ISO 9001:2015贯标中的主要风险：控险过度

编者按

ISO 9001:2015新版换版的过渡期已经过去，几乎每一个采用标准新要求的企业都遇到一个问题：如何理解风险防范的原则和方法。风险防范并不是要求，而是概念。在采纳新标准要求时，应从组织系统自身出发而不是从标准出发。本文原载于俄罗斯《质量管理方法》2018年第10期，作者阿列克散德罗·郁霍夫是俄罗斯政府质量奖专家、全俄质量协会专家组成员，依卡捷丽娜·伯林果伐是俄罗斯政府质量奖专家、俄罗斯认证协会专家、经济学副教授。

许多帮助企业采用新标准要求的注册机构专家（尤其是顾问），把基于风险的方法解释为必须采用ISO 31000系列标准中对风险管理的要求。这种做法并不妥当。

让我们给出几个理由，以证明风险管理和在ISO 9001:2015中强调的管理中基于风险的方法是完全不同的，要用完全不同的方式来处置风险。

理由一：规范的要求

让我们先看看ISO 9001:2015标准本身。附录A的A4说明：“质量管理体系的主要用途之一是作为预防工具。因此，本标准并未就‘预防措施’安排单独章节，而是通过在规定质量体系要求的过程中运用基于风险的思维表达预防措施概念。”

在ISO 9001的2008版本中，预防措施是必须文件化的程序，确定应对潜在的不符合（实际上就是风险）的工作序列。但是，组织不曾在ISO 31000标准的基础上开发“预防措施”程序，也没有提到过程的风险管理。

在附录A中继续说：“虽然6.1规定组织应策划应对风险的措施，但并不要求运用正式的风险管理方法或将风险管理过程形成文件。组织可以决定是否采用超出本标准要求的更多风险管理方法，例如通过采用其它标准或指南。”

标准开发者坚定地主张，应对风险的方法和工作能够沉淀于程序和过程之中。在公司里，这些过程相互作用交织在组织管理中，甚至管理系统本身的文件化程度都与风险有关。如果风险弱小，则无需说明材料。多余的说明书和不需要的程序使企业不堪重负，也是风险！

在ISO 31000标准里，要求对存在于企业的几乎每个风险，都要按形式化方法做出分析、评估和处置，并要求对所有这些工作文件化。ISO 9001:2015标准的理念则反对这么做。

值得指出的是，ISO 9001:2015标准在采用基于风险的方法时，并没有引用ISO 31000作为建议或必须的要求。仅有的例外是“目录”，原因是用于风险的术语和定义，正取自于ISO 31000标准。

理由二：要求的解释

ISO 31000系列标准，是以企业的资金管理为导向的。风险管理方法的首要目的，就是处置风险时成本最小化。ISO 31000的风险管理的思路如图所示：

·辨识组织中所有可能的风险并进行记录；

·根据一种方法或能够互相之间比较所有风险的多种方法评估风险，以制定出从高到低风险级别，并进行记录；

·根据帕累托原则，为化解高风险实施最小化程序拨款，并进行记录；

·重新考察所有风险并更新它们的级别：处置过的高风险变为中等或无害的，而尚未处置过的中等风险，取代“下沉的”高风险，占据了风险级别的第一位，重新记录一切；

·重复循环处于第一位的风险化解程序。

如此，年复一年地最小化风险，且在此的花费也越来越少。这样的方法，暗示存在着独特的“正确清算风险”的方法，符合每个企业的特性。所有过程的首要任务，就是提升公司工作的效率。

ISO 9001基于风险的方法不要求任何最小化风险的方法或程序。别忘了：ISO 9001是以消费者为主的结果导向的标准，而不是以提高企业本身效率为导向的标准。

强调基于风险的方法的实施，不应当在文件或其他证明材料中寻找，而应在公司的工作本身、过程或程序本身中，在实践的结果中，甚至在任何一个机构单位是否存在可能的风险中去寻找。

合格供应商的选择与评价（ISO 9001:2015之8.4.1），或实施输入控制（ISO 9001:2015之8.4.2），已经将选择不良供应商或从其接收瑕疵产品的风险最小化了。法律法规是防止外部因素（利益相关方）影响的特殊手段，在ISO 9001:2015标准中常提到。

如果一家公司在风险存在时仍能正常运行，并取得预定的成果，显示过程效率和绩效的高指标，难道就能说它没有处置风险、没有对风险的任何防范吗？显然不是。

理由三：实施结果

现在可以有把握地说，每100家企业中有80家在应用基于风险的方法时采用了ISO 31000标准。但是企业这么做不是因为需要它，而是因为别人都在那样做。有的还强调说，这是ISO 9001:2015标准的要求。

作为结果，企业中的人完全不理解，为什么在纸上抄写所有可能的风险但从不管理这些风险。然后，还要根据对他们来说不理解的方法重新计算（评估）风险，而这些方法实际上又不是工作方法类的。浪费了大量的纸张，耗费了许多时光，却既无财政上的效益，又不见效率提升。

谁之过？这是复杂的问题，可以指责企业本身：未理解标准要求的思想就采用它；或者指责迫使企业采用不需要工具的专家们：让顾问因此挣钱；同样可以指责ISO 9001:2015标准的开发者“不明确地”在纸上写下自己的想法，从而使标准要求的解释各异。

本文作者的意见是，过错的根源在于无论是企业的管理者，还是专家和顾问，都缺乏理性的思维。

须知穿越车行道时，任何人都会先看看左边，再看看右边。无论谁都不会在自己的笔记本上做与路上看见的汽车相关的所有风险的复杂计算。他知道撞上汽车的风险。在自己的生活中他运用简单的工具（即理性的思维），来避免类似的风险。

同样地，在企业采用新工具与新方法时，也运用理性的思维吧。

图 风险管理思路

（俞钟行 编译）