風險概念在ISO 9001：2015標準中的導入及要求

◆吳士權 / 文

風險概念在ISO 9001：2015標準中的導入及要求

◆吳士權 / 文

編者按

萬眾矚目的ISO 9001:2015新版標準于9月23日正式發布，宣告著第三代管理標準時代來臨。新版標準較之前版本變化巨大，以適應組織業務方式的巨大變化，應對更為復雜的供應鏈及充滿競爭的全球經濟一體化環境。為此，本刊將陸續刊登相關文章，以幫助企業更好地實施新版標準。

ISO 9001:2015版質量管理體系標準的最大變化之一是風險管理明顯地突出它在質量管理體系（QMS）過程中的重要性、靈活性和易操作性。盡管在以往的ISO9001版本標準中就已在 “策劃、評審和改進”條款中隱含了有關“基于風險的思想”概念及要求；而新標準所發生的重大變化主要體現于標準明顯地將以往采用預防措施的方法向基于風險的思想方法上的轉移，不只致力于風險的識別和應對，而且還包括控制和減少風險。這意味著標準要求組織應理解其運行環境，并以確定風險作為策劃的基礎；將基于風險的思想方法應用于策劃和實施質量管理體系過程，以及依此來確定文件化信息的范圍和程度。

為了更好地理解ISO 9001:2015中的“基于風險的方法”和“風險和機遇”用詞的含義和應用，有必要了解風險的定義及其演變情況，并掌握標準新導入的內容及要求，以便組織有效地提高實現其目標的能力。

一、風險的概念及其定義

風險（Risk）在不同的領域有不同的界定。金融領域認為“個人、企業、金融公司以及政府參與金融活動過程中，因客觀環境變化、決策失誤或其他原因使其資產、信譽受損失的可能性”即為風險；在不確定性經濟學中，“風險是未來結果的不確定性產生損失的可能性”；而在管理決策中，風險被認為是“某一種事業預期后果估計上的較為不利的一面”，即發生某一特定危險情況的可能性和后果的組合。

由此可見，風險并非是個明確的概念。由于所處的領域和面臨的對象各異，因而對風險給出的定義也呈現多元化的狀態，即使由國際標準公開出版的文件中也是變化多端的。國際標準化組織中通常所給的一個定義表明，風險是“不確定性對預期結果的影響”。而在ISO 31000:2009《風險管理——原則和指南》標準對“風險”的定義為“不確定性對目標方面的影響”，并專門對“風險管理”（risk management）作了“一個組織對有關風險指揮和控制的一系列協調活動”的定義。該標準的目標是促進各經濟、社會組織在對其生產及業務活動中的風險進行識別、估測、評價的基礎上，優化組合各種風險管理技術，對風險實施有效的控制，并妥善處理風險所致的結果，以期實現最小的成本達到最大的安全保障的過程。因此，ISO 31000中風險的定義比ISO 9001略微專業一些；其基本原則就是：以最小的成本獲得最大的保障。而在ISO 14971:2012《醫療器械風險管理》標準的2.17風險（residual risk）中定義為：“損害發生概率和損害嚴重程度的組合。”顯示具有更專門的針對性和行業特征。

現在ISO 9001:2015《質量管理體系 要求》則引用了ISO 9000:2015《質量管理體系 基礎和術語》中所給出的定義 ：“不確定性的影響。”

當前正值一個強調一些有關風險概念的時機。ISO 9000:2015《質量管理體系 基礎和術語》所下的“不確定性的影響”定義更容易為標準使用者所接受，它是個更能普遍性應用的概念，就是說這個概念可以用于組織內的任何地方，包括策劃（條款6），不像ISO 31000中所定義的要設定一套目標。從而使風險能夠被描述成一個潛在事件作為重要的、有影響力的術語，或者與其有關影響的嚴重度和發生的可能性來表達。

