GB/T19001-2016/ISO9001:2015中“风险管理”怎么应用?

2017-08-16 07:53李道重

上海质量 2017年6期

◆李道重/ 文

◆李道重/ 文

GB/T19001-2016/ ISO9001:2015国标中以非常明确的方式提出了“风险管理”。与该标准2008版相比较，“采用基于风险的思维”是其中一个主要的变化。该标准采用过程方法，该方法结合了“策划—实施—检查—处置”（PDCA）的循环和基于风险的思维。组织根据该标准实施质量管理体系的潜在益处之一是：应对与组织环境和目标相关的风险和机遇。标准6.1条款专门针对“应对风险和机遇的措施”提出要求。在该标准中“风险”一词的出现频率很高。

因此，“风险”一词在该版本标准中重要性不言而喻。凡想要获得认证的组织，若未对风险控制进行必要策划且造成严重后果的，将在审核过程中完全有可能得“严重不符合项”。下面笔者针对风险管控提出自己的见解，供读者参考。

（一）“风险”的定义

有很多种“风险”的定义。比如：风险是指在某一特定环境下，在某一特定时间段内，某种损失发生的可能性。又如：风险是指某一特定危险情况发生的可能性和后果的组合。再如：危险、遭受损失、伤害、不利或毁灭的可能性。

笔者认为，我们理解标准使用的专用词语的正确出发点是严格执行GB/T19000-2016/ ISO9000:2015以及其他ISO同系列的标准。所以，我们要看该标准中是如何解释“风险”的。在GB/ T19000-2016/ISO9000:2015标准3.7.9中给出了“风险”的定义：不确定性的影响。

“影响”是指什么？在注1中有解释：影响是指偏离预期，可以是正面的或负面的。对照百度上查到的各种定义，我们会发现，日常生活中提到的风险仅仅指负面意义。而标准中包涵正负面双重涵义。

怎么判定影响是正面或是负面的呢？在GB/T19000-2016/ ISO9000:2015标准中没有给出解释。然而GB/T19000-2016/ ISO9000:2015标准的引用文件第32项是GB/T23694-2013《风险管理术语》。在GB/T23694-2013中对风险有个定义，笔者认为，可以参考该标准作进一步的理解。GB/ T23694-2013标准等同采用 ISO Guide73:2009标准。在该标准中，风险是指“不确定性对目标的影响。”这样，风险性质的评估也就有了比对的对象。

风险本身是没有正负面区分的。其双面性、正负面仅仅是人为根据自己的需求划分的。有时候，同一个“影响”对组织内不同的目标来讲也是不同的，对一些目标可能是正面，对其他目标可能是负面。风险的正负面就像手掌，手心手背都是肉。

风险的正负面也可能会随着时间而变化。由于组织本身状况发生了变化，或者目标发生了变化，同一个风险的影响性质可能由正面变为负面，或者相反。所以，不能够以单方面的、单维度的、静止的眼光去看待风险的性质。

（二）风险管控如何实施

市面上有很多关于风险管控理论的书籍，组织在实际运行中也积累了很多的经验和教训。不同的质量管理体系对风险管控提出了不同的要求。但作为GB/T19001-2016/ ISO9001:2015标准的实施者或者期望获得认证的组织，笔者认为风险管控的实施首先要满足GB/ T19001-2016/ISO9001:2015的要求。在此基础上，可以选择超出该标准的要求进行实施。

在GB/T19001-2016/ ISO9001:2015正文中风险出现的条款有：4.4“质量管理体系及其过程”；5.1“领导作用和承诺”；6.1 “应对风险和机遇的措施”；9.1.3“分析与评价”；9.3.2“管理评审输入”；10.2“不合格和纠正措施”。笔者建议，GB/T19001-2016/ISO9001:2015标准的实施者或者期望获得认证的组织应按照该标准中“风险”出现的条款内容及其次序来策划风险管控以及实施风险管控。这些条款分别是：

（1）4.4.1 f）按照6.1的要求应对风险和机遇；

（2）5.1.2 b）确定和应对风险和机遇，这些风险和机遇可能影响产品和服务合格以及增强顾客满意的能力；

（3）6.1 应对风险和机遇的措施

6.1.1 在策划质量管理体系时，组织应考虑到4.1所提及的因素和4.2所提及的要求，并确定需要应对的风险和机遇，以：

a）确保质量管理体系能够实现其预期结果；

b）增强有利影响；

c）预防或减少不利影响；

d）实现改进。

6.1.2 组织应策划

a）应对这些风险和机遇的措施；

b)如何：

1）在质量管理体系中整合并实施这些措施；

2）评价这些措施的有效性。

应对措施应与风险和机遇对产品和服务的符合性的潜在影响相适应。

（4）9.1.3分析与评价：

e）应对风险和机遇所采取措施的有效性；

9.3.2 管理评审输入

e)应对风险和机遇所采取措施的有效性

（5）10.2.1

e）需要时，更新在策划期间确定的风险和机遇。

通过研究这些条款，笔者发现，“风险和机遇”在GB/T19001-2016/ISO9001:2015正文中以很高的频率出现，所以组织需要对两者给予相同的重视。日常生活中，我们往往过于重视风险带来的负面影响，或者根据喜好重视机遇。这种模式离标准要求都是有差距的。

