新闻详细

ASQ QP分享《新关注 - ISO9001:2015打算搞定风险,你的组织准备好了吗?》

发布日期:2015-08-10 13:15:01

相比10年前,当前的经济全球化为组织提供了众多机会, 但也由于种种变化带来了诸多风险,包括由于互联网带来的风险,以及由于向中国、墨西哥等发展中国家大量外包带来的风险。


为了应对这些变化,组织必须采用基于风险的思维方式,包括采用识别、管理并缓解风险的各种工具。其中一个常用方法包括以下环节:确定组织目标、明确风险类型、识别对于目标实现的风险并制定风险管理方法。


本文讲述了基于风险的思考方法,建议您同时在www.qualityprogress.com网页查看本文网页版;在线数据1-7,您可以使用该模板填入有关内容,以了解如何提高机构的风险应对方法。


ISO/DIS 9001:2015中的风险

在ISO9001:2015标准DIS稿中有很多基于风险思考的内容,这些内容将影响组织为符合修订后的标准而进行的工作。以下是节选并归纳本标准草案中涉及风险的有关内容。


定义:ISO9001:2015标准DIS稿所指的风险是“对预期结果的不确定的影响”。DIS稿未提出对预防措施的要求。


过程方法:DIS稿4.4条款讨论的要素之一是过程方法,要求组织“识别质量管理体系所需的过程”以及这些过程在组织中的应用。这包括识别:输入、输出和资源;顺序和相互作用;有效的运行;责任和改进机会; 风险以及应对风险的机会和措施。


关注顾客: 5.1.2条款指出最高管理层必须“证明其在关注顾客方面的领导力和承诺,确保实施了相关工作……识别和处理可能对产品、服务和增强顾客满意度的能力方面的风险和机会”。


应对风险和机会的措施:6.1.1和6.1.2条款指出组织必须识别那些必须应对的“风险和机会”,以确保质量管理体系能够实现预期结果,预防或减少非预期后果,实现持续改进。


应对风险和机会的措施必须与产品、服务、顾客满意方面的潜在影响相适应。另外,组织在进行改变的时候宜“有计划并系统地实施”,识别风险和机会,并注意核查变化的潜在后果。


应对风险可能采取的方法有避免风险、消除风险源、分担风险以及决定是否承担风险等。


交付后的活动:根据8.5.5条款,适用时,组织必须确定并满足与产品、服务的性质及其预定使用寿命有关的交付后活动的有关要求,即与产品和服务有关的风险、使用寿命、顾客反馈、法律法规要求。


管理评审: 9.3条款指出组织必须考虑其采取的应对风险和机会的措施的有效性(同时参见6.1条款)。这包括识别需要监视和测量的内容,使得组织能够证明符合产品和服务标准的要求;评估过程的绩效(同时参照条款4.4);确保质量管理体系的符合性和有效性;评估顾客的满意度。


内审:条款9.2指出组织必须“策划、建立、实施并维护内审的审核方案”,并且确定“内审的频次、方法、责任、策划要求和报告方式”。内审方案必须考虑质量目标、相关过程的重要性、相关风险以及之前审核的结果。


基于风险的方法:附录A的A4章节内容描述了基于风险的管理方法,包括要求组织充分了解自身所处环境,包括内部和外部的问题;明白管理体系的重要目的之一是作为一个预防工具;确定风险和机会;处理识别出的风险和机会。


应用基于风险的思考方法

对组织有影响的风险主要有以下4类:


1.组织风险:发生在组织实体及其活动层面;

2.战略风险:发生在组织的战略或业务计划制定不够周密时;

3.合规风险:发生不符合法律法规要求的情形时;

4.运营风险:分为与组织的程序和措施有关的7个分类别。


  1. 组织风险

实体层面的风险可以是外来的也可以是内部存在的。外来因素包括技术、竞争以及法律环境;内部因素包括安保、信息系统、收发货物遗失、人员能力和责任变化等方面。


活动层面的风险对个人和部门发生影响,包括在系统中输入信息或材料时的疏漏;收发货记录遗失;安保控制松懈;缺少熟练技术人员以及员工的疏忽大意等。如果在组织的各个环节活动层面的风险不断,最后势必形成实体层面的风险。


