检验检测机构风险管理规范(T-CAQI 171—2021).pdf

《检验检测机构风险管理规范(T-CAQI 171—2021).pdf》由会员分享，可在线阅读，更多相关《检验检测机构风险管理规范(T-CAQI 171—2021).pdf（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 03.100.99A 502021-01-21 发布2021-02-01 实施团团体体标标准准CAQIT/CAQI 171-2021T/JMA 0001-2021中中国国质质量量检检验验协协会会中中国国质质量量检检验验协协会会检验检测机构风险管理规范Specifications of risk management for inspectionbody and laboratory江江西西省省计计量量协协会会中中国国质质量量检检验验协协会会联联合合发发布布T/CAQI 171-2021I目次前言.II引言.III1范围.12规范性引用文件.13术语和定义.14总则.35风险管理.45.

2、1概述.45.2风险管理方针.45.3风险管理工作程序.55.4风险管理相关组织结构.55.5风险管理的资源配置.55.6监督和检查.65.7记录.65.8沟通和报告机制.66风险评估.76.1概述.76.2风险识别.76.3风险分析.86.4风险评价.96.5风险评估报告.106.6风险评估的监督和检查.117风险应对.117.1原则.117.2风险处理.117.3风险防范.117.4定期评估.128风险监控.12附录 A（资料性附录）检验检测过程风险识别.13参考文献.18T/CAQI 171-2021II前言本标准参照GB/T 1.1-2020给出的规则起草。本文件的某些内容可能涉及专利

3、。本文件的发布组织不承担识别这些专利的责任。本标准由全国社会信用标准化技术委员会检验检测诚信工作组提出，由中国质量检验协会归口。本标准起草单位：中实诚信信用评价有限公司、广州云检测科学研究院有限公司、中标联检验检测认证集团河南有限公司、江西省市场监督管理局、山东省市场监督管理局、威凯检测技术有限公司、河南豫美建设工程检测有限公司、深圳天溯计量检测股份有限公司、深圳市认证认可协会、华测检测认证集团股份有限公司、广州金域医学检验集团股份有限公司、江西省计量测试学会、广东国测数字经济科学研究院有限公司、国测联盟（北京）大数据科学研究院。本标准主要起草人：郭新峰、张世鹤、李雨田、薄晓红、王麟、李华、李

4、彦玲、李峰、王涛、李泉、姜艳、苏少锐，陈永强、陈天宇、张金青、曾宏勋、姚金平、曹荣、蒋汶婷、刘腾、关玲玲、程雅婷，何君、胡九根、谢卫民、蒙肇芸、董彩丽、沈智勤、冷珍玉。III引言检验检测是国家重要的质量基础设施之一，是国务院明确的高技术服务业、生产性服务业和科技服务业，也是国家战略性新兴产业。近年来，随着市场化发展和完善，检验检测行业得到了快速发展。检验检测机构的所有活动都涉及风险，建立检验检测机构的风险管理机制，具有十分重要的意义。风险管理原则与实施指南（ISO 31000：2009）和 风险管理 风险评估技术（ISO/IEC 31010：2009）两个国际标准发布实施，为风险管理和风险评估

5、提供了通用要求，质量管理体系要求（ISO 9001：2015）提出了应对风险和机遇的措施，检测和校准实验室能力的通用要求（ISO/IEC17025：2017）提出了风险管理的理念，要求实验室建立基于风险思维的管理体系，分析内外部不确定性，与利益相关方进行沟通和协商，通过策划风险监测、收集、识别、分析和评估，提出应对风险和机遇的措施。本文件结合检验检测机构的行业特点和政府监管部门的要求，参考GB/T19001、GB/T27025、GB/T27921、GB/T 31880、GB/T 36308、等标准制定，旨在为检验检测机构识别风险、管理风险，建立基于风险思维的管理方法和体系提供规范。T/CAQI

6、 171-20211检验检测机构风险管理规范1范围本标准规定了检验检测机构在风险管理、风险评估、风险应对等方面的要求。本标准适用于检验检测机构风险管理和第三方风险评估，也适用于政府监管部门对检验检测机构实施分类监管和风险管理时参考使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 19000质量管理体系基础和术语GB/T 23694风险管理术语GB/T 24353风险管理原则与实施指南GB/T 27025检测和校准实验室能力的通用要

