基于风险的思维是ISO 9001：2015标准的核心理念。“基于风险的思维”与“过程方法”的管理原则一起，融于质量管理体系及其各过程之中，是质量管理体系策划和过程策划的重要输入内容。

本文从风险的基本概念出发剖析ISO 9001：2015标准中基于风险的思维，明确了基于风险的思维的作用、风险管理框架、基于风险思维与PDCA的关系、单一过程要素中基于风险的思维活动以及基于风险的思维的组织行为。

基于风险思维的作用

简单来讲，就是确定和应对风险和机遇，这些风险和机遇可能影响产品和服务合格以及增强顾客满意能力。

顾客是指“能够或实际接受为其提供的，或按其要求提供的产品或服务的个人或组织”，包括消费者、委托人、最终使用者、零售商、内部过程的产品或服务的接收人、受益者和采购方等，顾客可以是组织内部的或外部的。在市场经济条件下，顾客成为现代组织重要的稀缺性资源，顾客决定着组织的命运和前途。因此谁能占有更多的顾客资源，谁就拥有更多的市场份额，谁就能获得更多的机会。占有更多的顾客资源的同时也存在着风险，因此“以顾客为关注焦点”就应以基于风险的思维，识别影响产品和服务符合性及顾客满意的风险和机会，并予以处理。

最高管理者应在组织中培育意识和环境，建立过程，使组织能够主动地关注、识别和理解顾客当前和未来的期望，及时了解政治、经济、社会、技术的发展趋势对顾客需求和期望影响的风险，及时了解顾客的需求和期望的变化，并能够以敏捷、高效的方式及时做出响应。最高管理者需要确保与已经确定的风险和机会相适应的措施都得到实施，并实现预期结果。如果未达到，则需进行PDCA管理循环以确保为进一步改进分配相应的职责，直到满足顾客需求及期望为止。

风险管理框架

风险（risk）：不确定性对目标的影响（ISO 31000：2009 风险管理原则与指南）。

注1：影响可能偏离预期——正面的和/或负面的；

注2：目标可以有不同的方面（如财务、健康安全以及环境目标），并应用于不同层次（如战略、组织整体、项目、产品和过程）；

注3：风险常具有潜在的事件、结果和两者结合的特征；

注4：经常用一个事件的结果和对应的发生可能性这两者的结合来表示风险；

注5：不确定性是缺乏甚至部分缺乏一个事件其结果或发生可能性有关信息、了解或认知。

风险管理（ risk management ）：组织针对风险所采取的管理和控制的协调活动。

风险管理的成功取决于风险管理框架的有效性。风险管理框架为组织提供了基础和安排，这些基础和安排将风险管理框架嵌入到全组织的所有层次。风险管理框架各组成部分之间的关系如图1所示。从图1中可以看出，风险管理框架实际上是PDCA循环的过程。

2015版ISO 9001标准修订的关键点之一就是用系统的方法应对风险和机遇，而不仅是质量管理体系中的一个单独条款。在2008版的ISO 9001《质量管理体系 要求》中，预防措施作为单独的条款，而2015版整个标准都要考虑风险。

通过基于风险的方法，组织积极地寻求改进机会，而不是单纯地响应、预防或减少不期望的影响来进行持续改进。基于风险的方法而建立的质量管理体系，预防措施是自然而然的行为。

什么是基于风险的方法

基于风险的方法在某种程度上是一种自然而然的做法。

例如：过马路前看红绿灯。看到有汽车行驶，立即止步。

新版ISO 9001中始终贯穿基于风险的方法。在标准中，自始至终考虑风险，预防措施是战略策划和运作、评审的一部分。

基于风险的方法已经是过程方法的一部分。

例如：可以直接过马路或者从附近的过街天桥过，通过考虑风险来确定怎样过马路。

通常认为风险是负面的。在基于风险的方法中，也可以发现机会，也就是说正面的风险。

例如：直接过马路，能获得快速到达对面的机会，但增加了被汽车撞伤的风险。

过人行天桥的风险是时间延迟，机会是避免被汽车撞伤。

机会并不总是与风险相关，但与目标相关。考虑所处的环境，可能识别改进的机会。

例如：分析所处的环境以发现进一步改进的机会：

——马路有地下通道。

——有行人通过的红绿灯。

——走其他的马路，不必过马路就可到达目的地。

有必要分析机会，并考虑采取措施。应考虑抓住机会的影响和可能性。并考虑采取措施后对环境的变化和产生的风险。

ISO 9001:2015中关注风险的地方

在 ISO 9001:2015《质量管理体系要求》引言中引入了基于风险的方法的概念。风险是针对预期结果的不确定性的影响，ISO 9001标准已经运用了基于风险的方法这一理论，而新版标准将基于风险的方法更加明确，并将其融入了质量管理体系的建立、实施、维护和持续改进的要求中。组织可选择制定比标准中要求的更加全面的基于风险的方法，ISO 31000《风险管理 —原则和指南》提供了适用于特定组织环境的规范的风险管理指南。

