如何理解ISO9001：2015标准中的基于风险的思维

大家好！

2015版本的ISO9001与2008版最大的变化之一是采用了基于风险思维的过程方法结合PDCA循环的方式，提出了管理体系的要求。

如何在实际中理解与应用呢？

首先，要理解标准中的概念与意义，将附上一份ISO/TC176/SC2的公开文件，供大家理解；

其次，可以参考如下思路进行风险的管理：

策划风险管理——识别风险，形成风险手册——进行定性分析进行优先排序——必要时，进行定量分析，确定应对需求——制定风险应对措施——实施风险应对。

具体风险的内容，根据所在组织的规模性质等，从实现目标的影响因素分别着手，通过标准4.1，4.2识别的信息，结合4.4确定的过程，进行识别、分析、应对策划与管理，执行6.1的要求，形成具体的控制措施。（具体风险应对将举例另文说明。）

如可能，组织也可以采用ISO14001、22000或OHSAS18001中的应急准备与响应的方式进行应对。

如再可能，可以借助风险管理标准，如ISO31000《风险管理——原则和指南》或GB/T 24353《风险管理 原则与实施指南》及相关标准策划形成自己的管理特色。

理解风险在标准中的概念是基础，请参考以下内容：

如何理解ISO9001:2015标准中的风险概念

——自ISO176/SC2,N1222号文件，2014，7

1 本文的研究目的

——解释风险在ISO 9001是如何描述的

——解释如何在ISO 9001中理解“机会”

——如何对待基于风险的思维与过程方法的关系

——说明预防措施已经从ISO9001中删除

——对基于风险过程要素进行简单解释

2 概述

2015版ISO 9001的一个关键变化是建立了基于风险的系统方法，而不是把它作为质量管理体系的一个部分。

在以往的ISO 9001版本中，预防措施是单独的条款。而现在风险已经融入到了整个标准中；

基于风险的方法使得一个组织能够以风险为基础的方法实现防止或减少不良影响，以及促进持续改进，使一个组织变得主动而不再是被动。当管理体系是基于风险时，预防措施也就成为自然而然的了。

