略談“應對風險和機遇的措施”條款的實施與應用

【摘 要】 本文通過對2015新版ISO 9001質量管理體系新增條款“應對風險和機遇的措施”的闡述，旨在幫助讀者加強對這一條款的理解，為企業在策劃實施這一新標準時提供一些參考。

【關鍵詞】 質量管理體系風險和機遇 識別與評價

【DOI編碼】 10.3969/j.issn.1674-4977.2016.05.001

1 前言

ISO9001：2015版《質量管理體系要求》在標準條款中明確提出了應對風險和機遇的措施，針對這一條款（條款6.1），組織在運用標準時，如何實施與應用這一條款，則是每一個實施質量管理體系的企業要策劃的內容之一。

這一條款作為新增加的條款內容，在以前版本中也有包括或隱含了類似的要求，如：預防措施、質量管理體系的策劃、產品實現的策劃、評審和持續改進等，各種改善措施和策劃都包括或隱含了風險與機遇的思維。因此作為新增條款，我們還是可以從以前版本中找到眾多可以參照的執行要求。

新版標準中，識別風險并采取相應措施來消除風險、降低風險或者減緩風險的思想，貫穿在整個標準里。基于風險的思維體現在本版標準的相關條款（章節）的要求中，如：

條款4“組織環境”：組織需要解決其質量管理體系過程相關的風險和機遇；

條款5“領導作用”：高層管理者需要確保對條款4的承諾，促進基于風險的思維意識，確定并解決會影響產品和服務實現的風險和機遇；

條款6“策劃”：組織必須識別影響質量管理體系績效的風險和機遇，并采取適當的行動來解決這些問題；

條款7“支持”：組織應確定并提供應對風險和利用機遇的必要資源；

條款8“運行”：組織需要關注實施過程中的風險和機遇；

條款9“績效評價”：組織需要監視、測量、分析和評價，確保所采取的應對風險和機遇的行動的有效性；

條款10“改進”：組織避免或減少不良影響，提高質量管理體系的績效。

因此，風險預防措施貫穿于整個標準。風險思維體現了因果關系、關鍵少數等概念，要求人們從受不確定性影響的事物中，使有顯著影響的風險可見可控，也使可能的機遇可見可用。

新版標準要求組織理解其運行環境，并以確定風險與機遇作為策劃的基礎。這意味著將基于風險的方法應用在策劃和實施質量管理體系的過程，并借以確定形成文件的信息的范圍和程度。

2 風險的定義及表現形式

2.1 風險的定義

標準中對該定義進行了注解說明。不確定性是一種對某個事件，甚至是局部的結果或可能性缺乏理解或知識的信息的狀態。影響是指偏離預期，可以是正面的或負面的。通常，風險表現為參考潛在事件和后果或兩者組合，風險以某個事件的后果組合（包括情況變化）及其發生的有關可能性的詞語來表述。“風險”一詞有時僅在有負面結果的可能性時使用。

2.2 風險的表現形式

“影響”是對“期待”的偏差，可以是積極的，也可以是消極的。風險可以是有積極作用的機會，也可以是消極的后果。積極的是機遇，消極的是損失。

“預期”或“期待”的結果可以有不同方面（如質量、財務、健康安全以及環境等），可以體現在不同的層次（戰略、組織范圍、項目、產品和過程等）。

質量風險通常可以涉及在組織的價值實現和機會把控中的質量經營風險（質量文化風險、質量戰略風險）、產品實現風險（設計開發、生產/服務提供、監視、測量等）、管理風險以及產品和服務的責任風險等等。

3 “應對風險和機遇的措施”的實施范圍

在評價組織所應對的風險和機遇時，我們要先確定“應對風險和機遇的措施”的范圍，這一點在標準條款中這樣規定：“6.1.1在策劃質量管理體系時，組織應考慮到4.1所描述的因素和4.2所提及的要求，并確定需要應對的風險和機遇”。該條款的第一句話就是告訴我們確定風險和機遇的措施是針對組織在前面所考慮到的內外部因素、相關方的需求和期望的基礎上進行風險和機遇的評價。因素可能包括正面和負面要素或條件。組織的內部因素，與組織的價值觀、文化、知識和績效等因素有關。組織所處的外部因素，可能與國際、國內、地區和當地的各種法律法規、技術、競爭、市場、文化、社會和經濟環境等因素有關。在組織外部環境中也包括組織質量體系有關的相關方的期望與要求。

4 “應對風險和機遇的措施”的要求

在標準條款中，要求組織在對識別出來的風險和機遇所實施的措施要達到下述的四條目標及要求：①確保質量管理體系能夠實現其預期結果；②增強有利影響；③避免或減少不利影響；④實現改進。標準中這四條要求是衡量組織制定的應對風險和機遇措施的有效性，組織所制定并實施的這些措施是否有效，可以直接對照條款中這四條要求進行分析與持續改善。

5 評價組織面臨的風險和機遇

5.1 識別風險和機遇的要求

基于風險思維的程度與組織所處的環境有關，取決于組織產品或服務的復雜程度，如果產品或服務單一、簡單，則風險程度相對較小，反之則較大。一個生產高復雜的尖端企業的產品與一個商務寫字樓的服務，兩者的風險程度則相差甚遠，前者發生產品質量問題，后果可能非常嚴重；后者則要小多了。因此，針對這兩種不同的組織所處的環境，前者需要采取正規的風險分析方法來識別風險、規避風險，而后者可以不需要采取正規的風險分析方法來識別風險。

