GB/T 27423-2019 合格评定 检验检测服务风险管理指南

　　ICS 03 . 120 . 20 A 0 1

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 27423—2019

　　合格评定 检验检测服务风险管理指南

　　Conformityassessment—Guidetoriskmanagementfor

　　inspectionandtestingservices

　　2019-12-31 发布 2020-07-01 实施

　　国家市场监督管理总局国家标准化管理委员会

　　发

　　布

　　GB/T 27423—2019

　　GB/T 27423—2019

　　前 言

　　本标准按照 GB/T 1 . 1—2009 给出的规则起草。

　　本标准由全国认证认可标准化技术委员会(SAC/TC 261)提出并归口 。

　　本标准起草单位：中国合格评定国家认可中心、国家市场监督管理总局认证认可技术研究中心、上海电缆研究所有限公司、苏州电器科学研究院股份有限公司、云南省环境监测中心站、浙江省医学科技教育发展中心、国家体育用品质量监督检验中心、通标标准技术服务有限公司、中国船级社质量认证公司、广州金域医学检验中心有限公司。

　　本标准主要起草人：吕京、魏军艳、范爱红、田燕超、张秀松、曹鹏、陈雪梅、易煜明、张榆霞、孙莉、徐晓鹏、顾华、翁景清、胡朝晖、李卫华。

　　GB/T 27423—2019

　　引 言

　　检验检测是国家质量基础设施的重要组成部分，属于高技术服务业，又是高风险行业。 检验检测服务涉及国计民生，政策风险、技术风险、财务风险等无处不在。

　　从国际相关标准发展趋势看，风险管理已是管理的“内核”。新修订发布的 ISO 9001:2015《质量管理体系 要求》、ISO/IEC 17025:2017《检测和校准实验室能力的通用要求》等标准均强调了基于风险的管理思维。

　　在我国，检验检测服务的风险管理一直是弱项，亟需实用且与现行管理体系高度融合的风险管理指南文件，以指引检验检测机构建立基于风险思维的管理体系。 本标准是针对我国检验检测机构提供服务的特点，参考国际有关通用风险管理和服务标准制定的指南文件，目的是指导检验检测机构建立基于风险思维的管理方法和体系。 机构需结合自身服务的特点和风险偏好进一步细化要求，满足国家政策、标准等对风险管理的要求，平衡风险-利益关系，在市场竞争中把握机遇，追求卓越。

　　GB/T 27423—2019

　　合格评定 检验检测服务风险管理指南

　　1 范围

　　本标准提供了检验检测服务风险管理的总则、内部环境、目标设定、事项识别、风险评估、风险处理、控制活动、信息沟通、监督和检查等环节的控制指南。

　　本标准适用于提供检验检测服务的机构。

　　2 规范性引用文件

　　下列文件对于本文件的应用是必不可少的。 凡是注 日期的引用文件，仅注 日期的版本适用于本文件 。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 19000 质量管理体系 基础和术语

　　GB/T 23694 风险管理 术语

　　GB/T 24353 风险管理 原则与实施指南

　　GB/T 24421 . 1 服务业组织标准化工作指南 第 1 部分：基本要求

　　GB/T 24620 服务标准制定导则 考虑消费者需求

　　GB/T 27000 合格评定 词汇和通用原则

　　GB/T 27921 风险管理 风险评估技术

　　3 术语和定义

　　GB/T 19000、GB/T 23694、GB/T 24421 . 1、GB/T 24620 和 GB/T 27000 界定的以及下列术语和定义适用于本文件。

　　3.1

　　压力测试 stresstesting

　　组织在某一特定的(主观想象)的极端情况下的表现状况。

　　3.2

　　内部控制 internalcontrol

　　组织内部实施的各种制约和调节组织、计划、程序和方法等的管理行为。

　　4 总则

　　4 . 1 风险管理是机构管理的有机组成部分，宜融入机构的文化和行为，贯穿于机构运营的全过程。

　　4 . 2 机构风险管理的原则是既要保证目标、基于合理的风险评估作出决策，又要保证风险评估和风险应对的过程合理、规范，以降低和控制不确定性。 同时，要确保所有的人员都了解机构的目标，每个人均清楚彼此行为之间的关联和对实现目标的作用。

　　4 . 3 内部环境、目标设定、事项识别、风险评估、风险处理、控制活动、信息沟通、监督和检查是目前通用的基于风险思维的机构治理的关键环节，机构宜按上述八个环节(不限于)组织、策划和实施风险管理，相关的指南见第 5 章 ～第 12 章 。

　　GB/T 27423—2019

　　4 . 4 典型的风险管理过程如图 1 所示，包括：识别信息和确定风险准则;进行风险识别、风险分析和风险评价;依据优先原则对风险进行处理;风险管理的各个环节均需有良好沟通机制，并做好相应的记录;通过监督和检查不断完善和改进风险管理过程。 其适用于机构服务过程中各类具体风险的管理，进一步见 GB/T 24353 和 GB/T 27921 等文件。 机构检验检测服务风险管理体系的建立指南可参见附录 A。

　　图 1 风险管理过程

　　4 . 5 机构需动态实施风险识别、分析和评价，定期或不定期再评估新的风险和原有风险的变化，并保证风险处理措施的及时性、有序性和有效性。

　　4 . 6 机构的管理体系通常不是单一的体系，可能涉及质量、能力、服务、环境、安全等，机构宜有机融合不同的管理要求，建立统一协调的基于风险思维的管理体系。

　　5 内部环境

　　5 . 1 概述

　　5 . 1 . 1 内部环境是基于风险思维的机构治理要素的基础，为其他要素提供约束和架构，其影响机构的目标和战略如何制定，运营活动如何组织，风险评估如何进行，以及控制活动、信息与沟通体系和监督体系如何设计与实施。

