QKC20140307：黃祖猶 - 風險管理

hlperng

品質學會品質知識社群(QKC)研討會
時間：2014年3月7日(星期五) 19：00—21:00
地點：品質學會九樓教室
報告專題：風險管理
報告人：黃祖猶會友（顧問/兼任主任評審員）
主持人：林公孚會友（岳林品質大觀園 園丁）

hlperng

林公：介紹新會友
朱慧德：專案管理、軟體品質保證
知識經濟理事：app開發公司，做企業line， to b，強調安全。


風險定義：
ISO 9001:2013, 3.09: effect of uncertainty
IEC Guide 73:2009, Risk management = coordinated activities to direct and control an organization with regard to risk (1.1).  
ISO 19011:2011, 3.16, effect of uncertainty on objectives.
CNS, 不確定性對目標之效應，宜指管理系統之主題或目地的事物。

ISO 13485:2003,
ISO 16949:2009

TL 9000:2013 R5.5，軟體條文可用，ASQ 專家 (TC 176 美國代表)，用英文解釋比較正確。
ISO 31000:
ISO 9000 原來沒有提及風險，與風險分割。2015 年版共有 15 條左右，
CNS 14889，風險管理 - 詞彙
ISO 13485:2003 (CN 15013) + CNS 14989

ISO 9001 與 ISO 31000 分工合作，
醫療器材，兩個合格講師，BSI，法規的重要性，（出現兩條）
ISO 14971:2007 =? CNS 14989:2000（舊版）侵入式醫療器材，生命週期模式全程做風險管理。
ISO 14971:2007 "Medical devices - Application of risk management to medical devices"
CNS 14989:2006〈醫療器材風險管理〉(Medical devices - Application of risk management to medical devices) (idt ISO 14971:2000)  

EMI/EMC，1971，JMI，安規，醫療輻射校正，TBT，基礎數據，藥廠及醫材公司，儀器校正，確效性(validation)如何比較。如何推廣外銷到國際是必須考量，JMI對台灣安規特別嚴格，技術競爭。訂定標準，卡死對方。

ISO 13485:2003 "Medical devices - Quality management systems - Requirements for regulatory purposes
CNS 15013:2013〈用於法規目的之醫療器材品質管理系統要求〉

7.1 The organization shall establish ...
比照 TL 9000 7.1.C.1 生命週期模式 (LCM)
7.3.2 Design and development inputs
Inputs relating to product requirements shall be determined and ...
臺〇法醫研究所案例，醫療器材風險，律師收入比醫師多，法醫所畢業生出路，法務部上班或法院上班當律師。

ISO/TR 14969:2004, Medical devices - Quality management systems - Guidance on the application of ISO 13485:2003.

7.1.2 Risk management7.3.2.1 General
Health care FMEA，汽車電子供應鏈投入生醫產業

ISO 16949:2009〈品質管理系統 - ISO 9001:2008 應用於汽車生產與其相關服務零組件的組織之特定要求〉"Quality management systems - Particular requirements for the application of ISO 9001:2008 for automotive production and relevant service part organizations"
CNS 14790:2010〈品質管理系統 - CNS 12681 應用於汽車生產與其相關服務零組件的組織之特定要求〉
Risk

5.6 管理階層審查 = 7.3.4 設計審查
7.3.2 設計及開發輸入，可靠度/維護度，（RAMS = RAM + Safety)
7.3.4.1 監督
品質風險、成本、前置時間
日本談設計審查，Prototype、模具，日本商社模式，中央品管，
IEC 61160:2005 〈設計審查〉"Design review"
聲〇案例，醫療用監視器（移動式映像管），震動考量，30幾種試驗訂完規格，試驗 200 臺，20 - 40 deg C，無零件風險，100台給 Hitachi、100 台在台灣試，設計確認或查證，討論為何試驗結果有差異，Hitachi改賣美國超市停車場監視控制，零件選用出現環境問題。跌落試驗，低壓試驗，貨櫃掉落（120 cm ），- 30 or - 40 deg C drop test, 75 cm破壞。operation - 20 deg C。抄規格，並沒有完整的試驗。
5.6.2.1 審查輸入 - 補充
管理審查的輸入應包括對實際與潛在市場失效分析，及其（這些失效）對品質、安全性或環境上的影響（衝擊）。第 6.3.2 節應變計畫 （第 6 章 資源管理）
去年內〇公司火災案例，網路斷了好幾天，可看出國內對於應變計畫仍缺，國內服務與軟體未申請 TL 9000，只申請 ISO 16949，TL 9000 要求每三個月報 5 項關鍵數據，國內老闆心胸狹窄，不願曝光，因此很少申請 TL 9000 認證者。案例：手機充電器公司，異地備援如何做？日本 311 地震經驗，異地備援距離由 40 km 延伸到 100 km。
QS 9000 4.9.b.2 Acts of God 除外，
6.4.1 人員安全....
ISO 45001 = OHSAS 18001
汽車業烏龜圖與章魚圖，汽車電子供應鏈少 ESD 過程，人機料法
7.2.2.2 組織的製造可行性
TL 9000, DFX 加入，五大手冊，風險非強制性。
ESD 開單，ISO 16949 沒有規定，稽核不能稽？
6.2.2.C.4 人力資源
7.1 產品實現規劃
7.1.C.3 無ISO 31000（風管），規定 ISO 27000 族系（資安），R5.5 新增
Project Plan and Risk Management requirements of 7.3.1.C.1 and 7.3.1.C.4 （7.3.1 設計與發展規劃）驗證時：逢備考必pass，逢 should 必省略，
7.4.1.C.1 採購程序
7.5.1.HS1 緊急服務 Stakeholder, Stockholder, Shareholder，國際內稽協會稱 Shareholder，ISO 稱 Stakeholder

