2.2.25.1
Risk based thinking – zvažování rizik
Ing. Pavla Blackmore
NahoruCo je riziko? Riziko nebo příležitost?
Riziko je nedílnou součástí všech aspektů systému managementu kvality. Rizika se vyskytují ve všech systémech managementu, v procesech a funkcích. Zvažování rizik zajišťuje jejich identifikování a řízení v rámci návrhu a fungování systému managementu kvality.
Riziko je působení nejistot a každá tato nejistota může mít pozitivní nebo negativní důsledek. Velmi často je riziko chápáno jako něco, co má pouze negativní následky. Rizika mohou být jak negativní, tak i pozitivní. Pozitivní riziko je příležitost. Příležitost můžeme chápat jako soubor okolností, které umožňují něco udělat. Využití, nebo i nevyužití příležitosti pak představuje různé úrovně rizika.
Riziko v ISO 9001:2015 – zvažování rizik; další normy – ISO 31000 a ISO 22301
Jednou z klíčových změn revize ISO 9001 z roku 2015 je zavedení systematického přístupu ke zvažování rizik, který nahrazuje řešení "prevence" jako samostatné součásti systému managementu kvality. Preventivní opatření jsou součástí plánování, provozu, analýz a činností hodnocení. Při použití zvažování rizik jsou úvahy o rizicích její nedílnou součástí. Norma ISO 9001 je tak proaktivní v prevenci neboli snižování nežádoucích vlivů jejich identifikací a zavedením opatření. Zvažování rizik je něco, co děláme každý neustále, automaticky – a často i nevědomě – pro dosažení nejlepších výsledků. Zvažování rizik zlepšuje naši připravenost a snižuje pravděpodobnost toho, že něco nedopadne dobře, tím zvyšuje možnost, že dosáhneme to, co si přejeme, co zamýšlíme.
Zvažování rizik – bylo vždy nepřímo obsaženo v ISO 9001 – poslední vydání normy ho však nazývá výslovně a vkládá do celého systému managementu.
Zvažování rizik zajišťuje, že rizika jsou brána v úvahu vždy – od začátku do konce. Zvažování rizik dělá z preventivních opatření nedílnou součást strategického a operativního plánování.
Zvažování rizik je také již součástí procesního přístupu.
Různé procesy systému managementu kvality mají nebo mohou mít různou úroveň rizika z hlediska schopnosti organizace plnit její cíle. Některé procesy a některá rizika vyžadují pečlivější a formálnější plánování a řízení. Pro řízení rizik nejsou požadovány v ISO 9001:2015 žádné formální metody nebo dokumentovaný proces.
Norma ISO 9001:2015 zdůrazňuje "uvažování na základě rizik", nikoli postup nebo rámec, ve kterém bychom měli rizika hodnotit. Pro zavedení managementu rizik dle ISO 9001:2015 není tedy vyžadován dokumentovaný postup, příloha A4 hovoří o přístupu na základě rizik a prevenci. Organizace se může rozhodnout, zda vypracuje, či nevypracuje obsáhlejší metodiku pro management rizik, než je požadováno touto mezinárodní normou, např. s použitím jiného návodu nebo jiných norem.
"Uvažování na základě rizik" umožňuje hodnotit rizika jak kvalitativně, tak kvantitativně, a to v závislosti na kontextu organizace. Riziko se často vyjadřuje jako kombinace "významnosti následků" události a s ní související "možnosti výskytu". Proto je zapotřebí stanovit závažnost situace a míru formálnosti, které jsou potřebné pro plánování a řízení systému managementu kvality a jeho procesů.
ČSN ISO 31000:2010 "Management rizik – Principy a směrnice" poskytuje principy a návody pro řízení jakékoli formy rizika systematickým způsobem, uspořádaným do cyklu P–D–C–A. Dílčí části managementu obvykle obsahují postupy, praktiky, přidělování odpovědností, stanovení pořadí a načasování činností. Plán managementu rizik lze používat u celé organizace nebo u její libovolné části.
Cyklicky strukturovaný způsob managementu rizik sjednocuje přístup k řízení konkrétních rizik procesu, projektu či produktu. Managementu rizik podléhá veškeré rozhodování v rámci organizace, a to na různých úrovních řízení. Je nákladné se poučovat z vlastních chyb, řídit se pouze získanými zkušenostmi, reagovat na vyvolané či neřízené změny. Efektivní management rizik je považován manažery za základ pro dosažení cílů organizace.
Dalším a vhodným přístupem k uvažování na základě rizik může být aplikace ISO ČSN EN ISO 22301 "Společenská bezpečnost – Systémy managementu kontinuity podnikání – Požadavky". Norma ISO 22301 umožňuje rozšíření existujících systémů o zajištění kontinuity v případě incidentů či havárií (BCMS), který odpovídá jejím potřebám a který splňuje požadavky jejích zákazníků. Potřeby udržitelného podnikání jsou v tomto systému určeny především právními požadavky a požadavky předpisů, ale též organizačními a průmyslovými požadavky, produkty a službami, zavedenými postupy a procesy, velikostí a strukturou organizace a požadavky zainteresovaných stran. Prakticky lze použít existující Příručku kvality a doplnit specifické požadavky na management kontinuity podnikání.
NahoruKonkrétní rizika v kapitolách ISO 9001:2015
V systému managementu kvality dle ISO 9001:2015 lze zohlednit management rizik u následujících požadavků:
Kapitola 4 – od organizace se požaduje, aby určila procesy svého systému managementu kvality a řešila svá rizika a příležitosti.
Kontext organizace – porozumění internímu a externímu kontextu organizace, jejímu systému managementu kvality a procesům, a to umožňuje organizaci získat relevantní údaje, ze kterých může analyzovat rizika a příležitosti. Na základě znalosti kontextu bude implementován a následně udržován přístup k řízení rizik. Současně mají být vedením určeny způsoby komunikace týkající se rizik jak s interními, tak s externími stranami.
Kapitola 5 – po vrcholovém vedení se požaduje podpora povědomí o zvažování rizik a dále určení a řešení rizik a příležitostí s vlivem na shodu produktů nebo služeb. Dále jsou relevantní kapitoly 5.4 Plánování kvality a 5.6 Přezkoumání vedením.
Leadership – vedení organizace musí určit organizační strukturu pro řízení rizik, včetně definování rozsahu a hranic řízení rizik. Vedení má odpovědnost za přijímaná rozhodnutí, ve vztahu k rizikům musí určit a řešit rizika ovlivňující shodu produktů, či spokojenost zákazníka; management rizik umožnuje omezovat ztráty, včetně vyhnutí se správnímu řízení.
Kapitola 6 – od organizace se požaduje, aby identifikovala rizika a příležitosti týkající se výkonnosti systému kvality a realizovala vhodná opatření k jejich řešení. Dále se po organizaci požaduje, aby určila rizika jako základ pro plánování (viz čl. 6.1). Dále relevantní kapitola 6.3. Infrastruktura
Plánování – procesy plánování a zohledňování rizik a příležitostí souvisejí s plánováním cílů. Vedení má zvažovat rizika související s dosažením cílů. Při…