ISO 9001:2026新版:风险与机遇拆成两件事了——你的体系扛得住断供吗(条款6 策划)
ISO 9001:2026新版:风险与机遇拆成两件事了——你的体系扛得住断供吗(条款6 策划)
最近6月15日,ISO 9000:2026术语标准刚发布。
群里立刻炸了——有顾问同行甩了张图:「ISO 9001:2026 FDIS投票已经通过,9月就要正式发,3年过渡期到2029年9月。条款6的策划章节改得最狠,风险和机遇要拆成两件事了。」
底下有人接了一句:
"我们公司去年那次供应链断货,全公司停工5天,赔了200多万。老板问我ISO体系怎么没提前预警?我当时填风险表的时候,写的是'供应链有风险'四个字。"
四个字。
这就是2015版"风险与机会"在90%企业里的真实样子——表格有,文字有,每年评审还签字了。但真出事的时候,毛用没有。
今天聊条款6「策划」。重点说2026版最核心的变化:风险与机遇正式拆开,韧性规划纳入要求。
先看对比:2015版 vs 2026版
ISO 9001:2015(旧版)
• 风险和机会放在一张表里,"风险与机遇应对措施"一栏混着写
• 大部分企业只填"加强培训""完善制度"这种正确的废话
• 气候变化是"考虑因素",不是强制要求
• 策划主要服务认证,不管真不管用
ISO 9001:2026(新版 — 2026年9月发布)
• 风险与机遇明确拆分为两个独立条款(6.1.1风险 / 6.1.2机遇)
• 要求对每项风险和机遇做"风险等级评估+应对计划+责任人+时间表"
• 韧性规划成为强制要求——必须评估供应链、人员、信息系统的中断承受能力
• 气候变化作为风险源正式纳入(与条款4.1组织环境分析联动)
• 质量目标必须可测量、按时段分解、必须关联到具体风险和机遇
一句话总结:2015版风险是"填表了事",2026版风险是"真要管事"。
一个案例讲清楚:什么叫"风险策划流于形式"
去年给一家做精密机械零部件的企业做体系诊断。
老板拿出他们的"风险与机遇应对表"给我看。表格很漂亮,13项风险,12项机遇,每一项都有应对措施。
我挑了一项问他:"R03 关键供应商断供——你们的应对措施是'建立备选供应商',具体怎么建的?"
老板:"我们在A4纸上列了三家备选。"
"那这三家你们实地审核过吗?"
"没有。"
"他们的产能你们考察过吗?"
"没有。去年我们出过一次断供,临时找的两家都不靠谱。"
"那次赔了多少?"
"120万。"
"那这件事在风险表上怎么体现的?"
"……我们没更新。"
我当场把这一栏改成了一张红牌:风险识别有,但应对措施不可执行,事后未复盘。
条款6.1.1 — 风险:2026版让你必须回答5个问题
新版标准对风险的识别和应对,核心就5个问题——
| 序号 | 必答问题 | 90%企业的现状 |
|------|---------|--------------|
| 1 | 风险来源是什么?条款编号对应到哪? | 笼统的"市场风险" |
| 2 | 风险等级是多少(可能性×影响度)? | 没有量化,全是主观判断 |
| 3 | 谁负责应对? | 笼统的"质量部" |
| 4 | 应对措施是什么?截止时间? | "加强培训""完善制度" |
| 5 | 措施执行了没有?效果如何? | 没跟踪、没复盘 |
对应到标准条款,2026版风险识别必须覆盖这些维度:
• 4.1 组织环境(含气候变化)带来的风险
• 4.2 相关方需求变化带来的风险
• 7.x 支持过程(人员、设备、文件、知识)的风险
• 8.4 供应链风险(2026版重点强化)
• 9.1 绩效评价不达预期的风险
• 法律法规变更风险(6.1.3合规义务)
条款6.1.2 — 机遇:别再把机遇当风险的反义词
很多企业写机遇时,写的是"风险应对好了就是机遇"——这是错的。
2026版要求机遇单独识别,重点关注3类:
1. 技术机遇:AI/数字化质量工具(SPC、视觉检测、数字孪生)的应用
2. 市场机遇:ESG/碳足迹认证带来的客户拓展、出口机会
3. 管理机遇:质量文化驱动效率提升、可持续供应链建设
举个真实的——
某电子企业前年没意识到ESG披露强制要求。等到下游大客户要"供应商ESG报告"时,被临时拖了三周。后来他们赶紧做ISO 14064+碳足迹标识,才挽回订单。
>
这就是典型的"机遇识别滞后"。如果早一年布局,证书+报告一起出,反而能成为加分项。
机遇和风险是两个独立维度,不是"一面是正一面是负"。
条款6.2 — 质量目标:必须能测量、必须能分解
2026版对质量目标的要求更加严格——
| 检查项 | 2015版常见问题 | 2026版要求 |
|--------|--------------|-----------|
| 目标是否具体 | "提升质量" | "一次合格率≥99%" |
| 是否可测量 | 模糊表述 | 明确数值+测量方法+数据来源 |
| 是否分解到部门 | 只有公司级 | 公司级→部门级→个人级 |
| 是否按时段 | 全年笼统 | 月度/季度/年度分阶段 |
| 是否关联风险机遇 | 独立存在 | 目标本身要服务于风险应对或机遇把握 |
反例(90%企业的写法):
"2026年质量目标:提升客户满意度,加强质量管理,持续改进。"
正例(2026版能过审的写法):
"2026年客户满意度目标:≥95分(季度测评,全年平均值),分解到客服部(投诉响应≤4小时)、售后部(关闭率≥98%)、技术部(问题解决率≥95%)。责任人:客服部经理、数据来源:CRM系统。"
条款6.3 — 变更策划:2026版让你必须做"风险评估"
2026版新增一个关键要求:所有变更都必须做"变更风险评估",不只是审批流程。
变更策划必须回答的问题:
1. 变更的目的是什么?
2. 变更可能带来的风险是什么?(质量风险、合规风险、人员风险)
3. 变更的应对措施是什么?
4. 变更的效果如何验证?
5. 变更失败如何回退?
典型场景:
• 换关键供应商 → 评估新供应商能力、过渡期质量风险
• 上新产线 → 评估人员能力、产能爬坡期质量风险
• 升级MES系统 → 评估数据迁移风险、停产风险
• ISO 9001:2015→2026转版 → 评估差距、补改进度、新版审核风险
你现在就能做的3个动作
1. 翻出你的《风险与机遇应对表》——看10项风险中,有几项有"具体应对措施+责任人+时间表"?少于8项的,你的表是废纸。
2. 做一次"韧性体检"——问自己3个问题:①关键供应商A断了,48小时内能切换吗?②核心岗位张三离职,接手人能在1周内顶上吗?③核心MES系统宕机,纸质应急流程能在4小时内恢复生产吗?三个都答不上来的,你的体系"风险策划"不及格。
3. 把你的质量目标改写一遍——用"数值+测量方法+数据来源+责任人+时间表"五要素重写。写不出来的,说明你的目标就是口号。
踩坑预警 🔴
审核员条款6最爱问的4个问题:
>
1. "你识别了哪些供应链风险?具体应对措施是什么?执行了吗?"(6.1.1 + 8.4联动)
2. "气候变化你们怎么纳入风险分析的?2026版强制项"(6.1.1 + 4.1联动)
3. "质量目标怎么分解到部门的?怎么测量的?"(6.2)
4. "去年做过哪些变更?变更前做了风险评估吗?"(6.3 — 2026版新重点)
2026-06-24
ꁖ0
