惠州ISO9001:2015认证体系的策划与设计,惠州ISO9001:2015认证怎样进行风险识别/评估

惠州ISO9001:2015认证体系的策划与设计

惠州ISO9001:2015认证体系的策划与设计

惠州ISO9001:2015认证主要是做好各种准备工作，包含教育培训，统一认识

，组织落实，拟定计划；明确质量方针，制订质量目标；现状调查和分析；调整

组织结构，配备资源等方面。

（一）教育培训，统一认识

质量体系建立和完善的过程，是始于教育，终于教育的过程，也是提高认识

和统一认识的过程，教育培训要分层次，循序渐进地进行。

第一层次为决策层，包含党、政、技（术）领导。主要培训：

1．通过介绍质量管理和质量保证的发展和本单位的经验教训，说明建立、

完善质量体系的迫切性和重要性；

2．通过ISO9000族标准的总体介绍，提高按国家（国际）标准建立质量体系

的认识。

3．通过质量体系要素讲解（重点应讲解“管理职责等总体要素），明确

决策层领导在质量体系建设中的关键地位和主导作用。

第二层次为管理层，重点是管理、技术和生产部门的负责人，以及与建立质

量体系有关的工作人员。

这二层次的人员是建设、完善质量体系的骨干力量，起着承上启下的作用，

要使他们全面接受ISO9000族标准有关内容的培训，在方法上可采取讲解与研讨

结合。

第三层次为执行层，即与产品质量形成全过程有关的作业人员。对这一层次

人员主要培训与本岗位质量活动有关的内容，包含在质量活动中应承担的任务，

完成任务应赋予的权限，以及造成质量过失应承担的责任等。

（二）组织落实，拟定计划

尽管质量体系建设涉及到1个组织的所有部门和全体职工，但对多数单位来

说，成立1个精干的工作班子可能是必须的，根据一些单位的做法，这个班子也

可分3个层次。

第一层次：成立以最高管理者（厂长、总经理等）为组长，质量主管领导为

副组长的质量本系建设领导小组（或委员会）。其主要任务包含：

1．体系建设的总体规划；

2．制订质量方针和目标；

3．按职能部门进行质量职能的分解。

第二层次，成立由各职能部门领导（或代表）参加的工作班子。这个工作班

子通常由质量部门和计划部门的领导共同牵头，其主要任务是按照体系建设的总

体规划具体组织实施。

第三层次：成立要素工作小组。根据各职能部门的分工明确质量体系要素的

责任单位，例如，“设计控制通常应由设计部门负责，“采购要素由物资采

购部门负责。

组织和责任落实后，按不同层次分别制定工作规划，在制定工作规划时应注

意：

1．目标要明确。要完成什么任务，要解决什么主要问题，要达到什么目的

？

2．要控制进程。建立质量体系的主要阶段要规定完成任务的时间表、主要

负责人和参与人员、以及他们的职责分工及相互协作关系。

3．要突出重点。重点主要是体系中的薄弱环节及关键的少数。这少数可能

是某个或某几个要素，也可能是要素中的一些活动。

（三）明确质量方针，制定质量目标

质量方针体现了1个组织对质量的追求，对顾客的承诺，是职工质量行为的

准则和质量工作的方向。

制定质量方针的要求是：

1．与总方针相协调；

2．应包含质量目标；

3．结合组织的特点；

4．确保各级人员都能理解和坚持执行。

（四）现状调查和分析

现状调查和分析的目的是为了合理地选择体系要素，内容包含：

1．体系情况分析。即分析本组织的质量体系情况，以便根据所处的质量体

系情况选择质量体系要素的要求。

2．产品特点分析。即分析产品的技术密集程度、使用对象、产品安全特性

等，以明确要素的采用程度。

3．组织结构分析。组织的管理机构设置是否适应质量体系的必须。应建立

与质量体系相适应的组织结构并确立各机构间隶属关系、联络方法。

4．生产设备和检测设备能否适应质量体系的有关要求。

5．技术、管理和操作人员的组成、结构及水平状况的分析。

6．管理基础工作情况分析。即标准化、计量、质量责任制、质量教育和质

量信息等工作的分析。

对以上内容可采取与标准中规定的质量体系要素要求进行对比性分析。

（五）调整组织结构，配备资源

由于在1个组织中除质量管理外，还有其他各种管理。组织机构设置由于历

史沿革多数并不是按质量形成客观规律来设置相应的职能部门的，因此在完成落

实质量体系要素并展开成对应的质量活动以后，必须将活动中相应的工作职责和

权限分配到各职能部门。一方面是客观展开的质量活动，一方面是人为的现有的

职能部门，两者之间的关系处理，通常地讲，1个质量职能部门能够负责或参与

多个质量活动，但不要让一项质量活动由多个职能部门来负责。

目前我国企业现有职能部门对质量管理活动所承担的职责、所起的作用普遍不够

理想总的而言应该加强。

在活动展开的过程中，必须涉及相应的硬件、软件和人员配备，根据必须应进行

适当的调配和充实。

惠州ISO9001:2015认证怎样进行风险识别/评估

惠州ISO9001:2015认证怎样进行风险识别/评估？

惠州ISO9001:2015认证必须进行风险识别，那么惠州ISO9001:2015认证过程

中怎样进行风险评估呢？

惠州ISO9001:2015认证采取控制措施

对风险进行管理的一种重要的工具是组织建立的一整套控制措施。对于萨班斯-