風險的“不確定性的影響”定義通過“基于風險的方法”和“風險和機遇”的應用，終于使這個質量管理體系國際標準解決了這個風險的定義的廣泛應用議題，因為在這個標準中的有關條款將回答組織在“應對風險和機遇”方面應采取與組織相適應的措施問題。

二、“基于風險的方法”的導入

實際上，早在二十世紀末及本世紀初期，ISO/TS 16749:2009《質量體系——汽車生產件和相關服務組織應用ISO 9001:2008的特殊要求》（第2版）、ISO 13485:2012《醫療器械——質量管理體系——法規性要求》（第三版）、ISO/IEC 27001:2013《信息技術——保密技術——信息保密管理體系——要求》（第二版）、ISO/TS 29001: 2007《石油、石化和天然氣工業——行業專用質量管理體系——對產品與服務提供組織的要求》標準以及醫藥、食品行業的GMP、HACCP等這些建立在ISO 9001標準基礎上特殊行業質量管理體系標準和良好生產規范中就引進了基于風險概念思維的方法，進行了產品質量風險的控制，即通常所稱的“質量風險管理”就是一種以“基于風險的方法”為思想基礎的產品風險管理的實踐。只是2012年以來的ISO/IEC導則第一部分附錄SL在總結各類管理標準的共性特點基礎上，對管理體系標準提出了有關“組織環境”“風險”以及“組織目標”諸方面需要，而成為新的管理標準共同關注的內容；其中對“風險”的關注就是將自始至終地關心風險和機遇作為執行標準中的重要項目來對待。

在ISO 9001的新版標準的前言和提示性附錄A“新結構、術語和概念說明”的描述中，分別對“基于風險的方法”作了介紹和有關說明。

基于風險的方法是實現一個有效的質量管理體系的重要前提；此概念已被含蓄地包括在上一版本國際標準中，例如：為消除潛在不合格實施預防措施、分析所發生的不合格、以及適當地對不合格后果采取防止再發生的措施。

新版ISO 9001要求組織采取可行的計劃和實施有力的措施來應對風險和機遇。事實證明，無論是應對風險還是利用機遇都可為提高質量管理體系有效性、實現改進成果和防止不利影響奠定堅實基礎。同時機遇的出現也意味著有利于達到預期效果，例如：有利于組織吸引顧客、開發新產品和服務、減少浪費或提高生產率。利用機遇也可能需要考慮到相關風險的影響。風險是不確定的效果以及每種此類不確定會有正面或負面效應的組合。正面的風險有可能提供改進的機會，但并非所有的正面風險均會導致改進的機遇。但風險和機遇畢竟屬于一個事物的二個方面，它們間具有互相轉換的必然性。

三、風險在ISO 9001:2015中的使用

有關風險的術語，在ISO 9001的標準正文部分先后以“風險和機遇”方式出現8次，并且以“基于風險的方法”形式出現1次。

在管理體系標準中風險一般都和機遇配對使用，這體現了ISO 9001:2015所應對的是風險和機遇的資源處理問題。所以在策劃和實施預防措施時需要考慮得更適當、更有利于組織處理重大事件的風險后果中取得更多的機會以緩解或避免風險。發現風險，尋找機會和抓住機遇是避免風險或降低風險程度的重要途徑。新的QMS標準要求組織實施“風險和機遇”的相關條款的主要內容如表1所示。

風險和機遇的概念，強調了識別潛在問題同改進機會一樣，需要應用于質量管理體系過程、產品和服務的合格、以及策劃質量管理體系目標，包括啟程改進措施計劃并評價其后果的有效性。

表1　ISO 9001:2015對風險的要求

ISO 9001:2015在基于風險的思想指導下，對質量管理體系及產品和服務實現過程中的“風險和機遇”所作出要求時是極其慎重的，這些包括“質量管理體系過程和策劃”和“產品和過程的風險和機遇及策劃”。