　　5 . 1 . 2 管理层需要首先识别内部环境存在的风险，优化内部环境，制定合理的目标和措施，有效配置资源，平衡风险和利益关系，实现价值最大化。

　　5 . 1 . 3 内部环境管理包括组织结构、人员能力和资源配置、诚信和良好职业行为、组织文化、风险管理理念等内容。

　　5 . 2 组织结构

　　5 . 2 . 1 组织结构是保证机构高效运行的基础，其设置要适宜于机构的规模和所从事活动的性质。

　　5 . 2 . 2 机构需确立岗位权力关系和授权程序、明确方针政策和目标、保证关键人员的胜任能力、保证为履行职责提供足够的资源。

　　5 . 2 . 3 机构权力与职责的分配要有利于个人和团队主动识别问题、指出问题和解决问题。

　　5 . 3 人员能力和资源配置

　　5 . 3 . 1 管理层要明确所有岗位的胜任能力要求，宜制定定期评估政策和奖惩政策。

　　5 . 3 . 2 需要对人员进行持续培训、教育和评估，以保证其能力持续符合机构的发展需求。

　　GB/T 27423—2019

　　5 . 3 . 3 人员能力不仅包括岗位胜任能力，也包括主动识别问题、指出问题和解决问题的能力。

　　5 . 3 . 4 资源配置要保证满足所提供服务的需求，包括(不限于)客户对质量、能力、安全、舒适、时限、隐私等的需求。

　　5 . 4 诚信和良好职业行为

　　5 . 4 . 1 诚信和良好职业行为决定了人员对利益的取舍偏好，直接影响风险管理的有效性。 机构要有可操作性的政策和措施促进诚信和良好职业行为的水平的提高。

　　5 . 4 . 2 机构要意识到管理层的诚信和良好职业行为水平决定了机构诚信和良好职业行为水平，建立机制保证管理层践行良好行为和发挥表率作用，而不是仅有书面的规定。

　　5 . 5 组织文化

　　5 . 5 . 1 机构需要明确和建立具有个性化特征的组织文化。 组织文化的形成过程是组织管理内化为 自觉意识和行为的过程。

　　5 . 5 . 2 机构宜将风险管理理念融入组织文化建设全过程，要有可行的措施保证将风险管理转化为员工的共同认识和自觉行动，以确保机构实现管理目标。

　　5 . 6 管理理念

　　5 . 6 . 1 机构需要明确和培训基于风险的管理理念，并在任何活动(包括从战略制定、执行到常规活动)中作为机构共同的理念和行为准则。

　　5 . 6 . 2 机构宜将建立基于风险的管理理念和培养员工形成自觉意识作为机构文化建设的核心任务。

　　6 目标设定

　　6 . 1 概述

　　6 . 1 . 1 机构宜按适宜的程序设定目标，既要保证所设定的目标与机构的使命、愿景协调，也要保证符合机构的风险偏好。

　　6 . 1 . 2 检验检测服务的目标可按战略目标、运营服务目标、合规性目标、信息可靠性目标等进行分类和管理。 目标的分类是相对的，目标之间可能有交叉或相互支持，需要根据机构和活动的特点对其分类。

　　6 . 1 . 3 在设定目标的过程中，机构不仅要确定目标和考虑其与机构使命、愿景的关系，而且要保证其与机构的风险容量相协调。

　　6 . 1 . 4 在实现目标的过程中，需要设定风险容限。 在确定风险容限时，要考虑相关目标的权重，并使风险容限与风险容量相协调，确保在风险容限之内，不突破机构的风险容量。

　　6 . 2 战略目标

　　6 . 2 . 1 战略目标是机构的高层次目标，是制定机构发展战略和各相关目标的依据。 机构制定的战略目标要符合其使命和发展愿景。

　　6 . 2 . 2 战略目标的确定过程需要基于风险评估，要保证机构有较大的可能性实现其期望。 战略目标通常是相对稳定的，它的实施战略和相关目标是动态的，需要随着内部和外部条件的变化而调整。

　　6 . 3 运营服务目标

　　6 . 3 . 1 要保证运营服务目标可支撑机构战略目标，与机构的资源和能力相匹配，反映市场需求，具备竞争性。

　　6 . 3 . 2 运营服务目标需要体现机构运行和服务的质量、有效性和效率，如提交检验检测报告的期限、投诉的处理时间、环境指标、安全指标、客户满意度等。

　　GB/T 27423—2019

　　6 . 3 . 3 运营服务目标是机构配置资源的重要依据，要保证其明确且符合实际。

　　6 . 3 . 4 运营服务目标要明确、可评价、可考核。

　　6 . 3 . 5 当有追溯要求时，机构需要控制输出的唯一性标识，并保留所需的记录以实现可追溯性。

　　6 . 4 合规性目标

　　6 . 4 . 1 机构要追踪、识别适用的法律、法规和标准，及时纳入其管理要求。 符合相关的法律、法规、标准和规定是机构目标的最低要求。

　　6 . 4 . 2 在进行风险评估时，首先要评估各项活动和输出的合规性。

　　6 . 4 . 3 检验检测机构涉及的法规和标准包括机构设立、服务范围、资质、环境及职业健康安全、员工福利、合同、财务、运营等，是机构维持其运营资格的必要条件。

　　6 . 5 信息可靠性目标

　　6 . 5 . 1 信息是决策的依据。 机构利用或输出的信息要可靠，确保其客观、真实、准确、完整和有效。

　　6 . 5 . 2 信息可靠性不仅包括与检验检测结果相关的数据、报告等的可靠性，也包括机构的各种运行和服务质量参数、监控报告、财务等各类报表、内审报告、风险评估报告、向公众提供的信息、提交给监管部门等相关方的报告、合同等信息的可靠性。

　　6 . 5 . 3 适用时，宜建立信息可靠性评估机制。

　　7 事项识别

　　7 . 1 概述

　　7 . 1 . 1 事项是源于机构内部或外部的影响 目标实现的事情或事件。 事项可能有负面影响，即风险，也可能有正面影响，即机会，或两者兼有。 在目标或战略制定过程中，机构宜同时考虑风险和机会。

