ISO 9001：2015提出了“基于风险的思维”，它与过程方法和PDCA循环一起构成了该标准的核心理念。该标准在0.1“总则”中指出：ISO9001&AS9100D标准本标准采用过程方法，该方法结合了“策划-实施-检查-处置”（PDCA）循环和基于风险的思维。过程方法使组织能够策划过程及其相互作用。PDCA 循环使组织能够确保其过程得到充分的资源和管理，确定改进机会并采取行动。基于风险的思维使组织能够确定可能导致其过程和质量管理体系偏离策划结果的各种因素，采取预防控制，最大限度地降低不利影响，并最大限度地利用出现的机遇（见A．4）实际上，基于风险的思维的理念是国际标准化组织TC176委员会从全球风险管理的理论和实践中总结和提炼出来的。要深入理解基于风险的思维的理念，首先应学习和理解风险及风险管理的理论及其应用方法。纵横世纪航空质量培训中心解说标准是从ISO 31000：2009、ISO9001：2015 和 AS9100D的要求出发，介绍航空、航天及国防组织按照AS9100D建立和实施质量管理体系的基本方法。一、风险及风险管理的概念和理解（一）风险的定义和理解ISO 9000：2015中3.7.9对风险做出了以下定义。3.7.9  风险 risk不确定性的影响注1：影响是指偏离预期，可以是正面的或负面的。注2：不确定性是一种对某个事件，或是事件的局部的结果或可能性缺乏理解或知识方面的信息（3.8.2）的情形。注3：通常，风险是通过有关可能事件（ISO Guide73：2009中的定义，3.5.1.3）和后果（ISO Guide73：2009中的定义，3.6.1.3）或两者的组合来描述其特性的。注4：通常，风险是以某个事件的后果（包括情况的变化）及其发生的可能性（ISO Guide73：2009中的定义，3.6.1.1）的组合来表述的。注5：“风险”一词有时仅在有负面结果的可能性时使用。注6:这是ISO/IEC导则 第1部分 ISO补充规定的附件SL中给出的ISO管理体系标准中的通用术语及核心定义之一，最初的定义已经通过增加注5被改写。这个定义与ISO Guide73；2009《风险管理一术语》给出的定义类同。从这个定义可看出：1）风险的主要内涵是某事件的不确定性。不确定性是对某个事件，甚至是局部的结果或可能性缺乏理解或缺乏知识方面的信息的一种状态。人们对某项工作或项目进行的策划，实际上是对该工作或项目未来活动或结果的思考和设计。而未来将要发生什么？人们获得的信息一般是不充分的。这种信息的不充分性就导致了人们对某些事件是否会发生，以及发生后会产生哪些后果的不确定性。这种不确定性犹如一个“黑匣子”，需要策划者进行识别和确定。2）不确定性对工作或项目的影响就是偏离预期目标。这种偏离可能是正面的，也可能是负面的。由此风险可分为两类。一类是既有正面影响（机会），也有负面影响（威胁）的不确定性，称为“投机性风险”，如股市风险、融资风险等；另一类是只有负面影响的不确定性，称为“纯粹性风险”，质量管理体系或项目管理中的风险，大多属于这类风险。3）风险的特性一般表述为可能发生的事件和后果，或两者的组合，如某个过程出现问题，造成该过程失效，我们常常称为该过程风险。4）风险是以某个事件的后果（包括情况的变化）及其发生的可能性的组合来表述的。根据这个特点，组织为了确定某个项目或质量管理体系某些过程的风险接受准则，以及哪些风险可以接受的结论，常常将风险的可能性和后果，由定性转换为定量，并利用以下模型计算风险等级：风险等级R＝f（可能性x潜在后果）  在项目管理或质量管理体系中，风险等级R也可约等于某事件发生的可能性和潜在后果的乘积。只要策划团队，根据项目和体系的特点以及组织的风险偏好，人为地将“可能性”和“潜在后果”进行定量的定义，就可以计算出每个风险的等级，即其严重程度。但是，这个模型具有一定的局限性，需要我们在使用中加以考虑。纵横世纪航空质量培训中心一般在辅导企业要求小于12为可接收风险指标。二）风险管理的概念及其形成1．风险管理的起源和发展风险管理这一名词，最早由美国宾夕法尼亚大学的所罗门·许布纳博士于1930年在美国管理协会发起的一个保险问题会议上提出的。受当时世界性经济危机的影响，美国经济大萧条，导致40％的银行和企业破产。为了应对经营上的危机，美国许多大中型企业在内部设立了保险管理部门，负责安排企业的各种保险项目，保险成为当时企业处理风险的主要方法。20世纪50年代，随着美国战后军事和经济高速发展的需要，风险管理在美国以学科的形式发展，并逐步形成了独立的理论体系。而在民用领域，美国一些大公司发生了重大损失，使公司高层决策者开始认识到风险管理的重要性。20世纪70年代，随着美国将风险管理学科用于经济和军事取得了令人瞩目的成就，政府和各大企业的高层借鉴了欧美的一些跨国大企业由于内部管控不善，而造成重大损失的惨痛教训，更深刻地认识到风险管理的重要性，风险管理活动由美国逐步走向世界。20世纪80年代，随着经济、社会和技术的迅速发展，人类开始面临越来越多、越来越严重的风险。1980年前后发生的几起诸如美国三里岛核事故、印度博帕尔毒气泄漏、苏联切尔诺贝利核事故等重大安全事故，大大促使了风险管理在世界范围内的发展。特别是欧美等国家先后建立起全国性和地区性的风险管理协会。最具标志性的工作是1983年，在美国风险和保险管理协会的年会上，各国的参会代表一致通过了“101条风险管理准则”，将风险管理推向了一个新阶段。随后，跨行业、跨区域的风险管理组织不断出现并不断活跃，使得风险管理成为一门新型和独立的学科。特别是在20世纪90年代，欧洲11个国家成立了“欧洲风险管理委员会”，逐步出台了相应的标准；美国多家专业团体成立了“反虚假财务报告委员会”和著名的专门研究企业内部控制的委员会COSO。