關于新版質量管理體系標準中的“風險"解讀

鄭欣然

摘要：ISO 9001：2015《質量管理體系要求》于2015年9月正式發布，等同采用國際標準的國家標準的也即將發布，新版標準首次提出了“基于風險的思維”理念，為了更好地理解新版標準，做好認證轉換的準備，本文對標準中的“風險”作了分析解讀。

關鍵詞：質量管理體系 風險

一、標準修訂背景

質量管理體系標準自1987年問世，經歷了四次換版，迄今為止，已成為全球應用最廣泛的管理標準，也為國內眾多的組織提供合格產品建立了組織保證和基本信心。

隨著全球化貿易時代的到來，世界經濟環境的動態變化，業務細分和專業化程度不斷增加，日益延長的供應鏈使得運營環節的復雜程度和風險水平日益加劇。為有效應對不斷變化的經營環境帶來的影響，國際標準化組織從201 2年開始致力于研究管理體系新框架，期望通過繼2000版后的又次系統性修訂，應用ISO導則增強同其他ISO管理體系標準的兼容性，為未來十年提供一系列穩定的核心要求；在關注過程控制的同時將關注焦點最終落在結果的有效性上。

基于上述原則，ISO 9001：2015《質量管理體系要求》引入績效管理和風險管理理念，以領導力（Leadership）取代了管理（Management），從注重流程（Process）轉向關注行為（Behavior）及績效（pedormance）；明確提出“基于風險的思維（Risk-based thinking）”在過程方法中的應用，體現了P-D-C-A的思路。績效作為可測量的結果被關注的同時，對結果產生不確定性影響的風險隨之在過程控制中得到關注。

二、風險的定義

在ISO9000：2015《質量管理體系基礎和術語》標準對風險（risk）給出了及其客觀的定義：不確定性的影響。定義及其六項注釋明確了風險的特性：影響預期的結果；在質量管理體系中風險僅作為負面的影響被控制；風險具有不確定性，其不確定性源于缺乏理解或知識方面的信息；風險的可能性隨相關條件改變而改變，通常與機遇同時出現。對風險特性的了解，有助于我們實施有效的風險控制。

三、“基于風險的思維”解讀

基于風險的思維并非是一個全新的概念，它一直隱含在ISO 9001標準和管理行為里，2008版標準的8.5.3預防措施就是基于風險的思維，在日常管理中也都會自動運用風險思維，有意識地規避風險，以期最佳結果。新版標準運用將預防措施擴展到整個管理體系，使這核心理念貫穿于質量管理體系建立、實施、維護和改進全過程，更加系統和明確地提出了關注風險的要求，以有效規避戰略風險、合規風險、運營風險等，提升組織績效。

基于風險的思維也并非一個獨立的概念，它強調的是風險意識，并形成固有的思維方式，這種意識和思維方式只有與管理行為相結合，融入活動和過程管理中才能生效。風險無處不在，風險的表現方式千變萬化，新版標準的亮點就在于不局限于單項的風險控制要求，而是以風險思維模式和系統的方法關注風險，與過程方法和PDCA循環三者有機結合，形成系統的風險管控機制。

新版標準保證了組織的風險都得系統的考慮和平衡，以“預先作出行為來改變”（Proactive）代替“對變化作出被動的預防”（Reactive），以前瞻性的眼光和積極的行為形成主動改進式的企業文化。在一個基于風險的管理體系中，預防措施自動觸發，成為戰略部署、業務策劃的組成部分。

四、影響風險控制的因素

風險控制的關鍵在于風險評估，重點是風險識別及分析評價，能否實現充分識別和實施有效分析、評價，取決于對事件及其后果是否有充分的了解和理解，意識、知識、信息和溝通等資源支持便成為有效實現風險評估的前提，風險意識會形成對過程風險先期識別的習慣，及時發現風險；足夠的基本知識和專業知識儲備，幫助快速準確的分析和評價風險可能帶來的影響；由于風險涉及眾多的內外部因素，風險和機遇不是成不變的，必要條件下可以相互轉化，信息和溝通幫助及時掌握風險狀態及系統環境的變化。從而控制風險，提升到達目標的可能性。

五、風險的應對

風險和機遇往往并存，新版標準6.1提供了應對風險的途徑和選擇機遇的可能性，卻無法提供最佳選擇。新版標準主張機會最大化的同時風險得以識別和受控，因此選擇機遇的同時也應實施風險評估。正如維基百科對風險的定義，在失去某種價值與獲得某種價值兩種潛在可能性之間平衡，包括相關方接受度和社會信譽，追求綜合績效最大化。

新版標準提出了風險控制要求，沒有提供風險控制的技術手段，借助ISO 31000《風險管理一原則與指南》和ISO 31010《風險管理——風險評估技術》有利于實現風險的有效控制，這些標準不作為認證依據，但新版標準考慮了與風險管理標準的兼容性，可以提供有效的技術參考和管理指南。

新版標準給我們帶來機遇也帶來風險，希望通過有效運用為組織提升績效助力。