ISO 9001:2015貫標中的主要風險：控險過度

編者按

ISO 9001:2015新版換版的過渡期已經過去，幾乎每一個采用標準新要求的企業都遇到一個問題：如何理解風險防范的原則和方法。風險防范并不是要求，而是概念。在采納新標準要求時，應從組織系統自身出發而不是從標準出發。本文原載于俄羅斯《質量管理方法》2018年第10期，作者阿列克散德羅·郁霍夫是俄羅斯政府質量獎專家、全俄質量協會專家組成員，依卡捷麗娜·伯林果伐是俄羅斯政府質量獎專家、俄羅斯認證協會專家、經濟學副教授。

許多幫助企業采用新標準要求的注冊機構專家（尤其是顧問），把基于風險的方法解釋為必須采用ISO 31000系列標準中對風險管理的要求。這種做法并不妥當。

讓我們給出幾個理由，以證明風險管理和在ISO 9001:2015中強調的管理中基于風險的方法是完全不同的，要用完全不同的方式來處置風險。

理由一：規范的要求

讓我們先看看ISO 9001:2015標準本身。附錄A的A4說明：“質量管理體系的主要用途之一是作為預防工具。因此，本標準并未就‘預防措施’安排單獨章節，而是通過在規定質量體系要求的過程中運用基于風險的思維表達預防措施概念。”

在ISO 9001的2008版本中，預防措施是必須文件化的程序，確定應對潛在的不符合（實際上就是風險）的工作序列。但是，組織不曾在ISO 31000標準的基礎上開發“預防措施”程序，也沒有提到過程的風險管理。

在附錄A中繼續說：“雖然6.1規定組織應策劃應對風險的措施，但并不要求運用正式的風險管理方法或將風險管理過程形成文件。組織可以決定是否采用超出本標準要求的更多風險管理方法，例如通過采用其它標準或指南。”

標準開發者堅定地主張，應對風險的方法和工作能夠沉淀于程序和過程之中。在公司里，這些過程相互作用交織在組織管理中，甚至管理系統本身的文件化程度都與風險有關。如果風險弱小，則無需說明材料。多余的說明書和不需要的程序使企業不堪重負，也是風險！

在ISO 31000標準里，要求對存在于企業的幾乎每個風險，都要按形式化方法做出分析、評估和處置，并要求對所有這些工作文件化。ISO 9001:2015標準的理念則反對這么做。

值得指出的是，ISO 9001:2015標準在采用基于風險的方法時，并沒有引用ISO 31000作為建議或必須的要求。僅有的例外是“目錄”，原因是用于風險的術語和定義，正取自于ISO 31000標準。

理由二：要求的解釋

ISO 31000系列標準，是以企業的資金管理為導向的。風險管理方法的首要目的，就是處置風險時成本最小化。ISO 31000的風險管理的思路如圖所示：

·辨識組織中所有可能的風險并進行記錄；

·根據一種方法或能夠互相之間比較所有風險的多種方法評估風險，以制定出從高到低風險級別，并進行記錄；

·根據帕累托原則，為化解高風險實施最小化程序撥款，并進行記錄；

·重新考察所有風險并更新它們的級別：處置過的高風險變為中等或無害的，而尚未處置過的中等風險，取代“下沉的”高風險，占據了風險級別的第一位，重新記錄一切；

·重復循環處于第一位的風險化解程序。

如此，年復一年地最小化風險，且在此的花費也越來越少。這樣的方法，暗示存在著獨特的“正確清算風險”的方法，符合每個企業的特性。所有過程的首要任務，就是提升公司工作的效率。

ISO 9001基于風險的方法不要求任何最小化風險的方法或程序。別忘了：ISO 9001是以消費者為主的結果導向的標準，而不是以提高企業本身效率為導向的標準。

強調基于風險的方法的實施，不應當在文件或其他證明材料中尋找，而應在公司的工作本身、過程或程序本身中，在實踐的結果中，甚至在任何一個機構單位是否存在可能的風險中去尋找。

合格供應商的選擇與評價（ISO 9001:2015之8.4.1），或實施輸入控制（ISO 9001:2015之8.4.2），已經將選擇不良供應商或從其接收瑕疵產品的風險最小化了。法律法規是防止外部因素（利益相關方）影響的特殊手段，在ISO 9001:2015標準中常提到。

如果一家公司在風險存在時仍能正常運行，并取得預定的成果，顯示過程效率和績效的高指標，難道就能說它沒有處置風險、沒有對風險的任何防范嗎？顯然不是。

理由三：實施結果

現在可以有把握地說，每100家企業中有80家在應用基于風險的方法時采用了ISO 31000標準。但是企業這么做不是因為需要它，而是因為別人都在那樣做。有的還強調說，這是ISO 9001:2015標準的要求。

作為結果，企業中的人完全不理解，為什么在紙上抄寫所有可能的風險但從不管理這些風險。然后，還要根據對他們來說不理解的方法重新計算（評估）風險，而這些方法實際上又不是工作方法類的。浪費了大量的紙張，耗費了許多時光，卻既無財政上的效益，又不見效率提升。

誰之過？這是復雜的問題，可以指責企業本身：未理解標準要求的思想就采用它；或者指責迫使企業采用不需要工具的專家們：讓顧問因此掙錢；同樣可以指責ISO 9001:2015標準的開發者“不明確地”在紙上寫下自己的想法，從而使標準要求的解釋各異。

本文作者的意見是，過錯的根源在于無論是企業的管理者，還是專家和顧問，都缺乏理性的思維。

須知穿越車行道時，任何人都會先看看左邊，再看看右邊。無論誰都不會在自己的筆記本上做與路上看見的汽車相關的所有風險的復雜計算。他知道撞上汽車的風險。在自己的生活中他運用簡單的工具（即理性的思維），來避免類似的風險。

同樣地，在企業采用新工具與新方法時，也運用理性的思維吧。

圖 風險管理思路

（俞鐘行 編譯）