客服热线:021-8034****

ISO9001:2015标准中涉及的风险,ISO9001:2015标准中条款删减应该考虑的因素

  
很多企业对ISO9001:2015标准中涉及的风险,ISO9001:2015标准中条款删减应该考虑的因素都不是很了解,今天企业易就为大家简单介绍一下ISO9001:2015标准中涉及的风险,ISO9001:2015标准中条款删减应该考虑的因素,希望大家能对ISO9001:2015标准中涉及的风险,ISO9001:2015标准中条款删减应该考虑的因素有一个深入的了解.如果对ISO9001:2015标准中涉及的风险,ISO9001:2015标准中条款删减应该考虑的因素还有疑问,可查看更多内容.
ISO9001:2015标准中涉及的风险,ISO9001:2015标准中条款删减应该考虑的因素

ISO9001:2015标准中涉及的风险

ISO9001:2015标准中涉及的风险

1、ISO 9001:2015 中的风险

在 ISO 9001:2015 标准中有许多基于风险思考的内容,这些内容将影响组织为

符合修订后的标准而进行的工作。以下是节选并归纳本标准中涉及风险的有关内

容。

定义:ISO 9001:2015 标准所指的风险是“对预期结果 的不明确的影响。标

准未提出对预防措施的要求。

过程方法:标准 4.4 条款探讨的要素之一是过程方法, 要求组织“识别质量管

理体系所需的过程以及这些过程在 组织中的应用。这包含识别:

输入、输出和资源; 顺序和相互作用;

有效的运行;

责任和改进机会;

风险以及应对风险的机会和措施。

关注顾客: 5.1.2 条款指出最高管理层必须“证明其在 关注顾客方面的领导力

和承诺,确保实施了相关工作……识别和处理可能对产品、服务和增强顾客满意

度的能力方面的风险和机会。

应对风险和机会的措施:6.1.1 和 6.1.2 条款指出组织必 须识别那些必须应对

的“风险和机会,以确保质量管理体系能够:

“实现预期结果;

预防或减少非预期后果;

实现持续改进。

应对风险和机会的措施必须与产品、服务、顾客满意方面的潜在影响相适应。另

外,组织在进行改变的情况下宜“有计 划并系统地实施,识别风险和机会,并

注意核查转变的潜在后果。应对风险可能采取的方法有避免风险、消除风险源、

分担风险以及决定是否承担风险等。

交付后的活动:根据 8.5.5 条款,适用时,组织必须明确并满足与产品、服务

的性质以及预定使用寿命有关的交付后活动的有关要求:

与产品和服务有关的风险。

使用寿命。

顾客反馈。

法律法规要求。

管理评审: 9.3 条款指出组织必须考虑其采取的应对风 险和机会的措施的有效

性(同时参见 6.1 条款)。这包含:

识别必须监视和测量的内容,使得组织能够证明符合产 品和服务标准的要求;

评估过程的绩效(同时参照条款 4.4);

确保质量管理体系的符合性和有效性;

评估顾客的满意度。

内审:条款 9.2 指出组织必须“策划、建立、实施并维护 内审的审核方案,

并且明确“内审的频次、方法、责任、策划要求和报告方式。内审方案必须考

虑质量目标、相关过程 的重要性、相关风险以及以前审核的结果。

基于风险的方法:附录 A 的 A4 章节内容描述了基于风 险的管理方法,包含:

要求组织充分了解自身所处环境,包含内部和外部的问题;

明白管理体系的重要目的之一是作为1个预防工具;

明确风险和机会;

处理识别出的风险和机会。

2、应用基于风险的思考方法

对组织有影响的风险主要有以下 4 类:

1、组织风险:发生在组织实体以及活动层面;

2. 战略风险: 发生在组织的战略或业务计划制定不够周 密时;

3. 合规风险:发生不符合法律法规要求的情形时;

