【理解要点】
1.本条款要求将基于风险的思维嵌入到组织所识别的质量管理体系所有流程中。本条款是新增加的要求,其突出的特点就是要求组织将基于风险的思维贯穿于质量管理体系的策划、实施和改进的全部活动之中,即将基于风险的思维嵌入到组织所识别的质量管理体系中的所有业务流程、管理流程和支持流程中。组织应紧紧围绕目标和战略方向,为实现建立和运行质量管理体系所期望取得的预期效果,通过识别风险、分析风险,并评价为满足其风险管控准则而采取的措施来控制风险,以取得预期的绩效。
实际上,GJB9001B已经隐含基于风险的思维的理念与做法,如有关策划、评审和改进的要求以及预防措施等。新版标准要求组织理解其组织环境(见4.1),并以确定风险作为策划的基础,其预防措施的概念是通过在质量管理体系要求中融入基于风险的思维来表达的。新版标准基于风险的思维与PDCA循环一起,成为过程方法的一个重要组成部分,已经完全融入到每一个条款,是以更加直接的方式体现,如条款要求考虑“…的影响”、“…的潜在影响”、“…的后果”等等。基于风险的思维方法能够使组织用前瞻的眼光和积极的行为取代被动式的预防措施,即以“预先作出行为来改变”代替“对变化作出被动的预防”。在识别风险和机遇时,组织可关注提升正面效果,创造新机会并预防或降低不良效应。
2.组织内外部环境因素的不确定性要求组织必须持续识别、分析、评审和采取措施管控风险和机遇。各型组织都会受到内外部因素及相关方的需求和期望的影响。这些影响发生的概率及其影响程度是无法事先准确预知的,会对组织经营活动产生影响,从而影响组织目标和预期结果的实现。这就给组织能否实现、何时实现其目标带来不确定性。这种不确定性对组织实现目标就带来了风险。在策划组织质量管理体系时,组织应考虑“理解组织及其环境”(4.1)、“理解相关方的需求和期望”(4.2)提出的要求,这是组织应对风险和机遇的基础。为此,组织应根据组织所处环境和自身情况,合理制定组织用于评价风险重要程度的风险控制准则,反映组织的风险承受程度,并且不间断地与相关方沟通和持续评审风险,适时调整风险准则和风险控制方法及措施,以满足实现组织目标和预期结果的要求。
3.组织风险管理应在整个组织的不同区域、层级上进行应用。组织风险管理应当应用于整个组织的各个区域、层级,如战略、组织整体、项目、产品或过程等不同层次,针对相关职能、层次和质量管理体系过程建立质量目标,并为确保实现这些目标对相关区域、层级的风险进行有效管理。质量目标可能为不同方面的,如财务、健康安全或环境目标,在质量管理体系中,所应用的风险管理技术主要涉及产品和服务的风险管理,目的是确定质量管理体系建立和运行的风险和机遇,使组织能够积极地寻求改进机会,增强有利影响,预防或减少不利影响,以确保质量管理体系实现其预期结果并持续改进。
4.组织风险管理技术的应用要求。在组织实现其预期目标的能力方面,并非质量管理体系的全部过程表现出相同的风险等级,并且不确定性影响对于不同组织不尽相同。标准规定组织有责任应用基于风险的思维,识别风险和机遇,但并未要求运用正式的风险管理方法或将风险管理过程形成文件。ISO31000系列标准为组织开展风险管理提供了统一的语言、通用性实施指南和系统的解决方案。其中,ISO/IECGuide73给出风险管理的专业术语;ISO 31000标准为风险管理的核心标准,阐述了风险管理的原则、架构和过程;ISO31010标准侧重于风险评估方法与技术的介绍,是实施ISO 31000标准的技术支持和补充标准;ISO 31004标准是ISO31000标准的实施指南,为实施ISO31000标准提供具体指导。组织是否应用这些标准建立系统的风险管理是组织的自主行为,这些标准也并不要求所有的组织都采用一样的风险管理模式。组织的风险管理计划、风险管理架构的设计与实施等应取决于组织的实际情况(如目标、环境、结构、运营、过程、产品、项目等)和具体实践。例如,在战略层面,可以使用SWOT分析方法(优势、劣势、机遇、威胁)、环境分析(PESTLE:政治、经济、社会、技术、法律)及波特五力行业分析等方法。一些具体工具在特定行业也经常应用,如汽车行业的失效模式和影响分析(FMEA)、医疗器材行业的故障模式影响与危害度分析(FMECA)、武器装备研制行业的FTA(GJB/Z768A)、食品行业的危害分析临界控制点(HACCP)等,还有一些相关的标准可以提供参考和帮助。使用何种方式和工具来识别质量管理体系的风险和机遇,由组织根据需要选择适合自身的方式来识别风险和机遇。简单的方法可以包括询问“whatif”,即“如果,什么”问答。
