作者:周知ISO | 发布时间:2026-05-29
ISO 9001:2015 最大的变化之一,就是将”风险管理”从隐性要求升级为第6章”策划”的显性条款。然而,六年过去了,大量企业对第6.1条的理解仍停留在”填一张风险清单”的层面——列了风险、评了等级、归了档,就认为满足了要求。
作为审核员,如何判断企业的风险与机遇管理是”真做”还是”走过场”?本文从第6章全部子条款出发,结合审核实战经验,给出具体的审核思路和取证方法。
一、第6章整体框架:策划不只是”计划”
第6章标题是”策划”,包含四个子条款:
| 子条款 | 核心要求 | 常见误区 |
|---|---|---|
| 6.1 应对风险和机遇的措施 | 识别影响体系的风险和机遇,制定应对措施 | 风险清单做完就结束 |
| 6.2 质量目标及其实现的策划 | 建立可测量的目标并策划实现路径 | 目标千篇一律,缺少量化 |
| 6.3 变更的策划 | 系统性管理变更,评估后果 | 变更拍脑袋,不评估 |
| 6.4 质量管理体系及其过程 | 策划并实施、测量、分析过程 | 有流程文件但没有过程指标 |
这四个子条款是有逻辑关系的:风险机遇(6.1)→ 目标设定(6.2)→ 变更管理(6.3)→ 过程策划(6.4)。审核时应整体把握,而非孤立看每个条款。
二、第6.1条:风险与机遇——三种典型”假管理”
假管理之一:风险清单静态不变
这是最常见的形态——企业在初建体系时做了一份风险识别表,此后再未更新。审核时看到的风险等级评估日期是两年前的。
审核取证要点:
- 查风险清单的版本历史,看最近一次更新时间
- 询问:过去一年组织发生了哪些变化(新产品、新客户、搬迁、组织调整)?这些变化是否触发了风险重新识别?
- 对比风险清单内容与实际经营情况,看是否有明显遗漏
典型不符合描述:
组织未按照6.1条款的要求,在发生组织变更时对风险和机遇进行重新评审,风险清单自2024年3月编制后未更新。
假管理之二:有风险无措施
列了20条风险,每条都标注了”中””低”等级,但看不到任何具体的应对措施,或者应对措施全部是”加强管理””提高意识”之类的空洞表述。
审核取证要点:
- 对每条标注为”高”的风险,追问具体措施是什么、谁负责、何时完成、如何验证
- 抽查3-5条风险,看对应措施是否在实际工作中执行(查记录、问当事人)
- 看措施与风险之间的逻辑对应关系是否成立
有效风险管理的四要素:
– 措施可执行(不是口号)
– 责任人明确
– 有完成时限
– 有验证手段(怎么知道措施有效)
假管理之三:把”风险”等同于”不合格”
ISO 9001 第6.1条的风险概念远大于”不合格品”或”生产事故”,还包括:
– 战略风险(市场变化、技术替代)
– 供应链风险(关键供方中断)
– 合规风险(法规变更)
– 能力风险(关键人员流失)
– 外部风险(疫情、自然灾害)
审核提问技巧:
"如果你们最大的客户明年流失,你们的质量体系会受到什么影响?"
"如果供应商A突然无法供货,你们有什么备选方案?"
"最近一次法规变更对你们的产品有什么影响?你们怎么应对的?"
这些问题能快速判断企业是真的在思考风险,还是在机械填表。
三、第6.2条:质量目标——怎样才算”可测量”?
“可测量”不等于”有数字”
ISO 9001 第6.2.2条要求质量目标应”可测量”。但很多企业把目标写成”提高客户满意度”或者”产品合格率≥95%”就完了。
审核时,对每个质量目标追问:
| 审核维度 | 典型问题 |
|---|---|
| 测量方法 | 这个数据怎么采集?谁来采集?多长时间采集一次? |
| 基准值 | 95%的合格率,去年是多少?为什么定95%而不是98%? |
| 时间框架 | 这个目标什么时候达成?年底?还是持续保持? |
| 相关职能 | 每个部门的目标是否与总目标对齐?有没有矛盾? |
| 评审频率 | 这个目标多久评审一次?上次评审结论是什么? |
目标之间的一致性检查
一个经典的审核发现:生产部门的目标是”产量最大化”,质量部门的目标是”零不合格”,两个目标在实践中互相矛盾。审核员需要识别这种目标之间的结构性冲突。
实操方法:
调取各部门的 KPI 考核表,逐一比对,看是否存在方向相反或互相排斥的指标。
四、第6.3条:变更的策划——最容易忽视的条款
变更管理是审核中出问题频率很高的条款,但很多审核员自己也容易漏掉。
六类需要策划的变更
- 产品变更:设计更改、材料替换、规格调整
- 过程变更:工艺路线调整、设备更换、布局变动
- 人员变更:关键岗位换人、外包转自制
- 体系变更:标准换版、组织架构调整
- 外部变更:法规更新、客户要求变化
- 供方变更:关键供方更换、原材料产地变更
审核取证思路
正面取证:查看企业的变更管理程序,是否有明确的变更申请→评估→批准→验证→关闭流程。
侧面取证:
– 问生产经理:最近半年最大的生产变更是什么?走没走变更流程?
