“基于风险的思维”是新版标准内容变更的重要内容之一，也是新版标准的核心理念。“基于风险的思维”与“过程方法”的管理原则一起，融于质量管理体系及其各过程之中，是体系策划和过程策划的重要输入内容。

“风险”指不确定性的影响，见ISO9000术语定义。

质量管理体系风险可以包括：

1）偏离战略方向、方针、质量目标、过程目标等的绩效风险；

2）违反环境和相关方要求，如法定要求、合同、订单等，而导致相关方不满意；

3）引起产品和服务质量下滑或体系不稳定的状态。

在标准0.1总则中，组织依据本标准建立体系有助于“应对与组织环境和目标相关的风险和机遇”。

“本标准采用过程方法，该方法结合了PDCA（策划、实施、检查、处置）循环与基于风险的思维。”

“基于风险的思维使组织能够确定可能导致其过程和质量管理体系偏离策划结果的各种因素，采取预防控制，最大限度地降低不利影响，并最大限度地利用出现的机遇。”

在标准0.3过程方法中，“可通过采用PDCA循环以及始终基于风险的思维对过程和完整的体系进行管理，旨在有效利用机遇并防止发生非预期结果。”

“每一过程均有特定的监视和测量检查点，以用于控制，这些检查点根据不同的风险有所不同。”

Plan策划：“根据顾客的要求和组织的方针，建立体系的目标及其过程，确定实现结果所需的资源，并识别和应对风险和机遇。”

标准0.3.3基于风险的思维：

“基于风险的思维是实现质量管理体系有效性的前提。本标准以前的版本已经隐含基于风险思维的概念，例如：采取预防措施消除潜在的不合格，对发生的不合格进行分析，并采取与不合格的影响相适应的措施，防止其再发生。

为了满足本标准的要求，组织需策划和实施应对风险和利用机遇的措施。应对风险和利用机遇可为提高质量管理体系有效性、实现改进结果以及防止不利影响奠定基础。

机遇的出现可能意味着某种有利于实现预期结果的局面，例如：有利于组织吸引顾客、开发新产品和服务、减少浪费或提高生产率的一系列情形。利用机遇所采取的措施也可能包括考虑相关风险。风险是不确定性的影响，不确定性可能有正面或负面的影响。风险的正面影响可能提供机遇，但并非所有的正面影响均可提供机遇。”

标准附录A.4基于风险的思维：

“本标准要求组织理解其组织环境，并以确定风险作为策划的基础。这意味着将基于风险的思维应用于策划和实施质量管理体系过程，并有助于确定形成文件的信息的范围和程度。

根据6.1的要求，组织有责任应用基于风险的思维，并采取应对风险的措施，包括是否保留形成文件的信息，以作为其确定风险的证据。”

