A01中華人民共和國國家標準合格評定檢驗檢測服務風險管理指南CGv國家市場監督管理總局國家標準化管理委員會GB／T27423—2019前言 引言 2規范性引用文件 3術語和定義 5內部環境 5.3人員能力和資源配置 5.4誠信和良好職業行為 6.3運營服務目標 6.4合規性目標 6.5信息可靠性目標 7事項識別 7.2事項的不確定性 8風險評估 8.4風險評估報告 9風險處理 10控制活動 11信息溝通 12監督和檢查 附錄A（資料性附錄）檢驗檢測機構風險管理體系的建立指南 附錄B（資料性附錄）檢驗檢測服務事項清單示例 參考文獻 ⅠGB／T27423—2019本標準按照GB/T1.1—2009給出的規則起草。本標準由全國認證認可標準化技術委員會(SAC/TC261)提出并歸口。本標準起草單位：中國合格評定國家認可中心、國家市場監督管理總局認證認可技術研究中心、上海電纜研究所有限公司、蘇州電器科學研究院股份有限公司、云南省環境監測中心站、浙江省醫學科技教育發展中心、國家體育用品質量監督檢驗中心、通標標準技術服務有限公司、中國船級社質量認證公司、廣州金域醫學檢驗中心有限公司。本標準主要起草人：呂京、魏軍艷、范愛紅、田燕超、張秀松、曹鵬、陳雪梅、易煜明、張榆霞、孫莉、ⅡGB／T27423—2019檢驗檢測是國家質量基礎設施的重要組成部分，屬于高技術服務業，又是高風險行業。檢驗檢測服務涉及國計民生，政策風險、技術風險、財務風險等無處不在。從國際相關標準發展趨勢看，風險管理已是管理的“內核”。新修訂發布的ISO9001:2015《質量管理體系要求》、ISO/IEC17025:2017《檢測和校準實驗室能力的通用要求》等標準均強調了基于風險的管理思維。在我國，檢驗檢測服務的風險管理一直是弱項，亟需實用且與現行管理體系高度融合的風險管理指南文件，以指引檢驗檢測機構建立基于風險思維的管理體系。本標準是針對我國檢驗檢測機構提供服務的特點，參考國際有關通用風險管理和服務標準制定的指南文件，目的是指導檢驗檢測機構建立基于風險思維的管理方法和體系。機構需結合自身服務的特點和風險偏好進一步細化要求，滿足國家政策、標準等對風險管理的要求，平衡風險-利益關系，在市場競爭中把握機遇，追求卓越。1GB／T27423—2019合格評定檢驗檢測服務風險管理指南本標準提供了檢驗檢測服務風險管理的總則、內部環境、目標設定、事項識別、風險評估、風險處理、控制活動、信息溝通、監督和檢查等環節的控制指南。本標準適用于提供檢驗檢測服務的機構。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T19000質量管理體系基礎和術語GB/T23694風險管理術語GB/T24353風險管理原則與實施指南GB/T24421.1服務業組織標準化工作指南第1部分：基本要求GB/T24620服務標準制定導則考慮消費者需求GB/T27000合格評定詞匯和通用原則GB/T27921風險管理風險評估技術3術語和定義GB/T19000、GB/T23694、GB/T24421.1、GB/T24620和GB/T27000界定的以及下列術語和定義適用于本文件。3.1壓力測試組織在某一特定的（主觀想象）的極端情況下的表現狀況。3.2內部控制組織內部實施的各種制約和調節組織、計劃、程序和方法等的管理行為。4.1風險管理是機構管理的有機組成部分，宜融入機構的文化和行為，貫穿于機構運營的全過程。4.2機構風險管理的原則是既要保證目標、基于合理的風險評估作出決策，又要保證風險評估和風險應對的過程合理、規范，以降低和控制不確定性。同時，要確保所有的人員都了解機構的目標，每個人均清楚彼此行為之間的關聯和對實現目標的作用。4.3內部環境、目標設定、事項識別、風險評估、風險處理、控制活動、信息溝通、監督和檢查是目前通用的基于風險思維的機構治理的關鍵環節，機構宜按上述八個環節（不限于）組織、策劃和實施風險管理，相關的指南見第5章～第12章。2GB／T27423—20194.4典型的風險管理過程如圖1所示，包括：識別信息和確定風險準則；進行風險識別、風險分析和風險評價；依據優先原則對風險進行處理；風險管理的各個環節均需有良好溝通機制，并做好相應的記錄；通過監督和檢查不斷完善和改進風險管理過程。其適用于機構服務過程中各類具體風險的管理，進一步見GB/T24353和GB/T27921等文件。機構檢驗檢測服務風險管理體系的建立指南可參見附錄A。圖1風險管理過程4.5機構需動態實施風險識別、分析和評價，定期或不定期再評估新的風險和原有風險的變化，并保證風險處理措施的及時性、有序性和有效性。4.6機構的管理體系通常不是單一的體系，可能涉及質量、能力、服務、環境、安全等，機構宜有機融合不同的管理要求，建立統一協調的基于風險思維的管理體系。5內部環境5.1.1內部環境是基于風險思維的機構治理要素的基礎，為其他要素提供約束和架構，其影響機構的目標和戰略如何制定，運營活動如何組織，風險評估如何進行，以及控制活動、信息與溝通體系和監督體系如何設計與實施。