吴士权 / 文

编者按：万众瞩目的ISO 9001:2015新版标准于9月23日正式发布，宣告着第三代管理标准时代来临。新版标准较之前版本变化巨大，以适应组织业务方式的巨大变化，应对更为复杂的供应链及充满竞争的全球经济一体化环境。为此，本刊将陆续刊登相关文章，以帮助企业更好地实施新版标准。

ISO 9001:2015版质量管理体系标准的最大变化之一是风险管理明显地突出它在质量管理体系（QMS）过程中的重要性、灵活性和易操作性。尽管在以往的ISO9001版本标准中就已在 “策划、评审和改进”条款中隐含了有关“基于风险的思想”概念及要求；而新标准所发生的重大变化主要体现于标准明显地将以往采用预防措施的方法向基于风险的思想方法上的转移，不只致力于风险的识别和应对，而且还包括控制和减少风险。这意味着标准要求组织应理解其运行环境，并以确定风险作为策划的基础；将基于风险的思想方法应用于策划和实施质量管理体系过程，以及依此来确定文件化信息的范围和程度。

为了更好地理解ISO 9001:2015中的“基于风险的方法”和“风险和机遇”用词的含义和应用，有必要了解风险的定义及其演变情况，并掌握标准新导入的内容及要求，以便组织有效地提高实现其目标的能力。

一、风险的概念及其定义

风险(Risk)在不同的领域有不同的界定。金融领域认为“个人、企业、金融公司以及政府参与金融活动过程中，因客观环境变化、决策失误或其他原因使其资产、信誉受损失的可能性”即为风险；在不确定性经济学中，“风险是未来结果的不确定性产生损失的可能性”；而在管理决策中，风险被认为是“某一种事业预期后果估计上的较为不利的一面”，即发生某一特定危险情况的可能性和后果的组合。

由此可见，风险并非是个明确的概念。由于所处的领域和面临的对象各异，因而对风险给出的定义也呈现多元化的状态，即使由国际标准公开出版的文件中也是变化多端的。国际标准化组织中通常所给的一个定义表明，风险是“不确定性对预期结果的影响”。而在 ISO 31000:2009《风险管理--原则和指南》标准对“风险”的定义为“不确定性对目标方面的影响”，并专门对“风险管理”（risk management）作了“一个组织对有关风险指挥和控制的一系列协调活动”的定义。该标准的目标是促进各经济、社会组织在对其生产及业务活动中的风险进行识别、估测、评价的基础上，优化组合各种风险管理技术，对风险实施有效的控制，并妥善处理风险所致的结果，以期实现最小的成本达到最大的安全保障的过程。因此，ISO 31000中风险的定义比ISO 9001略微专业一些；其基本原则就是：以最小的成本获得最大的保障。而在ISO 14971:2012《医疗器械风险管理》标准的2.17风险（residual risk）中定义为：“损害发生概率和损害严重程度的组合。”显示具有更专门的针对性和行业特征。

现在ISO 9001:2015《质量管理体系  要求》则引用了ISO 9000:2015《质量管理体系 基础和术语》中所给出的定义：“不确定性的影响。”

当前正值一个强调一些有关风险概念的时机。ISO 9000:2015《质量管理体系 基础和术语》所下的“不确定性的影响”定义更容易为标准使用者所接受，它是个更能普遍性应用的概念，就是说这个概念可以用于组织内的任何地方，包括策划（条款6），不像ISO 31000中所定义的要设定一套目标。从而使风险能够被描述成一个潜在事件作为重要的、有影响力的术语，或者与其有关影响的严重度和发生的可能性来表达。

风险的“不确定性的影响”定义通过“基于风险的方法”和“风险和机遇”的应用，终于使这个质量管理体系国际标准解决了这个风险的定义的广泛应用议题，因为在这个标准中的有关条款将回答组织在“应对风险和机遇”方面应采取与组织相适应的措施问题。

二、“基于风险的方法”的导入

实际上，早在二十世纪末及本世纪初期，ISO/TS 16749:2009《质量体系--汽车生产件和相关服务组织应用ISO 9001:2008的特殊要求》（第2版）、ISO 13485:2012《医疗器械--质量管理体系--法规性要求》（第三版）、ISO/IEC 27001:2013《信息技术--保密技术--信息保密管理体系--要求》（第二版）、ISO/TS 29001: 2007《石油、石化和天然气工业--行业专用质量管理体系--对产品与服务提供组织的要求》标准以及医药、食品行业的GMP、HACCP等这些建立在ISO 9001标准基础上特殊行业质量管理体系标准和良好生产规范中就引进了基于风险概念思维的方法，进行了产品质量风险的控制，即通常所称的“质量风险管理”就是一种以“基于风险的方法”为思想基础的产品风险管理的实践。只是2012年以来的ISO/IEC导则第一部分附录SL在总结各类管理标准的共性特点基础上，对管理体系标准提出了有关“组织环境”“风险”以及“组织目标”诸方面需要，而成为新的管理标准共同关注的内容；其中对“风险”的关注就是将自始至终地关心风险和机遇作为执行标准中的重要项目来对待。