7、求GB/T 27921风险管理风险评估技术GB/T 31880检验检测机构诚信基本要求GB/T 36308检验检测机构诚信评价规范T/CAQI 157-2020 检验检测机构合规性评价指南T/CAQI 158-2020 检验检测机构诚信度测评指南3术语和定义GB/T 19000、GB/T 23694、GB/T 24353、GB/T 27921、GB/T 31880 和 GB/T 36308 界定的以及下列术语和定义适用于本文件。3.1检验检测机构inspection body and laboratory依法成立，依据相关标准或者技术规范，利用仪器设备、环境设施等技术条件和专业技能，对产品或者

8、法律法规规定的特定对象进行检验检测的专业技术组织。3.2风险risk不确定性对目标的影响。注 1：影响是指偏离预期，可以是正面的或负面的。注 2：不确定性是一种对某个事件，或是事件的局部的结果或可能性缺乏理解或知识方面的信息（GB/TT/CAQI 171-2021219000-2016 中的定义，3.8.2）的情形。注 3：通常，风险是通过潜在事件（GB/T 23694-2013 中的定义，4.5.1.3）和后果（GB/T 23694-2013中的定义，4.6.1.3）或两者的组合来描述其特性的。注 4：通常，风险是以某个事件的后果（包括情况的变化）及其发生的可能性（GB/T 23694-20

9、13 中的定义，4.6.1.1）的组合来表述的。注 5：“风险”一词有时仅在有负面后果的可能性时使用。注 6：这是 ISO/IEC 导则第 1 部分 ISO 补充规定的附件 SL 中给出的 ISO 管理体系标准中的通用术语及核心定义之一，最初的定义已经通过增加注 3 被改写。3.3风险管理risk management在风险（3.2）方面，指导和控制组织的协调活动。3.4风险评估risk assessment包括风险识别（3.5）、风险分析（3.6）和风险评价（3.7）的全过程。3.5风险识别risk identification发现、确认和描述风险（3.2）的过程。注 1：风险识别包括对风险

10、源（GB/T 23694-2013 中的定义，4.5.1.2）、事件（GB/T 23694-2013 中的定义，4.5.1.3）及其原因和潜在后果（GB/T 23694-2013 中的定义，4.6.1.3）的识别。注 2：风险识别可能涉及历史数据、理论分析、专家意见以及利益相关者（3.9）的需求。3.6风险分析risk analysis理解风险（3.2）性质、确定风险等级（GB/T 23694-2013 中的定义，4.6.1.8）的过程。注 1：风险分析是风险评价（3.7）和风险应对（GB/T 23694-2013 中的定义，4.8.1）决策的基础。注 2：风险分析包括风险估计。3.7风险评价

11、risk evaluation对比风险分析（3.6）结果和风险准则（GB/T 23694-2013 中的定义，4.3.1.3），以确定风险（3.2）和/或其大小是否可以接受或容忍的过程。注：风险评价有助于风险应对（GB/T 23694-2013 中的定义，4.8.1）决策。3.8风险报告risk reporting告知内部或外部利益相关者（3.9）风险（3.2）现状和风险管理方面信息的沟通方式。3.9T/CAQI 171-20213利益相关者stakeholder可以影响、被影响或自认为会被某一决策或行动影响的个人或组织。注：决策者可以是利益相关者。3.10合规 compliance履行组织的

12、全部合规义务。注：通过将合规融入组织文化及其工作人员的行为和态度中，使合规具有可持续性。来源：T/CAQI 157-2020，3.43.11合规风险 compliance risk不确定性对于合规目标的影响。注：合规风险以组织合规义务内的不合规发生的可能性和后果表述。来源：T/CAQI 157-2020，3.83.12诚信度 integrity degree个人和（或）组织承诺兑现的程度。来源：T/CAQI 158-2020，3.34总则4.1总要求检验检测机构应按照法律法规和相关标准的要求，结合自身特点，建立基于风险思维的独立、公正、科学、诚信的管理体系或风险防范机制，应对各种决策、计划、行

