新版质量管理体系哪些条款体现了风险的思维？具体条款是什么？

Question

晓晓 · Answer

仅供参考：SO/DIS 9001:2015中的风险在ISO9001：2015标准DIS稿中有很多基于风险思考的内容，这些内容将影响组织为符合修订后的标准而进行的工作。以下是节选并归纳本标准草案中涉及风险的有关内容。定义：ISO9001：2015标准DIS稿所指的风险是“对预期结果的不确定的影响”。DIS稿未提出对预防措施的要求。过程方法：DIS稿4.4条款讨论的要素之一是过程方法，要求组织“识别质量管理体系所需的过程”以及这些过程在组织中的应用。这包括识别：输入、输出和资源；顺序和相互作用；有效的运行；责任和改进机会；风险以及应对风险的机会和措施。关注顾客： 5.1.2条款指出较高管理层必须“证明其在关注顾客方面的领导力和承诺，确保实施了相关工作……识别和处理可能对iso三体系认证、服务和增强顾客满意度的能力方面的风险和机会”。应对风险和机会的措施：6.1.1和6.1.2条款指出组织必须识别那些必须应对的“风险和机会”，以确保质量管理体系能够实现预期结果，预防或减少非预期后果，实现持续改进。应对风险和机会的措施必须与iso三体系认证、服务、顾客满意方面的潜在影响相适应。另外，组织在进行改变的时候宜“有计划并系统地实施”，识别风险和机会，并注意核查变化的潜在后果。应对风险可能采取的方法有避免风险、消除风险源、分担风险以及决定是否承担风险等。交付后的活动：根据8.5.5条款，适用时，组织必须确定并满足与iso三体系认证、服务的性质及其预定使用寿命有关的交付后活动的有关要求，即与iso三体系认证和服务有关的风险、使用寿命、顾客反馈、法律法规要求。管理评审： 9.3条款指出组织必须考虑其采取的应对风险和机会的措施的有效性（同时参见6.1条款）。这包括识别需要监视和测量的内容，使得组织能够证明符合iso三体系认证和服务标准的要求；评估过程的绩效（同时参照条款4.4）；确保质量管理体系的符合性和有效性；评估顾客的满意度。内审：条款9.2指出组织必须“策划、建立、实施并维护内审的审核方案”，并且确定“内审的频次、方法、责任、策划要求和报告方式”。内审方案必须考虑质量目标、相关过程的重要性、相关风险以及之前审核的结果。基于风险的方法：附录A的A4章节内容描述了基于风险的管理方法，包括要求组织充分了解自身所处环境，包括内部和外部的问题；明白管理体系的重要目的之一是作为一个预防工具；确定风险和机会；处理识别出的风险和机会。应用基于风险的思考方法对组织有影响的风险主要有以下4类：1.组织风险：发生在组织实体及其活动层面；2.战略风险：发生在组织的战略或业务计划制定不够周密时；3.合规风险：发生不符合法律法规要求的情形时；4.运营风险：分为与组织的程序和措施有关的7个分类别。1.组织风险实体层面的风险可以是外来的也可以是内部存在的。外来因素包括技术、竞争以及法律环境；内部因素包括安保、信息系统、收寄证物遗失、人员能力和责任变化等方面。活动层面的风险对个人和部门发生影响，包括在系统中输入信息或材料时的疏漏；收寄证记录遗失；安保控制松懈；缺少熟练技术人员以及员工的疏忽大意等。如果在组织的各个环节活动层面的风险不断，最后势必形成实体层面的风险。2.战略风险战略风险指的是因执行一项不成功的商业计划或战略而可能发生的损失。其原因可能是由于做了糟糕的业务决策、执行决定不力、资源不足或者是因为业务环境发生了变化而未及时进行调整。3.合规风险合规风险是与法律法规要求有关的风险。环境、健康和安全要求一直是人们关注的问题，因为一旦这些方面出现问题，轻则罚款，重则停业甚至追究刑事责任都是可能出现的后果。遵守质量和环境方面的标准和规范也在这个范畴之内。环境风险包括液体危险品遗撒、危险气体排放以及固态废弃物的不当处理，包括的情况还可能有以下情形：采购部将从国内采购改为向国外供应商采购；负责环境的关键管理人员离岗未及时替补；引入新的物料却未编制有关的安全管控记录。4.运营风险运营的风险可以具体从以下7个方面说明：（1）管理体系风险由于制定的战略、制度规定和工具、数据处理、呼叫（电话）中心、合同管理、iso认证与开发等层面的效率低下，都可能造成管理体系的效率低下。比如说，一个重度依赖外包的供应链，可能有很大风险。管理体系的其他风险包括不正确的收入确定；违反单位安全规定；不符合环境法规以及萨班斯-奥克斯利法案（美国的一部涉及iso认证老师职业监管、公司治理、证券市场监管方面的重要法律）的要求。这些行为将可能导致罚款、停业甚至追究刑责的后果。为了降低此类风险，组织的较高管理层以及董事会必须对管理体系有透彻的了解，并努力提高其有效性。如果人力资源管理制度、各种管理工具、数据处理、呼叫（电话）中心、营销活动、合同管理、顾客沟通、iso认证和开发等活动效率低下，则组织的管理体系必受其累。总而言之，组织的较高管理层和董事会要了解自身的管理体系并不断提高其有效性。