管理体系的未来发展

到目前为止，国际标准化组织（ISO）已经发布了23000多个国际标准，几乎涉及各行各业，正如ISO在其介绍中所说的那样，“ISO国际标准正在影响着世界上每一个地方以及每一个人”。与此同时，ISO还发布了70多个管理体系标准，而管理体系的定义为，“组织建立方针和目标以及实现这些目标的过程的相互关联或相互作用的一组要素。”

ISO作为一个自愿性标准化机构，并没有权力强制要求任何组织遵守或符合ISO所发布的任何国际标准，而广大组织却能根据自身情况这样做，因为广大组织可以强制要求任何ISO国际标准在其组织内部使用，或由其供方组织来使用。在某些行业，例如航空航天行业和汽车行业，又在ISO国际标准的基础上增加了相关的行业特殊要求。组织也可以根据自身情况，在ISO国际标准的基础上增加适用于组织本身的特定要求。

对于供应链顶端组织（例如航空航天行业巨头波音公司或汽车行业OEM福特公司）的分供方来讲，在应用管理体系国际标准方面会变得更加复杂。另外，在当前市场环境下，顾客对于组织的要求越来越高。在汽车行业，国际汽车工作组（IATF）所制定的IATF 16949就在其前身ISO/TS 16949的基础上，增加了更多的要求。

技术进步使顾客的要求越来越复杂，而且这种状况还将会不断地持续下去。本文主要针对越来越复杂的顾客要求进行了探讨，并对如何应对和管理这种顾客要求的复杂性提供了有效建议。

在管理体系未来发展中，必须要应对新的技术和自动化，例如机器人技术和物联网。当前，随着汽车行业的发展，汽车行业正在经历着颠覆性变化，整个行业正一步步远离内燃机，并积极追求电动技术和自动驾驶技术。现在，仅仅特斯拉一家生产电动汽车公司的市场价值，就超越了通用和福特两家汽车巨头的市场价值总和。与过去的市场变化相比，这种情况发生得如此之快，从而使许多汽车OEM都在投入巨大资源来研发自己的电动汽车和自动驾驶汽车，以赶上汽车行业的这一颠覆性变化步伐。

鉴于当前新的技术变化速度的加快，各个组织可能无法等待适用的ISO国际标准的更新。这是因为将ISO国际标准推向市场需要一定的制定和发布时间，所以ISO国际标准比当前的实际做法至少滞后3至5年。而与此同时，顾客以及顾客组织的要求却得到了更加频繁的表达。

ISO从20世纪80年代开始制定和发布管理体系标准，而当ISO 9001质量管理体系标准发布时，许多组织都以隔离的方式实施这一标准。通常，ISO 9001质量管理体系都分配给质量部门来管理，后来，ISO 14001环境管理体系通常都被分配给负责设施部门或相关部门来管理，而最近发布的其他管理体系标准则分配给另一个部门来管理。

这种隔离式实施管理体系方法，给组织的管理体系建立、实施、保持和持续改进造成了严重的冗余和浪费。为解决这一问题，ISO于2012年发布了关于管理体系标准的高阶结构，这一高阶结构包括10个通用条款要求、通用的标准文本以及术语和定义。从此之后，所有ISO管理体系标准都采用这一高阶结构，这意味着许多管理体系过程都可以在整个组织范围内得到通用，而不仅仅局限用于某个特定的标准。

ISO关于管理体系标准的强制性通用条款要求及其分条款要求规定如下：

1 范围

2 规范性引用文件

3 术语和定义

4 组织环境

 4.1 理解组织及其环境

 4.2 理解相关方的需求和期望

 4.3 确定XXXX管理体系的范围

 4.4 XXXX管理体系

5 领导作用

 5.1 领导作用和承诺

 5.2 方针

 5.3 组织的岗位、职责和权限

6 策划

 6.1 应对风险和机遇的措施

 6.2 XXXX目标及其实现的策划

7 支持

 7.1 资源

 7.2 能力

 7.3 意识

 7.4 沟通

 7.5 成文信息

  7.5.1 总则

  7.5.2 创建和更新

  7.5.3 成文信息的控制

8 运行

 8.1 运行的策划和控制

9 绩效评价

 9.1 监视、测量、分析和评价

 9.2 内部审核

 9.3 管理评审

10 改进

 10.2 不合格和纠正措施

 10.3 持续改进

根据ISO制定和修订国际标准准则，以上这些ISO管理体系标准高级结构要求，还将会得到定期复审以及可能的修订，然而这些要求的任何变化都应是渐进式变化而不应为革命性变化。也就是说，这一ISO管理体系标准的高阶结构应在未来大约5至10年保持稳定，从而可以使广大组织有充分的时间采用这一符合逻辑性的管理体系通用框架，并将各种适用的管理体系标准融入一个整合管理体系之中。可以看出，当ISO在制定管理体系标准高阶结构时，就已经充分考虑了广大组织对于将类似管理体系标准整合为一体的热切需求。