2.战略风险

战略风险指的是因执行一项不成功的商业计划或战略而可能发生的损失。其原因可能是由于做了糟糕的业务决策、执行决定不力、资源不足或者是因为业务环境发生了变化而未及时进行调整。


3.合规风险

合规风险是与法律法规要求有关的风险。环境、健康和安全要求一直是人们关注的问题,因为一旦这些方面出现问题,轻则罚款,重则停业甚至追究刑事责任都是可能出现的后果。遵守质量和环境方面的标准和规范也在这个范畴之内。


环境风险包括液体危险品遗撒、危险气体排放以及固态废弃物的不当处理,包括的情况还可能有以下情形:


采购部将从国内采购改为向国外供应商采购;


负责环境的关键管理人员离岗未及时替补;


引入新的物料却未编制有关的安全管控记录。


4.运营风险

运营的风险可以具体从以下7个方面说明:


(1)管理体系风险

由于制定的战略、制度规定和工具、数据处理、呼叫(电话) 中心、合同管理、设计与开发等层面的效率低下,都可能造成管理体系的效率低下。比如说,一个重度依赖外包的供应链,可能有很大风险。


管理体系的其他风险包括不正确的收入确定;违反国家安全规定;不符合环境法规以及萨班斯-奥克斯利法案(美国的一部涉及会计职业监管、公司治理、证券市场监管方面的重要法律) 的要求。这些行为将可能导致罚款、停业甚至追究刑责的后果。为了降低此类风险,组织的最高管理层以及董事会必须对管理体系有透彻的了解,并努力提高其有效性。如果人力资源管理制度、各种管理工具、数据处理、呼叫(电话)中心、营销活动、合同管理、顾客沟通、设计和开发等活动效率低下,则组织的管理体系必受其累。


总而言之,组织的最高管理层和董事会要了解自身的管理体系并不断提高其有效性。


(2)顾客满意风险

顾客沟通、送货、产品本身、设计维修以及对顾客反馈的回应方式都会影响顾客满意风险。为降低此类风险,宜将相关的产品质量数据、产品和过程监控数据以及供应商供货质量等数据也一并纳入分析过程。


(3)供应链风险

采购经理必须对外购产品和服务、独家供应商、送货时间库存管理以及文档管理等保持关注。信息沟通是确保供应链有效运行的关键。用来管理供应链风险的数值包括送货时间、库存水平及成本等。


(4) 收入确认风险对利润的影响

对此类风险的管理包括追踪产品从生产、销售到发货以及应收账款的全过程。收入的确认受到诸如应付款、应收账、交付前货值记录、现金报价错误、计算表错误以及价格信息不完整等原因影响。


质量经理在控制收入确认过程的有效性方面负有重要责任。质量体系和财务管理体系在此有交集,涉及产品实现、成本、销售、开发票、付款、库存管理以及发货等过程。发货信息是对应收账款和收入确认的直接输入。对于许多公司来说,收入确认对其收入有着直接影响,甚至可能影响其股票价格。


由于不正确的收入确认,还可能出现背离事实的虚假声明的风险。审核员宜对已建立的用以检查收入确认中问题的控制措施进行测试。


(5)信息安全风险

信息安全风险的情况包括病毒、未加防范的文件、不正确的财务记录和报告、糟糕的修改控制、信息检索错误、数据表格滥用、临时工和咨询师的使用、新技术的引入以及遭遇工业间谍和欺诈行为等现象。


ISO/IEC27001:2005《信息技术安全技术信息安全管理体系要求》包括了建立、实施、运营、监视、评价、维护并提高信息安全管理的要求。


(6)物流风险

当今组织关注的一个风险问题是与国家安全威胁因素相关的。运输过程可能由于需要检查是否藏有大规模杀伤性武器而拖慢。


如何筛查、识别、并追踪从货源地到购买方组织的全过程一直是个难点。以下因素影响物流风险:

原材料和成品的运输;

运输中的货损;

途中延误造成的无法按期交货;

运输延误造成的原材料库存不足;

