导语

实验室是科学技术创新的摇篮，也是技术发明的基地，同时也是政府依法行政和维护市场秩序，体现公平正义的重要手段。因此实验室的数据可靠可信和安全离不开质量控制和合理控制风险。按照国际标准定义，实验室是从事下列一个或多个活动的机构。“实验室活动”指检测、校准和与后续检测或校准相关的抽样等三种活动。但不论哪类实验室，共性特点是出具检验检测数据，或为实验室安全提供保障。

实验室按照服务功能可以分为三类

第三方实验室，主要属于行业或地方参与市场准入和维持市场秩序的第三方实验室，如国家产品质检中心、各行业部门的质检机构以及社会民营的第三方检验检测机构。

企业实验室，隶属企业或研发组织，主要围绕生产方技术创新和产品研发等。

科研实验室，主要隶属于大学或者研究机构为科研和技术创新服务的研究类机构。

一、实验室的风险和控制原则

新版ISO/IEC 17025:2017《检测和校准实验室能力通用要求》国际标准中，第一次引入了风险管理和识别分析的要求。同时该标准强化了过程控制，对检验检测前、中和后过程中风险也提出了要求。另外根据GB/T 23694《风险管理术语》、GB/T 24353《风险管理指南》、GB/T 27921 《风险管理 风险评估技术》、GB/T 27423 《合格评定 检验检测服务风险管理指南》以及GB/T 27000《合格评定 词汇和通用原则》，风险管理的定义，风险是指不确定性对目标的影响。指标可以是不同方面(如财务、健康与安全、环境等)和层面(如战略、组织、项目、产品和过程等)的目标。同时定义还解释了通常用潜在事件、后果或者两者的组合来区分风险；通常用事件后果(包括情形的变化)和事件发生可能性）的组合来表示风险。以及不确定性是指对事件及其后果或可能性的信息缺失或了解片面的状态。

根据相关标准对风险的定义和风险管理的原则，管理风险时要考虑组织的内、外部环境的相关因素和指标。具体的风险评估模型见下图。

因此，实验室的风险管理原则应符合以下四个方面的要求：

一是突出实验室全生命周期。即实验室检验检测全过程风险识别和评估。包括检验检测活动的风险识别、风险分析、风险评价、风险应对等重要环节和步骤及全过程。

二是突出持续改进。风险是动态的不是一成不变的，而是随着各种关系、各种资源等的变化而变化。不同时期的风险来源、严重程度可能不同。实验室应持续识别风险，以改进管理体系、实验室活动和客户服务。

三是突出关键环节和技术要求。比如ISO/IEC 17025：2017前言中要求实验室策划和实施处理风险和机遇；要求实验室策划和实施处理风险和机遇；同时对公正性和检验检测过程以及管理等提出了风险管理的要求。

四是突出信息管理的风险管理。实验室获取的相关信息以及通过信息化等手段从事检验检测活动，需要对结果和数据进行安全和保密管理，确保信息的准确性、完整性、安全性和保密。

二、实验室风险评估的流程和指标体系建立

风险评估的流程和指标体系建立

一是实验室风险评估流程。包括风险识别、风险分析、风险评价等风险评估；风险的应对，记录和报告的保存；以及沟通、监督和检查。

二是实验室风险指标应突出检验检测活动全生命周期、持续改进、关键环节和技术要求和信息管理要求等要求。包括供方内部环境管理指标主要包括组织结构、职责;方针、目标,以及战略; 能力和资质资源要求;信息管理;采用的标准、指南;合同关系和范围。外部主要涉及的相关法律法规、技术、经济，以及利益相关者的关系等，如下图所示。

风险评估指标的建立

一是风险识别的全面性，突出检验检测活动的全过程和全生命周期。

风险的识别是针对实验室检验检测的全过程，各个过程可能存在的风险，在检验检测活动中，风险识别的程度与相关信息的准确性、充分性、可靠性、权威性有关，因此风险识别时，应配备有经验，有适当的能力和相应的知识的人员参与其中，开展相应的风险识别活动。按照ISO/IEC 17025:2017等要求从检验检测前、中和后等重要环节入手。

对于检验检测前的风险指标，主要涉及外部环境要求的5个方面：

市场风险。主要涉及市场需求变化、管理要求等;

技术风险。主要涉及行业技术服务、技术标准等；

法律风险。主要涉及国内外相关法律法规变化、相关财务政策等；

客户风险。主要涉及合同变更、法律纠纷等;

合作方风险。主要涉及供应商提供的过程、产品、服务、分包等服务;

其他相关方风险。主要涉及管理部门、评价部门、结果利用方，以及台风、洪水、地震自然灾害风险等。

实验室是否按照ISO/IEC 17025:2017或相关实验室资质要求建立和运作质量管理体系；如与客户沟通时，是否受利益驱使或无意泄露其它客户检验检测过程中信息或其他违规行为；是否对合同进行有效评审，每项合同是否被实验室和客户双方接受？实验室是否保存评审记录，包括任何重大变化的评审记录。是否存在合同传递过程中的信息不全，未能将客户的检验检测需求有效地传递给相关检验检测人员；使用的供应商是否进行评价；检测方法是否使用现行有效标准，或使用过期标准是否征得客户同意；样品管理是否有效管理；检验检测时限等引发的风险。另外需要特别关注法律法规和安全，包括人员的安全和检验检测活动的实施安全，以及检验检测废水、废料和废气等符合国家环保法规等要求。