　　7 . 1 . 2 外部事项包括机构所处外部环境的历史、现在和未来变化的各种事项，至少需要考虑以下方面：

　　— 法律、法规、标准等的要求和变化;

　　— 技术、金融和自然环境;

　　— 外部利益相关者的诉求、价值观、风险承受度;

　　— 利益相关方之间的关系;

　　— 国际、国内、地区的政治、经济、文化等相关因素;

　　— 其他影响机构目标实现的外部主要因素。

　　7 . 1 . 3 内部事项包括机构实现目标所面临的内在环境的历史、现在和未来变化的各种事项，至少需要考虑以下方面：

　　— 机构的方针、目标;

　　— 组织结构、人员胜任能力、管理模式;

　　— 机构各方面的资源配置;

　　— 内部管理者和人员的诉求、价值观、组织文化和风险承受度;

　　— 人员面临的利益冲突和压力;

　　— 风险准则;

　　— 风险评估和绩效评估;

　　— 机构内影响管理的其他任何因素。

　　7 . 1 . 4 要确保机构具备适宜的能力，以认识和识别事项的深度、广度、影响范围、发生时机、交互作用等的复杂性。 要意识到，事项彼此之间的关系是复杂的，很少有孤立发生的事项。

　　7 . 2 事项的不确定性

　　7 . 2 . 1 事项的发生和其后果具有不确定性，事项并非总能事先被识别出来。 通常用发生概率和严重性

　　GB/T 27423—2019

　　综合表征事项的风险。

　　7 . 2 . 2 在事项识别的过程中，对发生频率高的事项，要充分评估其对风险容量的贡献，合理设置风险容限;对后果严重的事项，宜谨慎设置风险容限，即使发生的可能性比较低，也不可被忽略。

　　7 . 3 信息管理

　　7 . 3 . 1 可行时，机构宜建立信息管理系统，涵盖风险管理基本流程和内部控制系统各环节，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。

　　7 . 3 . 2 信息管理系统要可以及时有效地获取内外部环境及其他相关信息，以识别、管理风险和利用机会。

　　7 . 3 . 3 信息管理系统的功能宜实现对各种风险量化和分析，生成动态风险矩阵图和排序频谱，对重大风险和重要业务流程动态监控并对超过控制限的风险进行报警，满足内部信息报告制度和对外信息披露制度的要求。

　　7 . 3 . 4 信息可以通过多种方式获取，如：经验、反馈、观察、预测和专家判断等，利用信息时要考虑信息的来源和其代表性。

　　7 . 3 . 5 信息宜实现在各职能部门、业务单位之间的集成与共享，既满足单项业务风险管理的要求，也满足机构整体和跨职能部门、单位的风险管理综合要求。

　　8 风险评估

　　8 . 1 风险识别

　　8 . 1 . 1 概述

　　8 . 1 . 1 . 1 风险识别效率的关键在于参与人员的经验、知识水平、对活动过程的了解程度、风险源的特性和信息的全面性。 需要对前人经验和教训进行收集、分析和整理，并熟悉机构服务相关的内部环境和外部环境。 要注意，同样的危险因素，对不同的机构或人而言，风险是可能完全不同的。

　　8 . 1 . 1 . 2 根据机构自身的特点，制定并不断完善“事项或危险源清单”。“事项或危险源清单”有助于风险识别，随着经验的积累，其将越来越接近实际情况。

　　8 . 1 . 1 . 3 检验检测服务事项清单示例参见附录 B。 检验检测服务的要素可包括但不限于：

　　— 服务提供者;

　　— 客户/用户;

　　— 其他利益相关方;

　　— 外部环境;

　　— 服务产品/范围;

　　— 服务资质;

　　— 服务标准;

　　— 服务人员;

　　— 服务环境;

　　— 服务设施设备;

　　— 服务合同;

　　— 履行合同;

　　— 服务提供过程;

　　— 客户沟通;

　　— 服务结果;

　　GB/T 27423—2019

　　— 售后服务;

　　— 服务评价标准;

　　— 纠纷的解决。

　　8 . 1 . 1 . 4 检验检测服务涉及供方、需方、利益相关方和外部环境，如图 2 所示。

　　图 2 检验检测服务示意图

　　8 . 1 . 2 内部风险识别

　　检验检测机构内部环境对检验检测服务带来的风险包括但不限于：

　　— 人员风险，包括认知、诚信、道德、能力、合作、流动，利益冲突、面临压力等方面的风险;

　　— 管理风险，包括方针、目标、决策、实施、组织结构、管理理念、制度安排、组织文化、资源配置、信息、质量、伦理、职业健康安全、安保、应急能力系统等方面的风险;

　　— 财务风险，包括预算、流动资金、周转率、抵押、租赁、成本控制、盈利模式、债务、赔偿、合同、审计、决算、风险金、固定资产、欺诈、廉政、员工福利等方面的风险;

　　— 技术风险，包括设施设备、实验材料、环境、数据可靠性、失误、检验检测程序与方法、计量与标准、原始数据、超能力范围、新技术研发与应用、创新能力与竞争性、资质等方面的风险;

　　— 运营风险，包括合同、环境、检验检测周期、营销、客户隐私、价格、咨询、售后服务、业务连续性、危机处理、与相关方的沟通、合规性等方面的风险;

　　— 信用风险，包括信誉、社会责任、价值观、知识产权、机构形象等方面的风险。

　　8 . 1 . 3 外部风险识别

　　外部原因对检验检测服务带来的风险包括但不限于：

　　GB/T 27423—2019

　　— 市场风险，包括市场需求变化、竞争者及替代品、新市场开发、合同纠纷、市场营销等方面的风险;

　　— 技术风险，包括相关的外部机构的技术能力、技术服务、技术标准等的缺陷或差异带来的风险;

　　— 经济风险，包括物价、宏观经济状况、保险、赔付、收支、劳动力价格、发展、资产保值、廉政等方面的风险;

