2015版iso9001質(zhì)量體系風(fēng)險(xiǎn)與機(jī)遇有哪些記錄

僅供參考： SO/DIS 9001:2015中的風(fēng)險(xiǎn) 在ISO9001：2015標(biāo)準(zhǔn)DIS稿中有很多基于風(fēng)險(xiǎn)思考的內(nèi)容，這些內(nèi)容將影響組織為符合修訂后的標(biāo)準(zhǔn)而進(jìn)行的工作。以下是節(jié)選并歸納本標(biāo)準(zhǔn)草案中涉及風(fēng)險(xiǎn)的有關(guān)內(nèi)容。 定義：ISO9001：2015標(biāo)準(zhǔn)DIS稿所指的風(fēng)險(xiǎn)是“對(duì)預(yù)期結(jié)果的不確定的影響”。DIS稿未提出對(duì)預(yù)防措施的要求。 過(guò)程方法：DIS稿
4.4條款討論的要素之一是過(guò)程方法，要求組織“識(shí)別質(zhì)量管理體系所需的過(guò)程”以及這些過(guò)程在組織中的應(yīng)用。這包括識(shí)別：輸入、輸出和資源；順序和相互作用；有效的運(yùn)行；責(zé)任和改進(jìn)機(jī)會(huì)；風(fēng)險(xiǎn)以及應(yīng)對(duì)風(fēng)險(xiǎn)的機(jī)會(huì)和措施。 關(guān)注顧客：
5.
1.2條款指出較高管理層必須“證明其在關(guān)注顧客方面的領(lǐng)導(dǎo)力和承諾，確保實(shí)施了相關(guān)工作……識(shí)別和處理可能對(duì)iso三體系認(rèn)證、服務(wù)和增強(qiáng)顧客滿(mǎn)意度的能力方面的風(fēng)險(xiǎn)和機(jī)會(huì)”。 應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施：
6.
1.1和
6.
1.2條款指出組織必須識(shí)別那些必須應(yīng)對(duì)的“風(fēng)險(xiǎn)和機(jī)會(huì)”，以確保質(zhì)量管理體系能夠?qū)崿F(xiàn)預(yù)期結(jié)果，預(yù)防或減少非預(yù)期后果，實(shí)現(xiàn)持續(xù)改進(jìn)。 應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施必須與iso三體系認(rèn)證、服務(wù)、顧客滿(mǎn)意方面的潛在影響相適應(yīng)。另外，組織在進(jìn)行改變的時(shí)候宜“有計(jì)劃并系統(tǒng)地實(shí)施”，識(shí)別風(fēng)險(xiǎn)和機(jī)會(huì)，并注意核查變化的潛在后果。 應(yīng)對(duì)風(fēng)險(xiǎn)可能采取的方法有避免風(fēng)險(xiǎn)、消除風(fēng)險(xiǎn)源、分擔(dān)風(fēng)險(xiǎn)以及決定是否承擔(dān)風(fēng)險(xiǎn)等。 交付后的活動(dòng)：根據(jù)
8.
5.5條款，適用時(shí)，組織必須確定并滿(mǎn)足與iso三體系認(rèn)證、服務(wù)的性質(zhì)及其預(yù)定使用壽命有關(guān)的交付后活動(dòng)的有關(guān)要求，即與iso三體系認(rèn)證和服務(wù)有關(guān)的風(fēng)險(xiǎn)、使用壽命、顧客反饋、法律法規(guī)要求。 管理評(píng)審：
9.3條款指出組織必須考慮其采取的應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施的有效性（同時(shí)參見(jiàn)
6.1條款）。這包括識(shí)別需要監(jiān)視和測(cè)量的內(nèi)容，使得組織能夠證明符合iso三體系認(rèn)證和服務(wù)標(biāo)準(zhǔn)的要求；評(píng)估過(guò)程的績(jī)效（同時(shí)參照條款
4.4）；確保質(zhì)量管理體系的符合性和有效性；評(píng)估顧客的滿(mǎn)意度。 內(nèi)審：條款
