福建新版认证规则丨最高管理者是谁？

在质量管理、环境管理、职业健康安全管理、信息安全管理、信息技术服务管理、能源管理等各类管理体系认证中，“最高管理者”是绕不开的核心角色——审核必查、责任重大，却也是很多企业最易混淆的环节。

新版认证规则进一步明确了最高管理者的认定标准和职责边界，很多企业疑惑：最高管理者到底可以是哪些人？管理手册、质量目标这类核心文件，必须由他亲自批准吗？

今天结合最新标准条款、全品类新版认证规则，一次性讲清，附权威引用依据，帮你避开认证误区，顺利通过审核。

01先明确：最高管理者的权威定义

无论是ISO系列标准，还是国家认监委（CNCA）的各类新版认证规则，对最高管理者的定义始终统一，核心看“实际决策权”，而非头衔高低。

核心定义

最高管理者：在最高层指挥和控制组织（或体系覆盖部分）的一个人或一组人。

权威引用依据

质量管理体系 基础和术语（ISO 9000:2015）3.1.1条款：明确最高管理者定义，同时备注：若管理体系仅覆盖组织一部分，最高管理者指指挥和控制该部分的一个人或一组人，且拥有授权和调配资源的权力。

质量管理体系 要求（ISO 9001:2015）5.1.1条款：补充最高管理者需证实对体系的领导作用和承诺，对体系有效性承担最终责任。

环境管理体系 要求及使用指南（ISO 14001:2015）5.1.1条款：与质量管理体系要求一致，明确最高管理者需对环境管理体系有效性负责，确保方针目标与组织战略一致。

职业健康安全管理体系 要求及使用指南（ISO 45001:2018）5.1.1条款：强调最高管理者需展现对职业健康安全的承诺，制定方针目标、提供资源，推动全员参与。

信息安全管理体系 要求（ISO 27001:2022）5.1.1条款：明确最高管理者需建立信息安全方针和目标，确保资源供给，推动体系融入业务过程。

信息技术服务管理体系 要求（ISO/IEC 20000-1:2018）5.1.1条款：明确最高管理者需对信息技术服务管理体系的有效性负责，展现领导作用和承诺，确保体系与组织战略一致，推动全员参与。

能源管理体系 要求及使用指南（ISO 50001:2018）5.1.1条款：要求最高管理者展现对能源管理的领导作用和承诺，制定能源方针、目标，推动能源绩效持续改进。

新版认证规则（质量管理体系：CNCA-QMS-01:2025、环境管理体系：CNCA-EMS-01:2026、职业健康安全管理体系：CNCA-OHSMS-01:2026、信息安全管理体系：CNCA-ISMS-01:2026、信息技术服务管理体系：CNCA-ITSMS-01:2026、能源管理体系：CNCA-EMS-02:2026）：补充规定：最高管理者是认证委托人申请认证范围活动的主要负责人或决策者，需与认证范围完全匹配。

关键提醒

新版规则严禁“名义最高管理者”：若审核发现最高管理者不熟悉方针目标、未实际参与体系推动，将直接判定严重不符合，不予通过认证。

02 最高管理者可以是这些人

认证审核中，最高管理者的认定不看头衔（董事长、总经理、厂长等），只看“是否拥有最终决策权、能否调配资源、对体系有效性最终负责”，结合组织类型，常见人选如下，均符合各类新版认证规则要求：

1. 独立法人企业

常见人选：董事长、总经理、厂长

依据：CNCA各类新版认证规则要求，体系覆盖全公司时，最高管理者必须是对全公司运营和体系有效性最终负责的人，需能审批方针目标、调配资源。

2. 集团下属事业部/子公司

常见人选：事业部总经理、子公司负责人

依据：质量管理体系 基础和术语（ISO 9000:2015）3.1.1注2、各类新版认证规则：若体系仅覆盖事业部/子公司，无需以集团总部法人为最高管理者，以该业务单元的最高决策者为准即可。

3. 合资企业

常见人选：合资公司首席执行官、执行董事

依据：各类新版认证规则：需能独立决策合资公司体系相关事务，对合资公司的体系有效性承担最终责任，无需经过母公司层层审批。

4. 非营利组织

常见人选：理事长、秘书长

依据：ISO各类管理体系通用要求：以组织章程规定的最高决策人为准，需能批准方针目标、调配组织资源推动体系运行。

5. 项目型组织

常见人选：项目总监、项目经理

依据：质量管理体系 基础和术语（ISO 9000:2015）3.1.1注2：若体系仅覆盖特定项目，项目最高负责人即为最高管理者，需能调配项目资源、对项目的质量/安全/信息安全等负责。

6. 团队形式（扁平化组织）

常见人选：管理层集体（如管理委员会、核心管理团队）

依据：质量管理体系 基础和术语（ISO 9000:2015）3.1.1定义：允许最高管理者为一组人，但需明确分工，技术能力覆盖体系全领域，且有书面决策机制（如会议纪要、决策签字流程），审核时需提供相关证据。