4. 运营风险:分为与组织的程序和措施有关的 7 个分类 别。

1、组织风险

实体层面的风险能够是外来的也能够是内部存在的。外来因素包含技术、竞争以

及法律环境;内部因素包含安保、信息系统、收发货物遗失、人员能力和责任变

化等方面。 活动层面的风险对个人和部门发生影响,包含在系统中输入信息或

资料时的疏漏;收发货记录遗失;安保控制松懈;缺少熟练技术人员以及员工的

疏忽大意等。假如在组织的各个环节活动层面的风险不断,最后势必形成实体层

面的风险。

2. 战略风险

战略风险指的是因执行一项不成功的商业计划或战略而可能发生的损失。其原因

可能是由于做了糟糕的业务决策、执行决定不力、资源不足或是由于业务环境

发生了转变而未及时进行调整。

3. 合规风险

合规风险是与法律法规要求有关的风险。环境、健康和安全要求一直是人们关注

的问题,由于一旦这些方面出现问题,轻则罚款,重则停业甚至追究刑事责任都

是可能出现的后果。遵守质量和环境方面的标准和规范也在这个范畴之内。

环境风险包含液体危险品遗撒、危险气体排放以及固态废弃物的不当处理,包含

的情况还可能有以下情形:

采购部将从国内采购改为向国外供应商采购;

负责环境的关键管理人员离岗未及时替补;

引入新的物料却未编制有关的安全管控记录。

4. 运营风险

运营的风险能够具体从以下 7 个方面说明:

(1)管理体系风险。由于制定的战略、制度规定和工具、数据处理、呼叫(电话

) 中心、合同管理、设计与开发等层面的效率低下,都可能造成管理体系的效率

低下。例如说,1个重度依赖外包的供应链,可能有很大风险。

管理体系的其他风险包含不正确的收入明确;违反国家安全规定;不符合环境法

规以及萨班斯-奥克斯利法案(美国的一部涉及会计职业监管、公司治理、证券市

场监管方面的重要法律) 的要求。这些行为将可能导致罚款、停业甚至追究刑责

的后果。为了降低此类风险,组织的最高管理层以及董事会必须对管理体系有透

彻的了解,并努力提高其有效性。假如下述的活动效率低下,则组织的管理体系

必受其累:

人力资源管理规范

各种管理工具

数据处理

呼叫(电话)中心

营销活动

合同管理

顾客沟通

设计和开发

总而言之,组织的最高管理层和董事会要了解自身的管理体系并不断提高其有效

性。

(2) 顾客满意风险。顾客沟通、送货、产品本身、设计维修以及对顾客反馈的

回应方式都会影响顾客满意风险。为降低此类风险,宜将相关的产品质量数据、

产品和过程监控数据以及供应商供货质量等数据也一并纳入分析过程。

(3) 供应链风险。采购经理必须对外购产品和服务、独家供应商、送货时间库

存管理以及文档管理等保持关注。信息沟通是确保供应链有效运行的关键。用于

管理供应链风险的数值包含送货时间、库存水平及成本等。

(4) 收入确认风险对利润的影响。对此类风险的管理包含追踪产品从生产、销

售到发货以及应收账款的全过程。收入的确认受到诸如应付款、应收账、交付前

货值记录、现金报价错误、计算表错误以及价格信息不完整等原因影响。

质量经理在控制收入确认过程的有效性方面负有重要责任。质量体系和财务管理

体系在此有交集,涉及产品实现、成本、销售、开发票、付款、库存管理以及发

货等过程。发货信息是对应收账款和收入确认的直接输入。对于许多公司

而言,收入确认对其收入有着直接影响,甚至可能影响其股票价格。

由于不正确的收入确认,还可能出现背离事实的虚假声明的风险。审核员宜对已

建立的用以检查收入确认中问题的控制措施进行测试。

(5) 信息安全风险。信息安全风险的情况包含病毒、未加防范的文件、不正确

的财务记录和报告、糟糕的修改控制、信息检索错误、数据表格滥用、临时工和

咨询师的使用、新技术的引入以及遭遇工业间谍和欺诈行为等现象。

ISO/IEC27001:2005 《信息技术安全技术信息安全管 理体系要求》 包含了建

立、实施、运营、监视、评价、维 护并提高信息安全管理的要求。

(6) 物流风险。当今组织关注的1个风险问题是与国家安全威胁因素相关的。

运输过程可能由于必须检查是否藏有大规模杀伤性武器而拖慢。

怎样筛查、识别、并追踪从货源地到购买方组织的全过程一直是个难点。以下因

素影响物流风险:

原资料和成品的运输;

运输中的货损;

途中延误造成的无法按期交货;

运输延误造成的原资料库存不足;

