基于ISO9001和IATF16949风险分析应用：别把“风险管理”过度解读

自从新版标准发布以来，众多机构和咨询行业的讲师、咨询师通过各种培训、微课堂、公众号等形式进行宣传和讲解，这对众多应用标准的企业以及从事体系管理人员、质量管理人员熟悉新版标准，进行换版升级无疑是有极大帮助的。本人也跟着这些机构和大咖们不断学习，结合自己对标准的理解，感觉到一些机构和讲师有意无意中把一些简单的事情复杂化，对标准的一些要求形而上的过度解读让企业感觉“吓着宝宝了”，有点云里雾里。

在此，本人也谈谈对企业应用标准和实施质量管理体系的一些看法，以下谈到的一些现象不针对任何个体，如有雷同，切勿对号入座。

ISO质量管理体系标准自1987年发布第一版以来刚好三十年了，在我国真正的逐渐实施推动是从上世纪的九十年代中后期开始，当时主要还是一些外资企业在首先应用，直到2000版标准发布之后才兴起体系认证的热潮。1991年，中国第一张ISO9001认证证书在深圳诞生，截至2013年底，这一数字已超过36万，占全世界证书总数的30%（来源：国家认监委 时间：2014-02-27）。截止2016年8月31日，16949的证书全球66033张，中国是27700多张，占42%。从证书的总量上看，也说明中国是全球唯一的制造业大国。毫无疑问，这三十年质量体系的推动和认证对中国制造业质量管理水平的提升和产品质量的提高是功不可没的。但是，我们也看到，大家对于这些证书的含金量大都表示“呵呵！”。

每当和企业的高层管理者谈及质量管理体系，大都口头上表示认同、觉得重要，如果不这么说显得自己作为高层管理者认知不够、理念跟不上，形式上也要做样子给下面的人看。事实上内心对质量体系的重要性并不认可，觉得是为了应对客户的要求和证书的需要，交给品管部门负责或找个体系专员负责就可以了，所以导致很多企业的质量管理体系并没有真正融入到企业的业务过程中。很多企业依然存在“两张皮”的现象，质量体系文件是为认证审核和客户审核用的，记录也是做给审核员看的。因此，质量体系对企业只是负累，根本没有达到标准所期望的实现组织的绩效。

造成这种现象的原因当然是多方面的，但根据我从事咨询行业十六年的经历来看，认证机构和咨询机构以及咨询师要负80%的主要责任，这80%中认证机构和咨询机构要各负一半。这么说，认证机构就觉得冤枉和委屈了，我认证是裁判，你企业做不好关我什么事？这就好比中国足球，有人调侃“专业输球30年，一直被模仿，从未被超越”，你足球踢不好关我裁判什么事？说的也是，但是你球队收黑钱，裁判吹黑哨，球员踢黑球，你叫中国足球怎么进步？怎么提高？这就好比认证机构、咨询机构和企业的关系，认证机构为了业务订单拉客户，给审核老师压力，无原则的放松，随意发证；咨询机构觉得认证很容易通过，为了抢单就采取低价竞争，拼命压缩成本和时间，采用快餐式、批发式的辅导模式，丢一套文件模板给企业改头换面，然后做一些记录就通过认证了。企业还没明白咋回事，证书到手了，可以向客户交代了，这就造成了行业乱象。咨询行业没有门槛，咨询师的水平参差不齐，企业也很难辨识哪家咨询公司好，为了快速拿证，从成本考虑哪家低价选哪家。

当然，中国不乏很多优秀的企业在践行质量管理体系的落实和不断改善，对质量管理不断创新，这些企业大都发展得比较好，即使没有做大做强，也活得比较健康，活得长久。

为了便于交流，这里顺便交代一下我的简历。我1993年进入一家港资企业，从生产工程师做起，到生产主管、生产经理，管过十几条生产线，也管过注塑成型、喷漆、丝印，而后又主管过产品设计开发和模具制造，之后担任品管经理负责建立品管体系，98年升任公司副总经理兼管理者代表，推动过94版的质量体系标准，在这家企业做了近8年，对整个企业的经营管理还算是比较熟悉的。

2001年开始加入当时号称亚洲最大的一家台湾管理顾问公司，当时做体系辅导还是比较扎实的，9001的体系一般要做一年才认证，少的也至少半年以上，顾问师要手把手指导和检查每个部门的实施，体系运行一段时间后，由其他顾问师组成审核小组进行模拟审核，从不同角度去发现运行中的问题。

作为咨询行业的从业者，我也在失败和波折中前行，不断总结和反省。坦白的说，咨询辅导是一个良心活，因为其深度和广度弹性太大，不受控因素也多，企业很难定量衡量和评价。因此，靠的是咨询师的经验、知识水平和责任心，一个好的咨询师不但可以帮助企业建立适合其运行的管理体系，也会改变管理干部的理念和认知，促进企业文化的形成，不仅是让企业收获短期利益，更会给企业发展带来深远影响。反之，一个咨询师的错误指导和不负责任的行为，不但对企业没有帮助，更会害惨企业。