5.1.2管理層需要首先識別內部環境存在的風險，優化內部環境，制定合理的目標和措施，有效配置資源，平衡風險和利益關系，實現價值最大化。5.1.3內部環境管理包括組織結構、人員能力和資源配置、誠信和良好職業行為、組織文化、風險管理理念等內容。5.2組織結構5.2.1組織結構是保證機構高效運行的基礎，其設置要適宜于機構的規模和所從事活動的性質。5.2.2機構需確立崗位權力關系和授權程序、明確方針政策和目標、保證關鍵人員的勝任能力、保證為履行職責提供足夠的資源。5.2.3機構權力與職責的分配要有利于個人和團隊主動識別問題、指出問題和解決問題。5.3人員能力和資源配置5.3.1管理層要明確所有崗位的勝任能力要求，宜制定定期評估政策和獎懲政策。5.3.2需要對人員進行持續培訓、教育和評估，以保證其能力持續符合機構的發展需求。3GB／T27423—20195.3.3人員能力不僅包括崗位勝任能力，也包括主動識別問題、指出問題和解決問題的能力。5.3.4資源配置要保證滿足所提供服務的需求，包括（不限于）客戶對質量、能力、安全、舒適、時限、隱私等的需求。5.4誠信和良好職業行為5.4.1誠信和良好職業行為決定了人員對利益的取舍偏好，直接影響風險管理的有效性。機構要有可操作性的政策和措施促進誠信和良好職業行為的水平的提高。5.4.2機構要意識到管理層的誠信和良好職業行為水平決定了機構誠信和良好職業行為水平，建立機制保證管理層踐行良好行為和發揮表率作用，而不是僅有書面的規定。5.5組織文化5.5.1機構需要明確和建立具有個性化特征的組織文化。組織文化的形成過程是組織管理內化為自覺意識和行為的過程。5.5.2機構宜將風險管理理念融入組織文化建設全過程，要有可行的措施保證將風險管理轉化為員工的共同認識和自覺行動，以確保機構實現管理目標。5.6管理理念5.6.1機構需要明確和培訓基于風險的管理理念，并在任何活動（包括從戰略制定、執行到常規活動）中作為機構共同的理念和行為準則。5.6.2機構宜將建立基于風險的管理理念和培養員工形成自覺意識作為機構文化建設的核心任務。6目標設定6.1.1機構宜按適宜的程序設定目標，既要保證所設定的目標與機構的使命、愿景協調，也要保證符合機構的風險偏好。6.1.2檢驗檢測服務的目標可按戰略目標、運營服務目標、合規性目標、信息可靠性目標等進行分類和管理。目標的分類是相對的，目標之間可能有交叉或相互支持，需要根據機構和活動的特點對其分類。6.1.3在設定目標的過程中，機構不僅要確定目標和考慮其與機構使命、愿景的關系，而且要保證其與機構的風險容量相協調。6.1.4在實現目標的過程中，需要設定風險容限。在確定風險容限時，要考慮相關目標的權重，并使風險容限與風險容量相協調，確保在風險容限之內，不突破機構的風險容量。6.2.1戰略目標是機構的高層次目標，是制定機構發展戰略和各相關目標的依據。機構制定的戰略目標要符合其使命和發展愿景。6.2.2戰略目標的確定過程需要基于風險評估，要保證機構有較大的可能性實現其期望。戰略目標通常是相對穩定的，它的實施戰略和相關目標是動態的，需要隨著內部和外部條件的變化而調整。6.3運營服務目標6.3.1要保證運營服務目標可支撐機構戰略目標，與機構的資源和能力相匹配，反映市場需求，具備競爭性。6.3.2運營服務目標需要體現機構運行和服務的質量、有效性和效率，如提交檢驗檢測報告的期限、投訴的處理時間、環境指標、安全指標、客戶滿意度等。4GB／T27423—20196.3.3運營服務目標是機構配置資源的重要依據，要保證其明確且符合實際。6.3.4運營服務目標要明確、可評價、可考核。6.3.5當有追溯要求時，機構需要控制輸出的唯一性標識，并保留所需的記錄以實現可追溯性。6.4合規性目標6.4.1機構要追蹤、識別適用的法律、法規和標準，及時納入其管理要求。符合相關的法律、法規、標準和規定是機構目標的最低要求。6.4.2在進行風險評估時，首先要評估各項活動和輸出的合規性。6.4.3檢驗檢測機構涉及的法規和標準包括機構設立、服務范圍、資質、環境及職業健康安全、員工福利、合同、財務、運營等，是機構維持其運營資格的必要條件。6.5信息可靠性目標6.5.1信息是決策的依據。機構利用或輸出的信息要可靠，確保其客觀、真實、準確、完整和有效。6.5.2信息可靠性不僅包括與檢驗檢測結果相關的數據、報告等的可靠性，也包括機構的各種運行和服務質量參數、監控報告、財務等各類報表、內審報告、風險評估報告、向公眾提供的信息、提交給監管部門等相關方的報告、合同等信息的可靠性。6.5.3適用時，宜建立信息可靠性評估機制。7事項識別7.1.1事項是源于機構內部或外部的影響目標實現的事情或事件。事項可能有負面影響，即風險，也可能有正面影響，即機會，或兩者兼有。在目標或戰略制定過程中，機構宜同時考慮風險和機會。7.1.2外部事項包括機構所處外部環境的歷史、現在和未來變化的各種事項，至少需要考慮以下方面：—法律、法規、標準等的要求和變化；—技術、金融和自然環境；—外部利益相關者的訴求、價值觀、風險承受度；—利益相關方之間的關系；—其他影響機構目標實現的外部主要因素。