GB／T 27423-2019标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

GB／T 27423-2019 合格评定 检验检测服务风险管理指南

6.2.1战略目标是机构的高层次目标，是制定机构发展战略和各相关目标的依据。机构制定的战略目 标要符合其使命和发展愿景。 5.2.2战略目标的确定过程需要基于风险评估，要保证机构有较大的可能性实现其期望。战略目标通 常是相对稳定的，它的实施战略和相关目标是动态的，需要随着内部和外部条件的变化而调整

3.1要保证运营服务目标可支撑机构战略目标，与机构的资源和能力相匹配，反映市场需求，具 性。 3.2运营服务目标需要体现机构运行和服务的质量、有效性和效率，如提交检验检测报告的期限 的处理时间、环境指标、安全指标、客户满意度等

JJG 496-2016 工频高压分压器检定规程GB/T27423—2019

6.3.4运营服务目标要明确、可评价、可考核 6.3.5当有追溯要求时，机构需要控制输出的唯一性标识，并保留所需的记录以实现可追溯性

6.4.1机构要追踪、识别适用的法律、法规和标准，及时纳人其管理要求。符合相关的法律、法规、标准 和规定是机构目标的最低要求， 6.4.2在进行风险评估时，首先要评估各项活动和输出的合规性。 6.4.3检验检测机构涉及的法规和标准包括机构设立、服务范围、资质、环境及职业健康安全、员工福 利、合同、财务、运营等，是机构维持其运营资格的必要条件

6.5.1信息是决策的依据。机构利用或输出的信息要可靠，确保其客观、真实、准确、完整和有效。 6.5.2信息可靠性不仅包括与检验检测结果相关的数据、报告等的可靠性，也包括机构的各种运行和 服务质量参数、监控报告、财务等各类报表、内审报告、风险评估报告、向公众提供的信息、提交给监管部 门等相关方的报告、合同等信息的可靠性。 53一活用时宝建产信自可货胜证仕如制

6.5.3适用时，宜建立信息可靠性评估机制

可能有正面影响，即机会，或两者兼有。在目标或战略制定过程中，机构宜同时考虑风险和机会。 7.1.2外部事项包括机构所处外部环境的历史、现在和未来变化的各种事项，至少需要考虑以下方面： 法律、法规、标准等的要求和变化； 技术、金融和自然环境； 外部利益相关者的诉求、价值观、风险承受度； 利益相关方之间的关系： 国际、国内、地区的政治、经济、文化等相关因素： 其他影响机构目标实现的外部主要因素 7.1.3内部事项包括机构实现目标所面临的内在环境的历史、现在和未来变化的各种事项，至少需要 考虑以下方面： 机构的方针、目标； 组织结构、人员胜任能力、管理模式； 机构各方面的资源配置； 内部管理者和人员的诉求、价值观、组织文化和风险承受度； 人员面临的利益冲突和压力； 风险准则； 风险评估和绩效评估； 机构内影响管理的其他任何因素。 7.1.4要确保机构具备适宜的能力，以认识和识别事项的深度、广度、影响范围、发生时机、交互作用等

.1.4要确保机构具备适宜的能力，以认识和识别事项的深度、广度、影响范围、发生时机、交互作用等 的复杂性。要意识到，事项彼此之间的关系是复杂的，很少有孤立发生的事项

GB/T 274232019

综合表征事项的风险。 7.2.2在事项识别的过程中，对发生频率高的事项，要充分评估其对风险容量的贡献，合理设置风险容 限：对后果严重的事项，宜谨慎设置风险容限 三的可能性比较低，也不可被忽略

7.3.1可行时，机构宜建立信息管理系统，涵盖风险管理基本流程和内部控制系统客环节，包括信息的 采集、存储、加工、分析、测试、传递、报告、披露等。 7.3.2信息管理系统要可以及时有效地获取内外部环境及其他相关信息，以识别、管理风险和利用 机会。 7.3.3信息管理系统的功能宜实现对各种风险量化和分析，生成动态风险矩阵图和排序频谱，对重大 风险和重要业务流程动态监控并对超过控制限的风险进行报警，满足内部信息报告制度和对外信息披 露制度的要求。 7.3.4信息可以通过多种方式获取，如：经验、反馈、观察、预测和专家判断等，利用信息时要考虑信息 的来源和其代表性。 7.3.5信息宜实现在各职能部门、业务单位之间的集成与共享，既满足单项业务风险管理的要求，也满 足机构整体和跨职能部门、单位的风险管理综合要求

