ISO9001认证体系的建立，都是一个识别风险、控制风险的过程（特别是ISO9001：2015新版本，更是把“预先防错、预先防范风险”升级到更高的要求）。每一个组织的运作都至少有两个方面的风险：经营风险和管理风险。经营风险包括投资、财务等方面的风险;管理风险包含人力资源、质量、安全等方面的风险。

      质量方面的风险来源于产品/服务本身特性或产品/服务过程中影响这些特性的人、机、料、法、测、环。人：人员的资质、能力、意识等;机：设备设施、工装等;料：采购供应商管理;法：文件记录控制、设计开发等;测：验证、测试、测量设备的管理;环：工作环境、外部支持等。当以上因素不能受控时，必然会影响到产品/服务本身的特性。也就不能达到经营者预期的增值目的，这就是风险。这也正是我们质量管理体系标准中描述的各个条款的管控要求。 以上提到的各方面风险均应予以识别并控制，我们都很清楚。问题是，不同的企业应用同样或同类型的体系标准对于所涉及的过程能以同一种方式去控制么?答案是否定的。因为不同的企业的每一个过程的风险是不同的。如：一般的制造企业，材料对产品影响至关重要。采购及供应商管理过程便是高风险过程，相应的文件及管控要求也自然比较高。而那些纯加工企业，加工材料由客户提供。采购仅限于辅助材料或设备工装。这类企业的在建立体系时采购及供应商管理过程自然就无需多关注了。 体系建立时，风险大小基本上决定了该过程中人员能力及培训要求、文件的多少及详略程度等。所以，企业在建立质量管理体系(这些质量管理体系包括通用标准如ISO9001;行业专用标准如ISO22000/AS9100/TS16949/ISO13485)时，充分识别各过程的风险，然后根据风险大小建立相应的控制方式，并以此建立适当的文件体系。方能确保体系与企业运作的符合性、适宜性、有效性