KAB-R-MSCB 경영시스템 인증기관 요구사항 Issue 1 2019. 09. 20. 발행 2019. 09. 20. 시행 ISO/IEC 17021-1:2015 이 문서는 ISO 가 발행하고 IAF 가 승인한 ISO/IEC 17021-1:2015 – Conformity assessment – Requirements for bodies providing audit and certification of management systems – Part 1: Requirements 문서의 요구사항을 변경 없이 반영한 문서로, 경영시스템 인증서비스를 제공하는 인증기관이 준수하여야 할 공통 요구사항이다.
46
Embed
경영시스템 인증기관 요구사항 - KAB...KAB-R-MSCB 경영시스템 인증기관 요구사항 Issue 1 4 /46 비고2 공평성의 요소를 전달하는데 유용한 기타
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
KAB-R-MSCB
경영시스템 인증기관 요구사항
Issue 1
2019. 09. 20. 발행
2019. 09. 20. 시행
ISO/IEC 17021-1:2015
이 문서는 ISO 가 발행하고 IAF 가 승인한 ISO/IEC 17021-1:2015 – Conformity assessment – Requirements for bodies
providing audit and certification of management systems – Part 1: Requirements 문서의 요구사항을 변경 없이 반영한 문서로,
경영시스템 인증서비스를 제공하는 인증기관이 준수하여야 할 공통 요구사항이다.
KAB-R-MSCB 경영시스템 인증기관 요구사항 Issue 1
2 /46
KAB-R-MSCB
경영시스템 인증기관 요구사항
목차
쪽
1. 적용범위 3
2. 인용표준 3
3. 용어의 정의 3
4. 원칙 6
5. 일반 요구사항 9
6. 조직구조 요구사항 11
7. 자원 요구사항 12
8. 정보 요구사항 15
9. 프로세스 요구사항 18
10. 인증기관 경영시스템 요구사항 33
부속서 A (필수) 지식 및 스킬 요구사항 37
부속서 B (참고) 평가방법의 예 40
부속서 C (참고) 적격성 결정 및 유지를 위한 프로세스 흐름의 예 42
부속서 D (참고) 바람직한 개인의 행동 43
부속서 E (참고) 심사 및 인증 프로세스 44
3 /46
1 적용범위
이 문서는 모든 형태의 경영시스템에 대해 심사 및 인증을 제공하는 기관의 적격성, 일관성 및 공평성에 대한
원칙과 요구사항을 포함하고 있다.
이 문서에 따르는 인증기관이 모든 형태의 경영시스템 인증을 제공할 필요는 없다.
경영시스템 인증은 제 3 자 적합성평가활동(ISO/IEC 17000: 2004 5.5 참조)이며, 이 활동을 수행하는 기관은
따라서 제 3 자 적합성평가기관이다.
비고 1 경영시스템의 예로는 환경경영시스템, 품질경영시스템, 정보보안경영시스템 등이 있다.
비고 2 이 문서에서는 경영시스템 인증을 “인증”으로, 제 3 자 적합성평가기관을 “인증기관”으로 부른다.
비고 3 인증기관은 규제권한을 갖거나 갖지 않은 비 정부기구 또는 정부기구일 수 있다.
비고 4 이 문서는 인정, 동등성평가 또는 기타 심사프로세스의 기준으로 활용할 수 있다.
2 인용표준
다음의 표준들은 이 문서의 요구사항에서 일부 또는 전체가 의무사항으로 인용되어 있으며, 반드시 적용되어야
한다. 발행연도가 표시된 표준은 해당 판이 적용된다. 발행연도가 표시되지 않은 표준(모든 수정사항 포함)은
최신판을 적용한다.
ISO 9000 품질경영시스템 - 기본사항 및 용어 정의
ISO/IEC 17000 적합성 평가 - 용어 및 일반 원칙
3 용어의 정의
이 기준에서 사용하는 용어는 ISO/IEC 17000 및 ISO 9000 과 다음의 용어정의를 적용한다.
3.1 인증된 클라이언트
certified client
경영시스템 인증을 받은 조직
3.2 공평성
impartiality
객관성의 존재
비고 1 객관성은 인증기관의 후속되는 활동에 부정적인 영향을 미치지 않도록 이해상충이 존재하지 않거나
이해상충이 해결됨을 의미한다.
KAB-R-MSCB 경영시스템 인증기관 요구사항 Issue 1
4 /46
비고 2 공평성의 요소를 전달하는데 유용한 기타 용어로는 독립성, 이해상충이 없음, 편향되지 않음, 편견 없음,
중립성, 공정성, 오픈 마인드, 공평함, 분리, 균형이 있다.
3.3 경영시스템 자문
management system consultancy
경영시스템의 수립, 실행 또는 유지에 참여하는 것
보기 1 매뉴얼이나 절차의 작성 또는 제정
보기 2 경영시스템의 개발 및 실행에 대한 특정 조언, 지침 또는 해결책의 제공
비고 1 해당 교육훈련과정이 경영시스템이나 심사에 관련된 경우, 강사가 특정 회사만을 위한 해결책을
제시하지 않고 교육훈련과정이 공개적으로 자유롭게 이용 가능한 일반적인 정보를 제공하는 것으로
한정된다면, 교육훈련을 준비하고 강사로 참여한다 하여도 자문으로 간주되지 아니한다.
비고 2 특정 회사만을 위한 구체적인 해결책이 아닌, 일반적인 정보의 제공을 통해 프로세스나 시스템의 개선을
도모하는 것은 자문으로 간주되지 않는다. 이와 같은 정보는 다음을 포함할 수 있다.