03 核心疑问：文件必须最高管理者批准吗？

这是认证中最常见的误区，答案是：分文件类型，核心文件必须由最高管理者批准，部分文件可授权批准，具体结合各类标准和新版认证规则，整理如下：

1. 必须由最高管理者亲自批准

体系方针 依据：

- 质量管理体系 要求（ISO 9001:2015）5.2条款：质量方针由最高管理者制定并批准；

- 环境管理体系 要求及使用指南（ISO 14001:2015）5.2条款：环境方针由最高管理者制定、实施并保持；

- 职业健康安全管理体系 要求及使用指南（ISO 45001:2018）5.2条款：职业健康安全方针需经最高管理者批准；

- 信息安全管理体系 要求（ISO 27001:2022）5.2条款：信息安全方针由最高管理者建立并批准；

- 信息技术服务管理体系 要求（ISO/IEC 20000-1:2018）5.2条款：信息技术服务方针由最高管理者制定并批准，确保符合组织战略和服务目标；

- 能源管理体系 要求及使用指南（ISO 50001:2018）5.2条款：能源方针由最高管理者制定并批准；

- 各类新版认证规则：审核必查最高管理者对方针内容的理解与宣贯情况，无最高管理者批准记录，直接判定不符合。

2. 最终批准必须是最高管理者

体系目标 依据：

- 质量管理体系 要求（ISO 9001:2015）6.2条款：最高管理者负责确保制定与战略一致的质量目标；

- 信息安全管理体系 要求（ISO 27001:2022）6.2条款：信息安全目标需与方针一致，由最高管理者确保制定与批准；         - 信息技术服务管理体系 要求（ISO/IEC 20000-1:2018）6.2条款：最高管理者负责确保信息技术服务目标的制定与批准，与方针保持一致，贴合服务需求；         - 能源管理体系 要求及使用指南（ISO 50001:2018）6.2条款：最高管理者负责确保能源目标的制定与批准；         - 各类新版认证规则：需提供最高管理者对目标的审批记录，可授权分管领导制定，但最终批准权不可授权。

3. 可授权批准

管理手册 依据：各类管理体系标准均未强制要求“最高管理者亲自批准手册”，但需体现最高管理者对体系的承诺。实操中，可授权管理者代表或体系负责人编制并批准，但最高管理者必须签署体系发布令，确认手册内容符合组织战略和标准要求，审核时需提供发布令记录。

4. 完全可授权

程序文件、作业指导书、记录表格等

依据：质量管理体系 要求（ISO 9001:2015）7.5条款、信息安全管理体系 要求（ISO 27001:2022）7.5条款、信息技术服务管理体系 要求（ISO/IEC 20000-1:2018）4.2.4条款等各类体系文件控制要求：文件控制程序可明确授权分管领导、部门负责人批准，无需最高管理者逐一审批，审核时只需确认审批流程符合文件控制要求即可。

04 新版认证审核必查要点

结合2026年正式实施的各类新版认证规则，最高管理者相关的审核要点如下，缺一不可：

最高管理者需参加首末次会议，特殊情况需书面授权高级管理层成员参会，并说明理由，否则审核终止；

审核组将通过面对面访谈，核查最高管理者对体系方针、目标、资源保障、改进方向的熟悉程度，不熟悉者直接不予通过；

需提供最高管理者审批方针、目标的记录，以及参与管理评审、资源决策的证据（如会议纪要、预算审批单）；

若体系覆盖组织部分区域，需提供最高管理者对体系范围、边界的确认记录，确保最高管理者身份与认证范围匹配；

05 常见误区澄清

误区1：“老板太忙，让副总当最高管理者”

正确做法：副总可作为授权代表参会，但最高管理者身份仍归老板，且老板需对体系最终负责；老板需接受审核访谈，提供决策证据。

误区2：“集团统一认证，子公司用集团最高管理者”       

正确做法：子公司单独认证时，必须以子公司负责人为最高管理者，与集团最高管理者区分，审核时需提供子公司最高管理者的任命文件。

误区3：“手册让体系专员批准就行”

正确做法：手册需体现最高管理者承诺，至少要有最高管理者签署的发布文件，审核需查最高管理者对体系范围、边界的确认记录。

误区4：“目标制定后就不管了”

正确做法：最高管理者需定期评审目标达成情况，推动改进，新版规则要求提供最高管理者参与管理评审的证据。

实操建议

结合上述条款和各类新版认证规则，给大家3个实操建议，轻松应对审核：

明确身份：在体系文件中清晰界定最高管理者，附上任命文件，明确其职责权限（参考质量管理体系 基础和术语（ISO 9000:2015）3.1.1要求）；

留存证据：整理方针、目标的审批记录、首末次会议签到表、管理评审纪要、资源决策文件，确保每一份都有最高管理者签字或确认；

实际参与：最高管理者亲自宣贯方针，定期检查目标达成情况，解决体系运行中的重大问题，避免“只签字、不参与”。

总结

最高管理者的核心是“实际决策权”，而非头衔；核心文件（方针、目标）必须由其最终批准，其他文件可按授权流程审批。

参考文件汇总：

1. 质量管理体系 基础和术语（ISO 9000:2015）

2. 质量管理体系 要求（ISO 9001:2015）

3. 环境管理体系 要求及使用指南（ISO 14001:2015）

4. 职业健康安全管理体系 要求及使用指南（ISO 45001:2018）

5. 信息安全管理体系 要求（ISO 27001:2022）

6. 信息技术服务管理体系 要求（ISO/IEC 20000-1:2018）

7. 能源管理体系 要求及使用指南（ISO 50001:2018）

8. 质量管理体系认证规则（CNCA-QMS-01:2025）

9. 环境管理体系认证规则（CNCA-EMS-01:2026）

10. 职业健康安全管理体系认证规则（CNCA-OHSMS-01:2026）      

11. 信息安全管理体系认证规则（CNCA-ISMS-01:2026）

12. 信息技术服务管理体系认证规则（CNCA-ITSMS-01:2026）

13. 能源管理体系认证规则（CNCA-EMS-02:2026）