进入21世纪，2001年美国发生“9.11”和“安然”事件，2003年“SARS”肆虐全球，2008年中国的“汶川地震”，2009年金融危机，这些不确定事件不断发生，考验着人们紧绷的神经。就在这个时间节点上，2009年11月15日正式颁布ISO31000：2009《风险管理：原则与指南》，该标准中，明确指出“风险”是“不确定性对目标的影响”其中“影响”有好有坏，有机会也有威胁。风险管理就是要管理“不确定性”，减少威胁，放大机会。ISO 风险管理工作组（FMWG）主席Kevin W. Knight)曾经说：ISO31000将类似于ISO9000和ISO14000标准，是最高级别的标准，它将对ISO和IEC的其他标准起指导作用。 

风险：不确定性对一个预期结果的影响。

注1： 影响可能偏离预期-正面的和/或负面的。

注2： 不确定性是指缺乏甚至部分缺乏一个事件、其后果或发生可能性的有关信息，了解或认识。

注3：风险常具有潜在事件，后果或二者结合的特征。

注4：经常用一个事件的后果（包括情况变化）和对应的发生可能性这二者的结合来表示风险。

注5： “风险”一词有时被用于只有负面影响的可能性。

如图：

                     

4.4 质量管理体系及其过程

5.1.2 以顾客为关注的焦点

6.1 风险和机遇的应对措施

8.5.5 交付后的活动

9.3.1 管理评审

ISO在其于2012年发布的ISO/IEC导则1的附录2中，规定了适用于所有ISO管理体系国际标准的通用框架-高级结构High Level Structure，并规定从2012年开始，由ISO制定和修订的所有管理体系国际标准都应当采用这一通用框架。此次ISO9001:2015DIS版中6.1 风险和机遇的应对措施就是此High Level Structure予以明确规定的条款。 

ISO9001 DIS版，明确要求出建立实施并持续改进质量管理体系时候，要将风险和机会按照6.1的要求,策划和实施适当的行动来解决这些问题，风险和机会能够影响产品和服务的不确定性，所以获取客户需求时候，就要关注风险，围绕整个实现过程直至交付都要关注风险，而且在管理评审时候，要对风险和机会的应对措施有效性予以评价。简言之就是将风险管理贯穿在整个质量管理体系过程中，但是在质量管理体系中，只是提出组织要关注风险和机会，但是如何实施呢，在ISO9001:2015DIS版中，没有给出答案。 

ISO 31000:2009 风险管理：原则和指南，给出了风险管理的过程，如下图：

ISO 31000不作为认证标准，是实施指南的性质，其风险管理的过程，应是构成组织管理整体所必需的一部分，要被嵌入组织的文化和实践中。

如上图，可以明确看出来，

1）风险管理主循环过程是：建立环境，风险评估，风险应对，监测与评审组织

2）风险评估包括：风险辨识，风险分析，风险评估三个部分

3）在整个风险管理过程中，都离不开沟通与咨询 

因此，对一个组织，是需要风险管理过程嵌入质量管理体系中，还是离不开过程，离不开不同过程的风险等级识别以及应对，这就是实施方法论，而且可以看到新版的质量管理体系就是一个基于风险的预防工具，所以在新版标准中，再也看不到预防措施的条款。