COSO于1992年推出了著名的报告《内部控制整体框架》，2004年又推出了《企业风险管理框架》，它们成为风险管理学科的重要文献。1998年，ISO组织和国际电工委员会（IEC）合作，成立了风险管理术语工作组，历时四年，制定了ISO／IEC Guide73：2002《风险管理术语 标准用词使用指南》，旨在促进风险管理术语的规范使用，并加强ISO组织和IEC成员国之间在风险管理问题上的交流和协调。该标准在2009年进行了更新，形成了ISOGuide73：2009《风险管理 术语》，在该标准中，风险管理被定义为：“在风险方面，指导和控制组织的协调活动。”（见ISO Guide73：2009的2.1）。接着，国际标准化组织又从2005年开始，历时四年，于2009年11月13日正式发布了ISO 31000：2009《风险管理原则和指南》，全面阐述了风险管理的原则、框架和过程。该标准具有很强的理论性和实用性，发布后，获得了全球各国的广泛赞赏、接受和采用。2．风险管理在我国的应用为了提高我国各类组织的风险管理水平，应对市场经济条件下可能发生的各类风险，我国有关部门也在风险管理的标准和应用上做了大量的工作。2005年9月5日，国家正式发布了GB／T 20032-2005《项目风险管理 应用指南》，对技术性项目提出了项目风险管理、项目风险管理过程的要求。2006年6月6日，国务院国有资产监督管理委员会发布了《中央企业全面风险管理指引》，对央企如何开展全面风险管理提出了明确要求，将企业风险分为战略风险、财务风险、市场风险、运营风险、法律风险等，并以能否为企业带来盈利等机会为标志，将风险分为纯粹风险和投机风险。该文件发布后，我国各大国企集团迅速响应，制定和实施了相应的管理办法。2009年5月6日，国家质量监督检验检疫总局和国家标准化管理委员会联合发布了GB／T 23694-2009《风险管理 术语》，该标准等同采用ISO／IEC Cuide73：2002，规范了风险管理的术语和定义。同年9月30日，国家质量监督检验检疫总局和国家标准化管理委员会又参照ISO／DIS 31000的DIS稿，编制和发布了GB／T 24353-2009《风险管理 原则与实施指南》，该标准成为我国全面风险管理的第一份国家标准。虽然这份标准与国际标准化组织2009年11月13日正式颁布的ISO 31000：2009《风险管理 原则和指南》，在结构和内容上还有较大的差距，但是它终究突破了我国没有全面风险管理标准的历史，对推动全面风险管理具有重要的意义。在这些标准和文件的引领下，我国的风险管理工作蓬勃发展，各行各业都相继开展了风险管理工作，特别是一些管理水平较高的大中型企业，已经由单纯的业务管理过程的风险管理，逐步过渡到全面风险管理。全面风险管理的实施，使得我国政府和企事业单位的风险管理水平得到了较大的提升，缩短了与世界先进国家的差距，促进了我国市场经济的快速和健康发展。二、风险管理的原则：ISO 31000：2009《风险管理 原则和指南》提出了风险管理的11项原则。纵横世纪做简要介绍。一风险管理创造和保护价值。风险管理有助于目标的达成和绩效的明显改善，例如，在人员的健康安全、治安、法律和法规的遵从性、公众接受性、环境保护、产品质量、项目管理、运营效率、治理和声誉方面。二风险管理嵌入组织所有过程之中。风险管理不是从组织主要活动和管理过程中分离出的孤立活动，而是组织管理过程的组成部分，包括战略规划、所有项目、变更管理过程。三风险管理支持决策。风险管理可以帮助决策者做出明智的选择、优先的措施和区分备选措施。四风险管理明确涉及的不确定性。风险管理明确地考虑到不确定性及这种不确定性的性质，以及如何加以解决。五风险管理是系统的、结构化的和及时的。系统的、结构化的方法有助于风险管理效率的提升，并产生一致、可比、可靠的结果。六风险管理基于最可用的信息。风险管理过程的输入基于信息源，如历史数据、经验、利益相关方的反馈、观察、预测和专家判断。然而，决策者应了解并考虑到数据或所使用模型的局限性，以及专家之间分歧的可能性。七风险管理是定制的。风险管理是与组织的外部和内部环境及风险状况相匹配的。八风险管理考虑人文因素。风险管理意识是可以促进或阻碍组织目标实现的内部和外部人员的能力、观念和意图。九风险管理是透明和包容的。利益相关方，尤其是组织各层面的决策者适当、及时的参与，确保了风险管理保持相关和先进性。参与过程也允许利益相关方适当地发表意见，并将其观点考虑到风险准则的确定中。十风险管理是动态、迭代和适应变化的。由于内部和外部事件的发生、环境和知识的改变，以及监视和评审的实施，有的风险会发生变化，一些新的风险可能会出现，另一些风险则可能会消失。组织应持续不断地对各种变化保持敏感并做出恰当反应。十一风险管理实现组织的持续改进。组织应制定和实施战略，以改善组织各个方面的风险管理水平。这11条风险管理原则是20世纪30年代以来全球风险管理理论和实践的高度总结，全面地贯穿在ISO 31000：2009标准所确定的风险管理框架和风险管理过程之中。ISO 9001：2015标准中关于“基于风险的思维”的理念，也来源于这11项风险管理原则，可以说，它是ISO 31000：2009标准所确定的风险管理原则在质量管理体系中的应用。三、风险管理框架ISO 31000：2009标准根据风险管理原则认为：风险管理不是一个独立的系统，它不能像质量管理、安全管理、财务管理等管理领域一样，构成一个体系进行独立运作，它是一个框架，这个框架由5大要素组成，必须嵌入组织的战略和管理活动中去。按照PDCA循环的理论，ISO 31000：2009标准给出的风险管理框架如图3-4所示。1．“指令和承诺”要素指令和承诺是组织管理层的行为，应得到组织权利方面的保证。其活动包括：1）确定和签署风险管理方针。2）确保风险管理方针与组织文化一致。