◆吳士權(quán) / 文

風險概念在ISO 9001：2015標準中的導(dǎo)入及要求

◆吳士權(quán) / 文

編者按

萬眾矚目的ISO 9001:2015新版標準于9月23日正式發(fā)布，宣告著第三代管理標準時代來臨。新版標準較之前版本變化巨大，以適應(yīng)組織業(yè)務(wù)方式的巨大變化，應(yīng)對更為復(fù)雜的供應(yīng)鏈及充滿競爭的全球經(jīng)濟一體化環(huán)境。為此，本刊將陸續(xù)刊登相關(guān)文章，以幫助企業(yè)更好地實施新版標準。

ISO 9001:2015版質(zhì)量管理體系標準的最大變化之一是風險管理明顯地突出它在質(zhì)量管理體系（QMS）過程中的重要性、靈活性和易操作性。盡管在以往的ISO9001版本標準中就已在 “策劃、評審和改進”條款中隱含了有關(guān)“基于風險的思想”概念及要求；而新標準所發(fā)生的重大變化主要體現(xiàn)于標準明顯地將以往采用預(yù)防措施的方法向基于風險的思想方法上的轉(zhuǎn)移，不只致力于風險的識別和應(yīng)對，而且還包括控制和減少風險。這意味著標準要求組織應(yīng)理解其運行環(huán)境，并以確定風險作為策劃的基礎(chǔ)；將基于風險的思想方法應(yīng)用于策劃和實施質(zhì)量管理體系過程，以及依此來確定文件化信息的范圍和程度。

為了更好地理解ISO 9001:2015中的“基于風險的方法”和“風險和機遇”用詞的含義和應(yīng)用，有必要了解風險的定義及其演變情況，并掌握標準新導(dǎo)入的內(nèi)容及要求，以便組織有效地提高實現(xiàn)其目標的能力。

一、風險的概念及其定義

風險（Risk）在不同的領(lǐng)域有不同的界定。金融領(lǐng)域認為“個人、企業(yè)、金融公司以及政府參與金融活動過程中，因客觀環(huán)境變化、決策失誤或其他原因使其資產(chǎn)、信譽受損失的可能性”即為風險；在不確定性經(jīng)濟學(xué)中，“風險是未來結(jié)果的不確定性產(chǎn)生損失的可能性”；而在管理決策中，風險被認為是“某一種事業(yè)預(yù)期后果估計上的較為不利的一面”，即發(fā)生某一特定危險情況的可能性和后果的組合。

由此可見，風險并非是個明確的概念。由于所處的領(lǐng)域和面臨的對象各異，因而對風險給出的定義也呈現(xiàn)多元化的狀態(tài)，即使由國際標準公開出版的文件中也是變化多端的。國際標準化組織中通常所給的一個定義表明，風險是“不確定性對預(yù)期結(jié)果的影響”。而在ISO 31000:2009《風險管理——原則和指南》標準對“風險”的定義為“不確定性對目標方面的影響”，并專門對“風險管理”（risk management）作了“一個組織對有關(guān)風險指揮和控制的一系列協(xié)調(diào)活動”的定義。該標準的目標是促進各經(jīng)濟、社會組織在對其生產(chǎn)及業(yè)務(wù)活動中的風險進行識別、估測、評價的基礎(chǔ)上，優(yōu)化組合各種風險管理技術(shù)，對風險實施有效的控制，并妥善處理風險所致的結(jié)果，以期實現(xiàn)最小的成本達到最大的安全保障的過程。因此，ISO 31000中風險的定義比ISO 9001略微專業(yè)一些；其基本原則就是：以最小的成本獲得最大的保障。而在ISO 14971:2012《醫(yī)療器械風險管理》標準的2.17風險（residual risk）中定義為：“損害發(fā)生概率和損害嚴重程度的組合?！憋@示具有更專門的針對性和行業(yè)特征。

現(xiàn)在ISO 9001:2015《質(zhì)量管理體系 要求》則引用了ISO 9000:2015《質(zhì)量管理體系 基礎(chǔ)和術(shù)語》中所給出的定義 ：“不確定性的影響。”