― 인증 기준의 의미와 의도를 설명하는 것
― 개선의 기회를 식별하는 것
― 연계된 이론, 방법론, 기법이나 도구에 대해 설명하는 것
― 관련 모범사례에서 기밀에 해당하지 않는 정보를 공유하는 것
― 심사 대상의 경영시스템이 다루지 않는 다른 경영상의 측면
3.4 인증심사
certification audit
클라이언트의 경영시스템을 인증하기 위한 목적으로 클라이언트 및 인증에 의존하는 당사자와 독립적인
심사기관이 실시하는 심사
비고 1 이하의 용어정의에서 ‘심사’란 용어는 제 3 자 인증심사를 뜻하는 약자이다.
비고 2 인증심사는 최초심사, 사후관리심사, 갱신심사를 포함하며 특별심사도 포함할 수 있다.
비고 3 인증심사는 일반적으로 경영시스템 표준의 요구사항에 대한 적합성 인증을 제공하는 기관의 심사팀이
수행한다.
비고 4 합동심사(joint audit)는 하나의 클라이언트에 두 개 이상의 심사기관이 협력하여 공동으로 심사하는
경우를 말한다.
비고 5 결합심사(combined audit)는 클라이언트에 두 개 이상의 경영시스템의 요구사항을 함께 심사하는
경우를 말한다.
비고 6 통합심사(integrated audit)는 두 개 이상의 경영시스템 표준들의 요구사항의 적용을 단일
경영시스템으로 통합한 클라이언트에게 둘 이상의 표준에 대하여 심사하는 경우를 말한다.
3.5 클라이언트
client
인증을 목적으로 경영시스템 심사를 받는 조직
3.6 심사원
auditor
심사를 수행하는 자
5 /46
3.7 적격성
competence
의도된 결과를 얻기 위해 지식 및 스킬을 적용할 수 있는 능력
3.8 안내자
guide
심사팀을 지원하도록 클라이언트가 지정한 자
3.9 참관인
observer
심사팀과 동행하나 심사는 하지 않는 자
3.10 기술분야
technical area
특정 유형의 경영시스템과 그것의 의도된 결과와 관련된 프로세스의 공통점에 의해 특성화된 분야
비고 1 7.1.2 의 비고 참고
3.11 부적합
nonconformity
요구사항의 불충족
3.12 중부적합
major nonconformity
의도된 결과를 달성하는데 필요한 경영시스템의 능력에 영향을 미치는 부적합(3.11)
비고 1 다음 상황에서 부적합이 중부적합으로 분류될 수 있다.
― 프로세스 관리의 효과성을 의심할만한 상당한 이유가 있거나 제품이나 서비스가 명시된 요구사항을
충족하지 못할 것을 의심하는 상당한 이유가 있음
― 동일한 요구사항이나 사안과 결부되는 다수의 경부적합이 시스템 실패를 초래하여 결국
중부적합으로 이어질 수 있음
3.13 경부적합
minor nonconformity
의도된 결과를 달성하는데 필요한 경영시스템의 능력에 영향을 미치지 않는 부적합(3.11).
3.14 기술전문가
technical expert
심사팀에 전문지식이나 전문성을 제공하는 인원
비고 1 전문지식이나 전문성은 심사 대상 조직, 프로세스, 또는 활동과 관련된 것을 말한다.
3.15 인증스킴
certification scheme
동일한 요구사항, 규정 및 프로세스가 적용되는 경영시스템과 관련한 적합성 평가 시스템
3.16 심사시간
audit time
클라이언트 조직의 경영시스템에 대한 심사를 완전하고 효과적으로 계획하고 완수하기 위해 필요한 시간
KAB-R-MSCB 경영시스템 인증기관 요구사항 Issue 1
6 /46
3.17 경영시스템 인증심사기간
duration of management system certification audits
시작회의부터 종료회의까지 심사활동을 수행하는데 소요되는 심사시간(3.16)의 일부
비고 1 심사활동은 일반적으로 다음을 포함한다.
― 시작회의 실시
― 심사를 실시하는 동안의 문서 검토 수행
― 심사 중 의사소통
― 안내자와 참관인의 역할과 책임 배정
― 정보의 수집과 검증
― 심사 발견사항 도출
― 심사결론 준비
― 종료회의 실시
4 원칙
4.1 일반사항
4.1.1 이 원칙들은 이 문서의 후속조항에 대한 구체적인 수행 및 서술적인 요구사항의 근거가 된다. 이 문서가 발생
가능한 모든 상황에 대한 구체적인 요구사항을 제시하지는 않는다. 이들 원칙은 예상치 못한 상황에 대한
결정을 내려야 하는 경우 지침으로 적용되어야 할 것이다. 원칙은 요구사항이 아니다.
4.1.2 인증의 전반적인 목적은 모든 당사자에게 경영시스템이 규정된 요구사항을 충족한다는 신뢰를 제공하는
것이다. 인증의 가치는 제 3 자에 의한 공평하고 적격한 심사에 의해 확립된 일반 대중의 신뢰 및 신임의
정도이다. 인증의 이해관계자에는 다음이 포함되나 이들로써 제한하지는 않는다.
a) 인증기관의 클라이언트
b) 경영시스템 인증을 받은 조직의 고객(customer)
c) 정부 당국
d) 비 정부기관
e) 소비자 및 기타 일반 대중
4.1.3 신뢰성에 영향을 주는 원칙에는 다음이 포함된다.