7.1.3內部事項包括機構實現目標所面臨的內在環境的歷史、現在和未來變化的各種事項，至少需要考慮以下方面：—機構的方針、目標；—組織結構、人員勝任能力、管理模式；—機構各方面的資源配置；—內部管理者和人員的訴求、價值觀、組織文化和風險承受度；—人員面臨的利益沖突和壓力；—風險準則；—風險評估和績效評估；—機構內影響管理的其他任何因素。7.1.4要確保機構具備適宜的能力，以認識和識別事項的深度、廣度、影響范圍、發生時機、交互作用等的復雜性。要意識到，事項彼此之間的關系是復雜的，很少有孤立發生的事項。7.2事項的不確定性7.2.1事項的發生和其后果具有不確定性，事項并非總能事先被識別出來。通常用發生概率和嚴重性5GB／T27423—2019綜合表征事項的風險。7.2.2在事項識別的過程中，對發生頻率高的事項，要充分評估其對風險容量的貢獻，合理設置風險容限；對后果嚴重的事項，宜謹慎設置風險容限，即使發生的可能性比較低，也不可被忽略。7.3信息管理7.3.1可行時，機構宜建立信息管理系統，涵蓋風險管理基本流程和內部控制系統各環節，包括信息的7.3.2信息管理系統要可以及時有效地獲取內外部環境及其他相關信息，以識別、管理風險和利用機會。7.3.3信息管理系統的功能宜實現對各種風險量化和分析，生成動態風險矩陣圖和排序頻譜，對重大風險和重要業務流程動態監控并對超過控制限的風險進行報警，滿足內部信息報告制度和對外信息披露制度的要求。7.3.4信息可以通過多種方式獲取，如：經驗、反饋、觀察、預測和專家判斷等，利用信息時要考慮信息的來源和其代表性。7.3.5信息宜實現在各職能部門、業務單位之間的集成與共享，既滿足單項業務風險管理的要求，也滿足機構整體和跨職能部門、單位的風險管理綜合要求。8風險評估8.1.1.1風險識別效率的關鍵在于參與人員的經驗、知識水平、對活動過程的了解程度、風險源的特性和信息的全面性。需要對前人經驗和教訓進行收集、分析和整理，并熟悉機構服務相關的內部環境和外部環境。要注意，同樣的危險因素，對不同的機構或人而言，風險是可能完全不同的。8.1.1.2根據機構自身的特點，制定并不斷完善“事項或危險源清單”。“事項或危險源清單”有助于風險識別，隨著經驗的積累，其將越來越接近實際情況。8.1.1.3檢驗檢測服務事項清單示例參見附錄B。檢驗檢測服務的要素可包括但不限于：—服務提供者；—其他利益相關方；—外部環境；—服務資質；—服務標準；—服務人員；—服務環境；—服務設施設備；—服務合同；—履行合同；—服務提供過程；—客戶溝通；—服務結果；6GB／T27423—2019—售后服務；—服務評價標準；—糾紛的解決。8.1.1.4檢驗檢測服務涉及供方、需方、利益相關方和外部環境，如圖2所示。圖2檢驗檢測服務示意圖檢驗檢測機構內部環境對檢驗檢測服務帶來的風險包括但不限于：息、質量、倫理、職業健康安全、安保、應急能力系統等方面的風險；—技術風險，包括設施設備、實驗材料、環境、數據可靠性、失誤、檢驗檢測程序與方法、計量與標準、原始數據、超能力范圍、新技術研發與應用、創新能力與競爭性、資質等方面的風險；危機處理、與相關方的溝通、合規性等方面的風險；—信用風險，包括信譽、社會責任、價值觀、知識產權、機構形象等方面的風險。外部原因對檢驗檢測服務帶來的風險包括但不限于：7GB／T27423—2019—市場風險，包括市場需求變化、競爭者及替代品、新市場開發、合同糾紛、市場營銷等方面的風險；—技術風險，包括相關的外部機構的技術能力、技術服務、技術標準等的缺陷或差異帶來的風險；—經濟風險，包括物價、宏觀經濟狀況、保險、賠付、收支、勞動力價格、發展、資產保值、廉政等方面的風險；—法律風險，包括國內外相關法律環境及差異、法規變化、會計政策差異和變動等方面的風險；—客戶的風險，包括合同違約、變更、破產、法律糾紛等方面的風險；—合作方的風險，包括由合作方提供的過程、產品、服務、檢驗檢測活動分包等方面的風險；—其他相關方的風險，包括來自管理部門、評價部門、結果利用方等方面的風險；—自然災害風險，包括臺風、洪水、地震等造成的自然災害等；—其他機構的案例收集與借鑒。8.2風險分析8.2.1在風險分析過程中，需要對識別出的風險源和風險原因、事件發生的可能性及其后果、影響后果和可能性的因素及它們的相互影響等進行定性或定量分析，為風險評價和風險應對提供支持。8.2.2風險分析技術可分為定性(Qualitative)分析和定量(Quantitative)分析，常見的風險評估技術及適用性說明見GB/T27921。具體采用何種分析技術或如何組合使用，取決于風險的特性、對風險的認知程度和控制要求。8.2.3風險分析需要考慮固有風險和剩余風險，主要目標是確定事項發生概率的大小和后果的嚴重程度，其分級可以參考表1和表2。對風險排序可依據其概率大小和后果的嚴重程度進行矩陣分析或采用風險圖示法等，具體表示見圖3。