淺談ISO9001:2015風險管理之作法

　　ISO9001:2015版公告2年多，許多組織已完成換版或重新取證，筆者親自參與數十家的輔導與驗證過程中發現，風險管理的作法經常被稽核員提出詢問，許多組織對風險管理也不是很清楚，不是不了解其中的精神，不然就是做不到位。故本文擬就輔導經驗與各位讀者分享ISO9001:2015風險管理之作法。

　　首先對風險做些基本說明，何謂風險（Risk）參考ISO31000中的定義，風險是指對目標的不確定性的效應。風險通常用某一事件的結果與發生的可能性之組合來表示。

　　效應可能為正面或負面，或者同時兼具正面與負面，正面的效應又可稱為組織的機會，由上可知風險與機會是一體兩面的。例如：原料大幅上漲，對組織而言增加了採購的風險，但同時也刺激組織開發替代原料或新產品之動力（組織的機會）。

　　另外，在2015版中與風險相關的條文有6.1「處理風險及機會之措施規劃」，條文中規定組織應考量（1）內外部的環境議題與（2）利害相關者所期望之要求，透過上述來決定需加以處理之風險與機會。

　　在條文6.1.2中進一步規定，組織應規劃處理風險與機會之措施，並且評估措施之有效性。其中措施有效性是指與潛在衝擊成正比。

　　透過前一段讀者應可理解條文中對風險的定義與管理的要項。至於筆者對風險管理採取的作法是以僱用人數來區分，員工人數少者採取簡單的管理方法，員工人數多者採取較有系統的管理方法，依經驗分成三個等級，請各位讀者參考表1整理。

表1：依組織人數進行風險管理之分級作法

資料來源：筆者整理。

　　本段介紹風險管理之步驟與表格，供讀者們參考：

• 第一步：利用SWOT分析表（表2），瞭解與組織有關之內外部環境議題（條文4.1）。

• 第二步：利用利害關係者需求表（表3），蒐集利害關係者需求與期望（條文4.2）。

• 第三步：利用風險鑑別工具（表4、表5、表6），進行風險鑑別與評估（條文6.1.1）。

• 第四步：利用風險分級表（表6），進行風險分級。

• 第五步：利用行動方案表（表7），展開行動方案/改善措施（條文6.1.2）。

表2：SWOT分析表

資料來源：Albert Humphrey於1964年

表3：利用利害關係者需求表（範例）

　　請依表格範例自行延伸，常見的利害關係者有：股東、員工、供應商、政府、社區、媒體…等。

表4：風險機率矩陣表

表5：風險嚴重度矩陣表

表6：風險評估準則矩陣表

表7：行動方案表

　　鑒於ISO9001:2015版是強調經營管理之品質，在條文5.1.1（b）、5.2.1（a）中要求最高管理者要發展適合組織之策略方向，故在進行風險管理時也應考量組織之策略，筆者彙整策略管理與ISO9001架構發展成下列概念圖（圖1），提供讀者們參考。

圖1：策略管理與ISO9001關聯圖（資料來源：筆者彙整）

　　本文總結，表1提出依據僱用人員的多寡來進行不同層次的風險管理，是依據筆者輔導及驗證經驗所得，僅供讀者們參考之用，運用時因視各組織的產業情況、產品複雜程度、人員熟悉程度等因素作調整。

　　表3至表6所採用之方法為「機率矩陣評估法」非筆者之創見，列於本文中主要是使讀者有系統性之閱讀，使用時可自行調整因子與級距。ISO9001:2015版標準是基於風險之思維來訂定，其中已隱含預防的概念，組織因在各環節與流程中，致力於利用機會並預防不期望的結果。以上文章提供給各位讀者們做參考。

【參考資料】

• CNS12681 品質管理系統－要求事項
• CNS31000 風險管理－原則與指導綱要