一、应对风险和机遇的措施

【标准要求】

【理解要点】

本章的“ 策划”应理解为是对质量管理体系和相关过程策划提出了通用要求，也是对各类策划活动提出了所需考虑的要点。通观标准全文，其第四章 “组织环境”已包括了质量管理体系及其过程总体策划时所需要考虑的要求， 即 4.4.1 中的 a）-f），另第五章“领导作用”也已具体说明了对体系和过程策划的责任分配和如何落实的要求，第七章“支持”包括了对体系和过程策划时， 所需各类资源的管理和支持，第八章“运行”则具体说明产品和服务提供过程 运行策划时的要求，第九章和第十章中也包括了评价和改进环节策划所需的要求。因此，从标准全文全面和系统的理解本章内容和作用，则应是对质量管理

体系及其所需各类过程策划工作实施时，提出了三方面的通用要求，即是本章的（6.1-6.3），以确保质量管理体系及其过程的策划实施的适宜性、充分性和有效性。

1、6.1 策划实际是谋划，是事前的思考和预判。在质量管理体系及其相关过程的建立、运行和改进的活动时是需要把可能发生的各种情况想在前，并应有应对措施。策划环节对确保质量管理体系和过程能否有效和有效率运行起着重要作用，是PDCA 环节的首要一环。6.1 也是本标准基于风险思维的具体要求。 2、 6.1.1 条款是完成质量管理体系或相关过程策划时所需要的基础要求，

条款中说明这样做会对质量管理体系或其过程带来四个方面的益处，即本条款的 a）-d）。这里 a）是体现质量管理体系的有效性或是可表明组织实现目标和过程的能力；b）和 c）则分别说明这样做会对体系或过程的影响，是增强有利的v 方面，防止和减少不利的方面；d）要求是要实现质量管理体系或过程的改进。这里应理解a）是可实现的目标，b）和 c）是要求或导向，d）是改进方面的要求， 总体讲，这四个方面的要求正是组织建立质量管理体系的根本目的。

3、本条款的重点是“确定需要应对的风险和机遇”，如何确定？其前提是需要考虑组织内、外部因素和相关方的需求和期望。这里标准并未对确定风险的具体方式和方法或是否形成文件信息等提出要求，仅是提出确定需要应对风险的要求，如何理解？结合本标准的附录 A4 可更好的理解这一要求，“A4 基于风险的思维”中明确“本标准要求组织理解其组织环境（见 4.1）并以确定风险作为策划的基础（见 6.1）。这意味着将基于风险的思维用于策划和实施质量管理体系的过程（见 4.4），并有助于确定成文信息的范围和程度。” 即是说明了确定风险的方式和是否形成文件应是由组织根据实际的需要，从所面临的具体环境实际出发确定。

4．本条款体现了标准的基于风险的思维要求，基于风险的思维明确引入

GJB9001C 标准，目的是为促使组织能更有效的应对风险。风险的概念实际总是隐含在 GJB9001C 标准中，它是通过要求组织策划其过程和管理它的业务过程，以防止不利结果的发生。使用“基于风险的思维”是要建立这样的明确认识： 任何时候对风险的认知都是重要的，但规范的风险管理方法和风险评估对所有行业和组织并不都是适宜的。基于“风险的思维”贯穿在质量管理体系的策划、实施、监测和改进的 PDCA 循环及其相关过程的全部活动之中。基于风险的思维总是过程方法的一部份。

5、GB/T19001-2016 标准所推荐的 ISO31000 系列标准，为组织开展规范风险管理提供了统一的语言、通用性实施指南和系统的解决方案。其中ISO31000 标准为国际风险管理的核心标准，阐述了风险管理的原则、架构和过程；ISO31010 标准侧重于风险评估方法与技术的介绍，是实施 ISO31000 标准的技术支持和补充标准；ISO31004 标准是 ISO31000 标准的实施指南，为实施 ISO31000 标准提供具体指导。GJB/Z171-2013《武器装备研制项目风险管理指南》也提供了很好的参考和指导。但是否应用这些标准建立系统的规范的风险管理是组织的自主行为，而且这些标准也并不要求所有的组织都采用一样的风险管理模式，风险管理架构的设计与实施应取决于组织的实际情况（如目标、环境、结构、运营、过程、产品、项目等）和具体实践，对这些标准组织以可以选择或剪裁使用。

