张宇钢，王永军，鲁红典，祝 磊

(合肥学院 a.质量研究院 b.教学质量监控与评估处，合肥 230601)

风险概念古已有之，老子曾曰祸兮福所倚，福兮祸所伏，辩证地阐明了可能发生的好坏转变。2015版质量管理体系的国际标准中明确指出，风险是指不确定性的影响。影响是指偏离预期，可以是正面的，也开始是负面的。一般而言，风险评估是以某个事件后果大小及其发生的可能性。在现代市场经济环境下，不确定性因素日益加剧，如何有效地管理和控制风险，已成为组织建立管理体系必须考虑和应对的核心内容之一。[1]

1 基于风险的思维在质量管理体系中的地位和作用

1.1 基于风险的思维是2015版质量管理体系的核心理念

ISO9000∶2015国际标准第一次将风险正式列入通用术语，标志着在质量管理体系标准中对风险的强调和重视，并成为组织现有管理体系协调和融合的共同基础。以前的标准版本中已经隐含基于风险的思维，如对发生的不合格进行分析并采取与不合格影响相适应的措施，防止再发生；采取预防措施消除潜在不合格。但2015版标准在总则中就明确“基于风险的思维”可以使组织能够实现预期目标。

1.2 基于风险的思维是质量管理原则的重要组成部分

ISO 9001∶2015标准将以前的八项质量管理原则修订为七项质量管理原则，即(1)以顾客为关注焦点；(2)领导作用；(3)全员积极参与；(4)过程方法；(5)改进；(6)循证决策；(7)关系管理。仅第一项原则“以顾客为关注焦点”，风险管理首先就是明确环境，而顾客是环境的重要组成部分；“领导作用”是基于风险思维得以有效实施的基础。

ISO 9001∶2015国际标准在总则中明确指出，过程方法结合了PDCA(戴明环)循环和基于风险的思维。组织的每个过程均可能存在不同程度、不同性质的风险，过程方法包括按照组织的质量方针和战略方向，采用PDCA循环以及始终基于风险的思维对每个过程及其相互作用进行系统的规定和管理[2]，使之有效利用机遇并防止发生不良结果，实现组织预期结果。

1.3 基于风险的思维是实现质量管理体系有效性的保障

基于风险的思维是组织“明确环境——风险评价——风险处理”的一组过程，即组织根据不同的风险等级，配置和有效使用风险管理资源，对每个过程都有特定的监视和测量使其得到有效控制，减少损失，保障组织质量管理体系的有效性，增强组织的生存和持续发展能力。

2 风险的管理过程和方法

贯彻实施 ISO 9001 的风险管理可以帮助组织：使组织甄别及管理风险的需求；明确表达出不确定因素；加强改善机会的鉴别能力；增加目标实现的机会；符合市场法令法规、规范等需求；提高利益相关方的信任与信心；提升管理系统的规划可靠度；减少浪费、降低损失；提高组织的危机处理及应变能力；发现组织内亟待持续改善之处。

在建立和实施新版质量管理体系时，组织可以参考ISO 31000的要求建立和运行正式的风险管理过程。风险管理过程一般包括五个阶段：(1)明确环境信息；(2)风险评估；(3)风险应对；(4)沟通和咨询；(5)监控与评审。其中第二阶段“风险评估”又分为三个步骤，即风险识别、风险分析和风险评价。[3]图1为风险管理过程的描述。

图1 风险管理过程

2.1 明确环境信息

组织通过明确环境信息，可以确定其风险管理的目标，明确与组织相关的内部状态与外部状况，并可以确定风险管理的范围，制定有关风险准则。环境信息一般从宏观环境(国家、区域)、中观环境(行业)和微观环境(企业)等层面展开分析。

2.2 风险评估

风险评估是风险管理过程的核心阶段，按照流程包括三个步骤：风险识别、风险分析、风险评价。

(1)风险识别。风险识别主要指组织通过识别风险源及影响范围、风险源产生的原因和潜在的后果等，并汇总成明确的风险列表。组织开展风险识别，既要考虑风险可能带来的损失，又要思考风险中蕴含的机会。

(2)风险分析。风险分析是组织根据已知的风险信息、风险类型以及风险评估的目的，对风险列表开展定性研究和定量分析，为风险评价和下阶段风险应对提供明确的数据支持。风险分析首先必须明确风险源及其产生的原因、风险可能导致的正反两方面结果以及发生的概率，其次要明确各种风险的相互关系，以及风险后果的影响程度，最后综合组织现有的管理体系及其有效性。

