Die Norm ISO/IEC 17020:2012 verlangt, dass eine Inspektionsstelle die Risiken in Bezug auf ihre Unabhängigkeit und Unparteilichkeit inventarisiert.
4.1.3 Die Inspektionsstelle muss Risiken für ihre Unparteilichkeit ständig identifizieren.
Das Erstellen einer solchen Risikoanalyse ist weniger kompliziert, als es scheint. Die Norm stellt nämlich keine Anforderungen an die Art und Weise, wie die Analyse ausgeführt werden muss. Relevant ist in diesem Zusammenhang jedoch auch das ILAC Dokument ILAC P15:06/2014, das die Norm ISO/IEC 17020:2012 erläutert. Es enthält die wichtigsten Punkte einer Risikoanalyse.
Dass eine Inspektionsstelle ‘ständig’ ihre Risiken identifiziert, kann zum Beispiel dadurch nachgewiesen werden, dass die Risikoanalyse als regelmäßiger Punkt auf der Tagesordnung des jährlichen Management Review (Managementbewertung) steht.
Wenn eine Risikoanalyse für die Organisation Nutzen haben soll, empfiehlt es sich, etwas anders vorzugehen. Man denke beispielsweise an das Zuerkennen eines Stellenwerts an die unterschiedlichen Risiken. Dies kann erfolgen, indem man beispielsweise der Wahrscheinlichkeit des Entstehens, der Wahrscheinlichkeit der Entdeckung und dem potentiellen Schaden jeweils einen bestimmten Faktor zuordnet. Daraus kann abgeleitet werden, welches die größten Risiken sind und aufgrund dessen kann das Management die Maßnahmen treffen, dies es für angemessen erachtet.
Anschließend ist es möglich, den Output, der aus der Erledigung von Beschwerden/ Berufungen/ Abweichungen stammt, an die Risikoinventarisierung zu koppeln. Anhand der Risikoinventarisierung kann ermittelt werden, ob die Risiken korrekt eingeschätzt wurden und ob die Maßnahmen, die zur Eliminierung der Risiken getroffen wurden, wirksam waren.
Die Risikoanalyse kann nach Herzenslust erweitert werden; zum Beispiel kann ein Unternehmen auch Gefahren berücksichtigen, die sich nicht auf die Unabhängigkeit beziehen. Beispielsweise könnte auch der Aspekt „Sicherheit der Inspektoren während ihrer Arbeit“ miteinfließen.