新版认证规则下，如何准确认定“最高管理者”？

浏览次数13 日期：2026-06-25 09:08:03

在管理体系认证实践中，“最高管理者”始终是审核组重点关注的对象之一。无论是质量管理体系、环境管理体系、职业健康安全管理体系，还是信息安全、信息技术服务和能源管理体系，最高管理者不仅承担体系运行的最终责任，也是新版认证规则中被进一步明确的关键角色。

但在实际工作中，企业对此仍存在不少疑问。例如：

最高管理者到底应当由谁担任？

头衔高的人就一定是最高管理者吗？

管理手册、方针、目标等文件，是否都必须由最高管理者亲自批准？

如果最高管理者只是“挂名”，会不会影响认证结果？

本文结合相关ISO标准条款及新版认证规则，对最高管理者的定义、适用情形、文件批准权限和审核关注点进行系统梳理，帮助企业更准确理解要求，降低审核风险。

PART.01

最高管理者的认定，关键在“实际权责”，不在“职位名称”

关于“最高管理者”的定义，各类管理体系标准的原则是一致的。判断一个人是否属于最高管理者，不应仅看其职务名称，而应重点看其是否具备以下三个特征：

1.对认证范围内的活动拥有最终决策权

2.能够调配并提供体系运行所需资源

3.对管理体系的有效性承担最终责任

标准中的基本定义

根据 ISO 9000:2015《质量管理体系基础和术语》3.1.1，最高管理者是指：

在最高层指挥和控制组织的一个人或一组人。

同时，该条款的注释进一步说明：如果管理体系仅覆盖组织的一部分，则最高管理者是指挥和控制该部分的一个人或一组人，并且应具备相应授权和资源调配权。

这一点非常重要。也就是说，最高管理者的认定应与体系覆盖范围一致，而不是机械地对应企业法定代表人或集团总部最高负责人。

各体系标准对最高管理者职责的共同要求

虽然不同管理体系关注重点不同，但相关标准均在 5.1.1条款 中明确要求最高管理者发挥领导作用并承担责任，包括：

ISO 9001:2015 5.1.1：要求最高管理者证实其对质量管理体系的领导作用和承诺，并对体系有效性负责。

ISO 14001:2015 5.1.1：要求最高管理者对环境管理体系的有效性负责，并确保体系方针和目标与组织战略方向保持一致。

ISO 45001:2018 5.1.1：要求最高管理者对职业健康安全管理体系作出承诺，提供资源并推动相关人员参与。

ISO 27001:2022 5.1.1：要求最高管理者建立信息安全方针和目标，确保资源到位，并推动体系融入组织业务过程。

ISO/IEC 20000-1:2018 5.1.1：要求最高管理者对信息技术服务管理体系的有效性负责，体现领导作用和承诺，并确保体系与组织战略方向一致。

ISO 50001:2018 5.1.1：要求最高管理者展现对能源管理的领导作用和承诺，制定能源方针、目标，并推动能源绩效持续改进。

新版认证规则进一步提出匹配性要求

除标准本身外，新版认证规则也对最高管理者的认定提出了更明确的要求。根据以下规则：

CNCA-QMS-01:2025

CNCA-EMS-01:2026

CNCA-OHSMS-01:2026

CNCA-ISMS-01:2026

CNCA-ITSMS-01:2026

CNCA-EMS-02:2026

最高管理者应当是认证委托人申请认证范围活动的主要负责人或决策者，并且其身份必须与认证范围完全匹配。

这意味着，企业不能再简单以“名义负责人”应对审核。如果审核中发现所谓最高管理者对方针、目标、资源安排、管理评审等事项不了解，或未实际参与体系推进，极有可能被判定为严重不符合。

PART.02

最高管理者通常可以由哪些人担任？

在认证审核中，最高管理者的判断原则始终是：谁对体系范围内的业务拥有最终责任，谁就是最高管理者。结合不同组织形式，常见情形如下。

独立法人企业

对于体系覆盖整个企业的情形，最高管理者通常为董事长、总经理、厂长等对公司整体运营和资源配置承担最终责任的人。这类情形与新版认证规则的要求是一致的，即由对认证范围活动具有最终决策权的人担任。

