供应商在报价单上列了一排认证 logo:ISO 9001、CE、FDA、RoHS、甚至还有 SA8000。你们聊到这里,对方信心满满地说"我们的证书都是有效的"。但你心里有个疑问:这些证书是真实的吗?是不是已经过期了?是不是这家工厂自己的证书,还是从别处复制粘贴来的?这篇就讲认证核实的实操方法。
认证证书为什么值得亲自核实
首先要理解一点:认证证书是可以伪造的,也可以过期之后继续拿着用。收到一张 ISO 证书的 PDF 或扫描件,你看到的是图片,看不出它是否有效。
常见的问题有这几类:
证书过期。 认证都有有效期,ISO 9001 证书通常3年有效,期间要定期接受监督审核。如果供应商拿了一张几年前的证书,早已过了有效期,他不告诉你,你也不追问,就这样进合同了。
证书不是这家公司的。 有供应商直接拿别家工厂的证书复用,公司名称和地址在证书上,但实际接单的不是那家工厂。
认证机构资质存疑。 有些认证机构不是被国际认可的,只要付钱就给发证,这类证书在买方市场认可度为零。如果采购方要求的是被 IAF(国际认可论坛)成员机构认可的认证,而供应商给的是小机构颁发的,等于没有满足要求。
认证范围不匹配。 ISO 9001 的认证范围是在证书上写明的,通常只覆盖特定产品线或特定工厂地址。供应商的 ISO 证书覆盖的是 A 工厂,但实际给你生产的是 B 工厂,A 的认证和 B 没有关系。
不同认证的核实方法
ISO 系列认证(ISO 9001、ISO 14001、ISO 45001 等)
ISO 认证由认证机构(CB,Certification Body)颁发,认证机构本身要被认可机构(AB,Accreditation Body)认可。要核实的步骤:
1. 看证书上的颁发机构名称,比如 SGS、TÜV、Bureau Veritas、DNV 等。
2. 去颁发机构的官网,找证书查询入口,输入证书编号,核实有效性、覆盖范围、持证公司名称。
3. 或者去 IAF 的官网(iaf.nu),查该认证机构是否在被认可名单里,确认认证机构本身的合法性。
大部分知名认证机构都提供在线证书查询,这是最直接的方法。
CE 认证
CE 认证分两类:一类是厂商自我声明(适用于部分低风险产品),另一类是需要经过公告机构(Notified Body)的第三方审核(适用于高风险产品,如医疗器械、电器等)。
- 对于需要公告机构审核的产品,可以在欧盟 NANDO 数据库(ec.europa.eu/growth/tools-databases/nando)查询公告机构及其认证记录。
- 对于自我声明类 CE,你需要的是供应商出具的 DoC(符合性声明文件)和相应的检测报告,核实检测报告的检测机构是否有资质。
FDA 注册(针对食品、保健品、医疗器械等)
FDA 有公开的注册查询系统(accessdata.fda.gov 或 fda.gov 下的各品类数据库)。可以根据产品类型在对应的 FDA 数据库里搜索供应商的注册号或公司名,确认是否有有效的 FDA 登记。
注意:FDA 注册不等于 FDA 批准,两者的含义不同。医疗器械的 510(k) 清关和食品工厂的 FDA 登记是不同的程序,要根据实际产品类型判断需要核实哪种记录。
我们能帮你做哪些核查
认证真实性的核实,核心是"去颁发机构的系统里查",这件事大部分时候买家可以自己做,不是特别需要外部帮助。我们能帮上的,是在你做认证核实之外,补充核查供应商公司主体层面的信息——注册状态、法人、关联公司结构,以及在公开可查范围内有没有资质异常的负面记录。
换句话说:认证核实靠颁发机构官网,公司主体核查靠工商公开渠道,两者结合才是相对完整的供应商背景验证。
常见问题
Q:供应商给的 ISO 证书,颁发机构是一个我没听说过的小公司,这算不算问题?
需要核实这个小公司有没有被 IAF 成员机构认可。如果认证机构本身不在认可名单里,颁发的证书在多数主流买家市场是不被接受的。如果你的终端市场或客户要求的是 IAF 认可的认证,这就是一个明显问题。
Q:供应商说证书是最近在做更新,旧的快到期了,新的还在审核中,这个合理吗?
合理,认证更新需要时间,审核期间出现证书到期是可能发生的。但你可以要求对方提供认证机构出具的"在审证明"或者同等文件,证明审核正在进行中,而不是只凭供应商自己的说法来判断。
Q:如果核实下来发现供应商的认证是假的,该怎么处理?
首先停止当前的付款或采购推进,保留所有证据,评估已经产生的合同义务。如果已经签了合同且合同里写明了认证要求,供应商提供假认证可能构成合同欺诈,建议咨询律师评估后续处理方式,具体以专业法律意见为准。