的组织。

6.3中心职能应获得组织的授权以规定、建立并保持该单一管理体系。

6.4组织的单一管理体系应服从集中的管理评审。

6.5所有场所应服从组织的内部审核程序。

6.6中心职能应有责任确保来自于所有场所的数据得到收集和分析，并且应能够证明其权威和能力，以便在需要时（包括但不限于下述情况）发起组织的变更。

1)体系文件和体系变更；

2)管理评审；

3)投诉；

4)纠正措施的评价；

5)内部审核的策划和对结果的评价；

6)与适用标准有关的法律法规要求。

注：中心职能是实施控制并得到组织最高管理者授权的，是对所有场所产生影响的。并没有要求中心职能仅处于某个单一场所。

7抽样条件

7.1通常，对组织的认证初次审核和后续的监督审核与再认证审核宜在认证范围内组织的每个场所进行。当组织具有多场所且符合如下所有条件时，认证审核活动可以只在组织的中心办公室和部分抽取的场所进行。

在实施审核活动前需组织提供有关实施多场所抽样审核及可能对颁发认证证书的影响的信息。

1）组织预先提供多场所的信息：

a）申请认证时，提交申请认证范围内每个管理体系所覆盖的多场所清单；或

b）在认证有效期内，提交已获认证范围内每个管理体系所覆盖的场所拟变更清单或；

c）在认证有效期内，提交扩大申请认证范围内每个管理体系所覆盖的场所清单。

2）所有场所的过程应实质上属于同一类，并按照相似的方法和程序运作。如果其中某些场所实施的过程与其他场所相似，但过程的数量少于其他场所，那么在实施大多数过程或关键过程的场所将接受完整审核的前提下，可以对上述过程数量较少的场所采用多场所认证。

3）当组织通过位于不同地点但相互联系的过程开展业务时，如果满足本文件的所有其他条款，也可以进行抽样。如果各个地点的过程虽不相似，但明显相互联系，那么抽样计划应至少包括组织实施的每个过程的一个样本（例如，组织在一个地点生产电子元器件，在其他几个地点组装这些电子元器件）。

4）组织的中心办公室已按照审核所依据的相关管理体系标准建立了管理体系，且整个组织满足该标准的要求。考虑相关法律法规的要求。

5）组织的管理体系应处于一个受到集中控制和管理的计划之下，并接受集中的管理评审。组织的内部审核方案应包括所有相关的场所（包括中心管理职能），并应在审核开始前按照内部审核方案对所有相关的场所进行了审核。

6）有证据表明组织有权且有能力从各场所（包括中心办公室）收集和分析数据，如管理体系及其文件的变更，管理评审，投诉，内部审核结果及纠正措施评价，环境管理体系中环境因素的变化和关联的影响，不同的法律要求等，并证明在需要时有权力和能力进行组织变更。

7）在受理认证项目评审或策划审核方案时，已充分考虑如下因素，确保对组织的多场所抽样审核不会影响对组织管理体系有效性的足够信任：

a）组织的性质、场所的规模、技术的成熟度和复杂性、认证的风险；

b）组织的各个场所的差异，如QMS的质量计划，EMS的场所的所在地域及周边环境，EMS的污染预防与治理措施，OHSMS的生产线布局和安全设施等；

c）处于组织的管理体系内，但不包括在认证范围内的临时场所的使用情况。

8）相似的环境因素和相似的环境影响；或相似的职业健康安全的影响/风险；

9）不是所有的管理体系标准都适合进行多场所认证。例如，如果标准要求对存在差异的地方性因素进行审核，多场所抽样将是不适宜的。

10）对于OHSMS覆盖多个场所的情况，应基于与活动和过程的性质相关的OHS风

险程度的评价，确定认证范围内的每个场所可否抽样。上述决定的理由，对每个场所的审核时间计算和访问的频次应基于CNAS-CC105中第10条的要求，并应为每个客户记录在案。

