Jednym z wymagań normy ISO 9001:2015 jest zastosowanie w zarządzaniu organizacją podejścia opartego na ryzyku i szansach. Wczytując się w normę łatwo zauważyć, że audytorzy standardu bardzo ogólnie podeszli do tematu. W rozdziale 6.1 znajduje się zapis, że:

Planując system zarządzania jakością organizacja powinna rozważyć swój kontekst oraz wymagania stron zainteresowanych, a także określić ryzyka i szanse, do których należy się odnieść, aby:

a) Zapewnić, że system będzie w stanie osiągać zamierzone wyniki
b) Zwiększyć pożądane skutki
c) Zapobiegać wystąpieniu niepożądanych skutków lub je ograniczać
d) Osiągać doskonalenie

W praktyce organizacje mają problem, jak zastosować to wymaganie, aby móc wykazać zgodność z normą.

Dalsza treść normy ISO 9001:2015 wydaje się prostsza:

Organizacja powinna zaplanować:
e) Działania odnoszące się do ryzyk i szans
f) Sposób integrowania i wdrażania tych działań do procesów swojego systemu
g) Sposób oceny skuteczności tych działań

Czyli innymi słowy należy tak postępować, aby ograniczać negatywne skutki ryzyka i wykorzystywać nadarzające się szanse.

Tak naprawdę niemożliwe jest zarządzanie organizacją bez uwzględniania ryzyk i szans. Każdy Prezes, Właściciel i Kierownik wie, że nie ma rozwoju bez ryzyka, dlatego z reguły świetnie daje sobie radę z identyfikacja zagrożeń i szacowaniem ich potencjalnych skutków. Tylko zwykle nie dokumentuje tego w żaden sposób. Norma ISO 9001:2015 także nie wymaga dokumentowania oceny ryzyka i szans. Nie znajdziemy w wymaganiach normy zapisu, że należy tworzyć rejestry ryzyk lub karty postępowania z nimi. Jednakże opisanie ryzyk i szans, a także sposobów radzenia sobie z nimi jest najprostszą metodą udowodnienia, że firma spełnia wymagania normy ISO 9001:2015.

Metody oceny ryzyka w ISO 9001:2015

Norma nie określa, w jaki sposób identyfikować i oceniać ryzyka i szanse. Różne firmy stosują różne podejścia w zależności od możliwości i potrzeb uszczegóławiania tematu. Poniżej prezentujemy Państwu przykładową metodę oceny ryzyka.

Ocena ryzyka na etapie planowanie procesów

Identyfikacja ryzyk może być sprzężona z planowaniem procesów w organizacji. W myśl zarządzania procesowego, każda organizacja powinna:

  • określić zachodzące w niej procesy, a następnie
  • zaplanować ich pożądany przebieg,
  • wdrożyć go do działania,
  • sprawdzić skuteczność wdrożenia
  • i doskonalić zgodnie z potrzebami i możliwościami.

Identyfikacja ryzyk będzie jednym z elementów planowania, a ocena skuteczności działań podjętych w odniesieniu do nich będzie prowadzona podczas sprawdzania samego procesu.

Metoda składa się z następujących etapów:

  1. Identyfikacja zagrożeń i szans dla procesu

Zagrożenia to czynniki bądź zdarzenia mogące wpłynąć negatywnie na przebieg procesu. Mogą one płynąć z zewnątrz firmy (np. silna konkurencja jest zagrożeniem dla skutecznej sprzedaży) lub być związane z wewnętrznymi uwarunkowaniami (np. częste awarie przestarzałego parku maszynowego są zagrożeniem dla terminowej realizacji zleceń produkcyjnych). Natomiast szanse to wszelkie możliwości doskonalenia procesu. Przykładem szansy mogą może być pozyskanie dotacji pozwalającej na zakup nowszego parku maszynowego. Szansą może być także wewnętrzna zmiana organizacji procesu, która usprawni przebieg komunikacji.

Każdy proces może mieć wiele zagrożeń i szans, a ponadto zagrożenia i szanse mogą zmieniać się w czasie. W zależności od sytuacji mogą pojawiać się nowe zagrożenia i szanse, a stare mogą tracić na znaczeniu. Z tego powodu identyfikacja zagrożeń i szans nie może być jednokrotnym działaniem, lecz powinna być procesem ciągłym. 

  1. Określenie prawdopodobieństwa i skutków zagrożeń i szans

Ocenę znaczenia zagrożeń i szans można przeprowadzić przy użyciu dwóch parametrów:

  • Prawdopodobieństwa wystąpienia danego zagrożenia - P
  • Ciężkości skutków tego zagrożenia - S

Zarówno dla prawdopodobieństwa, jak i dla skutków powinna zostać określona skala oceny. Może to być skala pięciostopniowa, np.