(3)风险评价。风险评价具体而言就是“二比较二确定”，即“对标比较”，风险分析的结论与风险准则相比较；“横向比较”，各种风险类型分析结论相互比较；确定风险等级，确定风险应对方案。如果出现风险准则之外新的风险点，则应当修订完善现有的风险准则。

2.3 风险应对

风险应对是根据风险评估结论采取相应措施。具体而言就是指组织根据自身特性和内外部环境，围绕组织未来发展战略，明确风险应对策略，确定风险偏好、风险承受能力以及风险管理能力，有针对性选择风险规避、风险分散、风险对冲、风险转移、风险转换、风险补偿等适宜的应对策略，并确定风险管理所需各类要素资源的配置原则。

制订和评估风险应对措施是一个递进的过程。管理者和其他利益相关方必须确定在风险应对策略实施后，所遗留风险的性质和程度。表1和表2说明了风险评价结果和具体的应对措施。

2.4 风险监控与评审

按照PDCA过程方法，组织应对已实施的风险管理措施的结果与预期目标进行评审，检验风险应对的符合度，评价风险管理的适应性和有效性，完善风险应对措施，改进风险管理。

表1 风险评价等级

表2 风险应对措施

3 基于风险的思维在质量管理中的应用

根据ISO对风险的定义，可以将质量风险理解为“在产品和服务的生命周期内，组织内外部不确定性对质量方针、质量目标和预期输出的影响”，即质量风险管理是在产品和服务整个生命周期过程中，对风险的识别、评估、控制以及评价和改进的过程。产品和服务的生命周期，包括从产品和服务定位、规划、创意创新、设计开发、采购、制造、市场营销、售后服务和最终处置的全过程。质量管理中的风险主要表现在质量战略风险、质量运行风险两个方面。

3.1 质量战略风险评估与应对

质量战略风险是组织战略风险的一部分，是指组织在制定和实现质量战略目标方面的不确定性，从外部环境来看，风险主要来自政策法规、经济发展、技术革新、社会和文化差异等方面。

3.1.1 政策与法规风险

政策与法规风险主要来自于国家在产业发展战略、社会保障、环境保护、财政税收、市场竞争等方面的政策、法规，包括有关产品的安全、卫生和环保的强制性国家标准。这些政策和法规层面的要求有可能会导致组织在选择产品的技术参数、技术路线等方面出现风险和机会，因此，组织在制定质量战略时，应在全面正确了解政策、法规要求的前提下，积极调整产品的技术参数、技术路线等，力求紧跟政策导向，不违背相关法规，从而避免由此带来的风险[4]。

例如，比亚迪新能源汽车的强力增长。国家为推动重点消费品更新升级，中央财政安排专项资金，支持开展私人购买新能源汽车补贴，要求各地不得对新能源汽车实行限行、限购，已实行的应当取消。2018年在国内乘用车销售数量同比下滑6%的情况下，新能源车逆势大爆发，产销分别完成127万辆和125.6万辆，同比分别增长59.9%和61.7%。其中，比亚迪汽车公司因为紧跟国家政策导向，大力发展新能源汽车，全年热销22.7万辆，同比增长108%，成为国产车企中的耀眼明星。[5]

3.1.2 经济发展风险

经济发展风险主要来自于GDP增长率、利率、汇率、通膨率、失业率、能源供给方式等经济发展方面的不确定性。组织在制定质量战略时，应在充分了解上述风险的基础上，根据不同市场的经济发展情况，选择不同功能和质量等级的产品，确保产品的经济性，避免由于竞争力降低而带来的的风险。

例如，中信特钢、山东泰钢的逆势增长。 2004 ～ 2014年我国经济年均增速高达10%，与之相对应的我国钢材产量，2006 ～2014年年均增长10%。但2015年，我国钢材制品价格与需求量价齐跌，是2000年以来的最大降幅，52%的钢铁企业亏损，并呈现进一步扩大趋势。但与之形成鲜明对比的是，中信特钢、山东泰钢等部分企业的逆势增长。如2015年中信特钢实现利润同比增长10%；山东泰山钢铁公司实现利润同比增长48.5% 。究其原因，这些逆势增长的钢铁企业大都位于江苏、山东等区域经济发达地区，企业与当地经济的规模契合度好、产业配套性强，产品具有较高的竞争性和经济性。[6]

3.1.3 技术革新风险

技术革新风险主要来自于高新技术、工艺技术和基础研究的突破性进展以及在信息化时代新的商业模式对质量提出的新要求。制定质量战略时，组织要重视基础研究，注重利用新技术进行新产品的研究开发，充分考虑新技术、新工艺对产品带来的冲击，避免由于技术革新引发的巨大风险，避免走向衰败。[7]