當前正值一個強調(diào)一些有關(guān)風險概念的時機。ISO 9000:2015《質(zhì)量管理體系 基礎(chǔ)和術(shù)語》所下的“不確定性的影響”定義更容易為標準使用者所接受，它是個更能普遍性應(yīng)用的概念，就是說這個概念可以用于組織內(nèi)的任何地方，包括策劃（條款6），不像ISO 31000中所定義的要設(shè)定一套目標。從而使風險能夠被描述成一個潛在事件作為重要的、有影響力的術(shù)語，或者與其有關(guān)影響的嚴重度和發(fā)生的可能性來表達。

風險的“不確定性的影響”定義通過“基于風險的方法”和“風險和機遇”的應(yīng)用，終于使這個質(zhì)量管理體系國際標準解決了這個風險的定義的廣泛應(yīng)用議題，因為在這個標準中的有關(guān)條款將回答組織在“應(yīng)對風險和機遇”方面應(yīng)采取與組織相適應(yīng)的措施問題。

二、“基于風險的方法”的導(dǎo)入

實際上，早在二十世紀末及本世紀初期，ISO/TS 16749:2009《質(zhì)量體系——汽車生產(chǎn)件和相關(guān)服務(wù)組織應(yīng)用ISO 9001:2008的特殊要求》（第2版）、ISO 13485:2012《醫(yī)療器械——質(zhì)量管理體系——法規(guī)性要求》（第三版）、ISO/IEC 27001:2013《信息技術(shù)——保密技術(shù)——信息保密管理體系——要求》（第二版）、ISO/TS 29001: 2007《石油、石化和天然氣工業(yè)——行業(yè)專用質(zhì)量管理體系——對產(chǎn)品與服務(wù)提供組織的要求》標準以及醫(yī)藥、食品行業(yè)的GMP、HACCP等這些建立在ISO 9001標準基礎(chǔ)上特殊行業(yè)質(zhì)量管理體系標準和良好生產(chǎn)規(guī)范中就引進了基于風險概念思維的方法，進行了產(chǎn)品質(zhì)量風險的控制，即通常所稱的“質(zhì)量風險管理”就是一種以“基于風險的方法”為思想基礎(chǔ)的產(chǎn)品風險管理的實踐。只是2012年以來的ISO/IEC導(dǎo)則第一部分附錄SL在總結(jié)各類管理標準的共性特點基礎(chǔ)上，對管理體系標準提出了有關(guān)“組織環(huán)境”“風險”以及“組織目標”諸方面需要，而成為新的管理標準共同關(guān)注的內(nèi)容；其中對“風險”的關(guān)注就是將自始至終地關(guān)心風險和機遇作為執(zhí)行標準中的重要項目來對待。

在ISO 9001的新版標準的前言和提示性附錄A“新結(jié)構(gòu)、術(shù)語和概念說明”的描述中，分別對“基于風險的方法”作了介紹和有關(guān)說明。

基于風險的方法是實現(xiàn)一個有效的質(zhì)量管理體系的重要前提；此概念已被含蓄地包括在上一版本國際標準中，例如：為消除潛在不合格實施預(yù)防措施、分析所發(fā)生的不合格、以及適當?shù)貙Σ缓细窈蠊扇》乐乖侔l(fā)生的措施。

新版ISO 9001要求組織采取可行的計劃和實施有力的措施來應(yīng)對風險和機遇。事實證明，無論是應(yīng)對風險還是利用機遇都可為提高質(zhì)量管理體系有效性、實現(xiàn)改進成果和防止不利影響奠定堅實基礎(chǔ)。同時機遇的出現(xiàn)也意味著有利于達到預(yù)期效果，例如：有利于組織吸引顧客、開發(fā)新產(chǎn)品和服務(wù)、減少浪費或提高生產(chǎn)率。利用機遇也可能需要考慮到相關(guān)風險的影響。風險是不確定的效果以及每種此類不確定會有正面或負面效應(yīng)的組合。正面的風險有可能提供改進的機會，但并非所有的正面風險均會導(dǎo)致改進的機遇。但風險和機遇畢竟屬于一個事物的二個方面，它們間具有互相轉(zhuǎn)換的必然性。

