ISO 9001:2015不要求进行正式的风险评估或专门的文档编制。必须保存信息,确保信息是可用的,电子、音频、视频、书面或任何其他媒体形式均可。
ISO 31000(风险管理:原则与实施指南)对于寻求更规范的企业范围的风险过程的组织来说,很有参考价值,但这并非强制性的。
影响组织的风险可能在经济绩效、声誉以及环境、安全和社会成果方面产生影响。因此,管理风险可有效地帮助组织在充满不确定性的环境中实现良好表现。ISO 31000为管理风险提供了原则、框架和过程。无论规模大小、活动或者行业如何,任何组织均可以使用。使用ISO 31000可以帮助组织提高实现目标的可能性,有效地识别机会和威胁,分配和使用风险处理的资源。
ISO 31000就如何处理风险提供了一个有用的列表:
◎决定停止或继续进行可能导致风险的活动,从而回避风险
◎接受或提高风险以寻求机会
◎消除风险源
◎改变可能性
◎改变结果
◎与另一方或多方共同承担风险(包括合同和风险融资)
◎通过知情决策保留风险