Впровадження ризик-орієнтованого мислення
У цій статті детально обговоримо впровадження ризик-орієнтованого мислення. Концепція ризик-орієнтованого мислення неявно використовувалася в попередніх редакціях ISO 9001 за допомогою планування вимог, аналізу та покращення. Але ISO 9001:2015 вимагає від компаній використовувати мислення, що ґрунтується на оцінці ризиків, для управління своїм бізнесом. Якщо ви хочете впровадити систему управління якістю (СМЯ) відповідно до стандарту ISO 9001:2015, в якій використовується ризик-орієнтоване мислення, вам необхідно знати 10 речей.
1. Що таке ризик?
Ризик складається з двох компонентів:
-По-перше, це ймовірність небажаного інциденту.
-По-друге, тяжкість шкоди, коли відбувається небажаний інцидент.
2. Як знижується ризик?
Потенційні загрози можна зменшити, зменшивши ймовірність виникнення небажаного інциденту чи тяжкість шкоди у разі небажаного інциденту. Як правило, значно важче зменшити тяжкість шкоди, ніж зменшити ймовірність небажаного інциденту.
Бажаєте отримати консультацію по навчанню чи сертифікації систем управління? Заповніть форму зв’язку!
3. Де є джерела ризику в компанії?
Кожен процес у компанії є джерелом ризику. Неприйнятний інцидент виникає щоразу, коли процес не виконується належним чином. Тяжкість шкоди залежить від типу процесу.
Мислення, що ґрунтується на ризику, є превентивним. Це вимагає від компанії аналізу своїх процесів, щоб визначити потенційні причини того, що їхні процеси не працюють належним чином. Після виявлення потенційних причин створюються засоби контролю для запобігання причин і виникаючих внаслідок збоїв у роботі. Можна створити додаткові елементи керування, щоб мінімізувати наслідки того, що процес не працює належним чином. Впровадження засобів запобігання та пом’якшення наслідків також є потенційними джерелами загроз.
Мислення, що ґрунтується на оцінці ризику, також використовується для вибору можливостей, якими користуватиметься компанія. Хоча можливості приносять користь компанії, вони також можуть наражати її на ризик, якщо обрана неправильна можливість.
4. У яких процесах ISO 9001:2015 потребує використання мислення на основі оцінки ризику?
Стандарт не є приписуючим при визначенні процесів, у яких має використовуватися мислення, що ґрунтується на оцінці ризику. Стандарт дозволяє компанії визначити процеси, що становлять СУЯ. Після того як компанія визначила процеси, що становлять СУЯ, у них має бути реалізовано мислення, засноване на оцінці ризику.
5. Який зв’язок між мисленням, заснованим на оцінці ризику, та принципом «плануй-роби-перевіряй-дій»?
Стандарт вимагає, щоб мислення, що ґрунтується на оцінці ризику, було інтегроване з циклом «плануй-роби-перевіряй-впливай». Інтеграція досягається шляхом оцінки ризику “плану” перед виконанням кроку “виконати”.
6. Які основні етапи управління процесним ризиком у рамках системи СУЯ?
Після визначення процесів, що становлять систему СУЯ, існує чотири етапи управління процесними ризиками за допомогою системи СУЯ:
- Повинні бути визначені входи та виходи для кожного процесу у системі СУЯ.
- Повинна бути визначена послідовність та взаємодія процесів СУЯ.
- Потрібно визначити ризики необхідних процесів.
- Повинен бути розроблений план дій для усунення ризиків необхідних процесів, щоб підтвердити, що СУЯ може досягти намічених результатів, підвищити ймовірність отримання бажаних результатів процесу та запобігти або зменшити ймовірність отримання небажаних результатів.
7. Як компанія визначає пріоритети процесів СУЯ, над якими слід працювати?
Дії, здійснені для зниження можливих небезпек, повинні бути пропорційні потенційному впливу цих дій на якість продуктів і послуг, що постачаються. Оскільки компанії не мають необмежених ресурсів, неможливо працювати з усіма джерелами ризику в рамках процесів СУЯ.
8. Які типи інструментів управління можливими небезпеками стандарту вимагає від компаній?
Стандарт не вимагає використання будь-яких конкретних інструментів управління ризиками. Наступні інструменти управління ризиками можуть бути дуже ефективними при правильному використанні.
- Оцінка ризику вимог (RRA). Два найбільші джерела потенційних небезпек для компаній, які розробляють продукти, — це неправильне визначення вимог клієнтів та вимог до продукту. Компанії можуть зрештою витратити мільйони доларів зміни продукту, якщо вимоги клієнтів чи вимоги до продукту визначені неправильно. Компанії, що поставляють свої продукти на ринок, стикаються із серйозною проблемою створення єдиного продукту, який куплять кілька клієнтів із різними бажаннями та потребами. RRA виконується для визначення набору вимог замовника та проектування з оптимізованим ризиком.
- Аналіз видів та наслідків проектних відмов (DFMEA): Після оптимізації вимог до проекту необхідно створити специфікації продукту, які визначають продукт, який їм буде відповідати. DFMEA — це оцінка ризику адекватності специфікацій продукту щодо продукту, який буде відповідати вимогам проекту.
- Аналіз видів та наслідків технологічних збоїв (PFMEA): продукт має бути виготовлений відповідно до проектних специфікацій. PFMEA – це оцінка ризику адекватності процесу виробництва продукту, який відповідатиме специфікаціям продукту.
- Оцінка ризику використання (URA): продукт може вийти з ладу, якщо він не використовується за призначенням. URA проводиться для оцінки адекватності конструкції та інструкцій щодо використання для запобігання виходу з ладу через неправильне використання.
9. Які елементи системи управління ризиками мають бути задокументовані?
Стандарт не вимагає формалізації чи документування системи управління ризиками. Стандарт не визначає елементи, які повинна мати система управління ризиками.
10. Чи має компанія впровадити надійнішу систему управління ризиками, ніж система, описана в стандарті?
Оскільки управління ризиками є дуже важливим для успіху бізнесу, і важко ефективно впровадити систему, яка не формалізована і не задокументована, підприємства можуть захотіти зробити більше, ніж вимагає стандарт, щоб сприяти ефективному впровадженню системи управління ризиками. Добрею відправною точкою було б створення формалізованої та задокументованої системи управління ризиками, а також навчання роботі з нею.
Висновки
Існує багато непорозумінь щодо того, що ISO 9001:2015 має на увазі під своєю вимогою впроваджувати ризик-орієнтоване мислення. Я вважаю, що люди роблять це набагато складніше, ніж це є насправді. Якщо ви успішна компанія, велика ймовірність того, що ви впроваджуєте якусь форму мислення, заснованого на оцінці ризиків. Сподіваємося, що ця стаття допоможе вам правильно впровадити мислення, що ґрунтується на оцінці ризику, для управління вашою компанією, щоб ви могли відчути численні переваги його використання.
Переклад статті Річарда Харпстера “Top 10 Things You Need to Know About Implementing Risk-Based Thinking”
- Перевірка впровадження енергетичних цілей і програм підприємства
- Ефективність цілей екологічного менеджменту: що повинен перевіряти аудитор?
- Аудит безпеки праці за ISO 45001: які аспекти перевіряти у першу чергу?
- Інтегрована Система Управління (IMS)
- Протокол верифікації викидів парникових газів: Стандарти, процеси та значення для бізнесу