合格评定检验检测服务风险管理指南

合格评定检验检测服务风险管理指南

国家标准 GB/T27423一2019 合格评定检验检测服务风险管理指南 Conformityassessment一Guidetoriskmanagementfor inspectionandtestingseriees 2019-12-31发布 2020-07-01实施 国家市场监督管理总局 发布 国家标涯花管理委员会国家标准
GB/T27423一2019 次 目 前言 引言 范围 规范性引用文件 术语和定义 总则 5 内部环境 5.1概述 5.2组织结构 5.3人员能力和资源配置 5.！诚信和良好职业行为 5.5组织文化 5.6管理理念 目标设定 6.1概述 6.2战略目标 6.3运营服务目标 6.4合规性目标 6.5信息可靠性目标 事项识别 概述 7.1 7.2事项的不确定性 7.3信息管理 风险评估 8.1风险识别 8.2风险分析 8.3风险评价 8.4风险评估报告 9 风险处理 10 控制活动 1 信息沟通 监督和检查 12 0 附录A资料性附录检验检测机构风险管理体系的建立指南 17 附录B资料性附录检验检测服务事项清单示例 23 参考文献
GB/T27423一2019 前 言 本标准按照GB/T1.1一2009给出的规则起草 本标准由全国认证认可标准化技术委员会(SAC/TC261)提出并归口 本标准起草单位;合格评定国家认可中心,国家市场监督管理总局认证认可技术研究中心、上 海电缆研究所有限公司苏州电器科学研究院股份有限公司、云南省环境监测中心站、浙江省医学科技 教育发展中心、国家体育用品质量监督检验中心,通标标准技术服务有限公司、船级社质量认证公 司、广州金域医学检验中心有限公司 本标准主要起草人;吕京、魏军艳、范爱红、田燕超、张秀松、曹鹏、陈雪梅、易煜明、张愉霞、孙莉 徐晓鹏、顾华、翁景清、胡朝晖、李卫华
GB/T27423一2019 引 言 检验检测是国家质量基础设施的重要组成部分,属于高技术服务业,又是高风险行业 检验检测服 务涉及国计民生,政策风险、技术风险、财务风险等无处不在 从国际相关标准发展趋势看,风险管理已是管理的“内核” 新修订发布的IsO9001;2015《质量管 理体系要求》,ISO/IEC17025:2017《检测和校准实验室能力的通用要求》等标准均强调了基于风险 的管理思维 在我国,检验检测服务的风险管理一直是弱项,亟需实用且与现行管理体系高度融合的风险管理指 南文件,以指引检验检测机构建立基于风险思维的管理体系 本标准是针对我国检验检测机构提供服 务的特点,参考国际有关通用风险管理和服务标准制定的指南文件,目的是指导检验检测机构建立基于 风险思维的管理方法和体系 机构需结合自身服务的特点和风险偏好进一步细化要求,满足国家政策 标准等对风险管理的要求,平衡风险-利益关系,在市场竞争中把握机遇,追求卓越
GB/T27423一2019 合格评定检验检测服务风险管理指南 范围 本标准提供了检验检测服务风险管理的总则内部环境、目标设定、事项识别、风险评估、,风险处理、 控制活动、信息沟通、监督和检查等环节的控制指南 本标准适用于提供检验检测服务的机构 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T19000质量管理体系基础和术语 GB/T23694风险管理术语 GB:/T24353风险管理原则与实施指南 GB/T2412.1服务业组织标准化工作指南第1部分;基本要求 GB/T24620服务标准制定导则考虑消费者需求 GB/T27000合格评定词汇和通用原则 GB/T27921风险管理风险评估技术 术语和定义 GB/T19000.GB/T23694.GB/T24421.1,GB/T24620和GB/T27000界定的以及下列术语和定 义适用于本文件 3.1 tetim 压力测试 streSS 组织在某一特定的(主观想象)的极端情况下的表现状况. 3.2 内部控制 internalcOntrol 组织内部实施的各种制约和调节组织、计划、程序和方法等的管理行为 总则 4.1风险管理是机构管理的有机组成部分,宜融人机构的文化和行为,贯穿于机构运营的全过程 4.2机构风险管理的原则是既要保证目标、基于合理的风险评估作出决策,又要保证风险评估和风险 应对的过程合理、规范,以降低和控制不确定性 同时,要确保所有的人员都了解机构的目标,每个人均 清楚彼此行为之间的关联和对实现目标的作用 4.3内部环境、目标设定、事项识别、风险评估、风险处理、控制活动、信息沟通、监督和检查是目前通用 的基于风险思维的机构治理的关键环节,机构宜按上述八个环节(不限于)组织策划和实施风险管理， 相关的指南见第5章第12章
GB/T27423一2019 4.4典型的风险管理过程如图1所示,包括;识别信息和确定风险准则;进行风险识别风险分析和风 险评价;依据优先原则对风险进行处理;风险管理的各个环节均需有良好沟通机制,并做好相应的记录 通过监督和检查不断完善和改进风险管理过程 其适用于机构服务过程中各类具体风险的管理,进一步 见GB/T24353和GB/T27921等文件 机构检验检测服务风险管理体系的建立指南可参见附录A 信息和风险准则 风险评估 监 沟 风险识别 督 通 和 和 风险分桥 检 记 查 录 风险评价 风险处理 图1风险管理过程 4.5机构需动态实施风险识别、分析和评价,定期或不定期再评估新的风险和原有风险的变化,并保证 风险处理措施的及时性、有序性和有效性 4.6机构的管理体系通常不是单一的体系,可能涉及质量,能力服务、环境、安全等,机构宜有机融合 不同的管理要求,建立统一协调的基于风险思维的管理体系 S 内部环境 5.1概述 5.1.1内部环境是基于风险思维的机构洽理要素的基础,为其他要素提供约束和架构,其影响机构的 目标和战略如何制定,运营活动如何组织,风险评估如何进行,以及控制活动、信息与沟通体系和监督体 系如何设计与实施 5.1.2管理层需要首先识别内部环境存在的风险,优化内部环境,制定合理的目标和措施,有效配置资 源,平衡风险和利益关系,实现价值最大化 5.1.3内部环境管理包括组织结构、人员能力和资源配置、诚信和良好职业行为、组织文化、风险管理 理念等内容 5.2组织结构 5.2.1组织结构是保证机构高效运行的基础,其设置要适宜于机构的规模和所从事活动的性质 5.2.2机构需确立岗位权力关系和授权程序、明确方针政策和目标、保证关键人员的胜任能力、保证为 履行职责提供足够的资源 5.2.3机构权力与职责的分配要有利于个人和团队主动识别问题,指出问题和解决问题 人员能力和资源配置 5.3 5.3.1管理层要明确所有岗位的胜任能力要求,宜制定定期评估政策和奖惩政策 5.3.2需要对人员进行持续培训、教育和评估,以保证其能力持续符合机构的发展需求