在ISO 9001的新版标准的前言和提示性附录A“新结构、术语和概念说明”的描述中，分别对“基于风险的方法”作了介绍和有关说明。

基于风险的方法是实现一个有效的质量管理体系的重要前提；此概念已被含蓄地包括在上一版本国际标准中，例如：为消除潜在不合格实施预防措施、分析所发生的不合格、以及适当地对不合格后果采取防止再发生的措施。

新版ISO 9001要求组织采取可行的计划和实施有力的措施来应对风险和机遇。事实证明，无论是应对风险还是利用机遇都可为提高质量管理体系有效性、实现改进成果和防止不利影响奠定坚实基础。同时机遇的出现也意味着有利于达到预期效果，例如：有利于组织吸引顾客、开发新产品和服务、减少浪费或提高生产率。利用机遇也可能需要考虑到相关风险的影响。风险是不确定的效果以及每种此类不确定会有正面或负面效应的组合。正面的风险有可能提供改进的机会，但并非所有的正面风险均会导致改进的机遇。但风险和机遇毕竟属于一个事物的二个方面，它们间具有互相转换的必然性。

三、风险在ISO 9001:2015中的使用

有关风险的术语，在ISO 9001的标准正文部分先后以“风险和机遇”方式出现8次，并且以“基于风险的方法”形式出现1次。

在管理体系标准中风险一般都和机遇配对使用，这体现了ISO 9001:2015所应对的是风险和机遇的资源处理问题。所以在策划和实施预防措施时需要考虑得更适当、更有利于组织处理重大事件的风险后果中取得更多的机会以缓解或避免风险。发现风险，寻找机会和抓住机遇是避免风险或降低风险程度的重要途径。新的QMS标准要求组织实施“风险和机遇”的相关条款的主要内容如表1所示。

风险和机遇的概念，强调了识别潜在问题同改进机会一样，需要应用于质量管理体系过程、产品和服务的合格、以及策划质量管理体系目标，包括启程改进措施计划并评价其后果的有效性。

ISO 9001:2015在基于风险的思想指导下，对质量管理体系及产品和服务实现过程中的“风险和机遇”所作出要求时是极其慎重的，这些包括“质量管理体系过程和策划”和“产品和过程的风险和机遇及策划”。

1. 质量体系和策划之间的风险关系密切

ISO 9001标准6.1.1指出：在策划质量管理体系时，组织应考虑到4.1所描述的环境（法律法规、技术、竞争、市场、文化、社会和经济）因素和4.2所规定的确定（同持续提供符合顾客要求、适用法律法规、产品和服务能力）产生影响的相关方的要求。它们之间的关系见图1所示。

2. 产品和过程的风险和机遇

风险和机遇几乎同每一个产品及其有关的过程都存在着是否能够达到符合性要求相关联的后果。因此其涉及的面甚广，几乎包括产品和服务的全过程，有所不同的仅仅只是其风险或机遇的程度的有所差异罢了。在产品项目的策划、设计、制造、直至交付顾客使用的全过程中，所伴随的风险和机遇的应对措施，通常可以由组织自主策划和解决。在应对风险和机遇的有关措施中，要促进过程方法和基于风险方法的使用，其关键在于最高管理者应在这方面发挥领导作用和作出承诺。图2所示的是产品形成过程与风险和机遇关系的路线图。

图2表明产品形成过程的各项活动均与风险和机遇有着并存的关系。

例如在制造过程设计中，考虑监视和测量资源适宜性与风险和机遇关系时，检测设备要求有个校准或检定计划以确保测量结果的有效和可靠。不同的资源配置和控制手段，所引起的风险度和可能遭遇的机会各异，其所产生的质量成本结果也截然不同。它们之间的风险成本的示意关系如图3所示。

 从图3中可以观察到只有预防、检验/校准成本是可以适当考虑和有必要支出的，而对于因检测设备引起的内部的废次、返工、复检造成的损失，以及由售后造成的三包、召回及索赔等外部损失，则是应尽力避免或减少的支出。由于检测设备的质量成本的总支出是预防、检定/校准及由于检测设备问题造成的内、外部损失的总和，而后二者的又往往占很大的比例，因此，内、外部损失既是风险，也是机遇；采取技术创新和管理改进的风险和机遇的应对措施，将会有助于降低质量风险和提高质量成本的管理水平，并取得显著效果。

四、ISO 9001:2015的指令性要求及其灵活的空间

ISO 9001:2015要求组织按其相关的“质量管理体系及其过程”条款4.4的子条款4.4.1及6“策划”一章中的“应对风险和机遇的措施”（条款6.1）、以及“以顾客为关注焦点”的产品风险（条款5.1.2）来应对风险和机遇问题。风险管理的有效性和对机遇的分析和评价（条款9.1.3）才能采取应对措施。另外，措施的有效性要同有关联的目标或策划进行论证，因此也必须包括管理评审要求（条款9.3.2）之内。上述的标准内容均以“应”的强制性口气作出了规定，先后9次用“应”表述其需要执行的指令。