综上所述，“基于风险的思维”就是要求按此理念对过程和体系实施管理，以确保预期的结果得以实现。

在标准正文中，有部分条款描述的要求体现了“基于风险的思维”这一理念：

1）4.4.1组织应确定质量管理体系所需的过程及其在整个组织中的应用，且应：

f）应对按照6.1的要求所确定的风险和机遇；

2）5.1.1总则最高管理者应证实其对质量管理体系的领导作用和承诺，通过：

d）促进使用过程方法和基于风险的思维；

3）5.1.2以顾客为关注焦点最高管理者应通过确保以下方面，证实其以顾客为关注焦点的领导作用和承诺：

b）确定和应对能够影响产品和服务的符合性以及增强顾客满意能力的风险和机遇；

4）6.1应对风险和机遇的措施

6.1.1在策划质量管理体系时，组织应考虑到4.1所描述的因素和4.2所提及的要求，并确定需要应对的风险和机遇，以：

a）确保质量管理体系能够实现其预期结果；

b）增强有利影响；

c）避免或减少不利影响；

d）实现改进。

6.1.2组织应策划：

a)应对这些风险和机遇的措施；

b)如何：

1）在质量管理体系过程中整合并实施这些措施；

2）评价这些措施的有效性。

应对风险和机遇的措施应与其对于产品和服务符合性的潜在影响相适应。

注1：应对风险可选择规避风险，为寻求机遇承担风险，消除风险源，改变风险的可能性或后果，分担风险，或通过信息充分的决策保留风险。

注2：机遇可能导致采用新实践，推出新产品，开辟新市场，赢得新顾客，建立合作伙伴关系，利用新技术以及其他可取和可行的事物，以应对组织或其顾客需求。

5）6.3变更的策划

当组织确定需要对质量管理体系进行变更时，变更应按所策划的方式实施。组织应考虑：

a）变更目的及其潜在后果；

6）8.1运行的策划和控制组织应控制策划的变更，评审非预期变更的后果，必要时，采取措施减轻不利影响。

7）8.2.1顾客沟通与顾客沟通的内容应包括：

e）关系重大时，制定有关应急措施的特定要求。

8）8.3.6设计和开发更改组织应对产品和服务设计和开发期间以及后续所做的更改进行适当的识别、评审和控制，以确保这些更改对满足要求不会产生不利影响。

组织应保留下列形成文件的信息：

d）为防止不利影响而采取的措施。

9）8.4.2控制类型和程度组织应确保外部提供的过程、产品和服务不会对组织持续地向顾客交付合格产品和服务的能力产生不利影响。

10）9.1.3分析与评价应利用分析结果评价：

e）针对风险和机遇所采取的措施的有效性；

11）9.3.2管理评审输入策划和实施管理评审时应考虑下列内容：

e）应对风险和机遇所采取措施的有效性；

12）10.2.1若出现不合格，包括来自于投诉的不合格，组织应：

e）需要时，更新策划期间确定的风险和机遇；

审核时如何关注组织的这一理念是否有效应用：

1）质量管理体系的策划及其结果，是否符合本标准要求，是否体现“基于风险的思维”这一理念。通过文审、一阶段审核等手段，从整体上针对性评价；

2）组织是否已经充分识别了风险和机遇，组织是否策划了满足标准要求的、必要的应急、预防等措施。在高层管理、体系责任部门等场合对此取证，判断其充分性、适宜性。调阅记录，判断其有效性；

3）针对不同类型的、不同环境下的组织，在一些关键过程的审核过程中，应关注其对风险和机遇的控制，如外包的关键工序控制、带有安全要求的产品的设计和开发、有强制性法规限制的会计服务等过程。策划的过程是否已经应用“基于风险的思维”，策划了哪些措施，这些措施是否已经展开，就展开的效果看，这些措施是否有效，是否有改进。可能通过询问和查阅文件、记录取证；

4）由于“基本风险的思维”是一条综合性的管理理念，可在审核组末次会议前内部沟通时，由各组员交流各自的审核发现，由组长在审核报告中对此理念的应用情况作一个综合性综述。

ISO9001：2015版标准内容变化的原因

ISO9001:2015《质量管理体系 要求》标准内容的主要变化

ISO9001：2015版标准内容的具体变化

ISO9001:2015标准中要求形成的文件的信息有哪些

ISO9001：2015新版标准放弃的文件记录要求

ISO9001：2015要求的形成文件的信息

ISO9001：2015中所谈的环境指？

新标准中组织环境的的理解?

什么是新版标准中的服务？

“应对风险和机遇的措施”为新版标准新增加的条款，应如何进行审核？风险管理过程有哪些？

新版标准中“组织环境”的概念如何理解？

如何理解新版标准中“测量可追溯性”？

如何理解组织及其环境？你审核的思路有哪些？

如何理解“基于风险的思维”？“基于风险的思维”体现在哪些条款，审核时应如何关注？

结合新版标准谈谈你如何对管理层进行审核（如何获得审核证据：审核关注点）？

标准中要求的“形成文件的信息有哪些”？保持和保留的区别在哪里？

2015版标准内审员能审核自己工作吗？

ISO9001：2015版标准“组织知识”的理解以及现场审核应注意的事项

对ISO9001：2015标准第7章 “支持”理解

新版ISO9001质量管理体系认证的文件应如何准备？

【专题】ISO9001：2015版标准学习和理解

【专题】ISO14001：2015版标准学习与理解

【专题】GJB9001B-2009标准学习与理解

【专题】GB/T23331能源管理体系标准学习与理解