（2）顾客满意风险顾客沟通、送货、iso三体系认证本身、iso认证维修以及对顾客反馈的回应方式都会影响顾客满意风险。为降低此类风险，宜将相关的iso三体系认证质量数据、iso三体系认证和过程监控数据以及供应商供货质量等数据也一并纳入分析过程。（3）供应链风险采购经理必须对外购iso三体系认证和服务、独家供应商、送货时间库存管理以及文档管理等保持关注。信息沟通是确保供应链有效运行的关键。用来管理供应链风险的数值包括送货时间、库存水平及成本等。（4） 收入确认风险对利润的影响对此类风险的管理包括追踪iso三体系认证从生产、销售到寄证以及应收账款的全过程。收入的确认受到诸如应付款、应收账、交付前货值记录、现金报价错误、计算表错误以及价格信息不完整等原因影响。质量经理在控制收入确认过程的有效性方面负有重要责任。质量体系和认证老师管理体系在此有交集，涉及iso三体系认证实现、成本、销售、办理其他体系的iso认证、付款、库存管理以及寄证等过程。寄证信息是对应收账款和收入确认的直接输入。对于许多公司来说，收入确认对其收入有着直接影响，甚至可能影响其股票价格。由于不正确的收入确认，还可能出现背离事实的虚声明的风险。审核员宜对已建立的用以检查收入确认中问题的控制措施进行测试。（5）信息安全风险信息安全风险的情况包括病毒、未加防范的iso三体系认证、不正确的认证老师记录和报告、糟糕的修改控制、信息申报错误、数据表格滥用、临时工和咨询师的使用、新技术的引入以及遭遇工业间谍和欺诈行为等现象。ISO/IEC27001：2005《信息技术安全技术信息安全管理体系要求》包括了建立、实施、运营、监视、评价、维护并提高信息安全管理的要求。（6）物流风险当今组织关注的一个风险问题是与单位安全威胁因素相关的。运输过程可能由于需要检查是否藏有大规模杀伤性武器而拖慢。如何筛查、识别、并追踪从货源地到办理方组织的全过程一直是个难点。以下因素影响物流风险：原材料和成品的运输；运输中的货损；途中延误造成的无法按期交货；运输延误造成的原材料库存不足；单位安全信息上报要求。有必要开发出新的工具以减少筛查和追踪等必须过程对供应链的干扰。总之，iso三体系认证生产完成后，送到顾客手中之前，上述各种问题都可能出现，组织应该有所准备。（7） 自然灾害风险过去几年间，我们这个星球上自然灾害频发。业务连续性要求对应保护的存储信息进行安全保障，并对灾后复原进行策划。信息技术在业务连续性中扮演着重要角色，宜专门iso认证相关的信息技术程序，以确保业务连续性运行的及时性和有效性。组织的业务连续性开发团队中不可缺少负责信息技术的成员。信息技术部门必须提供可将信息妥善有效存储的保护措施，并对各种灾害进行管理、防范并提供安全保护措施。可采用的方法包括信息的定期复制，并将备份信息存储于安全的另外一个地点。并且，宜对存放在该地点的数据进行定期测试，以确保其正确无误。ISO/IEC27001标准提供了业务连续性的管理控制措施，以下是业务连续性计划（BCP）的相关因素：业务风险及影响分析；灾害事件初始反应活动；紧急事件和业务恢复过程管理程序；各层级培训计划；保持业务连续性计划及时更新的程序。业务连续性计划宜定期演练，组织可以用以下问题进行BCP的自查：是否已制定确保信息连续性的书面计划？上述计划是否每年进行更新和检验？何时对计算机硬件、软件或应用系统进行过重要的调整或改变？是否对用以备份的介质进行了定期测试？是否对应用程序、应用数据和运行系统软件进行了定期备份？是否将该计划和信息进行了异地备份？新标准修订的关键点之一就是用系统的方法关注风险，而不仅是质量管理体系中的一个单独条款（4.4.1f) 、5.1.1d)、5.1.2b)、6.1.2、9.1.3e)、9.3.2f);新标准自始至终贯穿基于风险的方法。要求将基于风险的方法融入质量管理体系的建立、实施、维护和持续改进之中。标准对风险的管理体现了P-D-C-A 的思路：第4 章：要求组织确定影响其目标的相关风险；第5 章：要求较高管理者承诺确保实施第4 章的内容；第6 章：要求组织采取行动，识别风险和机会；第8 章：要求组织在实施过程中关注风险和机会；第9 章: 要求组织监视、测量和评价机会和风险；第10 章：要求组织响应风险中的变化和改进。在质量管理体系中，所有的工作都是一种从输入到输出的过程，是一组活动。是活动，总有偏离，甚至是目标本身就是错的，这样的话，风险就是从这三个部分寻找就行了，比如输入，目标指标方案是不是符合组织战略要求，支持性资源是否到位，一些关键性资源如资金、人力资源、知识、工艺、供方等是否有替代方案，活动本身的监视能力是不是有保障，活动输出的评估是不是按时开展了，目标偏离能不能及时识别出来并进行调整。这样进行分类之后，大概的风险种类也就出来了，资金风险，人力资源风险，工艺不成熟或者保密风险，合同条款风险、市场稳定性风险、核心装备故障风险、关键过程监控风险、目标偏离战略风险等。再把这些风险结合主控部门，下达风险分级标准和控制方案即可。

