基于风险的思维是贯穿于GB/T 19001和GJB 9001C标准全过程的重要指导思想和主线，标准明确指出：“基于风险的思维使组织能够确定可能导致其过程和质量管理体系偏离策划结果的各种因素，采取预防控制，最大地降低不利影响，并最大地利用出现的机遇。”因此，注重风险预防与管控，是管理体系审核中需要注重把握的重点内容和核心要求。在实际工作中，按照过程方法要求，应切实关注以下“三个聚焦点”。

一、审核组织环境和领导作用时，聚焦是否具有风险识别的战略眼光和洞察能力

2016标准新增4.1“理解组织及其环境”、4.2“理解相关方需求和期望”和6.1“应对风险和机遇的措施”等条款规定，既是标准中体现基于风险思维的重要支撑要点，更是对企业领导层提出的新要求、新挑战。

要准确把握和有效应对组织所面临的风险和机遇，首要的前提是要先分析和识别出有哪些风险和机遇，这就要求领导者必须按照标准要求，全面审视组织的内外部环境因素影响和相关方需求变化的实际状况，以敏锐眼光洞察出风险所在及对组织发展战略和目标实现的影响程度。所以说，能否具有审时度势识别风险的战略洞察力，是衡量领导者掌控企业发展全局和方向的重要标志。

如何把风险识别的工作做到位，至少应在以下几个方面下足功夫：

1.领导层要把深度理解组织环境因素，作为统揽大局的战略视野要求，予以高度关注、全面掌控

组织环境是由各个要素有机联系、功能高度分化的环境系统，具有综合性、复杂性、动态性和不确定性的特点，它既是组织生存发展和运行质量管理体系的基础空间条件，也是风险的致因源头。所以识别风险必须从实施4.1、4.2要求做起，认真分析、确定和理解与组织的宗旨和战略方向相关、影响组织实现质量管理体系预期结果能力的外部和内部因素，以及关注和理解影响组织提供满足要求的产品和服务能力的有关相关方需求变化的因素等。

“外部因素”至少包括国际国内的政治因素，如政治稳定性、公共投资、当地基础设施、国际贸易协定等；经济因素，如货币汇率、政策利好、经济形势、通胀预期、信贷可获得性等；社会因素，如当地失业率、安全感知、教育水平、公共假期和工作日等；技术因素，如新兴行业技术、材料和设备、专刊期限、职业道德规范等；市场因素，如企业竞争，包括组织的市场份额、类似产品或服务、市场领导者动向、顾客增长趋势、市场稳定性、供应链关系等；法规因素，如影响工作环境的法律法规、工会规章和行业规章等；自然因素，如所处地理气候、自然灾害等条件因素等。

“内部因素”至少包括组织的整体绩效，如目标实现情况、销售业绩、利润率、规模发展预期等；资源因素，如基础设施、过程运行环境、组织的知识等；人员因素，如人员的能力、组织行为和文化、与工会的关系等；运行因素，如过程或生产和服务能力、质量管理体系绩效、顾客满意的监督等；组织治理因素，如管理机制、决策或组织结构方面的规则和程序等。

“相关方需求因素”至少包括监管机构、所有人（含股东）、顾客、外部供方、员工、法律法规机构、行业和专业协会、竞争对手等有关相关方的需求及变化因素。只有把这些内部、外部环境因素和相关方需求因素收集全面了、分析透彻了、把握精准了，才能根据受影响和冲击的程度，找出和确定可能带来的风险和机遇。

2.领导层要把准确认知自身的优势、劣势、机会和威胁，作为分析确定组织环境因素的重要目的，予以着力落实、知己知彼

新标准强调确定和理解组织环境以及相关方需求因素，主要目的是为了识别风险和机遇，从而采取应对和预防控制措施，确保质量管理体系运行的有效性。因此，作为组织的领导者，就是要通过监视、分析、评审有关组织环境及相关方需求的信息，真正在组织所处的内外部环境中确定组织自身的比较优势、差距劣势、发展机会和现实威胁，譬如通过利用SWOT分析法，着重从外部环境中找出有什么风险、有什么机遇、有什么冲击和威胁因素；着重从内部环境中找出自身有哪些优势、有哪些短板、有哪些弱点和不利因素。要准确认清组织所面临的内外部环境的现状和趋势，认清所面临的风险挑战，认清所面临的发展机遇，谋划好应对风险、解决问题的思路对策，切实做到顺势而为、扬长避短、发展优势、克服短板、防范风险、战胜挑战，不断开拓崭新的发展局面。