13、动和失信所造成的风险。4.2风险管理原则4.2.1 控制损失，创造价值以控制损失、创造价值为目标的风险管理，有助于检验检测机构实现目标并取得具体可见的成绩和改善各方面的业绩，包括合规性、诚信度、服务质量、品牌效应和社会责任等方面。4.2.2 融入机构管理过程风险管理不是独立于检验检测机构主要活动和各项管理过程的单独活动，而是检验检测机构管理过程不可缺少的重要组成部分。4.2.3 支持决策过程检验检测机构的所有决策都应考虑风险和风险管理。风险管理有助于判断风险应对是否充分、有效，有助于决定行动优先顺序并选择可行的行动方案，旨在将风险控制在检验检测机构可接受的范围内，从而帮助管理层做出合理的决策。

14、T/CAQI 171-202144.2.4 应用系统的、结构化的方法系统的、结构化的方法有助于风险管理效率的提升，并产生一致、可比、可靠的结果。4.2.5 以信息为基础风险管理过程要以有效的信息为基础。这些信息可通过经验、反馈、观察、预测和专家判断等多种渠道获取，但使用时要考虑数据、模型和专家意见的局限性。4.2.6 环境依赖风险取决于检验检测机构所处的内部和外部环境。需要特别指出的是，风险管理受人文因素的影响较大。4.2.7 广泛参与、充分沟通检验检测机构利益相关者之间的沟通，尤其是管理层在风险管理中适当、及时的参与，有助于保证风险管理的针对性和有效性。利益相关者的广泛参与有助于其观点在风险

15、管理过程中得到体现，其利益诉求在决定检验检测机构的风险偏好时得到充分考虑。利益相关者的广泛参与要建立在对其权利和责任明确认可的基础上。利益相关者之间需要进行持续、双向和及时的沟通，尤其是在重大风险事件和风险管理有效性等方面需要及时沟通。4.2.8 持续改进风险管理是适应环境变化的动态过程，其各步骤之间形成一个信息反馈的闭环。随着内部和外部事件的发生、检验检测机构环境和认知的改变以及监督和检查的执行，有些风险可能会发生变化，一些风险则可能消失，另一些新的风险可能会出现。因此，检验检测机构应持续不断地对各种变化保持敏感并做出恰当反应。检验检测机构通过绩效测量、检查和调整等手段，使风险管理得到持续改

16、进。5风险管理5.1概述检验检测机构应全过程实施风险管理，建立风险管理体系。风险管理体系的建立主要包括：风险管理方针；适当的管理要求和程序，使风险管理嵌入到检验检测机构的所有活动和过程中；与风险管理相关组织机构的职责，以及与检验检测机构绩效指标一致的风险管理绩效指标；资源配置；监督和检查；记录；沟通和报告机制。5.2风险管理方针风险管理方针应明确下列事项：检验检测机构的风险管理理念；检验检测机构的管理层对风险管理的承诺；T/CAQI 171-20215检验检测机构的风险管理目标（如：法律法规风险、失信风险、合同风险、安全风险、环境风险、检测质量责任风险等）；持续改进的承诺。5.3风险管理工作程

17、序检验检测机构应当设计适当的管理要求和行为规范，建立风险管理工作程序，特别是检验检测机构整个层面的风险管理计划，以保证风险管理嵌入到机构的所有活动和过程之中，尤其是检验检测机构的战略规划、运营过程、诚信建设以及变革管理之中。5.4风险管理相关组织结构检验检测机构可通过以下方法保证风险管理的责任认定和授权，从而能够执行风险管理过程，并保证风险管理的充分性和有效性：明确风险管理体系的制定、实施和维护人员的职责；明确执行风险应对措施、维护风险管理体系和报告相关风险信息人员的职责；建立批准、授权制度；建立绩效测量及相应合适的奖励、惩罚制度；建立对内对外的报告机制等。5.5风险管理的资源配置检验检测机构

18、应根据风险管理计划制定可行的方法，为风险管理分配适当的资源。具体应考虑下列各项：风险管理方面的人力资源；风险管理过程每一阶段所需要的资金及各种资源；风险评估及失信风险防范机制建立过程中涉及到的资金及各种资源；数据记录的过程和程序步骤；信息和知识管理系统。5.6监督和检查检验检测机构应明确界定监督和检查的责任。监督和检查可能包括：监测事件，分析变化及其趋势并从中吸取教训；发现内部和外部环境信息的变化，包括风险本身的变化，可能导致的风险应对措施及其实施优先次序的改变；监督并记录风险应对措施实施后的剩余风险，以便在适当时做进一步处理；适用时，对照风险应对计划，检查工作进度与计划的偏差，保证风险应对措