3.1.1.1风险识别效率的关键在于参与人员的经验、知识水平、对活动过程的了解程度、风险源的特性 和信息的全面性。需要对前人经验和教训进行收集、分析和整理，并熟悉机构服务相关的内部环境和外 部环境。要注意，同样的危险因素，对不同的机构或人而言，风险是可能完全不同的。 3.1.1.2根据机构自身的特点，制定并不断完善“事项或危险源清单”。“事项或危险源清单”有助于风 险识别，随着经验的积累，其将越来越接近实际情况 8.1.1.3检验检测服务事项清单示例参见附录B。检验检测服务的要素可包括但不限于：

服务提供者； 客户/用户； 其他利益相关方； 外部环境； 服务产品/范围； 服务资质； 服务标准； 服务人员； 服务环境； 服务设施设备； 服务合同； 履行合同； 服务提供过程； 一客户沟通； 服务结果；

GB/T 274232019

售后服务； 服务评价标准； 纠纷的解决。 8.1.1.4检验检测服务涉及供方、需方、利益相关方和外部环境，如图2所示

售后服务； 服务评价标准； 纠纷的解决。

8.1.2内部风险识别

图2检验检测服务示意图

检验检测机构内部环境对检验检测服务带来的风险包括但不限于： 人员风险，包括认知、诚信、道德、能力、合作、流动，利益冲突、面临压力等方面的风险； 管理风险，包括方针、目标、决策、实施、组织结构、管理理念、制度安排、组织文化、资源配置、信 息、质量、伦理、职业健康安全、安保、应急能力系统等方面的风险； 财务风险，包括预算、流动资金、周转率、抵押、租赁、成本控制、盈利模式、债务、赔偿、合同、审 计、决算、风险金、固定资产、欺诈、廉政、员工福利等方面的风险； 技术风险，包括设施设备、实验材料、环境、数据可靠性、失误、检验检测程序与方法、计量与标 准、原始数据、超能力范围、新技术研发与应用、创新能力与竞争性、资质等方面的风险： 运营风险，包括合同、环境、检验检测周期、营销、客户隐私、价格、咨询、售后服务、业务连续性 危机处理、与相关方的沟通、合规性等方面的风险； 信用风险，包括信誉、社会责任、价值观、知识产权、机构形象等方面的风险

8.1.3外部风险识别

原因对检验检测服务带来的风险包括但不限于，

GB/T27423—2019

市场风险，包括市场需求变化、竞争者及替代品、新市场开发、合同纠纷、市场营销等方面的 风险； 技术风险，包括相关的外部机构的技术能力、技术服务、技术标准等的缺陷或差异带来的风险； 经济风险，包括物价、宏观经济状况、保险、赔付、收支、劳动力价格、发展、资产保值、廉政等方 面的风险； 法律风险，包括国内外相关法律环境及差异、法规变化、会计政策差异和变动等方面的风险； 客户的风险，包括合同违约、变更、破产、法律纠纷等方面的风险； 合作方的风险，包括由合作方提供的过程、产品、服务、检验检测活动分包等方面的风险： 其他相关方的风险，包括来自管理部门、评价部门、结果利用方等方面的风险； 自然灾害风险，包括台风、洪水、地震等造成的自然灾害等； 其他机构的案例收集与借鉴

和可能性的因素及它们的相互影响等进行定性或定量分析，为风险评价和风险应对提供支持 8.2.2风险分析技术可分为定性（Qualitative)分析和定量（Quantitative）分析，常见的风险评估技术及 适用性说明见GB/T27921。具体采用何种分析技术或如何组合使用，取决于风险的特性、对风险的认 知程度和控制要求。 8.2.3风险分析需要考虑固有风险和剩余风险，主要目标是确定事项发生概率的大小和后果的严重程 度，其分级可以参考表1和表2。对风险排序可依据其概率大小和后果的严重程度进行矩阵分析或采 用风险图示法等.具体表示见图3

