ISO9001：2015版標準中的風險管理

ISO9001:2015中的風險

在ISO9001：2015標準中有很多基于風險思考的內容，這些內容將影響組織為符合修訂后的標準而進行的工作。以下是節選并歸納本標準草案中涉及風險的有關內容。

定義：ISO9001：2015標準DIS稿所指的風險是“對預期結果的不確定的影響”。DIS稿未提出對預防措施的要求。

過程方法：4.4條款討論的要素之一是過程方法，要求組織“識別質量管理體系所需的過程”以及這些過程在組織中的應用。這包括識別：輸入、輸出和資源；順序和相互作用；有效的運行；責任和改進機會；風險以及應對風險的機會和措施。

關注顧客： 5.1.2條款指出最高管理層必須“證明其在關注顧客方面的領導力和承諾，確保實施了相關工作……識別和處理可能對產品、服務和增強顧客滿意度的能力方面的風險和機會”。

應對風險和機會的措施：6.1.1和6.1.2條款指出組織必須識別那些必須應對的“風險和機會”，以確保質量管理體系能夠實現預期結果，預防或減少非預期后果，實現持續改進。

應對風險和機會的措施必須與產品、服務、顧客滿意方面的潛在影響相適應。另外，組織在進行改變的時候宜“有計劃并系統地實施”，識別風險和機會，并注意核查變化的潛在后果。

應對風險可能采取的方法有避免風險、消除風險源、分擔風險以及決定是否承擔風險等。

交付后的活動：根據8.5.5條款，適用時，組織必須確定并滿足與產品、服務的性質及其預定使用壽命有關的交付后活動的有關要求，即與產品和服務有關的風險、使用壽命、顧客反饋、法律法規要求。

管理評審： 9.3條款指出組織必須考慮其采取的應對風險和機會的措施的有效性（同時參見6.1條款）。這包括識別需要監視和測量的內容，使得組織能夠證明符合產品和服務標準的要求；評估過程的績效（同時參照條款4.4）；確保質量管理體系的符合性和有效性；評估顧客的滿意度。

內審：條款9.2指出組織必須“策劃、建立、實施并維護內審的審核方案”，并且確定“內審的頻次、方法、責任、策劃要求和報告方式”。內審方案必須考慮質量目標、相關過程的重要性、相關風險以及之前審核的結果。

基于風險的方法：附錄A的A4章節內容描述了基于風險的管理方法，包括要求組織充分了解自身所處環境，包括內部和外部的問題；明白管理體系的重要目的之一是作為一個預防工具；確定風險和機會；處理識別出的風險和機會。

應用基于風險的思考方法

對組織有影響的風險主要有以下4類：

1.組織風險：發生在組織實體及其活動層面；

2.戰略風險：發生在組織的戰略或業務計劃制定不夠周密時；

3.合規風險：發生不符合法律法規要求的情形時；

4.運營風險：分為與組織的程序和措施有關的7個分類別。

1.組織風險

實體層面的風險可以是外來的也可以是內部存在的。外來因素包括技術、競爭以及法律環境；內部因素包括安保、信息系統、收發貨物遺失、人員能力和責任變化等方面。

活動層面的風險對個人和部門發生影響，包括在系統中輸入信息或材料時的疏漏；收發貨記錄遺失；安?？刂扑尚?；缺少熟練技術人員以及員工的疏忽大意等。如果在組織的各個環節活動層面的風險不斷，最后勢必形成實體層面的風險。

2.戰略風險

戰略風險指的是因執行一項不成功的商業計劃或戰略而可能發生的損失。其原因可能是由于做了糟糕的業務決策、執行決定不力、資源不足或者是因為業務環境發生了變化而未及時進行調整。

3.合規風險

合規風險是與法律法規要求有關的風險。環境、健康和安全要求一直是人們關注的問題，因為一旦這些方面出現問題，輕則罰款，重則停業甚至追究刑事責任都是可能出現的后果。遵守質量和環境方面的標準和規范也在這個范疇之內。

