风险是指不确定性的影响。

注1：影响是指偏离预期，可以是正面或负面的；

注2：不确定是一种对某个事件，甚至是局部的结果或可能性缺乏理解或知识的信息的状态；

注3：一般通过有关可能事件和后果或两者组合，来表现风险的特性；

注4：通常风险是以某个事件的后果及其发生可能性的组合来描述；

注5：风险一词有时仅在有负面结果的可能性时使用；

风险管理是指导和控制某一组织与风险相关问题的协调活动，可通过识别、分析和评定来管理风险，以确保是否采用修正风险的措施。

    引言 -- 解释基于风险思维的概念。

    第四章 -- 要求组织确定QMS过程并应对风险及机遇。

    第五章 -- 要求最高管理层： -- 提高基于风险思维的意思；-- 确定及应对影响产品/服务符合性的风险和机遇

    第六章-- 要求组织识别与QMS绩效相关的风险及机遇，并制定适宜的应对措施。

    第七章 -- 要求组织确定并提供所需的资源。

    第八章 -- 要求组织管理其运行过程。

    第九章 -- 要求组织监视、测量、分析及评价应对风险和机遇措施的效果。

    第十章 -- 要求组织纠正、预防或减少非预期结果并改进QMS ，更新风险和机遇。

    注：风险总是存在的，随时都要保持适度的关注（第七、八章）。

    对组织有影响的风险主要有以下4类：

    （1）组织风险：发生在组织实体及其活动层面；

    （2）战略风险：发生在组织的战略或业务计划制定不够周密时；

    （3）合规风险：发生不符合法律法规要求的情形时；

    （4）运营风险：分为与组织的程序和措施有关的7个分类别。

    （1）组织风险

实体层面的风险：外来因素包括技术、竞争以及法律环境；内部因素包括安保、信息系统、收发货物遗失、人员能力和责任变化等方面。

活动层面的风险：在系统中输入信息或材料时的疏漏；收发货记录遗失；安保控制松懈；缺少熟练技术人员以及员工的疏忽大意等。如果在组织的各个环节活动层面的风险不断，最后势必形成实体层面的风险。

（2）战略风险

战略风险指的是因执行一项不成功的商业计划或战略而可能发生的损失。其原因可能是由于做了糟糕的业务决策、执行决定不力、资源不足或者是因为业务环境发生了变化而未及时进行调整。

（3）合规风险

合规风险是与法律法规要求有关的风险。环境风险包括液体危险品遗撒、危险气体排放以及固态废弃物的不当处理，包括的情况还可能有以下情形：

采购部将从国内采购改为向国外供应商采购；

负责环境的关键管理人员离岗未及时替补；

引入新的物料却未编制有关的安全管控记录。

（4）运营风险

运营的风险可以具体从以下7个方面说明：

（1）管理体系风险

（2）顾客满意风险

（3）供应链风险

（4）收入确认风险对利润的影响

（5）信息安全风险

（6）物流风险

（7）自然灾害风险