Q&A:
豐富經驗，
採購程序，供應商，聲寶、海爾間關係，永遠的代工廠！
數位革命沒有跟上，現在賺錢，後面風險不知、也不管，當時有錢的人（家電業）不作數位，今天的命運驗證。
風險判定，投入一定的錢以後，可以拿掉FMEA，接受風險，S ne 0，O and D 改為零，沒有風險。稽核員接受？！柿子挑軟的吃。

王先生 14000 抱怨稽核，花了那麼多錢，環檢時環保設備財運轉，台灣產業的宿命。
以前慣例，三月份下次六點開始，以前辦Pizza Party，福賓點菜借盤子（自助餐），人員統計是要件。
產品、產能（災難回復）、專利、社會責任：漂亮的案例，包裝，Action Plan，
條文，穿插，簡報資料樣板，

任會友：
軟實力，動畫、有笑點、困境找出路，知識性由個人體會，學者研究，入門內容？深思如何做？企業正派經營，失敗的企業，員工感到羞愧。
追求卓越，領導品格，專業工具。

官會友：
四月品質月刊登，卓越品質課程，五月開始，南北、北南，五月份林公與來公兩場。
上課時間週五效果不好，週三、週四時間較恰當。

hlperng

風險管理標準：

• ISO Guide 73:2009, Risk Management - Vocabulary
• ISO 12100:2010, Safety of Machinery - General Principles for Design - Risk Assessment and Risk Reduction
• ISO 14121-1:2007, Safety of Machinery - Risk Assessment - Part 1: Principles (revised by ISO 12100:2010)
• ISO 14121-2:2007, Safety of Machinery - Risk Assessment - Part 2: Practical Guidance and Examples of Methods (Technical Report)
• ISO 14971:2000, Medical Devices - Application of Risk Management to Medical Devices (ed 1.0)
• ISO 14971:2007, Medical Devices - Application of Risk Management to Medical Devices (ed 2.0)
• ISO 16085:2006, Systems and Software Engineering - Life Cycle Processes - Risk Management
• ISO 27005:2011, Information Technology - Security Techniques - Information Security Risk Management (ed 2.0)
• ISO/IEC 31000:2009, Risk Management - Principles and Guidelines
• ISO/IEC 31010:2009, Risk Management - Risk Assessment Techniques
• IEC 60300-3-9:1995, Dependability Management - Part 3: Application Guide - Section 9: Risk Analysis of Technological Systems (canceled and parially replaced by ISO 31010:2009)
• IEC 62198:2013, Managing risk in projects - Application guidelines
• IEC 80001-01:2010, Application of Risk Management for IT-Networks Incorporating Medical Devices - Part 1: Roles, Responsibilities and Activities
• BS-31100:2008, Code of Practice for Risk Management
• AS/NZS 4360:2004, Risk Management
• IEEE-STD-1540:2001, IEEE Standard for Software Life Cycle Processes - Risk Management
• JIS-Q-2001:2001, Guidelines for Development and Implementation of Risk Management System
• CSA-Q-850:1997, Risk Management Guidelines for Decision Makers
• ONR 49000, Risk Management for Organizations and Systems - Terms and Principles
• CNS 14889:2012, 風險管理 - 詞彙 （等同ISO/IEC Guide 73:2009）
• CNS 14989:2006, 醫療器材風險管理（等同ISO 14971:2000）
• CNS 15508-1:2011, 機械安全 - 風險評鑑 - 第一部：原則 (Safety of machinery - Risk assessment - Part 1: Principles)（等同ISO 14121-1:2007）
• CNS 27005:2013, 資訊技術 - 安全技術 - 資訊安全風險管理 (Information technology - Security techniques - Informatin security risk management) （等同ISO 27005:2011）
• CNS 31000:2012, 風險管理 - 原則與指導綱要 (Risk management - Principles and guidelines) （等同ISO 31000:2009）
• CNS 31010:2012, 風險管理 - 風險評鑑技術 (Risk management - Risk assessment techniques) （等同ISO 31010:2009）