IATF16949理解与实施——6 策划6.1应对风险和机遇的措施
6 策划
6.1应对风险和机遇的措施
6.1.1在策划质量管理体系时,组织应考虑到4.1所提及的因素和4.2所提及的要求,并确定需要应对的风险和机遇,以:
A)确保质量管理体系能够实现其预期结果;
B)增强有利影响;
C)预防或减少不利影响;
D)实现改进。
【理解与实施要点】
1.此条款为此次转版的重要变更条款,更加强调了公司整体的风险管控总体要求;
2.此条款为是对“4.1理解组织及其环境”和“4.2理解相关方的需求和期望”的内容的承接,是基于之前分析结果的风险和机遇的确定;
3.体系在策划时要考虑所确定的风险和相应的机遇,风险要通过书面化的措施进行规避,机遇要通过有效的方法策划来的实现,这些内容都可以写入公司的体系文件,从而实现标准化的有效管理。
6.1.2组织应策划:
A)应对这些风险和机遇的措施;
B)如何:
1)在质量管理体系过程中整合并实施这些措施(见4.4);
2)评价这些措施的有效性。
应对措施应与风险和机遇对产品和服务符合性的潜在影响相适应。
注1:应对风险可选择规避风险,为寻求机遇承担风险,消除风险源,改变风险的可能性或后果,分担风险,或通过信息充分的决策而保留风险。
注2:机遇可能导致采用新实践、推出新产品、开辟新市场、赢得新顾客、建立合作伙伴关系、利用新技术和其他可行之处,以应对组织或其顾客的需求。
【理解与实施要点】
1.策划应基于风险的思维
A)风险的含义:不确定性的影响。一般也理解为危险。
组织在实现其目标和预期结果的经营活动中,都面临内部和外部实现某目标和预期结果的各种因素和影响。会对产生经营活动产生影响,从而影响组织目标和预期结果实现。这种在一定环境下和一定期限内客观存在的、影响组织目标和预期结果实现的各种不确定性因素就是风险。
B)机遇的含义:时机或机会,也是有利的境遇。就是对组织有利的时机、境遇、条件、环境。
2.ISO9001:2015版标准没有要求使用固定的风险管理模式来识别风险和机遇。可以结合产品和服务特点选择合适的方式来识别风险和机遇。
在ISO31000《风险管理原则和指南》标准中,已经描述组织使用的工具,如SWOT分析(强项、弱项、机遇及威胁)、环境分析(PESTLE)(政治、经济、社会、技术、法律)等。一些方法在特定领域中可能更常用,例如:铁路行业的危害分析(FMECA)、食品行业的危害分析临界控制点(HACCP),汽车行业失效模式及后果分析(FMEA),医疗行业的定量定性评价法。使用任何方式和工具来识别质量管理体系的风险和机遇由组织来决定。
3.风险管理过程
A)风险识别
组织应识别风险源、影响区域、事件(包括环境变化)以及致因和潜在后果。此步骤的目的是产生一个基于哪些可能产生、增强、阻碍、加快或推迟目标实现的事件的风险的综合表格。识别与寻求机会相关的风险是重要的。综合识别是非常重要的,因此此阶段没有识别的风险将不会包含在进一步的分析中。
识别应包括其源是否在组织的控制下的风险,即使风险源或致因可能不明显。风险识别应包括考查特定后果直接影响,包括连锁和累积影响。也要考虑宽范的后果,即使风险源或致因可能不明显。也要识别什么可能发生,考虑表明什么后果可以出现的可能致因和场景是必要的。所有重要的指引和后果应予以考虑。
组织应适合其目标、能力及所面临风险的风险识别工具和技术。在识别风险时,相关和最新的信息是重要的。应包括可能的适当的背景信息。具有适当知识的人员应参与到识别风险中。
B)风险分析
风险分析设计开展风险的理解。风险分析为必须做出选择及选择涉及不同类型和程度的风险的决策,提供输入。
风险分析包括考虑风险的致因和来源,以及所带来的正面和负面的后果及这些后果发生的可能性。影响后果的因素和可能性应被识别。通过确定后果和其可能性以及其他风险特性,来进行风险分析。一个事件可以有多种结果并可以影响多重目标。现存的控制措施的效果或效率也应被考虑在内。
后果和可能性的表述方式,以及它们组合确定风险程度的方式,应反映风险类型、可获得的信息以及运用风险评价输出的意图。这些全部都应符合风险准则。考虑不同风险和其源的相互依赖也是重要的。