9.2指出組織必須“策劃、建立、實(shí)施并維護(hù)內(nèi)審的審核方案”，并且確定“內(nèi)審的頻次、方法、責(zé)任、策劃要求和報(bào)告方式”。內(nèi)審方案必須考慮質(zhì)量目標(biāo)、相關(guān)過(guò)程的重要性、相關(guān)風(fēng)險(xiǎn)以及之前審核的結(jié)果。 基于風(fēng)險(xiǎn)的方法：附錄A的A4章節(jié)內(nèi)容描述了基于風(fēng)險(xiǎn)的管理方法，包括要求組織充分了解自身所處環(huán)境，包括內(nèi)部和外部的問(wèn)題；明白管理體系的重要目的之一是作為一個(gè)預(yù)防工具；確定風(fēng)險(xiǎn)和機(jī)會(huì)；處理識(shí)別出的風(fēng)險(xiǎn)和機(jī)會(huì)。 應(yīng)用基于風(fēng)險(xiǎn)的思考方法 對(duì)組織有影響的風(fēng)險(xiǎn)主要有以下4類(lèi)：
1.組織風(fēng)險(xiǎn)：發(fā)生在組織實(shí)體及其活動(dòng)層面；
2.戰(zhàn)略風(fēng)險(xiǎn)：發(fā)生在組織的戰(zhàn)略或業(yè)務(wù)計(jì)劃制定不夠周密時(shí)；
3.合規(guī)風(fēng)險(xiǎn)：發(fā)生不符合法律法規(guī)要求的情形時(shí)；
4.運(yùn)營(yíng)風(fēng)險(xiǎn)：分為與組織的程序和措施有關(guān)的7個(gè)分類(lèi)別。
1.組織風(fēng)險(xiǎn) 實(shí)體層面的風(fēng)險(xiǎn)可以是外來(lái)的也可以是內(nèi)部存在的。外來(lái)因素包括技術(shù)、競(jìng)爭(zhēng)以及法律環(huán)境；內(nèi)部因素包括安保、信息系統(tǒng)、收寄證物遺失、人員能力和責(zé)任變化等方面。 活動(dòng)層面的風(fēng)險(xiǎn)對(duì)個(gè)人和部門(mén)發(fā)生影響，包括在系統(tǒng)中輸入信息或材料時(shí)的疏漏；收寄證記錄遺失；安保控制松懈；缺少熟練技術(shù)人員以及員工的疏忽大意等。如果在組織的各個(gè)環(huán)節(jié)活動(dòng)層面的風(fēng)險(xiǎn)不斷，最后勢(shì)必形成實(shí)體層面的風(fēng)險(xiǎn)。
2.戰(zhàn)略風(fēng)險(xiǎn) 戰(zhàn)略風(fēng)險(xiǎn)指的是因執(zhí)行一項(xiàng)不成功的商業(yè)計(jì)劃或戰(zhàn)略而可能發(fā)生的損失。其原因可能是由于做了糟糕的業(yè)務(wù)決策、執(zhí)行決定不力、資源不足或者是因?yàn)闃I(yè)務(wù)環(huán)境發(fā)生了變化而未及時(shí)進(jìn)行調(diào)整。
3.合規(guī)風(fēng)險(xiǎn) 合規(guī)風(fēng)險(xiǎn)是與法律法規(guī)要求有關(guān)的風(fēng)險(xiǎn)。環(huán)境、健康和安全要求一直是人們關(guān)注的問(wèn)題，因?yàn)橐坏┻@些方面出現(xiàn)問(wèn)題，輕則罰款，重則停業(yè)甚至追究刑事責(zé)任都是可能出現(xiàn)的后果。遵守質(zhì)量和環(huán)境方面的標(biāo)準(zhǔn)和規(guī)范也在這個(gè)范疇之內(nèi)。 環(huán)境風(fēng)險(xiǎn)包括液體危險(xiǎn)品遺撒、危險(xiǎn)氣體排放以及固態(tài)廢棄物的不當(dāng)處理，包括的情況還可能有以下情形： 采購(gòu)部將從國(guó)內(nèi)采購(gòu)改為向國(guó)外供應(yīng)商采購(gòu)； 負(fù)責(zé)環(huán)境的關(guān)鍵管理人員離崗未及時(shí)替補(bǔ)； 引入新的物料卻未編制有關(guān)的安全管控記錄。