三、風險在ISO 9001:2015中的使用

有關(guān)風險的術(shù)語，在ISO 9001的標準正文部分先后以“風險和機遇”方式出現(xiàn)8次，并且以“基于風險的方法”形式出現(xiàn)1次。

在管理體系標準中風險一般都和機遇配對使用，這體現(xiàn)了ISO 9001:2015所應(yīng)對的是風險和機遇的資源處理問題。所以在策劃和實施預(yù)防措施時需要考慮得更適當、更有利于組織處理重大事件的風險后果中取得更多的機會以緩解或避免風險。發(fā)現(xiàn)風險，尋找機會和抓住機遇是避免風險或降低風險程度的重要途徑。新的QMS標準要求組織實施“風險和機遇”的相關(guān)條款的主要內(nèi)容如表1所示。

風險和機遇的概念，強調(diào)了識別潛在問題同改進機會一樣，需要應(yīng)用于質(zhì)量管理體系過程、產(chǎn)品和服務(wù)的合格、以及策劃質(zhì)量管理體系目標，包括啟程改進措施計劃并評價其后果的有效性。

表1　ISO 9001:2015對風險的要求

ISO 9001:2015在基于風險的思想指導(dǎo)下，對質(zhì)量管理體系及產(chǎn)品和服務(wù)實現(xiàn)過程中的“風險和機遇”所作出要求時是極其慎重的，這些包括“質(zhì)量管理體系過程和策劃”和“產(chǎn)品和過程的風險和機遇及策劃”。

1. 質(zhì)量體系和策劃之間的風險關(guān)系密切

ISO 9001標準6.1.1指出：在策劃質(zhì)量管理體系時，組織應(yīng)考慮到4.1所描述的環(huán)境（法律法規(guī)、技術(shù)、競爭、市場、文化、社會和經(jīng)濟）因素和4.2所規(guī)定的確定（同持續(xù)提供符合顧客要求、適用法律法規(guī)、產(chǎn)品和服務(wù)能力）產(chǎn)生影響的相關(guān)方的要求。它們之間的關(guān)系見圖1所示。

圖1　過程風險和策劃風險之間的關(guān)系

2. 產(chǎn)品和過程的風險和機遇

風險和機遇幾乎同每一個產(chǎn)品及其有關(guān)的過程都存在著是否能夠達到符合性要求相關(guān)聯(lián)的后果。因此其涉及的面甚廣，幾乎包括產(chǎn)品和服務(wù)的全過程，有所不同的僅僅只是其風險或機遇的程度的有所差異罷了。在產(chǎn)品項目的策劃、設(shè)計、制造、直至交付顧客使用的全過程中，所伴隨的風險和機遇的應(yīng)對措施，通?？梢杂山M織自主策劃和解決。在應(yīng)對風險和機遇的有關(guān)措施中，要促進過程方法和基于風險方法的使用，其關(guān)鍵在于最高管理者應(yīng)在這方面發(fā)揮領(lǐng)導(dǎo)作用和作出承諾。圖2所示的是產(chǎn)品形成過程與風險和機遇關(guān)系的路線圖。

圖2　產(chǎn)品形成過程與風險和機遇關(guān)系路線圖

圖2表明產(chǎn)品形成過程的各項活動均與風險和機遇有著并存的關(guān)系。

例如在制造過程設(shè)計中，考慮監(jiān)視和測量資源適宜性與風險和機遇關(guān)系時，檢測設(shè)備要求有個校準或檢定計劃以確保測量結(jié)果的有效和可靠。不同的資源配置和控制手段，所引起的風險度和可能遭遇的機會各異，其所產(chǎn)生的質(zhì)量成本結(jié)果也截然不同。它們之間的風險成本的示意關(guān)系如圖3所示。