　　— 法律风险，包括国内外相关法律环境及差异、法规变化、会计政策差异和变动等方面的风险;

　　— 客户的风险，包括合同违约、变更、破产、法律纠纷等方面的风险;

　　— 合作方的风险，包括由合作方提供的过程、产品、服务、检验检测活动分包等方面的风险;

　　— 其他相关方的风险，包括来自管理部门、评价部门、结果利用方等方面的风险;

　　— 自然灾害风险，包括台风、洪水、地震等造成的自然灾害等;

　　— 其他机构的案例收集与借鉴。

　　8 . 2 风险分析

　　8 . 2 . 1 在风险分析过程中，需要对识别出的风险源和风险原因、事件发生的可能性及其后果、影响后果和可能性的因素及它们的相互影响等进行定性或定量分析，为风险评价和风险应对提供支持。

　　8 . 2 . 2 风险分析技术可分为定性(Qualitative)分析和定量(Quantitative)分析，常见的风险评估技术及适用性说明见 GB/T 27921 。具体采用何种分析技术或如何组合使用，取决于风险的特性、对风险的认知程度和控制要求。

　　8 . 2 . 3 风险分析需要考虑固有风险和剩余风险，主要目标是确定事项发生概率的大小和后果的严重程度，其分级可以参考表 1 和表 2 。对风险排序可依据其概率大小和后果的严重程度进行矩阵分析或采用风险图示法等，具体表示见图 3 。

　　表 1 概率分级示例表

　　表 2 后果分级示例表

　　GB/T 27423—2019

　　图 3 三区域风险图示

　　8 . 2 . 4 根据风险类型、分析的目的、可获得的信息数据和资源、决策需求等，风险分析可以有不同的详细程度。 从风险管理的有效性和成本看，风险分析越精确，后续措施就越有针对性，应对成本则会降低，风险管理的有效性就会提高。 对于控制措施简单、单一或代价很低的风险的管理，过于追求风险分析的精确性反而增加成本，此时，可采取保守的风险应对措施。

　　8 . 3 风险评价

　　8 . 3 . 1 要依据机构确定的风险准则进行风险评价。 风险准则需要基于法律法规、标准、风险管理目标、风险偏好、机构的风险容量和风险容限、相关方的承受能力等的确定。

　　8 . 3 . 2 风险评价需要明确可以接受的风险、需要处理的问题以及优先顺序和策略。 在很多情况下风险是不可避免的。 为了追求特定的结果(如：新技术)或更大的利益(如：整体利益)，一般不需要消除所有的风险，有时，消除所有风险是不现实的。

　　8 . 3 . 3 如果可行，要统一各类风险的度量单位和风险度量模型，并通过测试确保评价系统的合理性和准确性，包括假设前提、参数、数据来源和评估程序等。 需根据内外部环境的变化，定期对评价系统评审、与实际情况对比，需要时进行修正。

　　8 . 3 . 4 风险可分为可接受、合理和不容许存在三种情况(见图 3) 。要意识到，“合理”并非是接受不必要风险的理由。 特别是风险涉及安全与健康时，若在技术上和经济上可行，宜尽可能考虑将风险降至最低水平。

　　8 . 4 风险评估报告

　　8 . 4 . 1 风险评估报告要有助于决策者对风险及其原因、后果和可能性有更充分的理解，并为以下事项提供信息：

　　— 是否需要开展某些活动;

　　— 是否影响预期目标的实现;

　　— 如何充分利用时机;

　　— 是否需要应对风险;

　　— 选择不同风险的应对策略;

　　— 确定风险应对策略的优先次序;

　　— 选择最适合的风险应对策略，将风险的不利影响控制在可以接受的水平。

　　8 . 4 . 2 机构可自行组织撰写风险评估报告，也可聘请外部专业机构进行风险评价，并提供风险评估报告 。风险评估报告的内容包括但不限于：

　　GB/T 27423—2019

　　— 目标及范围;

　　— 系统相关部分的说明及其功能;

　　— 机构的内外部环境描述以及被评估对象与内外环境的关联情况;

　　— 所使用的风险准则及其合理性;

　　— 假定及假设的合理性;

　　— 评估方法;

　　— 风险识别结果;

　　— 数据的来源与验证;

　　— 风险分析结果及评价;

　　— 敏感性及不确定性分析;

　　— 关键假定和其他需要加以监测的因素;

　　— 结果讨论;

　　— 结论和建议;

　　— 参考资料。

　　9 风险处理

　　9 . 1 机构要依据风险评估报告，确定风险处理对策。 即基于内部环境和外部环境状态，围绕机构发展目标，确定风险偏好、风险承受度、风险管理有效性标准，明确风险处理原则，并确定风险管理所需的人力和物力资源配置原则。

　　9 . 2 风险处理原则包括但不限于：

　　— 通过决定不开展或停止产生风险的活动，来规避风险;

　　— 为寻求机会，接受或提高风险;

　　— 消除危险源;

　　— 改变事项发生的可能性;

　　— 改变事项发生的后果;

　　— 转移、对冲或与另一方/多方共担风险;

　　— 通过有事实依据的决策，保留风险;

　　— 考虑对利益相关方的影响;

　　— 考虑风险处理措施引入的风险。

　　9 . 3 机构需要正确认识和把握风险与收益的平衡，根据其服务特点确定风险偏好、风险承受度、风险管理的优选顺序，以及安排风险管理的组织体系、资源和应对措施等。

　　9 . 4 机构需要定期对风险管理策略的合规性、充分性、有效性和适宜性进行评审，并结合实际情况持续改进。

　　10 控制活动

　　10 . 1 机构需要实施有效的控制活动，建立风险处理的政策、过程、操作规范及计划，并有效实施和记录，以保证机构确定的应对风险的策略和措施可有效实行。

　　10 . 2 控制活动要充分考虑满足开展风险处理的资源需求，包括组织管理、职责、权限、资源、过程、方法、计划、绩效评价、不符合工作控制、记录等。

　　10 . 3 需要定期对实施的控制活动评审并持续改进。

　　GB/T 27423—2019

　　1 1 信息沟通

　　1 1 . 1 建立有效的外部和内部沟通、报告和协商机制，以保证实施风险管理过程的职责明确，保证人员能够按程序、按计划履行责任，以及保证内外部利益相关方理解决策的基础、原因、后果和特定的措施。