实验室是否按照ISO/IEC 17025:2017或相关实验室资质要求建立和运作质量管理体系；如与客户沟通时，是否受利益驱使或无意泄露其它客户检验检测过程中信息或其他违规行为；是否对合同进行有效评审，每项合同是否被实验室和客户双方接受？实验室是否保存评审记录，包括任何重大变化的评审记录。是否存在合同传递过程中的信息不全，未能将客户的检验检测需求有效地传递给相关检验检测人员；使用的供应商是否进行评价；检测方法是否使用现行有效标准，或使用过期标准是否征得客户同意；样品管理是否有效管理；检验检测时限等引发的风险。另外需要特别关注法律法规和安全，包括人员的安全和检验检测活动的实施安全，以及检验检测废水、废料和废气等符合国家环保法规等要求。

02对于检验检测中的风险指标，主要涉及内部环境要求的3个方面：

人员风险。包括道德诚信、能力资格和利益冲突等公正性及廉政风险;

管理风险。包括方针目标、资源配置、信息管理、质量控制、职业健康安全等方面的风险;

技术风险。包括设施、设备、材料、环境、数据可靠性、检验检测程序与方法、资质等方面的风险。

实验室应特别关注人员公正性和廉政等风险，同时关注人员资质和能力是否满足检验检测活动的要求，对执行标准是否熟悉，是否按照标准要求开展检验检测活动；设施条件是否满足检验检测的要求，包括不应对结果有效性产生不利影响，可能包括微生物污染、灰尘、电磁干扰、辐射、湿度、供电、温度、声音和振动等方面，是否实施、监控并定期评审控制设施的措施；租赁设施是否按照规定签订租赁合同和管理可控；仪器设备（包括测量仪器、软件、测量标准、标准物质、参考数据、试剂、消耗品或辅助装置等），这些设备是自有设备还是租赁设备，如果是租赁设备是否有合同，规定设备完全由租赁房使用和管理；是否存在故障或部分性能异常，不能满足检测要求，仪器设备是否定期检定、校准或期间核查；试剂耗材是否使用有证标准物质，是否识别环境对检验检测方法带来的干扰，是否对安全风险，电气安全、噪音以及对人员的职业健康安全有效控制等方面的风险。

03检验检测后风险指标，主要涉及相关方的内外环境3个方面：

运营风险。包括与相关方的合同的履行、合规性等方面的风险;

信息风险。包括检验检信息客观、真实、准确、完整和有效。不仅包括与检验检测结果相关的数据、报告等的可靠性,也包括实验室的各种运行和服务质量数据、监控报告、财务数据、内审报告、风险评估报告、向公众提供的信息、提交给监管部门等相关方的报告、合同等信息的可靠性。

信用和财务风险。包括机构形象和公正性、满意度、资金、员工福利及知识产权等方面的风险。

实验室应特别关注是否按照合同约定完成检验检测活动；是否存在人为更改或伪造检测结果的行为；如果识别出公正性风险，应能够证明如何消除或最大程度减小这种风险；是否有超资质和能力范围出具报告或授权签字人超范围批准报告；超认可范围或资质认定范围使用标识等违规现象；另外检验检测数据是否完整，数据及信息是否安全可靠；是否造成检验检测结果信息不全或丢失，或客户信息、报告和数据信息泄露；样品是否按照规定保存？是否存在丢失现象；是否按照要求对实验室进行质量控制，参加能力验证或实验室外部比对，以及内部比对，满足能力验证政策规定的频次要求？是否定期进行满意度调查，及时处理有关投诉，按计划开展内部审核和管理评审，将风险输入管理评审，是否发生重大变更及时通报相关管理部门等。

三、风险的应对措施要强化持续改进

一是对风险和机遇的评审中，做到持续改进

实验室应保留风险评估的相关材料以及记录，同时要对所采取的措施结果进行汇总分析，编制风险评估报告，应重点分析评估实验室应予关注的事件或风险及其风险等级，并提出有针对性的风险控制措施建议。风险评估报告可包括目标及范围、事件及风险等级、管理建议、结论等，作为管理评审的输入，经过管理评审后提出重要风险管理解决方案，包括风险应对措施以及改进机遇措施，这些措施可能涉及加强质量管理、环境管理、职业健康安全管理、安全管理、诚信、能力、社会责任和人力资源等。

二是建立风险管理小组和管理机制

结合风险管理贯穿整个检验检测过程全生命周期的管理理念，组织相关检验检测骨干，及时关注日常相关的风险点,使得所有可能出现的风险受到识别、评估并降低测评风险，对于发现的风险源要分析出现风险的原因，以及制定纠正预防措施，并对风险措施进行监督。

总之实验室的风险控制与管理是一项综合性科学管理活动，应对风险和机遇的措施应与其对实验室结果有效性的潜在影响相适应，实验室应按照ISO/IEC 17025:2017和风险管理等相关标准要求建立相应管理机制和程序，并在日常风险识别、分析和控制等过程中不断完善，应首先识别适用的法律、法规和标准,及时纳入其管理要求，因为符合相关的法律、法规、标准和规定是实验室实现目标的最低要求；另外在进行风险评估时,也需要关注安全风险，包括人身安全、环境安全、信息安全、诚信和保密安全和经济安全等，同时应关注对整个检验检测全过程和全生命周期的风险进行识别、分析、评价和应对措施等，只有这样才能保证风险管理有序规范地执行，做到预见风险、评估风险、控制风险、提升改进，步入健康可持续的发展之路。