關于新版質(zhì)量管理體系中“風險”的理解與實施

張曉予,　楊亞賢

(上海船舶運輸科學研究所，上海 200135)

0　引　言

隨著國際貿(mào)易的不斷增加，不同經(jīng)濟體間存在技術規(guī)范差異的問題不斷顯現(xiàn)，為消除技術性貿(mào)易壁壘以促進國際貿(mào)易，2014年修訂GB/T 19001—2008《質(zhì)量管理體系 要求》的任務正式列入國家標準化管理委員會《2014年國家標準修訂項目》，按照國家標準制定和修訂計劃的安排，組織成立標準起草組，研究近幾年出現(xiàn)的質(zhì)量管理新概念，同時為保證質(zhì)量管理體系認證證書的國際互認，我國新版質(zhì)量管理體系等同ISO 9001—2015，已于2016年12月底正式發(fā)布。

與2008版標準相比，新版標準的章節(jié)結(jié)構發(fā)生了較大變化，在新版標準中首次提出了“基于風險的思維”的概念，雖然2008版標準中已隱含了基于風險的思維理念，如策劃、評審和改進等條款，但這次新版標準則明確要求企業(yè)通過理解其組織環(huán)境的具體內(nèi)容，將風險與機遇作為企業(yè)開展策劃等一系列工作的前提。這意味著風險與機遇的思維將貫穿于質(zhì)量管理體系中的所有過程，將有助于明確文件與記錄的范圍和程度。

1　風險的定義

GB/T 19000—2016《質(zhì)量管理體系基礎和術語》對“風險”給出了明確的定義，“風險”即為不確定性的影響。定義及其注釋闡述了風險的特性為影響預期的結(jié)果；在質(zhì)量管理體系中風險僅作為負面的影響被控制；風險具有不確定性，其不確定性源于缺乏理解或缺失知識方面的信息；風險的可能性隨相關條件的改變而改變，通常風險與機遇同時出現(xiàn)。當對風險的特性有正確理解時，將有助于企業(yè)在體系運行中對風險進行有效管控。

2　識別風險范圍

“過程方法”、“基于風險的思維”、“PDCA循環(huán)”等構成新版標準的核心概念。影響目標和預期結(jié)果的風險需通過質(zhì)量管理體系進行應對，在整個質(zhì)量管理體系的運用過程中使用基于風險的思維方法，將解決如何應對風險以改進過程中的輸入的問題，以避免非預期的輸出。而PDCA循環(huán)可在每個管理環(huán)節(jié)中加以運用，以形成可持續(xù)改進的良性循環(huán)。

不同的行業(yè)、領域中存在不同的風險，風險與機遇共存，關鍵是在企業(yè)把控風險形成機遇的過程，企業(yè)需建立風險管控措施以確定風險范圍、判定風險來源、識別風險及分析風險，面對風險時可有針對性的采取措施應對風險，避免或降低風險造成的不利影響。

3　影響風險控制的因素

風險控制的關鍵是對風險進行有效識別與評估，能否有效識別與評估風險均取決于企業(yè)的風險意識，企業(yè)長期具有風險意識會使企業(yè)形成對過程風險前期識別的習慣，使企業(yè)能及時地識別風險?；陲L險的思考是企業(yè)的一種自然行為，是企業(yè)員工為達到最佳結(jié)果的自發(fā)思維，這通常是潛意識行為。在策劃和實施質(zhì)量管理體系的過程中，企業(yè)在確定要達到的目標和預期的結(jié)果時，會自發(fā)地識別可能影響這些目標和預期結(jié)果的因素。

企業(yè)的風險評估應對照風險接受準則和企業(yè)目標，量化并區(qū)分優(yōu)先次序，風險評估的結(jié)果能指導并確定有效的管理措施及其優(yōu)先等級來管理風險，采取風險控制措施，可降低風險對企業(yè)的影響。應用基于風險思維的方法，可幫助企業(yè)建立主動預防風險的質(zhì)量價值觀和企業(yè)文化，可更好地完成企業(yè)使命和達成企業(yè)的戰(zhàn)略目標。

4　風險識別與分析方法

企業(yè)應識別風險源、影響區(qū)域、事件、致因誘因和潛在后果，風險識別是識別一個風險可能基于哪些因素發(fā)生，通過影響這些因素，以增強、阻礙、加快或推遲目標實現(xiàn)事件的活動。

建設風險信息系統(tǒng)，加強溝通工作，才能及時識別風險，正確地評估風險并反饋結(jié)果。企業(yè)在建立信息系統(tǒng)的基礎上，構建預警機制，設置預警指標體系及其值域和臨界點，迅速捕捉風險前兆，提醒管理者及時采取相應的防范和化解措施。

