熟悉2008版ISO9001质量管理体系的朋友都清楚，基于风险的思维是2015版新增的主要内容之一。为了应对企业在经营中所面临的日益加剧的复杂性、需求和动态的环境的变化，企业在管理体系建设中，需要策划和实施应对风险和机遇的措施，以提高质量管理体系的有效性。

         有关风险管理的标准的源于ISO31000《风险管理——准则和实施指南》，因为组织所有的活动都存在风险，所以，组织可以通过这个标准来识别、分析和评定是否运用风险处理修订风险以满足组织的要求。因ISO9001的风险主要是针对质量的风险，在这里就不详细讲解该标准了，只是重点讲解下风险的概念、风险管控过程以及在质量管理体系方面的应用。有兴趣的朋友可以在网络上找相应的资料进行学习。 

风险的定义（ISO9001）

风险是指不确定性的影响。

注1：影响是指偏离预期，可以是正面或负面的；

注2：不确定是一种对某个事件，甚至是局部的结果或可能性缺乏理解或知识的信息的状态；

注3：一般通过有关可能事件和后果或两者组合，来表现风险的特性；

注4：通常风险是以某个事件的后果    及其发生可能性的组合来描述；

注5：风险一词有时仅在有负面结果的可能性时使用；

风险管理是指导和控制某一组织与风险相关问题的协调活动，可通过识别、分析和评定来管理风险，以确保是否采用修正风险的措施。

      风险管理过程是指管理方针、程序和惯例对沟通、协商、明确环境，以及识别、分析、平价、处理、监测和评审风险活动的系统应用。具体详见下图：      

对于不熟悉风险管控过程的朋友来说，这一方面内容可能比较抽象。下面简单对各过程的定义，考虑因素以及使用的工具简要做一个说明，后期慢慢运用就会逐渐熟悉起来了。

2.1 风险识别

a)定义：发现、列举和描述风险要素的过程；

b）考虑要素：通过识别风险源、影响范围、事件及其原因和潜在的后果等，形成一个全面的风险列表（了解OHSAS18001的朋友知道这个类似于危险源的识别）。在进行风险识别的时候，除了识别出可能发生的风险事件外，还要考虑其可能的原因和可能导致的后果。

c）风险识别的方法：德尔菲法、头脑风暴法、虚拟团队技术、访谈法、因果图法等 

2.2 风险分析

a）定义：系统地运用相关信息来确认风险的来源，并对风险进行评估。

b）考虑因素：考虑导致风险的原因和风险源、风险事件的正面喝负面的后果及其发生的可能性，影响后果和可能性的因素、不同风险及其风险源的相互关系，还要考虑现有的管理措施及其效果。

c）风险分析的方法分为定性分析方法（会议方法、概率影响风险矩阵、项目假设测试、风险紧迫性评估 ）和定量分析方法（敏感性分析、决策树分析、期望价值分析、项目模拟、项目评审技术、层次分析法）两部分。 

2.3风险评价

a）定义：将估计后风险与给定风险准则进行对比，以决定风险的水平并确定控制风险的有限顺序。

经过风险评价，确定该风险是可承受还是需要进行控制处理。 

2.4 风险控制

a）定义：风险管理者采取各种措施和方法， 消灭或减少风险事件发生的各种可能性，或者减少事件发生时造成的损失。 

b）风险控制的方法：消极风险应对策略（风险回避、风险降低、风险转移、风险接受）；积极风险应对策略（风险利用、风险承担、风险促进）。

影响客体（包括产品和服务、过程或体系）质量的某些因素的不确定性或缺失对目标和期望的影响程度，或其导致伤害的可能性和后果的严重程度，或及其组合。

3.2质量风险涉及范围：

产品和服务质量风险涉及到产品的整个寿命周期，包括产品和服务市场调研和预测、设计和开发、外部供方提供过程、产品和服务的控制、运行的策划和控制、生产和服务提供过程、监视和测量过程、产品营销管理过程，以及产品处置和报废过程等。 

质量风险来源于产品和服务本身特性或产品和服务过程中影响这些特性的5M1E特性。例如：

人员：人员的资质、能力和意识等；

机器：设备设施、工装等

物料：外部供方管理过程；

方法：形成文件的信息、设计和开发过程方法、工艺等；

环境：产品的运行环境，生产环境，使用环境等

测量：验证、测试以及测量设备的管理等。

当以上因素不受控时，必然会影响到产品和服务本身的特性，导致质量风险的发生。

质量管理体系的风险来源于组织内外部以及相关方。在2015版ISO9001中，涉及风险相关的内容包括13个方面： 

（1）4.1和4.2要求识别组织和外部和内部环境，以及来自相关方的风险因素。

（2）4.3要求在界定质量管理体系范围时应考虑4.1和4.2所识别的风险，以及风险的重要度；

（3）4.4 规定应对所确定的风险和机遇；

（4）5.1.1 提出促进机遇风险的思维；

（5）5.1.2提出确定和应对能够影响产品和服务的符合性，以及增强顾客满意度能力的风险和机遇；

（6）5.2.1 提出质量方针应适应组织的宗旨和环境（即环境风险）并支持其战略方向。

（7）6.1.1 要求策划质量管理体系时，组织应考虑4.1所描述的因素和4.2所提出的要求，确定需要应对的风险和机遇。

（8）6.1.2 组织应策划应对这些风险和机遇的措施，应对风险和机遇的措施都应与其对于产品和服务符合性的潜在影响相适宜。

（9）8.1 要求组织策划、实施和控制满足产品和服务要求所需的过程（4.4），并实施第6章应对风险和机遇所确定的措施。

（10）8.3.3 要求组织应考虑由产品和服务性质所决定的失效的潜在后果。

（11）8.3.6 要求组织应识别、评审和控制在产品和服务设计和开发期间以及后续所做的变更，以避免不利影响，确保符合要求。

（12）9.1.3 要求组织应利用分析结果评价针对风险和机遇所采取的措施的有效性。

（13）9.3.2 要求规定策划和实施管理评审时应考虑与质量管理体系相关的内外部因素的变化以及应对风险和机遇所采取措施的有效性（6.1）。 

       总的来说，基于风险的思维使得组织能确定可能导致过程和质量管理体系偏离预期结果的各种因素，采取预防控制，******限度的降低不利影响，并******限度的利用出现的机遇。 

        总结：本文主要对风险管理的基本概念、管理方法以及2015版ISO9001中有关风险点的控制进行了简要概括。在后面学习标准条款时，再通过详细举例的方式说明风险如何管控，形成怎样的表单，写体系文件时应考虑哪方面的内容。