5.基于风险思考的思维融合在新版标准的全过程中,其应用可以帮助组织改进管理方式,在组织内部建立积极、主动的预防及改进文化,保证产品和服务质量一致性,提升顾客信任和满意度。
【实施要点】
1.风险是对期望结果所产生的不确定性的影响,关注于“什么可能发生”以及“发生后可能有什么影响”。风险和机遇被认为是GJB9001C的根本,直接将标准要求串起来。如果组织在识别风险和机遇上的工作做得不够,组织的质量管理体系将无法有效实施。由于在新版标准中使用基于风险的思维,一定程度上减少了规定性要求,并以基于绩效的要求替代。在过程、形成文件的信息和组织职责等方面的要求,比GJB9001B具有更大的灵活性。新版的变化旨在对于风险建立系统性的管理方法。在组织环境中具备风险意识的氛围,对于目标达成的能力会有所改进,因为这样的思维方法,会在过程先期识别风险,进而提出避免或降低风险的措施,使过程输出更为稳定、可靠。
2.识别风险应当基于组织所处的环境。对于识别和确定组织的风险和机遇,不同的组织采取的方式不同。对于大型公司,通常需要由许多质量技术和管理人员进行故障模式及影响分析并实施复杂的风险管理程序,而对于小型组织可以简单到如一个人员的退休、一个供应商的离开就可确定为风险。理解和识别组织自身所面临的风险,必须理解组织的内部和外部因素、能够影响组织的相关方及组织满足顾客期望的能力。
3.组织存在很多类型的风险。从来源上分为内部风险(包括经营风险、资产风险、财务风险和行为风险)和外部风险(包括行业风险、市场风险、项目风险、政策风险和股市风险);从性质上来讲,分为组织所处的环境风险、过程风险〔包括营运风险、授权风险、信息处理/技术风险、诚信风险、金融风险(信誉风险和流动性风险)〕以及决策风险(包括经营性决策风险、财务性决策风险和战略性决策风险)等等。国资委发布的《中央企业全面风险指引》,将风险划分为战略风险、法律风险、市场风险、财务风险和营运风险五类。如果组织属于央企,可以参照执行。同样也可参考美国反对虚假财务委员会发起委员会提出了的《企业风险框架》(COSOERM)。
4.组织应建立基于风险管理的决策机制、重大风险与相关方沟通机制,以及针对风险管理建立有效的持续改进机制等。
【审核证据】
结合对本标准6.1.2的审核,查找组织在策划质量管理体系时,对识别组织及其环境、有关相关方及其需求和期望,并确定必须应对的风险和机遇的相应证据。包括与管理人员的访谈中关注组织是否将“不确定性”作为决策的重要考虑等。如组织中、长期规划以及相关会议纪要对组织确定的风险和机遇的记录;新产品研制带来的技术、质量风险;新设备、器材、操作系统、测试方法不成熟带来的风险;资源局限性、专业能力不足的风险;外程带来的风险;已确定的风险、机遇体现在各部门的相关业务和内容情况等。
【标准原文】
6.1.2 组织应策划:
a)应对这些风险和机遇的措施;
b)如何:
1)在质量管理体系过程中整合并实施这些措施(见4.4);
2)评价这些措施的有效性。
应对措施应与风险和机遇对产品和服务符合性的潜在影响相适应。
注1:应对风险可选择规避风险,为寻求机遇承担风险,消除风险源,改变风险的可能性或后果,分担风险,或通过信息充分的决策而保留风险。
注2:机遇可能导致采用新实践、推出新产品、开辟新市场、赢得新顾客、建立合作伙伴、利用新技术和其他可行之处,以应对组织或其顾客的需求。
【理解要点】
(1)本条款是GJB9001C-2017新增要求,规定了应对风险和机遇措施的策划内容和要求。
(2)风险和机遇确定后,组织就应策划应对风险和机遇的措施。应对风险的措施可选择:
①规避风险。决定不开展或停止产生风险的活动,来规避风险。这种措施所针对的风险往往应具备这些以下条件:风险是纯粹性风险,风险程度很高,不能采取预防措施进行预防,采取减轻措施后剩余风险仍不能接受,组织不愿意接受风险转移或共担。
②为寻求机遇承担风险。这类措施所针对的风险往往应具备以下条件:属于投机性风险、风险程度不是很高、存在着可以较大的促进组织目标实现的机会。
③消除风险源。这类措施所针对的风险往往应具备以下条件:属于纯粹性风险、风险程度很高、项目对实现组织目标的影响较大、有降低或消除风险发生可能性的机会。在纯粹性风险处理中,它也是属于“风险预防”的范畴。