企業(yè)內(nèi)部環(huán)境風險分析可采用態(tài)勢分析法(Strengths Weaknesses Opportanities Threats,SWOT)，外部因素風險分析可采用大環(huán)境分析法(Political Economic Social Technological Environment Legal,PESTEL)。此外，針對機械、汽車和電子行業(yè)可采用失效模式與影響分析方法(Failure Mode and Effects Analysis,FMEA)或故障模式及危害度分析法(Failure Mode Effects and Criticality Analysis,FMECA)。

風險分析是風險評估的關鍵，風險分析為風險評價和確定風險是否需處理及最適合的風險處理策略、方法提供輸入。同時,也可為必須作出選擇及選擇涉及不同類型、程度的風險的決策提供輸入。風險分析包括考慮風險的致因和來源、風險所帶來的正面和負面的后果及這些后果發(fā)生的可能性。

風險類型及運用風險評估輸出的結(jié)果應符合風險準則。風險準則應考慮如專家觀點的分歧、不確定性、可行性、質(zhì)量、數(shù)量及信息的持續(xù)相關性等因素。風險分析必須考慮不同風險和其來源的相互依賴，風險程度的確定應在風險分析中予以考慮，并與決策者和利益相關方進行有效溝通。風險分析可在不同層面上進行，依據(jù)環(huán)境條件，分析可以是定性的、半定量的或定量的，也可以是組合的方式，這取決于風險本身、分析目的、可用的信息、數(shù)據(jù)及來源。

企業(yè)可借助風險矩陣，將危害繪制在圖表上進行量化以計算風險。風險的嚴重程度和頻率將成為風險分析的結(jié)果。當企業(yè)利用風險矩陣進行分析并確保其有效性后，就可將此工具應用于企業(yè)的風險管理過程中。風險矩陣整合到運營過程中后，不僅可計算風險，還可實現(xiàn)對高風險事件的及時補救。

5　風險的應對與管理

風險應對包括一個循環(huán)過程,循環(huán)過程包括評價風險處理及確定剩余風險程度是否可允許,當剩余風險程度不可允許，產(chǎn)生新的風險處理手段,則需評價該處理的有效性。

風險應對方案不必互相排斥或適宜所有情況。方案可包括通過決定不開展或停止產(chǎn)生風險的活動來規(guī)避風險；為尋求機遇接收或提高風險；消除風險源；改變可能性；改變目標；與另一方或多方共擔風險；通過有事實依據(jù)的決策保留風險。

組織應針對已確定的風險確定風險管控的優(yōu)先順序，識別為解決風險開展的全部活動，并對這些活動的步驟、方法和職責等要求作出規(guī)定，并將其融入到質(zhì)量管理體系過程中加以實施。通過應對風險和機遇措施的實施，可降低風險發(fā)生、提高機遇利用的概率，以確保目標和預期結(jié)果得以實現(xiàn)。

風險管理機制包括以下過程：

1)明確環(huán)境。企業(yè)所處的內(nèi)外部環(huán)境，明確可能發(fā)生風險的環(huán)境。

2)風險識別。企業(yè)應識別的風險源、影響的區(qū)域和事件及風險發(fā)生后可能帶來的后果。

3)風險分析。風險分析是風險管理的關鍵,風險分析為風險評價和確定風險是否需處理及最合適風險處理的策略和方法提供輸入。

4)風險評價。風險評價的目的是基于風險分析的結(jié)果，幫助作出有關風險需處理和處理實施優(yōu)先考慮的決策,風險評價包括將分析過程中確定的風險程度與風險準則進行比較，確定企業(yè)現(xiàn)有的風險嚴重程度和等級(或可不接受的風險)，其目的是為風險規(guī)避和領導決策提供支持。

5)風險處理。風險管理過程中的風險處理包括選擇一種或幾種修正風險的方案及確定實施方案,一旦實施方案，就可進行有效實施風險管理。

在識別對質(zhì)量管理體系有影響的風險后，企業(yè)應策劃控制風險的措施，已確認的措施計劃需納入質(zhì)量管理體系過程和企業(yè)業(yè)務過程，并評價這些措施產(chǎn)生的效果。這些措施包括資源、能力、意識的提供，允許的策劃，控制、產(chǎn)品和服務要求的確定，產(chǎn)品、服務的設計和開發(fā)等方面。

建立具有風險意識的企業(yè)文化是應對風險的首要任務，可促進企業(yè)的風險管理水平和員工風險管理素質(zhì)的提升，保障企業(yè)風險管理目標的實現(xiàn)，建立有效的風險管理機制。建立風險管控準則，風險較高、管控成本過高或根本無法處理，則風險不可接受；風險較低、管控成本對企業(yè)來說較低，則風險可被接受。對風險評估所識別的每個風險均做出風險處理決定。

參考文獻：

[1]鄭欣然. 關于新版質(zhì)量管理體系標準中的“風險”解讀[J].消費導刊，2016(7):193.