19、施的设计有效执行；报告关于风险、风险应对计划的进度和风险管理方针的遵循情况；T/CAQI 171-20216实施风险管理绩效评估。风险管理绩效评估应被纳入到检验检测机构的绩效管理以及检验检测机构对内、对外的报告体系之中；监督和检查活动包括常规检查、监控已知的风险、定期或不定期检查。定期或不定期检查都应列入风险应对计划，定期的监督和检查可与内审相结合。适当时，监督和检查的结果应当有记录并对内或对外报告。5.7记录在风险管理过程中，记录是实施和改进整个风险管理过程的基础。风险管理记录包括：风险管理计划记录；风险应对计划记录；风险管理内部和外部培训记录；监督和检查的结果记录；风险识别记录；风险分析记

20、录；内部和外部的风险评估记录；风险评估报告；其他有关风险管理的记录。5.8沟通和报告机制5.8.1 内部沟通和报告机制检验检测机构应建立内部沟通和报告机制，以保证：风险管理体系的关键组成部分及其调整得到适当的沟通；在检验检测机构内部充分报告风险应对计划实施的效果和效率；在适当的层次和时间提供风险管理的相关信息；建立与内部利益相关者协商的程序。内部沟通和报告机制还包括在考虑到检验检测机构敏感程度的基础上，适当整合从各内部渠道得到的风险信息的程序。5.8.2 外部沟通和报告机制检验检测机构应建立与外部利益相关者沟通的机制。这种机制应当保证：检验检测机构的对外报告符合法律、法规和自身治理要求；检验检

21、测机构与外部利益相关者保持有效的信息沟通；在外部利益相关者中建立对检验检测机构的信心；在发生突发事件、危机和紧急状况时与利益相关者沟通；为检验检测机构提供外部利益相关者的报告和反馈。6风险评估T/CAQI 171-202176.1概述通过风险评估，管理层及有关各方可以更深刻地认识那些可能影响检验检测机构目标实现的风险以及现有风险控制措施的充分性和有效性，为确定最合适的风险应对方法奠定基础。风险评估的结果可作为检验检测机构管理评审或决策过程的输入。风险评估是由风险识别、风险分析及风险评价构成的一个完整过程。该过程的开展方式不仅取决于风险管理过程的背景，还取决于开展风险评估工作所使用的方法与技术。

22、6.2风险识别检验检测机构应根据本组织的内外环境，不断识别风险源（对于一个机构而言，风险源不止一个）；以及识别该风险可能的影响范围及后果；进而生成风险列表，明确风险事件（风险控制点）。6.2.1风险源识别检验检测机构风险可能来源以下方面，包括但不限于：合规方面：识法、学法、用法、守法全权管理层方面：制定政策、发展能力、制定并保持承诺，落实诚实信用、提供资源等；检验检测过程方面：检验前、检验中、检验后；技术能力方面：人员能力、设备设施、标准方法、环境条件、样品管理、质量控制、原始记录、报告证书等；体系管理方面：组织、管理体系、方针目标、体系文件、合同管理、文件管理、人员管理、档案管理、采购管理、

23、客户服务、内部审核、管理评审、持续改进等：诚实信用方面：独立性、公正性、保密性、诚信度、践约度、诚信报告、诚信档案、人员诚信等；责任要求方面：社会责任履行、社会责任报告、员工健康保障、保护环境、检验检测过程中出现的涉及人身财产安全的重大质量问题上报等。6.2.2 风险的影响范围及可能后果识别风险将会产生的影响。检验检测机构应逐一识别风险源可能产生的影响范围及其后果，诸如以下事项不限于：合规风险；产品质量；诚实信用；监管缺失；体系失控；人员健康；劳动安全；策划决策；T/CAQI 171-20218财务债务；环境污染；生物、化学危险品；潜在不符合。6.2.3 风险点及风险列表检验检测机构应将识别出