风险程度的确定和其前提和假设的敏感性的信心,应在风险分子中予以考虑,并有效沟通给决策者以及适当的利益相关方。诸如专家间观点的分歧、不确定性、可用性、质量、数量、信息的持续相关性、或模型的局限性等因素,应予以阐述和可以重点强调。
风险分析可以在不同程度的细节上进行,这取决于风险本身、分析目的、可用的信息、数据和来源。依据环境条件,分析可以定性的、半定量或定量的,也可以是组合的方式。
后果和其可能性可以通过模拟一个或一系列事件的结果,或有试验研究或可用数据推断确定。后果可基于有形或无形的影响表述。在某些情况下,一个以上的数值或描述,需要界定对于不同时间、地点、团体或状况的后果和其可能性。
C)风险评定
风险评定的目的是,基于风险分析的结果,帮助作出有关风险需要处理和处理实施有限的决策。
风险评定包括考虑风险获益组织外的团体对风险的容忍性。决策应依据法律法规和其他要求作出。
在某些情况下,风险评定可导致对决策的进一步分析。风险评定也可导致,除了保持现存措施,不以任何方式处理风险的决策。通过组织的风险态度和已建立的风险准则,对此决策施加影响。
D)风险处理
风险处理包括选择一种或集中修正风险的方案,以及实施哪些方案。一旦实施了方案,处理提供或改进了控制措施。
(1)风险处理包括一个循环过程:
1) 评价风险处理;
2) 确定残留风险程度是否可容许;
3) 如果不可容许,产生新的风险处理;
4) 评价该处理的有效性。
(2)风险处理方案不必互相排斥或适宜所有情况。方案可以包括以下内容:
1)通过决定不开展或停止产生风险的活动,来规避风险;
2)为寻求机会,接受或提高风险;
3)消除风险源;
4)改变可能性;
5)改变后果;
6)与另一方或多方共担风险(包括合约和风险融资);
7)通过有事实依据的决策,保留风险。
(3)选择风险处理方案
选择最合适的风险处理方案包括,针对以法律法规和诸如社会责任和自然坏境保护的其它要求所获得的利益,平衡成本和实施的工作量。决策也应考虑可以批准在经济层面上不合理的风险处理的风险,例如,严重的(高负面后果)但稀少(低可能性)的风险。
一些方案是可以单独或综合考虑或应用。组织一般可以从综合方案的采用获益。
当选择风险处理方案时,组织应考虑利益相关方的价值和观点,以及与他们沟通最合适的方法。如果风险处理方案可以影响组织别处的风险或与利益相关方关联的风险,这应包含在决策中。尽管同样有效,有些风险处理可以比其他一些更让一些利益相关方接受。
风险处理计划应清晰确定每个风险处理应适时的优先顺序。
风险处理自身会引入风险。重要风险会是风险处理措施的故障或失效。监测需要成为风险处理计划的整合部分和给出措施持续有效的保证。
风险处理也可以引入需要评价、处理、检测和评审的次级风险。应将这些次级风险结合到与原始风险同样的处理计划中,而不是作为新的风险处理。两种风险的联系应确定和保持。
(4)准备和实施风险处理计划
风险处理计划的目的时将如何实施已选择的处理措施形成文件。将要实施的风险处理方案。处理计划中提供的信息应包括:
1) 选择风险处理措施的原因,包括所期待获得的效益;
2) 负责改进和实施计划的人员;
3) 建议的措施;
4) 资源需求,包括紧急情况时;
5) 绩效测量和控制
6) 汇报及检测要求
7) 时间和日程安排
处理计划应组织管理过程整合并适当的利益相关方讨论。
(5)决策者和其他利益相关方应意识到风险处理后残留风险的性质和程度。残留风险应形成文件并进行检测、评审,适当时,进一步处理。
E)风险措施实施的检测和评审
检测和评审都应是风险管理过程的已计划部分,包含常规检查或监督。可以定期或不定期。
检测和评审的职责应明确界定。
组织的监测和评审过程应包含风险管理过程的所有方面,目的是:
1)确保控制措施在设计和运行上有效和有效率;
2)获得进一步改进风险评价的信息;
3)从事件、变化、趋势、成功和失败中分析和吸取教训;
4)探测内外部状况的变化,包括风险准则的变化、需要修正风险处理、风险自身;
5)识别出现的风险。
在实施风险处理计划的进程中需要绩效测量。可将结果融入组织整体绩效管理和绩效测量中。
监测和评审的结果应予以记录和在内外部适当地报考,也可用作风险管理框架评审的输入(见4.5)。
4.在策划过程中也有很多机遇,如新实践、推出新产品、开辟新市场、赢得新客户、建立合作伙伴关系、利用新技术等,组织要策划工作计划,明确实施措施,定期检查措施的有效性。