3）确定风险管理KPI与组织其他管理指标一致。4）使风险管理目标与组织的目标和战略一致。5）确保与法律法规的合规性。6）在组织内适当的层次分配责任和职责。7）确保为风险管理配置必要的资源。8）将风险管理的益处通报给所有的利益相关方。9）确保风险管理框架适宜性的持续保持。2．“风险管理框架设计”要素风险管理框架的设计包括：1）理解组织及其环境，包括组织的内外部环境。通过对组织内外部环境的理解，识别组织项目或体系中存在的优势和劣势，识别组织面临的机会和威胁，有助于制定风险管理方针，并为风险评估过程提供依据（输入）。2）组织的风险管理宜建立风险管理方针。风险管理方针应清晰地表达风险管理的目标和组织对风险管理的承诺。按照ISO 31000：2009标准的要求，风险管理方针应当阐述清楚7个方面的内容：a）组织管理风险的基本原理。b）组织目标、方针与风险管理方针的联系。c）管理风险的责任和权限。d）处理利益相关方冲突的方式。e）为管理风险提供资源的承诺。f）风险管理绩效测量和报告的方法。g）对定期评审和改进风险管理方针和框架，以及对事件和环境变化做出对应的承诺。由于风险管理方针涉及各方面的利益，所以标准要求“风险管理方针应当适当地沟通”。3）组织应明确风险管理的责任，包括：a）识别风险责任者，并赋予其职责和权力以管理风险。b）识别对风险管理框架的开发、实施和保持负有责任的人。c）识别组织所有层级里对风险管理过程负有其他责任的人。d）建立绩效测量、外部和（或）内部报告及越级报告过程。e）确保员工对风险管理有一定的认知。4）组织应将风险管理与组织过程相融合，即要求组织以相关的、有效的、有效率的方式嵌入组织的各项活动和过程之中。风险管理过程应成为部分而非独立于组织的过程。尤其是风险管理应嵌入组织的方针制定、业务和战略规划、评审及变更管理过程之中。同时要求组织应有一个广泛的风险管理计划，以确保风险管理方针的执行和风险管理被嵌入该组织的实践和过程之中。风险管理计划，可以整合到组织的其他计划中，如战略计划。5）组织应确定和配备风险管理的资源，包括：a）人员、技能、经验和能力。b）每个风险管理过程步骤所需的资源。c）组织应用风险管理的过程、方法和工具。d）文件化的过程和程序。e）信息和知识管理系统。f）培训方案。6）组织应建立内外部沟通和报告机制。ISO 31000：2009标准在4.3.6中指出：组织应建立内部沟通和报告机制以支持和激励风险的责任和归属，这些机制应保证：a）对风险管理框架组成部分的确定及随后的修正应能适当地沟通。b）对风险管理框架的有效性和输出应能做出适当的内部报告。c）组织的适当层级应能及时获得风险管理实施中的相关信息。d）具有与内部利益相关方协商的流程。这些机制应在适当的地方包括一些流程，以巩固来自各方面的风险信息，或者可能需要考虑这些信息的敏感性。ISO 31000：2009标准同时在4.3.7中指出：组织应策划和实施如何与外部利益相关方沟通的计划，包括：a）鼓励适当的外部利益相关方参与，并确保有效的信息交流。b）外部报告应合法、合规，符合公司治理的需要。c）提供沟通和协商的反馈机制。d）利用沟通以使组织获得信任。e）在发生危机和紧急事件时和利益相关方沟通。这些机制应在适当的地方包括一些流程，以巩固来自各方面的风险信息，或者可能需要考虑这些信息的敏感性。风险管理框架设计是风险管理框架的顶层策划，均应按照PDCA循环的思想进行统筹规划，以防止由于设计不当，而造成风险管理框架或过程失效的风险发生。3．“实施风险管理”要素实施风险管理包括风险管理框架的实施和风险管理过程的实施。1）在实施风险管理框架时，组织应关注以下问题：a）实施风险管理框架的时机要充分考虑组织过程的运行阶段。同时要考虑风险所有者和相关者对风险管理的认识和知识的应用能力。一般应在组织过程运行前，对相关人员进行风险管理知识的专业培训，以提高其认识水平和风险管理知识应用能力。对于已运行的组织过程，应以组织过程中暴露的问题为切入点，进行风险管理专业知识培训，通过解决问题，提高相关人员的认识水平和参与风险管理的积极性。b）实施风险管理框架的策略一般有：先培训再实施、边培训边实施，以及分层培训分步实施、集中力量全面实施等多种方式，组织应根据组织和（或）组织过程的需要和（或）特点来确定。c）组织决策的输出应与风险管理过程的输出相协调。这就要求我们一方面要将风险管理过程，包括风险的识别、分析、评定过程嵌入决策过程中，为决策过程提供支持；另一方面要求决策者要充分考虑风险管理过程的输出对决策结果的影响，特别是风险应对措施对决策结果的影响。假如我们在对某个大型项目是否应该上马进行决策时，运行了风险管理过程，并识别出该项目对组织目标的实现具有很大的风险，应进行规避，项目的决策者就要十分重视这个输出结果，不能不顾一切地上马这个大型项目。2）关于实施风险管理过程，ISO 31000：2009标准第4.4.2条指出：“风险管理的实施应该通过风险管理计划，确保将条款5中规定的风险管理过程作为组织活动和过程的组成部分，应用到组织的相关职能和层次中去”。那么，什么是风险管理过程呢？我们将在后续章节中对其详细释义。在这里，先从标准摘录出风险管理过程模型，给大家一个初步概念，如图3-5所示。由图3-5可见，风险管理过程包括沟通和协商、明确状况、风险评估、风险处理以及监测和评审五大过程，风险评估过程又分为风险识别、风险分析和风险评定三个子过程，各过程之间按照逻辑关系，环环相扣、循环往复、持续改进。4．“框架的监测和评审”要素1）定期检查和评价风险管理绩效与指标之间的差异。2）定期评价进展与风险管理计划之间的偏差。3）结合组织的内外部环境，对风险管理框架、方针和计划适宜性进行定期检查和评价。4）报告风险和风险管理计划的进展，以及它们与风险管理方针的符合性。5）定期检查风险管理框架的有效性。