汽车和航空航天行业由于其行业的特殊性，都对其供应链发布了更加严格的质量管理体系（QMS）要求，但是，这两个行业的质量管理体系要求都是以ISO 9001作为基础。汽车行业的IATF 16949就要求从事汽车零部件生产和相关服务供应商的质量管理体系必须要满足顾客的特殊要求（CSR），以及适用的法律法规要求。

值得注意的是，顾客的特殊要求是所有顾客要求的一部分，而这些顾客的特殊要求则与IATF 16949的要求相关联。这些顾客额外的特殊要求不但可以，而且还应融入到整合管理体系之中（见图1）。IATF16949要求从事汽车零部件生产和相关服务供应商在他们的质量手册（质量手册目前仍然是汽车行业质量管理体系的要求）中包括关于顾客的特殊要求相关内容，从而表明顾客的特殊要求在其质量管理体系中已经得到了有效应对。

根据ISO管理体系标准高阶结构的规定，ISO 9001和其他管理体标准都应采用通用的条款结构，而且ISO 9001还要求采用ISO 9000所提出的通用术语和定义。目前，虽然ISO 13485医疗器械质量管理体系标准还没有采用ISO管理体系标准高阶结构，但是这个标准将会在其下一次修订时采用这一高阶结构（除非ISO允许这个标准可以不这样做）。当前版本的ISO 13485则更类似于ISO 9001。环境管理体系（EMS）标准和职业健康安全（OH&S）管理体系标准也都采用ISO管理体系标准高阶结构。

ISO/IEC 17025是关于实验室能力的标准，虽然这个标准不是一个管理体系标准，但是在其最后一次修订中，采用了ISO 9001相关内容以及ISO管理体系标准高阶结构。ISO/IEC 17025增加了管理体系要求，并承认ISO 9001认证是满足这些管理体系要求的一种方式。IATF 16949则要求使用经过认可的实验室进行外包检测或校准工作。因此，ISO/IEC 17025也可以很容易融入整合管理体系之中。

ISO最近发布的一些标准，例如ISO 26262 《道路车辆  功能安全》和ISO/PAS 21448《道路车辆 预期功能安全（SOTIF）》，虽然不是管理体系标准，而且没有采用ISO管理体系标准高阶结构，但是这些标准也可以很容易融入管理体系之中，例如：

这是一组关于电气和电子元器件的设计要求，这些要求适合融入组织的产品设计和开发过程之中。产品设计是质量管理体系的一个要素（如图2所示）。在生产电气或电子零部件产品的组织中，功能安全和预期功能安全可以在产品设计和开发过程以及供应商管理过程中得到执行。

ISO通常将“预期功能安全”描述为：“不存在由于预期功能的功能缺陷或可合理预见的人员行为不当危害所产生的不合理风险。”ISO/PAS 21448为实现预期功能安全所需的适用设计、验证和确认措施提供了指南，然而，ISO/PAS 21448不适用于ISO 26262系列标准所涉及的故障，也不适用于由系统技术所产生的直接危害，例如激光传感器所造成的眼睛损伤。

预期功能安全旨在应用于预期功能，对于预期功能来讲，适当的情境感知对安全至关重要，以及这种情境感知来自复杂的传感器和处理算法—— 特别是紧急干预系统（例如紧急制动系统）和先进的驾驶员辅助系统。预期功能安全不适用于现有系统功能，而现有系统功能已经拥有了有效而可靠的设计措施，例如动态稳定性控制系统或安全气囊。

ISO 22301涉及业务连续性，规定了防止、降低或恢复破坏性事件的要求。业务连续性概念的另一个术语是突发事件或灾难的准备和响应。ISO 22301是采用ISO管理体系标准高级结构所发布的第一个管理体系标准，因此，这一标准要求可以很容易融入整合管理体系之中。

其他ISO风险管理标准，例如ISO 31000和ISO14971，也可以很容易融入整合管理体系中的风险过程之中（见ISO管理体系标准高级结构第6.1条款）。

信息安全被定义为“通过降低信息风险来保护信息的做法”。当前，对于信息安全最常见的一些威胁是软件攻击、知识产权被盗、身份被盗、设备或信息被盗、蓄意破坏和信息敲诈。在当今社会，大多数人都有过受到软件攻击的经历，例如各种病毒、蠕虫、钓鱼攻击和木马。

ISO/IEC 27001规定了建立、实施、保持和持续改进信息安全管理体系的要求，并包括了对组织特有的信息安全风险进行评估和应对的要求。ISO/IEC 27001是最早采用ISO管理体系标准高阶结构所发布的管理体系标准之一。