GB/T27423一2019 5.3.3 人员能力不仅包括岗位胜任能力,也包括主动识别问题、指出问题和解决问题的能力 5.3.4资源配置要保证满足所提供服务的需求,包括(不限于)客户对质量、能力、安全、舒适、时限、隐 私等的需求 5.4诚信和良好职业行为 5.4.1诚信和良好职业行为决定了人员对利益的取舍偏好,直接影响风险管理的有效性 机构要有可 操作性的政策和措施促进诚信和良好职业行为的水平的提高 5.4.2机构要意识到管理层的诚信和良好职业行为水平决定了机构诚信和良好职业行为水平,建立机 制保证管理层践行良好行为和发挥表率作用,而不是仅有书面的规定 5.5组织文化 5.5.1机构需要明确和建立具有个性化特征的组织文化 组织文化的形成过程是组织管理内化为自 觉意识和行为的过程 5.5.2机构宜将风险管理理念融人组织文化建设全过程,要有可行的措施保证将风险管理转化为员工 的共同认识和自觉行动,以确保机构实现管理目标 5.6管理理念 5.6.1机构需要明确和培训基于风险的管理理念,并在任何活动(包括从战略制定,执行到常规活动) 中作为机构共同的理念和行为准则 5.6.2机构宜将建立基于风险的管理理念和培养员工形成自觉意识作为机构文化建设的核心任务 目标设定 6.1概述 6.1.1机构宜按适宜的程序设定目标,既要保证所设定的目标与机构的使命、愿景协调,也要保证符合 机构的风险偏好 6.1.2检验检测服务的目标可按战略目标,运营服务目标、合规性目标、信息可靠性目标等进行分类和 管理 目标的分类是相对的,目标之间可能有交叉或相互支持,需要根据机构和活动的特点对其分类 6.1.3在设定目标的过程中,机构不仅要确定目标和考虑其与机构使命、愿景的关系,而且要保证其与 机构的风险容量相协调 6.14在实现目标的过程中,需要设定风险容限 在确定风险容限时,要考虑相关目标的权重,并使风 险容限与风险容量相协调,确保在风险容限之内,不突破机构的风险容量 6.2战略目标 6.2.1战略目标是机构的高层次目标,是制定机构发展战略和各相关目标的依据 机构制定的战略目 标要符合其使命和发展愿景 6.2.2战略目标的确定过程需要基于风险评估,要保证机构有较大的可能性实现其期望 战略目标通 常是相对稳定的,它的实施战略和相关目标是动态的,需要随着内部和外部条件的变化而调整 6.3运营服务目标 6.3.1要保证运营服务目标可支撑机构战略目标,与机构的资源和能力相匹配,反映市场需求,具备竟 争性 6.3.2运营服务目标需要体现机构运行和服务的质量、有效性和效率,如提交检验检测报告的期限、投 诉的处理时间、环境指标、安全指标客户满意度等
GB/T27423一2019 6.3.3运营服务目标是机构配置资源的重要依据,要保证其明确且符合实际 6.3.4运营服务目标要明确、可评价,可考核 6.3.5当有追溯要求时,机构需要控制输出的唯一性标识,并保留所需的记录以实现可追溯性 6.4合规性目标 6.4.1机构要追踪、识别适用的法律,法规和标淮,及时纳人其管理要求 符合相关的法律,法规、标准 和规定是机构目标的最低要求 在进行风险评估时,首先要评估各项活动和输出的合规性 6.4.2 6.4.3检验检测机构涉及的法规和标准包括机构设立,服务范围、资质、环境及职业健康安全、员工福 利,合同、财务、运营等,是机构维持其运营资格的必要条件 6.5信息可靠性目标 6.5.1信息是决策的依据 机构利用或输出的信息要可靠,确保其客观、真实,准确、完整和有效 信息可靠性不仅包括与检验检测结果相关的数据,报告等的可靠性也包括机构的各种运行和 6.5.2 服务质量参数、监控报告,财务等各类报表、内审报告、风险评估报告、向公众提供的信息、提交给监管部 门等相关方的报告、合同等信息的可靠性 6.5.3适用时,宜建立信息可靠性评估机制 事项识别 7.1概述 7.1.1事项是源于机构内部或外部的影响目标实现的事情或事件 事项可能有负面影响,即风险,也 可能有正面影响,即机会,或两者兼有 在目标或战略制定过程中,机构宜同时考虑风险和机会 7.1.2外部事项包括机构所处外部环境的历史、现在和未来变化的各种事项,至少需要考虑以下方面 法律、法规、标准等的要求和变化 技术、金融和自然环境" 外部利益相关者的诉求、价值观、风险承受度; -利益相关方之间的关系; -国际、国内、地区的政治、经济,文化等相关因素; 其他影响机构目标实现的外部主要因素 7.1.3内部事项包括机构实现目标所面临的内在环境的历史、现在和未来变化的各种事项,至少需要 考虑以下方面 机构的方针、目标; 组织结构、人员胜任能力,管理模式; 机构各方面的资源配置; 内部管理者和人员的诉求、价值观、组织文化和风险承受度; 人员面临的利益冲突和压力 风险准则 -风险评估和绩效评估; 机构内影响管理的其他任何因素 7.1.4要确保机构具备适宜的能力,以认识和识别事项的深度、广度、影响范围发生时机,交互作用等 的复杂性 要意识到,事项彼此之间的关系是复杂的,很少有孤立发生的事项 7.2事项的不确定性 7.2.1事项的发生和其后果具有不确定性,事项并非总能事先被识别出来 通常用发生概率和严重性
GB/T27423一2019 综合表征事项的风险 7.2.2在事项识别的过程中,对发生频率高的事项,要充分评估其对风险容量的贡献,合理设置风险容 限;对后果严重的事项,宜谨慎设置风险容限,即使发生的可能性比较低,也不可被忽略 7.3信息管理 7.3.1可行时,机构宜建立信息管理系统,涵盖风险管理基本流程和内部控制系统各环节,包括信息的 采集、存储、加工,分析、测试、传递、报告、披露等 7.3.2信息管理系统要可以及时有效地获取内外部环境及其他相关信息,以识别、管理风险和利用 机会 7.3.3信息管理系统的功能宜实现对各种风险量化和分析,生成动态风险矩阵图和排序频谱,对重大 风险和重要业务流程动态监控并对超过控制限的风险进行报警,满足内部信息报告制度和对外信息披 露制度的要求 7.3.4信息可以通过多种方式获取,如:经验、反馈、观察、预测和专家判断等,利用信息时要考虑信息 的来源和其代表性 