　　1 1 . 2 沟通和协商过程需要提供真实、准确、便于理解的相关信息，要考虑保密需求。

　　1 1 . 3 机构需要在风险管理过程的所有阶段与内、外部利益相关方沟通和协商。

　　1 1 . 4 机构的内部沟通、报告和协商的内容包括但不限于：

　　— 及时告知风险管理的相关要求、职责、过程、方法、计划等和任何后续的更改;

　　— 及时告知员工面临的任何危险及后果;

　　— 对发现任何潜在危险或不符合工作的报告程序;

　　— 提供危险源标识系统和安全手册;

　　— 涉及职业健康安全时，提供保证员工参与决策过程的机制和利益协商机制;

　　— 涉及保密或个人隐私的报告程序。

　　1 1 . 5 机构的外部沟通、报告和协商的内容包括但不限于：

　　— 沟通、协商、报告和反馈渠道及安排;

　　— 确保利益相关方的观点、利益被理解和考虑;

　　— 对法律法规和管理要求的符合情况;

　　— 紧急或突发事件的沟通;

　　— 提供适宜的帮助，以明确状况;

　　— 对风险处理计划的认同与支持;

　　— 变更事项的沟通;

　　— 涉及保密事项的沟通、报告程序。

　　12 监督和检查

　　12 . 1 监督和检查是机构风险管理体系的重要组成部分，要贯穿于机构风险管理的整个过程之中。

　　12 . 2 要通过监督和检查，包括采用压力测试、比对、模拟等方法，及时发现体系、实施、结果等层面的问题和机会，避免事态扩大和促进持续改进。

　　12 . 3 要保证监督和检查的有效性，其依赖于监督和检查的程序、方法、时机和人员的能力。 可行时，宜采取持续监控的方式。

　　12 . 4 监督和检查的范围、频率与机构的风险策略、处理风险的优先顺序、风险目标、风险特征等有关，要加强对重点领域的监督和评审。 根据需要，机构可以聘请外部人员参与监督和检查。

　　12 . 5 外部的监督或检查活动通常不能代替机构内部的监督或检查活动。

　　12 . 6 监督和检查可以定期或不定期实施，以保证：

　　— 管理体系和控制活动的有效性和效率，结果满足预期;

　　— 获得改进风险管理的信息;

　　— 对事件、变化、趋势、措施的有效性等进行分析并获取经验;

　　— 识别出现的任何风险或机会，并及时采取措施。

　　GB/T 27423—2019

　　附 录 A

　　(资料性附录)

　　检验检测机构风险管理体系的建立指南

　　A.1 组织与管理

　　A.1 . 1 检验检测机构(以下简称机构)或其母体组织要有明确的法律地位和从事相关活动的资格。

　　A.1 . 2 机构的法人或其母体组织的法人要承担对机构合法运行的责任，并保证有足够的资源。

　　A.1 . 3 适用时，可依据 GB/T 27025、GB/T22576、GB/T 27020、GB 19489、GB/T 27416 等标准建立机构的管理体系。

　　A.1 . 4 风险管理体系是机构管理体系的组成部分。 管理层负责风险管理体系的设计、实施、维持和改进，负责：

　　— 为机构所有人员提供履行其职责所需的适当权力和资源;

　　— 明确机构风险管理的组织结构，并规定所有人员的职责、权力和相互关系，建立内部监督和约束体系，并保证其运作的独立性和制约性;

　　— 建立风险管理政策、程序、措施、操作规范等，并作为机构的管理体系文件的组成部分;

　　— 指定风险管理负责人，赋予其相关的职责和权力，并提供可以满足其履行职责的资源;

　　— 指定每项活动的项目负责人，其负责制定并向风险管理负责人提交活动方案和计划、风险评估报告、安全及应急措施、项目组人员培训计划、职业健康监督计划、安全保障及资源要求等;

　　— 批准机构风险管理总体目标、风险偏好、风险承担能力和风险管理策略，并符合主管部门的规定;

　　— 批准重要决策、重要风险、重要事件和重要业务流程的判断标准或判断机制，以及重要决策的风险评估报告和重要风险管理解决方案;

　　— 掌握机构面临的各项重要风险及其风险管理现状，做出有效控制风险的决策;

　　— 批准机构风险管理内部审核报告以及机构的全面风险管理年度工作报告;

　　— 涉及机构全面风险管理的其他重要事项。

　　A.1 .5 宜设立机构风险管理委员会 (Institutional Risk Management Committee, 以下简称 IRMC),并设负责人。 IRMC负责：

　　— 提交机构的全面风险管理年度报告;

　　— 审议机构风险管理总体目标、风险偏好、风险承担能力和风险管理策略;

　　— 审议重要决策、重要风险、重要事件和重要业务流程的判断标准或判断机制，以及重要决策的风险评估报告和重要风险管理解决方案;

　　— 审议机构风险管理内部审核报告;

　　— 审议风险管理组织机构设置及其职责方案;

　　— 为风险管理措施提供建议;

　　— 监督和向管理层报告任何部门或个人不符合风险管理制度的行为;

　　— 办理管理层授权的有关全面风险管理的其他事项。

　　A.1 . 6 建立明确的政策和机制，以保证 IRMC可以独立行使权力，机构负责人不宜是 IRMC 的成员。

　　A.1 . 7 机构宜设立专职部门或确定相关职能部门履行全面风险管理的职责，履行的职责包括但不限于：

　　— 研究提出全面风险管理工作报告;

　　GB/T 27423—2019

　　— 研究提出跨职能部门的重要决策、重要风险、重要事件和重要业务流程的判断标准或判断机制;