表1概率分級示例表發生情況概率范圍實際不可能發生極為不可能發生非常不可能發生一般不可能發生發生的可能性較小有可能發生很可能發生表2后果分級示例表后果描述可以忽略損失等無關緊要很小損失等不是很重要中度損失等中等較大損失等較重重大損失等嚴重、重大極大損失等慘重、災難注：表中“損失”在不同領域可有不同的含義，如財產損失、生命損失等。8GB／T27423—2019圖3三區域風險圖示8.2.4根據風險類型、分析的目的、可獲得的信息數據和資源、決策需求等，風險分析可以有不同的詳細程度。從風險管理的有效性和成本看，風險分析越精確，后續措施就越有針對性，應對成本則會降低，風險管理的有效性就會提高。對于控制措施簡單、單一或代價很低的風險的管理，過于追求風險分析的精確性反而增加成本，此時，可采取保守的風險應對措施。8.3.1要依據機構確定的風險準則進行風險評價。風險準則需要基于法律法規、標準、風險管理目標、風險偏好、機構的風險容量和風險容限、相關方的承受能力等的確定。8.3.2風險評價需要明確可以接受的風險、需要處理的問題以及優先順序和策略。在很多情況下風險是不可避免的。為了追求特定的結果（如：新技術）或更大的利益（如：整體利益一般不需要消除所有的風險，有時，消除所有風險是不現實的。8.3.3如果可行，要統一各類風險的度量單位和風險度量模型，并通過測試確保評價系統的合理性和準確性，包括假設前提、參數、數據來源和評估程序等。需根據內外部環境的變化，定期對評價系統評審、與實際情況對比，需要時進行修正。8.3.4風險可分為可接受、合理和不容許存在三種情況（見圖3)。要意識到，“合理”并非是接受不必要風險的理由。特別是風險涉及安全與健康時，若在技術上和經濟上可行，宜盡可能考慮將風險降至最低水平。8.4風險評估報告8.4.1風險評估報告要有助于決策者對風險及其原因、后果和可能性有更充分的理解，并為以下事項提供信息：—是否需要開展某些活動；—是否影響預期目標的實現；—如何充分利用時機；—是否需要應對風險；—選擇不同風險的應對策略；—確定風險應對策略的優先次序；—選擇最適合的風險應對策略，將風險的不利影響控制在可以接受的水平。8.4.2機構可自行組織撰寫風險評估報告，也可聘請外部專業機構進行風險評價，并提供風險評估報告。風險評估報告的內容包括但不限于：9GB／T27423—2019—目標及范圍；—系統相關部分的說明及其功能；—機構的內外部環境描述以及被評估對象與內外環境的關聯情況；—所使用的風險準則及其合理性；—假定及假設的合理性；—評估方法；—風險識別結果；—數據的來源與驗證；—風險分析結果及評價；—敏感性及不確定性分析；—關鍵假定和其他需要加以監測的因素；—結果討論；—結論和建議；—參考資料。9風險處理9.1機構要依據風險評估報告，確定風險處理對策。即基于內部環境和外部環境狀態，圍繞機構發展目標，確定風險偏好、風險承受度、風險管理有效性標準，明確風險處理原則，并確定風險管理所需的人力和物力資源配置原則。9.2風險處理原則包括但不限于：—通過決定不開展或停止產生風險的活動，來規避風險；—為尋求機會，接受或提高風險；—消除危險源；—改變事項發生的可能性；—改變事項發生的后果；—轉移、對沖或與另一方／多方共擔風險；—通過有事實依據的決策，保留風險；—考慮對利益相關方的影響；—考慮風險處理措施引入的風險。9.3機構需要正確認識和把握風險與收益的平衡，根據其服務特點確定風險偏好、風險承受度、風險管理的優選順序，以及安排風險管理的組織體系、資源和應對措施等。9.4機構需要定期對風險管理策略的合規性、充分性、有效性和適宜性進行評審，并結合實際情況持續改進。10控制活動10.1機構需要實施有效的控制活動，建立風險處理的政策、過程、操作規范及計劃，并有效實施和記錄，以保證機構確定的應對風險的策略和措施可有效實行。10.2控制活動要充分考慮滿足開展風險處理的資源需求，包括組織管理、職責、權限、資源、過程、方10.3需要定期對實施的控制活動評審并持續改進。GB／T27423—201911.1建立有效的外部和內部溝通、報告和協商機制，以保證實施風險管理過程的職責明確，保證人員能夠按程序、按計劃履行責任，以及保證內外部利益相關方理解決策的基礎、原因、后果和特定的措施。11.2溝通和協商過程需要提供真實、準確、便于理解的相關信息，要考慮保密需求。11.3機構需要在風險管理過程的所有階段與內、外部利益相關方溝通和協商。11.4機構的內部溝通、報告和協商的內容包括但不限于：—及時告知風險管理的相關要求、職責、過程、方法、計劃等和任何后續的更改；—及時告知員工面臨的任何危險及后果；—對發現任何潛在危險或不符合工作的報告程序；—提供危險源標識系統和安全手冊；—涉及職業健康安全時，提供保證員工參與決策過程的機制和利益協商機制；—涉及保密或個人隱私的報告程序。11.5機構的外部溝通、報告和協商的內容包括但不限于：—溝通、協商、報告和反饋渠道及安排；—確保利益相關方的觀點、利益被理解和考慮；—對法律法規和管理要求的符合情況；—緊急或突發事件的溝通；—提供適宜的幫助，以明確狀況；—對風險處理計劃的認同與支持；—變更事項的溝通；—涉及保密事項的溝通、報告程序。12監督和檢查12.1監督和檢查是機構風險管理體系的重要組成部分，要貫穿于機構風險管理的整個過程之中。