国军标认证 新条款GJB9001C-2017风险与机遇如何理解和实施

【理解要点】

1. 本条款是GJB9001C新增加的要求，规定了应对风险和机遇的措施的策划内容和要求。

2. 组织在策划质量管理体系时，一旦风险和机遇得到识别和确定，组织就应策划应对风险和机遇的措施，以解决这些问题。

1）规避风险。决定不开展或停止产生风险的活动，来规避风险。这种措施所针对的风险往往应同时具备这些以下条件：风险是纯粹性风险，风险程度很高，不能采取预防措施进行预防，采取减轻措施后剩余风险仍不能接受，组织不愿意接受风险转移或共担。

2）为寻求机会，接受或承担风险。这类措施所针对的风险往往应同时具备以下条件：属于投机性风险、风险程度不是很高、存在着可以较大地促进组织目标实现的机会。

3）消除风险源。这类措施所针对的风险往往应同时具备以下条件：属于纯粹性风险、风险程度很高、项目对实现组织目标的影响较大、风险源较单一且可以消除。在纯粹性风险处理中，它属于“风险预防”的范畴。

4）改变可能性。这类措施所针对的风险往往应同时具备这些以下条件：属于纯粹性风险、风险程度很高、项目对实现组织目标的影响较大、有降低或消除风险发生可能性的机会。在纯粹性风险处理中，它也是属于“风险预防”的范畴。

5）改变后果。这类措施所针对的风险往往应同时具备以下条件：属于纯粹性风险、风险程度很高、项目对实现组织目标的影响较大、有降低或消除风险后果的可能性。在纯粹性风险处理中，它也叫做“风险减轻”。

6）与另一方或多方共担风险。这类措施所针对的风险往往应同时具备以下条件：属于纯粹性风险、风险程度较高、无可采用的预防措施、项目对实现组织目标的影响较大、有愿意接受风险转移和风险共担的组织。在纯粹性风险中亦称之为“风险转移”或“风险共担”。

7）经可靠的决策决定保留风险。这类措施所针对的风险应同时具备以下条件：大多属于投机性风险、风险程度不高、较多地存在着促使组织目标实现的机会。

3. 组织应对风险和机遇所采取的措施，应与组织对产品和服务符合性所造成的潜在影响相称。“应对”的概念对于风险和机遇来说，按照ISO 31000标准的要求，就是要制定处理方案。但是，6.1规定组织应策划应对风险的措施，并未要求运用正式的风险管理方法或将风险管理过程形成文件，也没有特别提到要优先考虑哪些风险和机遇，而是鼓励组织进行风险分级。组织可以根据产品和服务的特点决定是否采用超出本标准要求的更多风险管理方法，如：通过应用其他指南或标准。有些方法组织可以有多种选择，如避免风险、为了抓住机遇而承担风险、消除风险源、改变发生的可能性或后果、分担风险，或者在知情决策下与风险“共舞”（保持风险）。在组织实现其预期目标的能力方面，并非质量管理体系的全部过程表现出相同的风险等级，并且不确定性影响对于各组织不尽相同。组织也可根据实际情况选择或实施以上一项或多项措施。

4. 组织应策划在质量管理体系过程中如何整合和实施应对这些风险和机遇的措施，使风险管理过程成为这些质量管理过程的一部分，尤其是在组织的方针、目标及计划的制定、实施和评审，以及变更管理过程中，确保有关风险的信息成为组织各层级决策的基础之一。按照ISO 3100标准制定的风险管理原则，风险管理是一个框架，应嵌入到组织的战略和运作过程中去。因此，策划的输出可以纳入到质量管理体系过程控制的成文信息中，也可以单独成文。因此可将处理这些风险和机遇的措施与质量管理体系过程管理的其他要求和措施整合在一起实施。

5. 组织应评估并处理这些风险和机遇措施的有效性，以证实其措施能够有效应对风险和机遇。处理这些风险和机遇的措施的有效性主要体现在：这些措施是否能实施？实施后是否能够修正风险和增加机遇？通过应对风险和机遇措施的实施，是否可以有效降低风险的发生，提高机遇利用的可能性，或减轻不利后果的程度？是否可以确保目标和预期结果得以实现？组织应对这些问题进行评价等。

