很多朋友都对ISO 9001质量管理体系有所接触和认识，但对QMS中提及的“基于风险的思维”并不十分理解，本文重点给大家介绍ISO 9001中“基于风险的思维”的概念，简单地解释基于风险的思维的每个组成部分。

一、什么是基于风险的思维？

风险是指质量管理体系固有的不确定性的程度。所有的体系、过程和职能都存在风险。采用基于风险的思维可确保在设计和应用质量管理体系的整个过程中，确定、考虑和控制这些风险。

基于风险的思维已隐含在ISO9001之前的版本中，如基于外部供方所提供产品的影响确定对其控制的类型和程度，或基于已识别的不符合的潜在影响采取纠正措施等。

此外，ISO 9001:2015之前的版本还包含了有关预防措施的条款。采用基于风险的思维可以完整地考虑风险。通过预先识别并采取措施，可将预防或减少风险的不利影响由被动变为主动。预防措施是基于风险的管理体系的固有组成部分。质量管理体系的主要用途之一是作为预防工具。因此，标准并未就“预防措施”安排单独条款或子条款，预防措施概念是通过在质量管理体系要求中融入基于风险的思维来表达的。

标准要求组织理解其组织环境（见4.1），并以确定风险作为策划的基础（见6.1）。这意味着将基于风险的思维应用于策划和实施质量管理体系过程（见4.4），并有助于确定成文信息的范围和程度。

基于风险的思维已经是过程方法的一部分。

就组织实现质量目标的能力而言，并非质量管理体系的所有过程都呈现相同的风险水平。质量管理体系的某些过程比其他过程需要进行更加仔细和正式的策划与控制。基于风险的思维是我们在日常生活中自动做的事情。

例如：如果我想过马路，我会在开始之前查看交通状况。我不会冲到一辆行驶中的汽车前面。要过马路，我可以直接去，也可以使用附近的人行天桥。我选择哪个流程由所涉及的风险来确定。

风险通常被理解为只有负面后果；然而，风险的影响可以是负面的，也可以是积极的。

在ISO 9001:2015中，风险和机遇经常被一起引用。机会不是风险的积极一面。机会是一系列情况，它使做某事成为可能。因此，抓住或不抓住机会会带来不同程度的风险。

例如：直接过马路让我有机会快速到达另一边，但如果我抓住这个机会，被汽车撞伤的风险就会增加。

基于风险的思维既考虑了当前形势，也考虑了变革的可能性。

对下列情况的分析显示了改进的机会：

•     地下通道直接贯通马路下方

•     设置行人交通信号灯

•     将道路改道，使该区域没有交通

二、ISO9001：2005些地方提及风险

基于风险的思维概念在ISO 9001:2015的介绍中得到了解释，作为过程方法的一个组成部分。

ISO 9001:2015通过以下方式使用基于风险的思维：

引言-介绍“基于风险的思维”的概念

条款4-要求组织确定QMS过程并应对其风险和机会

条款5-要求最高管理者：

•     促进使用过程方法和基于风险的思维

•     确定和应对风险和机遇，这些风险和机遇可能影响产品和服务合格以及增强顾客满意能力

条款6-要求组织识别并应对与QMS绩效有关的风险和机会

条款7-要求组织确定并提供必要的资源

条款8-要求组织管理运行过程

条款9-要求组织监视、测量、分析并评价应对风险和机会的措施的有效性

条款10-要求组织纠正、预防或减少非预期影响，改进QMS，并更新风险和机会

三、为什么要使用基于风险的思维？

通过考虑整个系统和所有流程的风险，提高了实现既定目标的可能性，使输出更加一致，客户可以确信他们将收到预期的产品或服务。成功的组织会自觉地采用风险思维，因为它可带来以下收益：

•     改进管理

•     建立主动改进的文化

•     有助于遵守法律法规要求

•     保证产品和服务的一致性

•     增强顾客信心，增进顾客满意

四、如何来做？

由于在ISO 9001:2015标准中使用基于风险的思维，因而一定程度上减少了规定性要求，并以基于绩效的要求替代。在过程、成文信息和组织职责方面的要求比ISO 9001:2008具有更大的灵活性。