对于风险管控，在整个标准中也是按照PDCA循环运行的。虽然标准中第7章和第8章没有出现“风险”的字眼，但是这两章整合了应对风险的措施。在质量体系中，风险管控并不是一次性的工作，而是不断运行、发展和深入的一系列动作。因此，最高领导层要给予足够的重视和资源。在GB/T19001-2016/ISO9001:2015的5.1.1条款中对最高管理者在风险管控方面提出了明确的要求。组织的最高管理者一定要明白，促进“基于风险的思维”是标准赋予其本身的职责。仅仅依靠组织中某个部门或者某些咨询老师的模板文件，肯定不能够将标准要求落实到位，也无法给企业带来益处。

组织领导层对局势的掌控能力在其中显得尤为重要。风险管控以及质量管理都只是组织整个管理体系中的一部分内容。各个目标之间的协调，比如安全目标、质量目标等之间协调的重要性和先后次序是需要特别关注的。这些跟组织存在的目的、组织的文化、组织的战略、商业环境等都有关系。只有最高管理层才有权力和决断力从全局的视角来权衡和协调组织各个管理体系之间的关系并作出决策。

条款6.1“应对风险和机遇的措施”对风险管控的技术层面进行了规定。其逻辑可以简述为：考虑4.1和4.2的输出→确定需要应对的风险和机遇→制定应对风险和机遇的措施→在质量体系中整合这些措施→评价措施的有效性。风险管控的目的在条款6.1.1中有所描述，此处不再赘述。条款9.1.3“分析与评价”和条款9.3.2“管理评审输入”实际上是对“评价这些措施的有效性”的展开。条款10.2“不合格和纠正措施”是对风险应对措施的改进要求。

正面影响的风险也应该与负面影响的风险一样，都要受到相同的重视，也需要采取措施去管控。这么做的原因是，风险的正负面是人为确定的，而不是客观存在的。由于趋利心理的影响，人们会将风险的正面影响放大。但是，风险对于组织的不同层级、不同目标、不同部门的定性可能是不同的，这样操作可能会造成局面“失控”。失控后的局面可能会迅速将正面影响消耗殆尽转而变为负面影响。

标准6.1条款有两个注解，分别对应对风险和机遇的措施给出了示例。这些事例有助于理解标准的内容。但作为操作实践来讲，可能不够全面。组织有可能有其他的方法来应对风险和机遇。另外，笔者认为，注解仅对如何应对正面影响的风险所带来的机遇给出示例。正面影响有时可能不能带来机遇，标准的注解没有对这部分风险如何应对给出解释或者示例。

对于正面影响的风险，笔者建议作如下操作：如果组织有具体的标准化的流程，在没有发生应急事件的情况下首先要确保稳定性，即不能够由没有权限的操作者按照个人或者各自的目标或者喜好进行偏向于制定利己的应对风险的措施。这么做是因为每个层级或者每个过程的目标不一定一致，相应的利益诉求也有差异。此时组织可以通过变更程序或者更改程序，并经过风险评估后再进行风险应对措施的制定和实施。此举是为了确保整个体系始终处于受控状态。如果组织没有具体的标准化的流程（针对发现的正面影响的风险管控或者作业标准），可以根据既有的目标，按照整体利益最大化的原则，制定应对措施，可参照条款6.1.1（增强有利影响，预防或减少不利影响）和条款8.1或者8.3（适用时）相应要求。之所以要参照条款8.1或8.3，是因为组织的风险应对措施需要融入业务流程之中，如此可以预防风险应对措施与业务流程割裂开来。

正面风险应对措施的逻辑与负面风险一样，也要遵循PDCA循环。

（三）案例分析

某组织工艺文件规定：反应釜内加入1000±10升蒸馏水，再加入某几种化学试剂，沸腾15±0.5分钟后停止加热，冷却至30℃以下，然后将液体取出并检测。

（1）公司根据GB/T19001-2016/ISO9001:2015中的标准，针对该工艺过程进行了风险评估及制定应对措施，如上表所示：

案例评述：表格内风险并不是绝对的正面或者负面。对于不同的部门或者目标来讲，可能是正面，也可能是负面。所以，风险的正负面并不是客观的，而是根据组织需求的实际所做的判定结果。

在实施了上述措施后，组织发现操作稳定性进步很大。

（2）生产车间操作者有一次偶然在反应釜内加入了仅仅950升蒸馏水，但当时麻痹大意没有发现。其他操作均满足要求。结果发现，这样的操作不仅仅节省了蒸馏水，而且节省了加热的时间和燃料，并且得到了合格产品。现场的QA在巡检时发现了这一状况，并向主管部门汇报。质量部认为，根据GB/ T19001-2016/ISO9001:2015标准，虽然有这么多益处，但是这仍然是“风险”。本质上，没有按照要求操作，就是“偏离预期”，其影响不管正面还是负面都应归结为“风险”。生产车间认为，既然这么操作没有发现不好的后果，希望能够维持这个参数。通过“变更流程”，工艺部门重新试验，核定了工艺参数，确认加入950升蒸馏水可能会因为挥发过量发生“干烧”，建议将加水量更改为990±10升。为了防止人为错误，又增设了低液位报警装置。车间更新工艺文件后开始实施。这是一个风险带来改进机会的例子。

案例评述：这个案例也很好地说明了，风险的管控以及风险带来的改进机会并不是那么的容易获得。其中有各个部门之间的利益权衡，也有组织为了改进所做的验证工作，这也是有成本的。案例也说明，虽然之前有对风险的管控措施，可是，仍然是不够的，仍然需要在实践中不断弥补差距，不断改进。风险管控也是一个PDCA循环。