― 공평성
― 적격성
― 책임
― 개방성
― 기밀성
― 불만에 대한 대응
― 리스크 기반 접근
비고 이 문서의 4 절에서 인증에 대한 원칙을 제시하고 있으며, 심사에 대해서는 상응하는 원칙을 ISO/IEC
19011:2011 의 4 절에서 다루고 있다.
7 /46
4.2 공평성
4.2.1 인증기관이 신뢰성 있는 인증을 제공하기 위해서는 공평하여야 하며, 또한 공평한 것으로 인지되어야 한다.
모든 내·외부 인원이 공평성의 필요를 인식하는 것이 중요하다.
4.2.2 인증기관의 수입원이 인증기관의 클라이언트가 지불하는 인증비용이라는 점에서, 이는 공평성에 대한 잠재적인
위협으로 인식된다.
4.2.3 신뢰성을 획득하고 유지하기 위하여, 인증기관은 확보한 적합성(또는 부적합)에 대한 객관적인 증거에
근거하여 결정을 내려야 하며, 이러한 결정이 다른 이해관계자 또는 다른 관계자의 영향을 받지 않는 것이
중요하다.
4.2.4 공평성에 대한 위협에는 다음을 포함하나 이에 국한하지는 않는다.
a) 사리추구: 개인 또는 기관이 자신의 이익을 위해 활동함으로써 발생하는 위협. 인증과 관련하여 공평성에
위협이 되는 사항은 재정적인 사리추구이다.
b) 자체검토: 개인 또는 기관 자신이 수행한 작업을 검토함으로써 발생하는 위협. 인증기관이 경영시스템
자문을 제공한 클라이언트의 경영시스템을 심사하는 것은 자체 검토의 위협이 된다.
c) 친분관계(또는 신임): 개인 또는 기관이 심사 증거를 추적하는 대신, 지나치게 타인과 친밀하거나 타인을
신임함으로써 발생하는 위협.
d) 협박: 교체되거나 상관에게 보고될 것이라는 위협과 같이, 개인 또는 기관이 공개적으로 혹은 비밀리에
강압을 받았다고 인식함으로써 발생하는 위협
4.3 적격성
4.3.1 신뢰성 있는 인증을 제공하기 위해서는 인증기관의 인증 활동과 관련된 모든 기능에 대해 인원의 적격성이
요구된다.
4.3.2 적격성은 또한 인증기관의 경영시스템에 의해 뒷받침되어야 한다.
4.3.3 심사 및 기타 인증 활동과 관련된 인원의 적격성 기준을 수립하는 프로세스의 실행과 기준에 대한 평가의
실시는 인증기관의 경영진에게 주요한 사안이다.
4.4 책임
4.4.1 경영시스템 표준에 대한 실행의 의도된 결과를 일관되게 달성하는 책임과 인증 요구사항에 대한 적합성의
책임은 인증기관이 아닌, 인증된 클라이언트에게 있다.
4.4.2 인증기관은 인증 결정의 근거가 되는 충분한 객관적인 증거를 평가할 책임이 있다. 인증기관은 심사 결론을
토대로, 적합성에 대한 충분한 증거가 있는 경우 인증을 승인하고, 적합성에 대한 증거가 충분하지 않은 경우
인증을 승인하지 않는다는 결정을 내린다.
비고 심사는 조직의 경영시스템 내에서 샘플링에 기초하여 실시하기 때문에, 요구사항에 대한 100%의
적합성을 보장하지는 않는다.
KAB-R-MSCB 경영시스템 인증기관 요구사항 Issue 1
8 /46
4.5 개방성
4.5.1 인증기관은 인증의 완전성 및 신뢰성을 획득하기 위하여, 심사 프로세스 및 인증 프로세스, 그리고 조직의 인증
상태(즉, 인증의 승인, 유지, 인증범위의 확대나 축소, 갱신, 정지나 복원(restoring), 또는 인증의 취소)에 대한
적절한 정보를 적시에 공개하거나 공개적인 접근이 가능토록 해야 한다. 개방성은 적절한 정보의 공개 또는
접근에 대한 원칙이다.
4.5.2 인증기관은 인증의 신뢰성을 확보 또는 유지하기 위하여, 특정 심사(예: 불만에 대한 심사)의 결론과 관련하여
기밀에 해당하지 않는 정보를 특정 이해관계자에게 적절히 공개하거나 접근 가능토록 해야 할 것이다.
4.6 기밀유지
인증기관이 인증 요구사항에 대한 적합성을 적절히 평가하는데 필요한 정보에 접근할 수 있는 특권을 확보하기
위해서는, 모든 기밀정보에 대해서는 기밀을 유지해야 한다.
4.7 불만에 대한 대응
인증을 활용하는 관계자들은 불만에 대해서는 조사가 이루어지기를 기대하며, 불만이 타당한 경우 해당 불만이
적절히 처리되고, 해결을 위해 적절한 노력이 기울여질 것이라는 신뢰를 가져야 할 것이다. 불만에 대하여
효과적으로 대응하는 것은 과실, 누락사항 또는 부당한 행위로부터 인증기관, 인증된 클라이언트 및 기타 인증의
사용자들을 보호하는 중요한 수단이다. 인증 활동에 대한 신뢰성은 불만이 적절히 처리될 때 확보된다.
비고 인증의 모든 사용자들에게 완전성 및 진실성을 실증하기 위해서는 불만에 대한 대응을 비롯하여
개방성과 기밀성 원칙 간의 적절한 균형이 필요하다.
