标准指出:“基于风险的思维是实现质量管理体系有效性的基础。” “为了满足本标准的要求,组织需策划和实施应对风险和机遇的措施”。要求:在策划质量管理体系时,组织应“确定需要应对的风险和机遇”;在管理评审时,应评审“应对风险和机遇所采取措施的有效性”;在采取纠正措施后,应考虑“更新在策划期间确定的风险和机遇”。等等,面对标准诸多关于风险和机遇的要求,我们该如何理解?如何应对?
常识告诉我们,风险无处不在,生活中衣、食、住、行,无时不面对风险:宝宝的套头衫有致癌的芳香胺染料、下馆子吃下了地沟油、买房子拿不到产权证、走路更是时时提防马路杀手。工作呢,也是如此:开发新产品,有可能大量的投入换不来回报;开发了一下新客户,有可能原来是个骗子;引进一位专家,有可能后来发现是个只会纸上谈兵的“赵括”,送货的汽车有可能发生车祸,如此等等,风险也如影随形,数不胜数,企业根本不可能把所有可能遇见的的风险都一一识别出来,更谈不上策划出应对的措施,遇见这类情况,审核员开不开不符合项?开,每次审核至少可以开出十个八个,甚至更多;不开,确实有风险识别不全,按照这样的标准实施审核,没有一个企业能拿到证书。
从另一个角度讲,所有的管理,都可以认为是风险管理:制定部门职责,是防范出了问题无人负责的风险;设备保养是防范过早磨损影响机器功能的风险;环境维护是防范影响产品质量的风险;计量设备定期检定校准是防范产品质量误判的风险;文件控制是防范失效文件误用的风险;进货检验是防范采购到不合要求原材料的风险;过程检验是防范不合格品流入下道工序的风险;制定规章是防范无章可循的风险。甚至,上班打卡也可以认为是防范风险:防范扣考勤奖金时不承认曾经迟到的风险。从这个角度讲,企业已经识别了风险,并建立了许多规章制度,策划并实施了应对措施,满足标准的要求。
基于这样两种截然不同的分析,我们应该如何理解标准的要求?我以为,企业实施ISO9001:2015标准,目的一,通过审核认证获得证书,向市场和顾客证实本企业有能力满足顾客的要求和相关法律法规的要求;目的二,通过应用,完善和改进企业质量管理体系。所以标准有两个作用,作为审核依据的作用,和规范企业质量管理体系的作用。
在认证审核时,审核员不宜以此作为开具不合格报告的审核准则,因为风险无处不在,防不胜防,任何人都不可能把所有的风险都识别出来,企业在某些方面,识别不全,是必然的,是可以理解的。而且,标准附录A4中,还明确指出:“虽然 6.1规定组织应策划应对风险的措施,但并未要求运用正式的风险管理方法或将风险管理过程形成文件。”文中的“虽然”、“但是”,显然把风险管理的要求淡化了许多,婉转地告诉我们,审核时,不要提出过多形式上的要求。
从企业来说,学习贯彻标准,认识到风险识别和防范的重要性,在建立质量管理体系时,通过各种监视和评审活动,充分地识别风险,特别是重大风险,并考虑应对措施,或者规避,或者接受,并从中寻找机遇,实现改进。
现在网上有许多关于ISO9001的文章,包括关于风险管理控制的文章,把风险识别、分析、评定、处理,还有计算顺序数等方法,制定成制度。例如下表即是百度文库中的一个例子。
风险和机遇评估分析表
在这张表中,作者列出了27项风险来源,其实在企业质量管理活动中,风险来源何止这27项?在每一项中,又细化了很多具体的风险内容,例如在第1项合同评审过程中,列举了三项内容,工作已经做得很细致认真了,即使这样,我们仍然还可以轻易地指出更多的风险内容,例如:参加评审部门不全、合同批准人超过了权限范围、合同没有文件化、顾客信用未评审、合同中未规定纠纷处理约定、合同中涉及的法规收集不全、合同中未规定验收方法、合同签订时尚未完成评审,……等等,这是一项随着时间变化,永远没有止境的一项工作,既然如此,我们该考虑考虑:这种方法是否适宜?有效?
综上所述,我以为,ISO9001:2015标准提出基于风险的思维要求,目的在于强调事前控制的必要,不但要采取纠正措施,治标治本,还要有风险意识,未雨绸缪,防范于未然。而没有要求必须建立专门的制度,把所有的风险都识别出来,并予以分析、评定,并采取对策。审核时要关注的是实施质量管理体系的绩效,而不是文件和记录。
当然,对某些特殊行业,比如银行,比如医院,另当别论。
