（接上期）

首先應對前人經驗和教訓的收集、分析和整理，要十分了解機構的服務相關的內部環境和外部環境。應注意，同樣的危險因素，對不同的機構或人而言，風險是可能完全不同的。

根據機構各自的特點，制定并不斷完善事項或危險源清單”是十分有助于風險識別的做法，隨著機構風險管理體系運行經驗的積累，“事項或危險源清單”應越來越接近實際情況、越來越實用，檢驗檢測服務事項清單示例見附錄B。

檢驗檢測服務的要素可包括：

－ 服務提供者；

－ 客戶/用戶；

－ 利益相關方；

－ 外部環境；

－ 服務產品/范圍；

－ 服務資質；

－ 服務標準；

－ 服務人員；

－ 服務環境；

－ 服務設施設備；

－ 服務合同；

－ 履行合同；

－ 服務提供過程；

－ 客戶溝通；

－ 服務結果；

－ 售后服務；

－ 服務評價標準；

－ 糾紛的解決。

檢驗檢測服務涉及供方、需方、利益相關方和外部環境，見圖2所示：

6.1.2外部風險

外部原因對檢驗檢測服務帶來的風險包括但不限于：

a) 市場風險，包括市場需求變化、競爭者及替代品、新市場開發、合同糾紛、市場營銷等方面的風險；

b) 技術風險，包括設施設備和技術更新、新技術新產品的應用、檢驗檢測標準和服務標準的變化、知識產權等方面的風險客戶和合作伙伴帶來的風險，；

c) 經濟風險，包括物價、宏觀經濟狀況、保險、賠付、收支、勞動力價格、發展、資產保值、廉政等方面的風險；

d) 法律風險，包括國內外相關法律環境及差異、法規變化、會計政策差異和變動等方面的風險；

e) 客戶的風險，包括合同違約、變更、破產、法律糾紛等方面的風險； 

f) 合作方的風險，包括由合作方提供的過程、產品、服務、檢驗檢測活動分包等方面的風險；

g) 相關方的風險，包括來自于管理部門、評價部門、結果利用方等方面的風險；

h) 自然災害風險，包括臺風、洪水、地震等造成的自然災害等；

i) 相關的案例收集。

6.1.3 內部風險

檢驗檢測機構內部環境對檢驗檢測服務帶來的風險包括但不限于：

a) 人員風險，包括認知、誠信、道德、能力、合作、流動，利益沖突、面臨壓力等方面的風險；

b) 管理風險，包括方針、目標、決策、實施、組織結構、管理理念、制度安排、企業文化、資源配置、失誤、信息系統等方面的風險；

c) 財務風險，包括預算、流動資金、周轉率、抵押、租賃、成本控制、盈利模式、債務、賠償、合同、審計、決算、風險金、固定資產、欺詐、廉政、員工福利等方面的風險；

d) 技術風險，包括人員能力、資質、設施設備、實驗材料、環境、職業健康、數據可靠性、失誤、新技術研發、技術創新、競爭性、檢驗檢測程序、原始數據、質量、倫理、安全、安保、應急能力等方面的風險；

e) 運營風險，包括合同、環境、檢驗檢測周期、營銷、客戶隱私、價格、咨詢、售后服務、業務連續性、危機處理、與相關方的溝通、合規性等方面的風險；

f) 信用風險，包括信譽、社會責任、價值觀、機構形象等方面的風險。

6.2風險分析

風險分析是對識別出的風險源和風險原因、事件發生的可能性及其結果、影響后果和可能性的因素、它們的相互影響等進行定性或定量分析，為風險評價和風險應對提供支持。

風險分析技術可分為定性（Qualitative）分析和定量（Quantitative）分析，常見的風險評估技術及適用性說明見GB/T 27921。具體采用何種分析技術或如何組合使用，基本取決于風險的特性、對風險的了解程度和控制要求。

風險分析應考慮固有風險和剩余風險，主要目標是確定事項發生概率的大小和后果的嚴重程度，其分級可以參考表1和表2的表述。對風險排序可依據其概率大小和后果的嚴重程度進行矩陣分析或采用風險圖示法等（見圖3）表示。

根據風險類型、分析的目的、可獲得的信息數據和資源、決策需求等，風險分析可以有不同的詳細程度。從風險管理的有效性和成本看，風險分析越精確，后續措施就越有針對性，應對成本則會降低，風險管理的有效性就會提高。對于一些控制措施簡單、單一或代價很低的風險的管理，過于追求風險分析的精確性反而增加成本，此時，可采取保守的風險應對措施。

6.3風險評價

在很多情況下風險是不可避免的。為了追求特定的結果（如：新技術）或更大的利益（如：整體利益），一般不需要消除所有的風險或消除所有的風險是不現實的。風險評價需要回答的問題包括：哪些風險是可以接受的？哪些是需要處理的問題? 優先順序和策略是什么？ 

