【标准原文】

6.1.2 组织应策划：

a）应对这些风险和机遇的措施；

b）如何：

1）在质量管理体系过程中整合并实施这些措施（见4.4）；

2）评价这些措施的有效性。

应对措施应与风险和机遇对产品和服务符合性的潜在影响相适应。

注1：应对风险可选择规避风险，为寻求机遇承担风险，消除风险源，改变风险的可能性或后果，分担风险，或通过信息充分的决策而保留风险。

注2：机遇可能导致采用新实践、推出新产品、开辟新市场、赢得新顾客、建立合作伙伴、利用新技术和其他可行之处，以应对组织或其顾客的需求。

【理解要点】

（1）本条款是GJB 9001C-2017新增要求，规定了应对风险和机遇措施的策划内容和要求。

（2）风险和机遇确定后，组织就应策划应对风险和机遇的措施。应对风险的措施可选择：

①规避风险。决定不开展或停止产生风险的活动，来规避风险。这种措施所针对的风险往往应同时具备这些以下条件：风险是纯粹性风险，风险程度很高，不能采取预防措施进行预防，采取减轻措施后剩余风险仍不能接受，组织不愿意接受风险转移或共担。

②为寻求机遇承担风险。这类措施所针对的风险往往应同时具备以下条件：属于投机性风险、风险程度不是很高、存在着可以较大的促进组织目标实现的机会。

③消除风险源。这类措施所针对的风险往往应同时具备以下条件：属于纯粹性风险、风险程度很高、项目对实现组织目标的影响较大、有降低或消除风险发生可能性的机会。在纯粹性风险处理中，它也是属于“风险预防”的范畴。

④改变风险后果。这类措施所针对的风险往往应同时具备以下条件：属于纯粹性风险、风险程度很高、项目对实现组织目标的影响较大、有降低或消除风险后果的可能性。在纯粹性风险处理中，它也叫做“风险减轻”。

⑤分担风险。这类措施所针对的风险往往应同时具备以下条件：属于纯粹性风险、风险程度较高、无可采用的预防措施、项目对实现组织目标的影响较大、有愿意接受风险转移和风险共担的组织。在纯粹性风险中亦称之为“风险转移”或“风险分担”。

⑥通过信息的充分决策而保留风险。这类措施所针对的风险往往应同时具备以下条件：大多属于投机性风险、风险程度不高、较多地存在着促使组织目标实现的机会。

（3）组织应对风险和机遇所采取的措施，应与对产品和服务符合性所造成的潜在影响适应。“应对”的概念对于风险和机遇来说，按照ISO 31000标准，就是要制定处理方案。但是，6.1规定组织应策划应对风险的措施，并未要求运用正式的风险管理方法或将风险管理过程形成文件，也没有特别提到要优先考虑哪些风险和机遇，而是鼓励组织实施风险等级。在组织实现其预期目标的能力方面，并非质量管理体系的全部过程表现出相同的风险等级，并且不确定性影响对于各组织不尽相同。组织也可根据实际情况选择或实施以上一项或多项措施。

（4）组织应策划在质量管理体系过程中如何整合和实施应对这些风险和机遇的措施，使风险管理过程成为这些质量管理过程的一部分，尤其是在组织的方针、目标及计划的制定、实施和评审，以及变更管理过程中，确保有关风险的信息成为组织各层级决策的基础之一。按照ISO 3100标准制定的风险管理原则，风险管理是一个框架，应嵌入到组织的战略和运作过程中去。因此，策划的输出可以纳入到质量管理体系过程控制的成文信息中，也可以单独成文。因此，可将处理这些风险和机遇的措施与质量管理体系过程管理的其他要求和措施整合在一起实施。

（5）组织应评估处理这些风险和机遇措施的有效性，以证实其措施能够有效应对风险和机遇。处理这些风险和机遇的措施的有效性主要体现在：这些措施是否能实施？实施后是否能够修正风险和增加机遇？通过应对风险和机遇措施的实施，是否可以有效降低风险的发生，提高机遇利用的可能性，或减轻不利后果的程度？是否可以确保目标和预期结果得以实现？组织应对这些问题进行评价等。

