聚焦ISO 9001:2015

聚焦ISO 9001:2015

编者按

本文发表于2014年9月的《质量进展》，作者桑福德☒雷比斯曼（Sandford Liebesman）是美国新泽西桑福德质量咨询公司总裁，拥有30余年的质量领域从业经验，先后供职于贝尔实验室、朗讯科技和贝尔通信研究所。作为美国质量协会的会员，曾担任电子与通信委员会主席一职。从1984年至今，他一直是国际标准化组织质量管理和质量保证技术委员会美国技术顾问小组的成员。在此期间，他参与了所有版本的标准修订工作。ISO 9001新版标准首次引入了“风险”概念，本文通过对ISO9001相关风险条款的详细分析，说明如何增强企业的风险管理。包括风险的4种分类以及风险的分析方法。

近十年来，经济全球化为每个组织带来许多前所未有的机遇。与此同时，组织也必须面对变化带来的各种风险，其中包括互联网以及服务广泛向其他国家外包而引发的风险。为了适应这些变化，组织必须采取一种基于风险的思维模式、应对方式及其相关工具，来识别、管理并移除风险。对此，行之有效的手段一般包括界定组织目标、分类风险、识别实现目标所面临的风险以及开发风险管理方法等要素。

lSO/DlS 9001∶2015中的“风险”元素

当组织为了符合修订标准的规定实施相应调整时，将不可避免地受到ISO/DIS 9001∶2015所包含的许多基于风险的元素的影响。这里将归纳ISO/DIS 9001∶2015中的一些风险元素。

定义。ISO/DIS 9001∶2015将风险定义为“对预期结果的不确定性影响”。但国际标准草案（DIS）中并未涉及有关风险防范活动的相关要求。

过程方法。过程方法是国际标准草案第4.4条重点讨论的一项内容，主要在于要求组织“确定质量管理体系（QMS）所需的过程”并将其应用于整个组织，这包括识别：

——投入、产出和资源；

——先后顺序和相互作用；

——效率；

——职责和改进的机会；

——风险和机遇以及必需的应对措施。

客户导向。第5.1.2条规定，最高管理层必须“通过确保……识别和应对可能影响产品、服务及客户满意度提升能力的风险和机遇，证明其以客户为导向的领导和承诺。”

风险和机遇的应对措施。第6.1.1和6.1.2条规定，组织必须“确定风险和机遇”并妥善应对，以确保质量管理体系能够：

——实现期望的结果；

——预防或减少非预期的影响；

——实现持续改进。

为应对风险和机遇所采取的措施必须考虑对产品、服务的合规性以及客户满意度的潜在影响。此外，组织应该以“计划性和系统性的方式”开展变革，识别风险和机遇，并评估变革活动的可能结果。可选的风险应对措施包括风险规避、风险源头阻断、风险分散以及决定是否承担风险等。

交付后活动。根据第8.5.5条，在标准适用的前提下，组织必须确定并满足与产品和服务的属性及预期生命周期相关的交付后活动要求，具体包括：

——与产品和服务相关的风险；

——使用和生命周期；

——客户反馈；

——法律法规要求。

管理评审。第9.3条规定，组织必须考虑风险和机遇应对措施的有效性（参见第6.1条），其中包括：

——确定需要监测和测量的对象，以使组织能够证实产品和服务符合要求；

——评估过程绩效（参见第4.4条）；

——确保质量管理体系的合规性和有效性；

——评估客户满意度。

内部审核。第9.2条规定，组织必须“规划、建立、实施和维护一个或多个审核方案”，并设定“频次、方法、职责，规划审核要求，报告审核结果”。审核方案应考虑质量目标、相关过程的重要性、关联风险以及以往审核的结果。

基于风险的方法。附录1第4条对基于风险的管理方法进行了说明，其中包括：

——要求组织对所处环境进行充分了解，例如所需面对的内外部问题；

——认识管理体系作为风险规避工具的重要作用；

——识别风险和机遇；

——应对已识别的风险和机遇。

运用基于风险的思维方式

影响组织的四类主要风险及其因素叙述如下。

1.组织风险

组织风险主要出现于组织的实体和活动层面。实体层面的风险包含内外两个方面。外部风险因素包括技术、竞争和立法。内部风险因素则涉及安全、信息系统、进出货损失、员工能力和职责改变等。

