APP下载

从ISO 31000看实验室风险管理

2018-12-06许欢

中国纤检 2018年9期
关键词:框架风险管理原则

文/本刊记者 许欢

I SO 31000《风险管理指南》2018版,于2018年2月正式发布。这是ISO 31000自2009年发布全球第一版后的更新升级版。新版ISO 31000,对风险管理的原则、框架、流程都进行了较大修改。8月10日,2018年实验室管理国际交流研讨会上,来自美国实验室认可协会(A2LA)名誉主席、原国际实验室认可合作组织(ILAC)执行委员会Peter Unger先生,也分享了关于新版ISO 31000《风险管理指南》的相关内容。

新版ISO 31000简洁明晰

ISO 31000自2009年发布以来,得到了全球各个国家的支持和响应。截至目前,已有57个国家采纳了ISO 31000《风险管理指南》,并以此为基础发布了其国家风险管理标准。据悉,最新版本的ISO 31000主要是用以帮助管理中的不确定性。

Peter Unger先生称,实验室同样要面临多种风险及不确定性,所以才会涉及到风险管理。新版ISO 31000 提供了更加简洁明晰的指南,更加注重创造和保护价值,可以帮助实验室做好风险管理。而实验室通常是以风险源、潜在事件、后果和事件发生的可能性来表示风险。但是风险也有可能是正面的,因为它也是改正的机会。

ISO 31000里确定了8条原则,使风险管理能够达到应有的效果:一是整体性原则。风险管理应是组织活动不可分割的一个部分,应整合到组织活动的各个方面。二是结构化与全方位原则。结构化和全方位的风险管理方法,有助于实现一致和可比较的结果。三是定制化原则。风险管理框架和流程应是可以定制的,要与组织所处的外部和内部环境以及相关的目标相适应。四是包容性原则。利益相关者恰当和及时的参与,使得来自多方面的知识、观点及看法得到考虑,有助于提高对风险管理的认识,实现明智的风险管理。五是动态的原则。事物不是一成不变的,随着组织外部和内部环境因素的变化,风险的状态也可能变化,风险管理应以适当和及时的方式预见到、察觉到、意识到这些变化并做出应对。六是最佳可用信息原则。风险管理的输入是基于历史和当前信息,以及对未来的预期,所以风险管理必须考虑与这些信息和预期相关的限制和不确定性,对于利益相关者,信息需要及时、清晰并可供所有利益相关方使用。七是人文因素优先原则。人的行为和文化因素会显著地在各个阶段、各个层面影响到风险管理的效果,这一点必须给予高度重视。八是持续改进原则。风险管理需要通过学习和经验积累持续加以改进。

上述原则对进行风险管理具有指导意义,也为设计风险管理框架和建立风险管理流程奠定了基础。而上述原则的缺失和不完全,必然会影响到组织的风险管理成效。

风险管理从内容结构上看,必须建立关联性很强的板块框架,目的是协助将风险管理纳入重要的活动和职能。风险管理的效果将依赖风险管理框架与组织,包括决策在内的治理及所有相关活动相融合的程度,这又需要得到来自利益相关者,尤其是高层管理者的支持。

另外,在风险框架里,还要指定风险责任怎样分配到组织里。实验室的每个人都有责任管理风险,所以要在每个角色的工作职责里,描述出其职责是什么,并把风险管理作为核心责任放在职位里,确定管理风险的责任和权限个人。

但是,就算花了很多时间分析风险,也仍然需要合理地分配资源,因此最高管理者和监督机构,应酌情确保为风险管理分配适宜的资源。包括人员技能,经验和能力,管理风险的程序,方法及工具,形成文件的流程和程序,管理体系的信息和知识,以及职业发展和培训需求。

实验室还应建立沟通和协商机制,以支撑框架并促进风险管理的有效应用。注意这里说的是框架而并不是体系,框架必须嵌入到管理体系当中去沟通,还包括与目标受众分享信息。另外还包括与权益相关人就风险进行沟通对接,收集与反馈。

因此,实验室应按照如下方式逐步实施风险管理框架,包括制定适当计划,然后明确在实验室中由谁,在何地、何时,以何种方式作出不同种类的决策。必要时修订适用的决策流程,确保风险管理的安排得到清楚的理解和实施。 当然,一旦计划开始执行之后,大家都必须要了解计划的目标是什么,来确保每个人都能够清晰的理解和实施风险管理的安排。

此外,实验室应该有持续的监控和调整框架,这是一个持续不断推进过程,需要持之以恒不断考量外部和内部的变化,从而提高价值。实验室还需要持续地去改进风险管理框架以及风险管理的过程,在确定相关差距或者有改进机会时,实验室应该制定计划和任务,并将其分配给负责实施的人员,一旦实施之后,这些改进将有助于风险管理的加强。

再有沟通和协商。它的目标是为过程的每个步骤带来不同领域的专业知识,所以在此过程中要考虑不同观点,把不同观点都纳入到考虑范畴。还要提供充分的信息以促进风险监督和决策。而且还应构建主人翁意识,让每个人都有参与感,特别是受到风险影响最深的人员。

实验室面临的风险有哪些?

