首先，呈上標準征求意見稿原文：

0.3.3 基于風險的思維

     基于風險的思維（見附錄 A.4）是實現質量管理體系有效性的前提。本標準以前的版本已經隱含基于風險思維的概念，例如：采取預防措施消除潛在不合格，對發(fā)生的不合格進行分析，并采取與不合格的影響相適應的措施，防止其再發(fā)生。
     為了滿足本標準的要求，組織策劃和事實應對風險和利用機遇的措施。應對風險和利用基于可謂提高質量管理體系有效性、實現改進結果以及防止不利影響奠定基礎。
     機遇的出現可能意味著某種有利于實現預期結果的局面，例如：有利于組織吸引顧客、開發(fā)新產品和服務、減少浪費或提高生產率的一系列情形。利用機遇所采取的措施也可能包括考慮相關風險。風險是不確定性的影響，不確定性可能有正面或負面的影響。風險的正面影響可能提供機遇，但并非所有的正面影響均可提供機遇。

6.1 應對風險和機遇的措施
6.1.1 在策劃質量管理體系時，組織應考慮到4.1所描述的因素和4.2所提及的要求，并確定需要應對的風險和機遇，以：

A）    確保質量管理體系能夠實現其預期結果；
B）    增強有利影響；
C）    避免或減少不利影響；
D）    實現改進；

6.1.2 組織應策劃：

A）    應對這些風險和機遇的措施；
B）    如何：
1）    在質量管理體系過程中整合并實施這些措施（見4.4）；
2）    評價這些措施的有效性。

    應對風險和機遇的措施應與其對于產品和服務符合性的潛在影響相適應。

這新標準的條款寫得滑不留手，首先在開始如同新嫁娘一樣扭捏委婉地解釋了一下哥之前不是沒有風險概念，只不過沒有明確說。然后就開始說具體的內容，我們不妨細細一讀。

這里先說說關于潛在不合格的定義。在我另一篇關于不合格、不合格品的基礎定義的文章中，我們探討過。ISO 9000 一族標準在不合格這個定義上的使用是不太嚴謹的。不合格的定義是未滿足規(guī)范的要求，（GB/T 2828.1-2012）或未滿足要求。（GB/T 19000-2008）而規(guī)范的定義是闡明要求的文件。（GB/T3358.2-2009）而關于要求的定義，GB/T 19000-2008是這樣說的：明示的、通常隱含的或必須履行的需求或期望。對于規(guī)范的定義是：闡明要求的文件。（GB/T3358.2-2009）

那么，如果把不合格的概念限定在標準GB/T 19000-2008 之內，那么是可以推論到，不合格的概念甚至可以覆蓋到標準或規(guī)范沒有覆蓋到的缺陷或缺點。但若按照GB/T 2828.1-2012 的說法，不合格應該是明示的——因為規(guī)范是闡明的要求。所以你看，國家標準化管理委員會自己就在玩左右互搏，同樣的一個不合格的定義范圍貌似可以說大就大，說小就小。讓我等質量人好生為難。

如果從廣義的不合格去理解，那么2015版的潛在不合格就可以隨意鬼扯——規(guī)范沒有明確，我怎么知道哪些是潛在不合格呢？明天太陽系爆炸導致產品失效算不算潛在不合格？要做預防措施嗎？（問題一）

但如果從狹義的不合格去理解，那么所謂的潛在不合格要么就無法自圓其說。要么就只能這么硬掰：所謂的潛在的不合格呢，就是現在規(guī)范里還沒有明確定義，但是萬一爆發(fā)了問題，又一定會達不到客戶要求，滿足不了客戶的期望，所以爭論之后必定會變成新的規(guī)范和標準的潛在問題點。但如果這樣硬掰的話，貌似也是可以扯到沒邊的。也就是說，顧客將來提出的所有問題點你都需要接受。（不是處理，而是無條件接受，我覺得這點區(qū)別很大。）

預防措施這個風靡一時高大上的術語在一開始就存在一個邏輯困局——即，按照字面的理解，預防措施所針對的問題點一定是有預期的。換言之，前期在FEMA的時候有預料到。那么設計時就沒有考慮到的欠缺點呢？ 能預防嗎？都沒有考慮過的事情如何預防？只能做糾正或補救吧？亡羊補牢和料敵機先從邏輯上從來就不是一個故事。