12.2要通過監督和檢查，包括采用壓力測試、比對、模擬等方法，及時發現體系、實施、結果等層面的問題和機會，避免事態擴大和促進持續改進。12.3要保證監督和檢查的有效性，其依賴于監督和檢查的程序、方法、時機和人員的能力。可行時，宜采取持續監控的方式。12.4監督和檢查的范圍、頻率與機構的風險策略、處理風險的優先順序、風險目標、風險特征等有關，要加強對重點領域的監督和評審。根據需要，機構可以聘請外部人員參與監督和檢查。12.5外部的監督或檢查活動通常不能代替機構內部的監督或檢查活動。12.6監督和檢查可以定期或不定期實施，以保證：—管理體系和控制活動的有效性和效率，結果滿足預期；—獲得改進風險管理的信息；—對事件、變化、趨勢、措施的有效性等進行分析并獲取經驗；—識別出現的任何風險或機會，并及時采取措施。GB／T27423—2019附錄A（資料性附錄）檢驗檢測機構風險管理體系的建立指南A.1組織與管理A.1.1檢驗檢測機構（以下簡稱機構）或其母體組織要有明確的法律地位和從事相關活動的資格。A.1.2機構的法人或其母體組織的法人要承擔對機構合法運行的責任，并保證有足夠的資源。A.1.3適用時，可依據GB/T27025、GB/T22576、GB/T27020、GB19489、GB/T27416等標準建立機構的管理體系。A.1.4風險管理體系是機構管理體系的組成部分。管理層負責風險管理體系的設計、實施、維持和改—為機構所有人員提供履行其職責所需的適當權力和資源；—明確機構風險管理的組織結構，并規定所有人員的職責、權力和相互關系，建立內部監督和約束體系，并保證其運作的獨立性和制約性；—建立風險管理政策、程序、措施、操作規范等，并作為機構的管理體系文件的組成部分；—指定風險管理負責人，賦予其相關的職責和權力，并提供可以滿足其履行職責的資源；—指定每項活動的項目負責人，其負責制定并向風險管理負責人提交活動方案和計劃、風險評估報告、安全及應急措施、項目組人員培訓計劃、職業健康監督計劃、安全保障及資源要求等；—批準機構風險管理總體目標、風險偏好、風險承擔能力和風險管理策略，并符合主管部門的規定；—批準重要決策、重要風險、重要事件和重要業務流程的判斷標準或判斷機制，以及重要決策的風險評估報告和重要風險管理解決方案；—掌握機構面臨的各項重要風險及其風險管理現狀，做出有效控制風險的決策；—批準機構風險管理內部審核報告以及機構的全面風險管理年度工作報告；—涉及機構全面風險管理的其他重要事項。宜設立機構風險管理委員會(以下簡稱并設負責人。IRMC負責：—提交機構的全面風險管理年度報告；—審議機構風險管理總體目標、風險偏好、風險承擔能力和風險管理策略；—審議重要決策、重要風險、重要事件和重要業務流程的判斷標準或判斷機制，以及重要決策的風險評估報告和重要風險管理解決方案；—審議機構風險管理內部審核報告；—審議風險管理組織機構設置及其職責方案；—為風險管理措施提供建議；—監督和向管理層報告任何部門或個人不符合風險管理制度的行為；—辦理管理層授權的有關全面風險管理的其他事項。A.1.6建立明確的政策和機制，以保證IRMC可以獨立行使權力，機構負責人不宜是IRMC的成員。A.1.7機構宜設立專職部門或確定相關職能部門履行全面風險管理的職責，履行的職責包括但不限于：—研究提出全面風險管理工作報告；GB／T27423—2019—研究提出跨職能部門的重要決策、重要風險、重要事件和重要業務流程的判斷標準或判斷機制；—研究提出跨職能部門的重要決策風險評估報告；—研究提出風險管理策略和跨職能部門的重要風險管理解決方案，并負責該方案的組織實施和對該風險的日常監控；—負責對全面風險管理有效性評估，研究提出全面風險管理的改進方案；—負責組織建立風險管理信息系統；—負責組織協調全面風險管理日常工作；—負責指導、監督有關職能部門等開展全面風險管理工作；—辦理管理層授權的有關全面風險管理的其他事項。A.1.8在全面風險管理工作中，機構各職能部門需要接受風險管理職能部門的組織、協調、指導和監督。A.1.9機構需要把風險管理納入所有決策過程當中，并在決策中充分考慮機構的內外部環境，注重各利益相關方之間的溝通。A.1.10機構的管理體系可能涉及質量、安全、動物福利等內容，需要與機構規模、活動的復雜程度、工作內容和風險相適應，并覆蓋所有設施設備和場所，包括臨時的、移動的設施設備和場所。A.1.11涉及不同的管理要求時，機構宜建立協調統一的管理體系，在保證無利益沖突的前提下人員可以兼職，以保證工作效率和可操作性。A.1.12若涉及生物安全A.1.13建立政策和程序保證機構的任何一項活動在實施前已經過系統的評估，以保證符合適用的法規、標準以及機構的規定，風險水平可接受，并具備可實施性。A.1.14指定專門人員負責處理來自政府、公眾、合作者等各方面的關于機構服務的事務。A.1.15指定專門人員負責與客戶和相關方溝通相關的風險信息、機構政策等內容。A.2管理體系文件A.2.1.1管理體系文件宜包括風險管理相關的政策、程序、說明及操作規程、記錄等文件，明確機構風險管理的方針和目標。