4.原则

4.原则 
4.1总则 
4.1.1  本章所述原则是本文件中后续的特定绩效要求和说明性要求的基础。本文件未就所有可能发生的情况给出特定要求。在出现未预料到的情况时，宜应用这些原则作为决策的指南。这些原则不是要求。 
4.1.2  认证的总体目标是使所有相关方相信管理体系满足规定要求。认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度。认证的利益相关方包括（但不限于）： 
a. 认证机构的客户； 
b. 获证客户的顾客； 
c. 政府部门； 
d. 非政府组织； 
e. 消费者和其他公众。 
4.1.3  建立信任的原则包括： 
- 公正性； 
- 能力； 
- 责任； 
- 公开性； 
- 保密性； 
- 对投诉的回应； 
- 基于风险的方法。 
注：本文件在第 4 章给出了认证的原则，GB/T 19011-2013 第 4 章给出了与审核有关的原则。 
4.2公正性 
4.2.1  公正，并被认为公正，是认证机构提供可建立信任的认证的必要条件。重要的是所有内部和外部人员都意识到公正性的必要性。 
4.2.2  客户支付的认证费用是认证机构的收入来源，也是对公正性的潜在威胁，这一点得到公认。 
4.2.3  认证机构根据其所获得的符合（或不符合）的客观证据做出决定，且不受其他利益或其他各方的影响，对于获得和保持信任是必不可少的。 
4.2.4  对公正性的威胁可能包括，但不限于： 
a. 自身利益：此类威胁源于个人或机构依其自身利益行事。在认证中，财务方面的自身利益是一种对公正性的威胁。 
b. 自我评审：此类威胁源于个人或机构评审自己所做的工作。认证机构对由其进行管理体系咨询的客户实施管理体系审核属于此类威胁。 
c. 熟识（或信任）：此类威胁源于个人或机构对另外一人过于熟悉或信赖，而不去寻找审核证据。 
d. 胁迫：此类威胁源于个人或机构察觉受到公然或暗中的强迫，如威胁用他人取而代之或向主管告发。 
4.3能力 
4.3.1  认证活动涉及的所有职能的认证机构人员的能力是认证提供信任的必要条件。
 4.3.2  能力也需要由认证机构的管理体系来支撑。 
4.3.3  认证机构管理的一个关键问题是具有一个得到实施的过程，来为参与审核和其他认证活动的人员建立能力准则，并按照准则实施评价。 
4.4责任 
4.4.1  始终一致地达到实施管理体系标准的预期结果和符合认证要求的责任，在于获证客户而不是认证机构。 
4.4.2  认证机构有责任对足够的客观证据进行评价，并在此基础上做出认证决定。根据审核结论，如果符合性的证据充分，认证机构做出授予认证的决定；如果符合性的证据不充分，则不授予认证。 
注：任何审核都是基于对组织管理体系的抽样，因此并不保证管理体系 100%符合要求。 
4.5公开性 
4.5.1  为获得对认证的诚信性与可信性的信任，认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态（即认证的授予、保持，认证范围的扩大或缩小，认证的更新、暂停、恢复或者撤销）的适当、及时信息的公开渠道，或公布这些信息。公开性是获得或公布适当信息的一项原则。 
4.5.2  为获得或保持对认证的信任，认证机构宜向特定利益相关方提供获取特定审核（如为回应投诉而做的审核）结论的非保密信息的适当渠道，或公布这些信息。 
4.6保密性 
为了享有获取充分评价管理体系符合性所需信息的特权，认证机构不透露任何保密信息是至关重要的。 
4.7对投诉的回应 
依赖认证的各方期望投诉得到调查。认证机构应当使依赖认证的各方相信，在投诉经查明有效时，认证机构将对这些投诉进行适当的处理，并为解决这些投诉做出适当的努力。当投诉表明出现错误、疏忽或不合理行为时，对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手段。对投诉进行适当处理将维护对认证活动的信任。 
注：为了向认证的所有用户证明认证的诚信性与可信性，需要在公开性和保密性（包括对投诉的回应）等原则之间取得适当的平衡。 
4.8基于风险的方法 
认证机构需要考虑与提供有能力的、一致的和公正的认证相关的风险。风险可能与下列方面有关（包括但不限于）： 
- 审核目的； 
- 审核过程中的抽样； 
- 真正的和被感知到的公正性； 
- 法律法规问题和责任问题； 
- 所审核的客户组织及其运行环境； 
- 审核对客户及其活动的影响； 
- 审核组的健康和安全； 
- 利益相关方的认知； 
- 获证客户做出的误导性声明； 
标志的使用。