在质量管理、环境管理、职业健康安全管理、信息安全管理、信息技术服务管理、能源管理等各类管理体系认证中,“最高管理者”是绕不开的核心角色——审核必查、责任重大,却也是很多企业最易混淆的环节。
新版认证规则进一步明确了最高管理者的认定标准和职责边界,很多企业疑惑:最高管理者到底可以是哪些人?管理手册、质量目标这类核心文件,必须由他亲自批准吗?
今天结合最新标准条款、全品类新版认证规则,一次性讲清,附权威引用依据,帮你避开认证误区,顺利通过审核。
无论是ISO系列标准,还是国家认监委(CNCA)的各类新版认证规则,对最高管理者的定义始终统一,核心看“实际决策权”,而非头衔高低。
核心定义
最高管理者:在最高层指挥和控制组织(或体系覆盖部分)的一个人或一组人。
权威引用依据
质量管理体系 基础和术语(ISO 9000:2015)3.1.1条款:明确最高管理者定义,同时备注:若管理体系仅覆盖组织一部分,最高管理者指指挥和控制该部分的一个人或一组人,且拥有授权和调配资源的权力。
质量管理体系 要求(ISO 9001:2015)5.1.1条款:补充最高管理者需证实对体系的领导作用和承诺,对体系有效性承担最终责任。
环境管理体系 要求及使用指南(ISO 14001:2015)5.1.1条款:与质量管理体系要求一致,明确最高管理者需对环境管理体系有效性负责,确保方针目标与组织战略一致。
职业健康安全管理体系 要求及使用指南(ISO 45001:2018)5.1.1条款:强调最高管理者需展现对职业健康安全的承诺,制定方针目标、提供资源,推动全员参与。
信息安全管理体系 要求(ISO 27001:2022)5.1.1条款:明确最高管理者需建立信息安全方针和目标,确保资源供给,推动体系融入业务过程。
信息技术服务管理体系 要求(ISO/IEC 20000-1:2018)5.1.1条款:明确最高管理者需对信息技术服务管理体系的有效性负责,展现领导作用和承诺,确保体系与组织战略一致,推动全员参与。
能源管理体系 要求及使用指南(ISO 50001:2018)5.1.1条款:要求最高管理者展现对能源管理的领导作用和承诺,制定能源方针、目标,推动能源绩效持续改进。
新版认证规则(质量管理体系:CNCA-QMS-01:2025、环境管理体系:CNCA-EMS-01:2026、职业健康安全管理体系:CNCA-OHSMS-01:2026、信息安全管理体系:CNCA-ISMS-01:2026、信息技术服务管理体系:CNCA-ITSMS-01:2026、能源管理体系:CNCA-EMS-02:2026):补充规定:最高管理者是认证委托人申请认证范围活动的主要负责人或决策者,需与认证范围完全匹配。
关键提醒
新版规则严禁“名义最高管理者”:若审核发现最高管理者不熟悉方针目标、未实际参与体系推动,将直接判定严重不符合,不予通过认证。
认证审核中,最高管理者的认定不看头衔(董事长、总经理、厂长等),只看“是否拥有最终决策权、能否调配资源、对体系有效性最终负责”,结合组织类型,常见人选如下,均符合各类新版认证规则要求:
1. 独立法人企业
常见人选:董事长、总经理、厂长
依据:CNCA各类新版认证规则要求,体系覆盖全公司时,最高管理者必须是对全公司运营和体系有效性最终负责的人,需能审批方针目标、调配资源。
2. 集团下属事业部/子公司
常见人选:事业部总经理、子公司负责人
依据:质量管理体系 基础和术语(ISO 9000:2015)3.1.1注2、各类新版认证规则:若体系仅覆盖事业部/子公司,无需以集团总部法人为最高管理者,以该业务单元的最高决策者为准即可。
3. 合资企业
常见人选:合资公司首席执行官、执行董事
依据:各类新版认证规则:需能独立决策合资公司体系相关事务,对合资公司的体系有效性承担最终责任,无需经过母公司层层审批。
4. 非营利组织
常见人选:理事长、秘书长
依据:ISO各类管理体系通用要求:以组织章程规定的最高决策人为准,需能批准方针目标、调配组织资源推动体系运行。
5. 项目型组织
常见人选:项目总监、项目经理
依据:质量管理体系 基础和术语(ISO 9000:2015)3.1.1注2:若体系仅覆盖特定项目,项目最高负责人即为最高管理者,需能调配项目资源、对项目的质量/安全/信息安全等负责。
6. 团队形式(扁平化组织)
常见人选:管理层集体(如管理委员会、核心管理团队)
依据:质量管理体系 基础和术语(ISO 9000:2015)3.1.1定义:允许最高管理者为一组人,但需明确分工,技术能力覆盖体系全领域,且有书面决策机制(如会议纪要、决策签字流程),审核时需提供相关证据。
这是认证中最常见的误区,答案是:分文件类型,核心文件必须由最高管理者批准,部分文件可授权批准,具体结合各类标准和新版认证规则,整理如下:
1. 必须由最高管理者亲自批准
体系方针 依据:
- 质量管理体系 要求(ISO 9001:2015)5.2条款:质量方针由最高管理者制定并批准;
- 环境管理体系 要求及使用指南(ISO 14001:2015)5.2条款:环境方针由最高管理者制定、实施并保持;
- 职业健康安全管理体系 要求及使用指南(ISO 45001:2018)5.2条款:职业健康安全方针需经最高管理者批准;
