惠州ISO9001:2015认证如何进行风险识别/评估?
惠州ISO9001:2015认证必须进行风险识别,那么惠州ISO9001:2015认证过程
中如何进行风险评估呢?
惠州ISO9001:2015认证采取控制措施
对风险进行管理的一种重要的工具是组织建立的一整套控制措施。对于萨班斯-
奥克斯利法案的合规要求来说,控制尤其重要。在该法规的合规审核过程中,审
核员非常重视对控制措施的测试。财务和质量的控制分两个层级,即实体层面和
活动层面,且在 ISO 9001 和 ISO 14001 标准中,质量控制是以“应”语句出
现的,这种“应”语句通常伴随着提交数据的要求。一些过程绩效要求也会包括
对结果的记录,这些记录可用来识别迫切的风险。
实体层级的控制措施包括:
人力资源政策
行为准则
沟通策略
会计原则
管理层的风险评估过程
组织结构和合同评审。在 ISO 9001:2015 中,合同评 审的要求和质量要求是
相互关联的,参见条款 8.2.3 与 产品和服务有关要求的评审。
活动层面的控制措施包括进行总账与明细分类账的对账分析、数据的自动验证和
编辑性检查、限制保密信息的获取、在录入前对交易进行编号、在输入系统前对
纸面信息进行审查和批准等方式。
活动层面的质量控制措施包括生产控制(8.6.1 条款)、 成文信息—不合格产品
和服务的纠正(8.8 条款) 以及识别 重要环境因素(ISO 14001:2004 条款
4.3.1)。
惠州ISO9001:2015认证风险和预防措施
有效的风险评估活动包括:
明确组织的可测量目标;
确保上述目标的兼容性;
识别实现目标的风险;
判断关键风险———可采用风险分析矩阵确定风险的关键程度;
采用风险管理工具来降解风险,比如目标—风险——— 控制措施———调节法
(ORCA 法)、ISO 9001 的改进 过程、失效模式和有效性分析(FMEA)以及风险控
制矩阵。
风险分析矩阵
风险分析矩阵是一种关键的分析工具,即对于识别出的每一种风险,估算风险产
生的后果和风险发生的可能性,然后将这些信息输入到风险分析矩阵中,如表 1
所示。
对每一个风险的关注程度进行判断之后,可对极端的和高危的风险采取措施 。
ISO 9001:2015 要求建立一个程序以实施以下活动:
采取措施控制并纠正不符合;
评估是否需要采取措施消除风险源;
实施纠正措施;
评估措施的有效性;
在需要时对质量管理体系进行修订;
ORCA
风险专家格雷格·哈金斯建议考虑采用 ORCA 作为组织的风险评估方法。他认为
, “这种方法的接受度和适用性很好,它结合了其他一些类型的评估因素,包
括过程、内部控制和体系审核等。另外,它也符合当今公司治理实践中对风险管
理和运营效率的关注。”
ORCA 要求组织做到以下各项:
清晰说明组织的目标;
全面识别并评估风险;
建立平衡的控制方式以管理组织的风险;
确保整个企业的目标、风险和控制的一致性。
在完成风险评估之后,高级和运营管理层可制定风险管理方面的策略并执行相关
的业务决定。风险管理策略包括避免、减轻、接受、分散及控制等方法。
ISO 9001 改进过程
ISO 9001:2015 的第 10.2 款说的是组织宜对以下情况 有所反馈,以改进其质
量管理体系:
数据分析的结果;
组织状况的改变;
识别出的风险的变化(条款 6.1);
新的机会。
失效模式与影响分析(FMEA)
失效模式与影响分析是一种通过风险排序并采取预防措施以减少风险的方法。这
种方法用来检查产品或过程潜在的故障,以便采取补救措施来减少风险。
FMEA 的第一步是描述系统的各个组成部分,第二步是明确如各个组成部分发生
失效时的后果,并采用风险分析矩阵来评估各种失效发生的严重程度和可能性,
同时也明确相关控制措施对于故障的察觉能力。
接着是识别能够消除或减少故障发生或改进故障察觉能力的措施。最终,FMEA
帮助实施对过程或产品进行调整 或改进,以避免潜在的失效发生。 ReliaSoft
集团的卡尔.S.卡尔森先生提出了一个建立失效模式与影响分析的“十一步过程
法”。他认为,首先要做的就是制定一个涉及策略和资源的总体计划,将涉及管
理评审、质量审核、供应商 FMEA 以及建议措施的实施和跟进活动中的通用方案
进行明确描述。他提出的最后几个步骤中包括软件方面的支持,与其他过程和测
试的关联,以及对现场失效进行的及时跟踪。
风险控制矩阵
风险控制矩阵是用来管理一个特定过程风险的工具。制定一系列的控制措施以确
定过程的各种风险的状况。通过风险控制矩阵,管理层可以直观地了解各项控制
与评估的最新结果。 表 2 是对“结账”过程所进行的分析。
采取基于风险的方法
ISO 9001:2015 版标准是一部具有很强风险导向的标准。一个组织要建立基于
风险的思维方式,首先必须对其可测量的目标进行定义,因为风险本是对实现目
标的各种进步的阻碍。
一个组织必须确定自身的风险偏好和风险承受能力,这样才能形成上下一致的风
险观。在此基础上,组织可以采用风险分析矩阵,通过综合考虑事件的可能性及
其后果严重程度来确定风险等级。
为符合萨班斯-奥克斯利法案的要求,宜采用自上而下、基于风险的方法来选择
适宜的控制措施,通过检验识别可能的偏差或重大的虚报问题。据了解,ISO
9001 和 ISO 14001标准到目前为止的修订稿中,都有意提供了一些有用的工具
,帮助组织改进其风险管理策略。