4.8 리스크 기반 접근
인증기관은 적격하고 일관되며 공평한 인증을 제공할 때 동반되는 리스크를 고려하는 것이 필요하다. 리스크는
다음과 관련될 수 있다.
― 심사 목적
― 심사 프로세스에 사용된 샘플링
― 실재하고 인식되는 공평성
― 법규, 규범, 배상책임에 대한 사안
― 피심사 클라이언트의 조직 및 그 조직의 운영 환경
― 심사가 클라이언트와 클라이언트의 활동에 미치는 영향
― 심사팀의 보건 및 안전
― 이해관계자의 인식
― 인증된 클라이언트에 의한 오도된 언급(statements)
― 마크의 사용
9 /46
5 일반 요구사항
5.1 법적 및 계약적 사항
5.1.1 법적 책임
인증기관은 법인체이거나 법인체의 규정된 일부로서, 인증기관의 모든 인증 활동에 대해 법적인 책임을 질 수
있어야 한다. 정부가 운영하는 인증기관은 해당 정부의 지위에 근거하여 법인체로 간주된다.
5.1.2 인증 계약
인증기관은 이 문서의 관련 요구사항에 따라 인증 활동을 제공하기 위하여 각 클라이언트와 법적으로 구속력
있는 계약을 체결하여야 한다. 또한 인증기관의 사무소가 다수이거나, 고객의 사업장이 복수인 경우,
인증기관은 인증을 승인하고 인증서를 발행하는 인증기관과 인증범위에 포함된 모든 사업장 간에 법적으로
구속력 있는 계약을 체결하고 있음을 보장하여야 한다.
비고 계약은 서로 참조되거나 기타 방법으로 연결되어 있는 다수의 계약을 통해 체결될 수 있다.
5.1.3 인증결정에 대한 책임
인증기관은 인증의 승인, 거부, 유지, 인증범위의 확대 또는 축소, 갱신, 정지 또는 정지 후의 복원 또는 인증의
취소를 포함한 인증에 관련된 결정에 대한 책임 및 권한을 보유하여야 한다.
5.2 공평성 관리
5.2.1 적합성평가 활동은 공평하게 수행되어야 한다. 인증기관은 적합성평가 활동의 공평성에 대한 책임을 져야 하며
공평성을 저해하는 상업적, 재정적 또는 기타 압력을 허용해서는 안 된다.
5.2.2 인증기관의 최고 경영자는 경영시스템 인증활동의 공평성에 대한 의지를 가져야 한다. 인증기관은 경영시스템
인증활동을 수행함에 있어 공평성의 중요성을 이해하고, 이해상충을 관리하며, 경영시스템 인증활동의
객관성을 보장한다는 방침을 보유하여야 한다.
5.2.3 인증기관은 지속적으로 자신의 관계로부터 발생하는 모든 상충을 포함하여 인증을 제공함으로써 발생하는
이해상충과 관련된 리스크를 파악, 분석, 평가, 처리, 모니터링 및 문서화하는 프로세스를 보유해야 한다.
공평성에 위협이 발생하는 경우, 인증기관은 해당 위협을 제거하거나 최소화할 방법을 문서화하고 실증하여야
하며, 잔존하는 리스크를 문서화하여야 한다. 이러한 실증을 함에 있어, 파악된 모든 잠재적인 위협이 인증기관
내부에서 발생한 것인지 또는 다른 사람이나 조직의 활동으로 인해 발생한 것인지에 관계없이 그러한 모든
잠재적인 위협에 대해 다루어야 한다. 어떤 관계가 인증기관의 공평성에 수용 불가한 위협을 제공하는
경우(인증기관이 100% 소유한 자회사가 모기업인 인증기관에 인증을 신청하는 경우 등), 인증기관은 해당
인증을 제공해서는 안 된다.
최고 경영자는 잔존하는 모든 리스크가 수용가능한 수준인지 판단하기 위해 검토하여야 한다.
리스크 평가 프로세스에는 개방성 및 대중의 인식을 포함하여 공평성에 영향을 미치는 사안에 대해 조언할
적절한 이해관계자를 식별하고 자문을 구하는 프로세스가 포함되어야 한다. 적절한 이해관계자의 자문은
하나의 이해관계가 두드러지지 않도록 균형을 이루어야 한다.
KAB-R-MSCB 경영시스템 인증기관 요구사항 Issue 1
10 /46
비고 1 인증기관의 공평성에 위협이 되는 원인으로는 소유권, 지배권, 경영권, 인원, 자원 공유, 재정, 계약,
교육훈련, 마케팅, 판매에 대한 커미션 지불 또는 기타 신규 클라이언트 소개의 유인 등이 있을 수
있다.
비고 2 이해관계자는 인증기관의 인원과 클라이언트, 경영시스템 인증을 받은 조직의 고객(customer),
산업무역협회 대표자, 정부규제기관이나 기타 정부기관의 대표자, 소비자 단체를 포함한 비정부기관
대표자 등이 포함될 수 있다.
비고 3 이 조항의 자문 관련 요구사항을 이행하기 위하여 이해관계자로 구성된 위원회를 활용하는 것도
하나의 방법이다.
5.2.4 인증기관은 다른 인증기관의 품질경영시스템을 인증해서는 안 된다.
5.2.5 인증기관 및 동일 법인체내 어떤 부문, 또한 인증기관의 조직적 관리 하에 있는 모든 독립체(entity)(9.5.1.2 의
b) 참고)에서도 경영시스템 자문을 제안하거나 제공해서는 안 된다. 이는 인증기관이 정부기관의 일부인
경우에도 동일하게 적용된다.
