ISO9001的风险主要是针对质量的风险，在ISO9001：2015标准中有很多基于风险思考的内容， 风险管理 在ISO9001标准中占据很大一部分，接下来我们讲述一下风险的定义及相关条款。
 
一、应对风险和机遇的措施的策划
① 确保质量管理体系能够实现其预期结果
② 增强有利影响
③ 避免或减少不利影响
④ 实现改进
       风险管理是用来识别、评估和控制风险的一个系统程序。它可以被前瞻性以及回顾性地应用。风险管理系统应当保证：应根据知识和工艺的经验对风险进行识别、评估和控制，控制应与蕞终保证风险在可接受范围内的目标相关联；风险管理过程的投入水准、形式和文件应当与风险的等级相当。
 
二、风险的定义
       风险是指不确定性的影响。
注1：影响是指偏离预期，可以是正面或负面的；
注2：不确定是一种对某个事件，甚至是局部的结果或可能性缺乏理解或知识的信息的状态；
注3：一般通过有关可能事件和后果或两者组合，来表现风险的特性；
注4：通常风险是以某个事件的后果及其发生可能性的组合来描述；
注5：风险一词有时仅在有负面结果的可能性时使用；
       风险管理是指导和控制某一组织与风险相关问题的协调活动，可通过识别、分析和评定来管理风险，以确保是否采用修正风险的措施。
 
三、ISO9001:2015哪些条款涉及到风险?
引言 -- 解释基于风险思维的概念。
第四章 -- 要求组织确定QMS过程并应对风险及机遇。
第五章 -- 要求蕞高管理层：
-- 提高基于风险思维的意思；
-- 确定及应对影响产品/服务符合性的风险和机遇
第六章-- 要求组织识别与QMS绩效相关的风险及机遇，并制定适宜的应对措施。
第七章 -- 要求组织确定并提供所需的资源。
第八章 -- 要求组织管理其运行过程。
第九章 -- 要求组织监视、测量、分析及评价应对风险和机遇措施的效果。
第十章-- 要求组织纠正、预防或减少非预期结果并改进QMS ，更新风险和机遇。
注：风险总是存在的，随时都要保持适度的关注（第七、八章）。

四、哪些风险会对企业产生影响？
○ 组织风险：发生在组织实体及其活动层面；
○ 战略风险：发生在组织的战略或业务计划制定不够周密时；
○ 合规风险：发生不符合法律法规要求的情形时；
○ 运营风险：分为与组织的程序和措施有关的7个分类别。
 
1.组织风险
       实体层面的风险可以是外来的也可以是内部存在的。外来因素包括技术、竞争以及法律环境；内部因素包括安保、信息系统、收发货物遗失、人员能力和责任变化等方面。
       活动层面的风险对个人和部门发生影响，包括在系统中输入信息或材料时的疏漏；收发货记录遗失；安保控制松懈；缺少熟练技术人员以及员工的疏忽大意等。如果在组织的各个环节活动层面的风险不断，蕞后势必形成实体层面的风险。
2.战略风险
       战略风险指的是因执行一项不成功的商业计划或战略而可能发生的损失。其原因可能是由于做了糟糕的业务决策、执行决定不力、资源不足或者是因为业务环境发生了变化而未及时进行调整。
3.合规风险
       合规风险是与法律法规要求有关的风险。环境、健康和安全要求一直是人们关注的问题，因为一旦这些方面出现问题，轻则罚款，重则停业甚至追究刑事责任都是可能出现的后果。遵守质量和环境方面的标准和规范也在这个范畴之内。
       环境风险包括液体危险品遗撒、危险气体排放以及固态废弃物的不当处理，包括的情况还可能有以下情形：采购部将从国内采购改为向国外供应商采购；负责环境的关键管理人员离岗未及时替补；引入新的物料却未编制有关的安全管控记录。
4.运营风险
运营的风险可以具体从以下7个方面说明：
（1）管理体系风险
（2）顾客满意风险
（3）供应链风险
（4）收入确认风险对利润的影响
（5）信息安全风险
（6）物流风险
（7）自然灾害风险