虽然6.1规定组织应策划应对风险的措施，但并未要求运用正式的风险管理方法或将风险管理过程形成文件。组织可以决定是否采用超出本标准要求的更多风险管理方法，如：通过应用其他指南或标准。

在组织实现其预期目标的能力方面，并非质量管理体系的全部过程表现出相同的风险等级，并且不确定性影响对于各组织不尽相同。根据6.1的要求，组织有责任应用基于风险的思维，并采取应对风险的措施，包括是否保留成文信息，以作为其确定风险的证据。

在构建管理体系和过程时使用基于风险的思维。

首先，确定您的风险是什么——这取决于具体情况

例如：如果我穿过一条有许多快速行驶汽车的多车道道路，其风险与道路狭窄且行驶的汽车很少的风险不同。还需要考虑天气、能见度、行人流动性和特定的行人目标等因素。

然后，了解您的风险

什么是可以接受的，什么是不可接受的？一个过程与另一个过程相比有哪些优点或缺点？

例如：目标：我需要安全地过马路才能在给定时间到达会议。

•     受伤是不可接受的

•     迟到是不可接受的

更快地达到我的目标必须与受伤的可能性相平衡。让我在没有受伤的情况下参加会议比按时参加会议更重要。

如果直接过马路受伤的可能性很高，那么使用人行天桥延迟到达道路另一侧可能是可以接受的。

我分析了情形。人行天桥距离酒店有200米，将为我的行程增加时间。天气好，能见度好，我可以看到路上车不多。

我认为直接穿过马路的受伤风险可以接受，并且会帮助我准时到达我的会议。

五、策划应对风险的措施

1.   如何避免或消除风险？如何降低风险？

例如：如果我选择人行天桥，我可以消除被车辆撞伤的风险，但我已经决定过马路所涉及的风险是可以接受的。

现在我考虑如何减少受伤的可能性或影响。我不能合理地期望控制汽车撞到我的伤害影响；但我可以降低被汽车撞到的概率。

我计划在附近没有汽车行驶的时候过马路，这样可以减少发生事故的可能性。我还计划在我能见度好的地方过马路。

2.   实施计划–采取行动

例如：我移动到路边，检查是否有障碍物可以穿越。我检查没有汽车来往。我在过马路时继续观察汽车通过状况。

3.   检查行动的有效性-它是否有效？

例如：我安然无恙地准时到达了道路的另一边：这个计划奏效了，避免了不良影响。

4.   从经验中学习–改进

例如：我在几天内，在不同的时间和不同的天气条件下重复这个计划。

这让我了解不断变化的环境（时间，天气，汽车数量）直接影响计划的有效性，并增加了我无法实现目标（准时和避免受伤）的可能性。

经验告诉我，在一天中的某些时间过马路非常困难，因为汽车太多了。为了限制风险，我在这些时段选择人行天桥来修改和改进我的流程。

我继续分析这些过程的有效性，并在环境发生变化时对其进行修订。

我也继续考虑创新机会：

•    我可以更改会议地点，这样就不必穿过道路了吗？

•    我可以更改会议时间，以便在车流少的时候过马路吗？

•    我们可以利用网络远程开会吗？

六、结论

基于风险的思维：

•     不是新鲜事物

•     可能你已经在做

•     不应间断

•     确保更好地了解风险并改进准备

•     增加实现目标的可能性

•     降低负面结果的可能性

•     让预防成为一种习惯

ISO 31000风险管理-原则和指南，为想要或者需要正式的风险管理方法的组织提供了一个有用的参考。

ISO 31010风险管理-风险评估技术，提供了风险评价工具和技术清单，组织可根据其具体情况予以考虑。

往期文章：

1、  IECQ HSPM QC080000简介

2、  ISO 14001环境管理体系中环境因素的识别

3、  ISO 45001:2018危险源辨识的重要性及方法简介

在线课程：