0.3.3风险思维

风险思维是实现质量管理体系有效性的基础。本标准前几版已经隐含了风险思维的概念，如采取预防措施消除潜在的不符合项，分析不符合项的问题，采取与不符合项影响相对应的措施防止其再次发生。

为了满足本标准的要求，组织需要计划和实施应对风险和利用机会的措施。应对风险和机遇，为提高质量管理体系的有效性、获得改进结果和防止不良影响奠定基础。

一些有利于实现预期结果的情况可能会带来机会，例如，一系列有利于吸引客户、开发新产品和服务、减少浪费或提高生产率的情况。为利用机会而采取的措施也可能包括考虑相关风险。风险是不确定性的影响，它可能有正面或负面的影响。风险的积极影响可能提供机会，但并非所有的积极影响都能提供机会。

基于风险的思维是规划质量管理体系并实现其有效性的基础。质量管理体系的主要用途之一是作为一种预防工具。因此，本标准没有单独安排“预防措施”一章，而是在规定质量管理体系要求的过程中，采用基于风险的方法来表达预防措施的概念。这也是本版修订的重要变化之一。

1.正确理解风险的内涵

风险，即不确定性的影响。影响是指偏离预期，可以是积极的，也可以是消极的。不确定性是对一个事件，甚至一个局部的结果或可能性缺乏理解或认识的状态。通常，风险是以事件的后果及其发生的可能性的组合来表示的。“风险”一词有时用于有可能产生负面影响的情况，即“危机”；也可以在有正面影响的可能性时使用，即“机会”。

2.正确把握风险，把握机遇

该标准要求组织了解其运营环境，并确定风险作为规划的基础。这意味着将基于风险的思维应用于质量管理体系过程的规划和实施，从而确定要记录的信息的范围和程度。就组织实现目标的能力而言，质量管理体系的全过程并不代表相同的风险水平，其不确定性影响对每个组织都是不同的。根据第6.1条的要求，组织有责任处理风险并采取相应的措施，包括决定是否保留文件化的信息作为确认风险的证据。

组织在策划质量管理体系时，应考虑了解组织及其环境所描述的因素，了解相关方的需求和期望所规定的要求，确定需要应对的风险和机会，以确保质量管理体系能够实现其预期的结果；增强有利因素，避免或减少不利影响，避免意外结果；实现持续改进。组织应计划措施来应对这些风险和机会，但不要求使用正式的风险管理方法或记录风险管理流程。组织可以决定是否采用超出本标准要求的更多风险管理方法，例如，通过应用其他指南或标准，如ISO 31000: 2009风险管理原则和指南、ISO/TR 31004: 2013《实施LS031000风险管理的lS0 31000》和ISO 31010: 2010风险评估技术进行风险管理。

3.正确运用基于风险的思维方法

基于风险的思维方法，既要考虑风险，也要考虑机会，采取对策控制风险，寻求发展和改进的机会。风险思维的方法步骤一般如下:

1)识别风险和机会；

2)分析和优化风险和机会，确定哪些是可接受的风险，哪些是不可接受的风险，有哪些优势和劣势；

3)制定应对风险的措施，根据可接受的风险水平规划如何规避或消除风险，提出控制风险的措施；

4)实施风险控制措施；

5)评价控制措施的有效性；

6)总结和吸取经验教训，进行持续改进，如建立知识库，创造积极的改进文化，以达到提升顾客满意度的目的。

基于风险的思维要求组织在建立、实施、保持和改进质量管理体系时，对风险进行定性或定量的考虑，充分识别、正确分析和有效应对这些风险和机会，从而提高质量管理体系的有效性，获得预期的改进结果，最大限度地预防和减少不良影响。