对于如何辅导企业策划和实施管理体系下面只想谈五点做法，供各位参考、交流。

一、体系策划要了解企业的背景。

就是所谓的辅导前调研和诊断，了解企业的诞生、发展历程，了解企业文化、运作方式、所经营的产品和服务在行业中的水平，生产模式和先进程度，员工素质，基础管理水平，企业的愿景、发展目标等等。在此过程中要充分和高层沟通，了解高层的意图和期望，引起其共鸣和资源上的充分支持。这些看起来很简单，很容易的事，很多咨询师就忽略了。

在这些信息的基础上才能指导企业进行正确的组织环境分析和制定经营计划。马云曾经在浙商大会上说过，战略从来都是打拼出来的不是学来的，这话很实在，但落实战略却是需要有计划的。再好的战略，没有计划的实施就很难达到其预期效果，甚至失败。很多这些案例，微微拼车的失败就是很好的例子，看似由于资本的原因，实则是缺乏良好的运营计划。

二、管理是为经营服务的。

企业存在的目的就是追求利润，套用一句流行的话，没有利润的企业就是耍流氓，没有利润的企业所谓的理想、员工福利、社会责任都是扯谈。那么满足顾客要求、增强顾客满意都不过是实现利润的手段。管理的目的就是如何去实现企业的经营目标，所以说管理是为经营服务的，为利润服务的，而不是反之。那么管理体系就是管理的工具和方法，因此，策划质量管理体系不是企业去套用标准，去削足适履，而是用标准提供的思路和方法去完善和改进企业的管理系统。

很多咨询师在指导企业策划质量管理体系时，主要是从标准的符合性以及如何通过认证的角度去思考，企图把体系策划得很完美，滴水不漏。这样的体系运行是僵化的，不合实际的，对企业是极大的浪费和阻碍。

三、体系策划要用企业的语言。

很多咨询师在指导企业建立过程时，很教条的套用标准中的标题，看看下面的例子：

我们看COP1“与顾客有关的过程”，与顾客有关的过程多了去了，你叫实施的部门怎么理解，知道是哪些过程吗，如何实施？还有“产品生产和服务提供的控制”、“外部供应产品和服务的控制”等等，这就是套用标准术语的典型。标准是为了适用于所有不同行业、不同类型、不同规模的组织，所以其用词是高度的概括，在标准“引言 0.1总则”中就明确的告诉我们：

“实施本标准并非需要：

——统一不同质量管理体系的架构；

——形成与本标准条款结构相一致的文件；

——在组织内使用本标准的特定术语。”

那么，应该怎么做呢？根据组织职能不同，用企业的日常语言去识别和描述过程，比如“与顾客有关的过程”可能包括新客户开发过程、产品推广过程、产品报价过程、订单评审和处理过程、顾客投诉处理过程等等，直接用这些过程名称就可以了。

很多咨询师和体系负责人都抱怨说企业各部门及管理干部不重视、不配合，你都不用企业的语言说话，他们怎么理解、怎么配合呢。

还有，我们很多企业把过程管理的“乌龟图”放在质量手册中，看看下面手册中的“乌龟图”

这样的“乌龟图”谁能理解？估计编写手册的人员也不理解，咨询师也不理解，这样的乌龟图有什么意义？真是教条啊！所以质量手册每年只用一次，就是认证机构审核那一天给审核老师看。

所以，我个人主张过程控制的“乌龟图”应该放到过程文件中，让实施这个过程的部门和人员知道这个过程的输入输出，了解该过程的风险和管理目标，了解过程需要哪些资源以及支持过程运行的文件。

四、过程的建立需要相关部门充分参与。

企业的过程犹如城市的交通、人的血管，是企业运行的有效途径，企业出现问题就是某个过程不顺畅，失控了。这些过程是由相关部门运行的，不能由咨询师和体系专员闭门造车写过程，必须有他们参与讨论、研究和学习，这样的过程才是量身定做。一开始他们就明白这些过程的来龙去脉，后续的实施就简单多了，而且实施部门会主动提出过程改进。

五、体系策划要避免只见树木不见森林。

很多企业为了满足标准的要求，每个小条款也都写个文件，有些文件都不足200个字，这个文件有什么意义吗。我们要理解这个条款的目的是什么，管控什么，对满足客户要求有什么影响，为哪个过程控制服务，为哪个目标实现服务的，放在哪里控制合适。我们编写文件的出发点应该是简单、有效，而不是整一个复杂的文件系统。

