浅析ISO 9001：2015标准中基于风险的思维

wxsunhao

浅析ISO 9001：2015标准中基于风险的思维
/ u& C; y9 G$ i" G+ _原创 2018-04-18 郝红岩 中国认证认可

! \# X* T# s9 }- O' c( o

基于风险的思维是ISO 9001：2015标准的核心理念。“基于风险的思维”与“过程方法”的管理原则一起，融于质量管理体系及其各过程之中，是质量管理体系策划和过程策划的重要输入内容。

本文从风险的基本概念出发剖析ISO 9001：2015标准中基于风险的思维，明确了基于风险的思维的作用、风险管理框架、基于风险思维与PDCA的关系、单一过程要素中基于风险的思维活动以及基于风险的思维的组织行为。

基于风险思维的作用

简单来讲，就是确定和应对风险和机遇，这些风险和机遇可能影响产品和服务合格以及增强顾客满意能力。

! @/ E6 l( C/ N% J- }/ R, X# F; q

顾客是指“能够或实际接受为其提供的，或按其要求提供的产品或服务的个人或组织”，包括消费者、委托人、最终使用者、零售商、内部过程的产品或服务的接收人、受益者和采购方等，顾客可以是组织内部的或外部的。在市场经济条件下，顾客成为现代组织重要的稀缺性资源，顾客决定着组织的命运和前途。因此谁能占有更多的顾客资源，谁就拥有更多的市场份额，谁就能获得更多的机会。占有更多的顾客资源的同时也存在着风险，因此“以顾客为关注焦点”就应以基于风险的思维，识别影响产品和服务符合性及顾客满意的风险和机会，并予以处理。

最高管理者应在组织中培育意识和环境，建立过程，使组织能够主动地关注、识别和理解顾客当前和未来的期望，及时了解政治、经济、社会、技术的发展趋势对顾客需求和期望影响的风险，及时了解顾客的需求和期望的变化，并能够以敏捷、高效的方式及时做出响应。最高管理者需要确保与已经确定的风险和机会相适应的措施都得到实施，并实现预期结果。如果未达到，则需进行PDCA管理循环以确保为进一步改进分配相应的职责，直到满足顾客需求及期望为止。

风险管理框架

风险（risk）：不确定性对目标的影响（ISO 31000：2009 风险管理原则与指南）。

注1：影响可能偏离预期——正面的和/或负面的；

注2：目标可以有不同的方面（如财务、健康安全以及环境目标），并应用于不同层次（如战略、组织整体、项目、产品和过程）；

' f5 ]7 y8 `7 `. y

注3：风险常具有潜在的事件、结果和两者结合的特征；

5 ]' ]" y- q% H) w

注4：经常用一个事件的结果和对应的发生可能性这两者的结合来表示风险；

注5：不确定性是缺乏甚至部分缺乏一个事件其结果或发生可能性有关信息、了解或认知。

/ A5 \: ?. A- z

风险管理（ risk management ）：组织针对风险所采取的管理和控制的协调活动。

4 v* s# Y, V. ^& i

风险管理的成功取决于风险管理框架的有效性。风险管理框架为组织提供了基础和安排，这些基础和安排将风险管理框架嵌入到全组织的所有层次。风险管理框架各组成部分之间的关系如图1所示。从图1中可以看出，风险管理框架实际上是PDCA循环的过程。

7 \- v- J) J, r+ v, {

图1

8 p& F; W- }7 m7 U8 }

基于风险的思维伴随PDCA始终

组织根据ISO 9001：2015标准建立并实施质量管理体系，可以应对与组织环境和目标相关的风险和机遇。采用的过程方法是（PDCA）循环+基于风险的思维。基于风险的思维使组织能够识别可能导致其过程和质量管理体系偏离质量管理任务目标的各种风险因素。在实施PDCA循环控制措施的源头是风险因素，应从“全系统、全过程、全要素”［“全系统”是指风险识别要覆盖产品（服务）的各个层级；“全过程”是指覆盖产品（服务）的全过程；“全要素”是指覆盖产品（服务）的风险域各个方面的风险。］三个维度识别可能导致其过程和质量管理体系偏离质量管理任务目标的各种风险因素，做到风险识别不漏项。只有通过采取有效的风险控制措施，就可以最大限度地降低不利影响，并最大限度地利用出现的机遇，以实现质量管理任务目标。