6.1.2.1 风险分析
组织应在风险分析中至少包含从产品召回、产品审核、使用现场的退货和修理、投诉、报废及返工中吸取的经验教训。
组织应保留形成文件的信息,作为风险分析结果的证据。
【理解与实施要点】
1.风险分析应该真正融入到公司体系的所有过程及活动中,不能因为需要分析而分析;实施风险分析的文件化的形式有很多种,包括可行性分析、FMEA、应急计划等。
2.池出现下列情形时,一定要进行风险分析,都要将出现的缺陷表现形式(失效模式)写入FMEA中:
A)出现重大缺陷,发生产品召回;
B)产品审核时发现问题;
C)使用现场退货和修理;
D)产品质量的顾客投诉;
E)产品发生质量问题,报废;
F)产品质量问题,返工。
3.风险分析的过程证据需要保留。
6.1.2.2 预防措施
组织应确定并实施措施,以消除潜在不合格的原因,防止不合格的发生。预防措施应与潜在问题的严重程度相适应。
组织应建立一个用于减轻风险负面影响的过程,过程包括如下方面:
a)确定潜在不合格及其原因;
b)评价防止不合格发生的措施的需求;
c)确定和实施所需的措施;
d)所采取措施的成文信息;
e)评审所采取的预防措施的有效性;
f)利用取得的经验教训预防类似过程中的再次发生(见ISO9001第7.1.6条)。
【理解与实施要点】
1、此条款应与本标准10.2不符合和纠正措施一起理解;预防措施是在缺陷还未发生时捞取的措施,纠正措施是缺陷已经发生。
2、纠正与纠正措施、纠正措施与预防措施的区别与联系
|
区分\内容 |
纠正和纠正措施 |
纠正措施与预防措施 |
|
区别 |
纠正:为消除已发现的不合格所采取的措施; 纠正措施:为消除不合格的原因并防止再发生所采取的措施; 纠正是的对不合格进行的处理,纠正措施首先需要分析形成原因,针对原因采取措施,评审措施的有效性。 |
预防措施:为消除潜在不合格或其它潜在不期望情况的原因所采取的措施; 纠正措施指不合格已发生,已产生影响;预防措施指不合格是的潜在的,目前未发生,可能会发生,可能会造成影响; 纠正措施的目的是让不合格不再发生;预防措施的目的是让不合格不发生。 |
|
共同点 |
不合格都已经发生; 处理后需要验证效果; 措施需形成文件。 |
需要分析造成或可能造成不合格输出的原因,针对原因采取措施; 处理后需要验证效果; 措施需形成文件。 |
6.1.2.3 应急计划
组织应:
a)对保持生产输出并确保顾客要求得以满足而言必不可少的所有制造过程和基础设施设备,识别并评价相关内部和外部风险;
b)根据风险和对顾客的影响制定应急计划;
c)准备应急计划,以在下列任一情况下保证供应的持续性:关键设备故障(另见第8.5.6.1条)、外部提供的产品、过程或服务中断;常见自然灾害;火灾;公共事业中断、劳动力短缺、或者基础设施破坏;
d)作为对应急计划的补充,包含一个通知顾客和其他相关方的过程,告知影响顾客作业的任何情况的程度和持续时间;
e)定期测试应急计划的有效性(如:模拟,视情况而定);
f)利用包括最高管理者在内的跨部门小组对应急计划进行评审(至少每年一次),并在需要时进行更新;
g)对应急计划形成文件,并保留描述修订以及更改授权人员的形成文件信息。
应急计划应包含相关规定,用以在发生生产停止的紧急情况后重新开始生产之后,以及在常规停机过程未为得到遵循的情况下,确认制造的产品持续符合顾客规范。
【理解与实施要点】
1.为了保证顾客的要求得以满足,对所有制造过程和生产设备存在的风险进行识别和评价;
2.标准要求,如下几个方面,要准备应急计划:关键设备故障、外部提供的产品、过程或服务中断;洪水、地震;火灾;停水、停电、停暖气;劳动力短缺、或者基础设施破坏;
3.一般公司都有火灾、地震等应急预案,其它应急预案也应按火灾应急预案一样准备。如:应急设备和材料的准备、应急救援组织、应急电话,应急警报装置,如果紧急情况发生了,除了向相关政府管理部门汇报以个,还要及时向顾客报告。
4.应急计划应该定期演练或测试,至少每年一次,演练之后要对应急预案进行多方论证评审,并且需要最高管理者参加,体现一把手负责制;
5.恢复生产,要进行作业准备验证或试生产,如顾客有要求,需要重新进行PPAP,以保证产品满足顾客的要求。