【实施要点】

1、在策划质量管理体系过程中，首先组织要了解和分析可能影响实现目标和期望结果的因素，包括内、外部环境、有关相关方的期望和要求，同时在此基础上识别和确定需要管控的风险和可以利用的机遇。所谓机遇就是对组织有利的时机、境遇、条件、环境。另外，风险和机遇是相关的并在一定条件下可相互转化的，从预计的变化或不确定性讲可带来两种结果，一是有利的变化可转化为机遇，二是不利的变化则即为风险。

按本条款要求，组织需要结合考虑标准“4.1 理解组织及其环境”和“4.2 理解相方的需求和期望”条款的要求，通过识别并确定质量管理体系和相关过程中的有关风险和机遇，以确保实现质量管理体系和过程所确定的各项目标， 保持体系和过程的持续有效性并提高效率和增加效益。

在质量管理体系策划的过程中需要体现本条款所要求的基于风险的思维， 具体实施时应包括以下五个方面：

（1） 识别来源于内、外部环境和相关方的期望和要求，确定需要应对的风险和可利用的机遇；

（2） 以基于风险的思维，按优化方式策划质量管理体系的相关过程；具体实施要求是两条：首先是分析风险并排序，其依据应是：什么样的风险是组织可接收和不可接受的准则；其次是策划应对风险具体工作要求，即应对风险的具体计划和活动，可包括对风险避免、消除、降低等应对方式和有关具体措施；

（3） 实施所策划活动安排（计划），并落实应对措施；

（4） 检查应对活动（计划）完成和实施措施的效果，确定是否还需进一步活动；

（5） 总结和改进。这五方面的考虑和实施即是在体系和相关过程中体现了基于风险的思维，也即是满足本条款的基本要求。

为更好的理解和掌握标准中基于风险的思维的实施要点，归纳出图 6-1， 实际具体实施时，需要组织结合实际情况和相关方要求，进行综合考虑。

图 6-1 实施基于风险思维的示意图

对质量管理体系及其过程讲， 大部份的不确定性是可预测的，绝对不利的风险事件发生的概率是不大的（如：战争、天灾或人为破坏等），因此只要风险确定及时有效，应对措施得当是完全可以预防和减少风险的不利影响，其转化为机遇的概率是比较大的。特别是对组织的最高管理者而言，基于风险思想的建立是前提，确定风险和机遇并应对和控制风险是要求，组织做好此方面的策划并能有效实施是水平，能够化解风险并把握好机遇是能力。

2、GJB9001C 标准并未要求组织都采用规范的风险管理，但标准推荐的ISO31000 标准《风险管理原则和指南》对需要实施规范管理风险的组织是很好的参考（不是强制要求）。建议组织结合本次质量体系标准换版或重建过程中剪裁使用这一系列标准，或参考应用 GJB/Z171-2013《武器装备研制项目风险管理指南》，以更好的适应新的需求满足本标准要求，并能更好地适应军方、用户及其组织发展的实际需要。

3、本标准重点关注的是与质量管理体系和相关过程有关的风险和机遇。组织建立基于风险的思维或是实施规范的风险管理时，首先需要或是关注的重

点应是将基于风险的思维应用于建立各级决策的机制方面，特别是对确定需要应对带有重大或关键风险事项的决策时更需要如此；这时还需建立就重大、关键风险在组织内部并与相关方适时保持沟通和评价的机制；以及针对风险管理建立所需的持续改进机制。这三个机制建立和运行可以植入质量管理体系或相关的过程中一并综合考虑和实施。

【审核关注】

组织在考虑了 4.1 所描述的因素和 4.2 所涉及的要求后，确定需要应对的风险和机遇是什么？为什么？这方面可通过对这些风险和机遇的识别和确定过程实现；确定所需应对的风险能否保证质量体系及其过程实现预期的目标或结果，并能否增强有利影响和避免不利影响，并实现体系和相关过程的改进。主要展示的应是所确定的风险事件及其依据。