- 信息安全管理体系 要求(ISO 27001:2022)5.2条款:信息安全方针由最高管理者建立并批准;
- 信息技术服务管理体系 要求(ISO/IEC 20000-1:2018)5.2条款:信息技术服务方针由最高管理者制定并批准,确保符合组织战略和服务目标;
- 能源管理体系 要求及使用指南(ISO 50001:2018)5.2条款:能源方针由最高管理者制定并批准;
- 各类新版认证规则:审核必查最高管理者对方针内容的理解与宣贯情况,无最高管理者批准记录,直接判定不符合。
2. 最终批准必须是最高管理者
体系目标 依据:
- 质量管理体系 要求(ISO 9001:2015)6.2条款:最高管理者负责确保制定与战略一致的质量目标;
- 信息安全管理体系 要求(ISO 27001:2022)6.2条款:信息安全目标需与方针一致,由最高管理者确保制定与批准; - 信息技术服务管理体系 要求(ISO/IEC 20000-1:2018)6.2条款:最高管理者负责确保信息技术服务目标的制定与批准,与方针保持一致,贴合服务需求; - 能源管理体系 要求及使用指南(ISO 50001:2018)6.2条款:最高管理者负责确保能源目标的制定与批准; - 各类新版认证规则:需提供最高管理者对目标的审批记录,可授权分管领导制定,但最终批准权不可授权。
3. 可授权批准
管理手册 依据:各类管理体系标准均未强制要求“最高管理者亲自批准手册”,但需体现最高管理者对体系的承诺。实操中,可授权管理者代表或体系负责人编制并批准,但最高管理者必须签署体系发布令,确认手册内容符合组织战略和标准要求,审核时需提供发布令记录。
4. 完全可授权
程序文件、作业指导书、记录表格等
依据:质量管理体系 要求(ISO 9001:2015)7.5条款、信息安全管理体系 要求(ISO 27001:2022)7.5条款、信息技术服务管理体系 要求(ISO/IEC 20000-1:2018)4.2.4条款等各类体系文件控制要求:文件控制程序可明确授权分管领导、部门负责人批准,无需最高管理者逐一审批,审核时只需确认审批流程符合文件控制要求即可。
结合2026年正式实施的各类新版认证规则,最高管理者相关的审核要点如下,缺一不可:
最高管理者需参加首末次会议,特殊情况需书面授权高级管理层成员参会,并说明理由,否则审核终止;
审核组将通过面对面访谈,核查最高管理者对体系方针、目标、资源保障、改进方向的熟悉程度,不熟悉者直接不予通过;
需提供最高管理者审批方针、目标的记录,以及参与管理评审、资源决策的证据(如会议纪要、预算审批单);
若体系覆盖组织部分区域,需提供最高管理者对体系范围、边界的确认记录,确保最高管理者身份与认证范围匹配;
误区1:“老板太忙,让副总当最高管理者”
正确做法:副总可作为授权代表参会,但最高管理者身份仍归老板,且老板需对体系最终负责;老板需接受审核访谈,提供决策证据。
误区2:“集团统一认证,子公司用集团最高管理者”
正确做法:子公司单独认证时,必须以子公司负责人为最高管理者,与集团最高管理者区分,审核时需提供子公司最高管理者的任命文件。
误区3:“手册让体系专员批准就行”
正确做法:手册需体现最高管理者承诺,至少要有最高管理者签署的发布文件,审核需查最高管理者对体系范围、边界的确认记录。
误区4:“目标制定后就不管了”
正确做法:最高管理者需定期评审目标达成情况,推动改进,新版规则要求提供最高管理者参与管理评审的证据。
结合上述条款和各类新版认证规则,给大家3个实操建议,轻松应对审核:
明确身份:在体系文件中清晰界定最高管理者,附上任命文件,明确其职责权限(参考质量管理体系 基础和术语(ISO 9000:2015)3.1.1要求);
留存证据:整理方针、目标的审批记录、首末次会议签到表、管理评审纪要、资源决策文件,确保每一份都有最高管理者签字或确认;
实际参与:最高管理者亲自宣贯方针,定期检查目标达成情况,解决体系运行中的重大问题,避免“只签字、不参与”。
最高管理者的核心是“实际决策权”,而非头衔;核心文件(方针、目标)必须由其最终批准,其他文件可按授权流程审批。
参考文件汇总:
1. 质量管理体系 基础和术语(ISO 9000:2015)
2. 质量管理体系 要求(ISO 9001:2015)
3. 环境管理体系 要求及使用指南(ISO 14001:2015)
4. 职业健康安全管理体系 要求及使用指南(ISO 45001:2018)
5. 信息安全管理体系 要求(ISO 27001:2022)
6. 信息技术服务管理体系 要求(ISO/IEC 20000-1:2018)
7. 能源管理体系 要求及使用指南(ISO 50001:2018)
8. 质量管理体系认证规则(CNCA-QMS-01:2025)
9. 环境管理体系认证规则(CNCA-EMS-01:2026)
10. 职业健康安全管理体系认证规则(CNCA-OHSMS-01:2026)
11. 信息安全管理体系认证规则(CNCA-ISMS-01:2026)
12. 信息技术服务管理体系认证规则(CNCA-ITSMS-01:2026)
13. 能源管理体系认证规则(CNCA-EMS-02:2026)
专业为全国企事业单位提供国家标准、行业标准、地方标准、团体标准的立项起草。