1. 質量體系和策劃之間的風險關系密切

ISO 9001標準6.1.1指出：在策劃質量管理體系時，組織應考慮到4.1所描述的環境（法律法規、技術、競爭、市場、文化、社會和經濟）因素和4.2所規定的確定（同持續提供符合顧客要求、適用法律法規、產品和服務能力）產生影響的相關方的要求。它們之間的關系見圖1所示。

圖1　過程風險和策劃風險之間的關系

2. 產品和過程的風險和機遇

風險和機遇幾乎同每一個產品及其有關的過程都存在著是否能夠達到符合性要求相關聯的后果。因此其涉及的面甚廣，幾乎包括產品和服務的全過程，有所不同的僅僅只是其風險或機遇的程度的有所差異罷了。在產品項目的策劃、設計、制造、直至交付顧客使用的全過程中，所伴隨的風險和機遇的應對措施，通常可以由組織自主策劃和解決。在應對風險和機遇的有關措施中，要促進過程方法和基于風險方法的使用，其關鍵在于最高管理者應在這方面發揮領導作用和作出承諾。圖2所示的是產品形成過程與風險和機遇關系的路線圖。

圖2　產品形成過程與風險和機遇關系路線圖

圖2表明產品形成過程的各項活動均與風險和機遇有著并存的關系。

例如在制造過程設計中，考慮監視和測量資源適宜性與風險和機遇關系時，檢測設備要求有個校準或檢定計劃以確保測量結果的有效和可靠。不同的資源配置和控制手段，所引起的風險度和可能遭遇的機會各異，其所產生的質量成本結果也截然不同。它們之間的風險成本的示意關系如圖3所示。

圖3 測量設備控制有益于降低成本風險的示意圖

從圖3中可以觀察到只有預防、檢驗/校準成本是可以適當考慮和有必要支出的，而對于因檢測設備引起的內部的廢次、返工、復檢造成的損失，以及由售后造成的三包、召回及索賠等外部損失，則是應盡力避免或減少的支出。由于檢測設備的質量成本的總支出是預防、檢定/校準及由于檢測設備問題造成的內、外部損失的總和，而后二者的又往往占很大的比例，因此，內、外部損失既是風險，也是機遇；采取技術創新和管理改進的風險和機遇的應對措施，將會有助于降低質量風險和提高質量成本的管理水平，并取得顯著效果。

四、ISO 9001:2015的指令性要求及其靈活的空間

ISO 9001:2015要求組織按其相關的“質量管理體系及其過程”條款4.4的子條款4.4.1及6“策劃”一章中的“應對風險和機遇的措施”（條款6.1）、以及“以顧客為關注焦點”的產品風險（條款5.1.2）來應對風險和機遇問題。風險管理的有效性和對機遇的分析和評價（條款9.1.3）才能采取應對措施。另外，措施的有效性要同有關聯的目標或策劃進行論證，因此也必須包括管理評審要求（條款9.3.2）之內。上述的標準內容均以“應”的強制性口氣作出了規定，先后9次用“應”表述其需要執行的指令。

標準只對所確定的風險和機遇需要做什么作了規定，而對應用什么工具（方法）以及文件化信息的編制、更新和控制及保留、處置都沒有作出具體的規定，這不僅給組織留有廣闊的創新和選擇空間，而且使組織能夠完全按組織的環境條件和專業與規模特點發揮自身的優勢。

對于基于風險思想，標準也并沒有規定必須采用的風險管理的工具和方法，以及必備的文件化信息方面的要求，可以說對“風險和機遇”的實施要求甚為寬松。僅強調要對“基于風險的方法”和“風險和機遇”的要求貫徹和執行，至于工具應用和如何實施，則由組織自行考慮和決定。最終的目的是便于組織選擇合適的過程和行之有效的應對措施，達到預期的風險度和創造有利的機遇。

一般來說，咨詢和認證機構會建議組織將風險和機遇整合到其組織的相關管理體系的過程中（例如QMS過程）。同時風險和機遇必須融入策劃過程的應對措施（條款6.1）中，這樣可以在業務計劃基礎設立組織長期目標，并在“業務作業系統”（BOS）運行過程中，識別關鍵過程和導入風險分析，以使這些影響到組織的整體目標得以實現。