비고 이는 인증기관과 클라이언트 간의 정보(예: 발견사항에 대한 설명 또는 요구사항에 대한 명확한 설명
등) 교환 가능성을 차단하지는 않는다.
5.2.6 인증기관 및 동일 법인체내 어떤 부문에서도 인증된 클라이언트에 대해 내부심사를 수행하는 것은 공평성에
대한 중대한 위협이다. 그러므로 인증기관 및 동일 법인체 내 어떤 부문, 또한 인증기관의 조직적 관리 하에
있는 모든 독립체(entity)(9.5.1.2 의 b) 참고)에서는 자신이 인증 한 클라이언트에게 내부심사를 제안하거나
제공해서는 안 된다. 내부심사 종료 후 최소 2 년 이내에 경영시스템 인증을 금지하는 것은 공평성에 대한
위협을 수용 가능한 수준으로 감소시키는 하나의 방법이다.
비고 5.2.3 의 비고 1 참조
5.2.7 클라이언트가 인증기관과 관계가 있는 자문기관으로부터 경영시스템 자문을 받았다면 이는 공평성에 대한
중대한 위협이다. 경영시스템 자문 종료 후 최소 2 년 이내에 경영시스템 인증을 금지하는 것은 공평성에 대한
위협을 수용 가능한 수준으로 감소시키는 하나의 방법이다.
비고 5.2.3 의 비고 1 참조
5.2.8 인증기관은 심사를 경영시스템 자문기관에 외주처리 해서는 안되며, 이는 인증기관의 공평성에 수용 불가한
위협을 제공하는 것으로 간주된다(7.5 참조). 이 조항은 개인이 7.3 에 명시된 심사원으로 계약하는 것에
대해서는 적용되지 아니한다.
5.2.9 인증기관의 활동은 경영시스템 자문을 제공하는 기관의 활동과 연계하여 마케팅 되거나 제안되어서는 안 된다.
인증기관은 자문기관이 해당 인증기관을 이용하면 인증이 간단, 용이, 신속하거나 저렴할 것임을 언급하거나
의미하는 부적절한 연계 또는 발언을 하는 경우, 이를 시정하는 조치를 취해야 한다. 인증기관은 특정
자문기관을 이용하면 인증이 간단, 용이, 신속하거나 저렴할 것임을 언급하거나 의미해서는 안 된다.
5.2.10 인증기관은 이해상충이 존재하지 않음을 보장하기 위하여, 클라이언트의 경영진으로 활동했던 인원이나
클라이언트의 시스템에 대한 자문에 참여한 인원을 당해 클라이언트에 대한 심사 또는 기타 인증활동에
참여시켜서는 안 된다. 이러한 위협을 감소시키는 방법으로는 자문 종료 후 최소 2 년 이내에는 해당 인원을
활용하지 못하게 하는 것이 있다.
5.2.11 인증기관은 다른 사람, 기관 또는 조직의 조치사항으로 인해 발생하는 공평성에 대한 위협에 대응하는 조치를
취해야 한다.
11 /46
5.2.12 인증활동에 영향을 미칠 수 있는 인증기관의 내부인원이나 외부인원 혹은 위원회 등 모든 인원은 공평하게
활동하여야 하며, 공평성을 저해하는 상업적, 재정적 또는 기타 압력을 허용해서는 안 된다.
5.2.13 인증기관은 내부인원 및 외부인원에게 본인 또는 인증기관에 이해상충을 제공할 수 있는 상황을 인지한 경우
이를 공개하도록 요구하여야 한다. 인증기관은 이러한 정보를 기록하고 해당 인원의 활동 또는 해당인원을
고용한 조직에 의해 발생하는 공평성에 대한 위협을 파악하는데 입력자료로 사용해야 한다.
5.3 배상책임 및 재정
5.3.1 인증기관은 인증 활동으로 인해 발생하는 위험을 평가하였음을 실증할 수 있어야 하며, 인증기관이 운영하는
각 활동분야 및 지리상의 지역에서 인증기관의 운영상 발생하는 배상 책임에 대한 적절한 조치방안(예. 보험
또는 예치금)을 갖추었음을 실증할 수 있어야 한다.
5.3.2 인증기관은 재정 및 수입원을 평가하여, 상업적, 재정적 또는 기타 압력으로 인해 인증기관의 공평성이
저해되지 않음을 최초 및 지속적으로 실증하여야 한다.
6 조직구조 요구사항
6.1 조직구조 및 최고 경영자
6.1.1 인증기관은 경영진, 기타 인증에 관련된 인원 및 위원회의 책임과 권한, 의무, 조직구조를 문서화하여야 한다.
인증기관이 법인체의 규정된 일부인 경우, 조직구조에는 권한의 계통 및 동일한 법인체내 다른 부문과의
관계를 포함시켜야 한다.
6.1.2 인증활동은 공평성을 확보하기 위하여 체계화되고 관리되어야 한다.
6.1.3 인증기관은 다음의 각 호에 대한 총괄적 권한 및 책임을 갖는 최고 경영자(위원회, 개인의 그룹 또는 개인)를
식별하여야 한다.
a) 인증기관의 운영에 관한 방침 개발 및 프로세스와 절차 수립
b) 방침, 프로세스 및 절차의 실행에 대한 감독
c) 공평성의 보장
d) 인증기관의 재정에 대한 감독
e) 경영시스템 인증서비스 및 인증스킴의 개발
f) 심사 및 인증의 수행 그리고 불만에 대한 대응
g) 인증의 결정
h) 필요 시 인증기관을 대신하여 규정된 활동을 수행할 위원회 또는 개인에 대한 권한의 위임
i) 계약에 대한 사항
j) 인증 활동을 위한 충분한 자원의 제공
6.1.4 인증기관은 인증활동에 관여하는 위원회 위원의 위촉, 임무 및 운영에 대한 공식적인 규정을 갖추어야 한다.