風險評價的依據是機構合理確定的風險準則，機構應基于法律、法規、標準、風險管理目標、機構的風險容量和風險容限、相關方的承受能力等確定風險準則。

如果可行，應統一各風險的度量單位和風險度量模型，并通過測試確保評價系統的合理性和準確性，包括假設前提、參數、數據來源和評估程序等。應根據內外部環境的變化，定期對評價系統評審、與實際情況對比，需要時進行修正。

從安全角度考慮，風險可分為可接受、合理和不容許存在三種情況（見圖3）。應意識到，“合理”并非是接受不必要風險的理由，應盡可能將任何風險降至最低水平，但通常會遇到技術上和經濟上的可行性問題。

機構應動態實施風險識別、分析、評價，以便對新的風險和原有風險的變化重新評估。

6.4風險評估報告

風險評估報告應有助于決策者對風險及其原因、后果和可能性有更充分的理解，為以下事項提供信息：

－ 是否應該開展某些活動；

－ 是否影響預期目標的實現；

－ 如何充分利用時機；

－ 是否需要應對風險；

－ 選擇不同風險的應對策略；

－ 確定風險應對策略的優先次序；

－ 選擇最適合的風險應對策略，將風險的不利影響控制在可以接受的水平。

機構可自行組織撰寫風險評估報告，也可聘請有資質、信譽好、風險管理專業能力強的外部機構對機構全面風險管理工作進行評價，并提供風險評估報告。風險報告一般應考慮但不限于以下內容：

－ 目標及范圍；

－ 系統相關部分的說明及它們的功能；

－ 組織的內外部環境描述以及被評估對象與內外環境的關聯情況；

－ 所使用的風險準則及其合理性；

－ 假定及假設的合理性；

－ 評估方法；

－ 風險識別結果；

－ 數據的來源與驗證；

－ 風險分析結果及評價；

－ 敏感性及不確定性分析；

－ 關鍵假定和其他需要加以監測的因素；

－ 結果討論；

－ 結論和建議；

－ 參考資料。

a) 通過決定不開展或停止產生風險的活動，來規避風險；

b) 為尋求機會，接受或提高風險；

c) 消除危險源；

d) 改變事項發生的可能性；

e) 改變事項發生的后果；

f) 轉移或與另一方或多方共擔風險；

g) 通過有事實依據的決策，保留風險；

h) 考慮對利益相關方的影響；

i) 考慮風險處理措施引入的風險。

機構應正確認識和把握風險與收益的平衡，根據其服務特點確定風險偏好、風險承受度、風險管理的優選順序，以及安排風險管理的組織體系、資源和應對措施等。

機構應定期評審機構的風險管理策略的有效性和合理性，結合實際情況持續改進。

溝通和協商過程應提供真實、準確、便于理解和相關的交流信息，同時應考慮保密因素。

應在風險管理過程的所有階與內、外部利益相關方溝通和協商。機構的內部溝通、報告和協商的內容包括但不限于：

－ 及時告知風險管理的相關要求、職責、過程、方法、計劃等和任何后續的更改；

－ 及時告知員工面臨的任何危險及后果；

－ 對發現任何潛在危險或不符合工作的報告程序；

－ 提供危險源標識系統和安全手冊；

－ 涉及職業健康安全時，提供保證員工參與決策過程的機制和利益協商機制；

－ 涉及保密或個人隱私的報告程序。

機構的外部溝通、報告和協商的內容包括但不限于：

－ 溝通、協商、報告和反饋渠道及安排；

－ 確保利益相關方的觀點、利益被理解和考慮；

－ 對法律法規和管理要求的符合情況；

－ 緊急或突發事件的溝通；

－ 提供適宜的幫助，以明確狀況；

－ 對風險處理計劃的認同與支持；

－ 變更事項的溝通；

－ 涉及保密事項的溝通、報告程序。

應保證監督和檢查的有效性，其依賴于監督和檢查的程序、方法、時機和人員的能力?？尚袝r，應采取持續監控的方式。監督和檢查的范圍、頻率與機構的風險策略、處理風險的優先順序、風險目標、風險特征等有關，應加強對重點領域的監督和評審。外部的監督或檢查活動通常不能代替機構內部的監督或檢查活動，根據需要，可以聘請外部人員參與監督和檢查。監督和檢查可以定期或不定期實施，以保證：

－ 確保管理體系和控制措施在設計和運行上有效和有效率，結果滿足預期；

－ 獲得改進風險管理的信息；

－ 對事件、變化、趨勢、有效、無效等進行分析并獲取經驗；

－ 識別出現的任何風險或機會，并及時采取措施。

（全文完）