3.领导层要把对相关信息的监视和评审，作为专题学习研讨与数据分析、工作例会、管理评审、年度总结部署会议等的重要内容，予以认真实施、固化机制

标准4.1和4.2条款都要求组织应监视、评审内外部环境因素和相关方需求相关信息。如何落实这一要求，新版标准并没有给出具体规定。但作为领导者要自觉站在掌控全局的高度，加强对组织内外部环境因素和相关方需求相关信息的了解、学习和研究，采取多种方式方法抓好这一标准要求的贯彻落实。从目前各单位贯彻执行标准的做法和认证审核的实践来看，应根据组织自身的实际，探索和实施对内外部环境因素和相关方需求相关信息监视和评审活动的制度化、常态化的途径方法，建立起主要领导统管、责任部门主控、各方定责协同，利用学习研究和工作例会等方式的有效运行机制。坚持用程序规范活动，用制度保证工作落实。要让相关信息的收集、监视、评审工作，进入领导的职责和日程，进入工作计划和部署，进入数据分析和会议议程，进入定期检查内容，尤其是要把监视、分析和评价的成果作为管理评审输入，落地利用，不断提高和改进风险预防和控制的水平。

二、审核质量管理体系策划及风险防控措施要求时，聚焦是否有应对风险和机遇的有效措施和管控能力

准确识别风险、制定有效控制风险的措施是贯彻标准的基本要求，也是策划质量管理体系时应把握的重点和难点。2016版标准6.1条款明确指出：“在策划质量管理体系时，组织应考虑到4.1所提及的因素和4.2所提及的要求，并确定需要应对的风险和机遇”，组织应策划：应对风险和机遇的措施；如何在质量管理体系过程中整合并实施这些措施以及评价这些措施的有效性。应对措施应与风险和机遇对产品和服务符合性的潜在影响相适应。所以说，运用实施4.1和4.2的结果，针对分析理解组织内外部环境因素和相关方要求及其影响和所确定的风险和机遇，策划和建立切实可行的应对措施，既是一项硬性的要求，也是控制风险的重要依据和保证，做好这项工作至关重要。

1.要正确运用多种应对风险的处理方式，增强措施的针对性和有效性

规避风险。即组织决定不开展或停止产生风险的活动。这种方式往往适用于规避对组织实现目标有重大负面影响的风险，该风险程度很高，不能采取或不值得采取预防措施进行预防；或者是采取减轻措施后剩余风险仍不能接受，也就是说组织不愿意接受、转移或共担的风险。

承担风险。组织为了寻求机遇可选择承担风险，但这种风险应是机会风险，具有正面影响，且风险程度不是很高，组织可以应对。也就是说，通过努力控制有可能将有利的变化和影响转化为机遇，成为较大地促进组织目标实现的机会。

消除风险源。即属于风险预防范畴，也是一种对负面风险根治的方式。这种方式适用于风险程度很高、风险项对组织实现目标影响较大、风险源较单一且可以消除的情况，如设计和开发中防错设计的运用应属这一类。

改变风险的可能性或后果。这种风险也属于减轻预防的措施，适用于风险程度很高，风险项对实现组织目标影响较大，但有降低或消除风险发生可能性或后果的机会，如在产品生产过程中，通过调配人力资源、改造设备、改进工艺，有效减少和防止不合格品发生，确保产品质量满足要求。

分担风险。这类方式适用于风险程度高，无可采用的预防措施。风险项虽然影响较大，但有愿意接受风险转移和风险共担的组织，如可为项目上商业保险等做法。

保留风险。这种方式适用于组织评估认为可接受或容忍的风险，也属于投机性风险，风险程度不高，较多地存在着促进组织目标实现的机会。组织处理风险点应对方式，需要根据风险的具体状况和组织现有条件等实际，在充分评估后做出选择。是否采取单一方式或几种方式综合运用，应从提高应对处理风险的有效性和效率的角度予以考虑并实施。

2.要紧紧抓住影响产品和服务符合性风险这条主线，增强防控工作的精准性和扎实性

策划应对风险和机遇的措施，必须紧紧围绕组织的产品和服务经营范围，抓住影响产品和服务符合性风险这条主线来思考、实施，把防控工作贯穿于产品和服务运行实现的全过程。对于武器装备军品来说，要按照标准要求，突出防控影响产品和服务质量的技术、进度、经费风险，把防控风险的工作落实到每个过程、每个环节上，力求做深、做细、做扎实。这样才能有的放矢、精准地发挥防控风险的效能。因此，必须在产品和服务实现的重点部位和关键环节上严格把关，抓出成效。

要从确定产品和服务要求上，把规定要求的全面性、充分性、适宜性及合同评审中的风险评价工作严谨细致地做到位。应注重防范产品和服务要求规定不当、不明确、不充分，不满足顾客要求和法律法规要求，以及缺少保障性和环境适应性要求及费用不到位和完成进度时限等风险问题。

要从产品和服务运行策划上，把每个项目实现过程中风险管理计划的制定与实施严谨细致地做到位。应明确风险管理职责分工，运用风险分析技术识别风险源，作出风险排序，评价风险影响，制定风险处理方案。