采用过程方法，即将基于风险的思维融入PDCA循环中。如图2所示。在PDCA循环中从基于风险的思维方面主要体现在：

. g/ E6 Q7 Y  r% [( F

策划（Plan）：识别和应对风险和机遇；

7 a2 }. [' d/ k5 C& ?7 y

实施（Do）：执行所做的策划中有关风险的控制措施；

) x1 `6 h$ m% i0 G) v

检查（Check）：检查风险控制措施的落实情况，进行风险评估；

# k1 S7 }9 k/ t+ ~

处置（Act）：根据确定的风险接受准则，决定风险是否可接受，对不可接受风险，还应制定相应的风险控制措施，使其风险降低到可接受水平。

过程方法、PDCA循环和基于风险的思维三个概念形成了本标准的一个完整部分。PDCA循环运行可以作为持续改进的周期，基于风险的思维可运用在周期的每个阶段。运用过程方法、PDCA循环和基于风险的思维，能够将其质量管理体系与其他管理体系标准要求进行协调或一体化。

* B# I! n$ c- _8 m

图2

单一过程要素中基于风险的思维活动

过程的各要素相关的风险有所不同。每一过程均有特定的监视和测量检查点用于控制风险。 这些监视和测量检查点是依据识别出的风险确定的。

基于风险的思维应贯穿于质量管理体系的始终。充分识别风险，准确策划和实施应对风险和机遇的措施是提高质量管理体系有效性和持续改进的基础。实施过程中要正确区分问题和风险的差别。问题是确定的，通过制定和采取应对问题的措施是可以彻底解决的；而风险是不确定的，一般是通过制定和采取应对风险的控制措施来降低风险发生的可能性或严重性，从而降低风险。通常风险被彻底消除的情况很少发生。

# P9 T/ l& m& v: t" r- Y

单一过程要素中基于风险的思维活动如图3所示。

图3
& U6 U. C+ [8 B9 u  u, `

8 q6 ^; L+ D# `* T

基于风险的思维是组织的一种自觉行为

建立具有风险意识的组织文化是应对风险和机会的首要任务，其可促进组织风险管理水平和员工风险管理素质的提升，保障组织风险管理目标的实现，促进组织建立有效的风险管理机制。

基于风险的思维是组织的一种自觉行为，支持过程方法并贯穿整个管理体系，在建立质量管理体系时组织需识别出预期实现的目标和期望的结果，在系统策划过程及过程活动时应识别可能影响实现这些目标和期望结果的因素，其中包括相关风险和机遇。

应用基于风险的思维方法，可以帮助组织建立主动预防的质量价值观和企业文化，关注更好地完成使命和达成目标，以及改进的工作方式。基于风险的思维、过程方法和PDCA循环三者需结合运用。

( s! a2 J! m0 J7 i' H

ISO 9001：2015标准没有要求使用正式和统一的风险管理标准来识别风险和机遇，也没有固定和统一的方法适用于各种质量管理体系，组织可以选择适合自己的方式来识别其与其质量管理体系预期结果有关风险和机遇，应用时还应结合实际有所创新。组织应在理解组织及环境、相关方的需求和愿望的基础上，充分识别需要应对的风险和机遇。由于使用了基于风险的思维，对组织的定性的要求会减少了许多，并以基于绩效要求替代，在过程、成文信息和组织职责方面具有更大的灵活性和更好的适用性。

0 X8 ]3 K- i) u  U1 z/ l$ e$ Z$ S

从ISO 9000系列标准来看，基于风险的思维的历史由来已久，早在2008版本中就有基于风险的思维的内容。基于风险的思维适用于产品和服务的质量管理体系全过程，基于风险的思维是进行PDCA循环、制定预防措施的源头和依据，采用基于风险的思维可使组织在制定质量管理体系要求时更加具体和有针对性。ISO 9001标准不主张采用统一的风险管理方法和标准，主要考虑到由于企业的内外部环境的不同而导致风险的不同，因此采取的措施和管理文档也不同，使得企业应用标准时更加灵活。

. s3 k6 n& z* {6 y& \$ h

来源：《中国认证认可》杂志

6 i' a' s9 b3 V# {& w