按照風險管理理論，任何類型或規模的組織都面臨風險，組織的所有活動也都涉及風險。新版ISO17025的發布，將風險管理引入到實驗室，實驗室越來越意識到風險的存在，越來越重視風險管理，雖然沒有要求采取正規的風險管理方法，但自身應該有一個相對規范的風險管理過程。

（1）確定檢驗檢測行業的主要風險。在《風險管理 原則與實施指南》（GB/T 24353－2009）中，解釋組織的風險，有4種風險，法律風險、質量責任風險、安全風險、環境風險。

檢驗檢測行業具有管理和技術都是標準化的特點，風險分析應有自身的角度和重點。結合實驗室管理運行的實際，應重點關注兩類風險：

一類是合規運行風險，法律風險，對于檢驗檢測機構來說，就是合規運行風險，主要來自于監管部門，監管部門監管力度越來越大，實現了常態化監管；監管的專業化水平越來越高，能夠發現管理運行中的深層次問題；現已出臺《檢驗檢測機構監督管理辦法》，違規運行將會面臨撤銷資質、停業整頓、限期改正、罰款，甚至會面臨法律后果。

一類是結果有效性風險，質量責任風險，對于檢驗檢測機構來說，就是結果有效性風險。管理體系建立和運行，都是圍繞結果有效性展開的。這個風險來自于客戶及使用結果的相關方，我們是出具具有證明作用的數據結果的，報告一旦發出就會產生一定的后果，會出現虛假報告、編造數據和數據不實等風險。

這兩類風險最能體現出檢驗檢測行業的市場特點、技術特點，明確了檢驗檢測內部的兩類風險，風險管理要實現的目標就是確保“合規運行、結果有效”，可以進一步確定可以接受的風險程度，比如合規運行的風險，不能出現虛假報告和不實報告；結果有效性風險，不能出現數據結果質量問題。這就使我們對風險管理的目標、準則有了較為清晰的認識。 

（2）應做好風險評估。包括風險識別、風險分析和風險評價，形成風險評估報告。

1）風險識別，應關注會有什么問題發生。對于實驗室來說，每項檢驗檢測活動都會涉及風險，風險貫穿了實驗室活動的全過程�；�于這一邏輯，檢驗檢測活動是標準化、流程化的、程序化的，對工作流程中各個關鍵點進行風險識別，就可以識別出風險源，形成一個風險列表，也就是“風險源清單”，稱之為“檢測流程分析法”。識別每一流程的風險，關鍵在于參與人員的技術能力、操作熟練程度、對相關規定熟悉程度、工作經驗等。當然，也可以按要素（人、機、料、法、環、測）進行識別，實驗室可自行規定風險識別的方法。

實驗室應對內部應對風險的環境心中有數，同樣是風險因素，對不同的機構和人員來說，風險發生的可能性和影響可能是完全不同的。對一個機構是風險，對另一個機構可能不是風險，這與內部應對風險的意識和能力有關。 

2）風險分析，風險分析應考慮導致風險的原因，風險發生的可能性和影響程度，進行定性或定量分析，發生的可能性有多大，影響程度有多大。

考慮到檢驗檢測行業管理和技術特點，管理體系本身就具有降低風險的功能，采用定性分析也可以達到風險分析的效果。比如，對發生的可能性分為：很可能、有可能、可能性小、一般不可能；對影響程度分為：較大、中度、較小、很小。

風險分析的目的是為后續的評價和應對措施提供依據。所以，分析的越準確，后續措施越有針對性，應對成本會降低，風險管理的有效性就會越高。

3）風險評價，可以說檢驗檢測活動中的風險是不可避免的，消除所有的風險是不現實的。風險評價，就是要回答：哪些風險是可以接受的？哪些風險是需要處理的？采取什么應對措施？

評價結果可分為“合理”“可接受”“不容許”三種情況，可采取相應的措施：“關注”“過程控制”“采取應對措施”等，實驗室應根據實際確定。

對于檢驗檢測機構要不要專門的風險評估報告？還是基于檢驗檢測行業的技術特點，沒有必要專門編寫風險評估報告，但可將其中的部分內容納入到應對風險和機遇措施報告，作為管理評審的輸入。

（3）應做好風險應對。應實施應對風險的措施，在風險評估的基礎上，識別出了風險點，確定了導致風險的誘因、可能性及后果，明確了需要采取的應對措施，應對措施應包括具體的業務和管理活動、責任人及執行時間。然后，就應組織實施相關措施。應對風險可以選擇一種或多種措施，應整合運用各種措施，以改變風險發生的可能性和后果。

應對風險方式包括：規避風險：不參與或退出可能導致風險活動；客戶要求的偏離影響誠信或者影響結果有效性，不能接受，可以不參與相關活動。承擔風險：對某個項目進行分析，有風險，但風險可控，寧愿承擔這些風險，也要抓住這個機遇。消除風險：消除風險源。改變風險：改變發生風險的可能性或者后果。轉移風險：做出免責聲明，應合理制定免責條款。分擔風險：與客戶分擔風險。保留風險：通過對信息進行充分分析，認為風險可控，會保留風險，尋求機遇。

（4）應做好效果評價：實施應對措施并對效果進行評價，采取措施是否改變了風險發生的可能性和后果，是否消除或降低了風險？是否存在剩余風險？應明確評價責任部門和人員，可利用內部審核之機進行評價。

實施風險應對措施會引起風險的改變，應識別會不會出現新的風險，當識別出新的風險，應再次進行分析和應對，適當時實施改進，使風險管理水平在原有基礎上得到提升。

（5）記錄，應做好風險管理過程的全部記錄，確保風險活動的可追溯性。

風險管理旨在保證機構恰當地應對風險，提高風險應對的效率，增強應對措施的合理性，有效配置資源，確保風險管理實現其預期結果 。