④改变风险后果。这类措施所针对的风险往往应具备以下条件:属于纯粹性风险、风险程度很高、项目对实现组织目标的影响较大、有降低或消除风险后果的可能性。在纯粹性风险处理中,它也叫做“风险减轻”。
⑤分担风险。这类措施所针对的风险往往应具备以下条件:属于纯粹性风险、风险程度较高、无可采用的预防措施、项目对实现组织目标的影响较大、有愿意接受风险转移和风险共担的组织。在纯粹性风险中亦称之为“风险转移”或“风险分担”。
⑥通过信息的充分决策而保留风险。这类措施所针对的风险往往应具备以下条件:大多属于投机性风险、风险程度不高、较多地存在着促使组织目标实现的机会。
(3)组织应对风险和机遇所采取的措施,应与对产品和服务符合性所造成的潜在影响适应。“应对”的概念对于风险和机遇来说,按照ISO31000标准,就是要制定处理方案。6.1规定组织应策划应对风险的措施,并未要求运用正式的风险管理方法或将风险管理过程形成文件,也没有特别提到要优先考虑哪些风险和机遇,而是鼓励组织实施风险等级。在组织实现其预期目标的能力方面,并非质量管理体系的全部过程表现出相同的风险等级,并且不确定性影响对于各组织不尽相同。组织也可根据实际情况选择或实施以上一项或多项措施。
(4)组织应策划在质量管理体系过程中如何整合和实施应对这些风险和机遇的措施,使风险管理过程成为这些质量管理过程的一部分,尤其是在组织的方针、目标及计划的制定、实施和评审,以及变更管理过程中,确保有关风险的信息成为组织各层级决策的基础之一。按照ISO3100标准制定的风险管理原则,风险管理是一个框架,应嵌入到组织的战略和运作过程中去。策划的输出可以纳入到质量管理体系过程控制的成文信息中,也可以单独成文。可将处理这些风险和机遇的措施与质量管理体系过程管理的其他要求和措施整合在一起实施。
(5)组织应评估处理这些风险和机遇措施的有效性,以证实其措施能够有效应对风险和机遇。处理这些风险和机遇的措施的有效性主要体现在:这些措施是否能实施?实施后是否能够修正风险和增加机遇?通过应对风险和机遇措施的实施,是否可以有效降低风险的发生,提高机遇利用的可能性,或减轻不利后果的程度?是否可以确保目标和预期结果得以实现?组织应对这些问题进行评价等。
(6)组织可以参照ISO31000系列标准建立更为完善的风险管理过程,内容包括明确环境信息、风险评估、风险应对,以及相关的沟通和咨询、监视和评审等,特别是要对风险处理所确定的措施落实责任人和完成的时限要求。还可参照ISO31000系列标准建立风险管理计划,对于风险管理计划已经确定的风险和风险应对措施,以及残余风险,组织应进行监测和评审,当内外部环境发生变化时,还需对风险管理计划进行重新评价,甚至是修改。这些标准可作为组织风险管理的指南。
【实施要点】
风险管理过程可参考ISO 31000《风险管理 原则和指南》实施。
(1)风险评估。风险管理过程中风险评估是风险识别、风险分析和风险评价的总过程。
①风险识别。组织应识别风险源、影响区域、事件(包括环境变化)以及致因诱因和潜在后果。此步骤的目的是产生一个基于哪些可能产生、增强、阻碍、加快或推迟目标实现事件的综合表格。识别相关的风险是重要的,因为此阶段没有识别的风险将不会包含在的分析中。
风险识别应包括考察特定后果直接影响,包括联锁和累积影响,也要考虑宽范围的相关后果。重要的致因和后果都应予以考虑。风险源或致因可能不明显,也应识别风险源是否在组织的控制之下,也要识别可能发生什么,考虑后果的可能致因是必要的。
组织应使用适合其目标、能力及所面临风险的风险识别工具和技术。在识别风险时,相关和Z新的信息是重要的,包括可能的适当背景信息。具有适当知识的人员应参与到识别风险中。
②风险分析。风险分析是风险评估的关键。风险分析为风险评价和确定风险是否需要处理以及Z适合的风险处理策略和方法,提供了输入。风险分析也可以为必须作出选择及选择涉及不同类型和程度的风险的决策,提供了输入。
风险分析包括考虑风险的致因和来源、所带来的正面和负面的后果以及这些后果发生的可能性。影响后果的因素和可能性应被识别。可以通过确定后果和其可能性以及其他风险特性,来进行风险分析。一个事件可以有多种结果并可以影响多重目标。现存的控制措施及其效果和效率也应被考虑在内。
后果和可能性的表述方式,以及它们的组合是确定风险程度的方式。反应风险类型、可获得的信息,以及运用风险评价输出的结果应符合风险准则。必须考虑不同风险和其来源的相互依赖。风险程度的确定和其前提和假设的敏感性的信心,应在风险分析中予以考虑,并有效沟通给决策者以及适当的利益相关方。风险准则应考虑诸如专家间观点的分歧、不确定性、可用性、质量、数量、信息的持续相关性、或模型的局限性等因素。上述这些因素应予以阐述和重点关注。
