按照風險管理理論，任何類型或規(guī)模的組織都面臨風險，組織的所有活動也都涉及風險。新版ISO17025的發(fā)布，將風險管理引入到實驗室，實驗室越來越意識到風險的存在，越來越重視風險管理，雖然沒有要求采取正規(guī)的風險管理方法，但自身應(yīng)該有一個相對規(guī)范的風險管理過程。

（1）確定檢驗檢測行業(yè)的主要風險。在《風險管理 原則與實施指南》（GB/T 24353－2009）中，解釋組織的風險，有4種風險，法律風險、質(zhì)量責任風險、安全風險、環(huán)境風險。

檢驗檢測行業(yè)具有管理和技術(shù)都是標準化的特點，風險分析應(yīng)有自身的角度和重點。結(jié)合實驗室管理運行的實際，應(yīng)重點關(guān)注兩類風險：

一類是合規(guī)運行風險，法律風險，對于檢驗檢測機構(gòu)來說，就是合規(guī)運行風險，主要來自于監(jiān)管部門，監(jiān)管部門監(jiān)管力度越來越大，實現(xiàn)了常態(tài)化監(jiān)管；監(jiān)管的專業(yè)化水平越來越高，能夠發(fā)現(xiàn)管理運行中的深層次問題；現(xiàn)已出臺《檢驗檢測機構(gòu)監(jiān)督管理辦法》，違規(guī)運行將會面臨撤銷資質(zhì)、停業(yè)整頓、限期改正、罰款，甚至?xí)�面臨法律后果。

一類是結(jié)果有效性風險，質(zhì)量責任風險，對于檢驗檢測機構(gòu)來說，就是結(jié)果有效性風險。管理體系建立和運行，都是圍繞結(jié)果有效性展開的。這個風險來自于客戶及使用結(jié)果的相關(guān)方，我們是出具具有證明作用的數(shù)據(jù)結(jié)果的，報告一旦發(fā)出就會產(chǎn)生一定的后果，會出現(xiàn)虛假報告、編造數(shù)據(jù)和數(shù)據(jù)不實等風險。

這兩類風險最能體現(xiàn)出檢驗檢測行業(yè)的市場特點、技術(shù)特點，明確了檢驗檢測內(nèi)部的兩類風險，風險管理要實現(xiàn)的目標就是確保“合規(guī)運行、結(jié)果有效”，可以進一步確定可以接受的風險程度，比如合規(guī)運行的風險，不能出現(xiàn)虛假報告和不實報告；結(jié)果有效性風險，不能出現(xiàn)數(shù)據(jù)結(jié)果質(zhì)量問題。這就使我們對風險管理的目標、準則有了較為清晰的認識。 

（2）應(yīng)做好風險評估。包括風險識別、風險分析和風險評價，形成風險評估報告。

1）風險識別，應(yīng)關(guān)注會有什么問題發(fā)生。對于實驗室來說，每項檢驗檢測活動都會涉及風險，風險貫穿了實驗室活動的全過程。基于這一邏輯，檢驗檢測活動是標準化、流程化的、程序化的，對工作流程中各個關(guān)鍵點進行風險識別，就可以識別出風險源，形成一個風險列表，也就是“風險源清單”，稱之為“檢測流程分析法”。識別每一流程的風險，關(guān)鍵在于參與人員的技術(shù)能力、操作熟練程度、對相關(guān)規(guī)定熟悉程度、工作經(jīng)驗等。當然，也可以按要素（人、機、料、法、環(huán)、測）進行識別，實驗室可自行規(guī)定風險識別的方法。

實驗室應(yīng)對內(nèi)部應(yīng)對風險的環(huán)境心中有數(shù)，同樣是風險因素，對不同的機構(gòu)和人員來說，風險發(fā)生的可能性和影響可能是完全不同的。對一個機構(gòu)是風險，對另一個機構(gòu)可能不是風險，這與內(nèi)部應(yīng)對風險的意識和能力有關(guān)。 

2）風險分析，風險分析應(yīng)考慮導(dǎo)致風險的原因，風險發(fā)生的可能性和影響程度，進行定性或定量分析，發(fā)生的可能性有多大，影響程度有多大。

考慮到檢驗檢測行業(yè)管理和技術(shù)特點，管理體系本身就具有降低風險的功能，采用定性分析也可以達到風險分析的效果。比如，對發(fā)生的可能性分為：很可能、有可能、可能性小、一般不可能；對影響程度分為：較大、中度、較小、很小。

風險分析的目的是為后續(xù)的評價和應(yīng)對措施提供依據(jù)。所以，分析的越準確，后續(xù)措施越有針對性，應(yīng)對成本會降低，風險管理的有效性就會越高。

3）風險評價，可以說檢驗檢測活動中的風險是不可避免的，消除所有的風險是不現(xiàn)實的。風險評價，就是要回答：哪些風險是可以接受的？哪些風險是需要處理的？采取什么應(yīng)對措施？

評價結(jié)果可分為“合理”“可接受”“不容許”三種情況，可采取相應(yīng)的措施：“關(guān)注”“過程控制”“采取應(yīng)對措施”等，實驗室應(yīng)根據(jù)實際確定。

對于檢驗檢測機構(gòu)要不要專門的風險評估報告？還是基于檢驗檢測行業(yè)的技術(shù)特點，沒有必要專門編寫風險評估報告，但可將其中的部分內(nèi)容納入到應(yīng)對風險和機遇措施報告，作為管理評審的輸入。

（3）應(yīng)做好風險應(yīng)對。應(yīng)實施應(yīng)對風險的措施，在風險評估的基礎(chǔ)上，識別出了風險點，確定了導(dǎo)致風險的誘因、可能性及后果，明確了需要采取的應(yīng)對措施，應(yīng)對措施應(yīng)包括具體的業(yè)務(wù)和管理活動、責任人及執(zhí)行時間。然后，就應(yīng)組織實施相關(guān)措施。應(yīng)對風險可以選擇一種或多種措施，應(yīng)整合運用各種措施，以改變風險發(fā)生的可能性和后果。

應(yīng)對風險方式包括：規(guī)避風險：不參與或退出可能導(dǎo)致風險活動；客戶要求的偏離影響誠信或者影響結(jié)果有效性，不能接受，可以不參與相關(guān)活動。承擔風險：對某個項目進行分析，有風險，但風險可控，寧愿承擔這些風險，也要抓住這個機遇。消除風險：消除風險源。改變風險：改變發(fā)生風險的可能性或者后果。轉(zhuǎn)移風險：做出免責聲明，應(yīng)合理制定免責條款。分擔風險：與客戶分擔風險。保留風險：通過對信息進行充分分析，認為風險可控，會保留風險，尋求機遇。

（4）應(yīng)做好效果評價：實施應(yīng)對措施并對效果進行評價，采取措施是否改變了風險發(fā)生的可能性和后果，是否消除或降低了風險？是否存在剩余風險？應(yīng)明確評價責任部門和人員，可利用內(nèi)部審核之機進行評價。

實施風險應(yīng)對措施會引起風險的改變，應(yīng)識別會不會出現(xiàn)新的風險，當識別出新的風險，應(yīng)再次進行分析和應(yīng)對，適當時實施改進，使風險管理水平在原有基礎(chǔ)上得到提升。

（5）記錄，應(yīng)做好風險管理過程的全部記錄，確保風險活動的可追溯性。

風險管理旨在保證機構(gòu)恰當?shù)貞?yīng)對風險，提高風險應(yīng)對的效率，增強應(yīng)對措施的合理性，有效配置資源，確保風險管理實現(xiàn)其預(yù)期結(jié)果 。