奥克斯利法案的合规要求而言，控制尤其重要。在该法规的合规审核过程中，审

核员非常重视对控制措施的测试。财务和质量的控制分两个层级，即实体层面和

活动层面，且在 ISO 9001 和 ISO 14001 标准中，质量控制是以“应语句出

现的，这种“应语句通常伴随着提交数据的要求。一些过程绩效要求也会包含

对结果的记录，这些记录可用于识别迫切的风险。

实体层级的控制措施包含：

人力资源政策

行为准则

沟通策略

会计原则

管理层的风险评估过程

组织结构和合同评审。在 ISO 9001：2015 中，合同评 审的要求和质量要求是

相互关联的，参见条款 8.2.3 与 产品和服务有关要求的评审。

活动层面的控制措施包含进行总账与明细分类账的对账分析、数据的自动验证和

编辑性检查、限制保密信息的获取、在录入前对交易进行编号、在输入系统前对

纸面信息进行审查和批准等方式。

活动层面的质量控制措施包含生产控制(8.6.1 条款)、 成文信息—不合格产品

和服务的纠正(8.8 条款) 以及识别 重要环境因素(ISO 14001：2004 条款

4.3.1)。

惠州ISO9001:2015认证风险和预防措施

有效的风险评估活动包含：

明确组织的可测量目标；

确保上述目标的兼容性；

识别实现目标的风险；

判断关键风险———可采用风险分析矩阵明确风险的关键程度；

采用风险管理工具来降解风险，例如目标—风险——— 控制措施———调节法

(ORCA 法)、ISO 9001 的改进 过程、失效模式和有效性分析(FMEA)以及风险控

制矩阵。

风险分析矩阵

风险分析矩阵是一种关键的分析工具，即对于识别出的每一种风险，估算风险产

生的后果和风险发生的可能性，其次将这些信息输入到风险分析矩阵中，如表 1

所示。

对每1个风险的关注程度进行判断之后，可对极端的和高危的风险采取措施 。

ISO 9001：2015 要求建立1个程序以实施以下活动：

采取措施控制并纠正不符合；

评估是否必须采取措施消除风险源；

实施纠正措施；

评估措施的有效性；

在必须时对质量管理体系进行修订；

ORCA

风险专家格雷格&midDOT;哈金斯建议考虑采用 ORCA 作为组织的风险评估方法。他认为

， “这种方法的接受度和适用性很好，它结合了其他一些类型的评估因素，包

括过程、内部控制和体系审核等。此外，它也符合当今公司治理实践中对风险管

理和运营效率的关注。

ORCA 要求组织做到以下各项：

清晰说明组织的目标；

全面识别并评估风险；

建立平衡的控制方式以管理组织的风险；

确保整个企业的目标、风险和控制的一致性。

在完成风险评估之后，高级和运营管理层可制定风险管理方面的策略并执行相关

的业务决定。风险管理策略包含避免、减轻、接受、分散及控制等方法。

ISO 9001 改进过程

ISO 9001：2015 的第 10.2 款说的是组织宜对以下情况 有所反馈，以改进其质

量管理体系：

数据统计分析的结果；

组织状况的改变；

识别出的风险的转变(条款 6.1)；

新的机会。

失效模式与影响分析(FMEA)

失效模式与影响分析是一种通过风险排序并采取预防措施以减少风险的方法。这

种方法用于检查产品或过程潜在的故障，以便采取补救措施来减少风险。

FMEA 的第1步是描述系统的各个组成部分，第2步是明确如各个组成部分发生

失效时的后果，并采用风险分析矩阵来评估各种失效发生的严重程度和可能性，

同时也明确相关控制措施对于故障的察觉能力。

接着是识别能够消除或减少故障发生或改进故障察觉能力的措施。最终，FMEA

协助实施对过程或产品进行调整 或改进，以避免潜在的失效发生。 ReliaSoft

集团的卡尔.S.卡尔森先生提出了1个建立失效模式与影响分析的“十1步过程

法。他认为，首先要做的就是制定1个涉及策略和资源的总体计划，将涉及管

理评审、质量审核、供应商 FMEA 以及建议措施的实施和跟进活动中的通用方案

进行明确描述。他提出的最后几个步骤中包含软件方面的支持，与其他过程和测

试的关联，以及对现场失效进行的及时跟踪。

风险控制矩阵

风险控制矩阵是用于管理1个特定过程风险的工具。制定一系列的控制措施以确

定过程的各种风险的状况。通过风险控制矩阵，管理层能够直观地了解各项控制

与评估的最新结果。 表 2 是对“结账过程所进行的分析。

采取基于风险的方法

ISO 9001：2015 版标准是一部具有很强风险导向的标准。1个组织要建立基于

风险的思维方式，首先必须对其可测量的目标进行定义，由于风险本是对实现目

标的各种进步的阻碍。

1个组织必须明确自身的风险偏好和风险承受能力，这样才能形成上下一致的风

险观。在此基础上，组织能够采用风险分析矩阵，通过综合考虑事件的可能性及

其后果严重程度来明确风险等级。

为符合萨班斯-奥克斯利法案的要求，宜采用自上而下、基于风险的方法来选择

适宜的控制措施，通过检验识别可能的偏差或重大的虚报问题。据了解，ISO

9001 和 ISO 14001标准到目前为止的修订稿中，都有意提供了一些有用的工具

，协助组织改进其风险管理策略。