KAB-R-MSCB 경영시스템 인증기관 요구사항 Issue 1
12 /46
6.2 운영관리
6.2.1 인증기관은 법적 지위, 관계 또는 지리적 위치와 상관없이 지사, 파트너, 대리인, 프랜차이즈 등이 제공하는
인증활동을 효과적으로 관리하는 프로세스를 보유하여야 한다. 인증기관은 이러한 인증활동이 인증기관의
적격성, 일관성, 공평성에 미치는 리스크를 고려하여야 한다.
6.2.2 인증기관은 프로세스, 인증기관이 운영하는 기술 분야, 인원 적격성, 관리의 통제체계(lines of management
control), 운영에 대한 보고와 원격 접근성(기록 포함)을 포함하여, 수행되는 활동에 대한 적절한 관리의 수준과
방법을 고려하여야 한다.
7 자원 요구사항
7.1 인원의 적격성
7.1.1 일반 고려사항
인증기관은 인원이 인증기관에서 운영하는 경영시스템의 종류(예: 환경경영시스템, 품질경영시스템, 정보보안
경영시스템) 및 지리상의 지역에 관한 적절한 지식을 보유하고 있음을 보장하는 프로세스를 갖추어야 한다.
7.1.2 적격성 기준의 결정
인증기관은 심사 및 인증의 관리 및 수행에 관여하는 인원에 대한 적격성 기준을 결정할 문서화된 프로세스를
갖추어야 한다. 적격성 기준은 각 유형의 경영시스템 표준 또는 스펙의 요구사항, 각 기술분야 및 인증
프로세스의 각 업무기능에 대해 결정하여야 한다. 이러한 프로세스의 산출물은 의도한 결과를 달성하기 위해
수행되는 심사 및 인증 업무를 효과적으로 수행하는데 필요한 지식 및 숙련도/기량에 대한 문서화된 기준이다.
부속서 A 는 인증기관이 특정 업무기능에 대하여 규정하여야 하는 지식 및 숙련도/기량을 제시한다. 예를 들어
KAB-SR-EMS, KAB-SR-QMS 또는 KAB-SR-FSMS 와 같은 특정 표준이나 인증 스킴에 대한 추가적인
특정한 적격성 기준을 수립한 경우, 이를 적용하여야 한다.
비고 “기술분야”는 고려중인 경영시스템 표준에 따라 달리 적용된다. 어떤 경영시스템에서든지 이 용어는
경영시스템 표준의 적용범위와 관련된 제품, 프로세스 및 서비스와 관련된다. 기술분야는 특정한
인증스킴(예: KAB-SR-FSMS)에 의해 정의되거나 인증기관에 의해서 결정될 수 있다. 또한 기술분야는
다른 경영시스템에서 사용된 “범위(scope)”, “범주(category)”, “부문(sector)” 등과 같은 기타 용어를
포괄하여 사용된다.
7.1.3 평가 프로세스
인증기관은 심사 및 인증의 관리 및 수행에 관여하는 모든 인원에 대해 결정된 적격성 기준을 적용하여 최초에
적격성을 평가하고 지속적으로 적격성 및 성과를 모니터링하기 위한 문서화된 프로세스를 갖고 있어야 한다.
인증기관은 평가 방법이 효과적임을 실증하여야 한다. 이 프로세스의 산출물은 심사 및 인증 프로세스의
다양한 업무기능에 요구되는 적격성 수준에 대하여 실증된 인원들을 파악하는 것이야 한다. 적격성은 인증기관
내에서 개인이 수행한 활동에 대한 책임을 지기 이전에 실증되어야 한다.
비고 1 적격성을 평가하기 위한 여러 가지 방법이 부속서 B 에 기술되어 있다.
비고 2 부속서 C 는 적격성을 결정하고 유지하는 프로세스 흐름도의 예를 보여준다.
13 /46
7.1.4 기타 고려사항
인증기관은 운영 중인 모든 기술분야, 경영시스템 종류 및 지리적 지역에 있어 인증에 직접적으로 관련된
사안에 대한 조언을 제공하는 기술 전문가를 활용하여야 한다. 이러한 조언은 외부 또는 인증기관 인원에 의해
제공될 수 있다.
7.2 인증 활동에 관련된 인원
7.2.1 인증기관은 심사프로그램의 종류 및 범위와 기타 수행된 인증업무를 관리하고 지원하기에 충분한 적격성을
갖춘 인원을 보유하여야 한다.
7.2.2 인증기관은 인증기관의 모든 활동을 다루고 수행된 심사업무를 처리하기 위하여 심사팀장을 포함한 충분한
수의 심사원 및 기술전문가를 고용하거나 확보하여야 한다.
7.2.3 인증기관은 인증 활동에 관련된 각 인원에게 각자의 의무, 책임 및 권한에 대해 명확히 하여야 한다.