環境風險包括液體危險品遺撒、危險氣體排放以及固態廢棄物的不當處理，包括的情況還可能有以下情形：

采購部將從國內采購改為向國外供應商采購；

負責環境的關鍵管理人員離崗未及時替補；

引入新的物料卻未編制有關的安全管控記錄。

4.運營風險

運營的風險可以具體從以下7個方面說明：

（1）管理體系風險

由于制定的戰略、制度規定和工具、數據處理、呼叫（電話）中心、合同管理、設計與開發等層面的效率低下，都可能造成管理體系的效率低下。比如說，一個重度依賴外包的供應鏈，可能有很大風險。

管理體系的其他風險包括不正確的收入確定；違反國家安全規定；不符合環境法規以及薩班斯-奧克斯利法案（美國的一部涉及會計職業監管、公司治理、證券市場監管方面的重要法律）的要求。這些行為將可能導致罰款、停業甚至追究刑責的后果。為了降低此類風險，組織的最高管理層以及董事會必須對管理體系有透徹的了解，并努力提高其有效性。如果人力資源管理制度、各種管理工具、數據處理、呼叫（電話）中心、營銷活動、合同管理、顧客溝通、設計和開發等活動效率低下，則組織的管理體系必受其累。

總而言之，組織的最高管理層和董事會要了解自身的管理體系并不斷提高其有效性。

（2）顧客滿意風險

顧客溝通、送貨、產品本身、設計維修以及對顧客反饋的回應方式都會影響顧客滿意風險。為降低此類風險，宜將相關的產品質量數據、產品和過程監控數據以及供應商供貨質量等數據也一并納入分析過程。

（3）供應鏈風險

采購經理必須對外購產品和服務、獨家供應商、送貨時間庫存管理以及文檔管理等保持關注。信息溝通是確保供應鏈有效運行的關鍵。用來管理供應鏈風險的數值包括送貨時間、庫存水平及成本等。

（4） 收入確認風險對利潤的影響

對此類風險的管理包括追蹤產品從生產、銷售到發貨以及應收賬款的全過程。收入的確認受到諸如應付款、應收賬、交付前貨值記錄、現金報價錯誤、計算表錯誤以及價格信息不完整等原因影響。

質量經理在控制收入確認過程的有效性方面負有重要責任。質量體系和財務管理體系在此有交集，涉及產品實現、成本、銷售、開發票、付款、庫存管理以及發貨等過程。發貨信息是對應收賬款和收入確認的直接輸入。對于許多公司來說，收入確認對其收入有著直接影響，甚至可能影響其股票價格。

由于不正確的收入確認，還可能出現背離事實的虛假聲明的風險。審核員宜對已建立的用以檢查收入確認中問題的控制措施進行測試。

（5）信息安全風險

信息安全風險的情況包括病毒、未加防范的文件、不正確的財務記錄和報告、糟糕的修改控制、信息檢索錯誤、數據表格濫用、臨時工和咨詢師的使用、新技術的引入以及遭遇工業間諜和欺詐行為等現象。

ISO/IEC27001：2005《信息技術安全技術信息安全管理體系要求》包括了建立、實施、運營、監視、評價、維護并提高信息安全管理的要求。

（6）物流風險

當今組織關注的一個風險問題是與國家安全威脅因素相關的。運輸過程可能由于需要檢查是否藏有大規模殺傷性武器而拖慢。

如何篩查、識別、并追蹤從貨源地到購買方組織的全過程一直是個難點。以下因素影響物流風險：

原材料和成品的運輸；

運輸中的貨損；

途中延誤造成的無法按期交貨；

運輸延誤造成的原材料庫存不足；

國家安全信息上報要求。

有必要開發出新的工具以減少篩查和追蹤等必須過程對供應鏈的干擾?？傊?，產品生產完成后，送到顧客手中之前，上述各種問題都可能出現，組織應該有所準備。

（7） 自然災害風險

過去幾年間，我們這個星球上自然災害頻發。業務連續性要求對應保護的存儲信息進行安全保障，并對災后復原進行策劃。

信息技術在業務連續性中扮演著重要角色，宜專門設計相關的信息技術程序，以確保業務連續性運行的及時性和有效性。組織的業務連續性開發團隊中不可缺少負責信息技術的成員。

信息技術部門必須提供可將信息妥善有效存儲的保護措施，并對各種災害進行管理、防范并提供安全保護措施?？刹捎玫姆椒òㄐ畔⒌亩ㄆ趶椭?，并將備份信息存儲于安全的另外一個地點。并且，宜對存放在該地點的數據進行定期測試，以確保其正確無誤。