再舉例，現實我們有多少前期開發(fā)和后期制造之間矛盾重重的事例？無非就是后期說前期開發(fā)考慮不周全，是設計問題或缺陷；而前期一般都會去噴后期不作為，等靠要。大家想想，是否嚴謹地做完FMEA就能保證一定考慮完該產品的所有失效模式嗎？有誰能保證自己開發(fā)的產品一定就是完美無缺的嗎？完美的產品會不會隨著消費者意識的提高、興趣的轉移產生新的問題點？這些沒有考慮到的欠缺點和新出現的問題點就不要預防和應對了嗎？（問題二）

所以2015版標準非常聰明地正式明確了基于風險的思維的概念，取消了預防措施的條款。而且，在基于風險的思維的概念條款中極其高明地掛靠了4.1和4.2的條款，即理解組織及其環(huán)境，以及理解相關方的需求和期望。

標準條款這樣寫之后，供方可以操作的空間就相當大了?，F在我們依照這個原則回復問題一，就可以這樣說：

“對不起騷年，我看貴司相貌清奇，將來必是二百五強之材，維護人類福祉以及太陽系和平這種艱巨的任務就交給貴公司了，像我等只是做一個XXX產品的小公司，經過識別之后覺得這個事情的風險是很小的，我們可以保留風險并維持……（注1）”

客戶如果還是要挑戰(zhàn)你，提供邏輯嚴密的會議記錄就可以了。注意，這里很多人有一個誤區(qū)，就是如果作風險評估的話，認為需要把所有的風險都考慮到。事實上這個角度是公司老板所希望的；對審核及管理人員來說，事實上考慮的是PDCA的執(zhí)行完整性。

這種做法，日本叫做“三現”；在本朝太祖那里叫做從群眾中來，到群眾中去，用理論指導實踐，反對本本主義和教條主義；在成祖那里叫做實事求是；在朱熹那里叫做格物致知；在王陽明那里叫做知行合一。雖然各家的闡述的角度不同，但原理是共同的，即——有沒有照自己之前想好的計劃在做，哪怕這個計劃是有所欠缺的也先以實際驗證了再說。說到這里，我突然又覺得所謂的西方先進管理理念在兜兜轉轉一大圈之后，在東方文化中都可以找到完美解釋和歸宿。所謂的三權分立在這個邏輯里只是處在從屬地位，為PDCA提供可識別的組織實施辦法。從這個角度來說，我認為東方文化的政治智慧是遠遠高于西方的。（我絕非五毛，但卻在對于質量管理理論不斷深入的探索和實踐中越來越多的變成了自干五。）

因為人的欲望和探索是無止盡的，所以任何事情從客戶的角度看來，都是可以無限深挖的。事實上，沒有任何一個公司可以經受起客戶無止盡的挑剔和指責。除非資源允許，不然任何一個公司都無法長期在負債的狀況下處理所有的顧客之聲，即時它很致命。

即便是在企業(yè)危機四伏，被客戶不滿意的汪洋大海淹沒時，企業(yè)所能做的，也無非是將所有的客戶聲音匯總，使用帕雷圖或者SWOT分析之類的工具厘清重點和順位，有針對性按照計劃時間節(jié)點應對。

所以在這里，基于風險的思維條款又為這種已經在實際情況下操作了很久的做法提供了ISO 9000 一族標準框架內的理論基礎。這正是實事求是這一原則在ISO9000一族標準自我完善過程中的體現。要不要考慮產品在設計開發(fā)時未考慮到的點，請運用預防風險的思維。（解答疑問二）

反觀之，我們之前的太多質量人，沉迷于各類質量工具的運用，而忽視質量管理原理的探究。在實際工作中，他們甚至對質量管理工具的數據輸入來源的正確性和可靠性都毫不關心，直接對著華麗的圖表夸夸其談；他們自以為看了幾本所謂的舶來品的質量管理方法便自以為學到了真諦，在工作中以玩弄別人聽不懂的高大上術語為樂，無視溝通的基本原則，以忽悠和裝B為準繩。就好比一個沉迷于成人玩具的變態(tài)，忽視了床上運動的實質意義和價值所在，以追求意淫為最終導向。對于這類質量人，我是深深警惕著的，而且在實際工作中，我是不支持其擔任主管或經理以上職位的——如果基礎的思想根子就有問題，這對團隊所造成傷害的風險是非常大的。

或許，這是論預防風險的思維在質量人自身團隊建設中的實際運用？