圖3 測量設(shè)備控制有益于降低成本風險的示意圖

從圖3中可以觀察到只有預(yù)防、檢驗/校準成本是可以適當考慮和有必要支出的，而對于因檢測設(shè)備引起的內(nèi)部的廢次、返工、復(fù)檢造成的損失，以及由售后造成的三包、召回及索賠等外部損失，則是應(yīng)盡力避免或減少的支出。由于檢測設(shè)備的質(zhì)量成本的總支出是預(yù)防、檢定/校準及由于檢測設(shè)備問題造成的內(nèi)、外部損失的總和，而后二者的又往往占很大的比例，因此，內(nèi)、外部損失既是風險，也是機遇；采取技術(shù)創(chuàng)新和管理改進的風險和機遇的應(yīng)對措施，將會有助于降低質(zhì)量風險和提高質(zhì)量成本的管理水平，并取得顯著效果。

四、ISO 9001:2015的指令性要求及其靈活的空間

ISO 9001:2015要求組織按其相關(guān)的“質(zhì)量管理體系及其過程”條款4.4的子條款4.4.1及6“策劃”一章中的“應(yīng)對風險和機遇的措施”（條款6.1）、以及“以顧客為關(guān)注焦點”的產(chǎn)品風險（條款5.1.2）來應(yīng)對風險和機遇問題。風險管理的有效性和對機遇的分析和評價（條款9.1.3）才能采取應(yīng)對措施。另外，措施的有效性要同有關(guān)聯(lián)的目標或策劃進行論證，因此也必須包括管理評審要求（條款9.3.2）之內(nèi)。上述的標準內(nèi)容均以“應(yīng)”的強制性口氣作出了規(guī)定，先后9次用“應(yīng)”表述其需要執(zhí)行的指令。

標準只對所確定的風險和機遇需要做什么作了規(guī)定，而對應(yīng)用什么工具（方法）以及文件化信息的編制、更新和控制及保留、處置都沒有作出具體的規(guī)定，這不僅給組織留有廣闊的創(chuàng)新和選擇空間，而且使組織能夠完全按組織的環(huán)境條件和專業(yè)與規(guī)模特點發(fā)揮自身的優(yōu)勢。

對于基于風險思想，標準也并沒有規(guī)定必須采用的風險管理的工具和方法，以及必備的文件化信息方面的要求，可以說對“風險和機遇”的實施要求甚為寬松。僅強調(diào)要對“基于風險的方法”和“風險和機遇”的要求貫徹和執(zhí)行，至于工具應(yīng)用和如何實施，則由組織自行考慮和決定。最終的目的是便于組織選擇合適的過程和行之有效的應(yīng)對措施，達到預(yù)期的風險度和創(chuàng)造有利的機遇。

一般來說，咨詢和認證機構(gòu)會建議組織將風險和機遇整合到其組織的相關(guān)管理體系的過程中（例如QMS過程）。同時風險和機遇必須融入策劃過程的應(yīng)對措施（條款6.1）中，這樣可以在業(yè)務(wù)計劃基礎(chǔ)設(shè)立組織長期目標，并在“業(yè)務(wù)作業(yè)系統(tǒng)”（BOS）運行過程中，識別關(guān)鍵過程和導(dǎo)入風險分析，以使這些影響到組織的整體目標得以實現(xiàn)。

許多組織先行貫徹執(zhí)行質(zhì)量風險管理，探索使用風險工具并形成了在質(zhì)量管理體系內(nèi)部審核中有關(guān)風險管理方面的審核要點。

1. 風險管理工具

選擇和使用合適的工具，可以清晰、全面地管理好同質(zhì)量相關(guān)的各種風險，避免主要風險因素的漏項和忽視，有利于以數(shù)據(jù)為依據(jù)進行科學(xué)的分析。組織通?？蓮南铝泄ぞ咧羞x擇適用的基本方法和工具。它們是：