Prawdopodobieństwo

Skutki (odniesione do kosztów/zysków)

 1 – zdarza się rzadziej niż raz na 5 lat  1 – brak skutków finansowych

2 – zdarza się raz w okresie 1 – 5 lat

 2 – małe straty/zyski finansowe (poniżej 5 tys. zł)
 3 – zdarza się co częściej niż raz w roku  3 – średnie straty/zyski finansowe (między 5 – 50 tys. zł)
 4 – zdarza się co miesiąc  4 – duże straty/zyski finansowe - powyżej 50 tys. zł.)
 5 – zdarza się codziennie  5 – straty grożące bankructwem firmy / zyski największe w historii firmy

Podane w tabeli przykładowe poziomy powinny być dostosowane do konkretnej organizacji, gdyż dla małego przedsiębiorcy strata 50 tys. zł już oznacza widmo bankructwa, a dla dużej firmy może być niezauważalnym kosztem.

W wariancie tej metody, skutki wystąpienia zagrożenia mogą być odniesione nie tylko do potencjalnych kosztów, ale także do utraconych przychodów, strat wizerunkowych bądź innych wartości istotnych dla firmy, na które zagrożenia mogą wpłynąć. 

  1. Ocena ryzyka i szans w oparciu o prawdopodobieństwo i skutki

Po określeniu poziomów prawdopodobieństwa i skutków można obliczyć ryzyko. Istotność (R) określa się jako iloczyn parametru prawdopodobieństwa i skutków:

R = P x S

Po obliczeniu ryzyka należy jeszcze nadać mu znaczenie praktyczne.

  • ISTOTNOŚĆ DUŻA – jeśli R wynosi między 25 a 15
  • ISTOTNOŚĆ ŚREDNIA – jeśli R wynosi między 12 a 6
  • ISTOTNOŚĆ MAŁA – jeśli R wynosi między 4 a 1

tabela ryzyko

  1. odjęcie działań zapobiegawczych i doskonalących dla ocenionych ryzyk i szans

W zależności od wyników oceny istotności ryzyka i szans organizacja powinna zaplanować i podjąć stosowne działania:

  • Dla ryzyk i szans o DUŻEJ ISTOTNOŚCI – działania zapobiegawcze i doskonalące są konieczne,
  • Dla ryzyk i szans o ŚREDNIEJ ISTOTNOŚCI – działania zapobiegawcze i doskonalące powinny być podejmowane jeśli pozwalają na to posiadane zasoby,
  • Dla ryzyk i szans o MAŁEJ ISTOTNOŚCI – działania zapobiegawcze i doskonalące nie muszą być podejmowane. Są to tzw. ryzyka akceptowalne.

Planowane działania powinny być konkretne i realne. Sensem wdrożenia działań jest rzeczywiste obniżenie poziomu ryzyka, aby jego negatywne skutki były jak najmniejsze, a także faktyczne wykorzystanie szans, które organizacja uzna za ważne dla swojego rozwoju.

Działaniami w odniesieniu do skutków i szans mogą być czynności, które już są wdrożone w organizacji i przynoszą pożądane efekty. Jako przykład można podać wyznaczenie zastępstw dla kluczowego personelu. Dzięki temu działaniu organizacja jest w stanie sprawnie funkcjonować nawet podczas wystąpienia skutków zagrożenia (np. nagłej choroby, dłuższego urlopu bądź zwolnienia się pracownika).

  1. Ocena skuteczności podjętych działań

Oceny skutków działań zapobiegawczych i doskonalących można dokonywać okresowo, np. raz w roku. Powinno się do niej wracać także w sytuacjach, kiedy dane zagrożenie bądź szansa faktycznie wystąpi w organizacji. Dobrym czasem do analizy skuteczności działań jest przegląd zarządzania. W rozdziale 10 w normie ISO 9001:2015 określono skuteczność działań w odniesieniu do ryzyk i szans jako jedną z danych wejściowych do przeglądu.

Dokumentowanie oceny ryzyk i szans ISO 9001

Norma ISO 9001:2015 nie wymaga udokumentowania oceny ryzyka i szans, lecz jeśli to nie zostanie dokonane wówczas trudno będzie udowodnić, jakie ryzyka zostały zidentyfikowane oraz czy działania w odniesieniu do nich okazały się skuteczne. Poniżej przedstawiamy przykład zastosowania oceny ryzyka i szans w procesie szkoleń:

Zastosowanie oceny ryzyka na przykładzie:

Przykład oceny ryzyka ISO 9001 – dokument oceny ryzyka wg ISO 9001