◎文 《法人》杂志全媒体记者 李辽

4月，上海市市场监管局发布多个违法案例，第一案就剑指认证行业——国宇（上海）认证服务有限公司因超出批准范围出具服务类认证证书236张，在未开展现场审核、远程审核的情况下，向企业客户出具虚假认证，被上海市市场监管局撤销《认证机构批准书》，罚款20万元。

这样的案例在认证行业时有发生。2023年，国家市场监管总局联合公安部共查办严打网络售卖虚假认证证书和从事虚假认证活动等违法违规行为822起，立案处罚531件，累计罚没款金额达936.55万元。

伴随着市场需求的快速增加，诸多机构涌入认证行业，虚假认证、违规操作、利益输送等不合规行为也随之而来，极大损害了认证行业的公信力，为营商环境埋下了隐患。

无标机构大量存在

曾几何时，ISO 9001这个符号在国人眼中是一个既神秘又神圣的存在，只有跨国公司、行业巨头才配拥有，对于普通企业来说则遥不可及。

▲CFP

随着国际贸易的活跃和法律法规的推动，中国的认证行业在几十年间迅猛发展，中国已经成为世界上发放认证证书最多的国家，不仅ISO的认证遍地开花，企业对其他认证的需求也逐渐增多。

“目前认证市场里最乱的就是体系认证。”1998年进入认证行业工作的李浩（化名）向《法人》记者抱怨，“这几年认证机构数量疯涨，行业环境错综复杂，让我们这些老牌正规认证机构很难做。”

2022年8月，认证机构资质审批条件放宽，即只要向国家认监委申报并满足基本要求，获得批准后，就可以成立认证机构。记者在国家市场监管总局官网提供的“全国认证认可信息公共服务平台”上查询到，目前全国被批准的合法认证机构数量为1230家。

值得注意的是，在合法认证机构目录中，只有267家机构名字旁边带有“CNAS”标识。这里的CNAS指中国合格评定国家认可委员会（下称“国家认可委”），机构一旦获得CNAS认可，就相当于其开具的认证证书有了国家认可委的背书。据了解，在认证圈内，获得CNAS认可的机构被称为“有标机构”，其他则被称为“无标机构”。

李浩向记者介绍，获得CNAS认可是自愿的。“一些机构不愿参与CNAS认可活动，一是因为机构成立时间短，各方面资源有限，不具备获得认可的能力和条件，二是不带‘CNAS’标可以规避国家认可委监管。另外，获得CNAS认可每年需要缴纳申请费、评审费、年金和能力验证费等，省下这笔钱可以降低成本。”

企业对机构获得“认可”的认知程度也不够。“尽管CNAS认可活动从上个世纪90年代便已开展，但有一些接触了多年的企业最近才开始询问我们有没有CNAS标。”李浩透露，企业更不了解的是，“CNAS的认可是有其范围的，有的机构只是在某一个认证范围获得了认可，却悄悄开展其他范围的认证活动，就像是有人拿了驾照C本，只能驾驶小汽车，却对外说自己可以开货车一样。”

目前，无标机构大行其道，且针对这类机构的监管手段相对单一，监管力度相对较小，“处罚手段只限于行业禁入和罚款，而罚款只针对发现问题的项目。有些机构出了问题直接就跑路了。”CNAS认证机构专门委员会第三、四、五届（本届）委员张乐告诉记者，“种种原因让一些机构认为，不认可比认可好，可以规避监管。于是，乱象便相继出现。”

低价竞争扰乱市场

自2015年起，全国市场监管部门对认证机构每年开展“双随机、一公开”检查（指随机抽取检查对象，随机选派执法检查人员，抽查情况及查处结果及时向社会公开）。在2022年的检查中，有两家认证机构存在严重问题：上海泽履认证服务有限公司的审核员未参加多个远程审核项目，未按照审核计划实施远程审核，伪造认证审核档案，篡改审核组不推荐通过认证的结论并颁发认证证书；北京中证纵横认证有限公司则统一给审核员注册QQ号，安排他人冒名顶替7名认证人员并实施远程审核，伪造审核资料，共涉及292家企业、352张证书。另外，存在较严重问题的有10家，存在一般问题的有24家。