如果有多个场所没有涵盖相同的活动、过程及OHS风险，抽样不适用。

虽然一个场所与其他场所有类似的过程或制造类似的产品，但认证机构应考虑每个场所的业务活动（技术、设备、使用和存储的危险材料的数量、工作环境、场所等）之间的差异。

当允许抽样时，业务部应确保将被审核的场所样本具有被审核组织现存的过程、活动和OGB风险的代表性。

组织的OGBMS覆盖的临时场所应以抽样方式进行审核，为管理体系运行和有效性提供证据

7.2不是所有满足“多场所组织”定义的组织都适合于抽样审核，审核组可根据以下情况

对抽样加以限制：

a)不同的场所具有不同的制造和服务过程或不同的活动。

b)行业范围和/或活动复杂、风险较大的；

c)评定的多场所的规模比较大；

d)各场所管理体系实施存在差异。例如为满足不同的活动、不同的合同或法律法规的要求，在管理体系内经常实施新的策划、编制质量计划。

e)虽然受控于组织的管理体系，但不包括在认证范围内的临时场所的使用情况。

f)客户要求对每个场所实施审核。

g）OHSMS应包括组织控制下或施加影响的、对组织的OHSMS绩效有影响的活动，产品和服务。组织的OHSMS应覆盖其控制的临时场所，例如建筑工地，不论其位于何处。

8抽样准则

8.1抽样方法

1）对占样本量至少25%的场所，采用随机方法选取。

2）在选取剩余样本时，考虑如下因素选取：

a）在认证范围内的全部场所都在被可能抽样之列，并每次审核必须包括中心办公室；

b）在认证有效期内，被选择的场所的差异尽可能大，如需要宜覆盖组织的全部场所；

c）组织的内部审核和管理评审或以往的认证审核结果；

d）对组织的投诉和相关方反馈信息处理的记录；

e）场所规模与所在地域、员工数量与技术结构、基础设施和环境、在倒班安排、工作程序与作业方法、产品形成过程的阶段、文化、语言和地方性法规要求等的差异；

f）管理体系的成熟度和组织的理解程度；

g）对于环境管理体系，考虑环境问题和环境因素及其关联影响的程度。

h)对于职业健康安全管理体系，考虑活动和过程的性质相关的职业健康安全

风险程度；

i)文化、语言和法律法规方面的差异；

j)地理位置的分散程度

k)场所是常设的、临时的或虚拟的。

3）通常可以在编写审核计划时确定对多场所抽样的样本，并在审核计划中做适当安排。在完成对组织的中心办公室审核后，必要时可对抽取的样本做适当调整。如有必要，可以缩短向中心办公室通知具体被抽取场所名单的时间，但宜给予接受审核准备的足够时间。