小太阳 · Answer

仅供参考：
SO/DIS 9001:2015中的风险
在ISO9001：2015标准DIS稿中有很多基于风险思考的内容，这些内容将影响组织为符合修订后的标准而进行的工作。以下是节选并归纳本标准草案中涉及风险的有关内容。

定义：ISO9001：2015标准DIS稿所指的风险是“对预期结果的不确定的影响”。DIS稿未提出对预防措施的要求。

过程方法：DIS稿4.4条款讨论的要素之一是过程方法，要求组织“识别质量管理体系所需的过程”以及这些过程在组织中的应用。这包括识别：输入、输出和资源；顺序和相互作用；有效的运行；责任和改进机会；风险以及应对风险的机会和措施。

关注顾客： 5.1.2条款指出较高管理层必须“证明其在关注顾客方面的领导力和承诺，确保实施了相关工作……识别和处理可能对iso三体系认证、服务和增强顾客满意度的能力方面的风险和机会”。

应对风险和机会的措施：6.1.1和6.1.2条款指出组织必须识别那些必须应对的“风险和机会”，以确保质量管理体系能够实现预期结果，预防或减少非预期后果，实现持续改进。

应对风险和机会的措施必须与iso三体系认证、服务、顾客满意方面的潜在影响相适应。另外，组织在进行改变的时候宜“有计划并系统地实施”，识别风险和机会，并注意核查变化的潜在后果。

应对风险可能采取的方法有避免风险、消除风险源、分担风险以及决定是否承担风险等。

交付后的活动：根据8.5.5条款，适用时，组织必须确定并满足与iso三体系认证、服务的性质及其预定使用寿命有关的交付后活动的有关要求，即与iso三体系认证和服务有关的风险、使用寿命、顾客反馈、法律法规要求。
管理评审： 9.3条款指出组织必须考虑其采取的应对风险和机会的措施的有效性（同时参见6.1条款）。这包括识别需要监视和测量的内容，使得组织能够证明符合iso三体系认证和服务标准的要求；评估过程的绩效（同时参照条款4.4）；确保质量管理体系的符合性和有效性；评估顾客的满意度。