ISO/IEC27001標準提供了業務連續性的管理控制措施，以下是業務連續性計劃（BCP）的相關因素：

業務風險及影響分析；

災害事件初始反應活動；

緊急事件和業務恢復過程管理程序；

各層級培訓計劃；

保持業務連續性計劃及時更新的程序。

業務連續性計劃宜定期演練，組織可以用以下問題進行BCP的自查：

是否已制定確保信息連續性的書面計劃？

上述計劃是否每年進行更新和檢驗？

何時對計算機硬件、軟件或應用系統進行過重要的調整或改變？

是否對用以備份的介質進行了定期測試？

是否對應用程序、應用數據和運行系統軟件進行了定期備份？

是否將該計劃和信息進行了異地備份？

風險分析方法

一個組織在風險分析方面最先要做的事情就是明確組織能夠承擔哪種類型的風險（風險偏好）以及風險的承受能力，使組織的所有成員了解組織的“風險觀”。這一點確定后，可采用一些工具或方法以確定風險等級并對識別出的風險進行管理。關鍵工具之一就是組織的控制措施。對于與薩班斯-奧克斯利法案相關的內容來說，組織的控制措施尤其重要。不僅在組織層面的財務控制要合規，活動層面的財務控制也要合規。

風險偏好和風險承受能力

風險偏好是從大的角度來看一個組織所愿意承受的風險總量，即承受風險所能帶來的利益與抵消風險的代價的比較。正如特雷得韋委員會（反欺詐財務報告委員會）的贊助委員會所指出的，這是建立控制措施的主要切入點。在風險評估中，對于超出風險偏好的情況，應該得出采取預防措施的結論。

明確風險偏好有助于決定如何根據識別出的風險進行資金分配。加深對其了解有助于更有效地進行管理。風險偏好與承擔風險的能力之間可有函數關系。為維持組織的信用評級或達到監管資金要求所需的資金存量往往是制約風險偏好的因素。

相對風險偏好來說，風險承受能力與組織的特定目標相關，它是一個實體所愿意承受的與實現其目標有關的各種變化的總和。一個組織中，對不同風險的承受能力不同。

風險偏好是一個較廣的組織層面的概念，而風險承受能力往往關注點更集中。一個組織對其不同業務可有不同的風險承受能力，但是當這些不同的風險承受能力進行疊加的時候，它們不能超出最高管理層和董事會確定的風險偏好。

采取控制措施

對風險進行管理的一種重要的工具是組織建立的一整套控制措施。對于薩班斯-奧克斯利法案的合規要求來說，控制尤其重要。在該法規的合規審核過程中，審核員非常重視對控制措施的測試。財務和質量的控制分兩個層級，即實體層面和活動層面，且在ISO9001和ISO14001標準中，質量控制是以“應”語句出現的，這種“應”語句通常伴隨著提交數據的要求。一些過程績效要求也會包括對結果的記錄，這些記錄可用來識別迫切的風險。

實體層級的控制措施包括：人力資源政策、行為準則、溝通策略、會計原則、管理層的風險評估過程、組織結構和合同評審。

在ISO9001：2015中，合同評審的要求和質量要求是相互關聯的，參見條款8.2.3與產品和服務有關要求的評審。

活動層面的控制措施包括進行總賬與明細分類賬的對賬分析、數據的自動驗證和編輯性檢查、限制保密信息的獲取、在錄入前對交易進行編號、在輸入系統前對紙面信息進行審查和批準等方式。

活動層面的質量控制措施包括生產控制（8.6.1條款）、成文信息—不合格產品和服務的糾正（8.8條款）以及識別重要環境因素（ISO 14001：2004條款4.3.1）。

