01 基础设施在进行工厂、设施及设备策划时，应使用多方论证的方法，包括风险识别和风险缓解方法，来开发并改进工厂、设施和设备的计划，并定期进行风险复评，用以纳入在过程批准、控制计划维护及作业准备验证期间作出的任何更改。

　　02 监视和测量资源管理校准、验证记录时，应对偏离规范情况导致的产品预期使用风险进行评估，以避免因校准、验证偏离导致的不合格产品的使用。这就要求在校准、验证出现偏离规范时，需追溯到本次校准与上一次校准期间测量的产品范围，并评估其预期使用风险。

　　03 设计和开发输入、设计和开发输出在产品设计输入输出、制造过程设计输入输出和特殊特性识别过程中对风险识别和应对提出要求。对产品设计输入要求进行风险的评估，对组织缓解/管理风险的能力进行评估。产品设计输出的方式应包括设计风险分析（FMEA)；针对制造过程设计输入问题适当的重要性程度，和所遭遇到风险相称的程度来使用防错方法，制造过程设计输出应包括制造过程FMEA；特殊特性识别中将所有特殊特性记录进图纸、风险分析（如FMEA)、控制计划和标准作业指导书。

　　04 外部提供的过程、产品和服务的控制在供应商选择过程，对所选供应商产品符合性以及组织向其顾客不间断产品供应的风险进行评估；同时在对外部提供的过程、产品和服务进行控制时，应包括根据供应商绩效和产品、材料或服务风险评估，增加或减少控制类型和程度以及开发活动的准则和措施，以确保组织稳定地向顾客交付合格产品和服务。

　　05 生产和服务提供的控制根据FMEA和流程图，制定投产前控制计划和量产控制计划，显示设计风险分析、过程流程图和制造过程风险分析输出（FMEA)的联系；同时，当发生任何影响产品、制造过程、测量、物流、供应货源、生产量或风险分析（FMEA）的变更或以基于风险分析的设定频率，对控制计划进行评审，并在需要时更新。

　　06 标识和可追溯性对所有汽车产品的内部、顾客及法规可追溯性要求进行分析时，包括了根据风险等级或失效对员工、顾客的严重程度，基于此制定可追溯性计划并形成文件，最终形成可追溯系统、过程和方法。

　　07 更改控制任何更改的影响，包括由组织、顾客或供应商所引起的更改，都应进行评估，应对相关风险进行分析并形成文件；过程控制的临时更改中，对替代控制方法的使用进行管理应基于风险分析和严重程度，在过程中包含要在生产中实施替代控制方法之前获得的内部批准。

　　08 不符合输出的控制返工产品的控制包括利用风险分析(如FMEA)来评估返工中的风险，在产品返工前获得客户的批准；返修产品的控制包括在决定维修之前，利用风险分析(如FMEA)评估返修过程中的风险，在返修前获得客户的批准。

　　09 领导作用和承诺管理者应表现出对质量管理体系的领导和承诺，包括了促进使用过程方法和基于风险的思维；管理者应确定和应对可能影响产品和服务合格以及增强客户满意度能力的风

　　? 4.1 理解组织及其环境

　　? 范围、程度

　　? 如何收集、监视和评审

　　? 环境变化，质量管理体系如何反应

　　? 时机：1）在确定QMS范围、边界和适用性时；2）策划关键过程、通用质量特性的应用时；3）风险和机遇管理；4）产品运行过

　　程策划时；5）管理评审

　　? 4.2 理解相关方的需求和期望

　　? 对象和范围：本组织有哪些重要相关方？（注 中已经明确）

　　? 这些相关方有哪些要求：归类

　　? 不满足相关方要求的后果：风险

　　? 何时、如何监视和评审：沟通

　　? 记录要求：《相关方需求及期望确定表》

　　? 4.3确定质量管理体系的范围

　　? 边界：地理位置和区域、组织单元和职能、覆盖的产品和服务范围等

　　? 适用性：允许不适用部分要求的前提条件

　　? （确实不适用，比如说不存在相关活动或状态；）

　　? （法律法规要求；）

　　? 不影响产品和服务合格（，或满足订单要求）；

　　? 不影响增强顾客满意（，顾客和市场对此无需求和期望）——应征得顾客同意。

　　? 某些要求不适用或某些部门游离于质量管理体系之外，均有可能影响整个质量管理体系的有效性。

　　? 4.4 质量管理体系及其过程

　　? 4.4.1总要求：按本标准要求建立、实施、保持和持续改进质量管理体系

　　? 体系由过程构成，应细化到过程，按过程方法建立体系；

　　? 建立质量管理体系的一般过程（、流程、思路）

　　a-h)

