Norma ISO 9001:2015 wymaga, aby organizacja przeprowadzała analizę ryzyka, w celu identyfikacji istniejących ryzyk oraz określenia ich poziomu istotności (głównie z punktu widzenia wyrobu lub usługi). W przypadku występowania ryzyk, które są nieakceptowalnym zagrożeniem dla organizacji, niezbędne jest opracowanie działań, które zminimalizują ich negatywne oddziaływanie.
Punkt 6.1 normy wskazuje na konieczność zaplanowania działań niezbędnych do uwzględnienia ryzyk i szans w SZJ, w tym także na potrzebę uwzględniania ich w działaniach operacyjnych oraz ocenę w zakresie skuteczności.
Podjęte działania w stosunku do ryzyk i szans powinny być proporcjonalne do potencjalnego wpływu na zgodność wyrobów i usług, co wynika z wymagań zawartych w p. 8.1 (Planowanie i nadzór nad działaniami operacyjnymi).
Do ryzyka odnosi się również rozdział 5 (Przywództwo), gdzie stwierdza się, że najwyższe kierownictwo winne promować świadomość podejścia opartego na ryzyku oraz zapewnić określenie i uwzględnienie ryzyk i szans.
Z rozdziału 9 (Ocena efektów działalności) wynika natomiast, że organizacja musi monitorować, mierzyć, analizować informacje oraz wykorzystać wyniki analizy danych do oceny skuteczności działań podjętych w celu uwzględnienia ryzyka i szans. Skuteczność działań w odniesieniu do ryzyk i szans musi być również brana pod uwagę podczas przeglądów zarządzania. Kontynuację tych wymagań odnaleźć można w rozdziale 10 (Doskonalenie), w którym podkreślono, że organizacja powinna korygować, zapobiegać, czy redukować negatywne skutki i doskonalić SZJ oraz aktualizować ryzyka i szanse.
Oceniając znowelizowaną normę ISO 9001 można stwierdzić, że ryzyko jest wplecione w cały system zarządzania jakością. Fakt ten jest jedną z przyczyn braku wyodrębnienia podrozdziału dotyczącego działań zapobiegawczych. Obecnie ich koncepcja sprowadza się do tego, że działania zapobiegawcze są nieodzowną częścią planowania strategicznego, a poprzez podejście oparte na ryzyku organizacja zapobiega lub zmniejsza liczbę nieprawidłowości już na etapie planowania.
Istotne jest to, że norma nie zawiera żadnego wymagania dotyczącego formy monitorowania i kontroli ryzyka w ramach Systemu Zarządzania, a dodatkowo nie określa wymagań dotyczących utrzymywania udokumentowanych informacji z zakresu analizy ryzykiem.
Na wstępie identyfikacji ryzyk, warto przeanalizować dostępną w organizacji dokumentację, taką jak np.:
- Raporty z auditów wewnętrznych.
- Rejestry reklamacji/skarg;
- Rejestry działań korygujących i zapobiegawczych czy wyrobów niezgodnych;
- Raporty z kontroli zewnętrznych;
Następnie zastosować należy bardziej złożone narzędzia, przy czym podstawę do analizy ryzyka powinno stanowić właściwe określenie kontekstu organizacji, natomiast metody, które mogą być wykorzystane do analizy to m. in.:
- Analiza scenariuszy
- Drzewo decyzyjne
- FMEA
Zapraszamy do udziału w naszych szkoleniach otwartych, podczas których pokazujemy jak znaleźć elastyczną metodę analizy ryzyka dla konkretnej organizacji. Aktualną propozycję znajdą Państwo pod linkiem: szkolenie ze zmian w ISO 9001.