活动层面的风险将对组织的每个部门或职能单位产生影响，包括未纳入系统的信息或物料、进货报告或发运记录的遗失、安全控制不力、员工技能不足或工作上的麻痹大意。一旦在整个组织内部出现活动层面的风险，最终将导致实体层面风险的不断增长。

2.战略风险

战略风险通常在组织的战略或经营计划存在缺陷时发生，是指因经营计划或战略的推行失败而面临的损失，其诱因可能在于经营决策失误、决策执行不力、资源分配不合理或未能及时应对经营环境的变化。

3.合规风险

合规风险的源头在于法律法规的相关要求。由于面临处罚、停业或刑事诉讼的风险，组织必须对环境、健康和安全方面的法律法规要求给予足够的重视。符合质量和环境的标准及规格要求也属于此类风险范畴。

环境风险既包括污水泄漏、废气排放及固态废料的随意处置，也涵盖下列风险事件：

——采购部门由国内向国外的转移；

——未更换一个关键的环境合规负责人；

——未能建立新材料的数据安全表。

4．运营风险

一般而言，运营风险主要包括七个类别：

（1）管理体系风险。管理体系可能会因战略、实践和工具、数据处理、呼叫中心、合同管理、设计和开发等环节存在的各种问题而降低效率。举例而言，外包程度较高的供应链可能会成为组织面临的一个主要风险。

其他管理体系风险还包括收入认定错误、违反国土安全规定、不符合环境要求及相关法案。这些行为可能会导致组织面临处罚、停业或刑事诉讼的风险。为了有效降低此类风险，组织的最高管理层及董事会应对自身的管理体系了如指掌，并致力于不断提升其运作效率。

如果以下方面的活动出现问题，组织的管理体系必将受到殃及：

——人力资源管理；

——管理工具；

——数据处理；

——呼叫中心；

——市场营销；

——合同管理；

——客户沟通；

——设计与开发。

最高管理层和董事会应该了解自身的管理体系并努力提升它的效率。

（2）客户满意风险。客户满意风险通常受到客户沟通、延迟交付、产品、设计与维修、对客户意见处理不力等问题的影响。为了降低这类风险，有关客户满意度方面的数据应连同产品质量数据、产品和过程监控数据、供应商质量反馈数据等一起纳入分析过程。

（3）供应链风险。采购经理必须对外包产品和服务、独立供应商、交付及时性、库存管理和单据留存等问题给予足够的重视。沟通工作对于供应链的高效运转至关重要，用于管理供应链风险的度量指标一般包括交付时间、库存水平及成本费用。

（4）影响利润水平的收入认定风险。管理此类风险主要在于从产品销售、生产直至交付、转化为应收付款的各个环节进行跟踪。应付账款、应收账款、交付前收入记录、报价-现金等出错、电子报表错误以及不完整的价格信息都将对收入确认产生影响。

质量经理对于有效控制收入认定过程负有不可推卸的责任。组织的质量管理体系与财务管理体系之间相互重叠，主要体现在产品实现、成本、销售、发票、付款、库存管理和交付等方面。有关货物发运的数据将直接计入应收账款并进行收入确认。对于一些组织而言，收入认定方面存在的问题将对整体利润产生较大的冲击，并可能进一步造成股价的下跌。

此外，虚假的收入确认还将引发重大错报风险。因此，审计人员应对旨在发现收入认定过程中造假行为的控制手段加以考察和完善。

（5）信息安全风险。此类风险主要包括病毒、不安全的文件、不准确的财务记录和报告、变革控制不足、信息检索错误、电子报表滥用、任用承包商和咨询顾问、引进新技术以及商业间谍和欺诈。

在ISO/IEC 27001∶2005《信息技术—安全技术—信息安全管理体系要求》标准中，提出了建立、实施、运营、监控、评估、维护及改进信息安全管理体系的相关要求。

（6）物流风险。影响物流风险的因素如下所示：

——原材料和成品的运输；

——货运过程中的损毁；

——导致无法实现预期交付要求的延迟；

——导致物料短缺的延迟；

——国土安全信息要求。

为了有效降低物流风险，组织必须掌握能够在不干扰供应链的前提下监视、跟踪货物的新手段。当产品离开生产环节之后，组织必须克服一切物流方面的难题，将货物及时、妥善地运送至客户手中。