管理方針要簡明扼要，至少包括以下內容：—遵守國家以及地方相關法規和標準的承諾；—遵守誠信、良好職業行為的承諾；—保證員工職業健康、安全和利益的承諾；—為客戶提供安全、良好服務的承諾；—風險管理的宗旨和策略。A.2.1.2風險管理的目標宜包括戰略目標、運營服務目標、合規性目標和信息可靠性目標。A.2.1.3管理目標宜包括對管理活動和技術活動制定的控制指標以及安全指標，各項指標要明確，并與管理方針保持一致，可測量、可考核、可監視、可溝通，適時更新。A.2.1.4在系統評估的基礎上確定管理目標及控制要求，并根據機構活動的復雜性和風險程度定期評審管理目標、控制指標和制定監督檢查計劃。A.2.2管理手冊A.2.2.1規定和描述機構的方針和目標、組織結構、人員崗位及職責、對機構的要求、管理體系、體系文件架構等。對機構的要求要滿足國家和地方相關規定及標準的要求。GB／T27423—2019A.2.2.2明確規定管理人員的權限和責任，包括保證其所管人員遵守管理體系要求的責任。A.2.2.3所有政策和要求要以國家主管部門和國際標準化組織等機構或行業權威機構發布的指南或標準等為依據，并滿足國家相關法規和標準的要求。A.2.3程序文件A.2.3.1明確規定實施各項要求的責任部門、責任范圍、工作流程及責任人、任務安排及對操作人員能力的要求、與其他責任部門的關系、應使用的工作文件等。A.2.3.2滿足機構實施各項要求的需要，工作流程清晰，各項職責得到落實。A.2.4說明及操作規程A.2.4.1詳細說明使用者的權限及資格要求、潛在危險、設施設備的功能、活動目的和具體操作步驟、防護和安全操作方法、應急措施、文件制定的依據等。A.2.4.2維持并合理使用工作中涉及的各項活動的風險信息，以及所有材料的最新安全數據單。A.2.5風險資料A.2.5.1建立風險信息系統，系統識別和收集相關的來源于內部和外部的歷史資料、事故報告、歷次檢查的結果、潛在的危險源等；資料要易于查詢和使用。A.2.5.2需要時，制定適用于不同部門或崗位的安全手冊，提示重要的風險和應對措施；在工作區，安全手冊要隨時可供使用，并要求相關的員工在工作前已經理解了相關的內容和要求。A.2.5.3安全手冊要簡明、易懂、易讀，管理層至少每年對安全手冊評審，需要時更新。A.2.5.4適用時，為客戶和相關方提供風險信息、機構的政策和相關的解釋等資料。A.2.6.1明確規定對相關活動進行記錄的要求，至少包括：記錄的內容、記錄的要求、記錄的檔案管理、記錄使用的權限、記錄的安全、記錄的保存期限等。保存期限要符合國家和地方法規或標準的要求及合同的規定。A.2.6.2建立對記錄進行識別、收集、索引、訪問、存放、維護及安全處置的程序。A.2.6.3確保原始記錄真實、提供足夠的信息并可追溯。A.2.6.4對原始記錄的任何更改均不影響識別被修改的內容，修改人需要簽字和注明日期。A.2.6.5記錄要便于檢索、易于使用，對記錄的調閱需要符合保密規定。A.2.6.6記錄可存儲于任何適當的媒介，包括形成電子文件，要符合國家和地方的法規或標準的要求需要。A.2.6.7需具備適宜的記錄存放條件，以防損壞、變質、丟失或未經授權的進入。A.2.6.8要保證報告管理系統、財務管理系統、人事管理系統等數字化信息管理系統及數據的安全性、可靠性，并符合國家標準。A.2.7標識系統A.2.7.1機構用于標示危險區、警示、指示、證明等的圖文標識是管理體系文件的一部分，包括用于特A.2.7.2標識要明確、醒目和易區分。只要可行，使用國際、國家規定的通用標識。A.2.7.3系統而清晰地標示出控制區，在某些情況下，宜同時使用標識和物理屏障標示出控制區。GB／T27423—2019A.2.7.5若涉及生物安全管理，適用時，見GB19489關于標識的要求。A.3信息管理系統A.3.1機構宜將信息技術應用于風險管理的各項工作，建立涵蓋風險管理基本流程和內部控制系統各A.3.2如果機構建立了信息管理系統，要有機制保證其安全性和可靠性。A.4組織文化A.4.1組織文化建設宜包括風險管理文化的建設，以促進風險管理水平。A.4.2制定員工道德誠信準則，以降低管理風險和管理成本。A.4.3風險管理文化要利于將風險管理意識轉化為員工的共同認識和自覺行動。A.4.4風險管理文化建設宜與機構的管理制度建設相結合。A.4.5風險管理文化需要融入到各個職能層面，注重增強各級管理人員特別是高級管理人員的風險意識。A.5人員要求A.5.1所有工作人員均要經過適當的能力、素質、誠信、道德等培訓，保證勝任其崗位。A.5.2持續評估員工的勝任能力并保證員工的繼續教育機會。A.5.3適用時，員工無職業禁忌證。A.5.4建立重要管理及業務流程、風險控制點的管理人員和業務操作人員崗前風險管理培訓制度，并安排有能力的專業人員，依據員工的經驗和職責對其進行必要的風險知識和風險技術培訓。A.5.5指導所有人員使用和應用與其相關的管理體系文件及其實施要求，并評估其理解和運用的能力。A.5.6確保所有人員具備其負責的活動的能力，以及評估偏離影響程度的能力。