内审：条款9.2指出组织必须“策划、建立、实施并维护内审的审核方案”，并且确定“内审的频次、方法、责任、策划要求和报告方式”。内审方案必须考虑质量目标、相关过程的重要性、相关风险以及之前审核的结果。

基于风险的方法：附录A的A4章节内容描述了基于风险的管理方法，包括要求组织充分了解自身所处环境，包括内部和外部的问题；明白管理体系的重要目的之一是作为一个预防工具；确定风险和机会；处理识别出的风险和机会。

应用基于风险的思考方法
对组织有影响的风险主要有以下4类：
1.组织风险：发生在组织实体及其活动层面；
2.战略风险：发生在组织的战略或业务计划制定不够周密时；
3.合规风险：发生不符合法律法规要求的情形时；
4.运营风险：分为与组织的程序和措施有关的7个分类别。

1.组织风险
实体层面的风险可以是外来的也可以是内部存在的。外来因素包括技术、竞争以及法律环境；内部因素包括安保、信息系统、收寄证物遗失、人员能力和责任变化等方面。
活动层面的风险对个人和部门发生影响，包括在系统中输入信息或材料时的疏漏；收寄证记录遗失；安保控制松懈；缺少熟练技术人员以及员工的疏忽大意等。如果在组织的各个环节活动层面的风险不断，最后势必形成实体层面的风险。
2.战略风险
战略风险指的是因执行一项不成功的商业计划或战略而可能发生的损失。其原因可能是由于做了糟糕的业务决策、执行决定不力、资源不足或者是因为业务环境发生了变化而未及时进行调整。
3.合规风险
合规风险是与法律法规要求有关的风险。环境、健康和安全要求一直是人们关注的问题，因为一旦这些方面出现问题，轻则罚款，重则停业甚至追究刑事责任都是可能出现的后果。遵守质量和环境方面的标准和规范也在这个范畴之内。
环境风险包括液体危险品遗撒、危险气体排放以及固态废弃物的不当处理，包括的情况还可能有以下情形：
采购部将从国内采购改为向国外供应商采购；
负责环境的关键管理人员离岗未及时替补；
引入新的物料却未编制有关的安全管控记录。
4.运营风险
运营的风险可以具体从以下7个方面说明：
（1）管理体系风险
由于制定的战略、制度规定和工具、数据处理、呼叫（电话）中心、合同管理、iso认证与开发等层面的效率低下，都可能造成管理体系的效率低下。比如说，一个重度依赖外包的供应链，可能有很大风险。
管理体系的其他风险包括不正确的收入确定；违反单位安全规定；不符合环境法规以及萨班斯-奥克斯利法案（美国的一部涉及iso认证老师职业监管、公司治理、证券市场监管方面的重要法律）的要求。这些行为将可能导致罚款、停业甚至追究刑责的后果。为了降低此类风险，组织的较高管理层以及董事会必须对管理体系有透彻的了解，并努力提高其有效性。如果人力资源管理制度、各种管理工具、数据处理、呼叫（电话）中心、营销活动、合同管理、顾客沟通、iso认证和开发等活动效率低下，则组织的管理体系必受其累。
总而言之，组织的较高管理层和董事会要了解自身的管理体系并不断提高其有效性。
（2）顾客满意风险
顾客沟通、送货、iso三体系认证本身、iso认证维修以及对顾客反馈的回应方式都会影响顾客满意风险。为降低此类风险，宜将相关的iso三体系认证质量数据、iso三体系认证和过程监控数据以及供应商供货质量等数据也一并纳入分析过程。
（3）供应链风险
采购经理必须对外购iso三体系认证和服务、独家供应商、送货时间库存管理以及文档管理等保持关注。信息沟通是确保供应链有效运行的关键。用来管理供应链风险的数值包括送货时间、库存水平及成本等。
（4） 收入确认风险对利润的影响
对此类风险的管理包括追踪iso三体系认证从生产、销售到寄证以及应收账款的全过程。收入的确认受到诸如应付款、应收账、交付前货值记录、现金报价错误、计算表错误以及价格信息不完整等原因影响。
质量经理在控制收入确认过程的有效性方面负有重要责任。质量体系和认证老师管理体系在此有交集，涉及iso三体系认证实现、成本、销售、办理其他体系的iso认证、付款、库存管理以及寄证等过程。寄证信息是对应收账款和收入确认的直接输入。对于许多公司来说，收入确认对其收入有着直接影响，甚至可能影响其股票价格。
由于不正确的收入确认，还可能出现背离事实的虚声明的风险。审核员宜对已建立的用以检查收入确认中问题的控制措施进行测试。
（5）信息安全风险
信息安全风险的情况包括病毒、未加防范的iso三体系认证、不正确的认证老师记录和报告、糟糕的修改控制、信息申报错误、数据表格滥用、临时工和咨询师的使用、新技术的引入以及遭遇工业间谍和欺诈行为等现象。
ISO/IEC27001：2005《信息技术安全技术信息安全管理体系要求》包括了建立、实施、运营、监视、评价、维护并提高信息安全管理的要求。
（6）物流风险
当今组织关注的一个风险问题是与单位安全威胁因素相关的。运输过程可能由于需要检查是否藏有大规模杀伤性武器而拖慢。
如何筛查、识别、并追踪从货源地到办理方组织的全过程一直是个难点。以下因素影响物流风险：
原材料和成品的运输；
运输中的货损；
途中延误造成的无法按期交货；
运输延误造成的原材料库存不足；
单位安全信息上报要求。
有必要开发出新的工具以减少筛查和追踪等必须过程对供应链的干扰。总之，iso三体系认证生产完成后，送到顾客手中之前，上述各种问题都可能出现，组织应该有所准备。
（7） 自然灾害风险
过去几年间，我们这个星球上自然灾害频发。业务连续性要求对应保护的存储信息进行安全保障，并对灾后复原进行策划。
信息技术在业务连续性中扮演着重要角色，宜专门iso认证相关的信息技术程序，以确保业务连续性运行的及时性和有效性。组织的业务连续性开发团队中不可缺少负责信息技术的成员。
信息技术部门必须提供可将信息妥善有效存储的保护措施，并对各种灾害进行管理、防范并提供安全保护措施。可采用的方法包括信息的定期复制，并将备份信息存储于安全的另外一个地点。并且，宜对存放在该地点的数据进行定期测试，以确保其正确无误。