7.3.5信息宜实现在各职能部门、业务单位之间的集成与共享,既满足单项业务风险管理的要求,也满 足机构整体和跨职能部门,单位的风险管理综合要求 风险评估 8.1风险识别 8.1.1概述 8.1.1.1风险识别效率的关键在于参与人员的经验、知识水平,对活动过程的了解程度、风险源的特性 和信息的全面性 需要对前人经验和教训进行收集、分析和整理,并熟悉机构服务相关的内部环境和外 部环境 要注意,同样的危险因素,对不同的机构或人而言,风险是可能完全不同的 8.1.1.2根据机构自身的特点,制定并不断完善“事项或危险源清单” “事项或危险源清单”有助于风 险识别,随着经验的积累,其将越来越接近实际情况 8.1.1.3检验检测服务事项清单示例参见附录B 检验检测服务的要素可包括但不限于 服务提供者; 客户/用户; -其他利益相关方; 外部环境; 服务产品/范围; 服务资质; 服务标准; 服务人员; 服务环境; -服务设施设备; 服务合同; 履行合同; -服务提供过程; 客户沟通; 服务结果;
GB/T27423一2019 售后服务; 服务评价标准; 纠纷的解决 8.1.1.4检验检测服务涉及供方,需方,利益相关方和外部环境,如图2所示 客户/用户沟通 客户/ 检验检 服务信息 用户 测机构 检验检测申请 知情权 选择权 人员 检验检测合同 隐私权 设施 费用支付 质量需求 设备 其他利益相关方 外部环境 安全需求 标准 检验检测过程 舒适需求 环境 结果交付 时间需求 能力 标准 质量 售后服 满意度 安全 客户满意度 保障措施 图2检验检测服务示意图 8.1.2 内部风险识别 检验检测机构内部环境对检验检测服务带来的风险包括但不限于 人员风险,包括认知,诚信,道德,能力,合作、流动,利益冲突,面临压力等方面的风险; 管理风险,包括方针、目标,决策、实施、组织结构、管理理念、制度安排、组织文化、资源配置、信 息、质量.伦理、.眼业健康安全、安保、应急能力系统等方面的风险" 财务风险,包括预算、流动资金,周转率,抵押,租赁,成本控制、盈利模式、债务、赔偿、合同审 计、决算、风险金、固定资产、欺诈、廉政、员工福利等方面的风险; 技术风险,包括设施设备,实验材料,环境、数据可靠性、失误、检验检测程序与方法、计量与标 准,原始数据、超能力范围、新技术研发与应用创新能力与竟争性、资质等方面的风险; 运营风险,包括合同、环境、检验检测周期、营销、客户隐私、价格、咨询、售后服务、业务连续性、 危机处理、与相关方的沟通、合规性等方面的风险; 信用风险,包括信誉、社会责任、价值观、知识产权、机构形象等方面的风险 8.1.3外部风险识别 外部原因对检验检测服务带来的风险包括但不限于
GB/T27423一2019 市场风险,包括市场需求变化,竟争者及替代品、新市场开发、合同纠纷、市场营销等方面的 风险; 技术风险,包括相关的外部机构的技术能力、,技术服务、技术标准等的缺陷或差异带来的风险; 经济风险,包括物价,宏观经济状况、保险、赔付、收支、劳动力价格、发展,资产保值,廉政等方 面的风险; 法律风险,包括国内外相关法律环境及差异、法规变化、会计政策差异和变动等方面的风险 客户的风险,包括合同违约、变更、破产,法律纠纷等方面的风险; 合作方的风险,包括由合作方提供的过程、产品、服务、检验检测活动分包等方面的风险; 其他相关方的风险,包括来自管理部门、评价部门结果利用方等方面的风险 自然灾害风险,包括台风洪水,地震等造成的自然灾害等; 其他机构的案例收集与借鉴 8.2风险分析 8.2.1在风险分析过程中,需要对识别出的风险源和风险原因、事件发生的可能性及其后果、影响后果 和可能性的因素及它们的相互影响等进行定性或定量分析,为风险评价和风险应对提供支持 8.2.2风险分析技术可分为定性(Qualitative)分析和定量(Quantitative)分析,常见的风险评估技术及 适用性说明见GB/T27921 具体采用何种分析技术或如何组合使用.取决于风险的特性、对风险的认 知程度和控制要求 8.2.3风险分析需要考虑固有风险和剩余风险,主要目标是确定事项发生概率的大小和后果的严重程 度,其分级可以参考表1和表2 对风险排序可依据其概率大小和后果的严重程度进行矩阵分析或采 用风险图示法等,具体表示见图3 表1概率分级示例表 发生情况 概率范围 实际不可能发生 10-71o 极为不可能发生 l0-看l0 非常不可能发生 0 l0 -般不可能发生 发生的可能性较小 10 有可能发生 10 很可能发生 表2后果分级示例表 后果 描述 可以忽略 损失等无关紧要 很小 损失等不是很重要 中度 损失等中等 较大 损失等较重 损失等严重、重大 重大 损失等惨重、灾难 极大 注表中“损失”在不同领域可有不同的含义,如财产损失,生命损失等
GB/T27423一2019 不容许 合理 可接受 后果严重程度 图3三区域风险图示 8.2.4根据风险类型,分析的目的,可获得的信息数据和资源,决策需求等,风险分析可以有不同的详 细程度 从风险管理的有效性和成本看,风险分析越精确,后续措施就越有针对性,应对成本则会降低、 风险管理的有效性就会提高 对于控制措施简单,单一或代价很低的风险的管理,过于追求风险分析的 精确性反而增加成本,此时,可采取保守的风险应对措施 8.3风险评价 8.3.1要依据机构确定的风险准则进行风险评价 风险准则需要基于法律法规、标准、风险管理目标、 风险偏好.机构的风险容量和风险容限、相关方的承受能力等的确定 8.3.2风险评价需要明确可以接受的风险、需要处理的问题以及优先顺序和策略 在很多情况下风险 是不可避免的 为了追求特定的结果(如;新技术)或更大的利益(如;整体利益),一般不需要消除所有 的风险,有时,消除所有风险是不现实的 8.3.3如果可行,要统一各类风险的度量单位和风险度量模型,并通过测试确保评价系统的合理性和 准确性,包括假设前提,参数、数据来源和评估程序等 需根据内外部环境的变化,定期对评价系统评 审、与实际情况对比,需要时进行修正 8.3.4风险可分为可接受、合理和不容许存在三种情况(见图3) 要意识到,“合理”并非是接受不必要 风险的理由 特别是风险涉及安全与健康时,若在技术上和经济上可行,宜尽可能考虑将风险降至最低 水平 8.4风险评估报告 8.4.1风险评估报告要有助于决策者对风险及其原因、后果和可能性有更充分的理解,并为以下事项 提供信息: -是否需要开展某些活动 是否影响预期目标的实现; 如何充分利用时机 是否需要应对风险; 选择不同风险的应对策略 确定风险应对策略的优先次序 选择最适合的风险应对策略,将风险的不利影响控制在可以接受的水平 8.4.2机构可自行组织撰写风险评估报告,也可聘请外部专业机构进行风险评价,并提供风险评估报 告 风险评估报告的内容包括但不限于
