ISO 9001:2015版质量管理体系要求中明确提出了基于风险的思维，要求组织在理解组织环境和相关方需求和期望的基础上，将基于风险的思维应用到体系过程的策划和实施中、用于确定文件信息化的程度，用于识别风险进而确定应对风险的措施，最后要评价措施的效果。
风险意识和风险思维对有害物质管理体系而言，不能算是新概念。QC 080000制订的初衷和基本目标就是要控制产品中含有有害物质超标的风险。2012版在设计开发和供应商管理条款，已经明确提出要识别物料风险和供方风险并进行分级管理。要管控好产品有害物质，风险思维是基本理念。QC 080000:2017只是将基于风险的思维要求进一步具体化，按照ISO 9001:2015架构列出专门条款提出风险识别和控制要求：
l 识别风险和机会时，从生命周期视角考虑内外部过程、产品、服务、材料；
l 组织应保持和保留识别结果的文件化信息（明确要求保留风险识别结果的信息，这点是ISO 9001没有的要求），包括可能直接或间接引入产品的有害物质或潜在有害物质；
l 组织应策划应对风险和机会的措施，将其融入HSPM体系，评价措施的后果，包括如何预防或降低HS风险。
那么，
l 对产品有害物质控制而言，可能存在哪些风险？
l 如何进行风险分析？
l 风险识别需要建立和保持哪些文件化信息？
这些是本文及后面系列文章的主要内容。
一、对于有害物质控制而言，可能存在哪些风险？
对于产品有害物质控制而言，存在的风险要从法规和客户的要求倒推才更清晰。只有可能出现被监管部门或客户查获违反相关要求并实施处罚的情形，才能算是风险，其他的都是浮云。哪怕实际违反了但是查不出来都可以不算是风险。法规和客户的要求，组织可能违反的就是风险。
具体而言，组织在有害物质控制方面可能存在的风险包括：
l 交付给客户或投放到市场的产品中有害物质超标（所有产品有害物质控制相关法规）；
l 适用时，产品该加贴的标识标签缺失（e.g., EU RoHS, CN RoHS, 日本RoHS, 欧盟电池指令、玩具指令、WEEE指令）；
l 产品无法追溯（e.g., EU RoHS）；
l 适用时，无法及时提供产品有害物质相关文件、合格声明（e.g., EU RoHS, EU REACH）；
l 适用时，相关文件保存期不足（e.g., EU RoHS）；
l 适用时，未在供应链内沟通有害物质相关信息（e.g., EU REACH）；
l 适用时，未向监管机构通标相关信息（e.g., EU REACH）；
l 适用时，未披露产品有害物质相关信息（e.g., CN RoHS）；
l 适用时，未考虑相关变更控制（e.g., EU RoHS）；
l 适用时，产品未做适当的警告（e.g., 美国加州65）；
l 适用时，不能配合按照监管机构采取整改措施（e.g., EU RoHS）；
l 适用时，未能有效撤回或召回产品（e.g., EU RoHS）；
l 适用时，指定授权代表/唯一代表后，未能给他们充分授权，或者未能提供充分资源（e.g., EU RoHS, EU REACH）；
l 不能满足客户的新物料确认、提交检测报告、提供产品化学组成信息、提交承诺书/签署协议、建立管理体系、接受相关审核、变更通报等要求（客户要求）；
l ……
二、如何进行风险分析？
风险分析包括考虑风险的原因和来源，风险后果及其出现的可能性。现在的控制措施及其后果和效率也应该考虑在内。
对于上述风险，具体可进行如下分析：
1. 产品有害物质超标
这是产品有害物质管理最大最基本的风险。
产品有害物质超标的直接原因肯定是产品中含有了有害物质，而且是过量的有害物质。
产品中有害物质超标，最大的可能性就是用于制造产品的原料中有害物质超标，但是也不排除产品制造工艺引入或生成了有害物质，甚至也不排除过程运行环境导致有害物质的生成。