5．“框架的持续改进”要素该要素也看成一个过程，其输入是监测评审的结果，输出是组织风险管理和风险管理文化的提升，活动对象是风险管理的框架、方针和计划。组织只有实施“框架的持续改进”要素，才能使风险管理框架处于良好的运行之中，促使组织风险管理和风险管理文化的提升，最终达到组织的目标。四、风险管理过程（一）概述ISO 31000：2009标准给出的风险管理过程如图3-5所示。该标准同时指出，风险管理过程应当是：1）组织管理的一部分。2）嵌入组织实践和文化中。3）根据组织业务流程定制。由此可看出，风险管理过程有三大性质：1）它是组织管理活动的有机组成部分，不能构成一个独立的管理体系。由于风险无处不在，必然导致在组织的各个业务管理领域以及企业战略管理活动中均应实施风险管理。2）由于风险管理过程是组织管理的一个组成部分，那么，不管风险管理过程有多少，有哪些要求，都应嵌人组织的实践和文化之中。从意识方面讲就是要在组织文化中加人风险管理思想。在进行组织的各项管理活动时，强调风险管理意识，时时不忘风险的沟通、协商、识别、分析、评定、处理，以及监测和评审工作。从行动方面讲，就是要在策划和实施组织管理活动的同时策划和实施风险管理过程。3）虽然 ISO 31000：2009标准给出了风险管理的过程，但这只是一个原则性的、抽象的要求。因为每个组织所处的内外部环境不同，即使同一个组织，其各项管理活动所处的内外部环境也不尽相同，所以组织要根据组织和各个管理活动的实际，分析内外部环境，参照标准的要求，建立自己的风险管理过程。也就是说，一个针对特定的组织或特定管理活动确定的，对实现组织目标和（或）特定管理目标有所帮助的风险管理过程，必须是“量体裁衣”的。（二）风险管理过程的构成由图3-5可知，正式的风险管理有五大主过程，包括明确状况、风险识别、风险分析、风险评定和风险处理（应对）。其中，风险识别、风险分析和风险评定也称为风险评估过程。正式的风险管理过程还有两大辅助过程：沟通和协商过程及监测和评审过程。1．五大主过程的输入、活动和输出（1）明确状况过程 该过程的输入是策划团队与项目或体系相关方就项目或体系面临的环境、风险管理范围和风险准则进行充分沟通和协商的结果。该过程的活动包括分析组织的项目或体系的内外部环境，确定项目或体系的风险管理范围，并确定项目或体系的风险接受准则。分析内外部环境状况与ISO 9001：2009标准中4.1的要求基本类同。就是要通过确定、监视和评审组织的价值观、文化、知识和绩效等相关因素，以明晰组织在某项目或体系所具有的优势和劣势。同时通过确定、监视和评审来自于国际、国内、地区和当地的各种法律法规、技术、竞争、市场、文化、社会和经济因素，以明晰组织的某项目或体系所面临的机会和威胁。通过SWOT矩阵等工具，确定项目或体系及风险管理的范围和策略。风险准则也称为风险接受准则，组织根据内外部环境的影响和项目或体系的实际情况，对风险发生的可能性和潜在后果进行定义，使其由定性转化为定量，并利用给出的式，计算出在不同的可能性和潜在后果组合的情况下的风险等级R，并确定R的接收范围。即多大程度的风险可以接受？多大程度的风险可以有条件地接受？多大程度的风险不能接受。例如，某项目的接受准则见表。风险级别风险等级接受方式处置策略最大风险R≥20不能接受采取非常特殊措施防范高风险15≤R<20不能接受采取特殊措施监控中等风险10≤R<15不能接受采取有效措施控制低风险4≤R<10可以接受评审，采取常规措施控制最小风险R<4可以接受无评审，采取一般措施很容易控制值得注意的是，式（3-1）给出的模型的局限性在于没有充分考虑项目或体系利益相关方对风险的容忍程度，以及法律法规、行业要求和惯例。因此，策划团队在确定出风险准则后，应与相关方进行充分的沟通和协商，并充分考虑法律法规和行业要求及惯例，做出适当的调整。（2）风险识别过程按照 ISO Guide73：2009的定义，风险识别过程是“发现、认识、描述发现的过程”。该过程的输入是“明确状况”过程输出的组织的项目或体系的内外部环境影响、风险管理过程的范围和风险准则。该过程的输出是该项目或体系的风险清单。该风险清单至少应揭示该项目或体系的每一个风险事件、风险源和风险的潜在后果。若有可能的话，还应揭示风险的影响区域、风险发生的原因等与风险相关的参数。风险识别过程的活动包括：1）分析过程输入的参数，特别是要关注项目或体系的内外部环境参数和风险管理过程的范围，以便在此环境和范围下进行风险识别工作。2）识别项目或体系每个过程可能的风险事件。所谓的“事件”是指“特殊系列环境的产生或变化”（见ISOGuide73：2009的3.5.1.3），它是风险的表象。识别风险事件以及后续的工作并不需要高深的专业知识背景，却需要尽可能多的相关人员的参与。3）识别项目或体系每个风险事件可能的风险源。所谓的风险源，按照ISOGuide73：2009的定义是“以单独或结合的形式产生风险的内在可能性的因素”，你可以将其看成风险发生的初步原因。例如，产品出现质量故障可称为风险，首先要确定这个故障是属于设计问题，还是工艺、原材料或加工的问题，这些问题即可理解为该故障的风险源。风险源反映的是风险产生原因的分类。在我国安全生产领域，也称为“危险源”。4）识别风险事件可能所涉及的区域。该问题的识别能够为后续过程对风险性质的确定和风险应对措施的实施打下基础。5）识别风险事件可能导致的后果。在ISO Guide73：2009的定义中，“后果”是“事件对目标的影响结果”，它是确定风险等级（严重程度）的重要因素之一。识别每个风险事件可能导致的后果，可为后续过程的确定风险等级、确定接受决定以及制定应对措施打下基础。6）在以上工作的基础上，可以形成一份风险清单，系统地反映项目或体系所面临的风险以及每个风险的事件、风险源、风险可能涉及的区域、风险的潜在后果。