GB/T27423一2019 目标及范围 系统相关部分的说明及其功能; -机构的内外部环境描述以及被评估对象与内外环境的关联情况 所使用的风险准则及其合理性; 假定及假设的合理性; 评估方法; 风险识别结果; 数据的来源与验证; 风险分析结果及评价 敏感性及不确定性分析 关键假定和其他需要加以监测的因素; 结果讨论; 结论和建议; 参考资料 a 风险处理 9.1机构要依据风险评估报告,确定风险处理对策 即基于内部环境和外部环境状态,围绕机构发展 目标,确定风险偏好、风险承受度、风险管理有效性标准,明确风险处理原则,并确定风险管理所需的人 力和物力资源配置原则 9.2风险处理原则包括但不限于 通过决定不开展或停止产生风险的活动,来规避风险; 为寻求机会,接受或提高风险; 消除危险源， 改变事项发生的可能性; 改变事项发生的后果; 转移,对冲或与另一方/多方共担风险; 通过有事实依据的决策.保留风险; 考虑对利益相关方的影响; 考虑风险处理措施引人的风险 9.3机构需要正确认识和把握风险与收益的平衡,根据其服务特点确定风险偏好、,风险承受度、风险管 理的优选顺序,以及安排风险管理的组织体系,资源和应对措施等 9.4机构需要定期对风险管理策略的合规性,充分性、有效性和适宜性进行评审,并结合实际情况持续 改进 10 控制活动 10.1机构需要实施有效的控制活动,建立风险处理的政策、过程、操作规范及计划,并有效实施和记 录,以保证机构确定的应对风险的策略和措施可有效实行 0.2控制活动要充分考虑满足开展风险处理的资源需求,包括组织管理、职责、权限、资源、过程、方 法、计划、绩效评价、不符合工作控制、记录等 0.3需要定期对实施的控制活动评审并持续改进
GB/T27423一2019 1 信息沟通 11.1建立有效的外部和内部沟通,报告和协商机制,以保证实施风险管理过程的职责明确,保证人员 能够按程序、按计划履行责任,以及保证内外部利益相关方理解决策的基础、原因、后果和特定的措施 11.2沟通和协商过程需要提供真实、准确、便于理解的相关信息,要考虑保密需求 11.3机构需要在风险管理过程的所有阶段与内、外部利益相关方沟通和协商 11.4机构的内部沟通、报告和协商的内容包括但不限于 及时告知风险管理的相关要求、职责、过程、方法、计划等和任何后续的更改; 及时告知员工面临的任何危险及后果; 对发现任何潜在危险或不符合工作的报告程序; 提供危险源标识系统和安全手册; -涉及职业健康安全时,提供保证员工参与决策过程的机制和利益协商机制; 涉及保密或个人隐私的报告程序 11.5机构的外部沟通、报告和协商的内容包括但不限于 沟通,协商,报告和反悄辈道及安排， 确保利益相关方的观点.利益被理解和考虑 对法律法规和管理要求的符合情况 紧急或突发事件的沟通， 提供适宜的帮助,以明确状况 对风险处理计划的认同与支持 变更事项的沟通， 涉及保密事项的沟通、报告程序 12 监督和检查 12.1监督和检查是机构风险管理体系的重要组成部分,要贯穿于机构风险管理的整个过程之中 12.2要通过监督和检查,包括采用压力测试、比对、模拟等方法,及时发现体系、实施、结果等层面的问 题和机会,避免事态扩大和促进持续改进 12.3要保证监督和检查的有效性,其依赖于监督和检查的程序、方法、时机和人员的能力 可行时,宜 采取持续监控的方式 12.4监督和检查的范围、频率与机构的风险策略、处理风险的优先顺序、风险目标、风险特征等有关 要加强对重点领域的监督和评审 根据需要,机构可以聘请外部人员参与监督和检查 12.5外部的监督或检查活动通常不能代替机构内部的监督或检查活动 12.6监督和检查可以定期或不定期实施,以保证: -管理体系和控制活动的有效性和效率,结果满足预期 获得改进风险管理的信息; 对事件,变化,趋势,措施的有效性等进行分析并获取经验 识别出现的任何风险或机会,并及时采取措施 10
GB/T27423一2019 录 附 A 资料性附录 检验检测机构风险管理体系的建立指南 A.1组织与管理 A.1.1检验检测机构(以下简称机构)或其母体组织要有明确的法律地位和从事相关活动的资格 A.1.2机构的法人或其母体组织的法人要承担对机构合法运行的责任,并保证有足够的资源 A.1.3适用时,可依据GB/T27025,GB/T22576,GB/T27020,GB19489,GB/T27416等标准建立机 构的管理体系 A.1.4风险管理体系是机构管理体系的组成部分 管理层负责风险管理体系的设计,实施、维持和改 进,负责 为机构所有人员提供履行其职责所需的适当权力和资源; -明确机构风险管理的组织结构,并规定所有人员的职责、权力和相互关系,建立内部监督和约 束体系,并保证其运作的独立性和制约性; -建立风险管理政策、程序、措施、操作规范等,并作为机构的管理体系文件的组成部分 指定风险管理负责人,赋予其相关的职责和权力,并提供可以满足其履行职责的资源; 指定每项活动的项目负责人,其负责制定并向风险管理负责人提交活动方案和计划风险评估 报告、安全及应急措施、项目组人员培训计划、职业健康监督计划、安全保障及资源要求等; 批雅机构风险管理总体目标,风险偏好、风险承担能力和风险管理策略,并符合主管部门的 规定; 批准重要决策,重要风险、重要事件和重要业务流程的判断标准或判断机制,以及重要决策的 风险评估报告和重要风险管理解决方案; 掌握机构面临的各项重要风险及其风险管理现状,做出有效控制风险的决策; 批准机构风险管理内部审核报告以及机构的全面风险管理年度工作报告; 涉及机构全面风险管理的其他重要事项 A.1.5宜设立机构风险管理委员会(InstitutionalRiskManagementCommittee,以下简称IRMC),并 设负责人 IRMC负责 提交机构的全面风险管理年度报告; 审议机构风险管理总体目标,风险偏好,风险承担能力和风险管理策略; 审议重要决策、重要风险、重要事件和重要业务流程的判断标准或判断机制.以及重要决策的 风险评估报告和重要风险管理解决方案; 审议机构风险管理内部审核报告; 审议风险管理组织机构设置及其职责方案; 为风险管理措施提供建议 监督和向管理层报告任何部门或个人不符合风险管理制度的行为; 办理管理层授权的有关全面风险管理的其他事项 .1.6建立明确的政策和机制,以保证IRMC可以独立行使权力,机构负责人不宜是IRMC的成员 A .1.7机构宜设立专职部门或确定相关职能部门履行全面风险管理的职责,履行的职责包括但不 限于 研究提出全面风险管理工作报告; 1