梅里亚姆·韦伯斯特将网络安全定义为“为保护计算机或计算机系统（例如在互联网上）免受未经授权的访问或攻击而采取的措施”。目前，ISO正在制定以下几项标准或指南，以应对网络安全问题：

ISO/IEC DIS 21014《信息安全  网络安全和隐私保护  信息安全治理》 

ISO/IEC FDIS 27009《信息安全  网络安全和隐私保护  ISO/IEC 27001在特定行业中的应用  要求》

ISO/SAE DIS 21434《道路车辆  网络安全工程》

IATF 16949增加了一项关于应对在认可解释中网络安全的要求。随着电动车辆和自动驾驶车辆的使用，信息和网络安全已经成为需要有效预防或降低的关键风险。因此，IATF 16949的这些要求也可以融入整合管理体系的风险过程之中。

汽车软件过程改进和能力确定（SPICE）过程评估模型是由德国汽车行业协会中的汽车制造商通过协商一致原则所发布，旨在对嵌入式汽车系统开发进行过程能力评估。这种过程评估模型是根据ISO/IEC 33004的要求所制定，并可以对其进行剪裁，以适用于汽车行业的特定需求。

在IATF 16949最新版本发布之前，汽车SPICE过程评估模型就是一个指定的软件过程开发设计要求。到目前为止，IATF 16949将汽车SPICE过程评估模型以及能力成熟度模型集成列为首选方法。因此，汽车SPICE过程评估模型可以融入整合管理体系的产品设计和开发过程之中。

ISO 50001是能源管理体系标准，旨在持续改进能源绩效，包括能源效率、使用和消耗。ISO 50001如同对环境因素和影响进行管理的ISO 14001环境管理体系标准一样，也采用ISO管理体系标准高阶结构。

ISO 26000《社会责任指南》是一个指导各个组织如何更好地促进环境、社会和经济可持续发展的标准。ISO 26000于2010年11月发布，比大多数管理体系标准的发布时间都早，到现在为止，ISO 26000这个标准还没有被许多顾客组织作为对其供应商的强制性要求。

社会责任是一个组织所承担的责任，而组织所承担的社会责任可以通过以下透明而符合道德规范的行为，对于社会和环境领域的决策和活动产生积极影响：

促进可持续发展，包括社会的健康和福祉；

考虑到相关方的期望；

满足适用法律法规要求，并符合国际化行为规范；

将社会责任融入整个组织，并在其业务活动中进行实践。

ISO 26000提出了社会责任的7个核心主题（见图3）。社会责任的每一个核心主题都与每个组织密切相关，因此，组织应对这些核心主题给予充分关注。ISO 26000还围绕社会责任的7个核心主题提出了37个特定议题，这37个特定议题与组织具有不同程度的相关性和重要性，但是，并不是每一个特定议题都对于每一个组织具有实质性。因此，每一个组织应根据这37个特定议题对于组织本身的相关性和重要性的适用程度，来确定这些特定议题对于组织的实质性。这样，ISO 26000可以融入ISO管理体系标准高阶结构第5.2条款所要求的“方针”制定过程之中。

正如图1所示，各个组织应采用一种适用于诸如方针、成文信息、内部审核、管理评审、风险和目标等ISO管理体系标准所强制要求过程的通用方法，将相关而适用的标准和要求融入一个通用的整合管理体系之中。对于大型组织来说，有必要采用软件解决方案来有效支持管理体系的顺利实施。请注意，一些ISO标准现在要求对于任何软件设计或重新设计，都要拥有软件确认过程——这种做法就是在没有指定要求的情况下，也不失为一种很好的方法。

随着产品的发展，更重要的是要采用一种有效而高效率的方法来管理多个管理体系要求以及可能出现的管理体系重叠要求所产生的复杂性。最高管理者必须对组织管理体系及其有效性负有责任，并确保管理体系的职责和权限在整个组织中得到明确的规定和理解。最高管理者必须制定组织一级可测量的目标，并监视实现这些目标计划的进展情况。所有管理体系标准都要求，为有效实施管理体系提供足够的资源是最高管理者的主要职责之一。

在ISO管理体系标准高级结构中，之所以删除了以前标准所规定的关于管理者代表的要求，是因为现在认可机构以及ISO 19011《管理体系审核指南》标准都关注和引导认证机构，将审核面谈的重点从管理者代表转移到组织的最高管理者。在管理体系的未来发展中，组织最高管理对于整合管理体系具有正确的意识至关重要，而最重要的是组织最高管理者应将整合管理体系过程视为组织的业务过程来对待，而不是仅仅将整合管理体系过程作为一种事后的想法。