Zvažování rizik v systému managementu kvality ISO 9001:2015

Zvažování rizik v systému managementu kvality ISO 9001:2015

Miroslav Kohl
Lloyd‘s Register Quality Assurance
Lead Assessor & senior trainer

resumé
Pojetí zvažování rizik bylo v předchozích vydáních ISO 9001 obsazeno implicitně, např. formou požadavků na plánování, přezkoumávaní a zlepšování. Jedním z hlavních záměrů systému managementu kvality je působit jako preventivní nástroj. Tato mezinárodní norma proto neobsahuje samostatnou kapitolu nebo článek o preventivním opatření.

Zvažování rizik použité v této mezinárodní normě umožnilo částečné redukování normativních požadavků a jejich náhradu formou požadavků založených na výkonnosti.

Požadavky týkající se zvažování rizik se objevují v normě ISO 9001:2015 na několika místech:

  • Kapitola 4 Kontext organizace je první kapitolou normy ISO 9001:2015, která určuje požadavky na systém managementu kvality a podle které lze již auditovat. Objevuje se zde požadavek na to, aby organizace určila rizika a příležitosti při určování procesů, které budou zahrnuty do systému managementu kvality organizace aplikace (viz. 4.4.1).
  • Kapitola 5 Leadership/vedení připomíná znovu požadavek na procesní přístup a zvažování rizik a v části 5.1.2, která se zaměřuje na zákazníka, vyžaduje, aby bylo zvažováno riziko, které může mít vliv na shodu produktu a služby s ohledem na spokojenost zákazníka.
  • Kapitola 6 Plánování je zřejmě stěžejní kapitolou, která určuje a upřesňuje požadavek zvažování rizik. Organizace musí zvažovat rizika již při plánování systému managementu kvality a přijímat konkrétní akce na jejich ovlivnění, které budou úměrné k možnému dopadu na shodu produktu a služby. V poznámce 1 k tomuto požadavku se dozvíme, že možným řešením může být např.:

– přijmout akce, které umožní se riziku vyhnout,
– zvažovat negativní dopad rizika naopak jako příležitost,
– eliminovat zdroj rizika snížením pravděpodobnosti vzniku rizika nebo snížení jeho dopadu,
– sdílet riziko (např. s druhou stranou)
– přijmout zbytkové riziko, s kterým se již organizace dokáže vypořádat v případě jeho projevu.

  • Kapitola 9 Hodnocení výkonnosti požaduje v části analýza a hodnocení, aby se zvážila efektivnost akcí přijatých k ovlivnění rizik a tento požadavek je rovněž jedním ze vstupů k provedení přezkoumání systému managementu kvality vedením.
  • Kapitola 10 Zlepšování v části týkající se neshod a nápravných opatření stanoví, pokud to bude vhodné, požadavek na aktualizaci rizik, která byla určena v rámci plánování.

Riziko je definováno v normě ISO 9001: 2015 jako projev nejistoty. Tento projev ovšem může být jak kladný, tak záporný. V českém jazyce slovo „riziko“ vnímáme téměř vždy jako něco negativního. Můžeme si tak pojem riziko přeložit jako riziko (negativní projev) a příležitost (pozitivní projev). Dokonce jednu událost můžeme vnímat jak z pohledu negativního, tak pozitivního působení. Změna směnného kurzu může být rizikem (např. budeme nakupovat dráž suroviny), ale i příležitostí (naopak suroviny budeme nakupovat levněji). Je potřeba si uvědomit, že riziko je situace, která není identifikována jako neshoda, tj. neplnění nějakého požadavku shody, ale které by mohlo vést k chybě v systému. Proto zacházení s riziky vyžaduje jiné postupy, než zacházení s neshodou. Příkladem takového zacházení je provádění rizikových analýz pomocí vhodných nástrojů a to od těch nejjednodušších (např. poučení z negativních událostí, které již někdy nastaly) až po ty více sofistikované (např. FMEA, HACAP).

I když požadavek na zvažování rizik, který vychází z kapitoly 6, je jasný, není podpořen požadavkem na dokumentované informace. To může způsobit určitý problém, jak bude taková shoda prokazována například při auditu. Vhodným důkazem pak může být vlastní fungování procesu (bez významného narušování rizikovými situacemi) a především výsledek procesu, tj. dosažení plánovaného výstupu.

V případě, že nejsou k dispozici dokumentované informace, musí být věnována velká péče i přípravě na audit., tj. rozmyšlení auditní cesty, aby bylo možné nalézt nepřímé důkazy „zvažování rizik“ organizací. Důkazy shody mohou být poskytnuty např. i pouze formou verbální komunikace, naším pozorováním, uvědoměním si souvislostí a opět dosahování požadovaných výsledků procesů. Shoda s požadavky ISO 9001:2015 je založena na integritě a sledovatelnosti důkazů bez ohledu na to, v jaké formě jsou předloženy. Např. jestliže jsme ujišťováni o tom, že organizace plní včasnost dodávek (vidí v této oblasti jen minimální, zbytkové riziko), a přitom dodávka, která má být u zákazníka již zítra ráno, je právě expedována, budeme chtít vidět důkazy, že zboží bude u zákazníka opravdu včas (smlouva s dopravcem, místo určení, trasa a rizika na trase a pod.). Pokud tomu tak není, a dodávky se včas neplní, jak se o takových situacích dozvídá vedení organizace, zda je např. součástí přezkoumání a hlavně, jaké akce se přijímají.

Na závěr by bylo vhodné připomenout, že stanovení rizik se týká i vlastního procesu auditování. Pokud rizika auditu nebudou dostatečně ošetřena, hrozí, že audit nebude efektivní a nebude také ani splněn základní cíl auditu, tj. posouzení shody s požadavky kriteriální normy.