　　— 研究提出跨职能部门的重要决策风险评估报告;

　　— 研究提出风险管理策略和跨职能部门的重要风险管理解决方案，并负责该方案的组织实施和对该风险的 日常监控;

　　— 负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案;

　　— 负责组织建立风险管理信息系统;

　　— 负责组织协调全面风险管理日常工作;

　　— 负责指导、监督有关职能部门等开展全面风险管理工作;

　　— 办理管理层授权的有关全面风险管理的其他事项。

　　A.1 . 8 在全面风险管理工作中，机构各职能部门需要接受风险管理职能部门的组织、协调、指导和监督。

　　A.1 . 9 机构需要把风险管理纳入所有决策过程当中，并在决策中充分考虑机构的内外部环境，注重各利益相关方之间的沟通。

　　A.1 . 10 机构的管理体系可能涉及质量、安全、动物福利等内容，需要与机构规模、活动的复杂程度、工作内容和风险相适应，并覆盖所有设施设备和场所，包括临时的、移动的设施设备和场所。

　　A.1 . 1 1 涉及不同的管理要求时，机构宜建立协调统一的管理体系，在保证无利益冲突的前提下人员可以兼职，以保证工作效率和可操作性。

　　A.1 . 12 若涉及生物安全管理，适用时，见 GB 19489 的要求。

　　A.1 . 13 建立政策和程序保证机构的任何一项活动在实施前已经过系统的评估，以保证符合适用的法规、标准以及机构的规定，风险水平可接受，并具备可实施性。

　　A.1 . 14 指定专门人员负责处理来自政府、公众、合作者等各方面的关于机构服务的事务。

　　A.1 . 15 指定专门人员负责与客户和相关方沟通相关的风险信息、机构政策等内容。

　　A.2 管理体系文件

　　A.2 . 1 总则

　　A.2 . 1 . 1 管理体系文件宜包括风险管理相关的政策、程序、说明及操作规程、记录等文件，明确机构风险管理的方针和目标。 管理方针要简明扼要，至少包括以下内容：

　　— 遵守国家以及地方相关法规和标准的承诺;

　　— 遵守诚信、良好职业行为的承诺;

　　— 保证员工职业健康、安全和利益的承诺;

　　— 为客户提供安全、良好服务的承诺;

　　— 风险管理的宗旨和策略。

　　A.2 . 1 . 2 风险管理的目标宜包括战略目标、运营服务目标、合规性目标和信息可靠性目标。

　　A.2 . 1 . 3 管理目标宜包括对管理活动和技术活动制定的控制指标以及安全指标，各项指标要明确，并与管理方针保持一致，可测量、可考核、可监视、可沟通，适时更新。

　　A.2 . 1 . 4 在系统评估的基础上确定管理目标及控制要求，并根据机构活动的复杂性和风险程度定期评审管理目标、控制指标和制定监督检查计划。

　　A.2 . 2 管理手册

　　A.2 . 2 . 1 规定和描述机构的方针和目标、组织结构、人员岗位及职责、对机构的要求、管理体系、体系文件架构等。 对机构的要求要满足国家和地方相关规定及标准的要求。

　　GB/T 27423—2019

　　A.2 . 2 . 2 明确规定管理人员的权限和责任，包括保证其所管人员遵守管理体系要求的责任。

　　A.2 . 2 . 3 所有政策和要求要以国家主管部门和国际标准化组织等机构或行业权威机构发布的指南或标准等为依据，并满足国家相关法规和标准的要求。

　　A.2 . 3 程序文件

　　A.2 . 3 . 1 明确规定实施各项要求的责任部门、责任范围、工作流程及责任人、任务安排及对操作人员能力的要求、与其他责任部门的关系、应使用的工作文件等。

　　A.2 . 3 . 2 满足机构实施各项要求的需要，工作流程清晰，各项职责得到落实。

　　A.2 . 4 说明及操作规程

　　A.2 . 4 . 1 详细说明使用者的权限及资格要求、潜在危险、设施设备的功能、活动 目 的和具体操作步骤、防护和安全操作方法、应急措施、文件制定的依据等。

　　A.2 . 4 . 2 维持并合理使用工作中涉及的各项活动的风险信息，以及所有材料的最新安全数据单。

　　A.2 . 5 风险资料

　　A.2 . 5 . 1 建立风险信息系统，系统识别和收集相关的来源于内部和外部的历史资料、事故报告、历次检查的结果、潜在的危险源等;资料要易于查询和使用。

　　A.2 . 5 . 2 需要时，制定适用于不同部门或岗位的安全手册，提示重要的风险和应对措施;在工作区，安全手册要随时可供使用，并要求相关的员工在工作前已经理解了相关的内容和要求。

　　A.2 . 5 . 3 安全手册要简明、易懂、易读，管理层至少每年对安全手册评审，需要时更新。

　　A.2 . 5 . 4 适用时，为客户和相关方提供风险信息、机构的政策和相关的解释等资料。

　　A.2 . 6 记录

　　A.2 . 6 . 1 明确规定对相关活动进行记录的要求，至少包括：记录的内容、记录的要求、记录的档案管理、记录使用的权限、记录的安全、记录的保存期限等。 保存期限要符合国家和地方法规或标准的要求及合同的规定。

　　A.2 . 6 . 2 建立对记录进行识别、收集、索引、访问、存放、维护及安全处置的程序。

　　A.2 . 6 . 3 确保原始记录真实、提供足够的信息并可追溯。

　　A.2 . 6 . 4 对原始记录的任何更改均不影响识别被修改的内容，修改人需要签字和注明 日期。

　　A.2 . 6 . 5 记录要便于检索、易于使用，对记录的调阅需要符合保密规定。

　　A.2 . 6 . 6 记录可存储于任何适当的媒介，包括形成电子文件，要符合国家和地方的法规或标准的要求需要。

　　A.2 . 6 . 7 需具备适宜的记录存放条件，以防损坏、变质、丢失或未经授权的进入。

　　A.2 . 6 . 8 要保证报告管理系统、财务管理系统、人事管理系统等数字化信息管理系统及数据的安全性、可靠性，并符合国家标准。

　　A.2 . 7 标识系统

　　A.2 . 7 . 1 机构用于标示危险区、警示、指示、证明等的图文标识是管理体系文件的一部分，包括用于特殊情况下的临时标识，如“污染”“消毒中”“设备检修”等。