分析这个风险，是一个非常专业且繁重的工作，不仅需要有材料学知识，而且要专门做材料有害物质调查和研究，另外还需要对产品制造的工艺风险和环境风险做具体分析。
对某个具体的组织，需要先清楚什么是有害物质？这个问题并不简单。对不同组织而言，需要管控的有害物质并不都是一样的，所以必须先识别出组织需要管控的有害物质。只有识别出组织适用的有害物质，才清楚管控对象。例如，欧盟REACH法规的附件XVII列出了大量的危险物质，目前接近70类了。但是，并不是所有的产品都需要满足这70类物质的管控要求，组织需要仔细分析这些管控要求，看看自己生产的产品是否在管控范围。不在范围内，对组织而言，这种物质就不算是有害物质，无需考虑。例如对电子产品而言，REACH附件XVII中大概只有10来种物质需要管控。组织应该明确列出需要管控的《有害物质清单》及法规对这种有害物质的具体管控要求（注意：这个需要管控制的有害物质清单与组织存在的有害物质形成的清单是两码事，后者是真正存在于组织物料中的有害物质的清单）。
识别出需要管控的有害物质后，就要对公司的产品进行有害物质风险识别。不是每种材料中都可能含有每种有害物质，也不是每种有害物质都可能存在于每种材料中，这是基本概念。公司产品中某种有害物质可能超标，意味着产品中含有某种风险材料，这个风险材料可能含有的某种（些）有害物质超标了。那如何识别这些风险材料呢？要做好这个分析，需要组织拥有比较专业的人员，对不同材料分别进行不同有害物质存在的可能性分析。由于现在受控的物质很多，构成产品的材料种类也非常多，且组织还不一定知道材料的材质是什么，需要供应链支持。所以，这个工作确实是非常繁重的，但又是十分必要且有益的。只有认真地做好了这个工作，才能将后面有害物质控制工作量减到最少，有的放矢，极大地提高管控效率，降低管控成本。例如：同样是塑料，PVC是非常可能含有很多有害物质的材料，而相对而言PE含各种有害物质的可能性小得多。总体而言，有机材料的风险比无机材料高得多；金属材料除了表面处理的风险较高，其本体的风险并不高。
经过这样识别，排除不大可能含有害物质从而不需要管控的物料，得到的结果是一个可能含有某种或某几种有害物质的《风险物料清单》。这种分析，最好能做到均质材料层级。
有的公司进一步将物料存在某种有害物质的风险划分为高中低三个不同等级，这个就更加需要专业背景知识和数据支撑了，一般的企业能够识别到有无风险就不错了，很难识别出一个中风险的情况，一般就是有无风险两个等级。
但是，分析到这一步还不是最终结果，还需要进一步做物料来源分析，即识别出物料的风险供应商甚至整个上游供应链风险所在。要将向公司供应风险物料的供应商全部识别出来，然后进一步识别供应商的有害物质管控能力（即供应商的可靠性），这个能力则可以划分高中低等级。
结合材料风险和供应商风险等级，最终风险分析的结果是确定了风险等级的物料，可分为高中低三个级别，且每个物料的供应商都是对应一一列明的，都列明在《风险物料清单》中。
除了物料本身带来的风险，有些工艺也是有风险的。风险工艺的识别需要更多的化学知识，有时也需要一般的物理学知识，有些则通过简单观察就可以发现。要特别关注发生化学反应的工艺（如铬电镀或其他表面处理工艺、喷涂工艺、胶粘工艺等），发生物理性污染的工艺（如焊锡膏搅拌棒混用），发生浓缩效应（如焊锡膏回流和油漆干燥等）、偏析现象（如波峰焊）的工艺。有些过程设备本身或其运行可能导致风险（如焊接工具、注塑设备清洗），有些过程运行环境可能导致风险（如产品储存条件），都可以认为是工艺风险。识别完后，建立《风险工艺》清单。
