Zvažování rizik v systému řízení organizace

Poslední vydání normy ISO 9001:2015 klade větší důraz na zvažování rizik. Norma nestanovuje metody, jaké mají být pro zvažování použity. Požadavky na zvažování rizik se objevují různých kapitolách normy.  Každá organizace si zvažování rizik může řešit svým způsobem.

Norma riziko chápe jako účinek nejistoty, která může mít pozitivní nebo negativní dopad. V praxi jsme zvyklí mluvit o riziku hlavně v souvislosti s negativním dopadem.

Norma říká, že organizace musí na stanovená rizika plánovat a realizovat opatření. V případě rizik s negativním dopadem, musí organizace přijímat opatření, které předejdou těmto negativním dopadům nebo je alespoň minimalizují. U rizik s pozitivním dopadem hledat příležitosti, které povedou ke zvýšeni efektivnosti systému managementu řízení nebo k dosahování lepších výsledků.

Slovo MUSÍ, které norma používá, pochopitelně může způsobovat averzi. Ale reálně by každá organizace sama měla chtít hledat rizika a snažit se je eliminovat, stejně tak jako hledat příležitosti a způsoby, jak je využít, protože to je jedna z cest, které vedou k dosažení cílů. A v tomto příspěvku chci nastínit možnosti, jak se s tím vypořádat.

Zvažování rizik dle ISO 9001:2015 a na ni navazujících standardů jako IATF 16949, by mělo probíhat na 3 základních úrovních a to:

• Na úrovni strategického řízení organizace (kap. 6.1.1 a 4.1.)
• Na úrovni procesů organizace (kap. 4.4.1)
• Na úrovni výrobků (kap. 5.1.2 a 8.5.5)

Zvažování rizik na úrovni strategického řízení

Každá organizace by měla mít strategii neboli dlouhodobější plán, jak dosáhnout svého cíle (cílů). Strategie organizace je ovlivňována různými aspekty, které mají dopad na strategii a mohou ovlivnit dosažení cíle, a to pozitivně nebo negativně. Některé aspekty jsou významnější některé méně významné. A vrcholové vedení se jimi zabývá na svých poradách.  Před 2 roky byl pro většinu organizací nejvýznamnějším aspektem Covid 19 a řešily se dopady v podobě narušení dodavatelských řetězců, dostupnosti zaměstnanců, apod. Dnes jsou to ceny energií.

Je praktické, aby si vedení organizace promítlo přehled aspektů v nějaké tabulce nebo přehledu. Nebo si to sepsalo na flipchart, protože když je to na očích, tak se s tím lépe pracuje a lépe se hledají a stanovují opatření.

Příklad zjednodušeného přehledu aspektů, který zahrnuje i rizika, příležitosti a opatření na ně,  najdete ZDE.

Poznámka: Proti přehledu aspektů, který byl u článku Kontext organizace v rámci ISO 9001:2015 jsem změnil hodnocení významu dopadů.  Při pandemii Covidu jsem si uvědomil, že se dost špatně přiřazuje k významu číslo, když při ohlášení 20 000 nakažených nikdo netušil, jestli už je to vrchol nebo jestli to bude stoupat ke 100 000 nakažených. Jako vhodnější se ukázalo tříúrovňové hodnocení, které je použito v tom zjednodušeném příkladu.

Ten příklad přehledu aspektů včetně rizik, příležitostí a opatření je opravdu zjednodušený a každá organizace si může zvolit vlastní formu.  Organizace, které mají zpracované havarijní nebo nouzové plány pro mimořádné situace (a nemyslím havarijní plány povinně zpracované z důvodů požadavků legislativy v oblasti ekologie), si vystačí s takovou jednoduchou tabulkou, kde opatření jsou naformulována stručně. Protože opatření následně rozpracují do podrobnějšího postupu v havarijních/nouzových plánech. Organizace, které havarijní/nouzové plány nemají, mohou mít tabulku podrobnější. Např. doplněnou o sloupce odpovědnost a termín. Jednotlivá opatření mohou být podrobnější – rozepsaná do kroků nebo úkolů a ke každému úkolu bude přiřazena odpovědná osoba a termín realizace. A jednou za měsíc si na poradě vedení plnění opatření zkontrolují, popřípadě aktualizují podle změny v aspektech a jejich dopadech na strategii firmy.