3 什么是基于风险的思考？

基于风险的思维其实是我们不假思索的一种潜意识行为。

例如：当我想过马路时会提前看一下路况的，终不会“duang”地停在疾驶的汽车前。

在ISO 9001的这个版本中已经把基于风险的思维建立到了整个管理体系中。

ISO9001:2015自始至终地考虑了风险，使预防措施成为了战略规划、实施与评审等的一部分。

基于风险的思维已经是过程方法的一部分。

例如：过马路时我有两种方式，直接穿过去或者从附近的天桥上走过去，在确定如何通过时已经考虑了风险。

风险通常被理解为负面的。基于风险思考时，也可以发现机会–这有时被视为风险的积极的一面。

比如：直接过马路给了我一个很快到达路对面的机会，但却增加了交通事故的风险。走天桥的风险可能是需要花费多的时间，但机会却是可以降低交通事故。

如机会并不总是与风险直接相关，但它始终与目标相关。所以要考虑识别可能改进的机会。

通过这种情况分析表明，可以有以下进一步改进的机会：走地下通道；设置交通信号灯或绕新路。

分析改进的机会与考虑可能或应当采取的行动时，必须考虑它的影响及其可行性。必须重新考虑到任何采取的行动都将改变其环境和风险。

4 ISO 9001:2015中风险体现在哪？

引言部分

前言

在ISO 9001:2015的引言部分对基于风险的思维概念进行了解释。

定义：ISO 9001:2015将风险定义为不确定性对预期结果的影响。

(1) 影响是与预期的偏差–积极的和消极的。

(2)风险是可能发生及其可能产生的影响

(3)风险是可以预期的

一个管理系统的目标是实现整合和客户满意度。

ISO9001:2015通过以下途径采用基于风险的思维来实现这一目标：

条款4（背景）组织必须确定哪些风险可能会影响自己。

条款5（领导）最高管理者必须提供条款4的承诺。

条款6（规划）组织必须采取行动来识别风险和机会。

条款8（运行）组织实施过程来解决风险和机遇。

条款9（绩效评估）组织所需的监视，测量，分析和评估风险与机会。

在条款10（改进）中，组织必须提高应对变化的风险。

5 为什么使用基于风险的思考？

在组织内考虑到风险会提高实现既定目标的可能性，使输出稳定及客户可以确信他们将收到预期的产品或服务。

因此，基于风险的思考：

·建立一个强大的知识基础

·建立积极的改进文化

·保证产品或服务质量的一致性

·提高客户的信任和满意

成功的企业自觉地采取基于风险的方法

6 我该怎么应用呢？

在您的组织使用风险驱动的过程方法。

A ——确定你的风险和机遇–这取决于整体的情况

如：当我穿过一个车流滚滚的马路时，与走过空荡荡的马路时肯定不同。当然还必须考虑天气，能见度之类的东西，人员的流动性和特定的个人目标等因素。

B ——分析和优化你的风险和机遇：

什么是可以接受的，什么是不可接受的？从一个过程到另一个过程有什么优缺点？

如：

目的：我需要安全地过马路准时参加一个会议。

交通事故是不可接受的，

迟到也是不可接受。

实现目标的机会应该是更迅速的，但必须平衡不能因此而受伤。安全地到达会场应该比迟到更重要。最可接受的情况可能是：如果直接穿过马路受伤的可能性高时，宁可迟到一会儿，也要选择走附近的天桥。

来分析下情况：该天桥有200米远，肯定会增加时间。但天气好，能见度好，路上此时的车辆也不太多。

我决定直接穿过马路到对面，承受较低的受伤风险下得到了准时到达会场的机会。）

C ——有计划地解决风险

我们怎样才能避免或消除风险？如何降低风险？

如：我们可以通过走天桥，避免交通事故风险，但是我决定直接穿过马路的风险是可以接受的。现在我计划如何减少损伤和/或其后果的可能性。我不可能期望控制车辆撞到我的影响，但是可以减少被车撞的概率。

我可以选择在附近没有车辆时通过，以减少事故发生的可能性。我也可以选择在一个安全的中间地带停留，以重新判断车辆通过的安全性，进一步减少事故发生的概率。

D ——执行行动实施计划

走到路边，首先看没有过路的障碍、在路中间有安全的地方。我看看没有车来，跨越一半的道路并停在道路中央安全的地方。再评估情况，然后再穿过马路。

E ——检查的有效性行为–是否有效？

如：我安全地准时到达，证明这一计划能够实施，并且可以避免不期望的结果。

F ——从经验中学习–持续改进

如：我在未来几天内在不同的时间和不同的天气条件下重复地执行这一计划；

通过这些数据的积累，可以了解到变化的环境（时间、天气及车辆的多少）直接影响到计划的有效性，并能够增加一些达成目标的机会（能够准时到达且避免事故）。

经验告诉我，在一天中有太多车辆的时候要想直接穿过马路是很困难的。为了控制风险，我会选择走人行天桥。

随着环境的变化，我会继续分析，并经过不断的修正。

我也会考虑继续一些改进的机会：

——我是否可以把开会的地方换一下，不必要再过马路？

——我是否可以调整下会议的时间，在马路上车辆少的时候举办？

——我们是否能召开电子电话会议？

7 结论

·基于风险的思想是不是新生的

·基于风险的思考其实是你已经做过的

·基于风险的思考是连续的

·基于风险的思考能够确保更高的知识和准备

·基于风险的思考能够增加达到目标的概率

·基于风险的思考能够降低效果差的概率

·基于风险的思考能够使预防成为一种习惯

8 可参考文件

–ISO 31000:2009风险管理——原则和指南

PDISO/TR 31004:2013 风险管理- ISO 31000的实施指南

以上翻译不是最佳表达，仅供理解参考。（自ISO176/SC2,N1222号文件，2014，7）

2015-04-27