（7）自然灾害风险。在过去几年中，全球经历了各种各样的自然灾害。为了满足业务连续性的要求，组织必须确保信息安全地存储于保护性设备中，并对灾后恢复做出提前规划。

在业务连续性方面，信息技术发挥着至关重要的作用。信息技术程序应该保证业务连续性能及时、有效地运作。组织内部的信息技术人员也应成为业务连续发展团队的成员。

信息技术部门应该提供信息的安全保存和保护性存储，同时进行管理和维护，提供安全性，以应对各种自然灾害。具体的方法主要包括定期复制信息，并将其存储在位于其他安全位置的备份系统中。存储于此的数据应该定期接受准确性测试。

ISO/IEC 27001规定了针对业务连续性管理的控制标准。一项“业务连续性计划”通常包含以下要素：

——业务风险与影响分析；

——对于灾害事件的初期应对措施；

——管理突发事件的程序及业务恢复过程；

——多层面的培训计划；

——不断更新业务连续性计划的流程。

业务连续性计划应定期演练。对于业务连续性计划，组织应重点针对以下问题：

——是否制定书面计划以确保信息过程的连续性？

——是否每年都会对计划进行更新和测评？何时进行计算机硬件、软件或应用系统方面的重大改进？

——是否定期测试备份媒介？

——是否定期备份应用程序、应用数据和操作系统软件？

——是否将计划副本和备份数据异地保存？

风险分析方法

当组织确定自己的风险偏好和风险承受度，以使全体成员了解风险理念时，即为风险分析的开端。在明确偏好和承受度之后，组织可以运用相关工具确定风险水平并管理已知的风险。组织的控制机制是一项重要工具，特别是在《萨班斯—奥克斯利法案》合规方面表现突出。这种合规性一般是指在实体和活动层面上的财务控制。

风险偏好和风险承受

风险偏好是指组织实体愿意接受的风险总量，是一种可用来权衡业务风险回报的方法。对于《萨班斯—奥克斯利法案》合规性而言，风险偏好体现着领导高层的管理基调。根据美国反虚假财务报告委员会的发起组织委员会的说明，风险偏好对于形成控制环境的作用不容小觑。突破风险偏好的局限进行风险评价是制定可供执行的预防性措施的有效途径。

风险偏好是针对已识别风险进行资金分配的动因之一。增加对于风险偏好的认识可以提高组织内部资金分配的有效性。风险偏好是风险承受能力的体现，其制约因素包括组织保持信用评级和达到规定资本要求所需的资金。

另一方面，风险承受与组织实体的特定目标休戚相关。它主要是指组织实体乐于接受的与目标相关的风险变动水平。组织内部不同职能的风险承受度各不相同。

风险偏好是一个组织实体范围的更宽泛概念，而风险承受则更为聚焦。对于组织内部不同的运营部门，风险承受度可能截然不同。但是，当不同部门的风险承受度相互结合时，最终将形成由最高管理层和董事会所设定的整体风险偏好。

运用控制机制

组织的控制机制是管理风险的重要手段之一。对于《萨班斯—奥克斯利法案》合规性而言，控制机制显得更为重要。审计人员应将组织的控制机制作为合规过程中的一项重要内容予以考核。财务控制和质量控制对于实体和活动两个层面而言不可或缺。质量控制在ISO9001和ISO14001标准中均以“应该”这种表述方式出现。“应该”表述方式通常涉及提交数据。此外，一些过程绩效要求还包括结果记录，以用于识别迫近风险。

举例而言，实体层面的控制机制包括：

——人力资源政策；

——行为准则；

——沟通策略；

——会计政策；

——管理层的风险评价过程、组织结构和合同审核。其中，合同审核要求涉及ISO/DIS 9001∶2015新版标准第8.2.3条“针对产品和服务相关要求的审核”中的内容。

活动层面的控制机制包括总账与明细账相符、数据的自动验证和编辑检查、保密信息的访问限制、记账之前编号交易、录入之前对纸质信息进行审核和核准。

活动层面的质量控制包括生产控制（第8.6.1条）、纠正不合格产品和服务的文件信息（第8.8条）以及对重要环境因素加以识别（ISO 14001∶2004第4.3.1条）。

