從ISO 31000看實驗室風險管理

文/本刊記者 許歡

I SO 31000《風險管理指南》2018版，于2018年2月正式發布。這是ISO 31000自2009年發布全球第一版后的更新升級版。新版ISO 31000，對風險管理的原則、框架、流程都進行了較大修改。8月10日，2018年實驗室管理國際交流研討會上，來自美國實驗室認可協會（A2LA）名譽主席、原國際實驗室認可合作組織（ILAC）執行委員會Peter Unger先生，也分享了關于新版ISO 31000《風險管理指南》的相關內容。

新版ISO 31000簡潔明晰

ISO 31000自2009年發布以來，得到了全球各個國家的支持和響應。截至目前，已有57個國家采納了ISO 31000《風險管理指南》，并以此為基礎發布了其國家風險管理標準。據悉，最新版本的ISO 31000主要是用以幫助管理中的不確定性。

Peter Unger先生稱，實驗室同樣要面臨多種風險及不確定性，所以才會涉及到風險管理。新版ISO 31000 提供了更加簡潔明晰的指南，更加注重創造和保護價值，可以幫助實驗室做好風險管理。而實驗室通常是以風險源、潛在事件、后果和事件發生的可能性來表示風險。但是風險也有可能是正面的，因為它也是改正的機會。

ISO 31000里確定了8條原則，使風險管理能夠達到應有的效果：一是整體性原則。風險管理應是組織活動不可分割的一個部分，應整合到組織活動的各個方面。二是結構化與全方位原則。結構化和全方位的風險管理方法，有助于實現一致和可比較的結果。三是定制化原則。風險管理框架和流程應是可以定制的，要與組織所處的外部和內部環境以及相關的目標相適應。四是包容性原則。利益相關者恰當和及時的參與，使得來自多方面的知識、觀點及看法得到考慮，有助于提高對風險管理的認識，實現明智的風險管理。五是動態的原則。事物不是一成不變的，隨著組織外部和內部環境因素的變化，風險的狀態也可能變化，風險管理應以適當和及時的方式預見到、察覺到、意識到這些變化并做出應對。六是最佳可用信息原則。風險管理的輸入是基于歷史和當前信息，以及對未來的預期，所以風險管理必須考慮與這些信息和預期相關的限制和不確定性，對于利益相關者，信息需要及時、清晰并可供所有利益相關方使用。七是人文因素優先原則。人的行為和文化因素會顯著地在各個階段、各個層面影響到風險管理的效果，這一點必須給予高度重視。八是持續改進原則。風險管理需要通過學習和經驗積累持續加以改進。

上述原則對進行風險管理具有指導意義，也為設計風險管理框架和建立風險管理流程奠定了基礎。而上述原則的缺失和不完全，必然會影響到組織的風險管理成效。

風險管理從內容結構上看，必須建立關聯性很強的板塊框架，目的是協助將風險管理納入重要的活動和職能。風險管理的效果將依賴風險管理框架與組織，包括決策在內的治理及所有相關活動相融合的程度，這又需要得到來自利益相關者，尤其是高層管理者的支持。

另外，在風險框架里，還要指定風險責任怎樣分配到組織里。實驗室的每個人都有責任管理風險，所以要在每個角色的工作職責里，描述出其職責是什么，并把風險管理作為核心責任放在職位里，確定管理風險的責任和權限個人。

但是，就算花了很多時間分析風險，也仍然需要合理地分配資源，因此最高管理者和監督機構，應酌情確保為風險管理分配適宜的資源。包括人員技能，經驗和能力，管理風險的程序，方法及工具，形成文件的流程和程序，管理體系的信息和知識，以及職業發展和培訓需求。

實驗室還應建立溝通和協商機制，以支撐框架并促進風險管理的有效應用。注意這里說的是框架而并不是體系，框架必須嵌入到管理體系當中去溝通，還包括與目標受眾分享信息。另外還包括與權益相關人就風險進行溝通對接，收集與反饋。

因此，實驗室應按照如下方式逐步實施風險管理框架，包括制定適當計劃，然后明確在實驗室中由誰，在何地、何時，以何種方式作出不同種類的決策。必要時修訂適用的決策流程，確保風險管理的安排得到清楚的理解和實施。 當然，一旦計劃開始執行之后，大家都必須要了解計劃的目標是什么，來確保每個人都能夠清晰的理解和實施風險管理的安排。