国家安全信息上报要求。


有必要开发出新的工具以减少筛查和追踪等必须过程对供应链的干扰。总之,产品生产完成后,送到顾客手中之前,上述各种问题都可能出现,组织应该有所准备。


(7) 自然灾害风险

过去几年间,我们这个星球上自然灾害频发。业务连续性要求对应保护的存储信息进行安全保障,并对灾后复原进行策划。


信息技术在业务连续性中扮演着重要角色,宜专门设计相关的信息技术程序,以确保业务连续性运行的及时性和有效性。组织的业务连续性开发团队中不可缺少负责信息技术的成员。


信息技术部门必须提供可将信息妥善有效存储的保护措施,并对各种灾害进行管理、防范并提供安全保护措施。可采用的方法包括信息的定期复制,并将备份信息存储于安全的另外一个地点。并且,宜对存放在该地点的数据进行定期测试,以确保其正确无误。


ISO/IEC27001标准提供了业务连续性的管理控制措施,以下是业务连续性计划(BCP)的相关因素:

业务风险及影响分析;

灾害事件初始反应活动;

紧急事件和业务恢复过程管理程序;

各层级培训计划;

保持业务连续性计划及时更新的程序。


业务连续性计划宜定期演练,组织可以用以下问题进行BCP的自查:

是否已制定确保信息连续性的书面计划?

上述计划是否每年进行更新和检验?

何时对计算机硬件、软件或应用系统进行过重要的调整或改变?

是否对用以备份的介质进行了定期测试?

是否对应用程序、应用数据和运行系统软件进行了定期备份?

是否将该计划和信息进行了异地备份?


风险分析方法

一个组织在风险分析方面最先要做的事情就是明确组织能够承担哪种类型的风险(风险偏好) 以及风险的承受能力,使组织的所有成员了解组织的“风险观”。这一点确定后,可采用一些工具或方法以确定风险等级并对识别出的风险进行管理。关键工具之一就是组织的控制措施。对于与萨班斯-奥克斯利法案相关的内容来说,组织的控制措施尤其重要。不仅在组织层面的财务控制要合规,活动层面的财务控制也要合规。


风险偏好和风险承受能力

风险偏好是从大的角度来看一个组织所愿意承受的风险总量,即承受风险所能带来的利益与抵消风险的代价的比较。正如特雷得韦委员会(反欺诈财务报告委员会) 的赞助委员会所指出的,这是建立控制措施的主要切入点。在风险评估中,对于超出风险偏好的情况,应该得出采取预防措施的结论。


明确风险偏好有助于决定如何根据识别出的风险进行资金分配。加深对其了解有助于更有效地进行管理。风险偏好与承担风险的能力之间可有函数关系。为维持组织的信用评级或达到监管资金要求所需的资金存量往往是制约风险偏好的因素。


相对风险偏好来说,风险承受能力与组织的特定目标相关,它是一个实体所愿意承受的与实现其目标有关的各种变化的总和。一个组织中,对不同风险的承受能力不同。


风险偏好是一个较广的组织层面的概念,而风险承受能力往往关注点更集中。一个组织对其不同业务可有不同的风险承受能力,但是当这些不同的风险承受能力进行叠加的时候,它们不能超出最高管理层和董事会确定的风险偏好。


采取控制措施

对风险进行管理的一种重要的工具是组织建立的一整套控制措施。对于萨班斯-奥克斯利法案的合规要求来说,控制尤其重要。在该法规的合规审核过程中,审核员非常重视对控制措施的测试。财务和质量的控制分两个层级,即实体层面和活动层面,且在ISO9001和ISO14001标准中,质量控制是以“应”语句出现的,这种“应”语句通常伴随着提交数据的要求。一些过程绩效要求也会包括对结果的记录,这些记录可用来识别迫切的风险。


实体层级的控制措施包括:人力资源政策、行为准则、沟通策略、会计原则、管理层的风险评估过程、组织结构和合同评审。


在ISO9001:2015中,合同评审的要求和质量要求是相互关联的,参见条款8.2.3与产品和服务有关要求的评审。


活动层面的控制措施包括进行总账与明细分类账的对账分析、数据的自动验证和编辑性检查、限制保密信息的获取、在录入前对交易进行编号、在输入系统前对纸面信息进行审查和批准等方式。


活动层面的质量控制措施包括生产控制(8.6.1条款)、成文信息—不合格产品和服务的纠正(8.8条款) 以及识别重要环境因素(ISO 14001:2004条款4.3.1)。


