干货 | ISO9001:2015标准解读——也谈风险和机遇

wxsunhao

干货 | ISO9001:2015标准解读——也谈风险和机遇
原创 2017-11-14 黄一 质量与认证

ISO 9001:2015标准发布两年了，两年来，大家对标准的变化做了很多深入的研究，发表了很多极具见地的文章，学习之后，颇受启发，特别是新版标准关于“风险和机遇”的要求，引发了很多思考。

3 w# ]0 ?* Q; F7 D3 _

标准指出：“基于风险的思维是实现质量管理体系有效性的基础。” “为了满足本标准的要求，组织需策划和实施应对风险和机遇的措施”。要求：在策划质量管理体系时，组织应“确定需要应对的风险和机遇”；在管理评审时，应评审“应对风险和机遇所采取措施的有效性”；在采取纠正措施后，应考虑“更新在策划期间确定的风险和机遇”。等等，面对标准诸多关于风险和机遇的要求，我们该如何理解？如何应对？

1 |# z1 v' z5 Y  j1 D! H$ P

常识告诉我们，风险无处不在，生活中衣、食、住、行，无时不面对风险：宝宝的套头衫有致癌的芳香胺染料、下馆子吃下了地沟油、买房子拿不到产权证、走路更是时时提防马路杀手。工作呢，也是如此：开发新产品，有可能大量的投入换不来回报；开发了一下新客户，有可能原来是个骗子；引进一位专家，有可能后来发现是个只会纸上谈兵的“赵括”,送货的汽车有可能发生车祸，如此等等，风险也如影随形，数不胜数，企业根本不可能把所有可能遇见的的风险都一一识别出来，更谈不上策划出应对的措施，遇见这类情况，审核员开不开不符合项？开，每次审核至少可以开出十个八个，甚至更多；不开，确实有风险识别不全，按照这样的标准实施审核，没有一个企业能拿到证书。

从另一个角度讲，所有的管理，都可以认为是风险管理：制定部门职责，是防范出了问题无人负责的风险；设备保养是防范过早磨损影响机器功能的风险；环境维护是防范影响产品质量的风险；计量设备定期检定校准是防范产品质量误判的风险；文件控制是防范失效文件误用的风险；进货检验是防范采购到不合要求原材料的风险；过程检验是防范不合格品流入下道工序的风险；制定规章是防范无章可循的风险。甚至，上班打卡也可以认为是防范风险：防范扣考勤奖金时不承认曾经迟到的风险。从这个角度讲，企业已经识别了风险，并建立了许多规章制度，策划并实施了应对措施，满足标准的要求。

' `: `" E0 O; d# L# y4 A5 p

基于这样两种截然不同的分析，我们应该如何理解标准的要求？我以为，企业实施ISO9001:2015标准，目的一，通过审核认证获得证书，向市场和顾客证实本企业有能力满足顾客的要求和相关法律法规的要求；目的二，通过应用，完善和改进企业质量管理体系。所以标准有两个作用，作为审核依据的作用，和规范企业质量管理体系的作用。

4 y6 {3 A0 S% P& i5 Q

在认证审核时，审核员不宜以此作为开具不合格报告的审核准则，因为风险无处不在，防不胜防，任何人都不可能把所有的风险都识别出来，企业在某些方面，识别不全，是必然的，是可以理解的。而且，标准附录A4中，还明确指出：“虽然 6.1规定组织应策划应对风险的措施，但并未要求运用正式的风险管理方法或将风险管理过程形成文件。”文中的“虽然”、“但是”，显然把风险管理的要求淡化了许多，婉转地告诉我们，审核时，不要提出过多形式上的要求。

从企业来说，学习贯彻标准，认识到风险识别和防范的重要性，在建立质量管理体系时，通过各种监视和评审活动，充分地识别风险，特别是重大风险，并考虑应对措施，或者规避，或者接受，并从中寻找机遇，实现改进。