7.2.4 인증기관은 인증 활동에 활용하는 심사원을 선정, 교육훈련, 공식 승인하는 프로세스 및 기술전문가를 선정하고
적응(familiarize)시키는 프로세스를 보유하여야 한다. 심사원에 대한 최초 적격성 평가는 심사 중에 요구되는
지식 및 기량을 적용하는 능력을 포함하여야 하며, 이는 적격한 평가자가 해당 심사원이 수행하는 심사에 대한
입회를 통해 결정한다.
비고 상기의 선정 및 교육훈련 프로세스에서 바람직한 개인행동이 고려될 수 있다. 이것은 개인이 특정한
업무기능을 수행하는 능력에 영향을 주는 특징이다. 그러므로 개인의 행동에 대한 지식은 인증기관으로
하여금 그 개인의 강점을 활용하고 약점의 영향을 최소화할 수 있게 한다. 인증활동에 관여하는
인원에게 중요한 바람직한 개인행동은 부속서 D 에 기술되어 있다.
7.2.5 인증기관은 일반적인 심사 기량 및 지식뿐 아니라 특정한 기술분야에서의 심사를 위한 기량 및 지식을 보유한
심사원 및 심사팀장의 활용을 포함하여, 효과적인 심사를 달성하고 실증하는 프로세스를 갖추어야 한다.
7.2.6 인증기관은 심사원(그리고 필요한 경우, 기술전문가)이 심사 프로세스, 인증 요구사항 및 기타 관련 요구사항에
대한 지식이 있음을 보장하여야 한다. 인증기관은 심사원 및 기술전문가가 심사 지침을 제공하는 문서화된
절차류의 최신본 및 인증 활동에 관한 모든 관련 정보에 접근할 수 있도록 하여야 한다.
7.2.7 인증기관은 교육훈련의 필요성을 파악하여야 하며, 심사원, 기술전문가 및 기타 인증활동에 관련된 인원이 담당
기능에 적격함을 보장하기 위하여 특정 교육훈련에 대한 기회를 제안하거나 제공하여야 한다.
7.2.8 인증의 승인, 거절, 유지, 갱신, 정지, 복원, 취소, 또는 인증범위의 확대나 축소를 결정하는 그룹 또는 개인은
해당 표준 및 인증 요구사항을 이해하여야 하며, 심사 프로세스 및 심사팀의 관련 권고사항을 평가할 수 있는
실증된 적격성을 갖추어야 한다.
7.2.9 인증기관은 심사 및 기타 인증 활동에 관련된 모든 인원의 만족스러운 성과를 보장하여야 한다. 관련된 모든
인원을 활용하는 빈도 및 각자의 활동에 연계된 위험 수준에 근거하여, 이 인원들의 성과를 모니터링하는
문서화된 프로세스가 있어야 한다. 특히 인증기관은 교육훈련의 필요성을 파악하기 위하여 인증기관 인원들의
성과 측면에 근거하여 인원의 적격성을 검토하고 기록하여야 한다.
7.2.10 인증기관은 심사원이 적격하다고 간주되는 경영시스템의 각 유형을 고려하여 각 심사원을 모니터링하여야
한다. 심사원에 대한 문서화된 모니터링 절차에는 현장 입회, 심사보고서 검토, 클라이언트나 시장의 피드백을
포함시켜야 한다. 특히 이러한 모니터링은 클라이언트의 입장에서 인증의 정규 프로세스 수행에 대한 방해를
최소화하는 방식으로 설계되어야 한다.
KAB-R-MSCB 경영시스템 인증기관 요구사항 Issue 1
14 /46
7.2.11 인증기관은 정기적으로 각 심사원의 성과를 현장에서 입회하여 평가하여야 한다. 현장 입회의 빈도는
이용가능한 모든 모니터링 정보를 통해 결정된 필요성에 근거하여야 한다.
7.3 개별 외부 심사원 및 외부 기술전문가의 활용
인증기관은 외부 심사원 및 외부 기술전문가에게 인증기관이 규정한 해당 방침 및 절차의 준수를 서약하는 서면
계약을 요구하여야 한다. 이 계약서에는 기밀성과 공평성에 대한 사항을 언급하여야 하며, 외부 심사원 및 외부
전문가로 하여금 심사를 배정 받을 가능성이 있는 해당 조직과의 현재 혹은 과거의 관계에 대해 인증기관에
통보하도록 요구하여야 한다.
비고 이러한 계약에 의거하여 개인이나 다른 조직의 직원을 외부 심사원이나 기술전문가로 활용하기 위하여
개별적으로 계약하는 것은 외주처리에 해당하지 않는다.
7.4 인원에 대한 기록
인증기관은 인원의 자격사항, 교육훈련, 경험, 소속, 전문 자격, 적격성을 포함하여 인원에 대한 최신 기록을
유지하여야 한다. 이러한 인원에는 인증활동을 수행하는 인원 이외에 경영진 및 행정인원도 포함된다.
7.5 외주처리
7.5.1 인증기관은 외주처리(다른 기관에게 인증기관을 대신하여 인증활동의 일부를 실시하도록 위탁하는 것)가
발생할 수 있는 조건을 기술한 프로세스를 보유하여야 한다. 인증기관은 외주처리 된 서비스를 제공하는 각
기관과 기밀유지 및 이해상충을 포함한 관련 합의사항에 대하여 법적으로 구속력 있는 계약을 체결해야 한다.
7.5.2 인증의 승인, 거부 및 유지, 인증범위의 확대나 축소, 인증의 갱신, 정지나 복원, 또는 취소에 대한 결정은
외주처리 되어서는 안 된다.