24、来的风险源和风险影响事项组合生成风险列表,明确风险事件（风险监控点）。6.3风险分析检验检测机构应对识别出的风险事件（风险控制点）对目标产生的影响进行分析；一个风险事件可能产生多个后果，从而可能影响多重目标。风险分析能够加深对风险的理解，它为风险评价提供输入，以确定风险是否需要处理以及最适当的处理策略和方法。风险分析要考虑风险源导致风险的原因、风险后果及其发生的可能性，识别影响后果和产生可能性的因素，还要考虑现有的风险控制措施及其有效性。然后结合风险发生的可能性及后果来确定风险水平。一个风险事件可能产生多个后果，从而可能影响多重目标。风险管理风险评估技术（GB/T 27921）附录B提供了一些

25、常用的风险分析方法。对于复杂的情况可能需要多种方法同时使用。用于风险分析的方法可以是定性的、定量的以及多种分析方法的组合。风险分析所需的详细程度取决于特定的用途、可获得的可靠数据，以及检验检测机构决策的需求。定性的风险分析可通过严重性等级来确定风险后果、可能性和风险等级，如“高”、“中”、“低”3个严重性程度。定量法可利用数字评级量表来测度风险的后果和发生可能性，并运用模型将二者结合起来，确定风险等级。量表的刻度可以是线性形式的，或者是对数形式的，或其他形式的。定量分析可估计出风险后果及其发生可能性的实际数值，并产生风险等级的数值。由于相关信息不够全面、缺乏数据、人为因素影响等，或是因为定量分

26、析难以开展或没有必要，全面的定量分析未必都是可行的或值得的。在此情况下，由具有专业知识和经验的专家对风险进行定量或者定性的分析可能已经足够有效。如果是定性分析，应该对使用的术语进行清晰的说明，并记录所有风险准则的设定基础。即使已实现全面的定量分析，还应注意到，此时计算获得的风险等级值是估计值，应谨慎地确保其精确度不会与所使用的原始数据及分析方法的精确度存在过大的偏差。风险等级应当用与风险类型最为匹配的术语表达，以利于进一步的风险评价。在某些情况下，风险等级可以通过风险后果的概率分布来表达。6.4风险评价T/CAQI 171-20219风险评价包括将风险分析的结果与预先设定的风险准则相比较，或者

27、在各种风险的分析结果之间进行比较，确定风险的等级。风险评价利用风险分析过程中所获得的对风险的认识，来对未来的行动进行决策。道德、法律、财务以及包括风险感知在内的其他因素，也是决策的参考信息。决策包括：某个风险是否需要应对；风险的应对优先次序；是否应开展某项应对活动；应该采取哪种途径。最简单的风险评价是仅将风险分为两种：需要应对与无需应对的。这样的方式无疑简单易行，但是其结果通常难以反映出风险估计时的不确定性，而且两类风险界限的准确界定也绝非易事。应对风险的决策，取决于实施应对措施的成本与收益以及承担风险的成本与收益。依据风险的可容许程度，可以将风险划分为如下3个区域：不可承受区域，在该区域内无

28、论相关活动可以带来多大收益，风险等级都是无法承受的，必须不惜代价进行风险应对；中间区域，对该区域内风险的应对需要考虑实施应对措施的成本与收益，并权衡机遇与潜在后果；广泛可承受区域，该区域中的风险等级微不足道，或者风险很小，无需采取任何风险应对措施。风险评价的方法可根据检验检测机构从业范围、内部环境、外部环境等多种因素而定，本标准以风险指数为风险评价的方法给出示例，旨在提供一种风险评价的方法，但不仅限于此。下面以风险评价依靠对风险严重度、发生率、检出度的分析为依据,判定风险是否可接受为例加以说明：a）严重度：风险一旦发生可能造成不良影响和损失的程度，分值越高影响越严重。程度风险影响分值低高一般发

29、生后对检验检测数据和结果没有影响的风险1-2较重发生后对检验检测数据和结果有影响的风险3-5严重发生后直接影响到管理体系运行有效性的风险6-8非常严重发生后可能产生经济纠纷、人身安全或者违反法律法规的风险9-10b）发生率：风险发生的几率大小，分值越高几率越大。序号风险发生的几率分值1极低1-2T/CAQI 171-2021102中等3-53较高6-84极高9-10c）检出度：潜在风险在目前管理中可以被查出来的难易程度（1-10 分），分值越高越难以被查出。根据风险指数对风险进行评价，利用“风险指数=严重度发生率检出度”公式，所得出的结果值越大则这一风险越严重，越应采取预防和/或纠正措施。检验

