淺析ISO 9001：2015標準中基于風險的思維

基于風險的思維是ISO 9001：2015標準的核心理念。 “基于風險的思維”與 “過程方法”的管理原則一起，融于質量管理體系及其各過程之中，是質量管理體系策劃和過程策劃的重要輸入內容。

本文從風險的基本概念出發剖析ISO 9001：2015標準中基于風險的思維，明確了基于風險的思維的作用、風險管理框架、基于風險思維與PDCA的關系、單一過程要素中基于風險的思維活動以及基于風險的思維的組織行為。

1 基于風險思維的作用

簡單來講，就是確定和應對風險和機遇，這些風險和機遇可能影響產品和服務合格以及增強顧客滿意能力。

顧客是指 “能夠或實際接受為其提供的，或按其要求提供的產品或服務的個人或組織”，包括消費者、委托人、最終使用者、零售商、內部過程的產品或服務的接收人、受益者和采購方等，顧客可以是組織內部的或外部的。在市場經濟條件下，顧客成為現代組織重要的稀缺性資源，顧客決定著組織的命運和前途。因此誰能占有更多的顧客資源，誰就擁有更多的市場份額，誰就能獲得更多的機會。占有更多的顧客資源的同時也存在著風險，因此 “以顧客為關注焦點”就應以基于風險的思維，識別影響產品和服務符合性及顧客滿意的風險和機會，并予以處理。

最高管理者應在組織中培育意識和環境，建立過程，使組織能夠主動地關注、識別和理解顧客當前和未來的期望，及時了解政治、經濟、社會、技術的發展趨勢對顧客需求和期望影響的風險，及時了解顧客的需求和期望的變化，并能夠以敏捷、高效的方式及時做出響應。最高管理者需要確保與已經確定的風險和機會相適應的措施都得到實施，并實現預期結果。如果未達到，則需進行PDCA管理循環以確保為進一步改進分配相應的職責，直到滿足顧客需求及期望為止。

2 風險管理框架

風險 （risk）：不確定性對目標的影響 （ISO 31000：2009風險管理原則與指南）。

注1：影響可能偏離預期——正面的和/或負面的；

注2：目標可以有不同的方面 （如財務、健康安全以及環境目標），并應用于不同層次 （如戰略、組織整體、項目、產品和過程）；

注3：風險常具有潛在的事件、結果和兩者結合的特征；

注4：經常用一個事件的結果和對應的發生可能性這兩者的結合來表示風險；

注5：不確定性是缺乏甚至部分缺乏一個事件其結果或發生可能性有關信息、了解或認知。

風險管理 （risk management）：組織針對風險所采取的管理和控制的協調活動。

風險管理的成功取決于風險管理框架的有效性。風險管理框架為組織提供了基礎和安排，這些基礎和安排將風險管理框架嵌入到全組織的所有層次。風險管理框架各組成部分之間的關系如圖1所示。從圖1中可以看出，風險管理框架實際上是PDCA循環的過程。

圖1

3 基于風險的思維伴隨PDCA始終

組織根據ISO 9001：2015標準建立并實施質量管理體系，可以應對與組織環境和目標相關的風險和機遇。采用的過程方法是 （PDCA）循環+基于風險的思維。基于風險的思維使組織能夠識別可能導致其過程和質量管理體系偏離質量管理任務目標的各種風險因素。在實施PDCA循環控制措施的源頭是風險因素，應從 “全系統、全過程、全要素” ［“全系統”是指風險識別要覆蓋產品 （服務）的各個層級；“全過程”是指覆蓋產品 （服務）的全過程；“全要素”是指覆蓋產品 （服務）的風險域各個方面的風險。］三個維度識別可能導致其過程和質量管理體系偏離質量管理任務目標的各種風險因素，做到風險識別不漏項。只有通過采取有效的風險控制措施，就可以最大限度地降低不利影響，并最大限度地利用出現的機遇，以實現質量管理任務目標。

采用過程方法，即將基于風險的思維融入PDCA循環中。如圖2所示。在PDCA循環中從基于風險的思維方面主要體現在：

策劃 （Plan）：識別和應對風險和機遇；

實施 （Do）：執行所做的策劃中有關風險的控制措施；

檢查 （Check）：檢查風險控制措施的落實情況，進行風險評估；

處置 （Act）：根據確定的風險接受準則，決定風險是否可接受，對不可接受風險，還應制定相應的風險控制措施，使其風險降低到可接受水平。

過程方法、PDCA循環和基于風險的思維三個概念形成了本標準的一個完整部分。PDCA循環運行可以作為持續改進的周期，基于風險的思維可運用在周期的每個階段。運用過程方法、PDCA循環和基于風險的思維，能夠將其質量管理體系與其他管理體系標準要求進行協調或一體化。

圖2

4 單一過程要素中基于風險的思維活動

過程的各要素相關的風險有所不同。每一過程均有特定的監視和測量檢查點用于控制風險。這些監視和測量檢查點是依據識別出的風險確定的。

基于風險的思維應貫穿于質量管理體系的始終。充分識別風險，準確策劃和實施應對風險和機遇的措施是提高質量管理體系有效性和持續改進的基礎。實施過程中要正確區分問題和風險的差別。問題是確定的，通過制定和采取應對問題的措施是可以徹底解決的；而風險是不確定的，一般是通過制定和采取應對風險的控制措施來降低風險發生的可能性或嚴重性，從而降低風險。通常風險被徹底消除的情況很少發生。

單一過程要素中基于風險的思維活動如圖3所示。

圖3

5 基于風險的思維是組織的一種自覺行為

建立具有風險意識的組織文化是應對風險和機會的首要任務，其可促進組織風險管理水平和員工風險管理素質的提升，保障組織風險管理目標的實現，促進組織建立有效的風險管理機制。

基于風險的思維是組織的一種自覺行為，支持過程方法并貫穿整個管理體系，在建立質量管理體系時組織需識別出預期實現的目標和期望的結果，在系統策劃過程及過程活動時應識別可能影響實現這些目標和期望結果的因素，其中包括相關風險和機遇。

應用基于風險的思維方法，可以幫助組織建立主動預防的質量價值觀和企業文化，關注更好地完成使命和達成目標，以及改進的工作方式。基于風險的思維、過程方法和PDCA循環三者需結合運用。

ISO 9001：2015標準沒有要求使用正式和統一的風險管理標準來識別風險和機遇，也沒有固定和統一的方法適用于各種質量管理體系，組織可以選擇適合自己的方式來識別其與其質量管理體系預期結果有關風險和機遇，應用時還應結合實際有所創新。組織應在理解組織及環境、相關方的需求和愿望的基礎上，充分識別需要應對的風險和機遇。由于使用了基于風險的思維，對組織的定性的要求會減少了許多，并以基于績效要求替代，在過程、成文信息和組織職責方面具有更大的靈活性和更好的適用性。

從ISO 9000系列標準來看，基于風險的思維的歷史由來已久，早在2008版本中就有基于風險的思維的內容。基于風險的思維適用于產品和服務的質量管理體系全過程，基于風險的思維是進行PDCA循環、制定預防措施的源頭和依據，采用基于風險的思維可使組織在制定質量管理體系要求時更加具體和有針對性。ISO 9001標準不主張采用統一的風險管理方法和標準，主要考慮到由于企業的內外部環境的不同而導致風險的不同，因此采取的措施和管理文檔也不同，使得企業應用標準時更加靈活。