A.5.7當主管部門有要求時，適用的人員需要具備資質證書。A.6檢查A.6.1管理層負責組織實施檢查，每年需要至少根據管理體系的要求系統性地檢查一次，對關鍵控制點可根據風險評估報告適當增加檢查頻率。A.6.2為保證檢查工作的質量，要按事先制定的適用于不同工作領域的核查表實施檢查。A.6.3當發現潛在風險、不符合規定的工作、發生事件或事故時，要立即查找原因并評估后果；必要A.7風險、不符合工作的識別和控制A.7.1制定風險、不符合工作的識別政策和程序，主動識別潛在的各種風險和不符合工作。A.7.2當發現有潛在風險或任何不符合機構所制定的管理體系的要求時，管理層宜采取以下措施（不限于—將解決問題的責任落實到個人；GB／T27423—2019—明確規定應采取的措施；—只要發現很有可能造成不利事件、損失或傷害，適用時，立即終止活動并報告；—評估風險、不符合項工作的嚴重性，包括評估對先前結果的影響，必要時，需要采取補救措施或應急措施；—系統分析原因和影響范圍，只要適用，及時采取適當的糾正措施；—進行新的風險評估并驗證措施的有效性；—明確規定恢復工作的授權人及責任；—記錄每一不符合項及對其處理的過程并形成文件。A.7.3管理層需要按規定的周期評審不符合項報告，以發現趨勢并采取預防措施。A.8糾正措施A.8.1糾正措施程序中要包括識別問題發生的根本原因的調查程序。糾正措施要與問題的嚴重性及風險的程度相適應。只要適用，糾正措施程序中要明確需要及時采取的預防措施。A.8.2管理層負責將因糾正措施所致的管理體系的任何改變文件化并實施。A.8.3管理層負責監督和檢查所采取糾正措施的效果，以確保這些措施已有效解決了識別出的問題。A.9預防措施A.9.1識別無論是人員、環境、技術還是管理體系方面的不符合項來源和所需的改進，定期進行趨勢分析和風險分析，包括對外部評價的分析。如果采取預防措施，需要制定行動計劃，監督和檢查實施效果，以減少類似不符合項發生的可能性并借機改進。A.9.2預防措施程序包括對預防措施的評價，以確保其有效性。A.10持續改進A.10.1建立機制保證所有員工主動識別所有潛在的不符合項來源、識別對管理體系或技術的改進機會。適用時，及時改進識別出的需改進之處，制定改進方案，文件化、實施并監督。A.10.2征求客戶的反饋意見，無論是正面的還是負面的。分析和利用這些反饋意見，可以幫助改進管理體系、機構活動和客戶服務。A.10.3設置可以系統地監測、評價相關活動的客觀指標。A.10.4如果采取措施，要通過重點評審或審核相關范圍的方式評價其效果。A.10.5需要時，及時將因改進措施所致的管理體系的任何改變文件化并實施。A.10.6需要評估改進措施可能引入的新的風險。A.10.7為所有員工提供相關的教育和培訓，保證其有能力參與改進活動。A.11.1機構的內部審核體系需要與機構的風險內部監督和約束體系相協調。A.11.2內部審核宜包括以風險控制為目的的全面審核，包括內部財務審計。A.11.3如果涉及多項管理體系或系統的要求，宜按領域策劃、組織并實施審核。A.11.4依據有關過程的重要性、對機構產生影響的變化和以往的審核結果，策劃、制定、實施和保持審核方案，審核方案包括頻次、方法、職責、策劃要求和報告。GB／T27423—2019A.11.5如果發現不足或改進機會，及時采取適當的措施，并在約定的時間內完成。A.11.6正常情況下，按不大于12個月的周期對管理體系的每個要素進行內部審核。A.11.7為保證審核工作的獨立性，員工不宜審核自己的工作。A.11.8內部審核的結果需要提交IRMC和管理層評審。A.12管理評審A.12.1按計劃的時間間隔對管理體系進行評審，以確保其適宜性、充分性和有效性持續符合要求，并與機構的戰略方向保持一致，包括質量、能力、安全、服務等方面的管理。A.12.2管理評審包括涉及風險管理的內容。A.13應急管理和事故報告A.13.1針對重要風險制定應急管理政策、程序和措施，需要時，征詢相關主管部門的意見和建議。A.13.2以國家法律法規、國家和地方的應急預案和要求為基礎制定機構的應急措施，需同時考慮機構的特點和資源，應急措施中要包括緊急撤離計劃。機構的首要責任是保護人員安全和避免波及公共安全。A.13.3建立程序和方法，以識別和監測潛在的事件或緊急情況，并作出響應，以預防和減少可能隨之A.13.4適用時，應急程序至少包括負責人、組織、應急準備和響應、應急通信、報告內容、應對程序、應急設備和工具包、危險源隔離與控制、風險溝通等內容。A.13.5需要使所有人員（包括來訪者）熟悉應急行動計劃、撤離路線和緊急撤離的集合地點。A.13.6定期演練和評估涉及各種風險的應急程序和應急預案，并制定年度計劃。每年進行專項演練，如電力系統故障、危險物質泄漏、信息管理系統故障等應急處置演練，并至少組織所有員工進行一次撤離演習。A.13.7建立報告緊急事件、傷害、事故、職業相關疾病以及潛在危險的政策和程序，符合國家和地方對事故報告的規定要求，任何人員不得隱瞞。A.13.8所有緊急事件、事故報告需要形成書面文件并存檔（包括所有相關活動的記錄和證據等文件）。