4）对需要分两个阶段审核的管理体系，上述抽样方法适用于确定第二阶段审核范围。

5）对于多领域的一体化审核，应分别关注各领域的多场所特性、风险和抽样要求，综合考虑后确定抽样。

8.2样本量

8.2.1低到中风险行业的样本量

下列指南是以一种低到中风险的活动，在每一场所少于50名雇员为例，每次审核最少选取的样本量为：

1）初审：样本量为分场所数量的平方根（y=）,上入成整数，其中y为将抽取场所的数量、x为场所总数。

2）监督：每年的样本量为分场所数量的平方根与系数0.6的乘积(y=0.6),上入成整数。

3）再认证：样本量与初次审核相同,然而当其管理体系在三年中被证明有效时,样本量可乘以系数0.8，即(y=0.8)，上入成整数。

8.2.2高风险（一级）行业的样本量

组织的场所数量在3个及以下时全部选取，在3个以上时的样本量为：

1）初审：初审样本量=1.4×，上入成整数。

2）监督：按年度监督的样本量=0.9×，上入成整数。

3）复评：复评样本量等于初审样本量，然而当其管理体系在三年中被证明有效时，样本量可乘以系数1.1，即(y=1.1)，上入成整数。

8.2.3扩大认证范围样本量

当新场所增加到已获认证的多场所中时，每一组新场所宜视为独立的一组以确定样本量。除原有场所的样本量外，扩大的场所部分样本量=0.9×，上入成整数。

在认证证书包括新场所后，对于以后的监督审核和再认证，应当将新增加的场所与以前的现场所合并计算以确定样本量。

8.2.4其他规定

1）当实际抽样数量少于本规定时，应记录这种情况的合理性，证明未违反本规定。

2）当对拟认证的管理体系覆盖的活动的风险分析显示出与下列因素有关的特别情况时，宜增加样本量：

a）场所规模与雇员数量；

b）活动和管理体系的复杂性和风险水平；

c）工作方式的差异（例如进行倒班）；

d）所从事过程、活动的差异；

e）投诉记录，以及纠正措施和预防措施的其他相关方面；

f）地域上的分布，包括跨国情况；

h）法律、法规的差异；

i)内部审核和管理评审结果。

3）当组织有多层次等级系统（如：总部（中心）办公室/全国性办公室/地区办公室/地方分支）时，上述规定的初次审核抽样模式适用于每个等级的场所。

例如：

1个总部办公室：每个审核周期（初次审核、监督审核或再认证审核）都访问；

4个全国性办公室：样本量=2个，其中最少1个随机样本；

27个地区办公室：样本量=6个，其中最少2个随机样本；

1700个地方分支：样本量=42个，其中最少11个随机样本。

地区办公室的样本中宜至少覆盖到每个全国办公室控制的地区办公室。地方分支的样本中宜至少覆盖到每个地区办公室控制的地区分支。这样可能导致每个等级的场所抽样数量超过按照第8.2条计算的最小抽样数量。

8.3对不适用抽样的多场所组织审核

8.3.1审核方案的构成应包括对所有场所的初次认证审核和再认证审核。在监督审核中，应在每个日历年覆盖30%的场所（向上取整至整数）。每次审核都包括中心职能。第二次监督审核选取的场所通常不同于第一次监督审核所选取的场所。

8.3.2审核方案的设计应确保在认证范围覆盖的所有过程在每个周期内被审核到。

9多场所审核

9.1当若干审核组参与多场所审核时，应指定唯一一名审核组长负责整体审核活动的协调安排，汇总各审核组的审核发现，形成综合性报告。对各场所审核信息的报告方式和要求，组长应在策划时明确。

应注意：

1）审核中应证实组织内审涉及了所有现场，并对其有效性进行评价；

2）审核中应继续对组织的管理体系文件的充分性和适宜性进行检查；

3）在任何一个场所发现的不符合，应调查在其他场所是否存在类似的不符合，是否存在系统不符合，应要求受审核方根据不符合的性质举一反三采取相应的纠正措施，并得到相应证据。

9.2在任何一个抽样的场所发现了不符合时，宜进行调查以确定其它场所是否受到影响。如果是，则应在中心办公室和每个场所采取纠正措施并进行验证；如不是，审核组应能获取表明有限度地采取后续措施的正当理由。不能将因审核发现有问题的场所划出认证范围，而不进行有效的整改。

9.3增加场所

如果对已认证的多场所网络增加一组新的场所，那么每组新增加的场所宜作为一个单独的总体来确定抽样数量。在新场所纳入证书后，新场所宜和原有场所合并起来确定未来监督或再认证审核的抽样数量。

10审核与认证

10.1申请与申请评审

10.1.1申请评审时应获得有关申请组织的必要信息，以：

1)确认贯穿组织部署了单一管理体系；

2)确定管理体系运行范围及寻求认证的范围，以及适用时的子范围；

3)理解每个场所的法律与合同安排；

4)理解“在哪里发生了什么”，即：确定每个场所提供的过程、活动，并识别中心职能；

5)确定向所有场所提供的过程、活动（如：采购）的集中化程度；

6)确定在不同场所之间的接口；

7)确定哪些场所适用抽样（即，哪些场所提供非常相似的过程、活动），以及哪些场所不具备抽样资格；

8)纳入考虑的其他相关因素（见CNAS-CC14、CNAS-CC105、CNAS-CC106、GB/T27204/ISO/IECTS17023）;

9)确定组织的审核时间；

10)确定审核组的能力要求；

11)识别管理体系覆盖的过程、活动的复杂程度和规模范围（如：一个或多个）。

10.2审核方案

10.2.1除了CNAS-CC01:2015第9.1.3条的要求外，审核方案还应至少包括或引用

下述内容：

1)每个场所的过程、活动；

2)识别哪些场所可以被抽样、哪些场所不能；

3)识别哪些场所被抽样覆盖、哪些场所未被抽样覆盖。

10.2.2当确定审核方案时，由于被审核组织的特定结构应为额外活动给予充分的时间，这些活动的时间不计入审核时间，例如：用于路途、审核组成员之间联系、审核后会议等。

注：假如拟审核过程的属性适用于远程审核（见CNAS-CC01及CNAS-CC14）,可使用远程审核技术。

10.2.3在任何时候使用多于一名成员构成审核组时，应与审核组长协同识别出对每个场所及每一部分审核所需的技术能力，并为审核的每一部分分派适当的审核组成员。

10.3多场所审核时间

符合资格准则的组织，可以由可抽样场所构成、不可抽样场所构成，或由这两种情况组合构成。无论组织由何种方式构成，必须有充足的审核时间来实施有效的审核。除非特定认证方案另有规定，单个被抽样场所审核时间的减少量不应超过50%。

