通过ISO9001新版的企业,如何做风险评估的?要实战的
如题。不希望按标准来回答,纸上谈兵的理论谁都知道。我想了解实战的情况。比如使用SWOT,还是列出风险清单及控制措施,或者其它更好的方法有一个办法就是读同行业的上市公司年报及上市公司招股书,里面有企业的竞争分析。可以借用,有一点问题就是,比较宽泛,需要自己再去做实一点。 我们已经拿到新版9001证书了。
我们没有做任何额外工作,战略规划里本身就有内外部环境分析的章节,直接拿来用。
另外,年度工作报告里,一般也有相关内容。 qzq2000 发表于 2017-1-12 17:34
我们已经拿到新版9001证书了。
我们没有做任何额外工作,战略规划里本身就有内外部环境分析的章节,直接拿 ...
:victory:应该是这样,任何企业要想运行,不做风险评估是不可能的,只是方式不同,标准的这个要求,只是更明确了,而且标准也不强制企业使用专业风险评估工具,总之,只要适合自己的就是最好 一般小企业列出风险和管控措施即可。不用太复杂,这只是让企业认识内外部环境的过程。 风险管理是动态的不是静态的,需要思考如何跳出模式化的套路。 kingrobin 发表于 2017-1-13 23:53
风险管理是动态的不是静态的,需要思考如何跳出模式化的套路。
支持 关于风险和机遇的识别
ISO9001标准的“A.4 基于风险的思维” 中描述“本标准要求组织理解其组织环境(见4.1),并以确定风险作为策划的基础(见6.1)。这意味着将基于风险的思维应用于策划和实施质量管理体系过程(见4.4),并有助于确定形成文件的信息的范围和程度。”
个人认为,对于质量管理体系风险和机遇的识别应覆盖体系的全部过程,但ISO9001标准的“A.4 基于风险的思维” 中还描述“虽然6.1规定组织应策划应对风险的措施,但并未要求运用正式的风险管理方法或将风险管理过程形成文件”,因此,虽然质量管理体系风险和机遇的识别应覆盖体系的全部过程,但没有要求将所有识别结果形成文件化信息。不同的组织识别的风险和机遇应有所不同,应侧重组织的实际,如服务型组织应侧重服务过程的风险和机遇,销售型组织应侧重识别顾客要求中存在的风险和机遇,生产型组织可能也有销售,但应侧重识别生产和检验的风险和机遇。
ISO14001标准附录A6.1.1中描述“这些风险和机遇可能与环境因素、合规义务,其他问题,或其他相关方的需求和期望有关。”
个人认为至少应识别以下方面涉及的风险和机遇
1、 环境因素,特别是重要环境因素所涉及的风险和机遇
2、 合规义务所涉及的风险和机遇
3、 组织所处地理环境所涉及的风险和机遇,如地势低洼导致洪涝引起化学品泄漏等
4、 人员能力所涉及的风险和机遇,如由于员工文化或语言的障碍,未能理解当地的工作程序而导致的环境泄漏;
5、 组织资源所涉及的风险和机遇,如停水、停电等导致的环保设施不能使用、资金缺乏导致环保设施无法正常检修、政府扶持资金增加或改善组织环保设施等
6、 相关方所涉及的风险和机遇,如组织周围的居民、环境监管部门、环境管理体系认证机构等的需求和期望,特别是构成合规义务的需求和期望等
7、 应急准备和响应所涉及的风险和机遇
8、 环境目标内容所涉及的风险和机遇,一般情况下环境目标都是针对重要环境因素的,因此与第一条有重复。
目前大多组织只识别了风险,对机遇识别不足。从发展观点看,机遇更为重要。
如果有审核过一些全球500强,有些大公司你留意看他们的各种review的结论,不论是决定开发一款新产品还是引入一项新技术。review的结论包括:GO,NO GO之外,很多时候都是中间的选项,GO WITH RISK。同时列出所识别的风险和控制要求。
GO with risk也可以理解为“有条件通过”,为什么要附加前置条件?因为要控制风险。
风险管理对于这些企业来说,本来就已经深入到每一个环节,部分特定的项目和过程或环节,需要引入哪些风险工具只是基础之上的工作。 楼上提供的意见不错,但这个比较分散,不系统,还是需要部门汇总下,体现在部门工作汇报 一定要制订有关“风险识别评价相关的文件”,标准虽然没有明确,但如果没有文件规定如何对风险进行识别、评价、控制、更新等,则是老虎吃天,无从下口。出现的结果果想当然的乱且不全面。