GB/T27423一2019 -研究提出跨职能部门的重要决策、重要风险、重要事件和重要业务流程的判断标准或判断 机制; -研究提出跨职能部门的重要决策风险评估报告 -研究提出风险管理策略和跨职能部门的重要风险管理解决方案,并负责该方案的组织实施和 对该风险的日常监控; -负责对全面风险管理有效性评估,研究提出全而风脸管理的改进方案; 负责组织建立风险管理信息系统; 负责组织协调全面风险管理日常工作; 负责指导、监督有关职能部门等开展全面风险管理工作 办理管理层授权的有关全面风险管理的其他事项 A.1.8在全面风险管理工作中,机构各职能部门需要接受风险管理职能部门的组织、协调、指导和 监督 A.1.9机构需要把风险管理纳人所有决策过程当中,并在决策中充分考虑机构的内外部环境,注重各 利益相关方之间的沟通 A.1.10机构的管理体系可能涉及质量、安全、动物福利等内容,需要与机构规模、活动的复杂程度、工 作内容和风险相适应,并覆盖所有设施设备和场所,包括临时的、移动的设施设备和场所 A.1.11涉及不同的管理要求时,机构宜建立协调统一的管理体系,在保证无利益冲突的前提下人员可 以兼职,以保证工作效率和可操作性 A.1.12若涉及生物安全管理,适用时,见GB19489的要求 A.1.13建立政策和程序保证机构的任何一项活动在实施前已经过系统的评估,以保证符合适用的法 规、标准以及机构的规定,风险水平可接受,并具备可实施性 A.1.14指定专门人员负责处理来自政府、公众.合作者等各方面的关于机构服务的事务 A.1.15指定专门人员负责与客户和相关方沟通相关的风险信息、机构政策等内容 A.2管理体系文件 A.2.1总则 A.2.1.1管理体系文件宜包括风险管理相关的政策,程序,说明及操作规程、记录等文件， 明确机构风险管理的方针和目标 管理方针要简明扼要,至少包括以下内容 -遵守国家以及地方相关法规和标准的承诺 -遵守诚信、良好职业行为的承诺; 保证员工职业健康、安全和利益的承诺; 为客户提供安全、良好服务的承诺; 风险管理的宗旨和策略 风险管理的目标宜包括战略目标,运营服务目标、合规性目标和信息可靠性目标 A.2.1.2 A.2.1.3管理目标宜包括对管理活动和技术活动制定的控制指标以及安全指标,各项指标要明确,并 与管理方针保持一致,可测量,可考核、可监视、可沟通,适时更新 A.2.1.4在系统评估的基础上确定管理目标及控制要求,并根据机构活动的复杂性和风险程度定期评 审管理目标、控制指标和制定监督检查计划 A.2.2管理手册 A.2.2.1规定和描述机构的方针和目标、组织结构、人员岗位及职责、对机构的要求、管理体系、体系文 件架构等 对机构的要求要满足国家和地方相关规定及标准的要求 12
GB/T27423一2019 A.2.2.2明确规定管理人员的权限和责任,包括保证其所管人员遵守管理体系要求的责任 A.2.2.3所有政策和要求要以国家主管部门和国际标准化组织等机构或行业权威机构发布的指南或 标准等为依据,并满足国家相关法规和标准的要求 A.2.3程序文件 A.2.3.1明确规定实施各项要求的责任部门、责任范围、工作流程及责任人、任务安排及对操作人员能 力的要求、与其他责任部门的关系、应使用的工作文件等 A.2.3.2满足机构实施各项要求的需要,工作流程清晰,各项职责得到落实 A.2.4说明及操作规程 A.2.4.1详细说明使用者的权限及资格要求,潜在危险、设施设备的功能、活动目的和具体操作步骤、 防护和安全操作方法、应急措施、文件制定的依据等 A.2.4.2维持并合理使用工作中涉及的各项活动的风险信息,以及所有材料的最新安全数据单 A.2.5风险资料 A.2.5.1建立风险信息系统,系统识别和收集相关的来源于内部和外部的历史资料、事故报告,历次检 查的结果、潜在的危险源等;资料要易于查询和使用 A.2.5.2需要时,制定适用于不同部门或岗位的安全手册,提示重要的风险和应对措施;在工作区,安 全手册要随时可供使用,并要求相关的员工在工作前已经理解了相关的内容和要求 A.2.5.3安全手册要简明,易懂、易读,管理层至少每年对安全手册评审,需要时更新 A.2.5.4适用时,为客户和相关方提供风险信息、机构的政策和相关的解释等资料 A.2.6记录 A.2.6.1明确规定对相关活动进行记录的要求,至少包括记录的内容、记录的要求、记录的档案管理、 记录使用的权限、记录的安全、记录的保存期限等 保存期限要符合国家和地方法规或标准的要求及合 同的规定 A.2.6.2建立对记录进行识别收集,索引访问、存放、维护及安全处置的程序 A.2.6.3确保原始记录真实、提供足够的信息并可追溯 A.2.6.4对原始记录的任何更改均不影响识别被修改的内容,修改人需要签字和注明日期 A.2.6.5记录要便于检索,易于使用,对记录的调阅需要符合保密规定 A.2.6.6记录可存储于任何适当的媒介,包括形成电子文件,要符合国家和地方的法规或标准的要求 需要 A.2.6.7需具备适宜的记录存放条件,以防损坏,变质、丢失或未经授权的进人 A.2.6.8要保证报告管理系统、财务管理系统、人事管理系统等数字化信息管理系统及数据的安全性、 可靠性,并符合国家标准 A.2.7标识系统 A.2.7.1机构用于标示危险区、警示、指示,证明等的图文标识是管理体系文件的一部分,包括用于特 殊情况下的临时标识,如“污染”“消毒中”“设备检修”等 A.2.7.2标识要明确、醒目和易区分 只要可行,使用国际、国家规定的通用标识 A.2.7.3系统而清晰地标示出控制区,在某些情况下,宜同时使用标识和物理屏障标示出控制区 A.2.7.4清楚地标示出具体的危险材料、危险,包括生物危险、有毒有害、腐蚀性、辐射、刺伤,电击、易 燃、易爆、高温、低温、高动能、强光、振动、噪声,动物咬伤、砸伤等;需要时,同时提示必要的防护措施 13
