ISO9001:2015标准——风险管理
熟悉2008年ISO9001质量管理体系的朋友都知道,基于风险的思考是2015年新的主要内容之一。为了应对企业在运营中面临的日益复杂、需求和动态的环境变化,企业需要在管理体系建设中规划和实施应对风险和机遇的措施,从而提高质量管理体系的有效性。摘要
风险管理的基本概念
风险管理的主要过程
质量风险的概念和范围
质量管理体系标准2015对风险管理的要求
1风险管理的基本概念
风险管理的标准源于ISO31000 《风险管理——准则和实施指南》。因为组织的所有活动都有风险,所以组织可以识别、分析和评估是否使用风险处理来修订风险,以满足组织的要求。由于ISO9001的风险主要针对的是质量风险,这里就不详细解释标准了,重点介绍风险的概念、风险管控流程及其在质量管理体系中的应用。感兴趣的朋友可以在网上找到相应的资料进行学习。
风险的定义(ISO9001)
风险是指不确定性的影响。
注1:影响是指偏离预期,可以是积极的,也可以是消极的;
注2:不确定性是对一个事件,甚至是局部结果或可能性缺乏理解或认识的状态;
注3:风险的特征一般通过可能发生的事件和后果或其组合来表示;
注4:通常用事件的后果及其发生可能性的组合来描述风险;
注5:风险一词有时仅在可能出现负面结果时使用;
3E3E3E; --tt-darkmode-color: #A3A3A3;">风险管理是指导和控制某一组织与风险相关问题的协调活动,可通过识别、分析和评定来管理风险,以确保是否采用修正风险的措施。2风险管理的主要过程
风险管理过程是指管理方针、程序和惯例对沟通、协商、明确环境,以及识别、分析、平价、处理、监测和评审风险活动的系统应用。具体详见下图:
对于不熟悉风险管控过程的朋友来说,这一方面内容可能比较抽象。下面简单对各过程的定义,考虑因素以及使用的工具简要做一个说明,后期慢慢运用就会逐渐熟悉起来了。
2.1 风险识别
a)定义:发现、列举和描述风险要素的过程;
b)考虑要素:通过识别风险源、影响范围、事件及其原因和潜在的后果等,形成一个全面的风险列表(了解OHSAS18001的朋友知道这个类似于危险源的识别)。在进行风险识别的时候,除了识别出可能发生的风险事件外,还要考虑其可能的原因和可能导致的后果。
c)风险识别的方法:德尔菲法、头脑风暴法、虚拟团队技术、访谈法、因果图法等
2.2 风险分析
a)定义:系统地运用相关信息来确认风险的来源,并对风险进行评估。
b)考虑因素:考虑导致风险的原因和风险源、风险事件的正面喝负面的后果及其发生的可能性,影响后果和可能性的因素、不同风险及其风险源的相互关系,还要考虑现有的管理措施及其效果。
c)风险分析的方法分为定性分析方法(会议方法、概率影响风险矩阵、项目假设测试、风险紧迫性评估 )和定量分析方法(敏感性分析、决策树分析、期望价值分析、项目模拟、项目评审技术、层次分析法)两部分。
2.3风险评价
a)定义:将估计后风险与给定风险准则进行对比,以决定风险的水平并确定控制风险的有限顺序。
经过风险评价,确定该风险是可承受还是需要进行控制处理。
2.4 风险控制
a)定义:风险管理者采取各种措施和方法, 消灭或减少风险事件发生的各种可能性,或者减少事件发生时造成的损失。
b)风险控制的方法:消极风险应对策略(风险回避、风险降低、风险转移、风险接受);积极风险应对策略(风险利用、风险承担、风险促进)。
3质量风险的概念和范围
3.1质量风险的概念:
影响客体(包括产品和服务、过程或体系)质量的某些因素的不确定性或缺失对目标和期望的影响程度,或其导致伤害的可能性和后果的严重程度,或及其组合。
3.2质量风险涉及范围:
产品和服务质量风险涉及到产品的整个寿命周期,包括产品和服务市场调研和预测、设计和开发、外部供方提供过程、产品和服务的控制、运行的策划和控制、生产和服务提供过程、监视和测量过程、产品营销管理过程,以及产品处置和报废过程等。
质量风险来源于产品和服务本身特性或产品和服务过程中影响这些特性的5M1E特性。例如:
人员:人员的资质、能力和意识等;
机器:设备设施、工装等
物料:外部供方管理过程;
方法:形成文件的信息、设计和开发过程方法、工艺等;
环境:产品的运行环境,生产环境,使用环境等
测量:验证、测试以及测量设备的管理等。
当以上因素不受控时,必然会影响到产品和服务本身的特性,导致质量风险的发生。
4
2015版质量管理体系中对风险管理的要求
质量管理体系的风险来源于组织内外部以及相关方。在2015版ISO9001中,涉及风险相关的内容包括13个方面:
(1)4.1和4.2要求识别组织和外部和内部环境,以及来自相关方的风险因素。
(2)4.3要求在界定质量管理体系范围时应考虑4.1和4.2所识别的风险,以及风险的重要度;
(3)4.4 规定应对所确定的风险和机遇;
(4)5.1.1 提出促进机遇风险的思维;
(5)5.1.2提出确定和应对能够影响产品和服务的符合性,以及增强顾客满意度能力的风险和机遇;
(6)5.2.1 提出质量方针应适应组织的宗旨和环境(即环境风险)并支持其战略方向。
(7)6.1.1 要求策划质量管理体系时,组织应考虑4.1所描述的因素和4.2所提出的要求,确定需要应对的风险和机遇。
(8)6.1.2 组织应策划应对这些风险和机遇的措施,应对风险和机遇的措施都应与其对于产品和服务符合性的潜在影响相适宜。
(9)8.1 要求组织策划、实施和控制满足产品和服务要求所需的过程(4.4),并实施第6章应对风险和机遇所确定的措施。
(10)8.3.3 要求组织应考虑由产品和服务性质所决定的失效的潜在后果。
(11)8.3.6 要求组织应识别、评审和控制在产品和服务设计和开发期间以及后续所做的变更,以避免不利影响,确保符合要求。
(12)9.1.3 要求组织应利用分析结果评价针对风险和机遇所采取的措施的有效性。
(13)9.3.2 要求规定策划和实施管理评审时应考虑与质量管理体系相关的内外部因素的变化以及应对风险和机遇所采取措施的有效性(6.1)。
总的来说,基于风险的思维使得组织能确定可能导致过程和质量管理体系偏离预期结果的各种因素,采取预防控制,最大限度的降低不利影响,并最大限度的利用出现的机遇。
总结:本文主要对风险管理的基本概念、管理方法以及2015版ISO9001中有关风险点的控制进行了简要概括。在后面学习标准条款时,再通过详细举例的方式说明风险如何管控,形成怎样的表单,写体系文件时应考虑哪方面的内容。
