张晓予,　杨亚贤

(上海船舶运输科学研究所，上海 200135)

0　引　言

随着国际贸易的不断增加，不同经济体间存在技术规范差异的问题不断显现，为消除技术性贸易壁垒以促进国际贸易，2014年修订GB/T 19001—2008《质量管理体系 要求》的任务正式列入国家标准化管理委员会《2014年国家标准修订项目》，按照国家标准制定和修订计划的安排，组织成立标准起草组，研究近几年出现的质量管理新概念，同时为保证质量管理体系认证证书的国际互认，我国新版质量管理体系等同ISO 9001—2015，已于2016年12月底正式发布。

与2008版标准相比，新版标准的章节结构发生了较大变化，在新版标准中首次提出了“基于风险的思维”的概念，虽然2008版标准中已隐含了基于风险的思维理念，如策划、评审和改进等条款，但这次新版标准则明确要求企业通过理解其组织环境的具体内容，将风险与机遇作为企业开展策划等一系列工作的前提。这意味着风险与机遇的思维将贯穿于质量管理体系中的所有过程，将有助于明确文件与记录的范围和程度。

1　风险的定义

GB/T 19000—2016《质量管理体系基础和术语》对“风险”给出了明确的定义，“风险”即为不确定性的影响。定义及其注释阐述了风险的特性为影响预期的结果；在质量管理体系中风险仅作为负面的影响被控制；风险具有不确定性，其不确定性源于缺乏理解或缺失知识方面的信息；风险的可能性随相关条件的改变而改变，通常风险与机遇同时出现。当对风险的特性有正确理解时，将有助于企业在体系运行中对风险进行有效管控。

2　识别风险范围

“过程方法”、“基于风险的思维”、“PDCA循环”等构成新版标准的核心概念。影响目标和预期结果的风险需通过质量管理体系进行应对，在整个质量管理体系的运用过程中使用基于风险的思维方法，将解决如何应对风险以改进过程中的输入的问题，以避免非预期的输出。而PDCA循环可在每个管理环节中加以运用，以形成可持续改进的良性循环。

不同的行业、领域中存在不同的风险，风险与机遇共存，关键是在企业把控风险形成机遇的过程，企业需建立风险管控措施以确定风险范围、判定风险来源、识别风险及分析风险，面对风险时可有针对性的采取措施应对风险，避免或降低风险造成的不利影响。

3　影响风险控制的因素

风险控制的关键是对风险进行有效识别与评估，能否有效识别与评估风险均取决于企业的风险意识，企业长期具有风险意识会使企业形成对过程风险前期识别的习惯，使企业能及时地识别风险。基于风险的思考是企业的一种自然行为，是企业员工为达到最佳结果的自发思维，这通常是潜意识行为。在策划和实施质量管理体系的过程中，企业在确定要达到的目标和预期的结果时，会自发地识别可能影响这些目标和预期结果的因素。

企业的风险评估应对照风险接受准则和企业目标，量化并区分优先次序，风险评估的结果能指导并确定有效的管理措施及其优先等级来管理风险，采取风险控制措施，可降低风险对企业的影响。应用基于风险思维的方法，可帮助企业建立主动预防风险的质量价值观和企业文化，可更好地完成企业使命和达成企业的战略目标。

4　风险识别与分析方法

企业应识别风险源、影响区域、事件、致因诱因和潜在后果，风险识别是识别一个风险可能基于哪些因素发生，通过影响这些因素，以增强、阻碍、加快或推迟目标实现事件的活动。

建设风险信息系统，加强沟通工作，才能及时识别风险，正确地评估风险并反馈结果。企业在建立信息系统的基础上，构建预警机制，设置预警指标体系及其值域和临界点，迅速捕捉风险前兆，提醒管理者及时采取相应的防范和化解措施。