【标准要求】

【理解要点】

1、标准第 6.1.2 条款是在第 6.1.1 条款确定风险和机遇的基础上，提出了应对风险和机遇措施的策划要求，此条款也是 GJB9001C 标准新增加的要求。实施本条款可更好策划的应对所确定的风险，实现组织的各类目标。

2、具体的策划应对措施要求有两方面，1）应对风险和机遇的措施，2） 需要规定如何实施这些措施；如何实施具体还有两条要求；（1）在体系和过

程中整合并实施这些措施，具体如何整合和实施需要结合本标准的第 4.4 条款

中 4.4.1 f）条款和 4.4.2 条款要求；（2）还需要评价这些措施的有效性。本条款还给出了策划应对措施的适应性要求，即这些机遇和措施的实施“应与对于产品和服务符合性的潜在影响相适应。”

3、本条款的注 1 给出了应对风险的六种方式；注 2 提示了机遇可能给组

织带来六个方面的好处。注 1 和注 2 是对本条款的补充和进一步说明，可供组织具体应用本条款时参考。

4、组织在策划质量管理体系及其过程时，确定了必须应对的风险和机遇之后，接着即需要策划应对措施，风险应对包括选择并执行一种或多种改变风险的措施，一旦实施这些措施，可改变包括风险事件发生的可能性和（或）后果。策划应对措施具体的工作内容有两方面，一是选择风险的应对方式；二是策划所需要实施应对风险的具体措施。策划应对这些风险和机遇而采取的应对方式可包括：

（1） 规避风险。此方式通过不加入或不继续导致风险的活动来实现。适应于规避那些对组织目标实现有重大负面影响的风险，决定不开展或停止产生风险的活动。这种措施所针对的风险往往应具备以下条件：风险程度很高，不能采取或不值得采取预防措施进行预防；采取减轻措施后剩余风险仍不能接受； 组织不愿意接受、转移或共担风险。

（2） 承担风险。这种方式所针对的风险往往应具备以下条件：常常为正面风险的，即机会风险，通过增大后果和发生的可能性实现；或是无法避免的风险，但风险程度不是很高， 组织可以应对，并存在着可以较大地促进组织目标实现的机会。

（3） 消除风险源。适用负面风险，是一种彻底根治方式，如：在产品设计开发中的防错设计措施的实施常属此类。这类方式所针对的风险往往应具备以下条件：风险程度很高、项目对实现组织目标的影响较大、风险源较单一且可以消除。

（4） 改变风险的可能性或后果。因风险是通过这两者组合来表示的，所以这种方式是改变风险的大小，若属于改变风险后果时，其也仅是改变其影响， 并不能改变风险的性质；这类方式所针对的风险往往应具备以下条件：属于风险程度很高、风险项对实现组织目标的影响较大、有降低或消除风险发生可能性或后果的机会。

（5） 分担风险。不改变风险的大小和性质，改变风险的承受主体实现风险的分担；这类措施所针对的风险往往应同时具备以下条件：属于风险程度较高、无可采用的预防措施、风险项对实现组织目标的影响较大、有愿意接受风险转移和风险共担的组织。在风险管理中亦称之为“风险转移”或“风险 共担”。

（6） 保留风险。主要指经评估后组织认为可接受或容忍的风险，这类方式所针对的风险应同时具备以下条件：大多属于投机性风险、风险程度不高、较多地存在着促使组织目标实现的机会。

组织处理风险的应对方式，是需要具有充分信息并结合风险的具体状况和组织所处的条件和环境做决策；为提高应对方式的有效性和效率可以考虑和应用单一的或是综合的方式，综合处理组织可能会更加受益，可根据实际情况选择或实施以上一种或综合多种方式应对同一种或一类风险。

5、组织应策划在质量管理体系和相关过程中，如何整合和实施应对风险和机遇的措施。即是需要将这些措施整合和植入体系和过程的要素或是活动中， 在体系和过程的有效运行和具体实施中使其真正发挥作用，为目标的实现做出贡献。

6、组织应策划评价应对风险和机遇措施的有效性，以证实这些措施能够有效应对风险和机遇。处理这些风险和机遇的措施的有效性主要体现在：（1） 这些措施是否能实施？（2）实施后是否能够变更或转移了风险和增加机遇？（3）通过应对风险和机遇措施的实施，是否可以有效降低风险的发生，提高机遇利用的可能性，或减轻不利后果的程度？（4）是否可以确保目标和预期结果得以实现？