集团下属事业部或子公司

如果认证范围仅限于集团中的某一事业部或子公司，则无需由集团总部最高负责人担任最高管理者。根据 ISO 9000:2015 3.1.1 注释的原则，只要该业务单元负责人能够指挥和控制体系范围内活动，并具备资源调配权，即可认定为最高管理者。

因此，事业部总经理、子公司负责人通常可以作为该范围内的最高管理者。

合资企业

在合资公司场景中，最高管理者应是能够独立决定该公司体系运行事项，并对体系有效性承担最终责任的人，例如首席执行官、执行董事等。关键仍然不是职位名称，而是实际管理权限。

非营利组织

对于协会、基金会、医院、学校等非营利组织，最高管理者可依据组织章程、治理结构进行认定，通常为理事长、秘书长或其他承担最高决策责任的人。判断标准仍然是其能否批准方针目标、配置资源并推动体系运行。

项目型组织

若体系仅覆盖某一项目，则项目总监、项目经理等项目最高负责人也可能成为最高管理者。该判断同样可由 ISO 9000:2015 3.1.1 中关于“体系覆盖组织一部分”的原则进行支撑。

管理团队形式

标准也允许最高管理者不是单一自然人，而是一组人。根据 ISO 9000:2015 3.1.1 的定义，最高管理者可以是一个管理层团队。但前提是职责分工清晰、权限边界明确，并且具备可验证的决策机制，例如会议纪要、书面审批流程、职责授权文件等。审核时，认证机构通常会要求企业提供相应客观证据。

这是企业最常见的误区之一。实际要求并不是“所有文件都必须由最高管理者签字”，而是应根据文件性质区分。

方针类文件：必须体现最高管理者批准

各类管理体系标准均明确要求由最高管理者建立、批准或保持体系方针。例如：

ISO 9001:2015 5.2：质量方针应由最高管理者制定并批准。
ISO 14001:2015 5.2：环境方针应由最高管理者建立、实施并保持。
ISO 45001:2018 5.2：职业健康安全方针需经最高管理者批准。
ISO 27001:2022 5.2：信息安全方针应由最高管理者建立并批准。
ISO/IEC 20000-1:2018 5.2：信息技术服务方针应由最高管理者制定并批准。
ISO 50001:2018 5.2：能源方针应由最高管理者制定并批准。

同时，新版认证规则也强化了审核要求：审核组不仅会查看是否有批准记录，还会核查最高管理者是否真正理解方针内容，并参与宣贯实施。如果没有相应批准记录，或者最高管理者对方针内容不熟悉，通常会构成不符合。

目标类文件：可组织制定，但最终批准权不能下放

对于体系目标，各标准虽表述略有差异，但都要求最高管理者确保目标的建立与实施。例如：

ISO 9001:2015 6.2：要求组织在相关职能和层次上建立质量目标，最高管理者需确保其与战略方向一致。
ISO 27001:2022 6.2：要求建立与信息安全方针一致的信息安全目标，并进行规划。
ISO/IEC 20000-1:2018 6.2：要求服务管理目标与服务需求、方针及组织方向保持一致。
ISO 50001:2018 6.2：要求建立能源目标并推动实现。

结合新版认证规则的审核实践，目标可以由相关职能部门或分管领导起草和分解，但最终批准责任仍应由最高管理者承担，企业需能提供相应审批记录。

管理手册：不一定要求亲自批准，但必须体现其承诺

现行管理体系标准并未统一强制要求“管理手册必须由最高管理者逐页审批”。但管理手册作为体系框架性文件，应体现最高管理者对体系的认可和承诺。

因此，实践中可以由管理者代表、体系负责人或相关部门编制并完成内部审批，但建议由最高管理者签发发布令、批准令或体系发布文件，以证明其已确认体系内容符合组织战略和适用标准要求。审核时，这类发布记录通常是重要证据。