Je důležité, aby si organizace průběžně vyhodnocovala aspekty, které ovlivňují její strategii a posuzovala všechna rizika a příležitosti, protože to, jak to zvládne, ovlivňuje její přežití v obtížném období jako byl Covid nebo teď energetická krize. Protože nelze jen čekat na opatření, které udělá někdo jiný, např. vláda. Ano ta může poskytnout pomoc v podobě dotace nebo kompenzace.  Ale pokud nějaký významný zahraniční zákazník má plné sklady, protože mu klesá odbyt, tak žádný vládní úředník nepůjde pomáhat s prodejem zboží. To je čistě záležitostí organizace, aby pravidelně komunikovala se zákazníky a včas identifikovala riziko v podobě poklesu zakázek a přijímala na toto včas opatření. Stejně tak si každá organizace musí řešit své dodavatele a zvažovat rizika spojená s nedostatkem vstupů nebo problémy s jejich dopravou. A podobné je to u dalších aspektů.

Zvažování rizik na úrovni procesů organizace

Tím jsou myšleny procesy stanovené v Příručce kvality nebo v Mapě procesů. Dobrým nástrojem pro hledání rizik a příležitostí v jednotlivých procesech může být zjednodušená SWOT analýza. A vhodnou příležitostí pro tvorbu/aktualizaci SWOT matic jednotlivých procesů je přezkoumání QMS vedením, které organizace musí dělat v pravidelných intervalech. Zpravidla to organizace dělají 1x za rok, a to na začátku roku, kdy tímto přezkoumáním vyhodnotí rok předchozí.  Na obrázku příklad zjednodušené SWOT analýzy pro jeden proces.

Fungování jednotlivých procesů může být během roku ovlivněno opatřeními stanovenými na strategické úrovni jakožto reakcí na vývoj dopadů jednotlivých aspektů. Stejně tak mohou být v rámci procesů prováděny změny a opatření, které jsou reakcí na negativní trend hodnotících ukazatelů procesů. Ty se většinou sledují v měsíční periodě.

Nicméně právě ta roční perioda v tvorbě/aktualizaci SWOT analýz pro jednotlivé procesy, dává příležitost udělat si jakýsi celkový pohled na každý proces za dané období. A zároveň to umožňuje porovnání s předchozími obdobími. Jestli se podařilo odstranit některé slabé stránky, eliminovat nějaká rizika, nebo využít příležitostí.

Zvažování rizik na úrovni výrobků

Zvažování rizik je prováděno na úrovni samotné konstrukce výrobku a na úrovní dílčích realizačních procesů, neboli procesů, během kterých výrobek nebo i služba vzniká. Tady není moc co vymýšlet (myšleno nástroj), protože FMEA návrhu nebo FMEA procesu je dlouhodobě používaný a ověřený nástroj pro analýzu rizik na úrovni výrobku. O FMEA tady byl dříve publikovaný samostatný článek Nebojte se FMEA. 

Přesto bych chtěl upozornit na jednu podstatnou věc, na kterou se občas zapomíná a to, aby v rámci FMEA návrhu byly důsledně řešeny i rizika a případné nežádoucí následky, které souvisí s použitím výrobku. Výsledky z FMEA návrhu, respektive stanovená opatření, která mají zabránit nežádoucím následkům, by měly být promítnuty do návodů k použití výrobku. V rámci pravidelných revizích FMEA musí být zohledněny informace získané zpětně od zákazníků nebo ze servisních středisek.  Dále je potřeba řešit i rizika spojená s likvidací výrobku. Protože i likvidace výrobku spadá do „činnosti po dodání“.

Zvažování dalších rizik v organizaci

Výše byla řešena rizika souvisí zejména se systémem řízení dle ISO 9001 :2015, ale pro úplnost je třeba zmínit, že organizace často řeší i jiná rizika, protože má integrovaný systém nebo to vyžaduje legislativa v oblasti, ve které působí. Jsou to analýzy environmentálních rizik, analýzy rizik souvisejících s bezpečností práce, analýzy rizik ohrožující bezpečnost informací, apod. 

Závěr

Hledání rizik a opatření, která tyto rizika eliminují, stejně tak jako hledání příležitostí a způsobů, jak je využít, by mělo být běžnou činností každé organizace. Analýza rizik na úrovni výrobků a procesů je dnes už vcelku běžná. Na strategické úrovní se to spíš dělá formálně, “protože to chce ISO”….. Někdo může namítat, že takové věci jako Covid nebo válka na Ukrajině se stejně nedají předvídat. Ano, ale organizace, která i na strategické úrovni hledá možná rizika a připravuje na ně opatření, bude vždycky ve výhodě proti těm, co to nedělají. Protože při nečekané krizi bude schopna pravděpodobně rychleji a lépe reagovat, než ostatní a to ji může dát konkurenční výhodu. 

Literatura:   

ČSN EN ISO 9001 Systém managementu kvality – Požadavky. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví. 2016.