风险识别没有单一的方法和工具，是一个充满智慧的知识管理过程。需要把项目或体系管理的知识和经验逐步地积累起来，形成组织的项目或体系风险管理知识库，进行综合性应用。本节推荐几种常见的方法：a）WBS。WBS是一种对大型的、复杂的、概念性的客体，按照其内在的逻辑关系，进行层层分解，直到能够方便操作的层次为止的工具。它是项目管理的基础，可用于安排项目计划和分配项目任务。在风险识别过程中，对项目或体系的过程分解得越细，人们利用知识和经验发现和识别风险的可能性就越大。b）头脑风暴法。由项目成员、外聘专家、顾客等各方人员组成小组，创造一个能够充分发表个人意见的环境，鼓励大家根据每个人的知识和经验列出所有可能的风险。c）访谈。策划团队与那些有类似项目经验的人或项目组的主要成员进行面谈，可以尽早认识问题，识别可能风险。d）德菲尔法。即函询调查法。将提出的问题和必要的背景材料，用通信的方式向有经验的专家提出，然后把他们答复的意见进行综合，再反馈给他们，如此反复多次，直到认为意见合适为止。（3）风险分析过程 风险识别过程输出的风险清单作为风险分析的输入。风险分析过程的输出是对每个风险事件的性质和风险等级（程度）的确定，以便为风险评定（评价）过程提供输入。该过程的基本活动包括：1）识别和确定每个风险事件的性质。即识别和确定每个风险事件是投机性风险，还是纯粹性风险，以便为随后的确定风险应对措施奠定基础。2）策划团队在制定风险准则时，确定可能性和后果的定义方法，确定每个风险的可能性和后果，并将其由定性的概念转化为定量的数值。3）利用本节给出的式（3-1），分别计算出每个风险的风险等级R。4）由于式（3-1）有其局限性，没有充分考虑相关方对风险的容忍程度，以及法律法规和行业的要求，所以，策划团队对于按照式（3-1）所确定的每个风险等级R，要与顾客、组织高层、相关部门、供方等相关方进行充分的沟通和协商，以确定风险等级的适宜性。（4）风险评定（评价）过程 风险评定（评价）过程就是“将风险分析的结果与风险准则进行比较，以确定风险和（或）其量是否可接受或可容许。”（见ISO Guide73：2009的3.7.1）。该过程的输入有两个，一个是明确状况过程中输出的风险准则；另一个是风险分析过程输出的每个风险的性质和风险等级。其输出是每个已经识别的风险是否可接受或可容许的决定，以便为随后的风险应对（处理）过程提供输入。风险评定（评价）过程的基本活动包括：1）将每个风险的性质和风险等级与风险准则进行对照，初步确定每个风险是否可以接受或容许。2）由于建立风险准则所采用的式（3-1）有其局限性，策划团队对已经初步确定的每个风险是否能接受或容许的决定，应与相关方进行充分的沟通和协商，听取和采取他们的合理意见，予以修正，形成正式的决定。在ISO 31000：2009标准中，风险识别、风险分析和风险评定（评价）过程一起称为风险评估过程。该过程的目的在于为随后的风险处理（应对）过程提供前提和条件（输入）。在质量管理体系认证标准ISO 9001：2015提出的基于风险的思维中，风险评估过程就是要求策划团队在对质量管理体系策划时，识别每个过程的风险和机遇以及其可接受的程度。（5）风险处理（应对）过程 按照ISO Guide73：2009的定义，风险处理（应对）过程就是一个“修正风险的过程”。该定义清晰地表明，风险是不可能被消灭的，只能予以修正，以便组织能够对这些风险全部接受或容许。该过程的输入是风险评估过程输出的各种风险是否能被接受或容许的结论、相关方对每个风险的容忍程度、法律法规要求、行业要求和惯例。其输出是各种风险处理（应对）方案（计划）。其基本活动包括：1）进一步分析风险评估的结论，必要时予以修正。2）与相关方进行广泛的沟通和协商，并评价和有选择地采纳相关方关于风险接受或容许决定以及所要选择的风险处理（应对）方案的意见。3）研究法律法规和行业的要求，按照这些要求审视风险接受或容许的决定以及所要选择的风险处理（应对）方案的“合规性”。4）形成与项目或体系相关的各个风险的处理（应对）方案或计划。关于风险处理（应对）方案的类型，在ISO Guide73：2009和ISO 9001：2015标准中均有类似的表述，可以做以下分类和理解：风险规避，即通过决定不开展或停止项目来规避风险。这类风险同时具有以下特点：a）属于纯粹性风险。b）风险等级R很高。c）不能采取预防措施进行修正。d）采取风险减轻措施后的剩余风险组织仍然不能接受和容许。e）没有愿意接受或者是分担风险的组织和个人。风险承担（保留），即通过有事实依据的决策来保留风险。这类风险同时具有以下特点：a）属于投机性风险。b）风险等级R不是很高。c）风险规避、风险预防等措施所付出的成本较高。d）组织有能力监测和化解风险。风险提升，即为了追求机会、增加风险。这类风险同时具有以下特点：a）属于投机性风险。b）风险等级不是很高。c）存在着较多促进组织或个人目标实现的机会，而且随着风险等级的提高，这种机会越来越大。消除风险源，这是风险预防措施之一。也就是通过消除风险源来降低风险等级，以便组织接受或容许。这类风险同时具备以下特点：a）属于纯粹性风险。b）风险等级R较高。c）项目对组织总体目标的实现影响较大，不能中止以规避风险。d）风险源比较单一，有消除的可能性。风险减轻，这也是风险预防措施。即通过改变风险发生的可能性或后果，来降低风险等级，以便组织接受或容许。这类风险同时具备以下特点：a）属于纯粹性风险。b）风险等级较高。c）项目对组织总体目标的实现影响较大，不能中止以规避风险。d）有降低风险发生可能性，或者是有降低风险潜在后果的机会。风险转移，即与其他组织或个人一起分担风险。这类风险同时具备以下特点：a）属于纯粹性风险。c）项目对组织总体目标的实现影响较大，不能中止以规避风险。