30、检测机构结合自身实际情况规定不可承受区域、中间区域、广泛可承受区域的范围，例如：可规定风险指数，比如大于180（665）时，在该区域内无论相关活动可以带来多大收益，风险等级都是无法承受的，必须不惜代价进行风险应对。风险评价的结果应满足风险应对的需要，否则，应做进一步分析。6.5风险评估报告检验检测机构应将风险评估的过程与评价结果一起记录在案，形成风险评估报告。风险应以可理解的术语来表达，同时对于风险等级的内涵也应进行清晰表述，应至少包含目标及范围、内外部环境描述以及被评估对象与内外环境的关联情况、所使用的风险准则及其合理性、评估方法、风险识别结果、数据的来源与验证、结果讨论、结论和建议等。风险

31、评估报告应有助于管理层对风险及其原因、后果和可能性有更充分的理解，为以下事项提供信息：是否应该开展某些活动；是否影响预期目标的实现；如何充分利用时机；是否需要应对风险；选择不同风险的应对策略；确定风险应对策略的优先次序；选择最适合的风险应对策略，将风险的不利影响控制在可以接受的水平。序号检出度评估分值1在后续的检验检测流程中一定会被发现1-22只要有后续监督、审核，都会被发现3-43只有在后续非常严密的监督、审核中才会被发现5-64只有在非常有经验的监督、审核人员严密审核时才会被发现7-85在后续监督、审核流程中很难发现9-10T/CAQI 171-202111如果需要风险评估来支持一个连续的

32、风险管理过程，那么对于风险评估的记录工作应在检验检测涉及的所有活动的全过程中持续进行。如果出现与风险相关的新信息或环境发生变化，应根据管理的需要对风险评估进行更新。6.6风险评估的监督和检查风险评估过程强调环境因素和那些经过一段时间预计会变化并且可能使风险评估改变或失效的其它因素。应当识别出这些因素须进行持续的监督和检查，以便在必要时更新风险评估的信息。应当识别和收集为改进风险评估结果而监测的数据。还应当监测和记录风险控制措施的效果，以便为风险分析提供数据。应当明确证据、文件的建立和检查的责任。在以下情况，要重新进行风险评估：a）采用新设备、材料、方法、人员，环境发生变化或者改变实验室结构功能

33、时；b）包括物质存储或使用的实验室分区执行的任务发生改变之前；c）变更检验工作流程；d）发生安全事故或事件后。7风险应对7.1原则检验检测机构应正确认识和把握风险与收益的平衡，根据其从业范围特点确定风险偏好、风险承受度、风险管理的优选顺序，以及安排风险管理的组织体系、资源和应对措施等。7.2风险处理风险对策是检验检测机构根据内部环境和外部环境，围绕机构发展目标，确定风险偏好、风险承受度、风险管理有效性标准，以及选择风险处理原则并确定风险管理所需人力和物力资源配置原则的总体安排。风险对策包括但不限于：a)通过决定不开展或停止产生风险的活动，来规避风险；b)为寻求机会，接受或降低风险；c)消除危险

34、源；d)减少风险发生的可能性；e)改变风险发生的后果；f)转移或与另一方或多方共担风险；g)通过有事实依据的决策，保留风险；h)考虑对利益相关方的影响；i)考虑风险处理措施引入的风险。7.3风险防范T/CAQI 171-202112检验检测机构可根据自身的风险评估报告建立风险防范机制，降低自身的风险等级。7.4定期评估检验检测机构可采取自我评估和第三方评估相结合的方式进行定期评估，第三方评估的周期一般为每2年一次。8风险监控8.1 检验检测机构应跟踪监测已识别的风险和识别新的风险，保证风险应对计划的执行，并评估风险对策与措施的有效性；8.2 适宜时，风险监控包括：a)及时发现和度量检验检测机构

