从ISO 31000看实验室风险管理

文/本刊记者 许欢

I SO 31000《风险管理指南》2018版，于2018年2月正式发布。这是ISO 31000自2009年发布全球第一版后的更新升级版。新版ISO 31000，对风险管理的原则、框架、流程都进行了较大修改。8月10日，2018年实验室管理国际交流研讨会上，来自美国实验室认可协会（A2LA）名誉主席、原国际实验室认可合作组织（ILAC）执行委员会Peter Unger先生，也分享了关于新版ISO 31000《风险管理指南》的相关内容。

新版ISO 31000简洁明晰

ISO 31000自2009年发布以来，得到了全球各个国家的支持和响应。截至目前，已有57个国家采纳了ISO 31000《风险管理指南》，并以此为基础发布了其国家风险管理标准。据悉，最新版本的ISO 31000主要是用以帮助管理中的不确定性。

Peter Unger先生称，实验室同样要面临多种风险及不确定性，所以才会涉及到风险管理。新版ISO 31000 提供了更加简洁明晰的指南，更加注重创造和保护价值，可以帮助实验室做好风险管理。而实验室通常是以风险源、潜在事件、后果和事件发生的可能性来表示风险。但是风险也有可能是正面的，因为它也是改正的机会。

ISO 31000里确定了8条原则，使风险管理能够达到应有的效果：一是整体性原则。风险管理应是组织活动不可分割的一个部分，应整合到组织活动的各个方面。二是结构化与全方位原则。结构化和全方位的风险管理方法，有助于实现一致和可比较的结果。三是定制化原则。风险管理框架和流程应是可以定制的，要与组织所处的外部和内部环境以及相关的目标相适应。四是包容性原则。利益相关者恰当和及时的参与，使得来自多方面的知识、观点及看法得到考虑，有助于提高对风险管理的认识，实现明智的风险管理。五是动态的原则。事物不是一成不变的，随着组织外部和内部环境因素的变化，风险的状态也可能变化，风险管理应以适当和及时的方式预见到、察觉到、意识到这些变化并做出应对。六是最佳可用信息原则。风险管理的输入是基于历史和当前信息，以及对未来的预期，所以风险管理必须考虑与这些信息和预期相关的限制和不确定性，对于利益相关者，信息需要及时、清晰并可供所有利益相关方使用。七是人文因素优先原则。人的行为和文化因素会显著地在各个阶段、各个层面影响到风险管理的效果，这一点必须给予高度重视。八是持续改进原则。风险管理需要通过学习和经验积累持续加以改进。

上述原则对进行风险管理具有指导意义，也为设计风险管理框架和建立风险管理流程奠定了基础。而上述原则的缺失和不完全，必然会影响到组织的风险管理成效。

风险管理从内容结构上看，必须建立关联性很强的板块框架，目的是协助将风险管理纳入重要的活动和职能。风险管理的效果将依赖风险管理框架与组织，包括决策在内的治理及所有相关活动相融合的程度，这又需要得到来自利益相关者，尤其是高层管理者的支持。

另外，在风险框架里，还要指定风险责任怎样分配到组织里。实验室的每个人都有责任管理风险，所以要在每个角色的工作职责里，描述出其职责是什么，并把风险管理作为核心责任放在职位里，确定管理风险的责任和权限个人。

但是，就算花了很多时间分析风险，也仍然需要合理地分配资源，因此最高管理者和监督机构，应酌情确保为风险管理分配适宜的资源。包括人员技能，经验和能力，管理风险的程序，方法及工具，形成文件的流程和程序，管理体系的信息和知识，以及职业发展和培训需求。

实验室还应建立沟通和协商机制，以支撑框架并促进风险管理的有效应用。注意这里说的是框架而并不是体系，框架必须嵌入到管理体系当中去沟通，还包括与目标受众分享信息。另外还包括与权益相关人就风险进行沟通对接，收集与反馈。

因此，实验室应按照如下方式逐步实施风险管理框架，包括制定适当计划，然后明确在实验室中由谁，在何地、何时，以何种方式作出不同种类的决策。必要时修订适用的决策流程，确保风险管理的安排得到清楚的理解和实施。 当然，一旦计划开始执行之后，大家都必须要了解计划的目标是什么，来确保每个人都能够清晰的理解和实施风险管理的安排。