4.運(yùn)營(yíng)風(fēng)險(xiǎn) 運(yùn)營(yíng)的風(fēng)險(xiǎn)可以具體從以下7個(gè)方面說(shuō)明： （1）管理體系風(fēng)險(xiǎn) 由于制定的戰(zhàn)略、制度規(guī)定和工具、數(shù)據(jù)處理、呼叫（電話(huà)）中心、合同管理、iso認(rèn)證與開(kāi)發(fā)等層面的效率低下，都可能造成管理體系的效率低下。比如說(shuō)，一個(gè)重度依賴(lài)外包的供應(yīng)鏈，可能有很大風(fēng)險(xiǎn)。 管理體系的其他風(fēng)險(xiǎn)包括不正確的收入確定；違反單位安全規(guī)定；不符合環(huán)境法規(guī)以及薩班斯-奧克斯利法案（美國(guó)的一部涉及iso認(rèn)證老師職業(yè)監(jiān)管、公司治理、證券市場(chǎng)監(jiān)管方面的重要法律）的要求。這些行為將可能導(dǎo)致罰款、停業(yè)甚至追究刑責(zé)的后果。為了降低此類(lèi)風(fēng)險(xiǎn)，組織的較高管理層以及董事會(huì)必須對(duì)管理體系有透徹的了解，并努力提高其有效性。如果人力資源管理制度、各種管理工具、數(shù)據(jù)處理、呼叫（電話(huà)）中心、營(yíng)銷(xiāo)活動(dòng)、合同管理、顧客溝通、iso認(rèn)證和開(kāi)發(fā)等活動(dòng)效率低下，則組織的管理體系必受其累。 總而言之，組織的較高管理層和董事會(huì)要了解自身的管理體系并不斷提高其有效性。 （2）顧客滿(mǎn)意風(fēng)險(xiǎn) 顧客溝通、送貨、iso三體系認(rèn)證本身、iso認(rèn)證維修以及對(duì)顧客反饋的回應(yīng)方式都會(huì)影響顧客滿(mǎn)意風(fēng)險(xiǎn)。為降低此類(lèi)風(fēng)險(xiǎn)，宜將相關(guān)的iso三體系認(rèn)證質(zhì)量數(shù)據(jù)、iso三體系認(rèn)證和過(guò)程監(jiān)控?cái)?shù)據(jù)以及供應(yīng)商供貨質(zhì)量等數(shù)據(jù)也一并納入分析過(guò)程。 （3）供應(yīng)鏈風(fēng)險(xiǎn) 采購(gòu)經(jīng)理必須對(duì)外購(gòu)iso三體系認(rèn)證和服務(wù)、獨(dú)家供應(yīng)商、送貨時(shí)間庫(kù)存管理以及文檔管理等保持關(guān)注。信息溝通是確保供應(yīng)鏈有效運(yùn)行的關(guān)鍵。用來(lái)管理供應(yīng)鏈風(fēng)險(xiǎn)的數(shù)值包括送貨時(shí)間、庫(kù)存水平及成本等。 （4） 收入確認(rèn)風(fēng)險(xiǎn)對(duì)利潤(rùn)的影響 對(duì)此類(lèi)風(fēng)險(xiǎn)的管理包括追蹤iso三體系認(rèn)證從生產(chǎn)、銷(xiāo)售到寄證以及應(yīng)收賬款的全過(guò)程。收入的確認(rèn)受到諸如應(yīng)付款、應(yīng)收賬、交付前貨值記錄、現(xiàn)金報(bào)價(jià)錯(cuò)誤、計(jì)算表錯(cuò)誤以及價(jià)格信息不完整等原因影響。 質(zhì)量經(jīng)理在控制收入確認(rèn)過(guò)程的有效性方面負(fù)有重要責(zé)任。質(zhì)量體系和認(rèn)證老師管理體系在此有交集，涉及iso三體系認(rèn)證實(shí)現(xiàn)、成本、銷(xiāo)售、辦理其他體系的iso認(rèn)證、付款、庫(kù)存管理以及寄證等過(guò)程。寄證信息是對(duì)應(yīng)收賬款和收入確認(rèn)的直接輸入。對(duì)于許多公司來(lái)說(shuō)，收入確認(rèn)對(duì)其收入有著直接影響，甚至可能影響其股票價(jià)格。 由于不正確的收入確認(rèn)，還可能出現(xiàn)背離事實(shí)的虛聲明的風(fēng)險(xiǎn)。審核員宜對(duì)已建立的用以檢查收入確認(rèn)中問(wèn)題的控制措施進(jìn)行測(cè)試。 （5）信息安全風(fēng)險(xiǎn) 信息安全風(fēng)險(xiǎn)的情況包括病毒、未加防范的iso三體系認(rèn)證、不正確的認(rèn)證老師記錄和報(bào)告、糟糕的修改控制、信息申報(bào)錯(cuò)誤、數(shù)據(jù)表格濫用、臨時(shí)工和咨詢(xún)師的使用、新技術(shù)的引入以及遭遇工業(yè)間諜和欺詐行為等現(xiàn)象。 