例如，CNAS-CC105允许审核时间减少量最大为30%，另外20%是由于单一管理体系所运行中心职能以及任何可能的集中化过程（如：采购）而考虑允许缩减的最大值。对每个被选定场所，包括适用时含中心职能要素的，应使用现有的准则文件以及必要时适用的专项方案要求来计算每个场所的审核时间。

10.4审核计划

10.4.1除了CNAS-CC01:2015第9.2.3条的要求外，在准备审核计划时至少考虑下述内容：

1)认证范围以及每个场所的子范围；

2)在考虑多个管理体系标准的情况下，对每个场所的管理体系标准；

3)拟审核的过程、活动；

4)每个场所的审核时间；

5)分派审核组。

10.5初次认证审核：第一阶段

通过第一阶段审核，审核组应完善信息以：

1)确认审核方案；

2)策划第二段审核，考虑对每个场所拟审核的过程、活动；

3)确认承担第二阶段审核的审核组具备必要的能力。

10.6初次认证审核：第二阶段

初次认证审核的输出中，审核组应将在每个场所审核了哪些过程形成文件。这些

信息将用于修正审核方案以及后续监督审核的审核计划。

10.7不符合与认证

10.7.1在任何独立场所发现不符合（如CNAS-CC01中规定），无论是由内部审核发

现或经由本机构的审核发现，应开展调查以确定其他场所是否可能受到影响。因此，要求组织对不符合评审，以确定这些不符合是否指出了适用于其他场所的总体上的系统不足。如果发现确实如此，应同时对中心职能及受到影响的独立场所实施纠正措施并验证。如果发现并非如此，组织应能够向本机构证明其限定后续纠正措施范围的正当理由。

10.7.2应要求提供这些措施的证据并增加其抽样频率和/或抽样数量，直到确信恢复了控制。

10.7.3在作出决定的过程中，如果任一场所出现严重不符合，在得到满意的纠正措

施之前应拒绝对整个多场所组织所列的场所进行认证。

10.7.4在认证过程中，不允许组织为克服由于某个场所存在不符合造成的问题，而从认证范围中删除存在问题的场所。

10.8认证文件

10.8.1认证文件应反映认证范围以及多场所认证所覆盖的场所、法律实体（适用时）。

10.8.2认证文件应包含所有场所的名称和地址，反映出组织与认证文件相关。范围

或认证文件引用的其他信息应清晰表明经认证的活动由清单中所列场所实施。然而，如果某一场所的活动仅是包含于组织范围内的一部分，认证文件应包括该场所的子范围。当在认证文件上展示临时场所时，应注明这些场所为临时场所。

10.8.3如果向一个场所颁发认证文件，其中应包括：

1)管理体系针对被认证的整个组织；

2)该认证所覆盖对特定场所、法律实体的活动；

3)与主证书之间的可追溯性，如：编号/代码；

4)声明：本证书的有效性取决于主证书有效。

在任何情况下，都不得以该场所、该法律实体的名义颁发认证文件，或误导该场所、该法律实体被认证（被认证的是客户组织），也不应包括该场所、该法律实体的过程、活动符合规范文件的声明。

10.8.4一旦任何场所不能满足保持认证的必要规定，认证文件将被整体撤销。

10.9监督审核

10.9.1对可以抽样多场所组织的监督审核应与7.1条一致。每个场所审核时间计算

应与上述10.3条一致。

10.9.2对不能按照7.1条抽样的多场所组织，监督基于对30%场所的审核外加对中

心职能的审核。认证周期中第二次监督选取的场所通常应不包括第一次监督所选取的场所。每个场所审核时间的计算应与上述10.3条一致。

10.10再认证审核

10.10.1对可以抽样多场所组织的再认证审核应与7.1条一致。每个场所审核时间计算应与上述10.3条一致。

10.10.2对不能抽样的多场所组织，再认证应按照初次认证审核，即对所有场所外加

中心职能审核。对每个场所以及中心职能的审核时间计算应与上述10.3条一致。

12记录

无论是固定场所或是临时场所的抽样，审核组必须说明抽样的理由。审核策划时应填写《GBCX-01-24受审核组织多场所清单》的规定栏目；现场审核结束，应在《管理体系审核报告》的相应栏目，说明实际抽样的情况及因为抽样可能存在的不确定因素和风险。

13相关记录

GBCX-01-24受审核组织多场所清单