Pokud se rozhodujete jak převést preventivní opatření do systému kvality podle ISO 9001:2015, bude důležité správně pochopit a implementovat rámec pro řízení rizik. Management rizik více podporuje systémový přístup k řízení rizik a zahrnuje všechny procesy. V každém procesu lze identifikovat a analyzovat rizika a následně stanovit strategii jak s riziky nakládat.

Začněte s riziky již dnes!

Nová norma ISO 9001:2015 dává důraz na „uvažování na základě rizik“, nikoli na postup nebo rámec, ve kterém bychom měli rizika hodnotit. Vhodným přístupem může být aplikace ISO ČSN EN ISO 22301 „Společenská bezpečnost – Systémy managementu kontinuity podnikání – Požadavky“. Norma ISO 22301 umožňuje rozšíření existujících systémů o zajištění kontinuity v případě incidentů či havárií (BCMS), který odpovídá jejím potřebám a který splňuje požadavky jejích zákazníků. Potřeby udržitelného podnikání jsou v tomto systému určeny především právními požadavky a požadavky předpisů, ale též organizačními a průmyslovými požadavky, produkty a službami, zavedenými postupy a procesy, velikostí a strukturou organizace a požadavky zainteresovaných stran.

Můžete použít existující Přiručku kvality a doplnit specifické požadavky na management kontinuity podnikání. Jak na to? V systému managementu kvality dle ISO 9001:2008 lze zohlednit management rizik u následujících požadavků:
› 5.4 Plánování kvality
› 5.6 Přezkoumání vedením
› 6.3 Infrastruktura
› 7.1 Plánování realizace produktu
› 7.3 Návrh a vývoj
› 8.5.3 Preventivní opatření
Pokud se budete zabývat těmi to požadavky zjistíte, že všechny představují pro organizaci a její produkty riziko.

Uvažování na základě rizik

Pro zavedení managementu rizik dle ISO 9001:2015 není vyžadován dokumentovaný postup, příloha A4 hovoří o přístupu na základě rizik a prevenci. „Uvažování na základě rizik“ umožňuje hodnotit rizik jak kvalitativně, tak kvantitativně, a to v závislosti na kontextu organizace. Riziko se často vyjadřuje jako kombinace „významnosti následků“ události a s ní související „možnosti výskytu“. Proto je zapotřebí stanovit závažnost situace a míru formálnosti, které jsou potřebné pro plánování a řízení systému managementu kvality a jeho procesů.

ČSN ISO 31000:2010 „Management rizik – Principy a směrnice“ poskytuje principy a návody pro řízení jakékoli formy rizika systematickým způsobem, uspořádaným do cyklu P–D–C–A. Dílčí části managementu obvykle obsahují postupy, praktiky, přidělování odpovědností, stanovení pořadí a načasování činností. Plán managementu rizik lze používat u celé organizace nebo u její libovolné části. Uspořádání Rámce managementu rizik do cyklu P–D–C–A ukazuje Obr. 1.

 

Cyklus rizik PDCA

Obr.1 Rizika v cyklu P–D–C–A

Cyklicky strukturovaný způsob managementu rizik sjednocuje přístup k řízení konkrétních rizik procesu, projektu či produktu. Managementu rizik podléhá veškeré rozhodování v rámci organizace, a to na různých úrovních řízení. Je nákladné se poučovat z vlastních chyb, řídit se pouze získanými zkušenostmi, reagovat na vyvolané či neřízené změny. Efektivní management rizik je považován manažery za základ pro dosažení cílů organizace. Tab. 1 ukazuje rozsah rámce managementu rizik, obsažený v požadavcích ISO 9001:2015.

Požadavek ISO 9001:2015   Uvažování na základě rizik
Kontext
organizace
(4)
  Porozumění internímu a externímu kontextu organizace, jejímu systému managementu kvality a procesům umožňuje organizaci získat relevantní údaje, ze kterých může analyzovat rizika a příležitosti. Na základě znalosti kontextu bude implementován a následně udržován přístup k řízení rizik. Současně mají být vedením určeny způsoby komunikace týkající se rizik jak interní, tak s externími stranami.
Leadership
(5)
  Vedení organizace musí určit organizační strukturu pro řízení rizik, včetně definování rozsahu a hranic řízení rizik. Vedení má odpovědnost za přijímaná rozhodnutí, ve vztahu k rizikům musí určit a řešit rizika ovlivňující shodu produktů či spokojenost zákazníka; management rizik umožnuje omezovat ztráty, včetně vyhnutí se správnímu řízení.
Plánování
(6)
  Procesy plánování a zohledňování rizik a příležitostí souvisejí s plánováním cílů, vedení má zvažovat rizika související s dosažením cílů. Při řízení organizačních rizik musí vedení organizace zvažovat a aplikovat management změn. Musí být stanovena opatření pro řešení rizik a příležitostí.
Podpora
(7)
  Zahrnuty musí být podpůrné procesy, včetně zdrojů, lidí a informací. Přestože je třeba rizika a příležitosti určit a řešit, neexistuje žádný požadavek na formální management rizik nebo na dokumentovaný proces managementu rizik.
Provoz
(8)
  Provozní procesy týkající se zákazníků a produktů a služeb zvažují především technologická rizika a produktová rizika. Řízení rizik se vztahuje k činnostem po dodání nebo při řešení všech forem externího poskytování produktů a služeb. K možnostem řešení rizik a příležitostí náleží vyhnout se rizikům, přijmout riziko, aby se využila příležitost, odstranit zdroj rizika, změnit pravděpodobnost nebo následky, sdílet riziko nebo zachovat riziko odpovědným rozhodnutím.creative commons
Hodnocení výkonnosti
(9)
  Procesy pro hodnocení výkonnosti zpravidla využívají kvalitativní metody představující kombinace následků události (závažnosti) a s ní související pravděpodobnost výskytu; požaduje se zapojení vedení organizace pro stanovení vstupů do přezkoumání managementu.
Zlepšování
(10)
  Procesy pro zlepšování předpokládají zapojení vedení organizace při hodnocení efektivnosti opatření k řešení rizik a při rozhodování o potřebě zdrojů.

Tab. 1 Rozsah rámce managementu rizik

Narůstají požadavky na nové přístupy managementu: leadership, risk management, management změn. Vedení organizace má porozumět okolnímu podnikatelskému prostředí, tomu přizpůsobit systém kvality. Větší důraz bude kladen na sladění cílů a výsledků, včetně posuzování rizik a příležitostí. Na nic nečekejte: buďte in, najděte odvahu a vykročte.

Autor: Milan Trčka

 creative commons

Toto dílo podléhá licenci Creative Commons Uveďte autora-Neužívejte komerčně 3.0 Česká republika License.

 

Literatura
[1] ISO Part 1, Annex SL, Příloha 2 Závazná struktura, identický základní text, obecné termíny a základní definice
[2] ČSN ISO 31000:2010: Management rizik - Principy a směrnice
[3] ČSN ISO 22301:2013 Ochrana společnosti - Systémy managementu kontinuity podnikání - Požadavky