Podejście oparte na ryzyku według ISO 9001

6 lutego 2023

W myśl wymagań PN EN 9001: 2015 organizacja powinna planować i wdrażać działania, z uwzględnieniem ryzyk i szans. Działania takowe powinny stanowić podstawę dla zwiększenia skuteczności SZJ, poprawy jego wyników oraz zapobiegania negatywnym skutkom. Tyle teorii, ale co to oznacza w praktyce? Jest to oczywiste zalecenie poddawania analizom wszelakich ryzyk związanych z funkcjonowaniem całej organizacji, a także dostrzegania i analizowania pod kątem możliwości zastosowania różnego rodzaju szans rozwojowych.

Zapobieganie negatywnym efektom

Przewodnim hasłem w zakresie analizy ryzyka jest „zapobieganie negatywnym konsekwencjom”. Aby im skutecznie zapobiegać, organizacja musi w pierwszej kolejności określić, gdzie takowe zagrożenia występują lub mogą występować w przyszłości. Do tego sensownym rozwiązaniem wydaje się być przyjęcie i stosowanie konkretnej metodyki analizowania ryzyka. Należy tu jednak zaznaczyć, że norma w swym liberalnym podejściu nie narzuca kategorycznie takiego rozwiązania. Decyzję co do tego, czy i jaką zastosować metodykę zostawiono władzom organizacji, jednakże podjęta decyzja musi być oparta na realnych przesłankach. Takimi przesłankami będą między innymi wielkość organizacji oraz ilości i stopień skomplikowania zachodzących w niej procesów. Jak słusznie się domyślacie, powszechną praktyką, oczekiwaną i dobrze ocenianą przez audytorów jest oczywiście przyjęcie i stosowanie ustandaryzowanej metodyki analizowania ryzyka.

Jaka metodyka szacowania ryzyka?

Określenie zasad analizowania ryzyka za pomocą ustandaryzowanej metodyki ma praktycznie same zalety. Jaką zatem metodykę należy przyjąć? Tu nie ma jednej prostej odpowiedzi, bowiem zależy od dość dużej liczby czynników. Czynnikami takim mogą być wspomniane już wielkość i zakres działalności organizacji, ilość i stopień skomplikowania zachodzących w niej procesów, a także specyfika branży, oczekiwania klientów i kooperantów, wymagania normatywne i prawne, historia organizacji, itp.  W dużym uproszczeniu można przyjąć, że należy wybrać metodykę, która będzie zrozumiała dla osób uczestniczących w analizach jednocześnie gwarantując dostrzeganie ryzyk i zapobieganie ich negatywnym efektom.

Metodyka macierzy skutku i prawdopodobieństwa dobra dla każdego?

Niekoniecznie, choć jest to metodyka znakomicie sprawdzająca się w większości małych i średnich, a nawet dużych przedsiębiorstwach. Polega ona na identyfikacji ryzyk w określonych obszarach a następnie szacowaniu prawdopodobieństwa ich wystąpienia i ewentualnych strat, jakie ze sobą niosą. Niewątpliwymi zaletami są w przypadku tej metodyki jest prostota i możliwość określenia poziomów ryzyka. Metodyka występuje w kilku odmianach począwszy od najprostszej często nazywanej 3S, po bardziej rozbudowane 5S lub nawet 6S. Teoretycznie, im bardziej rozbudowana, tym lepszy pogląd na poziom ryzyka, oczywiście o ile metodyka jest zrozumiana i właściwie stosowana.

