不管什么樣的管理體系（ISO9001認證、ISO14001認證、TS16949認證、OHSAS18001認證、QC080000認證、ISO13485認證等）的建立，都是一個識別風險、控制風險的過程（特別是ISO9001：2015新版本，更是把“預先防錯、預先防范風險”升級到更高的要求）。每一個組織的運作都至少有兩個方面的風險：經營風險和管理風險。經營風險包括投資、財務等方面的風險;管理風險包含人力資源、質量、安全等方面的風險。

      質量方面的風險來源于產品/服務本身特性或產品/服務過程中影響這些特性的人、機、料、法、測、環。人：人員的資質、能力、意識等;機：設備設施、工裝等;料：采購供應商管理;法：文件記錄控制、設計開發等;測：驗證、測試、測量設備的管理;環：工作環境、外部支持等。當以上因素不能受控時，必然會影響到產品/服務本身的特性。也就不能達到經營者預期的增值目的，這就是風險。這也正是我們質量管理體系標準中描述的各個條款的管控要求。 以上提到的各方面風險均應予以識別并控制，我們都很清楚。問題是，不同的企業應用同樣或同類型的體系標準對于所涉及的過程能以同一種方式去控制么?答案是否定的。因為不同的企業的每一個過程的風險是不同的。如：一般的制造企業，材料對產品影響至關重要。采購及供應商管理過程便是高風險過程，相應的文件及管控要求也自然比較高。而那些純加工企業，加工材料由客戶提供。采購僅限于輔助材料或設備工裝。這類企業的在建立體系時采購及供應商管理過程自然就無需多關注了。 體系建立時，風險大小基本上決定了該過程中人員能力及培訓要求、文件的多少及詳略程度等。所以，企業在建立質量管理體系(這些質量管理體系包括通用標準如ISO9001;行業專用標準如ISO22000/AS9100/TS16949/ISO13485)時，充分識別各過程的風險，然后根據風險大小建立相應的控制方式，并以此建立適當的文件體系。方能確保體系與企業運作的符合性、適宜性、有效性。