6. 组织可以参照ISO 31000系列标准建立更为完善的风险管理过程，内容包括明确环境信息、风险评估、风险应对，以及相关的沟通和咨询、监视和评审等，特别是要对风险处理所确定的措施落实责任人和完成的时限要求。还可参照ISO 31000系列标准建立风险管理计划，对于风险管理计划已经确定的风险和风险应对措施，以及残余风险，组织应进行监测和评审，当内外部环境发生变化时，还需对风险管理计划进行重新评价，甚至是修改。这些标准可作为组织风险管理的指南。

【实施要点】

1. 风险管理过程可参考GB/T 24353-2009《风险管理原则和指南》实施：

1）风险评估。风险管理过程中风险评估是风险识别、风险分析和风险评价的总过程。

a）风险识别。组织应识别风险源、影响区域、事件（包括环境变化）以及致因诱因和潜在后果。此步骤的目的是产生一个基于哪些可能产生、增强、阻碍、加快或推迟目标实现事件的综合表格。识别相关的风险是重要的，因为此阶段没有识别的风险将不会包含在进一步的分析中。

风险识别应包括考察特定后果直接影响，包括联锁和累积影响，也要考虑宽范围的相关后果。所有重要的致因和后果都应予以考虑。即使风险源或致因可能不明显，也应识别风险源是否在组织的控制之下，也要识别可能发生什么，考虑后果的可能致因是必要的。

组织应使用适合其目标、能力及所面临风险的风险识别工具和技术。在识别风险时，相关和最新的信息是重要的，包括可能的适当背景信息。具有适当知识的人员应参与到识别风险中。

b）风险分析。风险分析是风险评估的关键。风险分析为风险评价和确定风险是否需要处理以及最适合的风险处理策略和方法，提供了输入。风险分析也可以为必须做出选择及选择涉及不同类型和程度的风险的决策，提供了输入。

风险分析包括考虑风险的致因和来源、所带来的正面和负面的后果以及这些后果发生的可能性。影响后果的因素和可能性应被识别。可以通过确定后果和其可能性、以及其他风险特性，来进行风险分析。一个事件可以有多种结果并可以影响多重目标。现存的控制措施及其效果和效率也应被考虑在内。

后果和可能性的表述方式，以及它们的组合是确定风险程度的方式。反映风险类型、可获得的信息、以及运用风险评价输出的结果应符合风险准则。必须考虑不同风险和其来源的相互依赖。风险程度的确定和其前提和假设的敏感性的信心，应在风险分析中予以考虑，并有效沟通给决策者以及适当的利益相关方。风险准则应考虑诸如专家间观点的分歧、不确定性、可用性、质量、数量、信息的持续相关性、或模型的局限性等因素。上述这些因素应予以阐述和重点关注。

风险分析可以在不同程度进行，这取决于风险本身、分析目的、可用的信息、数据和来源。依据环境条件，分析可以是定性的、半定量的或定量的，也可以是组合的方式。

后果和其可能性可以通过模拟一个或一系列事件的结果，或由实验研究或可用数据推断确定。后果可基于有形和无形的影响表述。可以用数值描述，需要界定对 于不同时间、地点、团体或环境的后果和其可能性。

组织可以借助风险矩阵，将危害绘制在图表上进行量化，从而计算风险。严重 程度和频率的结果计算将成为风险分析的结果。一旦组织利用风险矩阵进行分析并确保其有效性后，就可以将此工具应用于风险管理过程。风险矩阵整合人运营过程 后，不仅可以计算风险，还可以实现对高风险事件的及时补救。

c）风险评价。风险评价的目的是：基于风险分析的结果，帮助做出有关风险 需要处理和处理实施优先考虑的决策。风险评价包括将分析过程中确定的风险程度 与在明确环境时建立的风险准则进行比较，将风险分析的结果与组织已制定的风险 评价准则进行比较，确定组织现存风险严重程度和等级的过程（或不可接受风险）， 其目的是为风险规避和领导决策提供支持。