ISO/IEC27001标准提供了业务连续性的管理控制措施，以下是业务连续性计划（BCP）的相关因素：
业务风险及影响分析；
灾害事件初始反应活动；
紧急事件和业务恢复过程管理程序；
各层级培训计划；
保持业务连续性计划及时更新的程序。

业务连续性计划宜定期演练，组织可以用以下问题进行BCP的自查：
是否已制定确保信息连续性的书面计划？
上述计划是否每年进行更新和检验？
何时对计算机硬件、软件或应用系统进行过重要的调整或改变？
是否对用以备份的介质进行了定期测试？
是否对应用程序、应用数据和运行系统软件进行了定期备份？
是否将该计划和信息进行了异地备份？

新标准修订的关键点之一就是用系统的方法关注风险，而不仅是质量管理体系中的一个
单独条款（4.4.1f) 、5.1.1d)、5.1.2b)、6.1.2、9.1.3e)、9.3.2f);

新标准自始至终贯穿基于风险的方法。要求将基于风险的方法融入质量管理体系的建
立、实施、维护和持续改进之中。
标准对风险的管理体现了P-D-C-A 的思路：
第4 章：要求组织确定影响其目标的相关风险；
第5 章：要求较高管理者承诺确保实施第4 章的内容；
第6 章：要求组织采取行动，识别风险和机会；
第8 章：要求组织在实施过程中关注风险和机会；
第9 章: 要求组织监视、测量和评价机会和风险；
第10 章：要求组织响应风险中的变化和改进。

在质量管理体系中，所有的工作都是一种从输入到输出的过程，是一组活动。是活动，总有偏离，甚至是目标本身就是错的，这样的话，风险就是从这三个部分寻找就行了，比如输入，目标指标方案是不是符合组织战略要求，支持性资源是否到位，一些关键性资源如资金、人力资源、知识、工艺、供方等是否有替代方案，活动本身的监视能力是不是有保障，活动输出的评估是不是按时开展了，目标偏离能不能及时识别出来并进行调整。这样进行分类之后，大概的风险种类也就出来了，资金风险，人力资源风险，工艺不成熟或者保密风险，合同条款风险、市场稳定性风险、核心装备故障风险、关键过程监控风险、目标偏离战略风险等。再把这些风险结合主控部门，下达风险分级标准和控制方案即可。