程序文件、作业指导书、记录表格等：可按授权程序审批

对于程序文件、作业指导书、表单、记录模板等受控文件，一般无需由最高管理者逐一审批。企业可根据文件控制程序明确由分管负责人、部门负责人或文件管理员按授权进行审批。

其主要依据包括：

ISO 9001:2015 7.5
ISO 27001:2022 7.5
ISO/IEC 20000-1:2018 4.2.4

审核关注的重点不是“是否由最高管理者亲自签字”，而是文件控制程序是否清楚、审批权限是否明确、受控状态是否有效。

PART.04

新版认证审核中，最高管理者通常会被重点核查哪些内容？

结合新版认证规则和审核实践，最高管理者相关审核通常至少会关注以下几个方面：

是否参加首末次会议

新版规则下，最高管理者原则上应参加首末次会议。如因特殊原因无法出席，也通常需要书面授权高级管理层成员代表参加，并说明原因。若企业无法合理安排，审核进程可能受到影响。

是否具备基本认知和履职能力

审核组通常会通过访谈方式，核查最高管理者是否了解以下内容：

管理方针
体系目标
资源保障情况
主要风险与改进方向
管理评审结论
与认证范围相关的边界和职责

如果最高管理者对这些问题缺乏基本了解，仅停留在“签过字”的层面，往往会被认定为未有效履责。

是否有足够证据支持其履职

企业通常应准备并保留下列证据：

方针批准记录
目标批准记录
首末次会议签到或授权材料
管理评审记录
资源配置或预算审批记录
范围确认记录

如果体系只覆盖组织的一部分，还应能证明该最高管理者与该认证范围相匹配。

PART.05

企业常见误区

误区一：老板太忙，可以直接让副总代替

副总或其他高层可以接受授权参与部分活动，但这并不意味着其自然成为最高管理者。若认证范围覆盖整个组织，最高管理者仍应是对该范围承担最终责任的人。审核时，仅安排“代答”而最高管理者完全不参与，风险很高。

误区二：集团统一管理，子公司也可以沿用集团最高负责人

若子公司单独申请认证，则最高管理者应与该子公司的认证范围相匹配。集团最高负责人并不能自动替代子公司最高管理者。企业通常应提供相应任命或职责说明文件。

误区三：管理手册由体系专员批准即可

管理手册虽可由体系人员负责编写和日常维护，但至少应体现最高管理者对体系的认可和授权，例如签署发布令、审批体系发布文件等。否则容易被质疑最高管理者缺乏参与。

误区四：目标制定后交给各部门执行即可

目标不是“签发后即结束”的事项。最高管理者还应定期关注目标完成情况，通过管理评审等机制推动改进。新版规则对这类参与证据的要求明显增强。

PART.06

企业实操建议

为避免在审核中因最高管理者问题被开具不符合，建议企业重点做好以下三项工作：

明确最高管理者身份

在体系文件、组织任命文件或职责说明中清楚界定最高管理者，并说明其权限、职责和对应认证范围。此做法与 ISO 9000:2015 3.1.1 的要求是一致的。

提前准备证据链

将方针批准、目标批准、首末次会议参与、管理评审、资源投入、范围确认等记录系统整理，形成完整证据链，避免审核时临时拼凑。

确保真实参与，不做形式应对

最高管理者应真实参与体系运行，包括宣贯方针、批准目标、参与管理评审、推动资源投入和解决重大问题。相比“签字齐全”，审核更关注“是否真正履职”。

结语

从新版认证规则和相关标准条款来看，最高管理者的核心不在于头衔，而在于是否真正拥有对认证范围内活动的决策权、资源支配权和最终责任。

对于体系运行而言，最高管理者不仅应批准关键文件，更应通过实际参与体现对体系的领导作用和承诺。企业若能在角色认定、文件批准、证据保留和实际参与四个方面提前做好准备，通常更有利于顺利通过认证审核。

上一篇：下一篇：认监委再发文：开始查了！这26条重点查，认证新规！