GB/T27423一2019 A.2.7.5若涉及生物安全管理,适用时,见GB19489关于标识的要求 A.3信息管理系统 A.3.1机构宜将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各 环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等 A.3.2如果机构建立了信息管理系统,要有机制保证其安全性和可靠性 A.4组织文化 A.4.1组织文化建设宜包括风险管理文化的建设,以促进风险管理水平 A.4.2制定员工道德诚信准则,以降低管理风险和管理成本 风险管理文化要利于将风险管理意识转化为员工的共同认识和自觉行动 A.4.3 风险管理文化建设宜与机糊的管理制度建设相结合 A.4.4 风险管理文化需要融人到各个职能层面,注重增强各级管理人员特别是高级管理人员的风险 A.4.5 意识 A.5人员要求 A.5.1所有工作人员均要经过适当的能力,素质,诚信,道德等培训,保证胜任其岗位 A.5.2持续评估员工的胜任能力并保证员工的继续教育机会 A.5.3适用时,员工无职业禁忌证 A.5.4建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度,并 安排有能力的专业人员,依据员工的经验和职责对其进行必要的风险知识和风险技术培训 A.5.5指导所有人员使用和应用与其相关的管理体系文件及其实施要求,并评估其理解和运用的 能力 A.5.6确保所有人员具备其负责的活动的能力,以及评估偏离影响程度的能力 A.5.7当主管部门有要求时,适用的人员需要具备资质证书 A.6检查 A.6.1管理层负责组织实施检查,每年需要至少根据管理体系的要求系统性地检查一次,对关键控制 点可根据风险评估报告适当增加检查频率 A.6.2为保证检查工作的质量,要按事先制定的适用于不同工作领域的核查表实施检查 A.6.3当发现潜在风险、不符合规定的工作、发生事件或事故时，要立即查找原因并评估后果;必要 时,停止工作 A.7风险、不符合工作的识别和控制 A.7.1制定风险、不符合工作的识别政策和程序,主动识别潜在的各种风险和不符合工作 A.7.2当发现有潜在风险或任何不符合机构所制定的管理体系的要求时,管理层宜采取以下措施(不 限于) -将解决问题的责任落实到个人; 14
GB/T27423一2019 -明确规定应采取的措施; -只要发现很有可能造成不利事件、损失或伤害,适用时,立即终止活动并报告; 评估风险、不符合项工作的严重性,包括评估对先前结果的影响,必要时,需要采取补救措施或 应急措施; 系统分析原因和影响范围,只要适用,及时采取适当的纠正措施; -进行新的风险评估并验证措施的有效性; -明确规定恢复工作的授权人及责任 记录每一不符合项及对其处理的过程并形成文件 A.7.3管理层需要按规定的周期评审不符合项报告,以发现趋势并采取预防措施 A.8纠正措施 A8.1纠正措施程序中要包括识别问题发生的根本原因的调查程序 纠正措胞要与问题的严重性及 风险的程度相适应 只要适用,纠正措施程序中要明确需要及时采取的预防措施 A.8.2 瞥理层负贵将因纠正撒随所致的管理体系的任何改变文件化并实饱 A.8.3管理层负责监督和检查所采取纠正措施的效果,以确保这些措施已有效解决了识别出的问题 A.9预防措施 A.9.1识别无论是人员,环境、技术还是管理体系方面的不符合项来源和所需的改进,定期进行趋势分 析和风险分析,包括对外部评价的分析 如果采取预防措施,需要制定行动计划,监督和检查实施效果， 以减少类似不符合项发生的可能性并借机改进 A.9.2预防措施程序包括对预防措施的评价,以确保其有效性 A.10持续改进 A.10.1建立机制保证所有员工主动识别所有潜在的不符合项来源、识别对管理体系或技术的改进机 会 适用时,及时改进识别出的需改进之处,制定改进方案,文件化、实施并监督 A.10.2征求客户的反馈意见,无论是正面的还是负面的 分析和利用这些反馈意见,可以帮助改进管 理体系、机构活动和客户服务 A.10.3设置可以系统地监测、评价相关活动的客观指标 A.10.4如果采取措施,要通过重点评审或审核相关范围的方式评价其效果 A.10.5需要时,及时将因改进措施所致的管理体系的任何改变文件化并实施 A.10.6需要评估改进措施可能引人的新的风险 A.10.7为所有员工提供相关的教育和培训,保证其有能力参与改进活动 A.11内部审核 A.11.1机构的内部审核体系需要与机构的风险内部监督和约束体系相协调 A.11.2内部审核宜包括以风险控制为目的的全面审核,包括内部财务审计 A.11.3如果涉及多项管理体系或系统的要求,宜按领域策划、组织并实施审核 A.11.4依据有关过程的重要性,对机构产生影响的变化和以往的审核结果,策划,制定、实施和保持审 核方案,审核方案包括频次、方法、职责、策划要求和报告 15
GB/T27423一2019 A.11.5如果发现不足或改进机会,及时采取适当的措施,并在约定的时间内完成 A.11.6正常情况下,按不大于12个月的周期对管理体系的每个要素进行内部审核 A.11.7为保证审核工作的独立性,员工不宜审核自己的工作 A.11.8内部审核的结果需要提交IRMC和管理层评审 A.12管理评审 A.12.1按计划的时间间隔对管理体系进行评审,以确保其适宜性,充分性和有效性持续符合要求,并 与机构的战略方向保持一致,包括质量,能力、安全、服务等方面的管理 A.12.2管理评审包括涉及风险管理的内容 A.13应急管理和事故报告 针对重要风险制定应急管理政策、程序和措施,需要时,征询相关主管部门的意见和建议. A.13.1 以国家法律法规,国家和地方的应急预案和要求为基础制定机构的应急措施,需同时考虑机构 A.13.2 的特点和资源,应急措施中要包括紧急撤离计划 机构的首要责任是保护人员安全和避免波及公共 安全 A.13.3建立程序和方法,以识别和监测潜在的事件或紧急情况,并作出响应,以预防和减少可能随之 引发的疾病,伤害,损失,业务中断、,法律纠纷等 A.13.4适用时,应急程序至少包括负责人、组织,应急准备和响应,应急通信、报告内容、应对程序,应 急设备和工具包、危险源隔离与控制、风险沟通等内容 A.13.5需要使所有人员(包括来访者)熟悉应急行动计划、撤离路线和紧急撤离的集合地点 A.13.6定期演练和评估涉及各种风险的应急程序和应急预案,并制定年度计划 每年进行专项演练 如电力系统故障、危险物质泄漏、信息管理系统故障等应急处置演练,并至少组织所有员工进行一次撤 离演习 A.13.7建立报告紧急事件、伤害、事故、职业相关疾病以及潜在危险的政策和程序,符合国家和地方对 事故报告的规定要求,任何人员不得隐瞒 A.13.8所有紧急事件,事故报告需要形成书面文件并存档包括所有相关活动的记录和证据等文件) 适用时,报告要包括事实的详细描述、原因分析、影响范围、后果评估、采取的措施、所采取措施有效性的 追踪,预防类似事件发生的建议及改进措施等 A.13.9事故报告(包括采取的任何措施)需要提交机构管理层,安全委员会或IRMC评审,适用时,还 要提交更高管理层评审 A.13.10在发生事件或紧急情况后,需要进行后评估 16
