检验检测服务风险管理（二）

（接上期）

首先应对前人经验和教训的收集、分析和整理，要十分了解机构的服务相关的内部环境和外部环境。应注意，同样的危险因素，对不同的机构或人而言，风险是可能完全不同的。

根据机构各自的特点，制定并不断完善事项或危险源清单”是十分有助于风险识别的做法，随着机构风险管理体系运行经验的积累，“事项或危险源清单”应越来越接近实际情况、越来越实用，检验检测服务事项清单示例见附录B。

检验检测服务的要素可包括：

－ 服务提供者；

－ 客户/用户；

－ 利益相关方；

－ 外部环境；

－ 服务产品/范围；

－ 服务资质；

－ 服务标准；

－ 服务人员；

－ 服务环境；

－ 服务设施设备；

－ 服务合同；

－ 履行合同；

－ 服务提供过程；

－ 客户沟通；

－ 服务结果；

－ 售后服务；

－ 服务评价标准；

－ 纠纷的解决。

检验检测服务涉及供方、需方、利益相关方和外部环境，见图2所示：

6.1.2外部风险

外部原因对检验检测服务带来的风险包括但不限于：

a) 市场风险，包括市场需求变化、竞争者及替代品、新市场开发、合同纠纷、市场营销等方面的风险；

b) 技术风险，包括设施设备和技术更新、新技术新产品的应用、检验检测标准和服务标准的变化、知识产权等方面的风险客户和合作伙伴带来的风险，；

c) 经济风险，包括物价、宏观经济状况、保险、赔付、收支、劳动力价格、发展、资产保值、廉政等方面的风险；

d) 法律风险，包括国内外相关法律环境及差异、法规变化、会计政策差异和变动等方面的风险；

e) 客户的风险，包括合同违约、变更、破产、法律纠纷等方面的风险； 

f) 合作方的风险，包括由合作方提供的过程、产品、服务、检验检测活动分包等方面的风险；

g) 相关方的风险，包括来自于管理部门、评价部门、结果利用方等方面的风险；

h) 自然灾害风险，包括台风、洪水、地震等造成的自然灾害等；

i) 相关的案例收集。

6.1.3 内部风险

检验检测机构内部环境对检验检测服务带来的风险包括但不限于：

a) 人员风险，包括认知、诚信、道德、能力、合作、流动，利益冲突、面临压力等方面的风险；

b) 管理风险，包括方针、目标、决策、实施、组织结构、管理理念、制度安排、企业文化、资源配置、失误、信息系统等方面的风险；

c) 财务风险，包括预算、流动资金、周转率、抵押、租赁、成本控制、盈利模式、债务、赔偿、合同、审计、决算、风险金、固定资产、欺诈、廉政、员工福利等方面的风险；

d) 技术风险，包括人员能力、资质、设施设备、实验材料、环境、职业健康、数据可靠性、失误、新技术研发、技术创新、竞争性、检验检测程序、原始数据、质量、伦理、安全、安保、应急能力等方面的风险；

e) 运营风险，包括合同、环境、检验检测周期、营销、客户隐私、价格、咨询、售后服务、业务连续性、危机处理、与相关方的沟通、合规性等方面的风险；

f) 信用风险，包括信誉、社会责任、价值观、机构形象等方面的风险。

6.2风险分析

风险分析是对识别出的风险源和风险原因、事件发生的可能性及其结果、影响后果和可能性的因素、它们的相互影响等进行定性或定量分析，为风险评价和风险应对提供支持。

风险分析技术可分为定性（Qualitative）分析和定量（Quantitative）分析，常见的风险评估技术及适用性说明见GB/T 27921。具体采用何种分析技术或如何组合使用，基本取决于风险的特性、对风险的了解程度和控制要求。

风险分析应考虑固有风险和剩余风险，主要目标是确定事项发生概率的大小和后果的严重程度，其分级可以参考表1和表2的表述。对风险排序可依据其概率大小和后果的严重程度进行矩阵分析或采用风险图示法等（见图3）表示。

根据风险类型、分析的目的、可获得的信息数据和资源、决策需求等，风险分析可以有不同的详细程度。从风险管理的有效性和成本看，风险分析越精确，后续措施就越有针对性，应对成本则会降低，风险管理的有效性就会提高。对于一些控制措施简单、单一或代价很低的风险的管理，过于追求风险分析的精确性反而增加成本，此时，可采取保守的风险应对措施。

6.3风险评价

在很多情况下风险是不可避免的。为了追求特定的结果（如：新技术）或更大的利益（如：整体利益），一般不需要消除所有的风险或消除所有的风险是不现实的。风险评价需要回答的问题包括：哪些风险是可以接受的？哪些是需要处理的问题? 优先顺序和策略是什么？ 