35、新的风险因素；b)监控检验检测机构潜在风险的发展、监测风险发生的征兆；c)跟踪、评估风险的变化程度；d)提供启动风险应急计划的时机和依据。T/CAQI 171-202113附录 A资料性附录：检验检测过程风险识别1.1 检验检测开展前可以从合同（标书、要求）评审、样品以及信息保密和沟通等方面进行识别；a)合同评审的主要风险包括但不仅限于：检验检测标准/方法不适用于检验检测样品；检验检测标准/方法不能满足客户需求；检验检测委托书/合同一般内容填写不全或填写错误；未明确结果的判定规则；未明确双方的责任义务和权利，未对应保密的信息作出明确的规定；检验检测委托方属于非真实的生产制造企业；检验检测委托书

36、/合同遗漏相关责任人员的签名等。b)样品的主要风险包括但不仅限于：样品的来源存在非实际生产制造企业生产的风险，不利于企业产品、服务和工程质量提升；委托送样人非实际生产制造企业的人员；裸样即送样时委托方仅提供样品未提供与样品有关的文件和资料，不利于检验检测和质量分析，存在买样、租样的嫌疑；样品信息与检验检测委托书不符；检验检测机构抽样不按标准执行，导致样品不具代表性；收样时，未进行样品状态描述和风险评价，出现结果异常无法追溯等。c)信息保密的主要风险包括但不仅限于：在与客户沟通时泄露其它客户检验检测过程中提供的样品、文件及传递过程中的信息安全等；使用委托方样品为其他单位检验检测，并出具检验检测报

37、告。d)沟通的主要风险包括但不仅限于：未能将客户的检验检测需求有效地传递给相关人员等；市场营销人员随意承诺客户，如保证出具合格检验检测报告等。e)其它方面的主要风险包括但不仅限于：对客户或检验检测机构的利益造成不利影响的风险等；市场人员接受委托客户的礼金或参与委托客户的活动等。1.2 检验检测开展中可以从人员、设备设施、试剂耗材、检验检测标准/方法、样品、技术记录、环境、安全、信息保密等方面进行识别；T/CAQI 171-202114a)人员的主要风险包括但不仅限于：检验检测人员资质不足；新上岗检验员忽视诚信和风险方面的培训或未进行全员培训；检验检测从业人员未接受或通过内部和外部专业的诚信培训

38、，诚信意识淡薄；检验检测从业人员未建立诚信档案；检验检测从业人员未进行诚信自我声明和公开承诺；检验检测人员接受客户的礼金或参与客户的有碍于检验检测公正性和独立性的活动；人员不具备检测能力等。b)设备设施的主要风险包括但不仅限于：设备设施不能满足检验检测要求，性能异常；未定期检定、校准和/或核查；没有使用和维护记录；无状态标识管理；设备档案记录不完整；相互有影响的仪器设备放置在一起，相互干扰，数据不准；仪器设备无安全保护装备或强排风装置，对操作人员有安全风险或伤害等。c）试剂耗材的主要风险包括但不仅限于：使用未进行符合性验证的试剂耗材；使用过期、失效的试剂耗材；使用无证标准物质；没有标准溶液配制

39、记录；更换或使用未被批准的试剂耗材来替代；没有安全使用及管理试剂耗材等。d)检验检测标准/方法的主要风险包括但不仅限于：未按检验检测标准/方法进行检验检测；未识别样品基质对检验检测标准/方法带来的干扰；检验检测过程中未按要求进行质量控制或质量控制不全等。e)样品的主要风险包括但不仅限于：样品编号混乱，无唯一性编号，易混淆；样品铭牌或标签上的信息已被检验检测人员利用，并与客户发生利益关系；样品的流转不符合要求或记录不全；样品预处理/制备、保存条件不符合要求等。样品被误用和恶意使用；f)技术记录的主要风险包括但不仅限于：T/CAQI 171-202115样品的准备、处置和制备记录不全；引用数据缺少

40、可追溯性；从笔记本上转抄检验检测记录；缺乏必要的记录，无法再现检验检测原过程等。g)环境的主要风险包括但不仅限于：未对检验检测环境进行有效监控；检验检测环境条件与检测要求不符等。h)安全的主要风险包括但不仅限于：未识别不同检验检测工作的性质、地点、检验检测方式导致的健康、安全、环境等方面的风险（比如化学品、玻璃器皿、电、火、高低温、粉尘、噪音、爆炸等方面的风险）；操作有毒有害试剂检验检测项目时未佩戴防护用具；未设置防护设备设施及应急设施；未按要求处理废弃物等。i)信息保密的主要风险包括但不仅限于：在检验检测过程中对于客户资料、样品、数据结果等信息的泄露；在检验检测过程中对于客户处于研发阶段或秘