Peter Unger先生在谈到风险识别和处理时,还讲到了实验室可能面临的风险。实验室风险识别的目的是发现、识别和描述可能有助于或阻止实验室实现其目标的风险,所以实验室应识别风险,无论风险源是否可控。尤其是作为跨学科领域的实验室,面对的客户多种多样,所以要采用经过确认的方法来识别风险。

假设所用方法都经过确认,而且实验室也有能力操作,那么流程也必须是正确的。包括是否有合适的设备、人员、资质做检测。 还有抽样的样品必须具有代表性,如果根据不具代表性的检测样本做检测,得出来的检测结果作为依据时,就会存在风险。还有因工作中的疏忽带来的风险。但有时,也有可能使用了没有经过确认的软件,带来不可控的后果。所以使用任何系统前,都必须进行核查。另外,设备是否按照标准规范要求进行校准和维护也很重要。虽然实验室内部有一年校准一次的规定,但是如果服务商提供的信息不准确,也会出现问题。

风险分析就是要了解风险的性质及其特征,包括风险所处的水平。风险分析包括对不确定性、风险源、后果、可能性、事件、场景、控制及其有效性的详细考虑。另外事件也可能有多种原因和后果,并可能影响多个目标。而风险评估是在风险分析之后做的,它的目的是支持决策,将风险分析结果与已建立的风险准则进行比较,以确定是否需要采取额外措施。但是如果评估后不采取任何措施,并不意味着把风险扔到一边。因为有时风险评估后,需要进一步分析某些地方是否要做风险处理。

风险处理也是一个反复持续的过程。首先要制定和选择风险处理的方式,然后看这种处理方式是否有效,再决定是否可以接受剩余的风险。如果剩余的风险不可接受,还要采取进一步措施。这里建议使用质控图,并设定一个线值,如果超出了线值,就要对其进行分析,然后看其是否有失控的趋势,这也是风险处理的一种方式。

有时候,很多风险处理未必能完全消除风险带来的后果,所以要评判剩余风险的不确定性是否能接受,如果不能接受,就要采取进一步处理。另外,风险处理还要选择最适合的处理方法,去平衡目标的相关潜在收益,此目标收益与实施的成本、工作量或运行的劣势相关。这句话表明,在处理具有边际效用的风险时代价是昂贵的,因此要考虑处理风险的方式,如有不好的后果,它就是一种风险。

处理风险的方式包括:一是通过决定不启动或者不继续引发风险的活动方式来避免风险。有些测试其实不值得做,因为风险太大或者成本太高,或者有安全和健康的风险。 二是承担或增加风险以寻求机会。包括进行新检测或者培养技能做新检测,在做新检测时,为避免风险,必须要确保校准,包括设备维护、人员培训,才能进行妥善的质量控制,只有这些都到位,才能降低引入新检测带来的失败风险。三是移除风险源。不要把有风险的物质放在高风险的位置,比如把风险物置于容易被撞到或被风吹到的地方,而这些都是可以经过妥善控制来移除的风险。四是分担风险。比如买保险,因为保险公司会对风险做分析,然后进行评估,所以实验室也需要买保险。尤其一些风险比较高的实验室,如果操作不当,可能会造成人员伤亡,因此买保险可以分担风险。五是通过明智的决定保留风险。也就是说,要通过对风险的监督,来了解如果不做任何事情减低风险的后果是什么,这是经过知情判断来作出决定。所以实验室的活动,要把权益相关人和经济效益相平衡。

值得注意的是,风险处理的理由不仅是出于经济的考虑,还应考虑到实验室的义务,自愿性承诺和利益相关方的意见。如果没有可用的处理方式,或者处理方式不能充分地应对风险,则应记录此风险并持续评估此风险,还有记录剩余风险因素并对其进行控制和评价,并在适当情况下进一步处理。

猜你喜欢

框架风险管理原则
框架
探讨风险管理在呼吸机维护与维修中的应用
广义框架的不相交性
坚守原则,逐浪前行
WTO框架下
无罪推定原则的理解与完善
护理风险管理在冠状动脉介入治疗中的应用
一种基于OpenStack的云应用开发框架
风险管理在工程建设中的应用
惹人喜爱的原则(二)