要从产品和服务设计和开发上，把防范技术风险、突破关键技术和薄弱环节的工作严谨细致地做到位。应有效防范设计方案未考虑各种影响因素，系统不满足用户要求，使用新技术、新材料未充分验证，软件设计缺陷，硬件与软件之间系统需求分配不合理，没有采用优化设计以及通用质量特性设计、人因工程设计等专业工程技术设计，开发阶段评审、验证不充分等风险问题。要从外部提供过程、产品和服务上，把选择、评价和监控外部供方的风险防控工作严谨细实做到位。应有针对性地制定并实施对外部供方的评价、选择、绩效监视以及再评价准则，建立合格供方名录，严格分类管理防范风险，重点加强对外包过程控制，做好必要的验证、监控活动，确保外部提供过程、产品和服务满足要求。要从生产和服务过程控制上，把人、机、料、法、环、测等受控条件和工序流程中的风险防范工作严谨细致地做到位。应着重防止生产工艺不稳定，工艺要求过高制造能力达不到，新工艺未经过验证，对特殊过程参数未进行确认鉴定，设备设施的过程能力指数和工作环境不满足要求，使用代用器材未经审批，上岗人员技能不达标等风险问题。要从产品检验、试验上，把严格规范程序、处置不合格品及跟踪验证等防控风险工作严谨细致做到位。应防止检验规范不满足接收准则要求，试验计划或试验大纲和试验条件不满足要求，未考虑所有重要特性和适用性规范要求，未按规定进行全部项目试验，试验结果不可信，未对试验出现的问题进行复试留有隐患等风险问题。通过对产品和服务全过程风险的识别与评估，有利于防范和控制风险，有利于提高稳定地提供满足顾客要求和法律法规要求的产品和服务的能力，有利于实现增强顾客满意的根本目的。

3.要切实因势利导把握机遇，增强企业发展的开拓性和创新性

必须以新时代更加敏锐的视角，抓住机遇、勇于创新，这是化解风险、战胜挑战的“金钥匙”。

要抓住机遇，采用新实践。如针对新的挑战和发展机遇，创新管理方式、产品设计、制造工艺及更新改造设施设备等活动，从而催生组织创新发展的巨大潜力。

要抓住机遇，推出新产品。为适应顾客的新需求，加大科技和资源投入，开发全新产品，全面提升科技含量和质量水平。

要抓住机遇，开辟新市场。应适应市场竞争环境，在充分论证的基础上采取新的营销战略和手段，拓展市场占有率。

要抓住机遇，赢得新顾客。通过上述创新活动，在一定程度上更加满足广大顾客的需求和期望，以新的产品和质量信誉，吸引新顾客，赢得新客源。

要抓住机遇，建立合作伙伴关系。面对新的机遇、新的挑战，开辟新的发展领域，找到新的合作伙伴，建立互利互惠、合作共赢的协作关系，甚至构建长期合作的战略伙伴关系。

要抓住机遇，利用新技术和其他创新之举，积极跟上新时代科技创新和改革开放再出发的步伐，强化敢为人先、引领潮头、争创一流的更加开放创新的理念，吸收和采用新技术、新工艺、新材料及先进的管理办法，搞好产品的升级换代，全面提升组织的现代管理水平，以应对新风险新机遇的挑战，不断满足顾客的新需求新期待。

三、审核绩效评价和改进过程时，聚焦是否有防控风险一抓到底的责任机制和落实能力

贯彻基于风险思维要求，必须强化责任机制、狠抓落实。风险管控是一项风险规划、识别评估、措施实施、监控处理、效果评价的科学有序的过程，需要严格责任机制，做大量艰巨复杂的工作，以确保各项应对风险和机遇措施的落实。

要强化各级领导者的担当意识、压实责任。各级领导都要有很强的风险防范和责任担当意识，时刻警惕和防范质量领域的“黑天鹅”与“灰犀牛”事件，避免陷入风险危机无预知而惑、无预案而慌、无责任而乱的困境。抓好每一项风险防控工作的实施和责任落实至关重要。必须建立严格责任制，明确实施应对风险方式措施的责任分工，规定由谁主管、谁负责，谁牵头、谁主控；明确所开展活动的目标要求、使用资源、活动规模、时限节点，把任务和责任落实到具体的人，定到岗位，融入质量管理体系相关过程之中，确保风险防控工作扎扎实实落地。

要加大检查和评价措施有效性的力度。针对所采取措施和开展活动的时机、实施阶段和时间进度，利用各种方式方法，适时对活动实施情况及效果进行动态跟踪和有效监控。要按照标准中6.1.2、9.1.1、9.1.3等条款要求，对风险和机遇所采取的应对措施进行有效性评价，以验证是否达到预期效果和目的要求。应明确评价这一过程的准则、频次，并形成必要的成文信息。要基于应对措施实施的相关证据，综合分析评价所采取措施活动的有效性程度，证明原确定的风险是否已得到有效的管控处理或变得可承受。如果发现所采取的措施效果不大、不明显，或没有达到预期的理想结果时，需要重新制定措施或变更应对措施进行应对和防控，即需要启动新一轮的风险应对活动，直到达到期望的目标要求。

要严格实施质量责任追究与激励制度。这既是新版标准的新要求，也是做好风险预防和管控工作的重要制度保证。质量责任重于山。有功必奖，劣者必罚；有错必纠，有过必惩；失责必察，渎职必究。只有严格执行质量责任追究与激励机制，做到奖惩严明，扶正祛邪，才能激励人、鞭策人、警示人，推进风险防控工作卓有成效地开展。