徐幼东：基于风险的深谋远虑（ISO9001:2015之预防）

有人提出ISO9001:2015取消了预防措施，
而老王说：“1、很多人不理解预防措施，实际执行不好。为了便行标准，取消。

2、CD版本还提出防错要求。DIS版本，也取消了。只是原则性提出预防。如果体系策划规定的预防没有做好，那就是一个不符合，那么，执行纠正措施。”
还有人说：“预防措施要求组织需要一个资深的功能团队支持，而一般企业（特别是初创的民营企业）没有这样的人力资源，不符合ISO9001标准应用范围。”

其实这些疑虑和回答是错误的，那么徐幼东-ISO风清扬现在答疑解惑如下：

什么是风险？风险就是对预期结果影响的不确定性，风险管理就是“确定潜在不合格及其原因和影响，评价采取措施的需求，确定和采取措施，记录结果，评价措施的有效性”--预防措施的一种系统管理方法，也就是说风险管理是预防措施系统管理一种工具，我们要有基于风险的深谋远虑的理念，这种理念始终隐含在ISO9001，我们现在在ISO9001:2015中要更明确和集成于建立、运行、保存和持续改进质量管理体系的具体要求的标准中。我们可以通过应用ISO9001:2015和风险管理指南依据适当的组织某些背景选择开发广泛地基于风险的深谋远虑的风险管理体系正式管理风险。

每个组织的过程的后果、产品、服务或系统不合格都不一样，即使类似，交付不合格产品和服务的后果也可能不一样，有的交付不合格产品和服务的后果只是对客户带来不方便，有的交付不合格产品和服务对客户带来深远和致命影响的后果。基于风险的深谋远虑意味着要考虑对风险进行定性和定量以及与组织的背景对照，进而对体系、过程和活动的的策划和控制的严密性和程度进行定义和划分。

“基于风险的控制方法”就是“预防措施”要求：
Planning策划
Actions to address risks and opportunities风险和机遇的应对措施
When planning for the quality management system, the organization shall consider the issues
referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and
opportunities that need to be addressed to 策划质量管理体系时，组织应考虑4.1 和4.2 的要
求，确定需应对的风险和机遇，以便：
a) assure the quality management system can achieve its intended outcome(s);确保质量管理体
系实现期望的结果；
b) assure that the organization can consistently achieve conformity of goods and services and
customer satisfaction;确保组织能稳定地实现产品、服务符合要求和顾客满意；
c) prevent, or reduce, undesired effects, and 预防或减少非预期的影响；
d) achieve continual improvement.实现持续改进。
The organization shall plan:组织应策划：
a) actions to address these risks and opportunities, and风险和机遇的应对措施；
b) how to如何
1) integrate and implement the actions into its quality management system processes (see 4.4),
and在质量管理体系过程中纳入和应用这些措施（见4.4）
2) evaluate the effectiveness of these actions.评价这些措施的有效性
Any actions taken to address risks and opportunities shall be proportionate to the potential
effects on conformity of goods and services and customer satisfaction.采取的任何风险和机遇的
应对措施都应与其对产品、服务的符合性和顾客满意的潜在影响相适应。
注：Options to address risks can include for example risk avoidance, risk mitigation or risk acceptance可选的风险应对措施包括风险规避、风险降低、风险接受。


全面风险管理的收益

—— 提高实现目标的可能性；
—— 鼓励主动性管理;
—— 在整个组织意识到识别和处理风险的需求;
—— 改进机会和威胁的识别能力；
—— 符合相关法律法规要求和国际规范；
—— 改进强制性和自愿性报告；
—— 改善治理；
—— 提高利益相关方的信心和信任；
—— 为决策和规划建立可靠的根基；
—— 加强控制；
—— 有效地分配和利用风险处理的资源；
—— 提高运营的效果和效率；
—— 增强健康安全绩效，以及环境保护;
—— 改善损失预防和事件管理；
—— 减少损失；
—— 提高组织的学习能力
—— 提高组织的应变能力
为了风险管理有效，组织宜在各个层次遵循以下十一大基本原则。
一）风险管理创造和保护价值
风险管理有助于目标明确的实现和绩效的改进，例如，在人员的健康安全、治安、法律法符合性、公众接受性、环境保护、产品质量、项目管理、运营效率、治理和声誉方面。
二）风险管理是整合在所有组织过程中的部分
风险管理不是与组织的主要活动和过程分开的孤立活动。风险管理是管理职责的部分和整合在所有组织过程中的部分，包括战略规划、所有项目、变更管理过程。
三）风险管理支持决策
风险管理可以帮助决策者做出明智的选择、优先的措施和辨别行动方向。
四）风险管理明晰解决不确定问题
风险管理明确地阐述不确定性、不确定性的性质、以及如何加以解决。
五）风险管理具备系统、结构化和及时性
系统、及时和结构化的风险管理方法有助于提高效率和取得一致、可衡量和可靠的结果。
六）风险管理基于最可用的信息
风险管理过程的输入基于信息源，如历史数据、经验、利益相关方的反馈、观察、预测和专家判断。然而，决策者宜告诫自身和考虑，数据或所使用模型的局限性，或者专家之间分歧的可能性。
七）风险管理是量体裁衣的
风险管理是与组织的外部和内部状况及风险状况相匹配的。
八）风险管理考虑人文因素
风险管理认识到可以促进或阻碍组织目标实现的内部和外部人员的能力、观念和意图。
九）风险管理是透明和包容的
利益相关方、尤其是组织各层面的决策者适当、及时的参与，确保了风险管理保持相关和先进性。参与过程也允许利益相关方适当地发表意见，并将其观点考虑到风险准则的确定中。
十）风险管理是动态、迭代和应对变化的
风险管理持续察觉和响应变化。由于外部和内部事件发生，状况和知识在改变，风险的监测和评审在进行，新的风险出现，一些风险在改变，而另一些风险消失了。
十一）风险管理实现组织的持续改进
组织宜制定和实施战略，协同组织的其他方面共同改进风险管理的成熟度。
风险管理框架 risk management framework
提供在组织内设计、实施、监测、评审和持续改进风险管理的基本原则和组织安排的要素集合。
---基本原则包括管理风险的方针、目标、授权和承诺。
---组织安排包括计划、关系、责任、资源、过程和活动。
---风险管理框架被嵌入到组织的整个战略和运营的方针和实践中
风险管理过程
1、沟通和协商
2、环境建立
--外部环境建立
--内部环境建立
3、风险评估
---风险识别
---风险分析
---风险评价
4、风险处理：评估风险处理措施、判定剩余风险是否是可容忍的、如果不能容忍，制定一个新的风险处理措施、评价该风险处理措施的有效性
---通过避免或停止会产生风险的活动避免风险
---为了需求机会持有或增加风险
---消除风险源
---改变可能性
---改变后果
---与其他团体进行风险共担（如合约和风险融资）
---通过知情决策保留风险

附：用谷歌、百度、搜搜等搜索“徐幼东”能找到我的帖子