风险和预防措施

有效的风险评估活动包括:

明确组织的可测量目标;

确保上述目标的兼容性;

识别实现目标的风险;

判断关键风险———可采用风险分析矩阵确定风险的关键程度;

采用风险管理工具来降解风险,比如目标—风险———控制措施———调节法 (ORCA法)、ISO9001的改进过程、失效模式和有效性分析(FMEA)以及风险控制矩阵。


风险分析矩阵

风险分析矩阵是一种关键的分析工具,即对于识别出的每一种风险,估算风险产生的后果和风险发生的可能性,然后将这些信息输入到风险分析矩阵中,如表1所示。


对每一个风险的关注程度进行判断之后,可对极端的和高危的风险采取措施。ISO9001:2015要求建立一个程序以实施以下活动:

采取措施控制并纠正不符合;

———评估是否需要采取措施消除风险源;

实施纠正措施;

评估措施的有效性;

在需要时对质量管理体系进行修订;


ORCA

风险专家格雷格·哈金斯建议考虑采用ORCA作为组织的风险评估方法。他认为,“这种方法的接受度和适用性很好,它结合了其他一些类型的评估因素,包括过程、内部控制和体系审核等。另外,它也符合当今公司治理实践中对风险管理和运营效率的关注。”


ORCA要求组织做到以下各项:

清晰说明组织的目标;

全面识别并评估风险;

建立平衡的控制方式以管理组织的风险;

确保整个企业的目标、风险和控制的一致性。


在完成风险评估之后,高级和运营管理层可制定风险管理方面的策略并执行相关的业务决定。风险管理策略包括避免、减轻、接受、分散及控制等方法。


ISO9001改进过程

ISO9001:2015的第10.2款说的是组织宜对以下情况有所反馈,以改进其质量管理体系:

数据分析的结果;

组织状况的改变;

识别出的风险的变化(条款6.1);

新的机会。


失效模式与影响分析(FMEA)

失效模式与影响分析是一种通过风险排序并采取预防措施以减少风险的方法。这种方法用来检查产品或过程潜在的故障,以便采取补救措施来减少风险。


FMEA的第一步是描述系统的各个组成部分,第二步是明确如各个组成部分发生失效时的后果,并采用风险分析矩阵来评估各种失效发生的严重程度和可能性,同时也明确相关控制措施对于故障的察觉能力。


接着是识别能够消除或减少故障发生或改进故障察觉能力的措施。最终,FMEA帮助实施对过程或产品进行调整或改进,以避免潜在的失效发生。


ReliaSoft集团的卡尔.S.卡尔森先生提出了一个建立失效模式与影响分析的“十一步过程法”。他认为,首先要做的就是制定一个涉及策略和资源的总体计划,将涉及管理评审、质量审核、供应商FMEA以及建议措施的实施和跟进活动中的通用方案进行明确描述。他提出的最后几个步骤中包括软件方面的支持,与其他过程和测试的关联,以及对现场失效进行的及时跟踪。


风险控制矩阵

风险控制矩阵是用来管理一个特定过程风险的工具。制定一系列的控制措施以确定过程的各种风险的状况。通过风险控制矩阵,管理层可以直观地了解各项控制与评估的最新结果。


表2是对“结账”这个过程所进行的分析。

过程:结账

目标:财务报告的准确完整性

财务报告要素:全部财务报告要素


采取基于风险的方法

ISO/DIS9001:2015版标准是一部具有很强风险导向的标准。一个组织要建立基于风险的思维方式,首先必须对其可测量的目标进行定义,因为风险本是对实现目标的各种进步的阻碍。


一个组织必须确定自身的风险偏好和风险承受能力,这样才能形成上下

一致的风险观。在此基础上,组织可以采用风险分析矩阵,通过综合考虑事件的可能性及其后果严重程度来确定风险等级。


为符合萨班斯-奥克斯利法案的要求,宜采用自上而下、基于风险的方法来选择适宜的控制措施,通过检验识别可能的偏差或重大的虚报问题。据了解,ISO9001和ISO14001标准到目前为止的修订稿中,都有意提供了一些有用的工具,帮助组织改进其风险管理策略。


作者:Stanford Liebesman

刘健译