GB/T 274232019

4根据风险类型、分析的目的、可获得的信息数据和资源、决策需求等，风险分析可以有不同的 度。从风险管理的有效性和成本看，风险分析越精确，后续措施就越有针对性，应对成本则会降低 管理的有效性就会提高。对于控制措施简单、单一或代价很低的风险的管理，过于追求风险分析 角性反而增加成本，此时，可采取保守的风险应对措施

8.3.1要依据机构确定的风险准则进行风险评价。风险准则需要基于法律法规、标准、风险管理目标、 风险偏好、机构的风险容量和风险容限、相关方的承受能力等的确定。 3.3.2风险评价需要明确可以接受的风险、需要处理的问题以及优先顺序和策略。在很多情况下风险 是不可避免的。为了追求特定的结果（如：新技术）或更大的利益（如：整体利益），一般不需要消除所有 的风险，有时，消除所有风险是不现实的。 3.3.3如果可行，要统一各类风险的度量单位和风险度量模型，并通过测试确保评价系统的合理性和 准确性，包括假设前提、参数、数据来源和评估程序等。需根据内外部环境的变化，定期对评价系统评 审、与实际情况对比，需要时进行修正。 8.3.4风险可分为可接受、合理和不容许存在三种情况（见图3）。要意识到，“合理”并非是接受不必要 风险的理由。特别是风险涉及安全与健康时，若在技术上和经济上可行，宜尽可能考虑将风险降至最低 水平

8.4.1风险评估报告要有助于决策者对风险及其原因、后果和可能性有更充分的理解，并为！ 提供信息：

是否需要开展某些活动； 是否影响预期目标的实现； 如何充分利用时机； 是否需要应对风险； 选择不同风险的应对策略； 确定风险应对策略的优先次序； 选择最适合的风险应对策略，将风险的不利影响控制在可以接受的水平。 8.4.2机构可自行组织撰写风险评估报告，也可聘请外部专业机构进行风险评价，并提供风险评估报 告。风险评估报告的内容包括但不限于：

目标及范围； 系统相关部分的说明及其功能； 机构的内外部环境描述以及被评估对象 所使用的风险准则及其合理性； 假定及假设的合理性； 评估方法； 风险识别结果； 数据的来源与验证； 风险分析结果及评价； 敏感性及不确定性分析； 关键假定和其他需要加以监测的因素； 结果讨论； 结论和建议； 参考资料

GB/T 274232019

目标及范围； 系统相关部分的说明及其功能； 机构的内外部环境描述以及被评估对象与内外环境的关联情况； 所使用的风险准则及其合理性； 假定及假设的合理性； 评估方法； 风险识别结果； 数据的来源与验证； 风险分析结果及评价； 敏感性及不确定性分析； 关键假定和其他需要加以监测的因素； 结果讨论； 结论和建议； 参考资料，

9.1机构要依据风险评估报告，确定风险处理对策。即基于内部环境和外部环境状态，围绕机构发展 目标，确定风险偏好、风险承受度、风险管理有效性标准，明确风险处理原则，并确定风险管理所需的人 力和物力资源配置原则

9.2风险处理原则包括但不限于：

通过决定不开展或停止产生风险的活动，来规避风险； 为寻求机会，接受或提高风险； 消除危险源； 改变事项发生的可能性； 改变事项发生的后果； 一转移、对冲或与另一方/多方共担风险： 一通过有事实依据的决策，保留风险： 考虑对利益相关方的影响； 考虑风险处理措施引人的风险 9.3机构需要正确认识和把握风险与收益的平衡，根据其服务特点确定风险偏好、风险承受度、风险管 理的优选顺序，以及安排风险管理的组织体系、资源和应对措施等。 9.4机构需要定期对风险管理策略的合规性、充分性、有效性和适宜性进行评审，并结合实际情况持续 改进。

10.1机构需要实施有效的控制活动，建立风险处理的政策、过程、操作规范及计划，并有效实施和记 录，以保证机构确定的应对风险的策略和措施可有效实行。 10.2控制活动要充分考虑满足开展风险处理的资源需求，包括组织管理、职责、权限、资源、过程、方 法、计划、绩效评价、不符合工作控制、记录等 10.3需要定期对实施的控制活动评审并持续改进