ISO/IEC27001：2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》包括了建立、實(shí)施、運(yùn)營(yíng)、監(jiān)視、評(píng)價(jià)、維護(hù)并提高信息安全管理的要求。 （6）物流風(fēng)險(xiǎn) 當(dāng)今組織關(guān)注的一個(gè)風(fēng)險(xiǎn)問(wèn)題是與單位安全威脅因素相關(guān)的。運(yùn)輸過(guò)程可能由于需要檢查是否藏有大規(guī)模殺傷性武器而拖慢。 如何篩查、識(shí)別、并追蹤從貨源地到辦理方組織的全過(guò)程一直是個(gè)難點(diǎn)。以下因素影響物流風(fēng)險(xiǎn)： 原材料和成品的運(yùn)輸； 運(yùn)輸中的貨損； 途中延誤造成的無(wú)法按期交貨； 運(yùn)輸延誤造成的原材料庫(kù)存不足； 單位安全信息上報(bào)要求。 有必要開(kāi)發(fā)出新的工具以減少篩查和追蹤等必須過(guò)程對(duì)供應(yīng)鏈的干擾。總之，iso三體系認(rèn)證生產(chǎn)完成后，送到顧客手中之前，上述各種問(wèn)題都可能出現(xiàn)，組織應(yīng)該有所準(zhǔn)備。 （7） 自然災(zāi)害風(fēng)險(xiǎn) 過(guò)去幾年間，我們這個(gè)星球上自然災(zāi)害頻發(fā)。業(yè)務(wù)連續(xù)性要求對(duì)應(yīng)保護(hù)的存儲(chǔ)信息進(jìn)行安全保障，并對(duì)災(zāi)后復(fù)原進(jìn)行策劃。 信息技術(shù)在業(yè)務(wù)連續(xù)性中扮演著重要角色，宜專(zhuān)門(mén)iso認(rèn)證相關(guān)的信息技術(shù)程序，以確保業(yè)務(wù)連續(xù)性運(yùn)行的及時(shí)性和有效性。組織的業(yè)務(wù)連續(xù)性開(kāi)發(fā)團(tuán)隊(duì)中不可缺少負(fù)責(zé)信息技術(shù)的成員。 信息技術(shù)部門(mén)必須提供可將信息妥善有效存儲(chǔ)的保護(hù)措施，并對(duì)各種災(zāi)害進(jìn)行管理、防范并提供安全保護(hù)措施。可采用的方法包括信息的定期復(fù)制，并將備份信息存儲(chǔ)于安全的另外一個(gè)地點(diǎn)。并且，宜對(duì)存放在該地點(diǎn)的數(shù)據(jù)進(jìn)行定期測(cè)試，以確保其正確無(wú)誤。 ISO/IEC27001標(biāo)準(zhǔn)提供了業(yè)務(wù)連續(xù)性的管理控制措施，以下是業(yè)務(wù)連續(xù)性計(jì)劃（BCP）的相關(guān)因素： 業(yè)務(wù)風(fēng)險(xiǎn)及影響分析； 災(zāi)害事件初始反應(yīng)活動(dòng)； 緊急事件和業(yè)務(wù)恢復(fù)過(guò)程管理程序； 各層級(jí)培訓(xùn)計(jì)劃； 保持業(yè)務(wù)連續(xù)性計(jì)劃及時(shí)更新的程序。 業(yè)務(wù)連續(xù)性計(jì)劃宜定期演練，組織可以用以下問(wèn)題進(jìn)行BCP的自查： 是否已制定確保信息連續(xù)性的書(shū)面計(jì)劃？ 上述計(jì)劃是否每年進(jìn)行更新和檢驗(yàn)？ 何時(shí)對(duì)計(jì)算機(jī)硬件、軟件或應(yīng)用系統(tǒng)進(jìn)行過(guò)重要的調(diào)整或改變？ 是否對(duì)用以備份的介質(zhì)進(jìn)行了定期測(cè)試？ 是否對(duì)應(yīng)用程序、應(yīng)用數(shù)據(jù)和運(yùn)行系統(tǒng)軟件進(jìn)行了定期備份？ 是否將該計(jì)劃和信息進(jìn)行了異地備份？

新版標(biāo)準(zhǔn)給認(rèn)證咨詢(xún)企業(yè)和審核員帶來(lái)的機(jī)遇是，利用新版標(biāo)準(zhǔn)努力提升自身的“認(rèn)識(shí)、知識(shí)和能力”；挑戰(zhàn)是，“如何證實(shí)”達(dá)到了預(yù)期結(jié)果和績(jī)效。