风险和预防措施

有效的风险评价活动包括：

——明确组织可衡量的目标；

——确保目标的相容性；

——确定实现目标所面临的风险；

——判断风险的严重程度，风险分析矩阵可用于确定风险的危急程度；

——运用风险管理工具降低风险，例如ORCA（目标、风险、控制和融合）过程、ISO 9001改进过程、失效模式及后果分析、风险控制矩阵等。

风险分析矩阵

风险分析矩阵是用于管理风险的一个重要工具。对于任何已识别的风险而言，风险的后果和发生概率都有赖于估算确定，然后再将估算数据代入风险分析矩阵（如表1所示）之中。

在确定每一风险的重要程度后，可以针对极高和较高的风险采取措施。根据ISO/DIS 9001∶2015新版标准规定，相关过程应包括以下环节：

——采取措施控制并纠正不符合标准之处；

——评估移除风险根源所需的措施；

——实施改进措施；

——评价措施的有效性；

——在必要时对质量管理体系进行调整。

ORCA模型

风险管理专家格雷戈☒哈钦斯建议，可将ORCA模型作为一种组织风险评价方法善加利用。他指出：“这个模型得到广泛的认可和采用。它不仅植入了过程、内部控制和系统稽核等其他类型的评价元素，还符合当前以风险管理和运营效率为重点的公司治理要求。”

ORCA模型要求组织：

——明确组织目标；

——识别并评价组织各层面的风险；

表1 风险分析矩阵

——建立均衡的控制体系以管理组织风险；

——确保整个组织的目标、风险及控制手段相互协调。

在风险评价完成之后，高层和运营管理者应该着手制定风险管理及业务决策实施方面的相关战略。风险管理战略包括风险规避、风险移除、风险接受、风险分散和风险控制。

ISO 9001改进过程

ISO/DIS 9001∶2015新版标准第10.2条规定，组织应针对以下方面改进质量管理体系：

——数据分析的结果；

——组织所处环境的改变；

——已识别风险的变化（参见第6.1条）；

——新的机遇。

失效模式及后果分析（FMEA）

FMEA是一种用于风险排序及采取预防性措施降低风险的方法，它可以检查产品或过程可能出现的各种失效，帮助制定降低风险的矫正措施。

FMEA方法的首要步骤在于对相关系统各个环节的清晰描述。接下来应确定每一环节出现失效时的后果。每一环节出现失效的概率和严重程度可以通过风险分析矩阵进行评估。除此之外，还能识别失效检测的控制能力。

为了杜绝或降低发生失效的可能性，或增强风险的洞察能力，组织必须制定有效的措施。最后，FMEA还可以帮助组织推行过程及产品的变革，从而杜绝潜在问题的出现。

表2 管理体系的失效风险

表3 客户满意风险

表4 供应链风险

表5 收入认定风险

ReliaSoft公司的卡尔☒S.卡尔森将一个有效的FMEA过程归纳为11个步骤。这个步骤以制定战略和资源计划作为开始，然后是一系列通用步骤，包括设计管理评审、质量审核、供应商失效模式及后果分析、实施方法及后续的建议措施等。他的最后步骤包括软件支持、关联至其他过程和测试，以及对现场失效的后续跟踪等。

表6 信息安全风险

表7 物流风险

表8 自然灾害风险

风险控制矩阵

风险控制矩阵是一种用于管理特定过程风险的工具。控制体系主要是为了识别对过程产生影响的个体风险的状态。组织的管理者可以通过风险控制矩阵获得对控制评估结果的直观认识。

采用基于风险的方法

ISO/DIS 9001∶2015新版标准具有强烈的风险导向性。组织基于风险的思维方式必须以可以衡量的目标作为开始，风险是影响目标实现进程的阻碍。

组织必须确定自身的风险偏好和风险承受度，以便获得统一的风险理念。然后可以通过风险分析矩阵归集事件概率及后果的方法来界定风险水平。

在《萨班斯—奥克斯利法案》合规过程中，应该运用自上而下、基于风险的方法构建并测试控制手段，从而识别现有的缺陷和可能的重大错报。截至目前，修改后的ISO 9001和ISO 14001新版标准似乎为组织完善风险管理战略提供了各种颇具价值的工具。

在阅读完毕有关风险思维方法的基本内容后，不妨利用本文的表格（见表2～表8）练习如何改进组织的风险管理方法。