d）没有降低风险发生可能性或潜在后果的机会。e）有愿意并有能力分担风险的组织或个人。以上分类对组织在确定每个风险的具体应对方案时提供了方向。在具体操作过程中，一定要关注以下方面的要求：1）充分考虑法律法规、社会责任和环境保护等方面的要求。2）充分考虑风险应对措施的实施带来的成本与收益之比，已选择适宜的方案。3）对于复杂的风险（如有累积效应或连锁效应的风险）可选择几种应对措施，将其单独或组合使用。4）充分考虑利益相关方的诉求、价值观、风险认知、承受度、风险偏好。5）清晰确定每个风险处理宜实施的优先顺序。一般情况下，应确定是否有现有的措施，并评估其适宜性和充分性；然后再确定预防措施。为了避免预防措施失效，一般还应制定风险的应急措施，以防止不可接受的风险的意外发生。6）实时监测，以防应对措施失灵或失效。7）评价、处理、监测和评审次级风险，以防止不可接受的次级风险的发生。2．两大辅助过程的输入、输出和活动风险具有不确定性，而风险管理过程由于其是对未来事件的策划，也同时具有不确定性。为了减少这种不确定性对组织目标的影响，对风险管理的每个主过程都需要与相关方进行沟通和协商，并进行监视、测量和评价。这就构成了沟通和协商、监测和评审（评价）过程。（1）沟通和协商过程  所谓的“沟通和协商过程”就是将每个风险管理主过程的输出作为过程的输入，通过与相关方进行通报、征求意见和讨论，对这些主过程的输出进行适宜和充分的修正的过程。ISO 31000：2009标准在5.2中指出：“采取有效的外部和内部沟通和协商，可以确保风险管理过程在实施过程中职责明确，利益相关方理解决策的基础和采取所需的特定措施的原因。”为什么要与相关方进行沟通和协商呢？一是由于价值观、所处的地位以及诉求上的差别，他们与组织的策划团队在风险偏好和风险态度上可能是不一致的，所以对各个主过程的输出的认识也是不尽相同的。同时，他们对组织的项目或体系目标的实现又具有较大的影响。如果不能很好地与其进行沟通和协商，很可能造成他们对风险管理各过程的输出产生不理解或消极、抵抗的结果，直接影响项目或体系目标的实现。二是风险管理的各个主过程大多是对未来工作的策划，由于知识和信息的不对称性，这些策划也具有不确定性。同时，风险准则的制定、风险分析和风险评定所采用的式（3-1）又存在着局限性，更增加了这种不确定性。所以，与相关方的沟通和协商显得十分重要。沟通和协商过程的主体应该是项目或体系策划团队。沟通和协商的依据应该是相应的计划。ISO 9001：2015标准7.4要求：“组织应确定与质量管理体系相关的内部和外部沟通，包括沟通什么；何时沟通；与谁沟通；如何沟通；谁来沟通”。这个要求应成为策划团队制定沟通和协商计划的基本要求。在沟通和协商过程中，必须保持信息交流的真实性、相关性、准确性和可理解性。同时还要考虑某些信息的保密性和人格方面的因素，以确保沟通和协商过程有效。（2）监测和评审（评价）过程 所谓的“监测和评审过程”就是对风险管理主过程的输出进行监视、测量和评价。按照ISO 31000：2009标准的要求：“监测和评审应该是风险管理过程的一部分，包含常规检查或监督。可以定期或不定期进行。”其目的是：1）确保风险管理主过程的输出在设计和运行上有效和有效率。2）获得进一步改进风险评估的信息。3）从事件、变化、趋势、成功和失败中分析和吸取教训。4）观察和分析内外部状况的变化，包括风险准则的变化等。5）识别新出现的风险。为了做好监视、测量和评价工作，组织应确定监测和评审过程的职责，规定“谁来做，怎么做，根据什么来做，做到什么程度”，以确保该过程的有效性。以上所述，是ISO 31000：2009标准对风险管理原则、框架和过程的基本描述和理解，应在组织的战略和业务过程中得以实施和应用。（三）风险管理计划在项目或产品和服务运行过程策划时，策划团队一般应策划输出风险管理计划。ISO Guide73：2009给出了风险管理计划的定义：2.1.3  风险管理计划 risk management plan在风险管理框架内规定用于风险管理的方法、管理要素、资源的方案。注1：管理要素一般包括程序、惯例、职责分配、活动顺序和时间安排。注2：风险管理计划可应用于特定的产品、过程和项目、组织的部分或整体。1.风险管理计划的基本结构风险管理计划实际上是组织策划团队对项目或产品和服务运行过程进行风险管理过程策划的输出，其基本内容一般包括但不限于以下内容：1）项目或产品和服务运行过程的概述简要地描述项目或产品和服务运行过程的来源、截止时间、目标和基本要求。2）组织内外部环境概述及风险管理要求。描述策划团队在“明确状况”过程中对内外部环境的分析，包括组织内部的优势和劣势、外部面临的机会和威胁，及其利用SWOT矩阵等方法确定的风险管理策略等内容。简要描述策划团队通过分析内外部环境确定的风险管理过程的范围和要求。3）风险准则。简要地描述策划团队在明确状况过程中，策划风险准则的过程和结果。4）风险应对方案（计划）。对风险管理的五大主过程的输出进行总结，描述项目或产品和服务运行过程所识别和确定的每一个风险事件、风险源、潜在后果；可能性量级、潜在后果量级、风险等级；是否为可接受的决定；风险应对措施；监测和评价的要求等内容。并进行动态管理，分阶段予以调整。过程及编号风险识别风险分析风险评定风险处理监测和评审风险事件风险源潜在后果可能性量级潜在后果量级风险等级可以接受有条件地接受不能接受现有措施、负责人、完成日期预防措施、负责人、完成日期应急措施、负责人、完成日期残余风险监测和评价的方法从完成日期编制校对审核批准2．基于风险的思维的概念及理解（1）ISO 9001：2015标准对基于风险的思维的描述  ISO 9001：2015标准在0.3.3和附录A中阐述了基于风险的思维的理念：0.3.3 基于风险的思维基于风险的思维（见A．