此外，實驗室應該有持續的監控和調整框架，這是一個持續不斷推進過程，需要持之以恒不斷考量外部和內部的變化，從而提高價值。實驗室還需要持續地去改進風險管理框架以及風險管理的過程，在確定相關差距或者有改進機會時，實驗室應該制定計劃和任務，并將其分配給負責實施的人員，一旦實施之后，這些改進將有助于風險管理的加強。

再有溝通和協商。它的目標是為過程的每個步驟帶來不同領域的專業知識，所以在此過程中要考慮不同觀點，把不同觀點都納入到考慮范疇。還要提供充分的信息以促進風險監督和決策。而且還應構建主人翁意識，讓每個人都有參與感，特別是受到風險影響最深的人員。

實驗室面臨的風險有哪些？

Peter Unger先生在談到風險識別和處理時，還講到了實驗室可能面臨的風險。實驗室風險識別的目的是發現、識別和描述可能有助于或阻止實驗室實現其目標的風險，所以實驗室應識別風險，無論風險源是否可控。尤其是作為跨學科領域的實驗室，面對的客戶多種多樣，所以要采用經過確認的方法來識別風險。

假設所用方法都經過確認，而且實驗室也有能力操作，那么流程也必須是正確的。包括是否有合適的設備、人員、資質做檢測。 還有抽樣的樣品必須具有代表性，如果根據不具代表性的檢測樣本做檢測，得出來的檢測結果作為依據時，就會存在風險。還有因工作中的疏忽帶來的風險。但有時，也有可能使用了沒有經過確認的軟件，帶來不可控的后果。所以使用任何系統前，都必須進行核查。另外，設備是否按照標準規范要求進行校準和維護也很重要。雖然實驗室內部有一年校準一次的規定，但是如果服務商提供的信息不準確，也會出現問題。

風險分析就是要了解風險的性質及其特征，包括風險所處的水平。風險分析包括對不確定性、風險源、后果、可能性、事件、場景、控制及其有效性的詳細考慮。另外事件也可能有多種原因和后果，并可能影響多個目標。而風險評估是在風險分析之后做的，它的目的是支持決策，將風險分析結果與已建立的風險準則進行比較，以確定是否需要采取額外措施。但是如果評估后不采取任何措施，并不意味著把風險扔到一邊。因為有時風險評估后，需要進一步分析某些地方是否要做風險處理。

風險處理也是一個反復持續的過程。首先要制定和選擇風險處理的方式，然后看這種處理方式是否有效，再決定是否可以接受剩余的風險。如果剩余的風險不可接受，還要采取進一步措施。這里建議使用質控圖，并設定一個線值，如果超出了線值，就要對其進行分析，然后看其是否有失控的趨勢，這也是風險處理的一種方式。

有時候，很多風險處理未必能完全消除風險帶來的后果，所以要評判剩余風險的不確定性是否能接受，如果不能接受，就要采取進一步處理。另外，風險處理還要選擇最適合的處理方法，去平衡目標的相關潛在收益，此目標收益與實施的成本、工作量或運行的劣勢相關。這句話表明，在處理具有邊際效用的風險時代價是昂貴的，因此要考慮處理風險的方式，如有不好的后果，它就是一種風險。

處理風險的方式包括：一是通過決定不啟動或者不繼續引發風險的活動方式來避免風險。有些測試其實不值得做，因為風險太大或者成本太高，或者有安全和健康的風險。 二是承擔或增加風險以尋求機會。包括進行新檢測或者培養技能做新檢測，在做新檢測時，為避免風險，必須要確保校準，包括設備維護、人員培訓，才能進行妥善的質量控制，只有這些都到位，才能降低引入新檢測帶來的失敗風險。三是移除風險源。不要把有風險的物質放在高風險的位置，比如把風險物置于容易被撞到或被風吹到的地方，而這些都是可以經過妥善控制來移除的風險。四是分擔風險。比如買保險，因為保險公司會對風險做分析，然后進行評估，所以實驗室也需要買保險。尤其一些風險比較高的實驗室，如果操作不當，可能會造成人員傷亡，因此買保險可以分擔風險。五是通過明智的決定保留風險。也就是說，要通過對風險的監督，來了解如果不做任何事情減低風險的后果是什么，這是經過知情判斷來作出決定。所以實驗室的活動，要把權益相關人和經濟效益相平衡。

值得注意的是，風險處理的理由不僅是出于經濟的考慮，還應考慮到實驗室的義務，自愿性承諾和利益相關方的意見。如果沒有可用的處理方式，或者處理方式不能充分地應對風險，則應記錄此風險并持續評估此風險，還有記錄剩余風險因素并對其進行控制和評價，并在適當情況下進一步處理。