41、密开发阶段的产品测试信息、商业秘密的泄露；对机构内部文件、检验检测方法信息泄露等。1.3 检验检测开展后可以从样品、数据结果、检验检测报告、信息安全和保密、CMA资质认定标志/CIMS诚信达标或诚信等级标识的使用等方面进行识别；a)样品的主要风险包括但不仅限于：样品的保存时间和方式不符合要求；样品丢失；利用客户样品为其他委托方进行检验检测；未按要求对样品进行处置（包括销毁、返还、上交）等。b)数据结果的主要风险包括但不仅限于：未进行有效的复核，原始记录遗漏相关责任人员的签名；计算粗心大意，对可疑数据不敏感；临界值的处理有偏差；人为更改或伪造检验检测结果、原始数据错误、原始记录更改不规范、原始记

42、录描述错误等。c)检验检测报告的主要风险包括但不仅限于：报告中对样品的描述不准确导致异议；检验检测报告缺乏完整性；T/CAQI 171-202116检验检测报告未审核签字；可疑值未得到及时报告；检验检测报告文字描述有错别字或漏字；检验检测报告的信息与原始记录(或提供的其它资料)不一致；报告封面擅自使用检验检测诚信达标机构标志和诚信等级符号；非授权签字人签发报告；无理由拒绝为客户提供检验检测结果的解释和咨询服务等；检验检测报告的结论不准确，造成误解或歧义d)资质认定标志和/或认可标识使用的主要风险包括但不仅限于：超资质认定和/或认可范围检验检测；超资质认定和/或认可周期检验检测；超资质认定和/或

43、认可地址检验检测；授权签字人超资质认定和/或认可授权签字范围签发报告；获资质认定和/或认可的标准变更后未及时进行能力确认等。e)信息安全和保密的主要风险包括但不仅限于：客户信息、报告和数据、报价、样品等方面信息泄露的风险。1.4 其它方面的风险因素包括：a)质量管理的主要风险包括但不仅限于：未按照资质认定管理部门、行业主管部门、CNAS规定的领域和频次要求参加能力验证；能力验证、实验室间比对所得结果有问题或不满意；未按人员监督、监控计划实施质量监督、监控，并保存记录；未按质量控制计划实施质量控制，并保存记录；未按要求定期进行内审、管理评审等。b)诚信建设的主要风险包括但不仅限于：未按照GB/T

44、 31880检验检测机构诚信基本要求和GB/T36308检验检测机构诚信评价规范开展诚信建设工作；在规定的期限内未诚信达标；诚信建设现场评价发现的问题未及时关闭或未进行有效的整改；未按照年度监督的要求接受诚信建设监督；年度监督未能及时提交检验检测机构信用报告。c)档案管理的主要风险包括但不仅限于：归档资料信息与实际不符；归档资料杂乱无序；归档资料遗失或未按保存期限保存等。T/CAQI 171-202117d)环境卫生安全风险：无强制通风设备，无防火、防水、防腐和急救设施，有人身安全风险；检验检测环境杂乱，存放非检验检测物品，有人身安全和影响检测结果的风险；废旧和长期停用设备未清出检测现场，有误

45、用风险；微生物实验室物流与人流未分开，进入控制不规范，有交叉污染风险；致病性微生物实验室无生物安全装置，对操作人员有病菌感染风险；相互有影响的工作空间没有有效隔离，影响检测结果准确性；办公室、检测室、仪器室混用，相互交叉污染，存在安全隐患和结果准确性风险。检验检测机构可利用各种支持性的技术来提高风险识别工作的准确性和完整性。T/CAQI 171-202118参 考 文 献1 ISO 31000：2009 风险管理原则与实施指南2 ISO/IEC 31010：2009 风险管理 风险评估技术3 ISO 9001：2015 质量管理体系要求4 RB/T 214:2017 检验检测机构资质认定能力评价 检验检测机构通用要求5 ISO/IEC 17025：2017 检测和校准实验室能力的通用要求