例如，诺基亚手机的衰落。从1996年起连续15年保持全球市场份额第一的诺基亚手机， 2010年第2季度全球市场份额约为35%，超过三星和摩托罗拉的市场占有率之和。2007年第一代苹果手机发布之前，诺基亚、爱立信和摩托罗拉等智能手机安装的是塞班(Symbian)系统，占据了当时绝大部分市场份额。塞班(Symbian)是32位操作系统，可执行多任务，具有占用内存少、实时性强和能耗低等优点，但是塞班系统不开源，而且不能满足触摸屏智能手机时代的客户体验，因此从乔布斯发布苹果手机开始，到Android系统的爆发增长，诺基亚手机出现了重大危机。2008年之后，三星等手机开始转入Android系统，而诺基亚拒绝了与谷歌公司的技术合作，停止了MeeGo系统的开发，始终坚守Symbian系统，终因Symbian难以克服的系统缺陷而快速被市场淘汰。2013年，诺基亚手机以71.7亿美金卖给微软公司。[8]

3.1.4 社会和文化差异风险

社会和文化的差异风险主要是由于不同目标市场的历史文化、习俗、宗教信仰、公民意识、收人水平、消费观念、就业情况、地理位置及人口结构等方面的差异造成的。这些差异会影响到产品成功的几率。组织在制定质量战略时应充分考虑上述影响因素，对产品和服务科学定位、合理规划，尽可能实现本土化，避免水土不服的风险。[9]

例如，巴黎迪士尼主题公园的失败。1992年正式对外开放的巴黎迪士尼乐园，是除美国之外的第二座迪士尼乐园，是欧洲最大的文化娱乐度假中心。巴黎迪士尼开业后的27年中，有20年发生亏损，只有7年勉强盈利。究其原因，主要是迪士尼公司管理层没有重视欧洲，特别是法国与美国的文化差异，因而没有采取适应性的本土化措施。一是法兰西民族有着自我崇高的性格和强烈的自尊心，对美国产品接受度普遍不高；二是工作语言的选用出现偏差。法国民众认为法语是世界上最优美最高贵的语言，迪士尼乐园起初选用英语作为工作语言，是因此导致法国游客对迪士尼乐园的体验越来越不满；三是生活习惯差异性的考虑不够全面。巴黎迪士尼乐园饮食设置明显地不符合法国人的饮食生活习惯，所以游乐园的餐饮收入要比其他国家游乐园收入低很多；四是法国人的消费方式不同。法国人经常放一个月长假，一般选择外出旅游，不会选择只有一两天狂欢的主题游乐园；五是法国人很少在主题公园内购买纪念品，而纪念品的经营正是美国迪斯尼成功的一个重要因素。

总之，在制定质量战略时，应充分考虑政策与法规、经济发展、技术革新及社会和文化差异等因数的影响，才能确保正确选择产品和服务方向，并根据这些影响因素的变化情况及时做出调整。

3.2 质量运营风险评估及应对

质量运营风险主要是指如何确保质量战略规划贯彻实施，实现质量战略目标的过程风险。运营风险的应对需要从以下两个方面展开：一方面是对产品实现过程的关键环节进行策划和控制，例如，使用汽车行业的五大核心质量工具，即产品先期质量策划(APQP)、生产件批准过程(PPAP)、潜在失效模式和影响分析(FMEA)、测量系统分析(MSA)及统计过程控制(SPC)，有利于控制产品实现过程的质量风险；另一方面是对影响品质量关键过程进行风险识别、分析、评价并实现制定应对措施，这些过程包括产品设计过程、采购过程、生产过程、物流过程和售后服务过程。[10]表3给出了生产过程风险控制的示例。

表3 生产过程风险控制的示例

这些过程识别出来的质量风险和应对措施最终都应落实到过程控制的要求中，如程序文件、作业指导书、管理办法等。

总之，风险的识别、分析和处理实际上是一种思想和方法，可以更好地帮助组织做好过程中各个要素控制，包括质量、成本、交货期、安全等方面。在实际应用中，应当把这些不同的要素控制融合在一起。在ISO 9001∶2015标准中，不仅将基于风险的思维贯穿于整个质量管理体系运行全过程，而且使基于风险的思维能够适用于环境保护、职业健康安全等不同管理体系的协调与融合，有利于组织鼓励改进和有助于提高绩效的活动。