當前，國民經濟和社會活動對檢驗檢測服務的需求日益增長，已成為我國快速增長的服務業(yè)之一。然而，蓬勃興起的背后風險難掩。作為受政策影響程度較高的行業(yè)，檢驗檢測服務行業(yè)無可避免面臨著政策風險；作為技術密集型行業(yè)，檢驗檢測服務行業(yè)毋庸置疑存在著技術風險；作為市場經濟催生的行業(yè)，檢驗檢測服務行業(yè)毫無疑問面對著財務風險等等。

本文是擬制定相關標準的基本內容，旨在介紹檢驗檢測機構風險管理的理念和方法，以為從業(yè)機構應對風險、有效配置和使用風險管理資源，實現(xiàn)有效管理風險提供參考，并希望得到讀者的批評和建議，以便我們研制出更適宜于我國檢驗檢測機構使用的風險管理標準。

機構的活動和目標有不確定性，面臨來源于內外部的因素的影響，管理層需要確定機構可以承受多大的不確定性?，F(xiàn)代的管理學認為，不確定性既代表風險，也代表機會。風險管理使機構能夠有效地應對不確定性以及由此帶來的風險和機會，增進創(chuàng)造價值的能力。通過優(yōu)化內部環(huán)境，制定合理的目標和戰(zhàn)略，追求利益和風險之間的最佳平衡，并且在實現(xiàn)機構目標的過程中高效率和有效地配置資源，可以實現(xiàn)價值最大化。

通常將風險管理涉及的構成要素分為八項，包括內部環(huán)境、目標設定、事項識別、風險評估、風險對策、控制活動、信息溝通、監(jiān)督和檢查。風險管理是組織管理的有機組成部分，融入組織的文化和行為，貫穿于組織運營的全過程。典型的風險管理過程（見圖1）包括：明確環(huán)境信息，確定風險管理的目標、范圍和管理準則；進行風險識別，風險分析，風險評價，提出風險評估報告；選擇、確定風險應對措施并按計劃實施；對實施政策、程序和效果進行監(jiān)督和檢查，不斷完善和改進風險管理體系。

圖1 風險管理過程

組織結構是機構計劃、執(zhí)行、檢查和改進其活動的框架，包括確定權力與責任的范圍、相互關系和報告途徑等。組織結構的設置應適宜于其規(guī)模、所從事活動的性質。權力與職責的分配涉及到個人和團隊發(fā)揮主動性去識別問題、指出問題和解決問題的程度，以及對他們權力的限制。確立報告關系和授權程序、明確方針政策和目標、保證關鍵人員的勝任能力、保證為履行職責提供資源是組織管理的關鍵要素。

組織風險管理體系的作用是既要保證目標、決策應基于合理的風險評估而作出，也要保證風險評估和風險應對的過程應合理、規(guī)范，以降低、控制不確定性。同是，要確保所有的人員都了解機構的目標，每個人均清楚他們的行為在彼此之間有什么關聯(lián)和對實現(xiàn)目標有什么作用。

內部環(huán)境極大地受個人對他們所承擔責任的認識程度、行為方式和能力的影響。管理層應明確所有崗位的勝任能力水平，即明確實現(xiàn)規(guī)定任務所需要的知識和技能。需注意，對人員能力需進行持續(xù)培訓、教育和評估，僅雇用勝任的人員和提供崗前培訓是不夠的。對管理層而言，強調崗位勝任能力，表明了機構對勝任和可信任人員的承諾，應有獎懲政策。

風險管理的有效性不可能脫離人的誠信和職業(yè)道德。誠信和職業(yè)道德是關鍵要素，它影響機構風險管理其它構成要素的設計、管理和監(jiān)控。利益之間多是互相矛盾的，人員的價值觀決定了利益的取舍偏好。因為利益關系的復雜性，樹立誠信、良好職業(yè)道德和價值觀通常很困難，需要平衡多方面的利益。管理層的誠信和職業(yè)道德是機構建立誠信和職業(yè)道德的先決條件。如果不能通過管理層的行為和表率作用提供更有效的保證，僅有書面的行為規(guī)則、員工接受和理解的文件和適當?shù)臏贤ㄇ?，不能確保規(guī)則被遵守。獎懲機制對于保證員工遵守規(guī)則也很重要，比如處罰違反規(guī)則的員工、鼓勵員工主動識別和報告所懷疑事項的員工、懲戒知情不報的員工等措施。

企業(yè)文化是組織在經營活動中形成的經營理念、方針、目的、行為、形象，以及價值觀、社會責任等的總和。企業(yè)文化具有個性化特征，是組織生存、競爭、發(fā)展的靈魂。企業(yè)文化最本質的內容是強調人的理想、道德、價值觀、行為規(guī)范在管理中的核心作用，強調在管理中通過理解人，尊重人，關心人而達到“從要我做到我要做”的自覺意識。企業(yè)文化建立與傳承的關鍵是管理層對文化的認識和表率作用。

風險管理文化建設應融入企業(yè)文化建設全過程。機構應高度認識培育和塑造良好風險管理文化的價值，樹立正確的風險管理理念，增強員工風險管理意識，將風險管理意識轉化為員工的共同認識和自覺行動，以促進機構建立系統(tǒng)、規(guī)范、高效的風險管理機制。在風險管理中，如果不能建立起員工的自覺意識，則難以實現(xiàn)管理目標。