7.5.3 인증기관은 다음 각 호를 준수해야 한다.
a) 타 기관에 외주처리한 모든 활동에 대한 책임을 져야 한다.
b) 외주처리 된 서비스를 제공하는 기관 및 이 기관이 활용하는 개인은 인증기관의 요구사항 뿐 아니라
적격성, 공평성, 기밀성을 포함한 이 인정기준의 해당 조항에도 적합함을 보장하여야 한다.
c) 외주처리 된 서비스를 제공하는 기관 및 이 기관이 활용하는 개인은 심사대상 조직과는 직접 혹은 기타
고용주를 통해서든 공평성이 저해될 수 있는 방식으로는 관련이 없음을 보장하여야 한다.
7.5.4 인증기관은 인증 활동을 위해 활용하는 모든 외주처리 기관을 승인하고 모니터링하는 프로세스를 갖추어야
하며, 인증활동을 수행하는 모든 인원의 적격성에 대한 기록이 유지됨을 보장하여야 한다.
비고 1 7.5.1 부터 7.5.4 에서 인증기관이 추가적인 자원과 전문지식을 제공하기 위하여 다른 조직의 직원
또는 인원을 활용하는 경우, 이러한 인원들은 인증기관의 경영시스템 하에서 개별 계약을 통해 업무를
수행하는 한 외주처리에 해당하지 않는다(7.3 참조).
비고 2 7.5.1 부터 7.5.4 에서 “외주처리(outsourcing)”와 “위탁계약(subcontracting)”은 동의어로 취급된다.
15 /46
8 정보 요구사항
8.1 공개 정보
8.1.1 인증기관은 업무를 수행하는 모든 지리상의 지역에서 다음의 정보를 유지(발행물, 전자 매체 또는 기타 방법을
통하여)하고 요청이 없어도 공개하여야 한다.
a) 심사 프로세스
b) 인증의 승인, 거부, 유지, 갱신, 정지, 복원, 취소, 또는 인증 범위의 확대나 축소에 대한 프로세스
c) 인증기관이 운영하는 경영시스템 유형과 인증스킴
d) 인증기관명과 인증마크나 로고의 사용
e) 정보 요청, 불만 및 이의제기를 처리하는 프로세스
f) 공평성에 대한 방침
8.1.2 인증기관은 요청 시 다음에 대한 정보를 제공하여야 한다.
a) 인증기관이 활동하는 지리상의 지역
b) 승인된 인증 현황
c) 인증된 특정 클라이언트의 이름, 관련 표준문서, 범위 및 지리상의 지역(도시 및 국가)
비고 1 예외적인 경우로써, 클라이언트의 요청에 의하여 특정 정보에 대한 접근을 제한할 수 있다(예:
보안상의 이유).
비고 2 인증기관은 또한 요청이 없어도 8.1.2 의 정보를 인터넷 홈페이지 등 스스로 선택한 방식으로 공개할
수 있다.
8.1.3 광고를 포함하여 인증기관이 클라이언트 또는 시장에 제공하는 정보는 정확하고 오해의 소지가 없어야 한다.
8.2 인증 문서
8.2.1 인증기관은 스스로 선택한 방식으로 인증된 클라이언트에게 인증문서를 제공하여야 한다.
8.2.2 인증문서에는 다음 사항을 표시하여야 한다.
a) 인증된 각 클라이언트의 명칭 및 지리적 위치(또는 복수사업장의 경우 본사 및 인증 범위에 속하는 모든
사업장의 지리적 위치)
b) 인증의 승인, 인증범위의 확대나 축소, 또는 인증 갱신의 유효일자(관련 인증결정일자보다 이전일 수 없음)
비고 인증기관은 인증문서의 만료 후 일정 기간 내에 다음을 전제로 인증문서의 기존(original)
인증일자를 유지할 수 있다.
― 현재 인증주기의 시작일과 만료일이 명확하게 기재되어 있다.
― 가장 최근의 인증주기 만료일자가 갱신 심사일자와 함께 기재되어 있다.
c) 인증 만료일자 또는 갱신주기에 따른 갱신 만기일자
d) 고유 식별번호
e) 인증된 클라이언트의 심사에 사용된 표준 및/또는 기준문서와 이들 문서의 제‧개정 상태(예: 발행일자 또는
개정번호)
f) 오해의 소지가 없거나 모호함이 없이, 각 사업장에 해당하는 활동유형, 제품 및 서비스에 대한 인증범위
KAB-R-MSCB 경영시스템 인증기관 요구사항 Issue 1
16 /46
g) 인증기관의 명칭, 주소 및 인증 마크; 오해의 소지가 없거나 명확하다면 기타의 마크(예: 인정심벌,
클라이언트의 로고)를 사용할 수 있다.
h) 인증에 사용된 표준 및/또는 기타 기준문서에서 요구하는 기타 정보
i) 인증문서를 개정 발행하는 경우, 이전의 효력이 상실된 문서와 개정된 문서를 구별하는 수단
8.3 인증에 대한 언급 및 마크의 사용
8.3.1 인증기관은 인증된 클라이언트에게 사용토록 허가한 모든 경영시스템 인증마크를 관리하는 규정을 갖추어야
한다. 이 규정은 무엇보다도 해당 인증기관으로의 추적성을 보장해야 한다. 무엇을 인증 받았으며 어떤
인증기관이 인증을 승인했는지에 관하여 마크 또는 첨부된 문구상에 모호한 점이 없어야 한다. 이 마크는 제품
또는 제품포장에 사용할 수 없으며, 기타 제품에 대한 적합성 표시로 해석될 수 있는 방식으로 사용해서는 안