质量管理体系的各个过程在组织实现其目标方面的风险水平并非是一致的，过程、产品、服务或体系的不符合因组织而异。对于一些组织而言，交付不合格的产品和服务的后果可能只是造成顾客轻微的不便；而对于其他组织，这样做的影响可能是深远和致命的。因此，“基于风险的方法”意味着在建立质量管理体系及其组成过程和活动时，定性（根据组织环境，定量地）地考虑风险。

在ISO 9001:2015 《质量管理体系—基础和术语》 给出了有关风险的定义。风险是针对预期结果的不确定性的影响。 对偏离预期的影响，可以是正面或负面的，不确定性是缺乏关于事件、后果或可能性的了解。风险通常被形容为潜在“事件”（如ISO导则73: 2009，3.5.1.3定义）和“后果”（如ISO导则73: 2009，3.6.1.3定义），或二者的结合。风险通常被表述为某个事件（包括环境变化）的后果及其发生“可能性”的组合（ISO导则73: 2009，3.6.1.1定义）。术语“风险”有时仅用于负面后果的可能性。

质量管理体系的目的是获得合格产品、服务以及实现顾客满意。在ISO 9001:2015中，用下列条款运用基于风险的方法。

在第4章 (组织的环境)： 求组织确定影响其目标的相关风险。

在第5章(领导作用) ：要求最高管理者承诺确保实施第4章的内容。

在第6章 (策划) ：要求组织采取行动识别风险和机会。

在第8章 (运作)：要求组织在实施过程中关注风险和机会。

在第9章 (绩效评价)： 要求组织监视、测量、评价机会和风险。

在第10章 (改进)：要求组织通过响应风险中的变化而改进（因为有风险，需要改进，而不仅是采取纠正措施进行改进）。

为什么使用基于风险的方法

第一，通过考虑组织的风险，增加了实现规定目标的可能性。

第二，基于风险的方法可导致:建立牢固全面的知识库；营造积极的改进文化；确保产品、服务持续合格；增强顾客满意。

第三，成功的企业自觉地采用基于风险的方法。

基于风险方法的应用

在组织的过程中使用风险驱动的方法。识别组织的风险和机会——取决于组织的环境。

例如：穿过有很多车辆快速行驶的马路和穿过很少车辆行驶的马路，风险是不同的。还需要考虑其他的事情，如天气、能见度、人群移动和特定的人员目标。

分析并优化风险和机会。什么是可接受的？什么是不可接受的？过程中的优势和劣势是什么？

例如：目标：我需要安全地穿过马路，按时参加会议。

受伤是不可接受的。迟到是不可接受的。

快速到达目的地的机会一定要与受伤的可能性相平衡。但是，避免受伤比按时参加会议重要。

如果直接穿过马路受伤的可能性很高，那么，走旁边的过街天桥，导致迟到也是可以接受的。

分析现状。过街天桥有200米的距离，将增加到达会议地点的时间。天气很好，能见度很好，我可以看到马路上行驶的车辆不多。

决定直接穿过马路，接受受伤的低风险，并抓住按时到达会议地点的机会。

策划关注风险的活动。怎样避免或消除风险？怎样规避风险？

例如：虽然可以走过街天桥消除受伤的风险，但已经决定直接过马路，接受受伤的风险。

现在，策划如何减少受伤的可能性。由于不可能控制车辆不撞到，只能减少被撞的可能性。

策划在附近没有车辆通过的时段穿过马路，以减少事故的可能性。也选择在能见度很好的地方穿行马路，并可以安全地停在中间，以再次穿行马路，进一步减少事故的可能性。

实施策划——采取措施（行动）。

例如：走到马路边上，通过查看发现没有阻止穿行的栏杆，马路中间有安全岛。再查看没有车辆通过。穿过一半的马路，停在安全岛上，再查看马路的另一个方向，穿过另一半马路。

检查措施的有效性——效果好吗？

例如：安全地穿过马路，及时到达会场：这个策划有效，并避免了不期望的结果。

吸取经验教训——持续改进。

例如：在接下来几天，在不同的时间和天气下重复这个策划。

这就积累了一些数据，理解变化的环境（时间、天气、车流量）对策划有效性的直接影响，以及增加了不能实现目标的可能性。

由经验可知，在每天的某个时段穿行马路是非常困难的，因为行驶的车辆太多。为了限制风险，改进了过程，在该时段从天桥过马路。

继续分析过程的有效性，并当环境因素变化时进行改进。也继续考虑创新机会。

——可以改变会议地点以避免过马路吗？

——可以改变会议时间以便在车流量少时过马路吗？

——可以举行电子会议吗？

结论

综上所述，基于风险的方法并不是新概念，在某些方面，组织已经采用了基于风险的方法。基于风险的方法是持续运用的，需要具备更多的知识和准备。基于风险的方法增加了实现目标的可能性，减少了不良结果的可能性，并促使组织养成预防的习惯。