Formułowanie działań w odniesieniu do zidentyfikowanych zagrożeń

Jakie scenariusze działań są przewidywane w normie? Na to pytanie znajdujemy odpowiedź w treści punktu 6.1 zgodnie z którym działanie „może obejmować unikanie ryzyka, podjęcie ryzyka w celu wykorzystania szansy, usunięcie źródła ryzyka, zmianę prawdopodobieństwa lub następstw, dzielenie się ryzykiem lub zatrzymanie ryzyka na podstawie świadomej decyzji.”  Warto zwrócić uwagę, iż dopuszczone jest tak zwane świadome podjęcie skalkulowanego ryzyka, czyli działanie w stanie niepewności, ale poprzedzone rzetelną analizą i świadomą decyzją. W większości przypadków dla ryzyk obarczonych znacznym poziomem niebezpieczeństwa wystąpienia negatywnych konsekwencji należy jednak podjąć konkretne działania zapobiegawcze. Formułując takowe należy przestrzegać kilku żelaznych zasad. Po pierwsze działania muszą być skonkretyzowane, czyli dokładnie określać co ma być zrobione. Jakiekolwiek slogany czy zapewnienia, w stylu: „będziemy postępować zgodnie z instrukcją”, są wykluczone. Po drugie należy wskazywać osoby odpowiedzialne za realizację działań. Po trzecie należy określić czas na realizację i czas rozliczenia działań. Tego zawsze należy przestrzegać. Najczęstsze błędy wskazywane przez audytorów dotyczą między innymi naruszenia właśnie tych zasad, co przy okazji niedobrze świadczy o kompetencjach osób odpowiedzialnych za analizę ryzyka.

Czy dokumentować działania w zakresie ryzyk i szans?

Tak. W treści normy nie znajdziemy co prawda obowiązku takowego postępowania, ale z praktycznego punktu widzenia, nie mamy zasadniczo innej możliwości. W przeciwnym razie nie będziemy w stanie udowodnić, że realizujemy działania wymagane w punkcie 6.1 normy. Zatem, aby spełnić wymagania normatywne, a przy okazji ustrzec organizację przed licznymi zagrożeniami, dobrze jest pisemnie określić zasady zarządzania ryzykiem oraz dokumentować podjęte działania.

Ocena skuteczności podjętych działań

Należy pamiętać, iż zgodnie z cyklem PDCA należy  zawsze dokonywać oceny skuteczności podjętych działań. Ocena taka może przybrać dowolną formę, ale musi jednoznacznie rozstrzygnąć czy poziom zagrożenia uległ zmniejszeniu do zadowalającego nas poziomu. Jeżeli nie, to konieczne będzie najprawdopodobniej powtórne pochylenie się nad problemem, a co za tym idzie, sformułowanie i podjęcie kolejnych działań. Działania zakończone sukcesem jak i działania, które nie przyniosły zamierzonego efektu stanowić będą źródło bezcennej informacji dla kolejnych cykli zarządzania ryzykiem w organizacji.

Gdzie występują ryzyka i szanse w obrębie organizacji?

Ryzyka i szanse mogą występować w każdym spektrum funkcjonowania organizacji. Jak więc ustrzec się przed pominięciem jakiegoś obszaru? Jednym z popularniejszych rozwiązań jest potraktowanie organizacji jako zbioru zachodzących w niej procesów i analizowanie ryzyk i szans w obrębie każdego procesu.

Czy szanse muszą być analizowane w ten sam sposób co ryzyka?

Nie. Nigdzie w normie nie znajdziemy takiego obowiązku. Można zatem identyfikację i analizę szans prowadzić w inny sposób niż analizę ryzyka. Organizacje mają na tym polu absolutną dowolność. Jeżeli jednak prowadzony jest rejestr ryzyk, to warto również prowadzić rejestr szans. Idąc tym tokiem rozumowania, nie trzeba do zidentyfikowanych szans stosować skali punktowej szacującej na przykład ich prawdopodobieństwo realizacji. Całkowicie wystarczającym zatem jest, aby organizacja dostrzegała swoje szanse, katalogowała je oraz analizowała w dowolny sposób ich sensowność, opłacalność i możliwość realizacji.

Co może być szansą dla organizacji?

Szansą, może być właściwie każda możliwość polepszenia funkcjonowania organizacji lub możliwość poprawy jej wyrobów i usług. Nie ma oczywiście obowiązku wykorzystywania wszystkich dostrzeżonych szans, ale dobrze jest prowadzić w tej sferze stosowne analizy. Należy pamiętać, iż skorzystanie z szansy może wiązać się koniecznością uwzględnienia skalkulowanego ryzyka, które należy ocenić w przyjęty w naszej organizacji sposób.

Zainteresował Cię nasz artykuł? A może masz do niego jakieś pytania?

Zapraszamy do kontaktu!

Zapraszamy również do udziału w szkoleniach Akademii Global Cert!

Masz pytania do artykułu?
Informacja i wstępne konsultacje nic nie kosztują!