風險和預防措施

有效的風險評估活動包括：

明確組織的可測量目標；

確保上述目標的兼容性；

識別實現目標的風險；

判斷關鍵風險———可采用風險分析矩陣確定風險的關鍵程度；

采用風險管理工具來降解風險，比如目標—風險———控制措施———調節法（ORCA法）、ISO9001的改進過程、失效模式和有效性分析（FMEA)以及風險控制矩陣。

風險分析矩陣

風險分析矩陣是一種關鍵的分析工具，即對于識別出的每一種風險，估算風險產生的后果和風險發生的可能性，然后將這些信息輸入到風險分析矩陣中，如表1所示。

ISO9001：2015版標準中的風險管理的解釋

對每一個風險的關注程度進行判斷之后，可對極端的和高危的風險采取措施。ISO9001：2015要求建立一個程序以實施以下活動：

采取措施控制并糾正不符合；

———評估是否需要采取措施消除風險源；

實施糾正措施；

評估措施的有效性；

在需要時對質量管理體系進行修訂；

ORCA

風險專家格雷格·哈金斯建議考慮采用ORCA作為組織的風險評估方法。他認為，“這種方法的接受度和適用性很好，它結合了其他一些類型的評估因素，包括過程、內部控制和體系審核等。另外，它也符合當今公司治理實踐中對風險管理和運營效率的關注。”

ORCA要求組織做到以下各項：

清晰說明組織的目標；

全面識別并評估風險；

建立平衡的控制方式以管理組織的風險；

確保整個企業的目標、風險和控制的一致性。

在完成風險評估之后，高級和運營管理層可制定風險管理方面的策略并執行相關的業務決定。風險管理策略包括避免、減輕、接受、分散及控制等方法。

ISO9001改進過程

ISO9001：2015的第10.2款說的是組織宜對以下情況有所反饋，以改進其質量管理體系：

數據分析的結果；

組織狀況的改變；

識別出的風險的變化（條款6.1）；

新的機會。

失效模式與影響分析（FMEA）

失效模式與影響分析是一種通過風險排序并采取預防措施以減少風險的方法。這種方法用來檢查產品或過程潛在的故障，以便采取補救措施來減少風險。

FMEA的第一步是描述系統的各個組成部分，第二步是明確如各個組成部分發生失效時的后果，并采用風險分析矩陣來評估各種失效發生的嚴重程度和可能性，同時也明確相關控制措施對于故障的察覺能力。

接著是識別能夠消除或減少故障發生或改進故障察覺能力的措施。最終，FMEA幫助實施對過程或產品進行調整或改進，以避免潛在的失效發生。

ReliaSoft集團的卡爾.S.卡爾森先生提出了一個建立失效模式與影響分析的“十一步過程法”。他認為，首先要做的就是制定一個涉及策略和資源的總體計劃，將涉及管理評審、質量審核、供應商FMEA以及建議措施的實施和跟進活動中的通用方案進行明確描述。他提出的最后幾個步驟中包括軟件方面的支持，與其他過程和測試的關聯，以及對現場失效進行的及時跟蹤。

風險控制矩陣

風險控制矩陣是用來管理一個特定過程風險的工具。制定一系列的控制措施以確定過程的各種風險的狀況。通過風險控制矩陣，管理層可以直觀地了解各項控制與評估的最新結果。

表2是對“結賬”這個過程所進行的分析。

過程：結賬

目標：財務報告的準確完整性

財務報告要素：全部財務報告要素

ISO9001：2015版標準中的風險管理的解釋

采取基于風險的方法

ISO/DIS9001：2015版標準是一部具有很強風險導向的標準。一個組織要建立基于風險的思維方式，首先必須對其可測量的目標進行定義，因為風險本是對實現目標的各種進步的阻礙。

一個組織必須確定自身的風險偏好和風險承受能力，這樣才能形成上下一致的風險觀。在此基礎上，組織可以采用風險分析矩陣，通過綜合考慮事件的可能性及其后果嚴重程度來確定風險等級。

為符合薩班斯-奧克斯利法案的要求，宜采用自上而下、基于風險的方法來選擇適宜的控制措施，通過檢驗識別可能的偏差或重大的虛報問題。據了解，ISO9001和ISO14001標準到目前為止的修訂稿中，都有意提供了一些有用的工具，幫助組織改進其風險管理策略。

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202105/ccaa_21961.html