在建立質量管理體系時，組織應識別出希望達到的目標和期望的結果。在策劃過程中，組織需要了解可能影響這些目標和期望結果的因素，其中可包括對相關風險和機遇的識別，并應考慮外部、內部環境，以及利益相關方對質量管理體系達成其目標結果的影響。在識別利益相關方的需求時，可以識別和確定質量管理體系的風險與機遇。在識別風險和機遇時，組織可關注提升正面效果，創造新機會并預防或降低不良效應（預防措施）。

在本標準中，沒有要求使用正式的風險管理框架來識別風險和機遇。組織可以選擇適合自己的方式來識別風險和機遇。

5.2 識別風險和機遇的方法

基于風險的分析應在不同的層面上進行，如：組織層面、組織內部的過程；組織的外部因素、組織的內部因素；組織的人力因素、組織的非人力因素；組織所處的國內環境、國外環境等等，要進行多層面的分析，以規避或減少風險的不利影響，尋找組織的新機遇。

風險和機遇識別可以使用的工具如SWOT分析（強項、弱項、機遇及威脅）。簡單的方法可以包括詢問“what if”即“如果、什么”問答。一些方法在特定領域中可能更常用，例如醫療器材行業的故障模式影響與危害分析（FMECA）、食品行業的危害分析臨界控制點（HACCP）。使用何種方式和工具來識別質量管理體系的風險和機遇由組織來決定。標準中沒有要求采用某一具體的方法。

組織如需在導入本標準的過程中進一步考慮全面風險管理的一體化運行，可以從GB/T 23694-2013《風險管理術語》中理解風險相關的術語，此外國際標準ISO 31000也提出了清晰的風險管理框架。

國資委發布的《中小企業全面風險指引》，將風險劃分為戰略風險、法律風險、市場風險、財務風險和營運風險五類。如果組織屬于央企，可以參照執行。同樣也可參考美國反對虛假財務委員會發起委員會提出的《企業風險框架》（COSO ERM）。

5.3 風險評價

基于風險識別與分析的結果，幫助做出有關風險需要處理和處理實施優先考慮的決策。風險評價包括將分析過程中確定的風險程度與在明確環境時策劃的風險準則進行比較，將風險分析的結果與組織已制定的風險評價準則進行比較，確定組織現存風險嚴重程度和等級的過程（或不可接受風險），其目的是為風險規模和領導決策提供支持。

風險評價是評價風險對組織實現質量目標和預期結果的影響程度，組織可通過制定風險評價準則進而科學地確定現存風險的嚴重程度。組織所制定的風險評價準則與組織對風險的承受能力、已制定的質量方針和目標、資源配置等因素相適應，并應滿足法律法規、監管和利益相關方的要求，同時還必須考慮相關風險發生的性質、類型及后果的嚴重程度、風險發生的概率、風險級別。

6 如何策劃“應對風險和機遇的措施”

6.1 策劃風險應對措施的要求

對識別出與評價出的風險和機遇要制定相應的措施。標準條款中要求：“應對風險和機遇的措施應與其對于產品和服務符合性的潛在影響相適應。”應對風險的措施：組織可選擇規避風險，為尋求機遇承擔風險，消除風險源，改變風險的可能性或后果，分擔風險，或通過信息充分的決策保留風險。應對機遇的措施：組織可采用新實踐，推出新產品，開辟新市場，贏得新顧客，建立合作伙伴關系，利用新技術以及其他可取和可行的事物，以應對組織或其顧客需求。

組織在策劃出具體應對風險和機遇的措施后，就要把這些措施整合在質量管理體系中并實施這些措施，并對措施實施的有效性進行評價，以達到持續改進的效果。

這些措施包括：為質量管理體系過程建立合適的控制，或針對機遇建立新的過程。有很多措施都可被組織選用來解決風險。質量管理方面的典型實例是開發各種控制活動，包括：過程、產品及服務的檢查、監視和測量；校準；產品及過程設計；糾正措施；規定、方法和作業指導書；培訓及使用有能力人員等方面。

通過評價市場需求可識別機遇，例如提供新產品和服務，或使用新技術來建立諸如顧客或供應鏈在線服務的更好系統。對質量管理體系過程進行績效分析，則可識別出減少浪費或提高結果和績效的機遇。

6.2 策劃風險應對措施的內容

風險處理包括了一個循環過程：評價風險處理；確定殘留風險程度是否可容許；如果不可容許，產生新的風險處理；評價該處理的有效性。

風險處理方案不必互相排斥或適宜所有情況。方案可以包括以下內容：通過決定不開展或停止產生風險的活動，來規避風險；為尋求機遇，接受或提高風險；消除風險源；改變可能性；改變后果；與另一方或多方共擔風險（包括合約和風險融資）；通過有事實依據的決策，保留風險。

7 小結

組織在實施標準這一條款時，應明確組織所處的環境，即使產品或服務相同的組織，風險也不一樣；相同的組織所處的環境不一樣時，風險也不一樣。組織要進行風險識別、風險分析和評價、風險應對的措施，建立相應的監測與評審體制，對風險和機遇的措施有效地監測，確保措施的有效性。

作者簡介

田軍，大學本科，從事質量管理工作，曾發表《淺談整合型管理體系的轉版》等文章。