——基本的風險管理方法（流程圖、檢查表、過程圖、因果圖等）；

——失敗模式影響分析（FMEA）；

——危害分析和關(guān)鍵控制點（HACCP）；

——失敗模式、影響和關(guān)鍵性分析（FMECA）；

——故障樹形圖分析（FTA）；

——預(yù)先危險分析（PHA）；

——風險的排序及過濾；

——以及支持性統(tǒng)計學(xué)工具（控制圖、實驗設(shè)計、直方圖、排列圖、工藝能力分析等）。

2. 審核風險的要點

在對一個質(zhì)量管理體系進行ISO 9001:2015的基于風險的思想方面的符合性審核時，審核人員一定要保持靈活性。在標準中不存在對風險管理過程或應(yīng)用方法方面的要求，因此審核人員要在質(zhì)量管理體系中深入地關(guān)注這方面的事宜是有難度的，同時也是沒有必要的。這需要審核人員適可而止地檢查標準中的組織所策劃的過程就可以了。在審核一個質(zhì)量管理體系時，下列一些問題審核員可以予以詢問和了解。

（1）組織是否對企業(yè)相關(guān)的業(yè)務(wù)環(huán)境識別出內(nèi)部和外部的問題？（條款4.1）

（2）組織是否已識別和確定了與企業(yè)環(huán)境有關(guān)的利益相關(guān)方？組織是否已理解相關(guān)方的期望？（條款4.2）

（3）在進行組織策劃時，組織是否已利用了在環(huán)境和相關(guān)方的需求和期望中產(chǎn)生的成熟議題？（條款4.3）

（4）組織是否像他們對組織有關(guān)規(guī)定達到預(yù)期效果（例如組織的那些宗旨和目標）那樣已識別出其風險和機遇？（條款6）

（5）組織是否已按識別的風險和機遇采取了應(yīng)對措施？

（6）組織符合既定的宗旨和目標了嗎？又例如目標等是否已有所改進？

ISO 9001:2015的風險部分審核就這么簡單，不必強求組織均要按ISO 31000一樣地對管理過程中要求的風險評審所規(guī)定的“風險識別”“風險分析”和“風險評估”逐一詢問和評定，對風險處理及溝通協(xié)商也應(yīng)適可而止，不必過分深入調(diào)查。因為前者是擴展性的審核，目的不是替代后者的專業(yè)性審核；照后者的方法審核，不僅審核時間上不允許，并且必然會喧賓奪主，因此，需根據(jù)實際情況把握好一個“適當”的度。

五、總結(jié)

在ISO 9001:2015標準中，其亮點不僅使風險概念顯性化，而且體現(xiàn)了QMS標準進入了風險防范和機遇利用貫穿于整個質(zhì)量管理體系運行全過程的新時代，并將使風險預(yù)防能夠適用于整合型管理體系，以及有利組織鼓勵持續(xù)改進和有助于績效提高的活動。

同時，明確了一件最為關(guān)鍵性的事情，就是組織應(yīng)從教育和培訓(xùn)入手，使各個過程的擁有者掌握有關(guān)風險和機遇的知識，逐步在組織內(nèi)培養(yǎng)一種善于以“基于風險的方法”進行思考的良好風氣——因為只有人們在“既承認約束條件又確認利益優(yōu)勢”的文化背景下才會積極開始執(zhí)行有關(guān)標準的風險管理要求。包括使他們養(yǎng)成考慮到變化后果的正、反面影響的優(yōu)良習慣，實施應(yīng)對風險的防范措施，使大災(zāi)難能夠及時得到規(guī)避，或者至少也能帶來明顯的改善和損失的減少，或者成本的節(jié)省，甚至能取得更佳的創(chuàng)新效果。

所以，新標準引入系統(tǒng)的風險防范思想/方法，必然會產(chǎn)生巨大的增值效果，使QMS標準的應(yīng)用更適宜、有效和可持續(xù)發(fā)展。因此，風險管理在質(zhì)量的可持續(xù)性發(fā)展上所起的作用及其前途是十分巨大和輝煌的，將為國際標準化組織實現(xiàn)制定ISO 9001:2015的目標提供可靠保證。