现在网上有许多关于ISO9001的文章，包括关于风险管理控制的文章，把风险识别、分析、评定、处理，还有计算顺序数等方法，制定成制度。例如下表即是百度文库中的一个例子。

风险和机遇评估分析表

序号	风险和机遇  来源	风险和机遇  内容	风险分析					管理措施	责任部门/人	实施时间	评价措施有效性
			严重程度	发生概率	可探测性	RPN	风险级别
1	合同评审过程	1对市场需要产品的发展趋势判断失误 2.客户要求识别不完整 3未能确保能够满足客户要求就签署合同。	4	1	3	12	一般	1.对市场需求产品的发展趋势分析应该经过反复论证。 2.对客户的要求实施监视和测量。 3.在确定与客户签署合同前落实合同评审事宜 相关文件：《产品和服务要求控制程序》	供销部	2016.3.15	有效
2	产品打样过程	1制作的样品未能满足客户的需求。 2打样周期长，跟不上市场变化	4	2	3	24	高风险	1新产品开发立项时反复论证市场需求。 2.研发产品时尽量选择可重复利用的材料制成产品。 3.加大设计开发的资源投入，尽可能缩短产品研发周期。 相关文件：《设计与开发控制程序》	品质部	2016.3.15	有效
共27项，内容从略

在这张表中，作者列出了27项风险来源，其实在企业质量管理活动中，风险来源何止这27项？在每一项中，又细化了很多具体的风险内容，例如在第1项合同评审过程中，列举了三项内容，工作已经做得很细致认真了，即使这样，我们仍然还可以轻易地指出更多的风险内容，例如：参加评审部门不全、合同批准人超过了权限范围、合同没有文件化、顾客信用未评审、合同中未规定纠纷处理约定、合同中涉及的法规收集不全、合同中未规定验收方法、合同签订时尚未完成评审，……等等，这是一项随着时间变化，永远没有止境的一项工作，既然如此，我们该考虑考虑：这种方法是否适宜？有效？

3 q' v' d' ]$ O8 Y" u/ Y" z

综上所述，我以为，ISO9001：2015标准提出基于风险的思维要求，目的在于强调事前控制的必要，不但要采取纠正措施，治标治本，还要有风险意识，未雨绸缪，防范于未然。而没有要求必须建立专门的制度，把所有的风险都识别出来，并予以分析、评定，并采取对策。审核时要关注的是实施质量管理体系的绩效，而不是文件和记录。

当然，对某些特殊行业，比如银行，比如医院，另当别论。

- End -

5 ?) K% Z, {1 ~2 C% G
$ j6 B3 X5 `3 ^  k$ Y: D% y  Q4 l" c

学为考试

这篇文章最有价值的是那个表格，但作者未提供，前面说的话的指导意义就打了折扣。

bihai8029

学为考试 发表于 2017-11-17 05:15
0 g- p* S$ l+ h1 M# t9 U8 S7 }这篇文章最有价值的是那个表格，但作者未提供，前面说的话的指导意义就打了折扣。

好

sdjnyyj

有用的文章。

max2017

这表跟FMEA差不多

nb789

楼上举例二个例子：合同评审过程、产品打样过程。问题是ISO9001：2015版的4.1 4.2 6.1 8。1 9.1.3 e)
! q1 A# Z/ G* w" \3 t! m8 i所说的分析机遇，是这类举例所说的“风险机遇”吗？  请看4.1：与其宗旨和战略方向相关并影响其实现质量管理体系预期结果的——指的是组织层面的。  参考。

jsbao

应该说，所有的企业管理者，已经在他的高度考虑了可能的风险和机遇，并对此作出决策或采取措施，标准并没有说要留下成文信息。所以审核时建议审核员与企业管理者进行交流时探讨。

whongzou

其实从另一个方面讲，如果公司的质量管理体系过程都有文件化的作业流程，基本上就可以认为是具备了风险控制的相关措施，至于为什么要建立文件化的作业流程，就是因为这些过程存在风险。体系文件的充分性和其应用可以说明公司风险管控的有效性。
' m5 M9 a7 l' d0 J& g