直接导致产品有害物质超标可能还有另外一个原因，即风险过程的人为失误。这里说的风险过程，并不是指前面说的风险工艺，而是涉及人员失误导致过程输出出现风险的过程。这样的过程有一类直接涉及对物料的处理，如物料和产品储存、发料、领料、上料、制造、标识、包装、出货、不合格品处理、维修、维护等；另一类则不直接涉及物料，但其过程运行结果却与产品符合性密切相关，如法规和客户要求识别与评审、内部信息传递、产品设计开发、采购、供应链管理、客户沟通、人力资源保障、物料和产品检验等。对这些存在风险的过程，都应该分析其产生的根源，识别其后果及发生的可能性，综合考虑采取措施的必要性，建立《风险过程清单》。
识别这些风险，几乎涉及所有部门。进一步要控制这样的风险，当然也需要相关部门先依据风险来源制订出应对措施。
2. 产品该加贴的标识标签缺失
EU RoHS, CN RoHS, 日本RoHS, 欧盟电池指令、玩具指令、WEEE指令等法规都有标识加贴要求，有的还需要加贴品名、规格、序列号等有助于追踪的信息，当然都是针对最终成品的要求。有很多客户会要求加贴公司专有标识。这些没做到，就都是风险了。
没做到的后果可能就是直接被执法机构查处，或者被客户退货甚至罚款。
这种风险发生的根源在于组织不了解这些要求，或是在产品制造包装环节忽视了这些要求。这可能涉及设计开发部门、生产部门和品质部门。必须对产品做何标识在文件中有明确规定，且传达到相关岗位。
3. 产品无法追溯（e.g., EU RoHS）
在实施产品有害物质管理时，产品必须要做到可追溯，否则就无法满足法规的要求。例如，欧盟的市场监管部门在发现产品有害物质超标后，最常见的处罚就是要求召回产品。如果产品无法追溯，那么就不可能实现相关产品的召回了。要确保产品全部召回，必须做到产品可追溯，而且最好是做到上下游都可追溯。向下可追溯确保产品撤回或召回，是为了满足执法的要求；向上可追溯，是为了查找到导致有害物质超标的物料供应商，获得经济补偿，并要求供应商采取纠正措施，防止再出问题。
无法追溯一般是产品追溯信息不充分造成的，可能与产品编码设计或是包装环节的加贴有关。对产品的标识信息必须有明确的文件规定，且传达到相关岗位。
4. 无法及时提供产品有害物质相关文件（e.g., EU RoHS, EU REACH）
不能提供法规规定的相关文件，也属于违反法规要求的，当然这个要求一般只与成品制造企业相关。而客户要求提交的一些证明文件，如承诺书/协议、产品化学物质组成信息、检测报告等，则可能与供应链内所有层次的企业有关。
这样的文件有些是在产品设计开发阶段完成（如技术文档、承诺书、产品化学组成信息），有些是业务部门提供，有些由质量/检测部门提供。组织应该规定需要建立什么文件。
5. 相关文件保存期不足（e.g., EU RoHS）
制订的文件，有些并不是需要跟随产品的，法规可能会规定一个保存期，如RoHS指令的技术文档和合格声明要求保存10年，都是预备将来被市场监管部门要求提供时准备的。
这样的文档的保存可能是产品开发部门、产品认证部门、质量部门等的责任。保存期不够也是风险。必须明确规定文件的保存期。
6. 未在供应链内沟通有害物质相关信息（e.g., EU REACH）
这是REACH法规的一个要求，当产品中SVHC含量超过0.1%时，需向物品的接收者传递物品的安全使用信息。信息来源于哪？一般而言是产品设计开发部门，产品设计开发完成了，就明确了产品中是否含有SVHC，其含量是否超过0.1%。不明确就是风险。
7. 未向监管机构通标相关信息（e.g., EU REACH）
向欧盟出口产品的企业，如果自己就是制造商，在满足一定的条件下（与SVHC相关的4个条件）需要向欧洲化学品管理局通报规定的信息。如何判断4个条件是否达到，达到时通报什么信息，信息从何而来，都是组织要考虑的。这个不仅与产品设计开发部门有关，也与销售部门关系密切，可能还需要品质/检测部门配合。需要通报时，通报所需的信息一般来自设计开发的输出。组织要分析自己是否需要满足此要求，适用时，未能做到也是风险。