诚然，体系策划和实施涉及很多方面，运用方法也各不相同，以上几点仅是个人看法，供参考而已。

回到本文标题的内容，我们来谈谈风险管理。

先看看GB/T19000—2016 对风险的定义：

风险risk

不确定性的影响。

注1: 影响是指偏离预期,可以是正面的或负面的。

注2: 不确定性是指对事件及其后果或可能性的信息缺失或了解片面的状态。

注3: 通常用潜在事件和后果, 或者两者的组合来表现风险的特性。

注4: 通常用事件后果(包括情形的变化) 和相应事件发生可能性的组合来表示风险。

注5: “风险”一词有时仅在有负面结果的可能性时使用。

风险对我们来说并不是什么新概念，在过去的质量管理体系实施中，以及我们日常生活中，都有运用风险管理的思维和控制措施，只是没有明确的书面化的提出来而已。比如我们对供应商的审核是为了控制供应商质量不稳定的风险、供货不及时的风险等，进料检验是为了控制不合格物料流入生产部门的风险等。

标准“引言0.3.3 基于风险的思维”中也明确指出：

“基于风险的思维（见 A.4)是实现质量管理体系有效性的基础。本标准以前的版本已经隐含基于风险思维的概念，例如：采取预防措施消除潜在的不合格，对发生的不合格进行分析，并采取与不合格的影响相适应的措施，防止其再发生。”

有些讲师说，预防措施不属于风险控制的方法，是在问题发生后才采取的措施，这是瞎扯！

预防措施是消除潜在不合格的原因，防止不合格发生。既然是潜在不合格，就有可能发生也有可能不发生，这就是不确定性的影响，就是风险，那么消除不合格的原因就是消除风险。

我们再来看看A.4是怎么说的：

“A.4基于风险的思维

本标准以前的版本中已经隐含基于风险的思维的概念，如：有关策划、评审和改进的要求。本标准要求组织理解其组织环境(见4.1)，并以确定风险作为策划的基础 (见6.1 )。这意味着将基于风险的思维应用于策划和实施质量管理体系过程 (见4.4)，并有助于确定成文信息的范围和程度。

质量管理体系的主要用途之一是作为预防工具。因此，本标准并未就“预防措施”设置单独条款或子条款，预防措施的概念是通过在质量管理体系要求中融入基于风险的思维来表达的。

虽然6.1规定组织应策划应对风险的措施，但并未要求运用正式的风险管理方法或将风险管理过程形成文件。组织可以决定是否采用超出本标准要求的更多风险管理方法，如：通过应用其他指南或标准。”

注意，标准并不要求运用正式的风险管理方法，对于企业来说不一定要将风险管理过程形成文件。对于汽车行业是要求将风险分析保留成文信息，也不是必须要将风险管理过程形成文件的，我们看看“6.1.2.1 风险分析

组织应在风险分析中至少包含从产品召回、产品审核、使用现场的退货和修理、投诉、报废及返工中吸取的经验教训。组织应保留成文信息，作为风险分析结果的证据。”

上述要求在FMEA分析中也能体现，不一定要专门写风险管理程序。

不同企业生产的产品和提供的服务不同，其面对的风险也不同，对于运用风险管理的深度和广度，要根据客户要求、法律法规要求以及企业自身需求去评估，不要千篇一律搞一个复杂的风险评估系统，这会对企业的资源和人力造成不必要的浪费，这本身就是风险。

那么，一般企业的风险管理怎么做呢，我个人认为对于质量管理体系而言，企业的风险主要是三个层级，即经营级风险、管理级风险（就是过程运行风险）、作业级风险。（对于环境影响的风险、职业健康安全的风险、信息安全的风险，那是ISO14001、 OHSAS18000/ISO45001、ISO/IEC27001去研究的）

先谈谈经营级风险。（以下是简单的方法，是建议性的，不同企业可以用其他更多的方法）

可以在经营计划中根据4.1组织环境分析结果和4.2确定的有关相关方的需求和期望确定风险和机遇，然后提出相应对策。可以用下面的两个表在经营计划中体现。

公司内/外部环境分析和对策（示例）

组织的相关方的需求和期望列表（示例）

上述对策或措施有些可能会延伸到过程文件中去执行，对于如何制定经营计划，不在此处谈。

再谈谈管理级风险。（以下方法是建议性的，不同企业可以用其他更多的方法）

管理级风险，就是不能满足客户要求和法规要求，不能实现经营目标和过程目标的风险，管理级风险是通过过程控制去避免的，所以管理级风险可以通过过程风险识别加以控制，可以在过程文件的乌龟图中识别，比如

每个过程都需要识别其风险，可以和过程执行部门一起商讨识别，并确定相应的控制措施。过程风险识别其实并不复杂，不需要太多打分评级的方法，不能满足客户（包括内部和外部）要求，不能实现过程预期目标的就是主要风险，管理就是管重点，不是所有风险都要识别出来加以控制，这是不经济的。

关于作业级风险。

作业级风险主要就是产品设计作业风险和生产制造作业风险。产品设计作业风险就用DFMEA的方法，生产制造作业风险就用PFMEA的方法。

DFMEA和 PFMEA的方法汽车行业都熟悉了，可参考专门的书籍使用。