– 看设计变更记录(ECN/ECO),是否有风险评估和验证记录
– 查设备台账,新设备引入是否伴随过程重新确认
高风险信号:
– 有变更记录但没有风险评估
– 有设计变更但没有生产试产验证
– 有人员变动但没有能力重新确认
五、第6.4条:过程策划——从”有文件”到”有控制”
第6.4条要求组织策划并实施、测量、分析质量管理体系所需的过程。这在审核中容易被忽略,因为大家习惯去看第8章的”运行”,而忽视了第6章的”策划”。
简单的判断标准
对组织确定的每一个过程,检查以下四个维度:
| 维度 | 审核问题 |
|---|---|
| 输入和输出是否明确 | 这个过程的输入从哪来?输出给谁? |
| 是否有绩效指标 | 这个过程的好坏怎么衡量?有没有数据? |
| 是否有监控手段 | 谁在监控?频率如何?超出准则怎么办? |
| 过程之间的接口是否清晰 | 上游过程和下游过程的交接标准是什么? |
重点关注:外包过程
第6.4条与第8.4条(外部提供过程)密切相关。如果组织将某个过程外包,必须在外包前就策划好控制方式,而不是出了问题再补救。
审核提问示例:
"你们的某零部件由供应商B生产,你们怎么策划对供应商B的过程控制?"
"你们怎么知道供应商B的过程能力满足你们的要求?有没有数据支撑?"
六、整合视角:第6章与其他条款的关联
优秀的审核员不会孤立地看第6章,而是建立横向关联:
6.1 风险与机遇 ←→ 9.3 管理评审
风险评审结果应作为管理评审的输入。如果管理评审报告里完全没提到风险,说明6.1和9.3之间存在断裂。
6.2 质量目标 ←→ 9.1.3 分析与评价
目标设定后,必须有数据支撑的评价。如果目标写了一年但没有任何趋势分析,说明目标的”可测量”是空的。
6.3 变更策划 ←→ 8.5.6 变更控制
6.3是策划层面的要求,8.5.6是执行层面的要求。两者缺一不可——有策划不执行,或执行了不策划,都是问题。
6.1 风险与机遇 ←→ ISO 27001 第6章
在整合审核中,可以对比两个标准的第6章:ISO 9001侧重”影响体系绩效的风险”,ISO 27001侧重”信息安全风险”。方法相通(都是识别→评估→应对→监视),但范围不同。
七、审核员实战提醒
-
不要被厚厚的风险清单唬住。清单的厚度不等于管理的深度。重点关注最近一次更新和具体措施的执行证据。
-
用”假设性提问”测试组织真正的风险意识。很多企业的风险清单做得漂亮,但面对突发问题毫无准备。
-
变更管理是”盲区中的盲区”。审核时专门留时间追踪变更的全链条,这个条款的发现率极高。
-
质量目标要看”纵向”和”横向”。纵向看趋势(有没有在变好?),横向看一致性(部门目标是否与组织目标对齐?)。
-
过程策划不要只在办公室看文件。到现场看过程实际运行情况,对比文件描述与实际操作之间的差距。
ISO 9001 第6章的审核质量,很大程度上决定了整场审核的深度。抓不住6章,后续的运行控制(第8章)、绩效评价(第9章)和改进(第10章)都会浮于表面。掌握了第6章的审核逻辑,就掌握了审核的主动权。
作者:周知ISO,CCAA注册第三方审核员,专注 ISO 9001 / ISO 27001 / ISO 20000-1 审核实务。