（6）组织可以参照ISO 31000系列标准建立更为完善的风险管理过程，内容包括明确环境信息、风险评估、风险应对，以及相关的沟通和咨询、监视和评审等，特别是要对风险处理所确定的措施落实责任人和完成的时限要求。还可参照ISO 31000系列标准建立风险管理计划，对于风险管理计划已经确定的风险和风险应对措施，以及残余风险，组织应进行监测和评审，当内外部环境发生变化时，还需对风险管理计划进行重新评价，甚至是修改。这些标准可作为组织风险管理的指南。

【实施要点】

风险管理过程可参考ISO 31000《风险管理 原则和指南》实施。

（1）风险评估。风险管理过程中风险评估是风险识别、风险分析和风险评价的总过程。

①风险识别。组织应识别风险源、影响区域、事件（包括环境变化）以及致因诱因和潜在后果。此步骤的目的是产生一个基于哪些可能产生、增强、阻碍、加快或推迟目标实现事件的综合表格。识别相关的风险是重要的，因为此阶段没有识别的风险将不会包含在进一步的分析中。

风险识别应包括考察特定后果直接影响，包括联锁和累积影响，也要考虑宽范围的相关后果。所以重要的致因和后果都应予以考虑。即使风险源或致因可能不明显，也应识别风险源是否在组织的控制之下，也要识别可能发生什么，考虑后果的可能致因是必要的。

组织应使用适合其目标、能力及所面临风险的风险识别工具和技术。在识别风险时，相关和Z新的信息是重要的，包括可能的适当背景信息。具有适当知识的人员应参与到识别风险中。

②风险分析。风险分析是风险评估的关键。风险分析为风险评价和确定风险是否需要处理以及Z适合的风险处理策略和方法，提供了输入。风险分析也可以为必须作出选择及选择涉及不同类型和程度的风险的决策，提供了输入。

风险分析包括考虑风险的致因和来源、所带来的正面和负面的后果以及这些后果发生的可能性。影响后果的因素和可能性应被识别。可以通过确定后果和其可能性以及其他风险特性，来进行风险分析。一个事件可以有多种结果并可以影响多重目标。现存的控制措施及其效果和效率也应被考虑在内。

后果和可能性的表述方式，以及它们的组合是确定风险程度的方式。反应风险类型、可获得的信息，以及运用风险评价输出的结果应符合风险准则。必须考虑不同风险和其来源的相互依赖。风险程度的确定和其前提和假设的敏感性的信心，应在风险分析中予以考虑，并有效沟通给决策者以及适当的利益相关方。风险准则应考虑诸如专家间观点的分歧、不确定性、可用性、质量、数量、信息的持续相关性、或模型的局限性等因素。上述这些因素应予以阐述和重点关注。

风险分析可以在不同程度上进行，这取决于风险本身、分析目的、可用的信息、数据和来源。依据环境条件，分析可以是定性的、半定量的或定量的，也可以是组合的方式。

后果和其可能性可以通过模拟一个或一系列事件的结果，或由实验研究或可用数据推断确定。后果可基于有形和无形的影响表述。可以用数值描述，需要界定对于不同时间、地点、团体或环境的后果和其可能性。

组织可以借助风险矩阵，将危害绘制在图表上进行量化，从而计算风险。严重程度和频率的结果计算将成为风险分析的结果。一旦组织利用风险矩阵进行分析并确保其有效性后，就可以将此工具应用于风险管理过程。风险矩阵整合入运营过程后，不仅可以计算风险，还可以实现对高风险事件的及时补救。

③风险评价。风险评价的目的是基于风险分析的结果，帮助作出有关风险需要处理和处理实施优先考虑的政策。风险评价包括将风险过程中确定的风险程度与在明确环境时建立的风险准则进行比较，将风险分析的结果与组织已制定的风险评价准则进行比较，确定组织现存风险严重程度和等级的过程（或不可接受风险），其目的是为风险规避和领导决策提供支持。