风险评价的依据是机构合理确定的风险准则，机构应基于法律、法规、标准、风险管理目标、机构的风险容量和风险容限、相关方的承受能力等确定风险准则。

如果可行，应统一各风险的度量单位和风险度量模型，并通过测试确保评价系统的合理性和准确性，包括假设前提、参数、数据来源和评估程序等。应根据内外部环境的变化，定期对评价系统评审、与实际情况对比，需要时进行修正。

从安全角度考虑，风险可分为可接受、合理和不容许存在三种情况（见图3）。应意识到，“合理”并非是接受不必要风险的理由，应尽可能将任何风险降至最低水平，但通常会遇到技术上和经济上的可行性问题。

机构应动态实施风险识别、分析、评价，以便对新的风险和原有风险的变化重新评估。

6.4风险评估报告

风险评估报告应有助于决策者对风险及其原因、后果和可能性有更充分的理解，为以下事项提供信息：

－ 是否应该开展某些活动；

－ 是否影响预期目标的实现；

－ 如何充分利用时机；

－ 是否需要应对风险；

－ 选择不同风险的应对策略；

－ 确定风险应对策略的优先次序；

－ 选择最适合的风险应对策略，将风险的不利影响控制在可以接受的水平。

机构可自行组织撰写风险评估报告，也可聘请有资质、信誉好、风险管理专业能力强的外部机构对机构全面风险管理工作进行评价，并提供风险评估报告。风险报告一般应考虑但不限于以下内容：

－ 目标及范围；

－ 系统相关部分的说明及它们的功能；

－ 组织的内外部环境描述以及被评估对象与内外环境的关联情况；

－ 所使用的风险准则及其合理性；

－ 假定及假设的合理性；

－ 评估方法；

－ 风险识别结果；

－ 数据的来源与验证；

－ 风险分析结果及评价；

－ 敏感性及不确定性分析；

－ 关键假定和其他需要加以监测的因素；

－ 结果讨论；

－ 结论和建议；

－ 参考资料。

a) 通过决定不开展或停止产生风险的活动，来规避风险；

b) 为寻求机会，接受或提高风险；

c) 消除危险源；

d) 改变事项发生的可能性；

e) 改变事项发生的后果；

f) 转移或与另一方或多方共担风险；

g) 通过有事实依据的决策，保留风险；

h) 考虑对利益相关方的影响；

i) 考虑风险处理措施引入的风险。

机构应正确认识和把握风险与收益的平衡，根据其服务特点确定风险偏好、风险承受度、风险管理的优选顺序，以及安排风险管理的组织体系、资源和应对措施等。

机构应定期评审机构的风险管理策略的有效性和合理性，结合实际情况持续改进。

沟通和协商过程应提供真实、准确、便于理解和相关的交流信息，同时应考虑保密因素。

应在风险管理过程的所有阶与内、外部利益相关方沟通和协商。机构的内部沟通、报告和协商的内容包括但不限于：

－ 及时告知风险管理的相关要求、职责、过程、方法、计划等和任何后续的更改；

－ 及时告知员工面临的任何危险及后果；

－ 对发现任何潜在危险或不符合工作的报告程序；

－ 提供危险源标识系统和安全手册；

－ 涉及职业健康安全时，提供保证员工参与决策过程的机制和利益协商机制；

－ 涉及保密或个人隐私的报告程序。

机构的外部沟通、报告和协商的内容包括但不限于：

－ 沟通、协商、报告和反馈渠道及安排；

－ 确保利益相关方的观点、利益被理解和考虑；

－ 对法律法规和管理要求的符合情况；

－ 紧急或突发事件的沟通；

－ 提供适宜的帮助，以明确状况；

－ 对风险处理计划的认同与支持；

－ 变更事项的沟通；

－ 涉及保密事项的沟通、报告程序。

应保证监督和检查的有效性，其依赖于监督和检查的程序、方法、时机和人员的能力。可行时，应采取持续监控的方式。监督和检查的范围、频率与机构的风险策略、处理风险的优先顺序、风险目标、风险特征等有关，应加强对重点领域的监督和评审。外部的监督或检查活动通常不能代替机构内部的监督或检查活动，根据需要，可以聘请外部人员参与监督和检查。监督和检查可以定期或不定期实施，以保证：

－ 确保管理体系和控制措施在设计和运行上有效和有效率，结果满足预期；

－ 获得改进风险管理的信息；

－ 对事件、变化、趋势、有效、无效等进行分析并获取经验；

－ 识别出现的任何风险或机会，并及时采取措施。

（全文完）