OCENA RYZYKA W ISO 9001:2015
Norma ISO 9001:2015 roku różni się od swojej poprzedniczki w kilku istotnych kwestiach. Jedną z nich jest obowiązek przeprowadzanie szacowania ryzyka i szans. Zapis ten jest nowością w treści standardu jakości, chociaż dla osób zarządzających organizacją nie będzie to zaskoczenia.
Wymagania normy ISO 9001:2015 dla oceny ryzyka
Prowadzenie firmy jest nierozłącznie związane z koniecznością przewidywania potencjalnego ryzyka dla biznesu i wykorzystywania szans, które umożliwiają jego rozwój. Twórcy normy zwrócili uwagę na ten fakt i włączyli w treść normy następujący zapis*:
Pkt. 6.1. Działania związane z ryzykami i szansami
6.1.1 Podczas planowania prowadzonego w systemie zarządzania jakością , organizacja powinna rozważyć kwestie określone w punkcie 4.1 (kontekst organizacji) oraz wymagania określone w punkcie 4.2 (oczekiwania i wymagania stron zainteresowanych) oraz określić ryzyka i szanse, aby:
a) zapewnić, że system zarządzania jakością może osiągnąć oczekiwane rezultaty,
b) osiągać pożądane efekty,
c) zapobiegać lub ograniczać niepożądane efekty,
d) osiągać doskonalenie.
6.1.2 Organizacja powinna zaplanować:
a) działania związane z ryzykami i szansami,
b) w jaki sposób:
1) zintegrować i wdrożyć te działania do systemu zarządzania jakością,
2) oceniać wyniki tych działań.
Działania podejmowane w związku z ryzykami i szansami powinny być adekwatne do potencjalnego wpływu na zgodność produktów lub usług.
UWAGA 1. Działania podejmowane w związku z ryzykami mogą obejmować unikanie ryzyka, podejmowanie ryzyka, aby korzystać z możliwości, eliminowanie źródeł ryzyka, zmiana prawdopodobieństwa lub konsekwencji, dzielenie ryzyka lub utrzymanie ryzyka na ustalonym poziomie.
UWAGA 2. Możliwości mogą prowadzić do zastosowania nowych praktyk, wprowadzenia nowych produktów, otwarcie nowych rynków, dotarcie do nowych klientów, budowanie partnerstwa, używanie nowych technologii lub inne pożądane i realne możliwości związane z potrzebami organizacji lub jej klientów.
Z przytoczonego fragmentu normy ISO 9001 wynika, że organizacja ma być świadoma ryzyk, które jej grożą i szans, które może wykorzystać po to, aby jej ciągłość działania była zachowana, wymagania klientów i stron zainteresowanych były spełnione, a ona sama rozwijała się zgodnie z ideą ciągłego doskonalenia. Co ciekawe, system zarządzania jakością w zakresie swojej udokumentowanej informacji nie musi mieć udokumentowanej oceny ryzyka. Nie ma takiego wymagania. Jednakże działania podejmowane w stosunku do ryzyk i szans oraz ocena skuteczności tych działań powinna być udokumentowana, gdyż jest jednym z elementów podlegających przeglądowi zarządzania. Mówi o tym rozdział 9.3.2 Wejścia do przeglądu zarządzania.
Jak przeprowadzić ocenę ryzyka w swojej firmie?
W normie ISO 9001:2015 nie ma podanych konkretów do czego odnieść ocenę ryzyka ani w jaki sposób ją przeprowadzić. Pewną wskazówką może być treść normy ISO 31000:2009 Zarządzanie ryzykiem – zasady i wytyczne. W niej określono etapy identyfikacji zagrożeń i szacowania ryzyka, jednak również tam nie podano konkretnej metodologii oceny. Oznacza to, że organizacja ma dobrowolność w wyborze sposobu szacowania ryzyka i określania szans dla rozwoju. Można zastosować punkt 6.1.1 i 6.1.2 normy ISO 9001 określając i oceniając ryzyko dla poszczególnych procesów zachodzących w organizacji. Można także odnieść ryzyko do każdego nowego planu, przedsięwzięcia, czy zmiany zachodzącej w organizacji lub w jej otoczeniu. Jednak niezależnie od podejścia, efektem oceny ryzyka powinna być informacja co zrobić, aby organizacja pracowała i rozwijała się bez zakłóceń, a wymagania klienta stale były spełniane powodując jego zadowolenie.
* - podany fragment jest tłumaczeniem własnym normy PN-EN ISO 9001:2015 Systemy zarządzania jakością. Wymagania.