风险分析可以在不同程度上进行,这取决于风险本身、分析目的、可用的信息、数据和来源。依据环境条件,分析可以是定性的、半定量的或定量的,也可以是组合的方式。
后果和其可能性可以通过模拟一个或一系列事件的结果,或由实验研究或可用数据推断确定。后果可基于有形和无形的影响表述。可以用数值描述,需要界定对于不间、地点、团体或环境的后果和其可能性。
组织可以借助风险矩阵,将危害绘制在图表上进行量化,从而计算风险。严重程度和频率的结果计算将成为风险分析的结果。一旦组织利用风险矩阵进行分析并确保其有效性后,就可以将此工具应用于风险管理过程。风险矩阵整合入运营过程后,不仅可以计算风险,还可以实现对高风险事件的及时补救。
③风险评价。风险评价的目的是基于风险分析的结果,帮助作出有关风险需要处理和处理实施优先考虑的政策。风险评价包括将风险过程中确定的风险程度与在明确环境时建立的风险准则进行比较,将风险分析的结果与组织已制定的风险评价准则进行比较,确定组织现存风险严重程度和等级的过程(或不可接受风险),其目的是为风险规避和领导决策提供支持。
基于这种比较,风险处理要求应予以决策考虑,包括考虑风险获益组织外的团体对风险的容忍性。决策应依据法律法规和其他要求作出。在某些情况下,风险评价可导致对决策的分析。风险评价也可导致,除了保持现存措施,不以任何方式处理风险的决策。组织的风险态度和已建立的风险准则,会影响风险的决策。组织风险评价准则的科学合理是区别于不同组织风险文化乃至风险管理水平优劣的重要标志。
风险评估是评价风险对组织实现质量目标和预期结果的影响程度,组织可通过制度风险评价准则进而科学地确定现存风险的严重程度。组织所制定的风险评价准则应与组织对风险的承受能力、已制定的质量方针和目标、资源配置等因素相适应,并应满足法律法规、监管和利益相关方的要求,还必须考虑相关风险发生的性质、类型及后果的严重程度、风险发生的概率、风险级别。
(2)风险应对。风险管理过程中风险处理包括选择一种或几种修正风险的方案,以及实施方案。一旦实施了方案,就可以有效实施风险管理。
风险应对包括了一个循环过程:评价风险处理;确定残留风险程度是否可容许;如果不可容许,产生新的风险处理;评价该处理的有效性。
风险应对方案不必互相排斥或适宜所有情况。方案可以包括以下内容:通过决定不开展或停止产生风险的活动,来规避风险;为寻求机遇,接受或提高风险;消除风险源;改变可能性;改变后果;与另一方或多方共担风险(包括合约和风险融资);通过有事实依据的决策,保留风险。
组织应针对已确定的风险确定风险管控的优选顺序,识别为解决风险、利用风险所需要开展的全部活动,并对这些活动的步骤、方法和职责等要求作出规定,并将其融入到质量管理体系过程中加以实施。通过应对风险和机遇措施的实施,可以降低风险发生、提高机遇利用的概率,以确保目标和预期结果得以实现。
(3)监督和检查
组织应明确风险界定监督和检查的责任。监督和检查内容可包括:监测事件,分析变化及其趋势并从中吸取教训;发现内部和外部环境信息的变化,包括风险本身的变化、可能导致的风险应对措施及其实施优先次序的改变;监督并记录风险应对措施实施后的剩余风险,以便在适当时处理;适用时,对照风险应对计划,检查工作进度与计划的偏差,保证风险应对措施的设计和执行有效;报告关于风险、风险应对计划的进度和风险管理方针的遵循情况;实施风险管理绩效评估。
风险管理绩效评估应被纳入组织的绩效管理以及组织对内、外的报告体系之中。
监督和检查活动包括常规检查、监控已知的风险、定期或不定期检查。定期或不定期检查都应被列入风险应对计划。
【主要审核证据】
(1)应策划控制风险及利用机遇的措施,将已确定的控制风险及利用机遇的措施计划纳入质量管理体系过程和组织业务过程,并评价这些措施的效果。如用会议记录表明组织在决策中对风险进行了明确的讨论,必要时对资源配置、项目安排等进行调整,或建立风险和机遇及其应对措施清单,并实施监视。
(2)应与标准6.1.1结合进行审核,在质量管理体系策划时是否确定需要应对的风险和机遇的证据;对需要应对的风险和机遇是否制定了应对措施,并且与对产品和服务的潜在影响相适应的证据;在质量管理体系过程中是否整合和实施应对风险和机遇的措施的证据;评价应对风险和机遇措施的有效性及实施改进的证据。