4）是实现质量管理体系有效性的基础。本标准以前的版本已经隐含基于风险思维的概念，例如：采取预防措施消除潜在的不合格，对发生的不合格进行分析，并采取与不合格的影响相适应的措施，防止其再发生。为满足本标准的要求，组织需策划和实施应对风险和机遇的措施。应对风险和机遇，为提高质量管理体系有效性、获得改进结果以及防止不利影响奠定基础。某些有利于实现预期结果的情况可能导致机遇的出现，例如：有利于组织吸引顾客、开发新产品和服务、减少浪费或提高生产率的一系列情形。利用机遇所采取的措施也可能包括考虑相关风险。风险是不确定性的影响，不确定性可能有正面的影响，也可能有负面的影响。风险的正面影响可能提供机遇，但并非所有的正面影响均可提供机遇。A．4 基于风险的思维本标准以前的版本中已经隐含基于风险的思维的概念，如：有关策划、评审和改进的要求。本标准要求组织理解其组织环境（见4.1），并以确定风险作为策划的基础（见6.1）。这意味着将基于风险的思维应用于策划和实施质量管理体系过程（见4.4），并有助于确定成文信息的范围和程度。质量管理体系的主要用途之一是作为预防工具。因此，本标准并未就“预防措施”设置单独条款或子条款，预防措施的概念是通过在质量管理体系要求中融人基于风险的思维来表达的。由于在本标准中使用基于风险的思维，因而一定程度上减少了规定性要求，并以基于绩效的要求替代。在过程、成文信息和组织职责方面的要求比ISO9001：2008具有更大的灵活性。虽然6.1规定组织应策划应对风险的措施，但并未要求运用正式的风险管理方法或将风险管理过程形成文件。组织可以决定是否采用超出本标准要求的更多风险管理方法，如：通过应用其他指南或标准。在组织实现其预期目标的能力方面，并非质量管理体系的全部过程表现出相同的风险等级，并且不确定性的影响对于各组织不尽相同。根据6.1的要求，组织有责任应用基于风险的思维，并采取应对风险的措施，包括是否保留成文信息，以作为其确定风险的证据。基于风险的思维贯穿ISO 9001：2015标准的各个章节。第4章要求组织应识别和理解面临的内外部环境和相关方及其需求和期望，为基于风险的思维的实施打下基础。第5章提出要求最高管理者应在组织中促进基于风险的思维的应用。第6章要求组织应识别质量管理体系及其过程的风险和机遇，制定应对风险和机遇的措施，并将其整合到质量管理体系中去。第7章要求组织要为实施应对风险和机遇的措施提供相关资源。第8章要求组织应关注产品和服务运行过程的风险和机遇，及时予以确定并制定新的措施。第9章要求组织对实施应对风险和机遇的有效性进行监视、测量、分析和评价。第10章要求组织针对监视、测量和评价中发现的问题，进行改进，避免和减少不利影响，提高质量管理体系的绩效。（2）如何理解基于风险的思维 根据ISO 9001：2015标准的描述和要求，基于风险的思维可从以下几个方面进行理解：1）基于风险的思维是基于组织对内外部环境和组织相关方及其需求和期望的理解，应在质量管理体系策划和实施过程中与过程方法、PDCA循环等核心理念一进行应用。它将有利于预防各种不确定性对实现质量管理体系目标的影响，有助于实现质量管理体系的有效性。2）基于风险的思维简化了正式风险管理过程的要求，将风险管理的重点放在两个方面：一是在策划质量管理体系中确定体系和过程的风险和机遇，制定应对措施，突出了正式风险管理过程中的风险识别和风险处理过程的要求。二是要将风险和机遇应对措施整合到质量管理体系中，予以实施、检查和改进。3）基于风险的思维应在两个层面上运行，一个层面是组织的层面，即整个质量管理体系的层面；二是组织内部过程的层面，包括质量管理体系所需过程的层面。通过对过程风险和机遇的识别和应对，提高质量管理体系的有效性。4）基于风险的思维并没有否定正式的风险管理过程。基于风险的思维到什么程度？是否需要正式的成文信息予以支持？取决于组织输出的环境。如果组织是一个很小的组织，生产和服务非常简单，可能不需要有一个非常正式的风险管理过程。但是，如果组织是一个高度复杂的研制尖端产品的企业，比如说军工企业，其产品出现问题，潜在的影响非常大，就可能采取正式的风险管理过程进行风险识别、风险分析、风险评定和风险处理。3．基于风险的思维和风险管理要求在AS9100D中的应用军工企事业单位是研制和生产尖端武器装备的组织，由于组织规模较大，过程、产品较复杂，国防建设的要求较高，所以在应用基于风险的思维的过程中，应落实正式的风险管理要求。根据这个特点，国际航空航天及国防组织的质量管理体系认证标准AS9100D，在ISO 9001：2015关于基于风险的思维的基础上，还强调了产品和服务运行风险管理的要求。我们在策划和运行质量管理体系过程中，应予以贯彻。（1）质量管理体系策划和再策划时的基于风险的思维 在策划和再策划质量管理体系时，策划团队应通过确定组织内外部环境和理解的需求和期望等途径，在运用过程方法对质量管理体系进行顶层策划时，贯彻基于风险的思维的理念。典型的方法是：1）分析组织的内外部环境，确定并用成文信息详细描述组织相关方及其需求和期望。2）根据组织的内外部PESTLE、组织相关方及其需求和期望的分析，确定并用成文信息详尽描述质量管理体系的范围，包括其边界和适用性。3）应用过程流程图等工具，识别标准蕴含的过程和组织实际运行所需要的过程，并将其合，覆盖标准所要求的全部条款，形成质量管理体系所需过程图。例如，将组织所需的过程按照产品和服务运行过程域、管理性过程域、支持性过程域划分为三大过程域，并按照标准的要求和组织管理的需要细分这些过程域，形成二级、三级或更下一层次的子过程，并显示出相关过程的相互关联（谁在前，谁在后）和相互作用（谁管谁，谁被谁管）。4）按照ISO 9001：2009标准4.4.1的要求，利用乌龟图技术（见图3-2）确定每个过程的固有特性和附加特性，包括过程潜在的“风险和机遇”和“风险和机遇应对措施”。