許多組織先行貫徹執行質量風險管理，探索使用風險工具并形成了在質量管理體系內部審核中有關風險管理方面的審核要點。

1. 風險管理工具

選擇和使用合適的工具，可以清晰、全面地管理好同質量相關的各種風險，避免主要風險因素的漏項和忽視，有利于以數據為依據進行科學的分析。組織通常可從下列工具中選擇適用的基本方法和工具。它們是：

——基本的風險管理方法（流程圖、檢查表、過程圖、因果圖等）；

——失敗模式影響分析（FMEA）；

——危害分析和關鍵控制點（HACCP）；

——失敗模式、影響和關鍵性分析（FMECA）；

——故障樹形圖分析（FTA）；

——預先危險分析（PHA）；

——風險的排序及過濾；

——以及支持性統計學工具（控制圖、實驗設計、直方圖、排列圖、工藝能力分析等）。

2. 審核風險的要點

在對一個質量管理體系進行ISO 9001:2015的基于風險的思想方面的符合性審核時，審核人員一定要保持靈活性。在標準中不存在對風險管理過程或應用方法方面的要求，因此審核人員要在質量管理體系中深入地關注這方面的事宜是有難度的，同時也是沒有必要的。這需要審核人員適可而止地檢查標準中的組織所策劃的過程就可以了。在審核一個質量管理體系時，下列一些問題審核員可以予以詢問和了解。

（1）組織是否對企業相關的業務環境識別出內部和外部的問題？（條款4.1）

（2）組織是否已識別和確定了與企業環境有關的利益相關方？組織是否已理解相關方的期望？（條款4.2）

（3）在進行組織策劃時，組織是否已利用了在環境和相關方的需求和期望中產生的成熟議題？（條款4.3）

（4）組織是否像他們對組織有關規定達到預期效果（例如組織的那些宗旨和目標）那樣已識別出其風險和機遇？（條款6）

（5）組織是否已按識別的風險和機遇采取了應對措施？

（6）組織符合既定的宗旨和目標了嗎？又例如目標等是否已有所改進？

ISO 9001:2015的風險部分審核就這么簡單，不必強求組織均要按ISO 31000一樣地對管理過程中要求的風險評審所規定的“風險識別”“風險分析”和“風險評估”逐一詢問和評定，對風險處理及溝通協商也應適可而止，不必過分深入調查。因為前者是擴展性的審核，目的不是替代后者的專業性審核；照后者的方法審核，不僅審核時間上不允許，并且必然會喧賓奪主，因此，需根據實際情況把握好一個“適當”的度。

五、總結

在ISO 9001:2015標準中，其亮點不僅使風險概念顯性化，而且體現了QMS標準進入了風險防范和機遇利用貫穿于整個質量管理體系運行全過程的新時代，并將使風險預防能夠適用于整合型管理體系，以及有利組織鼓勵持續改進和有助于績效提高的活動。

同時，明確了一件最為關鍵性的事情，就是組織應從教育和培訓入手，使各個過程的擁有者掌握有關風險和機遇的知識，逐步在組織內培養一種善于以“基于風險的方法”進行思考的良好風氣——因為只有人們在“既承認約束條件又確認利益優勢”的文化背景下才會積極開始執行有關標準的風險管理要求。包括使他們養成考慮到變化后果的正、反面影響的優良習慣，實施應對風險的防范措施，使大災難能夠及時得到規避，或者至少也能帶來明顯的改善和損失的減少，或者成本的節省，甚至能取得更佳的創新效果。

所以，新標準引入系統的風險防范思想/方法，必然會產生巨大的增值效果，使QMS標準的應用更適宜、有效和可持續發展。因此，風險管理在質量的可持續性發展上所起的作用及其前途是十分巨大和輝煌的，將為國際標準化組織實現制定ISO 9001:2015的目標提供可靠保證。