風險管理理念是組織共同的信念和態(tài)度，它決定著一個組織在做任何事情（包括從戰(zhàn)略制定、執(zhí)行到日常活動）時如何考慮風險、承擔哪些風險以及如何管理這些風險。風險管理理念反映了組織的價值觀，影響其文化和經營風格。

當風險管理理念形成、被接受并傳化為員工的自覺意識時，機構就能有效地識別和管理風險。鑒于文化的差異，機構的風險管理理念在不同部門、不同人員、不同活動之間，仍會存在風險管理應用方面的差異。

檢驗檢測服務的目標可按戰(zhàn)略目標、運營服務目標、數(shù)據可靠性目標、法規(guī)標準符合性目標進行分類和管理。目標的分類是相對的，某一類別中的一項目標可能會與另一類中的一項目標交叉或相互支持；一項目標所歸屬的類別也可能跨多種屬性。

恰當?shù)哪繕嗽O定過程是機構風險管理的關鍵構成要素。機構不僅要確定目標并考慮其與機構使命、愿景的關系，而且要保證其與機構的風險容量相協(xié)調。此外，在實現(xiàn)目標的過程中，應設定風險容限，即可接受的偏離實現(xiàn)目標的程度。在確定風險容限時，應考慮相關目標的相對重要程度，并使風險容限與風險容量相協(xié)調，即只要在風險容限之內，不突破機構的風險容量應可得到保證。

應符合機構的使命、愿景，是機構的高層次目標，是制定機構發(fā)展戰(zhàn)略和各相關目標的依據。戰(zhàn)略目標的確定過程應基于風險評估，應保證機構有較大的可能性實現(xiàn)其期望。戰(zhàn)略目標通常是相對穩(wěn)定的，它的實施戰(zhàn)略和相關目標是動態(tài)的，會隨著內部和外部條件的變化而調整。

應體現(xiàn)機構運行和服務的質量、有效性和效率，如提交檢驗檢測報告的期限、投訴的處理時間、環(huán)境指標、安全指標、客戶滿意度等，目標應明確、可評價、可考核。機構應保證運營服務目標支撐機構戰(zhàn)略目標的需求，與機構的資源和能力相匹配，反映市場需求，具備競爭性。經營服務目標是機構配置資源的重要依據，如果其不明確或不合實際，將會嚴重影響機構的資源配置。

數(shù)據可靠性不僅包括與檢驗檢測結果相關的數(shù)據、報告的可靠性，也包括各種運行和服務質量參數(shù)、監(jiān)控報告、財務報告、內部信息、報告信息、公開信息等的可靠性。數(shù)據是決策的依據，也是機構服務的輸出，應準確、完整，實現(xiàn)數(shù)據的功能并向管理層決策提供客觀依據。

符合相關的法律、法規(guī)和標準是對機構的最低要求，檢驗檢測機構涉及的法規(guī)標準包括工商注冊、經營、檢驗檢測服務、資質、商務、價格、稅收、合同、安全、環(huán)境、職業(yè)健康、員工福利、保險等等，是機構維持其運營資格的必要條件。機構應追蹤、識別適用的法律、法規(guī)和標準，及時納入其管理要求。在進行風險評估時，首先應評估與法規(guī)標和標準的符合性。

外部事項是機構所處整體環(huán)境的歷史、現(xiàn)在和未來變化的各種事項的總和，比如法律、法規(guī)約束和變化，技術、金融和自然環(huán)境，外部利益相關者的訴求、價值觀、風險承受度，利益相關方之間的關系，國際、國內、地區(qū)的政治、經濟、文化等相關因素等。

內部事項是機構實現(xiàn)目標所面臨的內在環(huán)境的歷史、現(xiàn)在和未來變化的各種事項的總和，比如機構的方針、目標，組織結構、人員勝任能力、管理模式，機構各方面的資源配置，內部管理者和人員的訴求、價值觀、組織文化和風險承受度，人員面臨的利益沖突和壓力，風險準則，風險評估和績效評估等。

應意識到事項彼此之間的關系是復雜的，很少有孤立發(fā)生的事項。

事項的發(fā)生和其后果具有不確定性，通常用發(fā)生概率和嚴重性綜合表征事項的風險。在事項識別的過程中，對發(fā)生頻率高的事項，應充分評估其對風險容量的貢獻，合理設置風險容限；對后果嚴重的事項，應謹慎設置風險容限，即使發(fā)生的可能性比較低，也不可被忽略。需注意，事項并非總能事先被識別出來。

宜建立基于數(shù)字化技術的信息管理系統(tǒng)，以提高工作效率。信息管理系統(tǒng)應涵蓋風險管理基本流程和內部控制系統(tǒng)各環(huán)節(jié)，包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等。信息管理系統(tǒng)的功能宜實現(xiàn)對各種風險量化和分析，生成動態(tài)風險矩陣圖和排序頻譜，對重大風險和重要業(yè)務流程動態(tài)監(jiān)控并對超過控制限的風險進行報警，滿足內部信息報告制度和對外信息披露制度的要求。

信息可以通過多種方式獲取，如：經驗、反饋、觀察、預測和專家判斷等，利用信息時應考慮信息的來源和其代表性。實現(xiàn)信息在各職能部門、業(yè)務單位之間的集成與共享，既滿足單項業(yè)務風險管理的要求，也滿足機構整體和跨職能部門、單位的風險管理綜合要求。