GB/T27423一2019 附录B 资料性附录) 检验检测服务事项清单示例 表B.1给出了与服务提供者信任度等有关的事项清单 表B.2给出了与服务提供能力有关的事项清单 表B.3给出了与供方、员工和客户有关的事项清单 表B.4给出了与合同,支付和服务交付有关的事项清单 表B.5给出了与服务结果、服务环境、设备和保障措施有关的事项清单 表B.6给出了与各阶段沟通相关的事项清单 与服务提供者信任度等有关的事项 表B.1 客户关注事项 服务要素 有关服务提供者和服务的问题 客户对服务提供者的信任 服务提供者 需要有关诚信、声誉、偿付能力,可靠性、优良服务质量等方面的信息 信息可能 沟通 直接来自服务提供者,包括品牌名称,客户服务相关规范的使用 信息也可来自 供方 第三方,例如来自其他客户、对服务评级或认证认可等评价机构的信息 客户 客户与接受该服务的条件符合性 某些服务适合于所有客户,某些服务需要客户满足一定条件 沟通 3. 客户是否可从服务提供者处获得价格、性价比、可选等方面的足够信息,以便能客户 够作出正确的决策 沟通 客户 客户能否理解信息;信息是否易于利用和使用;信息是足够还是过多或过少 沟通 5 服务提供者或者服务的某些方面对客户决策的影响 服务提供者 例如环境,健康和安全、机构或服务的社会影响和责任 沟通 员工 6 服务提供者及其员工对客户的态度及帮助 例如礼貌用语、行为举止、接待指引等 沟通 服务环境 7.客户与机构联系的便利性 设备 例如办公开放时间,网站,免费热线服务电话,电子邮件邻 沟通 对客户的特殊需求和局限 服务环境 8 如涉及隐私、宗教文化、残障等 设备 有关购买或预约服务阶段的问题 合同 客户对合同的理解(或默认合同) 沟通 0.合同给客户提供的信息是青足以支持客户做决策 合同 例如清楚规定买方、卖方和第三者权利义务,格式合同,撤销权等 沟通 17
GB/T27423一2019 表B.1续 客户关注事项 服务要素 交付 1l.客户是否可以清楚预见该服务能为其带来什么 沟通 服务环境 12.客户是否能试用该服务 设备 沟通 交付 服务环境 13.客户是否可以选择不同类型或等级的服务,如果可以,信息是否清楚 设备 沟通 交付 4 客户是否可以采用不同支付方式,是否清晰说明 服务环境 例如通过互联网支付、从银行账户扣除等 设备 沟通 有关服务交付的问题 交付 客户是否在预定时间,以预期的方式享受到预期的服务质量 服务结果 15 沟通 交付 服务结果 设备 16 服务的提供是青安全,是否尊重客户的隐私,且不损害健康和环境 服务环境 保障措施 沟通 职员 17 机构是香以礼貌、专业、友善的方式和适当的态度提供了服务 沟通 有关售后/后期服务的问题 保障措施 18 客户如何投诉,是否有可供选择的投诉方式 沟通 19 客户的投诉是否得到迅速、礼貌、专业的处理,服务是由国内提供还是国外职员 购买 沟通 职员 20 如果服务提供者没有解决客户的问题,客户是否可以请第三方考虑其诉求 保障措施 沟通 如需要,是否能提供应急服务 保障措能 18
GB/T27423一2019 表B.2与服务提供能力有关的事项 服务要素 相关主题 要考虑的事项 国家法律法规、协议和标准,例如GB/T27025,GB/T22576、 GB/T27029、GB19489、GB/T27416、GB/T19001和 质量管理 GB/T1 19004 行业要求,如资质认定管理要求等 环境管理 相关标准,例如GB/T24001 国家法律法规、协议和标准，例如《职业病防治法》 职业健康安全管理 GB/T28001等; 职业危害,如化学、物理生物、辐射等危害因素 服务提供者 国家法律法规、协议和标准,如《病原微生物实验室安全管 提供下列一种或多种服务; 安全管理 理条例》,(GB19489 等 检验检测服务 研发服务 风险管理 国家法律法规、协议和标准,例如本标准 专家意见/支持 偿付能力和其他协议财务稳定性,包括责任保险 培训和教育 方面 国家法律法规、协议和标准 设备或场所阻用 例如诚信声明 诚信 职业和机构守则 第三方相关资料的获得 获得的资质、认可、认证等 能力 规模,资源,服务范围,保证措施等 社会责任 国家法律法规、协议和标准,组织或行业要求等 例如最少员工人数及其技能和资质可能影响服务,质量、 人力资源 安全、防护或保障措施等 表B.3与供方、员工和客户有关的事项 服务要素 相关主题 要考虑的事项 供方 可能提供 分包 国家法律法规、协议和标准;具体行业规范或机构守则 作为服务的一部分的外部服务 符合质量和安全性能标准的设备、耗材、试剂、服务、设 物品; 外部采购 计等 参与提供服务的人员 所要求的相关领域知识,例如对目标客户的语言和沟通技 知识 员工 巧、投诉程序等 主要是指直接与客户接触 资格的最低要求和必要的经验;必要时,需要具备良好的 的人员 技能和资质 技能、证书 19
GB/T27423一2019 表B.3(续 服务要索 相关主题 要考虑的事项 在服务交付所有阶段和职业态度,包括行为和决策责任、 态度 员工 礼貌周到、客户信息保密 主要是指直接与客户接触 机构的政策和程序,包括监督表现,例如态度,安全、投诉 的人员 培训 过程知识、特殊需求意识 允许签订服务合同或接受服务需要达到的标准,例如法律 规定、知识或技能、态度(爱惜设备、尊重员工和其他客 客户 客户 潜在或现实客户 户),健康例如过敏症有可能与服务用户个体或团体 的安全或保密有关,考虑弱势用户(小微企业等 表B.4与合同、支付和服务交付有关的事项 相关主题 要考虑的事项 服务要素 清晰和明确 例如字迹清晰、易读、有可选方式 客观和公平 公平的合同条款,撒销程序,成本的详细说明 合同 版面设计,关键信息位置和表述方式 格式 考虑国家要求和协议 与支付相关的信息 是否包括服务税金邻 支付方式 支付方式、罚金、安全问题 支付 部分或全部服务费用支付的时限信息;大笔金额支出;增 条件 值税/消费的信息 数据保护要求;国家法律法规,协议;标准;具体行业规范 隐私 或机构守则 安全 相关标准 健康和卫生 相关标准 环境保护,废物处理(减少,回收或再利用);降低各种污 环境 服务交付 染;增强客户和员工的环保意识 行为守则 机构使命,价值,质量承诺;相关标准,例如GB/T1901o 人员,用于安全存放有价值物质的设施、财务信息和客户 保密 身份(个人数据访问限制、互联网代码等实验数据等的 安全 20