此外，实验室应该有持续的监控和调整框架，这是一个持续不断推进过程，需要持之以恒不断考量外部和内部的变化，从而提高价值。实验室还需要持续地去改进风险管理框架以及风险管理的过程，在确定相关差距或者有改进机会时，实验室应该制定计划和任务，并将其分配给负责实施的人员，一旦实施之后，这些改进将有助于风险管理的加强。

再有沟通和协商。它的目标是为过程的每个步骤带来不同领域的专业知识，所以在此过程中要考虑不同观点，把不同观点都纳入到考虑范畴。还要提供充分的信息以促进风险监督和决策。而且还应构建主人翁意识，让每个人都有参与感，特别是受到风险影响最深的人员。

实验室面临的风险有哪些？

Peter Unger先生在谈到风险识别和处理时，还讲到了实验室可能面临的风险。实验室风险识别的目的是发现、识别和描述可能有助于或阻止实验室实现其目标的风险，所以实验室应识别风险，无论风险源是否可控。尤其是作为跨学科领域的实验室，面对的客户多种多样，所以要采用经过确认的方法来识别风险。

假设所用方法都经过确认，而且实验室也有能力操作，那么流程也必须是正确的。包括是否有合适的设备、人员、资质做检测。 还有抽样的样品必须具有代表性，如果根据不具代表性的检测样本做检测，得出来的检测结果作为依据时，就会存在风险。还有因工作中的疏忽带来的风险。但有时，也有可能使用了没有经过确认的软件，带来不可控的后果。所以使用任何系统前，都必须进行核查。另外，设备是否按照标准规范要求进行校准和维护也很重要。虽然实验室内部有一年校准一次的规定，但是如果服务商提供的信息不准确，也会出现问题。

风险分析就是要了解风险的性质及其特征，包括风险所处的水平。风险分析包括对不确定性、风险源、后果、可能性、事件、场景、控制及其有效性的详细考虑。另外事件也可能有多种原因和后果，并可能影响多个目标。而风险评估是在风险分析之后做的，它的目的是支持决策，将风险分析结果与已建立的风险准则进行比较，以确定是否需要采取额外措施。但是如果评估后不采取任何措施，并不意味着把风险扔到一边。因为有时风险评估后，需要进一步分析某些地方是否要做风险处理。

风险处理也是一个反复持续的过程。首先要制定和选择风险处理的方式，然后看这种处理方式是否有效，再决定是否可以接受剩余的风险。如果剩余的风险不可接受，还要采取进一步措施。这里建议使用质控图，并设定一个线值，如果超出了线值，就要对其进行分析，然后看其是否有失控的趋势，这也是风险处理的一种方式。

有时候，很多风险处理未必能完全消除风险带来的后果，所以要评判剩余风险的不确定性是否能接受，如果不能接受，就要采取进一步处理。另外，风险处理还要选择最适合的处理方法，去平衡目标的相关潜在收益，此目标收益与实施的成本、工作量或运行的劣势相关。这句话表明，在处理具有边际效用的风险时代价是昂贵的，因此要考虑处理风险的方式，如有不好的后果，它就是一种风险。

处理风险的方式包括：一是通过决定不启动或者不继续引发风险的活动方式来避免风险。有些测试其实不值得做，因为风险太大或者成本太高，或者有安全和健康的风险。 二是承担或增加风险以寻求机会。包括进行新检测或者培养技能做新检测，在做新检测时，为避免风险，必须要确保校准，包括设备维护、人员培训，才能进行妥善的质量控制，只有这些都到位，才能降低引入新检测带来的失败风险。三是移除风险源。不要把有风险的物质放在高风险的位置，比如把风险物置于容易被撞到或被风吹到的地方，而这些都是可以经过妥善控制来移除的风险。四是分担风险。比如买保险，因为保险公司会对风险做分析，然后进行评估，所以实验室也需要买保险。尤其一些风险比较高的实验室，如果操作不当，可能会造成人员伤亡，因此买保险可以分担风险。五是通过明智的决定保留风险。也就是说，要通过对风险的监督，来了解如果不做任何事情减低风险的后果是什么，这是经过知情判断来作出决定。所以实验室的活动，要把权益相关人和经济效益相平衡。

值得注意的是，风险处理的理由不仅是出于经济的考虑，还应考虑到实验室的义务，自愿性承诺和利益相关方的意见。如果没有可用的处理方式，或者处理方式不能充分地应对风险，则应记录此风险并持续评估此风险，还有记录剩余风险因素并对其进行控制和评价，并在适当情况下进一步处理。