标准只对所确定的风险和机遇需要做什么作了规定，而对应用什么工具（方法）以及文件化信息的编制、更新和控制及保留、处置都没有作出具体的规定，这不仅给组织留有广阔的创新和选择空间，而且使组织能够完全按组织的环境条件和专业与规模特点发挥自身的优势。

对于基于风险思想，标准也并没有规定必须采用的风险管理的工具和方法，以及必备的文件化信息方面的要求，可以说对“风险和机遇”的实施要求甚为宽松。仅强调要对“基于风险的方法”和“风险和机遇”的要求贯彻和执行，至于工具应用和如何实施，则由组织自行考虑和决定。最终的目的是便于组织选择合适的过程和行之有效的应对措施，达到预期的风险度和创造有利的机遇。

一般来说，咨询和认证机构会建议组织将风险和机遇整合到其组织的相关管理体系的过程中（例如QMS过程）。同时风险和机遇必须融入策划过程的应对措施（条款6.1）中，这样可以在业务计划基础设立组织长期目标，并在“业务作业系统”（BOS）运行过程中，识别关键过程和导入风险分析，以使这些影响到组织的整体目标得以实现。

许多组织先行贯彻执行质量风险管理，探索使用风险工具并形成了在质量管理体系内部审核中有关风险管理方面的审核要点。

1. 风险管理工具

选择和使用合适的工具，可以清晰、全面地管理好同质量相关的各种风险，避免主要风险因素的漏项和忽视，有利于以数据为依据进行科学的分析。组织通常可从下列工具中选择适用的基本方法和工具。它们是：

--基本的风险管理方法(流程图、检查表、过程图、因果图等)；

--失败模式影响分析(FMEA)；

--危害分析和关键控制点(HACCP)；

--失败模式、影响和关键性分析(FMECA)；

--故障树形图分析(FTA)；

--预先危险分析(PHA)；

--风险的排序及过滤；

--以及支持性统计学工具(控制图、实验设计、直方图、排列图、工艺能力分析等)。

2. 审核风险的要点

在对一个质量管理体系进行ISO 9001:2015的基于风险的思想方面的符合性审核时，审核人员一定要保持灵活性。在标准中不存在对风险管理过程或应用方法方面的要求，因此审核人员要在质量管理体系中深入地关注这方面的事宜是有难度的，同时也是没有必要的。这需要审核人员适可而止地检查标准中的组织所策划的过程就可以了。在审核一个质量管理体系时，下列一些问题审核员可以予以询问和了解。

（1）组织是否对企业相关的业务环境识别出内部和外部的问题？（条款4.1）

（2）组织是否已识别和确定了与企业环境有关的利益相关方？组织是否已理解相关方的期望？（条款4.2）

（3）在进行组织策划时，组织是否已利用了在环境和相关方的需求和期望中产生的成熟议题？（条款4.3）

（4）组织是否像他们对组织有关规定达到预期效果（例如组织的那些宗旨和目标）那样已识别出其风险和机遇？（条款6）

（5）组织是否已按识别的风险和机遇采取了应对措施？

（6）组织符合既定的宗旨和目标了吗？又例如目标等是否已有所改进？

ISO 9001:2015的风险部分审核就这么简单，不必强求组织均要按ISO 31000一样地对管理过程中要求的风险评审所规定的“风险识别”“风险分析”和“风险评估”逐一询问和评定，对风险处理及沟通协商也应适可而止，不必过分深入调查。因为前者是扩展性的审核，目的不是替代后者的专业性审核；照后者的方法审核，不仅审核时间上不允许，并且必然会喧宾夺主，因此，需根据实际情况把握好一个“适当”的度。

五、总结

在ISO 9001:2015标准中，其亮点不仅使风险概念显性化，而且体现了QMS标准进入了风险防范和机遇利用贯穿于整个质量管理体系运行全过程的新时代，并将使风险预防能够适用于整合型管理体系，以及有利组织鼓励持续改进和有助于绩效提高的活动。

同时，明确了一件最为关键性的事情，就是组织应从教育和培训入手，使各个过程的拥有者掌握有关风险和机遇的知识，逐步在组织内培养一种善于以“基于风险的方法”进行思考的良好风气--因为只有人们在“既承认约束条件又确认利益优势”的文化背景下才会积极开始执行有关标准的风险管理要求。包括使他们养成考虑到变化后果的正、反面影响的优良习惯，实施应对风险的防范措施，使大灾难能够及时得到规避，或者至少也能带来明显的改善和损失的减少，或者成本的节省，甚至能取得更佳的创新效果。

所以，新标准引入系统的风险防范思想/方法，必然会产生巨大的增值效果，使QMS标准的应用更适宜、有效和可持续发展。因此，风险管理在质量的可持续性发展上所起的作用及其前途是十分巨大和辉煌的，将为国际标准化组织实现制定ISO 9001:2015的目标提供可靠保证。