7、“应对风险和机遇而采取的措施应与对产品和服务的潜在影响相适应。” 这是策划应对风险措施的基本原则。需要结合所需应对的风险考虑所采取措施方式、时机、责任主体、难易和（或）程度、持续时间、需要投入资源等，这些都需要从与需要应对的风险可能会对组织所提供的产品和服务产生的潜在影响和后果出发，进行综合分析并确定。从这一原则出发则是需要选择最适当的或是优化的风险应对方式，应对措施的策划只有更好没有最好。这一原则的目的是使组织尽可能策划采用对减少、转移或接受风险能对组织所提供的产品或服务的可能影响或不利后果最小或最低，同时应对措施还可以进行优化、综合和系统考虑应对风险。

【实施要点】

1、应根据第 6.1.1 条款所识别和确定的风险和机遇，策划应对这些风险和机遇的方式和措施，将已确定的措施纳入与风险或机遇相关的质量管理体系和

（或）组织相关过程中，并策划确定评价这些措施实施的效果。所采取措施应与风险对产品和服务符合性的潜在影响相适应。实施要点有三方面，（1）要根据 6.1.1 所确定风险，策划针对性的应对措施；（2）策划将这些措施植入相关的体系要素或是过程活动中；（3）策划评价这些措施的有效性。

2、应对措施的确定和实施，则首先需要明确所确定的风险和机遇应对和处理方式，即可按上述的六种方式进行选择，可选用一种或多种的组合处理方式应对风险，明确方式后则需要策划措施，策划措施的基本要求是针对所确定的风险和明确的应对方式，策划制定相应的应对措施，即需要策划 5 方面的基本内容：（1）应采取的什么样的应对活动和时间安排；（2）这一活动由谁负责， 谁实施；（3）活动有哪些资源需求；（4）活动应怎样进行监测；（5）活动实施的有效性评价需要。对于采用规范风险管理的组织，则需要策划编制的相应的“风险应对计划”。所策划确定的风险应对措施或是应对计划，可整合纳 入组织的质量体系或相关过程之中并加以实施，此处整合或实施时，需要结合标准 4.4 的有关要求，结合体系要素或过程活动进行具体策划。

对于实施规范风险管理的组织， 在开展风险管理工作时，至少需要的两份

书面化的计划。即“风险管理计划”和“风险应对计划”，这两份计划完全覆 盖并满足了本标准 6.1 的要求；GJB/Z171-2013《军队装备研制项目风险管理指南》也强调在项目风险管理过程中要形成“风险管理计划”和“风险应对方案” 这两份文件，并在附录中给出相应的模板供使用时参考。

3、组织应评价所策划并确定应对风险和机遇措施的有效性，以证实其措施能够有效应对风险和机遇。评价是需要以具体风险应对措施实施的相应的证据为基础的，这些证据应是按策划的安排进行，可以结合体系过程活动的过程运行或结果展示，以能证明所实施的措施是有效的，有效性主要从以下两方面体现（1）原确定风险已得到处理并（或）变得可承受了；（2）可能措施效果不大或不明显，所确定目标并未达到时，需重新制定措施进行应对。这里还需要注意的是评价后，可能还存在需要变更应对措施的情况，即需要重新进行新一轮的风险确定和应对活动，即新出现的风险或是引发的二次风险等情况，需

要重新确定是否需要进行应对的第二次循环。

【审核关注】

基本要求应是按上述五方面依次表明相关的证据 : 对体系或过程所确定的风险或机遇是什么？如可用会议记录或纪要等表明组织在体系或过程的研究决策中对存在的风险进行了明确的识别或是讨论；明确了处理原则和进行了必要的资源配置、过程或是项目安排等调整；已进行了应对措施的研究和确定，并整合纳入相关的体系要素或是过程活动；已完成了活动的监测；已进行了结果的有效性评价。这些都应有相应的证据，可以是会议记录、体系或过程文件、活动监测记录、评价结果或总结等形式证明，对所识别并确定重要或关键风险， 最好能建立专门的风险和机遇及其应对措施清单或跟踪检查记录或结果的表单，以利于实际操作和实施监视、评价和对风险的动态管理。