GB/T27423一2019 表B.5与服务结果、服务环境设备和保障措施有关的事项 服务要素 相关主题 要考虑的事项 分析投诉数据、客户调查结果 满意度 服务结果 相关标准,例如GB/T19004等,分析相关的投诉、索赂和 持续改进 事件(意外事件)数据调查;客户满意度 国家法律法规、协议;标准;具体行业规范或机构守则,例 健康和安全要求 如阳光、通道要求,空气质量,安全警示,逃生通道,个体防 护装备,实验室设备,急救设备等 服务环境 舒适性需求 温度,休息,饮水,卫生间 如接待室、交通情况 遵守国家法律法规和标准,例如:清晰、明确的标志;此外， 听 可达性 考虑各类残疾人的需求,包括视觉、 移动性和学习能 力、 力欠缺的人;例如触觉标记,助听器,无障碍通道等 在服务交付中使用的物品和设施要安全并且适用于其用 途,同时要遵守相关的标准和国家的技术要求;作为服务 质量和安全要求 -部分的物品的供应,需要符合国家法律法规,协议和 设备支持 标准 服务交付 检验检测报告的形式、内容等;研发报告、技术解释、咨询、 可用性 培训等适合目标用户 其他相关要求 维护说明、风险管理 适用于不同情况的政策、程序,设备;应急服务提供 旦出现机构被接管、兼并、迁移或其他对客户造成影响 服务的中断和改变 的类似情况时,采取适当的措施,向客户提供建议、提供持 续服务等 保障措施 责任条款 适当程度的保险 保证 合理提供服务,如报告提交时间等 投诉处理和外部争端解决 赔偿 相关标准,例如GB/T19012 表B.6与各阶段沟通相关的事项 要考虑的事项 服务要素 相关主题 可使用的信息和沟通技术面对面、互联网、电话、传真、信 沟通 方法 件,电子邮件);可选方式;格式编排;电子报文语法规则 客户和服务提供者之间的 标准;国家法律法规要求及协议 沟通在提前供服务之前 服务过程中、服务提供后 所交付服务的详细说明;特殊要求,尤其是与儿童相关的 包括 特殊要求;费用,包括税或服务费;支付方法;账单;保证 广告 内容 索赔、投诉处理政策;活动取消政策;服务提供者联络信 服务提供前的合同说明 息;术语;语言表达清晰,内容真实,并考虑客户的潜在特 合同 殊需要;国家法律法规,协议,标准 账单
GB/T27423一2019 表B.6(续 服务要素 相关主题 要考虑的事项 沟通 与服务交付相关的最小频率,时间间隔 沟通频率 客户和服务提供者之间的 为所有用户提供有关机构职员的信息，如;地点、办公时 沟通在提前供服务之前，易获得性 间,平均等待时间,每次呼叫成本,媒体,可选方式等 服务过程中,服务提供后 包括: 态度 礼貌周到,真诚,主动 广告 行为守则 是否公开提供 服务提供前的合同说明 获得反馈的方法;考虑国际,国家、行业正在制定的相关标 合同 客户满意度测量 准或政策 账单 使用的信息和沟通技术面对面电话,传真、信件、电子邮 方法 沟通 件);可选方式 在服务机构内部或与其供 沟通频率 与服务交付相关的最小频率/时间间隔 方之间的沟通 共享信息 数量/质量,尤其与客户相关的数量/质量 22
GB/T27423一2019 考文 参 献 GB/T190012016 质量管理要求 [2] GB/T190102009 质量管理顾客满意组织行为规范指南 [3 GB/T19012一2008质量管理顾客满意组织处理投诉指南 [4]GB/T19013一2009 质量管理顾客满意组织外部争议解决指南 [57 GB19489实验室生物安全通用要求 [67 GB19781一2005医学实验室安全要求 GB/T217372008为消费者提供商品和服务的购买信息 [[8 GB/T22576医学实验室质量和能力的专用要求 [9 GB/T27020 合格评定各类检验机构的运作要求 10 GB/T27025检测和校准实验室能力的通用要求 GB/T27416实验动物机构质量和能力的通用要求 服务标准编写通则 [[12]GB/T28222一201 中央金业全面风险管理指引(国务院国有资产监督管理委员会[206] 13] 14ISO/IE(C17025:2017Generalregquirementsforthecompetenceoftestingandcalibrationlabora- tories 15]ISO31000:2018Riskmanagement一(Guidelines [16]Enterpriseriskmanagementintegratingwithstrategyandperformance,2017,TheCom mitteeofSponsoringOrganizationsoftheTreadwayCommission,USA

合格评定检验检测服务风险管理指南GB/T27423-2019

首先，该指南明确了风险管理的概念和原则。其中包括：风险识别、风险评估、风险控制以及风险监测和改进。这些原则可以帮助检验检测机构全面了解和分析风险，并采取有效的措施来控制和减少风险。

其次，指南还详细规定了合格评定检验检测服务的风险管理过程。这个过程包括：确定风险管理范围、风险识别、风险评估、风险控制、风险监测和风险改进。这个过程可以帮助机构全面、系统地进行风险管理，确保检验检测服务的质量和安全性。

此外，指南还详细说明了风险管理的关键要素。其中包括：组织、人员、设施、技术、方法、记录等。这些要素都是风险管理过程中不可或缺的重要内容。

最后，指南还针对合格评定检验检测服务中可能出现的风险，提出了具体的控制措施。比如，在确定检测范围时，应该根据实际情况确定检测目的、检测标准和方法，以便有效地识别和评估风险。又比如，在确定检测人员时，应该考虑其专业知识、技能、经验和职业道德，以保证检测结果的可靠性。

总之，GB/T27423-2019作为合格评定检验检测服务风险管理指南，对于规范检验检测服务、提高服务质量具有重要意义。各检验检测机构应该充分认识并遵照该指南的规定，加强自身的风险管理工作，提高服务水平。

合格评定检验检测服务风险管理指南的相关资料

和合格评定检验检测服务风险管理指南类似的标准