　　A.2 . 7 . 2 标识要明确、醒目和易区分。 只要可行，使用国际、国家规定的通用标识。

　　A.2 . 7 . 3 系统而清晰地标示出控制区，在某些情况下，宜同时使用标识和物理屏障标示出控制区。

　　A.2 . 7 . 4 清楚地标示出具体的危险材料、危险，包括：生物危险、有毒有害、腐蚀性、辐射、刺伤、电击、易燃、易爆、高温、低温、高动能、强光、振动、噪声、动物咬伤、砸伤等;需要时，同时提示必要的防护措施。

　　GB/T 27423—2019

　　A.2 . 7 . 5 若涉及生物安全管理，适用时，见 GB 19489 关于标识的要求。

　　A.3 信息管理系统

　　A.3 . 1 机构宜将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。

　　A.3 . 2 如果机构建立了信息管理系统，要有机制保证其安全性和可靠性。

　　A.4 组织文化

　　A.4 . 1 组织文化建设宜包括风险管理文化的建设，以促进风险管理水平。

　　A.4 . 2 制定员工道德诚信准则，以降低管理风险和管理成本。

　　A.4 . 3 风险管理文化要利于将风险管理意识转化为员工的共同认识和自觉行动。

　　A.4 . 4 风险管理文化建设宜与机构的管理制度建设相结合。

　　A.4 . 5 风险管理文化需要融入到各个职能层面，注重增强各级管理人员特别是高级管理人员的风险意识。

　　A.5 人员要求

　　A.5 . 1 所有工作人员均要经过适当的能力、素质、诚信、道德等培训，保证胜任其岗位。

　　A.5 . 2 持续评估员工的胜任能力并保证员工的继续教育机会。

　　A.5 . 3 适用时，员工无职业禁忌证。

　　A.5 . 4 建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度，并安排有能力的专业人员，依据员工的经验和职责对其进行必要的风险知识和风险技术培训。

　　A.5 . 5 指导所有人员使用和应用与其相关的管理体系文件及其实施要求，并评估其理解和运用的能力。

　　A.5 . 6 确保所有人员具备其负责的活动的能力，以及评估偏离影响程度的能力。

　　A.5 . 7 当主管部门有要求时，适用的人员需要具备资质证书。

　　A.6 检查

　　A.6 . 1 管理层负责组织实施检查，每年需要至少根据管理体系的要求系统性地检查一次，对关键控制点可根据风险评估报告适当增加检查频率。

　　A.6 . 2 为保证检查工作的质量，要按事先制定的适用于不同工作领域的核查表实施检查。

　　A.6 . 3 当发现潜在风险、不符合规定的工作、发生事件或事故时，要立即查找原因并评估后果;必要时，停止工作。

　　A.7 风险、不符合工作的识别和控制

　　A.7 . 1 制定风险、不符合工作的识别政策和程序，主动识别潜在的各种风险和不符合工作。

　　A.7 . 2 当发现有潜在风险或任何不符合机构所制定的管理体系的要求时，管理层宜采取以下措施(不限于)：

　　— 将解决问题的责任落实到个人;

　　GB/T 27423—2019

　　— 明确规定应采取的措施;

　　— 只要发现很有可能造成不利事件、损失或伤害，适用时，立即终止活动并报告;

　　— 评估风险、不符合项工作的严重性，包括评估对先前结果的影响，必要时，需要采取补救措施或应急措施;

　　— 系统分析原因和影响范围，只要适用，及时采取适当的纠正措施;

　　— 进行新的风险评估并验证措施的有效性;

　　— 明确规定恢复工作的授权人及责任;

　　— 记录每一不符合项及对其处理的过程并形成文件。

　　A.7 . 3 管理层需要按规定的周期评审不符合项报告，以发现趋势并采取预防措施。

　　A.8 纠正措施

　　A.8 . 1 纠正措施程序中要包括识别问题发生的根本原因的调查程序。 纠正措施要与问题的严重性及风险的程度相适应。 只要适用，纠正措施程序中要明确需要及时采取的预防措施。

　　A.8 . 2 管理层负责将因纠正措施所致的管理体系的任何改变文件化并实施。

　　A.8 . 3 管理层负责监督和检查所采取纠正措施的效果，以确保这些措施已有效解决了识别出的问题。

　　A.9 预防措施

　　A.9 . 1 识别无论是人员、环境、技术还是管理体系方面的不符合项来源和所需的改进，定期进行趋势分析和风险分析，包括对外部评价的分析。 如果采取预防措施，需要制定行动计划，监督和检查实施效果，以减少类似不符合项发生的可能性并借机改进。

　　A.9 . 2 预防措施程序包括对预防措施的评价，以确保其有效性。

　　A.10 持续改进

　　A.10 . 1 建立机制保证所有员工主动识别所有潜在的不符合项来源、识别对管理体系或技术的改进机会 。适用时，及时改进识别出的需改进之处，制定改进方案，文件化、实施并监督。