適用時，報告要包括事實的詳細描述、原因分析、影響范圍、后果評估、采取的措施、所采取措施有效性的追蹤、預防類似事件發生的建議及改進措施等。A.13.9事故報告（包括采取的任何措施）需要提交機構管理層、安全委員會或IRMC評審，適用時，還要提交更高管理層評審。A.13.10在發生事件或緊急情況后，需要進行后評估。GB／T27423—2019附錄B（資料性附錄）檢驗檢測服務事項清單示例表B.1給出了與服務提供者信任度等有關的事項清單。表B.2給出了與服務提供能力有關的事項清單。表B.3給出了與供方、員工和客戶有關的事項清單。表B.4給出了與合同、支付和服務交付有關的事項清單。表B.5給出了與服務結果、服務環境、設備和保障措施有關的事項清單。表B.6給出了與各階段溝通相關的事項清單。表B.1與服務提供者信任度等有關的事項客戶關注事項服務要素有關服務提供者和服務的問題1.客戶對服務提供者的信任需要有關誠信、聲譽、償付能力、可靠性、優良服務質量等方面的信息。信息可能直接來自服務提供者，包括品牌名稱、客戶服務相關規范的使用。信息也可來自第三方，例如來自其他客戶、對服務評級或認證認可等評價機構的信息服務提供者溝通供方2.客戶與接受該服務的條件符合性某些服務適合于所有客戶，某些服務需要客戶滿足一定條件客戶溝通3.客戶是否可從服務提供者處獲得價格、性價比、可選等方面的足夠信息，以便能夠作出正確的決策客戶溝通4.客戶能否理解信息；信息是否易于利用和使用；信息是足夠還是過多或過少客戶溝通5.服務提供者或者服務的某些方面對客戶決策的影響例如環境、健康和安全、機構或服務的社會影響和責任服務提供者溝通6.服務提供者及其員工對客戶的態度及幫助例如禮貌用語、行為舉止、接待指引等員工溝通7.客戶與機構聯系的便利性例如辦公開放時間、網站、免費熱線服務電話、電子郵件等服務環境設備溝通8.對客戶的特殊需求和局限如涉及隱私、宗教文化、殘障等服務環境設備有關購買或預約服務階段的問題9.客戶對合同的理解（或默認合同）合同溝通10.合同給客戶提供的信息是否足以支持客戶做決策例如清楚規定買方、賣方和第三者權利義務，格式合同，撤銷權等合同溝通GB／T27423—2019客戶關注事項服務要素11.客戶是否可以清楚預見該服務能為其帶來什么交付溝通12.客戶是否能試用該服務服務環境設備溝通13.客戶是否可以選擇不同類型或等級的服務，如果可以，信息是否清楚交付服務環境設備溝通14.客戶是否可以采用不同支付方式，是否清晰說明例如通過互聯網支付、從銀行賬戶扣除等交付服務環境設備溝通有關服務交付的問題15.客戶是否在預定時間，以預期的方式享受到預期的服務質量交付服務結果溝通16.服務的提供是否安全，是否尊重客戶的隱私，且不損害健康和環境交付服務結果設備服務環境保障措施溝通17.機構是否以禮貌、專業、友善的方式和適當的態度提供了服務職員溝通有關售后／后期服務的問題18.客戶如何投訴，是否有可供選擇的投訴方式保障措施溝通19.客戶的投訴是否得到迅速、禮貌、專業的處理，服務是由國內提供還是國外購買職員溝通20.如果服務提供者沒有解決客戶的問題，客戶是否可以請第三方考慮其訴求職員保障措施溝通21.如需要，是否能提供應急服務保障措施GB／T27423—2019表B.2與服務提供能力有關的事項服務要素相關主題要考慮的事項服務提供者提供下列一種或多種服務：—檢驗檢測服務—研發服務—專家意見／支持—培訓和教育—設備或場所租用質量管理國家法律法規、協議和標準，例如GB/T27025、GB/T22576、GB/T27029、GB19489、GB/T27416、GB/T19001和GB/T19004;行業要求，如資質認定管理要求等環境管理相關標準，例如GB/T24001職業健康安全管理GB/T28001等；職業危害，如化學、物理、生物、輻射等危害因素安全管理國家法律法規、協議和標準，如《病原微生物實驗室安全管風險管理國家法律法規、協議和標準，例如本標準償付能力和其他協議方面財務穩定性，包括責任保險國家法律法規、協議和標準誠信例如誠信聲明職業和機構守則第三方相關資料的獲得能力獲得的資質、認可、認證等規模、資源、服務范圍、保證措施等社會責任國家法律法規、協議和標準，組織或行業要求等人力資源例如最少員工人數及其技能和資質可能影響服務、質量、安全、防護或保障措施等表B.3與供方、員工和客戶有關的事項服務要素相關主題要考慮的事項供方可能提供：—作為服務的一部分的物品；—參與提供服務的人員分包外部服務外部采購國家法律法規、協議和標準；具體行業規范或機構守則計等員工主要是指直接與客戶接觸的人員知識所要求的相關領域知識，例如對目標客戶的語言和溝通技巧、投訴程序等技能和資質資格的最低要求和必要的經驗；必要時，需要具備良好的GB／T27423—2019服務要素相關主題要考慮的事項員工主要是指直接與客戶接觸的人員態度在服務交付所有階段和職業態度，包括行為和決策責任、禮貌周到、客戶信息保密培訓機構的政策和程序，包括監督表現，例如態度、安全、投訴過程知識、特殊需求意識客戶潛在或現實客戶客戶允許