基于这种比较，风险处理要求应予以决策考虑，包括考虑风险获益组织外的团 体对风险的容忍性。决策应依据法律法规和其他要求做出。在某些情况下，风险评 价可导致对决策的进一步分析。风险评价也可导致，除了保持现存措施，不以任何 方式处理风险的决策。组织的风险态度和已建立的风险准则，会影响风险的决策。 组织风险评价准则的科学合理是区别于不同组织风险文化乃至风险管理水平优劣的 重要标志。

风险评估是评价风险对组织实现质量目标和预期结果的影响程度，组织可通过制定风险评价准则进而科学地确定现存风险的严重程度。组织所制定的风险评价准 则应与组织对风险的承受能力、已制定的质量方针和目标、资源配置等因素相适 应，并应满足法律法规、监管和利益相关方的要求，同时还必须考虑相关风险发生 的性质、类型及后果的严重程度、风险发生的概率、风险级别。

2）风险应对。风险管理过程中风险处理包括选择一种或几种修正风险的方案，以及实施方案。一旦实施了方案，就可以有效实施风险管理。

风险应对包括了一个循环过程：评价风险处理；确定残留风险程度是否可容许；如果不可容许，产生新的风险处理；评价该处理的有效性。

风险应对方案不必互相排斥或适宜所有情况。方案可以包括以下内容：通过决定不开展或停止产生风险的活动，来规避风险；为寻求机遇，接受或提高风险；消除风险源；改变可能性；改变后果；与另一方或多方共担风险（包括合约和风险融资）；通过有事实依据的决策，保留风险。

组织应针对已确定的风险确定风险管控的优选顺序，识别为解决风险、利用机遇所需要开展的全部活动，并对这些活动的步骤、方法和职责等要求做出规定，并将其融入到质量管理体系过程中加以实施。通过应对风险和机遇措施的实施，可以降低风险发生、提高机遇利用的概率，以确保目标和预期结果得以实现。

3）监督和检查

组织应明确风险界定监督和检查的责任。监督和检查内容可包括：监测事件，分析变化及其趋势并从中吸取教训；发现内部和外部环境信息的变化，包括风险本身的变化、可能导致的风险应对措施及其实施优先次序的改变；监督并记录风险应对措施实施后的剩余风险，以便在适当时进一步处理；适用时，对照风险应对计划，检查工作进度与计划的偏差，保证风险应对措施的设计和执行有效；报告关于风险、风险应对计划的进度和风险管理方针的遵循情况；实施风险管理绩效评估。

风险管理绩效评估应被纳入到组织的绩效管理以及组织对内、外的报告体系之中。

监督和检查活动包括常规检查、监控已知的风险、定期或不定期检查。定期或不定期检查都应被告列入风险应对计划。

【审核证据】

1. 应策划控制风险及利用机遇的措施，将已确定的控制风险及利用机遇的措施计划纳入质量管理体系过程和组织业务过程，并评价这些措施的效果。如用会议记录表明组织在决策中对风险进行了明确的讨论，必要时对资源配置、项目安排等进行调整，或建立风险和机遇及其应对措施清单，并实施监视。

2. 应与标准6.1.1结合进行审核，在质量管理体系策划时是否确定需要应对的风险和机遇的证据；对需要应对的风险和机遇是否制定了应对措施，并且与对产品和服务的潜在影响相适应的证据；在质量管理体系过程中是否整合和实施应对风险和机遇的措施的证据；评价应对风险和机遇措施的有效性及实施改进的证据。

军标认证 国军标认证 GJB9001C-20017 武器装备质量管理体系认证 军品认证 军工三证 军工四证 质量体系认证

中國中鴻實業有限公司旗下：中鸿认证服务 www.cnqr.org

1998年至今 ISO认证/企业资质服务 直办非中介 全国接单 远程或就近安排审核

1.年薪10-35万：诚聘专兼职审核员（全国/符合条件可免费定向培养）；诚聘专职咨询老师/专职市场专员；

2.全国诚招ISO认证代理人（个人级/企业级），转发信息即佣金，免费培训；

3.本年度ISO内审员免费培训开始了，每月免费名额有限，从速预计。