GB/T 274232019

GB/T 274232019

附录A （资料性附录） 检验检测机构风险管理体系的建立指南

A.1.1检验检测机构（以下简称机构)或其母体组织要有明确的法律地位和从事相关活动的资格。 A.1.2机构的法人或其母体组织的法人要承担对机构合法运行的责任，并保证有足够的资源 A.1.3适用时，可依据GB/T27025、GB/T22576、GB/T27020、GB19489、GB/T27416等标准建立机 构的管理体系。

1.1.4风险管理体系是机构管理体系的组成部分。管理层负责风险管理体系的设计、实施、维持和改

一研究提出全面风险管理工作报告

GB/T 274232019

明确机构风险管理的方针和目标。管理方针要简明扼要，至少包括以下内容： 遵守国家以及地方相关法规和标准的承诺： 遵守诚信、良好职业行为的承诺； 保证员工职业健康、安全和利益的承诺； 为客户提供安全、良好服务的承诺； 风险管理的宗旨和策略 1.2.1.2风险管理的目标宜包括战略目标、运营服务目标、合规性目标和信息可靠性目标。 A.2.1.3管理目标宜包括对管理活动和技术活动制定的控制指标以及安全指标，各项指标要明确，并 局管理方针保持一致，可测量、可考核、可监视、可沟通，适时更新。 1.2.1.4在系统评估的基础上确定管理目标及控制要求，并根据机构活动的复杂性和风险程度定期评 审管理目标、控制指标和制定监督检查计划

2.1规定和描述机构的方针和目标、组织结构、人员岗位及职责、对机构的要求、管理体系、体系 构等。对机构的要求要满足国家和地方相关规定及标准的要求

GB/T27423—2019

员遵守管理体系要求的责任。 4.2.2.3所有政策和要求要以国家主管部门和国际标准化组织等机构或行业权威机构发布的指南或 示准等为依据，并满足国家相关法规和标准的要求，

2.3.1明确规定实施各项要求的责任部门、责任范围、工作流程及责任人、任务安排及对操作人员 的要求、与其他责任部门的关系、应使用的工作文件等。 2.3.2满足机构实施各项要求的需要，工作流程清晰，各项职责得到落实

A.2.4说明及操作规程

2.4.1详细说明使用者的权限及资格要求、潜在危险、设施设备的功能、活动目的和具体操作步 护和安全操作方法、应急措施、文件制定的依据等。 2.4.2维持并合理使用工作中涉及的各项活动的风险信息，以及所有材料的最新安全数据单

A.2.5.1建立风险信息系统，系统识别和收集相关的来源于内部和外部的历史资料、事故报告、历次检 查的结果、潜在的危险源等；资料要易于查询和使用、 A.2.5.2需要时，制定适用于不同部门或岗位的安全手册，提示重要的风险和应对措施；在工作区，安 全手册要随时可供使用，并要求相关的员工在工作前已经理解了相关的内容和要求 A.2.5.3安全手册要简明、易懂、易读，管理层至少每年对安全手册评审，需要时更新。 A.2.5.4适用时，为客户和相关方 信息、机构的政策和相关的解释等资料

A.2.6.1明确规定对相关活动进行记录的要求，至少包括：记录的内容、记录的要求、记录的档案管理、 记录使用的权限、记录的安全、记录的保存期限等。保存期限要符合国家和地方法规或标准的要求及合 司的规定。 A.2.6.2建立对记录进行识别、收集、索引、访问、存放、维护及安全处置的程序。 A.2.6.3确保原始记录真实、提供足够的信息并可追溯。 A.2.6.4 对原始记录的任何更改均不影响识别被修改的内容，修改人需要签字和注明日期。 A.2.6.5 记录要便于检索、易于使用，对记录的调阅需要符合保密规定。 A.2.6.6 记录可存储于任何适当的媒介，包括形成电子文件，要符合国家和地方的法规或标准的要求 需要。 A.2.6.7 需具备适宜的记录存放条件，以防损坏、变质、丢失或未经授权的进人。 A.2.6.8要保证报告管理系统、财务管理系统、人事管理系统等数字化信息管理系统及数据的安全性 可靠性，并符合国家标准