基于这种比较，风险处理要求应予以决策考虑，包括考虑风险获益组织外的团体对风险的容忍性。决策应依据法律法规和其他要求作出。在某些情况下，风险评价可导致对决策的进一步分析。风险评价也可导致，除了保持现存措施，不以任何方式处理风险的决策。组织的风险态度和已建立的风险准则，会影响风险的决策。组织风险评价准则的科学合理是区别于不同组织风险文化乃至风险管理水平优劣的重要标志。

风险评估是评价风险对组织实现质量目标和预期结果的影响程度，组织可通过制度风险评价准则进而科学地确定现存风险的严重程度。组织所制定的风险评价准则应与组织对风险的承受能力、已制定的质量方针和目标、资源配置等因素相适应，并应满足法律法规、监管和利益相关方的要求，同时还必须考虑相关风险发生的性质、类型及后果的严重程度、风险发生的概率、风险级别。

（2）风险应对。风险管理过程中风险处理包括选择一种或几种修正风险的方案，以及实施方案。一旦实施了方案，就可以有效实施风险管理。

风险应对包括了一个循环过程：评价风险处理；确定残留风险程度是否可容许；如果不可容许，产生新的风险处理；评价该处理的有效性。

风险应对方案不必互相排斥或适宜所有情况。方案可以包括以下内容：通过决定不开展或停止产生风险的活动，来规避风险；为寻求机遇，接受或提高风险；消除风险源；改变可能性；改变后果；与另一方或多方共担风险（包括合约和风险融资）；通过有事实依据的决策，保留风险。

组织应针对已确定的风险确定风险管控的优选顺序，识别为解决风险、利用风险所需要开展的全部活动，并对这些活动的步骤、方法和职责等要求作出规定，并将其融入到质量管理体系过程中加以实施。通过应对风险和机遇措施的实施，可以降低风险发生、提高机遇利用的概率，以确保目标和预期结果得以实现。

（3）监督和检查

组织应明确风险界定监督和检查的责任。监督和检查内容可包括：监测事件，分析变化及其趋势并从中吸取教训；发现内部和外部环境信息的变化，包括风险本身的变化、可能导致的风险应对措施及其实施优先次序的改变；监督并记录风险应对措施实施后的剩余风险，以便在适当时进一步处理；适用时，对照风险应对计划，检查工作进度与计划的偏差，保证风险应对措施的设计和执行有效；报告关于风险、风险应对计划的进度和风险管理方针的遵循情况；实施风险管理绩效评估。

风险管理绩效评估应被纳入组织的绩效管理以及组织对内、外的报告体系之中。

监督和检查活动包括常规检查、监控已知的风险、定期或不定期检查。定期或不定期检查都应被列入风险应对计划。

【主要审核证据】

（1）应策划控制风险及利用机遇的措施，将已确定的控制风险及利用机遇的措施计划纳入质量管理体系过程和组织业务过程，并评价这些措施的效果。如用会议记录表明组织在决策中对风险进行了明确的讨论，必要时对资源配置、项目安排等进行调整，或建立风险和机遇及其应对措施清单，并实施监视。

（2）应与标准6.1.1结合进行审核，在质量管理体系策划时是否确定需要应对的风险和机遇的证据；对需要应对的风险和机遇是否制定了应对措施，并且与对产品和服务的潜在影响相适应的证据；在质量管理体系过程中是否整合和实施应对风险和机遇的措施的证据；评价应对风险和机遇措施的有效性及实施改进的证据。

GJB9001认证,东莞GJB9001认证,深圳GJB9001咨询,广州GJB9001培训,珠海GJB9001辅导,中山GJB9001认证,惠州GJB9001培训,韶关GJB9001辅导,河源GJB9001咨询,汕头GJB9001培训,湛江GJB9001咨询,GJB9001内审员培训

东莞纵横世纪企业管理咨询 编写