1.用PEST、SWOT等方法识别公司外部、内部存在的风险与机遇(只要对预期目标,如:产品与服务符合性、顾客满意、财务指标、企业发展等,有影响的因素)进行识别,并建立“风险或机遇清单”(或是风险与机遇识别评价表);内部可以细化到各工作环节及部门因素;
2.组织制订风险与机遇评价的标准,如:风险矩阵法、经验法等,结合目前企业的管理现状,评价出已识别风险与机遇的等级与大小,一般机遇需要保持或增强,并统一形成“重要风险清单”;
3.结合风险等级,对重要风险机遇制订出应对措施,明确目标、职责部门、具体方法、评价准则等;
4.将以上措施融合在具体的执行部门中在日常工作中开展。
如:
目前的风险 风险等级 具体措施
一线操作人员流失严重,直接影响公司
人力资源储备和生产效率,从而影响交货 中级风险 由人力资源部在5月前拿出具体解决方案
期,使顾客不满意。
总之,风险控制已成为企业生存或持续发展的重要方法之一,一个好的企业一定是一边解决问题,一边反思总结经验并改进(风险识别与应对措施),小心谨慎的持续前进。 新版质量和环境标准一个重要观点就是风险和机遇,我认为不仅要形成清单,而且要形成程序文件,虽然标准未要求,但如果没有上述文件,对风险和机遇的识别和控制就很难做到。 企业按照标准要求建立保持其质量管理体系并寻求第三方认证,不是为了满足你审核员“我认为”的什么要求。
审核员一定要明白,企业有关应对其质量管理体系相关的风险和机遇的措施是否要形成成文信息,决定权在企业,不在于你审核员如何认为(环境管理体系标准对风险和机遇及其应对措施有成文信息要求,包括环境因素、合规义务、控制措施)。 我国的民族标杆企业之一,之前审核其ISO9001:2008时,发现作为十几万员工的企业,质量手册只有区区数百次下载量(全电子化)。我问他们干嘛还要写质量手册这种东西?企业回答,因为标准有要求有质量手册啊! 没有你们审核员会说不行的,果然, 同行一个审核员也说,Manual必须有,不可以没有。
我说,我说他们不用写质量手册这个文件,不代表他们没有质量手册
他们的IT系统把所有流程梳理的很清楚,通过流程地图可以清楚的看到所有过程在体系中的位置和作用,以及如何相互作用。每一个流程相关的文件通过超链接方便的检索,每一个过程的owner及工作中人与人之间的关系也可以方便的检索。
一份纸质的manual你希望他能发挥的作用,都通过IT系统得到完美的呈现,而且效率更高更便捷。为什么这个IT系统就不是Manual呢?
标准告诉我们,电子版本文件,电子流,IT程序都是文件的体现方式
标准告诉我们,本标准不要求统一所有的术语
标准还告诉我们,一份文件可能包括多个程序,一个程序可能包括于多份文件,同样,虽然这个系统起到的作用远不止Manual,但是既然其中的一部分功能已经起到Manual的作用,为什么不可以把这个IT系统看作Manual。
这个例子在和Nigel Croft交流的时候也提起过,他也完全同意针对这种企业没有必要一定要一个纸质manual的提法。
审核员最忌讳的是自己判断什么是必须要有或必须不可以有,而不是从企业的实际情况去理解企业的做法,然后作出客观的评价。
很可惜,绝大多数审核员都时不时或者一贯的犯这个错误。 手册的存在有它自己的作用和用意,手册不是程序,但可以包含。虽然新版中不再提及,但IATF中仍然保留了下来。 多谢各位指正!我是从企业 的角度来说感觉必须有,作为审核员确实不应该以自己的观点去判定企业是否符合标准要求,我审核几个企业,没有手册,所谓手册就是一个类似目录的东西,里面注明支持性信息,我感觉也不错。 审核员还是不喜欢陌生的东西,因为见到不熟的东西就要动脑筋去分析和判断,虽然能提高自己,但确实费时间。
有位老兄说风险评估不需要文件,但没有文件作指引,如何开展规范的风险评估?总不能东一榔头,西一棒子,鸡鸣鸭叫吧 标准也很明确的讲了不要求一定使用什么工具,头脑风暴也可以啊!
有文件不是坏事,但也不能武断的说没有就不可
页:
[1]