企业内部环境风险分析可采用态势分析法(Strengths Weaknesses Opportanities Threats,SWOT)，外部因素风险分析可采用大环境分析法(Political Economic Social Technological Environment Legal,PESTEL)。此外，针对机械、汽车和电子行业可采用失效模式与影响分析方法(Failure Mode and Effects Analysis,FMEA)或故障模式及危害度分析法(Failure Mode Effects and Criticality Analysis,FMECA)。

风险分析是风险评估的关键，风险分析为风险评价和确定风险是否需处理及最适合的风险处理策略、方法提供输入。同时,也可为必须作出选择及选择涉及不同类型、程度的风险的决策提供输入。风险分析包括考虑风险的致因和来源、风险所带来的正面和负面的后果及这些后果发生的可能性。

风险类型及运用风险评估输出的结果应符合风险准则。风险准则应考虑如专家观点的分歧、不确定性、可行性、质量、数量及信息的持续相关性等因素。风险分析必须考虑不同风险和其来源的相互依赖，风险程度的确定应在风险分析中予以考虑，并与决策者和利益相关方进行有效沟通。风险分析可在不同层面上进行，依据环境条件，分析可以是定性的、半定量的或定量的，也可以是组合的方式，这取决于风险本身、分析目的、可用的信息、数据及来源。

企业可借助风险矩阵，将危害绘制在图表上进行量化以计算风险。风险的严重程度和频率将成为风险分析的结果。当企业利用风险矩阵进行分析并确保其有效性后，就可将此工具应用于企业的风险管理过程中。风险矩阵整合到运营过程中后，不仅可计算风险，还可实现对高风险事件的及时补救。

5　风险的应对与管理

风险应对包括一个循环过程,循环过程包括评价风险处理及确定剩余风险程度是否可允许,当剩余风险程度不可允许，产生新的风险处理手段,则需评价该处理的有效性。

风险应对方案不必互相排斥或适宜所有情况。方案可包括通过决定不开展或停止产生风险的活动来规避风险；为寻求机遇接收或提高风险；消除风险源；改变可能性；改变目标；与另一方或多方共担风险；通过有事实依据的决策保留风险。

组织应针对已确定的风险确定风险管控的优先顺序，识别为解决风险开展的全部活动，并对这些活动的步骤、方法和职责等要求作出规定，并将其融入到质量管理体系过程中加以实施。通过应对风险和机遇措施的实施，可降低风险发生、提高机遇利用的概率，以确保目标和预期结果得以实现。

风险管理机制包括以下过程：

1)明确环境。企业所处的内外部环境，明确可能发生风险的环境。

2)风险识别。企业应识别的风险源、影响的区域和事件及风险发生后可能带来的后果。

3)风险分析。风险分析是风险管理的关键,风险分析为风险评价和确定风险是否需处理及最合适风险处理的策略和方法提供输入。

4)风险评价。风险评价的目的是基于风险分析的结果，帮助作出有关风险需处理和处理实施优先考虑的决策,风险评价包括将分析过程中确定的风险程度与风险准则进行比较，确定企业现有的风险严重程度和等级(或可不接受的风险)，其目的是为风险规避和领导决策提供支持。

5)风险处理。风险管理过程中的风险处理包括选择一种或几种修正风险的方案及确定实施方案,一旦实施方案，就可进行有效实施风险管理。

在识别对质量管理体系有影响的风险后，企业应策划控制风险的措施，已确认的措施计划需纳入质量管理体系过程和企业业务过程，并评价这些措施产生的效果。这些措施包括资源、能力、意识的提供，允许的策划，控制、产品和服务要求的确定，产品、服务的设计和开发等方面。

建立具有风险意识的企业文化是应对风险的首要任务，可促进企业的风险管理水平和员工风险管理素质的提升，保障企业风险管理目标的实现，建立有效的风险管理机制。建立风险管控准则，风险较高、管控成本过高或根本无法处理，则风险不可接受；风险较低、管控成本对企业来说较低，则风险可被接受。对风险评估所识别的每个风险均做出风险处理决定。

参考文献：

[1]郑欣然. 关于新版质量管理体系标准中的“风险”解读[J].消费导刊，2016(7):193.