并通过质量管理体系过程特性矩阵（见表3-1），确定这些过程的固有特性和附加特性的内涵，包括“风险和机遇”和“风险和机遇的应对措施”的内涵，以此充分体现ISO 9001：2015标准6.1关于将应对风险和机遇的措施整合到质量管理体系中去的要求，并将其落实到相关的程序文件、规章制度或作业指导书中去。5）必要时，利用质量职责分配矩阵（见表3-2），分配过程职责。对于AS9100D质量管理体系，组织应将以上输出，汇编成一份单一的成文信息，称为《质量手册》。6）随着质量管理体系的实施和组织内外部环境的变化，组织应对“质量管理体系过程特性矩阵”中的“风险和机遇”“风险和机遇的应对措施”的有效性进行监视、测量和评价，必要时进行变更性的策划。（2）组织运行过程的风险管理AS9100D在8.1.1中提出来对产品和运行过程的风险启动一个正式的风险管理过程的要求。8.1.1  运行风险管理组织应策划、实施和控制一个过程，用于管理运行风险，以满足适用要求。当适合于组织及产品和服务时，该过程包括：a）分配运行风险管理的职责；b）规定风险评估准则（如可能性、影响、风险可接受度）；c）在整个运行过程中的风险识别、评估和沟通；d）当超出规定的风险接受准则时，确定、实施并管理风险的措施；e）风险措施实施后的剩余风险的可接受度。注1：尽管6.1条阐述了组织策划质量管理体系的风险和机遇，本条款（8.1.1）的范围仅限于产品和服务提供所需的运行过程的相关风险。注2：在航空、航天和国防工业，风险通常从发生的可能性和后果的严重性的角度表示。组织可从以下方面理解和落实该条款的要求。1）分配运行风险管理的职责按照ISO Guide73：2009中关于“风险责任者risk owner”的概念和“风险管理嵌入组织所有过程之中”的风险管理原则，对于质量管理体系来说，最高管理者就应该是质量管理体系的风险责任者。产品和服务运行每一个过程的过程责任者（主管部门）就应该是该过程的风险责任者，它应负责所主管的过程的风险管理的策划、组织实施、检查和组织改进的工作。风险管理的策划任务集中在制定和改进风险管理计划。过程的协助者（即过程中子过程或活动的责任部门）就应该是该子过程或活动的风险责任者。协助过程的责任者负责风险管理的策划、组织实施、检查和组织改进工作。过程的执行者（部门）也应是风险管理计划的执行者。按照风险责任者的策划，执行风险管理策划所分配的任务。组织在确定质量管理体系所需过程时，确定过程责任者、过程协助者和过程执行者的同时，就意味着对风险管理的职责进行了分配。对于实施项目管理的组织，风险责任者应为项目经理，相关角色应在风险管理计划中确定。2)规定风险评估准则（如可能性、影响、风险可接受度）。这是对正式风险管理过程中“明确状况过程”的一种表述。要求组织的项目团队或产品和服务运行策划团队，应根据项目或产品和服务运行的实际情况，在与相关方充分沟通和协商的基础上，确定适宜的风险准则，以作为风险评定和风险处理的输人。3)在整个运行过程中的风险识别、评估和沟通。产品和服务运行过程按照组织的业务流程划分，一般包括产品和服务要求确定、评审和变更管理过程（合同或订单的签订过程）、产品和服务运行策划过程、设计和开发过程、采购和外包管理过程、产品和服务提供的控制过程、检验和试验过程、不合格输出控制过程、交付和售后服务过程。AS9100D 8.1.1c)就是要求组织和项目团队在运行的策划时，对整个产品和服务运行过程进行全面的风险识别、风险分析、风险评估以及与相关方进行充分的沟通和协商。并在各个过程运行时，根据内外部环境的变化，及时修订风险识别、风险分析和风险评定的输出。4)  当超出规定的风险接受准则时确定、实施并管理风险的措施。这是对正式的风险管理过程中的“风险处理（应对）过程”在质量管理体系中的一种表述。组织的项目团队或产品和服务运行策划团队应按照ISO Guide73:2009标准关于风险处理的定义的注1或ISO 9001:2015标准6.1.2注1给出的风险处理方案类型，根据项目、过程和风险的实际情况，制定和实施风险应对措施，并定期检查和评价其有效性。5)风险措施实施后的剩余风险的可接受度。剩余风险亦称为残余风险，是指采取预防措施对风险程度进行了修正后的遗留风险。这类风险应在风险理过程中予以确定。当剩余风险仍不能被组织所接受或容许时，组织应寻求其他风险应对措施，包括进行风险规避。当这些剩余风险可被组织接受或容许时，组织应在风险应对计划中确定监视、测量和评价的措施。剩余风险也有很大的不确定性。随着内外部环境变化，一些策划时组织认为可以接受或容许的风险，可能发生变化，成为组织不能接受或容许的风险。发现这种情况，应及时对风险评估和风险处理过程进行修订。特别应指出的是，对于航空航天工业企事业单位，运行风险的管理应从接受合同、订单、研制任务书或技术协议时开始。在确定、评审产品和服务要求时就要点识别和确定那些基于行业或组织极限能力的特殊要求，以及由新技术提供的能力和产能、短交付期形成的运行风险，在产品和服务策划过程、设计和开发过程中，要识别和确定引发这些风险的关键项目和关键特性，并制定相应的对策。在产品的生产过程、采购和外包过程、检验和试验过程，以及交付和售后服务过程中应落实这些对策，以提升过程的有效性。同时，产品安全和假冒产品也对航空航天产品和质量管理体系带来了较大的风险，组织在风险管理过程中，要特别关注这些风险的识别、分析、评定和处理，以满足和超越顾客的需求和期望。其次，航空航天及国防组织的运行风险主要体现在产品交付质量和准时交付表现上。组织应将产品交付质量和准时交付表现转换成相应的过程KPI和质量管理体系的目标进行控制，并紧紧围绕着这些指标或目标开展风险管理活动，以提高组织质量管理体系和过程的有效性。最新航空标准-中英文译