机构这么做，无非为了降低运营成本，打“价格战”，争取更多客户。张乐介绍，“通常认证机构是按照审核员的工作量收费的，有些无标机构乱来，有时候价差能到50倍。”

“通常我们完成一个认证项目，需要在企业现场工作10到30天，而有的无标机构随便派一个审核员过去工作两三天就完事，也有的审核员压根儿不到现场。”李浩向记者表示，做一个最小规模企业的认证证书，传统认证机构的成本在8000元以上，但一些无标机构可以做到2000元以下，这种恶性低价竞争对有标机构冲击极大。

“有些机构直接以500元左右的价格‘卖证’，且不需要支付审核人员劳务费用，导致认证全过程失控。”张乐称，“这种‘证书’虽然没有含金量，但是有一定市场。有些企业为了中标一些很急的项目，需要短期内获得证书，就只能买证。”

采访中，一位不愿具名的机械设备企业工作人员向记者表示，“我们参与过一家建筑施工企业的招投标，甲方在招标文件里写明投标方需要获得某个认证，结果我们查询到，全国只有一家认证机构能做，而且这个认证与我们投标的业务一点关系都没有。而这种认证往往很贵，要好几万元，为了拿项目，我们只能硬着头皮掏钱。”他苦笑道，“这种认证就像是甲方为认证机构量身定制的一样。”

王敏（化名）是一家咨询机构的负责人，她表示，服务过的建筑材料企业也遭遇过这个问题，“甲方与认证机构进行捆绑招标，这肯定是不合规的招投标行为”。

近两年，合规管理体系认证作为一种新兴的认证项目十分火爆。王敏认为，合规管理体系认证的广度、深度和难度都超过了质量体系认证，开展认证至少需要4至6个月时间，有的甚至需要一年。但她很疑惑，“一些机构用很短的时间、很便宜的价格就为企业开具了证书，他们是怎么做到的？”

针对此类认证，张乐也表达了自己的担忧，“目前，该类认证没有统一规则，审核时间和判定标准都不一致，这种认证又如何可信？”

张乐认为，按照规定，审核员要具备相应能力，比如做合规管理体系认证，如果企业有出口业务涉及出口管制，又有上市公司涉及财报安全，审核组中就既要有懂法律的成员，也要有懂财务的成员。有些机构找不到符合整体能力要求的审核员，可能就会糊弄了事。

“如今，认证行业里剩下的审核员水平越来越差。”回顾20年前，张乐记得，他当时所在的认证机构招聘的审核员都来自知名企业的中层管理者，而且都是研究生以上学历。李浩坦言，“现在有些机构，不仅审核员的数量和业务量不匹配，审核员里还有很多完全没有公司管理经验的年轻人，不仅看不出企业存在的管理体系漏洞，也无法为企业提供好的整改意见。”

合规风险多种多样

纵观行业乱象，张乐认为，认证机构的国家认可资质是其公正性管理的重要保证，如果认证机构存在国家认可资质不全、不具有国家认可资质甚至虚假宣传认可资质等问题，将导致其公正性受到质疑，这方面需要社会加大宣传，让全社会关注，引导选择有资质的机构进行服务。

他表示，在认证行业中，反腐和合规监管是重中之重。如果认证机构或其工作人员涉及腐败行为，如收受贿赂、利益输送等，将可能受到严重的法律制裁和声誉损失。另外，如果有企业客户存在合规问题，其产品或服务不符合相关法规要求，认证机构一旦给予认证证书，将可能为机构带来合规风险。因此，认证机构需要对客户进行严格审查和监督，确保客户符合认证标准。

张乐建议企业警惕数据合规风险。他称，在认证过程中，机构会接触到大量敏感信息，如客户数据、业务数据等，如果这些数据未能得到有效保护，可能将引发数据泄露、隐私侵犯等合规风险。因此，要注意数据保护和隐私保护。

“认证行业的合规风险多种多样，需要机构在日常运营中保持高度的警惕和敏感性。”张乐建议，通过完善内部管理、提高员工合规意识、加强客户审查、及时跟进法规政策变动等方式，机构可以有效降低合规风险，确保自身的合规性和可持续发展。同时，机构还应积极与政府部门、行业协会等各方合作，共同推动认证行业合规发展。

编审｜渠 洋

责编｜惠宁宁

校对｜张波 张雪慧