国家安全信息上报要求。

有必要开发出新的工具以减少筛查和追踪等必须过程对供应链的干扰。总之,产

品生产完成后,送到顾客手中以前,上述各种问题都可能出现,组织应该有所准

备。

(7) 自然灾害风险。过去几年间,我们这个星球上自然灾害频发。业务连续性

要求对应保护的存储信息进行安全保障,并对灾后复原进行策划。

信息技术在业务连续性中扮演着重要角色,宜专门设计相关的信息技术程序,以

确保业务连续性运行的及时性和有效性。组织的业务连续性开发团队中不可缺少

负责信息技术的成员。

信息技术部门必须提供可将信息妥善有效存储的保护措施,并对各种灾害进行管

理、防范并提供安全保护措施。可采用的方法包含信息的定期复制,并将备份信

息存储于安全的此外1个地点。并且,宜对存放在该地点的数据进行定

期测试,以确保其正确无误。

ISO/IEC27001 标准提供了业务连续性的管理控制措施, 以下是业务连续性计划

(BCP)的相关因素:

业务风险及影响分析;

灾害事件初始反应活动;

紧急事件和业务恢复过程管理程序;

各层级培训计划;

保持业务连续性计划及时更新的程序。

业务连续性计划宜定期演练,组织能够用以下问题进行BCP 的自查:

是否已制定确保信息连续性的书面计划?

上述计划是否每一年进行更新和检验?

何时对计算机硬件、软件或应用系统进行过重要的调整 或改变?

是否对用以备份的介质进行了定期测试?

是否对应用程序、应用数据和运行系统软件进行了定期备份?

是否将该计划和信息进行了异地备份?

ISO9001:2015标准中条款删减应该考虑的因素

ISO9001:2015标准中条款删减应该考虑的因素?

ISO9001:2015标准的组织都将面临怎样正确处理ISO9001标准中"容许剪裁"的问题?这一问题若处理得不恰当,将会影响组织将来能否通过认证。

通常情况下仅删减7.3条款,也不免除组织的相应责任的那些质量管理体系要求。否则不得声称符合本标准?笔者有以下几点看法:

1.引起剪裁的可能原因

1.1组织和组织所提供产品的性质

假如组织和组织所提供的产品不要求执行某项活动、或不存在某项过程,则能够剪裁相应要求。相反,假如其产品性质,存在某一质量活动或过程,则不能剪裁。例如:

1)某一轴承加工厂,其产品的性质是按图纸、技术规范组织定型零件生产,其产品实现过程不存在设计和开发,则可剪裁7.3设计和开发要求;

2)某一家电厂,专门生产各类洗衣机,有设计和开发的职能和活动,那么,该厂的各类洗衣机产品覆盖的质量管理体系要求中,就不能剪裁7.3设计和开发要求。

3)某一企业,无需使用测量装置或没有顾客财产,则可相应剪裁该项要求。

1.2顾客要求和适用的法律法规要求情况

仅有在不影响组织提供满足顾客和法律法规要求的产品时,才容许剪裁。反之,则不能剪裁。例如:某一压力容器厂,顾客对其提供的产品有设计要求;同时国家法规《压力容器安全技术监察规程》规定:组织必须取得该类产品相应的设计资格证书以及生产许可证资质后,方能设计制造。那么,该组织在按ISO9001:2015标准建立覆盖该压力容器产品的质量管理体系时,7.3设计和开发的要求不能剪裁。值得注意的是:在建立质量管理体系时,除了应符合ISO9001标准要求外,还应符合相应的法规,如《压力容器设计单位资格管理与监督规则》和《压力容器安全技术监察规程》的要求。

1.3第三方认证情况

由于剪裁的范围仅指组织认证的质量管理体系所覆盖的产品范围,而不是组织所提供的所有产品。因此:

1)假如组织申请认证质量管理体系所覆盖的产品存在设计活动,那么7.3设计和开发要求不能被剪裁。

2)假如组织认证质量管理体系的产品,不要求执行设计活动、或者该项产品是在已有设计的基础上实现的,那么该组织申请认证时可与认证公司协商剪裁7.3设计和开发要求。

2.剪裁的执行

2.1剪裁仅限于ISO9001标准第7章"产品实现",不容许剪裁其他章节的任何要求。

2.2组织若有剪裁,应在质量手册相应的章节中阐述删减的原因并加以描述。

免责声明
• 
本文仅代表作者个人观点,本站未对其内容进行核实,请读者仅做参考,如若文中涉及有违公德、触犯法律的内容,一经发现,立即删除,作者需自行承担相应责任。涉及到版权或其他问题,请及时联系我们