　　? 建立GJB体系过程的特殊要求（i-k）

　　? 质量管理体系过程清单

　　? 4.4.2 体系文件化要求：

　　? 必要的文件；必要的记录

　　? 外来文件清单、体系文件清单、记录清单

　　三标管理体系特点：

　　三标管理体系简单地说就是基于质量管理体系（QMS）、环境管理体系（EMS）、职业健康安全管理体系（OHSAS）三个管理体系的管理原则、体系结构、总体要求一致并且相融合，因此由三个管理体系整合而成的一个管理体系。企业可根据自身的具体情况，依据3个管理体系的要求，建立适合自己的三标管理体系。但要注意的是，三标管理体系并非3个管理体系的简单叠加，而是一个有机融合体，因为三个体系各自关注的目标不同，要求控制的要素也不尽相同。

　　作为跨国企业开展国际性业务，都要遵循相关体系标准。企业遵照三标管理体系要求，采用过程方法，运用标准提供的管理思想和管理体系运行的最基本要素通过规范工作流程，对企业围绕提供合格产品、持续改进绩效等各元素进行具体地组织和协调，并通过策划、控制和改进，达到为顾客（社会）负责的目的。

　　内部控制管理体系特点：

　　企业内部控制基本规范是财政部、证监会等五部委依据国家法律法规制定的，并且属于上市企业要强制执行的规范。旨在保证企业管理合法合规、保障资产安全、实现企业财务报告及相关信息真实、完整，提高企业经营效率和效果，最终实现发展战略。

　　全面风险管理体系特点：

　　中央企业全面风险管理指引由国资委制定，是中央企业全面开展风险管理工作的指导文件，旨在通过对未来的不确定性进行识别、评估及应对，降低企业实现目标的风险，实现经营收益化。全面风险管理体系要求主要负责人要亲自抓，层层落实，确保企业持续稳定健康发展。

　　02

　　三种管理体系的共同点

　　风险管理体系与内部控制管理体系的共同点：

　　风险管理体系和内部控制管理体系从理论角度来看，两者都是为战略目标服务。从实际运作角度来看，两者在日常工作中的融合体现为，用完善的内部控制制度去控制日常工作风险事项的发生，或要求针对重大风险事项制定应对方案，来达到控制成本、实现战略目标的目的。诸多企业包括上市公司都将风险管理和内部控制进行相互融合。而健全内部控制机制是防范企业风险的重要保障，对于提升管理水平同样具有十分重要的作用。

　　三标管理体系与内部控制管理体系的共同点：

　　从实现预期目标角度来看，两者都是通过建立一套内部体系，并加以控制，通过检查并持续改进，规范企业管理，提高管理水平，从而高效地实现企业各项发展目标。

　　从理论角度和实际操作的过程来看，两者都要求建立一套管理体系，均在既有的管理模式的基础上，对既已存在的体系进行梳理、补充、修订，持续优化其规范性（标准化）、操作性及可评价性，第三方可独立根据要求进行外部评价；两者还要求有专门的归口部门采取定期及不定期的监督检查，这一行为在三标管理体系中称为内审、管理评审，在内部控制管理体系中称为内部控制自我评价；两者都要将检查结果向第三方披露，三标管理体系要将内审、管理评审的报告向外审机构进行披露，内部控制体系是否有效运行要接受会计师事务所的审计，并出具审计报告，并披露给证监会及股东。

　　三标管理体系与风险管理体系的共同点：

　　从理论层面来看，两者“风险”的定义相似。风险管理体系中对风险的定义为，风险是对预期结果不确定性的后果。是指在公司发展过程中，各种不确定性对公司实现其经营目标的影响，包括纯粹风险（只带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。