A.2.6.1明确规定对相关活动进行记录的要求，至少包括：记录的内容、记录的要求、记录的 记录使用的权限、记录的安全、记录的保存期限等。保存期限要符合国家和地方法规或标准自 同的规定。

A.2.7.1机构用于标示危险区、警示、指示、证明等的图文标识是管理体系文件的一部分，包括用于特 殊情况下的临时标识，如“污染”“消毒中”设备检修”等。 A.2.7.2标识要明确、醒目和易区分。只要可行，使用国际、国家规定的通用标识。 4.2.7.3系统而清晰地标示出控制区，在某些情况下，宜同时使用标识和物理屏障标示出控制区。 A.2.7.4清楚地标示出具体的危险材料、危险，包括：生物危险、有毒有害、腐蚀性、辐射、刺伤、电击、易 燃、易爆、高温、低温、高动能、强光、振动、噪声、动物咬伤、砸伤等；需要时，同时提示必要的防护措施，

GB/T27423—2019

A.2.7.5若涉及生物安全管理，适用时，见GB19489关于标识的要求

A.3.1机构宜将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各 环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。 A.3.2如果机构建立了信息管理系统，要有机制保证其安全性和可靠性，

A.4.1组织文化建设宜包括风险管理文化的建设，以促进风险管理水平。

A.4.1组织文化建设宜包括风险管理文化的建设，以促进风险管理水平。 1.4.2 制定员工道德诚信准则，以降低管理风险和管理成本。 1.4.3风险管理文化要利于将风险管理意识转化为员工的共同认识和自觉行动。 A.4.4 风险管理文化建设宜与机构的管理制度建设相结合。 A.4.5风险管理文化需要融入到各个职能层面，注重增强各级管理人员特别是高级管理人员的风险 意识。

.1组织文化建设宜包括风险管理文化的建设，以促进风险管理水平。 2制定员工道德诚信准则，以降低管理风险和管理成本。 3风险管理文化要利于将风险管理意识转化为员工的共同认识和自觉行动。 4风险管理文化建设宜与机构的管理制度建设相结合。 5风险管理文化需要融人到各个职能层面，注重增强各级管理人员特别是高级管理人员的风I

1.5.1所有工作人员均要经过适当的能力、素质、诚信、道德等培训，保证胜任其岗位。 A.5.2持续评估员工的胜任能力并保证员工的继续教育机会。 A.5.3适用时，员工无职业禁忌证， A.5.4建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度，并 安排有能力的专业人员，依据员工的经验和职责对其进行必要的风险知识和风险技术培训。 A.5.5指导所有人员使用和应用与其相关的管理体系文件及其实施要求，并评估其理解和运用的 能力。 A.5.6确保所有人员具备其负责的活动的能力，以及评估偏离影响程度的能力。 A.5.7当主管部门有要求时，适用的人员需要具备资质证书

A.5.1所有工作人员均要经过适当的能力、素质、诚信、道德等培训，保证胜任其岗位。 A.5.2持续评估员工的胜任能力并保证员工的继续教育机会。 A.5.3适用时，员工无职业禁忌证。 A.5.4建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度，并 安排有能力的专业人员，依据员工的经验和职责对其进行必要的风险知识和风险技术培训。 A.5.5指导所有人员使用和应用与其相关的管理体系文件及其实施要求，并评估其理解和运用的 能力。 A.5.6确保所有人员具备其负责的活动的能力，以及评估偏离影响程度的能力。 A.5.7当主管部门有要求时，适用的人员需要具备资质证书，

1.6.1管理层负责组织实施检查，每年需要至少根据管理体系的要求系统性地检查一次，对 点可根据风险评估报告适当增加检查频率。

A.7风险、不符合工作的识别和控制

制定风险、不符合工作的识别政策和程序，主动识别潜在的各种风险和不符合工作。 2当发现有潜在风险或任何不符合机构所制定的管理体系的要求时，管理层宜采取以下措施（） 将解决问题的责任落实到个人；