8. 未披露产品有害物质相关信息（e.g., CN RoHS）
中国RoHS要求在成品的说明书中披露产品中含有有害物质的信息，还要通过产品标识披露产品的环保使用年限信息。这个做不到也是风险。这些信息应该在产品设计开发定型后就是明确的。
9. 未考虑相关变更（e.g., EU RoHS）
欧盟RoHS指令规定，产品设计或特性发生变化，或当引用的符合性标准发生变更后，因应这种变更，要考虑持续符合性。不跟踪相关变化，或者知道变化了不做相关调整，都存在一定风险。这个主要和设计开发部门、采购部门、生产部门和品质部门相关。应该有相关变更的记录。
10. 产品未做适当的警告（e.g., 美国加州65）
有的法规要求在产品上做出警告，有害物质方面典型的是美国加州65。加州65是比较难跟踪的法规，虽然法规本身没有给出产品有害物质限值，但加州独特的司法诉讼制度导致大家都很紧张。无论如何，你的产品超过法院判决的有害物质浓度时，别忘了加贴规定的警示，适用时在规定网站披露具体信息，否则存在风险。这个风险主要由法规跟踪部门、产品认证、生产部门配合应对。
11. 不能配合按照监管机构采取整改措施（e.g., EU RoHS）
这里虽举欧盟RoHS指令为例，但其他法规的实施应该都是类似的。欧盟执法机构可能会要求提交证据文件，或者其他的要求，制造商要密切配合。一般会涉及销售部门和品质部门。
12. 未能有效撤回或召回产品（e.g., EU RoHS）
违反了法规，执法机构给出的最常见的出发是撤回或召回产品，必须保证全面彻底的做到，否则还有风险。这个主要和销售和品质部门相关。
13. 指定授权代表/唯一代表后，未能给他们充分授权，或者未能提供充分资源（e.g., EU RoHS, EU REACH）
授权代表/唯一代表根据法规规定，都是要承担一定的义务的，这些义务的履行，往往需要制造商给他们提供相应的资源（如提供技术文档和合格声明），未能提供就存在风险。这些工作，一般和组织的销售部门相关，但所提供的资源可能与产品设计开发部门相关（如技术文档和合格声明），也可能有品质部门负责。
14. 客户的有害物质管理性要求
不能满足客户的新物料确认（销售、设计开发、品质部门）、提交检测报告（销售、品质/检测部门）、提供产品化学组成信息（销售、设计开发、品质/检测部门）、提交承诺书/签署协议（销售部门）、建立管理体系（品质部门）、接受相关审核（品质部门）、管控供应链（采购、品质部门）、变更通报（品质、销售部门）等要求，会带来客户处罚的风险。这个明显会涉及多个部门。
完成风险分析后，根据标准的要求应该采取针对性措施，确保措施应该与体系运行过程相结合。
笔者将再撰写系列文章介绍组织各运行过程如何运行才能控制潜在的风险。先将与产品有害物质控制相关的主要过程罗列于下，后面的内容将逐一介绍这些过程存在的风险。
l 要求识别及内控标准建立与实施过程
l 合同评审过程
l HSF产品开发过程
l 相关文件制定、保留和提供过程
l 采购和外部供方管理过程
l 物料管理过程
l 生产过程
l 产品标识和追溯过程
l 产品HS检验过程
l 信息沟通过程
l 知识管理过程
l 能力保障过程
l 基础设施控制过程
l 环境控制过程

[img=,219,219]file:///C:\Users\chen\AppData\Local\Temp\ksohtml\wps3543.tmp.jpg[/img]

该帖子作者被版主 chengxiaojun加 5积分， 2经验，加分理由：原创