　　ISO 9001新标准用系统的方法关��风险，增加了“基于风险的思想”，即风险是“不确定性的影响”（注：影响是指偏离预期，可以是正面的或负面的）。“明确提出确定风险和机会应对措施的要求”。“基于风险的思想”和“应对风险的措施”体现了“预防措施”的概念，通过基于风险的方法，积极地寻求改进机会。

　　两种管理体系都是将风险管理嵌入管理（组织）的过程，确保实现期望的结果。通过对风险的管理得到有效管控，防止非期望结果的出现；通过执行风险管理基本流程，制定并执行的规章制度、程序和措施，确保将风险控制在与总体目标相适应并可承受的范围内，将应对风险的措施融入到管理（组织）过程中并予以实施。

　　03

　　三种管理体系融合的可行性

　　内部控制管理体系与全面风险管理体系的融合：

　　内部控制管理体系与全面风险管理体系的融合，从实际运作角度来看，目前诸多企业包括上市公司也都已经实施。其直接目的就是针对公司的业务流程，分析内控现状，找出各业务的风险点、控制点及检查点，建立相关控制制度，通过企业内部监督，对过程中发现的控制缺陷分析性质和原因，提出整改方案并进行及时整改，同时接受外部审核，最终达到确保企业运营的效率和效果、财务报告的可靠性和遵守适用的法律法规，实现对股东负责，这是对上市公司的强制性管理要求。

　　内控管理体系重在风险点的识别，特别关注决策、投资和运营中的风险控制，通过风险识别确定重点监控点，并通过流程、程序和制度加以管理和控制，达到风险控制的目的。企业管理者都意识到健全内部控制机制、是防范企业风险的重要保障。

　　内部控制管理体系与三标管理体系的融合：

　　内部控制管理体系与三标管理体系的融合，体现在工作的基本程序和方法基本相同，二者都要履行相关的程序。

　　三标管理体系相关程序包括：组织员工培训、建立适宜的规章制度、制定程序文件（含作业指导书）、过程控制（记录）、内审（持续改进召开评审会）、外审（出具审核结果）。

　　内部控制管理体系包括：制定评价工作方案、组成评价工作组、组织评价前的工作组的培训、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。

　　不难看出，两种管理体系的工作内容实质相近，只是名称略有区别。

　　内部控制管理体系与三标管理体系的融合，就覆盖范围而言，内部控制管理体系的覆盖范围略大于三标管理体系：

　　1、 在公司层级方面，三标管理体系一般只覆盖一个独立法人，限于公司本级，内部控制管理体系除公司本级外，还覆盖纳入上市范围的下属子公司或业务部门；

　　2、在人员方面，三标管理体系覆盖的是经理层至普通员工，内部控制管理体系覆盖的范围是董事会、经理层至普通员工；

　　3、在产品范围方面，由于内部控制管理体系覆盖公司本级及下属公司及业务部门，其范围是公司各项管理活动中与风险控制相关的一切业务流程的各个环节，略大于三标管理体系只覆盖公司本级的管理活动。

　　综合以上管理体系的特点进行分析，只要依据有关法律、法规、标准，结合行业和企业特点，建立并实施统筹兼顾的一整套管理体系，就可以避免“多张皮”的重复劳动。

　　三标管理体系文件中大部分可以作为内部控制管理体系文件的组成部分，建立一套同时满足三者要求的统一的管理制度，对重合的部分，应顺次依照要求较高的条款建立制度，实施管理，并同时满足相关方的要求，这部分的管理制度三方共用，对非重合的部分，应根据各自管理体系的要求单独建立控制制度并实施监督。

　　在企业的日常管理中，整合多种管理体系一体化的思路是，以企业为整体，以战略为目标，将组织中所有资源和活动按照过程方法重新整合成一体的一种管理体系模式。在为一体化管理体系建立制度或条款时，采取就高不就低的原则，表面上看过于严格，且需要投入资源较多，但是就企业发展而言，新的高标准结构适用于所有管理体系标准，当企业开始了解并体会到不同的管理体系在同一种结构下的价值时，真正的受益者是企业。