　　A.10 . 2 征求客户的反馈意见，无论是正面的还是负面的。 分析和利用这些反馈意见，可以帮助改进管理体系、机构活动和客户服务。

　　A.10 . 3 设置可以系统地监测、评价相关活动的客观指标。

　　A.10 . 4 如果采取措施，要通过重点评审或审核相关范围的方式评价其效果。

　　A.10 . 5 需要时，及时将因改进措施所致的管理体系的任何改变文件化并实施。

　　A.10 . 6 需要评估改进措施可能引入的新的风险。

　　A.10 . 7 为所有员工提供相关的教育和培训，保证其有能力参与改进活动。

　　A.1 1 内部审核

　　A.1 1 . 1 机构的内部审核体系需要与机构的风险内部监督和约束体系相协调。

　　A.1 1 . 2 内部审核宜包括以风险控制为目的的全面审核，包括内部财务审计。

　　A.1 1 . 3 如果涉及多项管理体系或系统的要求，宜按领域策划、组织并实施审核。

　　A.1 1 . 4 依据有关过程的重要性、对机构产生影响的变化和以往的审核结果，策划、制定、实施和保持审核方案，审核方案包括频次、方法、职责、策划要求和报告。

　　GB/T 27423—2019

　　A.1 1 . 5 如果发现不足或改进机会，及时采取适当的措施，并在约定的时间内完成。

　　A.1 1 . 6 正常情况下，按不大于 12 个月的周期对管理体系的每个要素进行内部审核。

　　A.1 1 . 7 为保证审核工作的独立性，员工不宜审核自己的工作。

　　A.1 1 . 8 内部审核的结果需要提交 IRMC 和管理层评审。

　　A.12 管理评审

　　A.12 . 1 按计划的时间间隔对管理体系进行评审，以确保其适宜性、充分性和有效性持续符合要求，并与机构的战略方向保持一致，包括质量、能力、安全、服务等方面的管理。

　　A.12 . 2 管理评审包括涉及风险管理的内容。

　　A.13 应急管理和事故报告

　　A.13 . 1 针对重要风险制定应急管理政策、程序和措施，需要时，征询相关主管部门的意见和建议。

　　A.13 . 2 以国家法律法规、国家和地方的应急预案和要求为基础制定机构的应急措施，需同时考虑机构的特点和资源，应急措施中要包括紧急撤离计划。 机构的首要责任是保护人员安全和避免波及公共安全。

　　A.13 . 3 建立程序和方法，以识别和监测潜在的事件或紧急情况，并作出响应，以预防和减少可能随之引发的疾病、伤害、损失、业务中断、法律纠纷等。

　　A.13 . 4 适用时，应急程序至少包括负责人、组织、应急准备和响应、应急通信、报告内容、应对程序、应急设备和工具包、危险源隔离与控制、风险沟通等内容。

　　A.13 . 5 需要使所有人员(包括来访者)熟悉应急行动计划、撤离路线和紧急撤离的集合地点。

　　A.13 . 6 定期演练和评估涉及各种风险的应急程序和应急预案，并制定年度计划。 每年进行专项演练，如电力系统故障、危险物质泄漏、信息管理系统故障等应急处置演练，并至少组织所有员工进行一次撤离演习。

　　A.13 . 7 建立报告紧急事件、伤害、事故、职业相关疾病以及潜在危险的政策和程序，符合国家和地方对事故报告的规定要求，任何人员不得隐瞒。

　　A.13 . 8 所有紧急事件、事故报告需要形成书面文件并存档(包括所有相关活动的记录和证据等文件)。适用时，报告要包括事实的详细描述、原因分析、影响范围、后果评估、采取的措施、所采取措施有效性的追踪、预防类似事件发生的建议及改进措施等。

　　A.13 . 9 事故报告(包括采取的任何措施)需要提交机构管理层、安全委员会或 IRMC评审，适用时，还要提交更高管理层评审。

　　A.13 . 10 在发生事件或紧急情况后，需要进行后评估。

　　GB/T 27423—2019

　　附 录 B

　　(资料性附录)

　　检验检测服务事项清单示例

　　表 B. 1 给出了与服务提供者信任度等有关的事项清单。

　　表 B. 2 给出了与服务提供能力有关的事项清单。

　　表 B. 3 给出了与供方、员工和客户有关的事项清单。

　　表 B. 4 给出了与合同、支付和服务交付有关的事项清单。

　　表 B. 5 给出了与服务结果、服务环境、设备和保障措施有关的事项清单。

　　表 B. 6 给出了与各阶段沟通相关的事项清单。

　　表 B.1 与服务提供者信任度等有关的事项

　　GB/T 27423—2019

　　表 B.1(续)

　　GB/T 27423—2019

　　表 B.2 与服务提供能力有关的事项

　　表 B.3 与供方、员工和客户有关的事项

　　GB/T 27423—2019

　　表 B.3(续)

　　表 B.4 与合同、支付和服务交付有关的事项

　　GB/T 27423—2019

　　表 B.5 与服务结果、服务环境、设备和保障措施有关的事项

　　表 B.6 与各阶段沟通相关的事项

　　GB/T 27423—2019

　　表 B.6(续)

　　GB/T 27423—2019

　　参 考 文 献

　　[1] GB/T 19001—2016 质量管理 要求

　　[2] GB/T 19010—2009 质量管理 顾客满意 组织行为规范指南

　　[3] GB/T 19012—2008 质量管理 顾客满意 组织处理投诉指南

　　[4] GB/T 19013—2009 质量管理 顾客满意 组织外部争议解决指南

　　[5] GB 19489 实验室 生物安全通用要求

　　[6] GB 19781—2005 医学实验室 安全要求

　　[7] GB/T 21737—2008 为消费者提供商品和服务的购买信息

　　[8] GB/T 22576 医学实验室 质量和能力的专用要求

　　[9] GB/T 27020 合格评定 各类检验机构的运作要求

　　[10] GB/T 27025 检测和校准实验室能力的通用要求

　　[11] GB/T 27416 实验动物机构 质量和能力的通用要求

　　[12] GB/T 28222—2011 服务标准编写通则

　　[13] 中央企业全面风险管理指引(国务院国有资产监督管理委员会[2006])

　　[14] ISO/IEC 17025 : 2017 General requirements for the competence of testing and calibration labora- tories

　　[15] ISO 31000 : 2018 Risk management—Guidelines

　　[16] Enterprise risk management integrating with strategy and performance, 2017 , The Com- mittee of Sponsoring Organizations of the Treadway Commission, USA.