所有的管理都是在管理风险，所有的管理都是在消除或减少不确定性。

基于风险的思维（见A.4）是实现质量管理体系有效性的基础。本标准以前的版本已经隐含基于风险思维的概念，例如：采取预防措施消除潜在的不合格，对发生的不合格进行分析，并采取与不合格的影响相适应的措施，防止其再发生。—为满足本标准的要求，组织需策划和实施应对风险和机遇的措施。应对风险和机遇，为提高质量管理体系有效性，获得改进结果以及防止不利影响奠定基础。—某些有利于实现预期结果的情况可能导致机遇的出现，例如：有利于组织吸引顾客、开发新产品和服务、减少浪费或提高生产率的一系列情形。利用机遇所采取措施也可能包括考虑相关风险。风险是不确定性的影响，不确定性可能有正面的影响，也可能有负面的影响。风险的正面影响可能提供机遇，但并非所有的正面影响均可提供机遇。

A.4基于风险的思维

本标准以前的版本中已经隐含基于风险的思维的概念，如：有关策划、评审和改进的要求。本标准要求组织理解其组织环境（见4.1），并以确定风险作为策划的基础（见6.1）。这意味着将基于风险的思维应用于策划和实施质量管理体系过程（见4.4），并有助于确定成文信息的范围和程度。

质量管理体系的主要用途之一是作为预防工具。因此，本标准并未就“预防措施”设置单独条款或子条款，预防措施的概念是通过在质量管理体系要求中融入基于风险的思维来表达。

由于在本标准中使用基于风险的思维，因而一定程度上减少了规定性要求，并以基于绩效的要求替代。在过程、成文信息和组织职责方面的要求比GB/T19001-2008具有更大的灵活性。

虽然6.1规定组织应策划对风险 的措施，但并未要求运用正式的风险管理方法或将风险管理过程形成文件。组织可以决定是否采用超出本标准要求的更多风险管理方法，如通过应用其他指南或标准。—在组织实现其预期目标的能力方面，并非质量管理体系的全部过程表现出相同的风险等级，并且不确定性的影响对于各组织不尽相同。根据6.1的要求，组织有责任应用基于风险的思维，并采取应对风险的措施，包括是否保留成文信息，以作为其确定风险的证据。

ISO9000：2015术语：

3.7.9风险risk：不确定性的影响。

注1：影响是指偏离预期，可以是正面的或负面的。

注2：不确定性是一种对某个事件，或是事件的局部的结果或可能性缺管管理或知识方面的信息 （3.8.2）的情形。

注3：通常，风险是通过有关可能事件（GB/T23694-2013中的定义，4.5.1.3））和后果（GB/T23694-2013中的定义，4.6.1.3）或两者的组合来描述其特性的。

注4：通常，风险是以某个事件的后果（包括情况的变化）及其发生的可能性（GB/T23694-2013中的定义，4.6.1.1）的组合来表述。

注5：“风险”一词有时仅在有负面后果的可能性时使用。