GB/T 274232019

A.8.1纠正措施程序中要包括识别问题发生的根本原因的调查程序。纠正措施要与问题的严重性及 风险的程度相适应。只要适用，纠正措施程序中要明确需要及时采取的预防措施。 .8.2管理层负责将因纠正措施所致的管理体系的任何改变文件化并实施。 4.8.3管理层负责监督和检查所采取纠正措施的效果，以确保这些措施已有效解决了识别出的问题

.9.1识别无论是人员、环境、技术还是管理体系方面的不符合项来源和所需的改进，定期进行趋势分 斤和风险分析，包括对外部评价的分析。如果采取预防措施，需要制定行动计划，监督和检查实施效果， 人减少类似不符合项发生的可能性并借机改进， A.9.2预防措施程序包括对预防措施的评价，以确保其有效性

4.10.1建立机制保证所有员工主动识别所有潜在的不符合项来源、识别对管理体系或技术的改进机 会。适用时，及时改进识别出的需改进之处，制定改进方案，文件化、实施并监督。 A.10.2征求客户的反馈意见，无论是正面的还是负面的。分析和利用这些反馈意见，可以帮助改进管 理体系、机构活动和客户服务。 A.10.3设置可以系统地监测、评价相关活动的客观指标。 A.10.4 如果采取措施，要通过重点评审或审核相关范围的方式评价其效果。 4.10.5 需要时，及时将因改进措施所致的管理体系的任何改变文件化并实施。 4.10.6 需要评估改进措施可能引人的新的风险 4.10.7 为所有员工提供相关的教育和培训，保证其有能力参与改进活动

A.11.1机构的内部审核体系需要与机构的风险内部监督和约束体系相协调。 A.11.2 内部审核宜包括以风险控制为目的的全面审核，包括内部财务审计。 A.11.3如果涉及多项管理体系或系统的要求，宜按领域策划、组织并实施审核。 A.11.4依据有关过程的重要性、对机构产生影响的变化和以往的审核结果，策划、制定、实施和保持审 核方案，审核方案包括频次、方法、职责、策划要求和报告

.11.1机构的内部审核体系需要与机构的风险内部监督和药束体系相协调。 A.11.2内部审核宜包括以风险控制为目的的全面审核，包括内部财务审计。 1.11.3如果涉及多项管理体系或系统的要求，宜按领域策划、组织并实施审核。 A.11.4依据有关过程的重要性、对机构产生影响的变化和以往的审核结果，策划、制定、实施和保持审 该方案，审核方案包括频次、方法、职责、策划要求和报告

GB/T 274232019

1.11.5如果发现不足或改进机会，及时头 A.11.6正常情况下，按不大于12个月的周期对管理体系的每个要素进行内部审核 A.11.7为保证审核工作的独立性，员工不宜审核自已的工作。 A.11.8内部审核的结果需要提交IRMC和管理层评审

A.11.5如果发现不足或改进 A.11.6正常情况下，按不大于12个月的周期对管理体系的每个要索进行内部审核 A.11.7为保证审核工作的独立性，员工不宜审核自已的工作。 A.11.8内部审核的结果需要提交IRMC和管理层评审

体系进行评审，以确保其适宜性、充分性和有效性持续符合要求，并 与机构的战略方向保持一致，包括质量、能力、安全、服务等方面的管理 A.12.2管理评审包括涉及风险管理的内容

A.13应急管理和事故报告

附 录B （资料性附录） 检验检测服务事项清单示例 表B.1给出了与服务提供者信任度等有关的事项清单。 表B.2给出了与服务提供能力有关的事项清单。 表B.3给出了与供方、员工和客户有关的事项清单 表B.4给出了与合同、支付和服务交付有关的事项清单。 表B.5给出了与服务结果、服务环境、设备和保障措施有关的事项清单。 表B.6给出了与各阶段沟通相关的事项清单

GB/T 274232019

表B.1与服务提供者信任度等有关的事项

DZ/T 0279.25-2016 区域地球化学样品分析方法 第25部分：碳量测定 燃烧—红外吸收光谱法GB/T27423—2019

GB/T27423—2019

表B.2与服务提供能力有关的事项

表B.3与供方、员工和客户有关的事项

GB/T27423—2019

QHJJ 0004S-2016 成都市郫县红九久调味品有限公司 半固态复合调味料（含油型）GB/T 274232019