Małgorzata Biarda Trener Systemów Zarządzania i Norm ISO 9001, 9004, 14001, 14004, 22301, 27001, 31000, 31010, 45001, 45003. Audytor Wiodący (ISO 9001, 14001, 45001, 22301). Wdrożeniowiec, Konsultantka, Blogerka (ISOna6), Trener i Coach Biznesu. Właścicielka Strefy Wsparcia Rozwoju-ISOna 6 – projektu, który pozwala organizacjom przekraczać zamierzone cele, a ludziom zdobywać nowe kompetencje i nieustannie się rozwijać.
Partnerka Jakość bez retuszu z Anną Farion
Abstrakt
Norma ISO 9001 jest najpopularniejszym standardem międzynarodowym dotyczącym zarządzania jakością. Celem niniejszego opracowania jest interpretacja wymagań normy ISO 9001:2015 w odniesieniu do zarządzania ryzykiem i szansami w systemie zarządzania jakością oraz wskazanie korzyści, jakie przynosi proaktywne zarządzanie ryzykiem na podstawie wdrożenia podejścia wynikającego z normy ISO 9001:2015 w organizacji działającej w obszarze logistyki. Niniejsza praca ma za zadnie pokazać w jaki sposób należy odczytywać wymagania normy i je interpretować, aby na ich podstawie zaprojektować iteracyjny mechanizm zarządzania ryzykiem i szansami. Podane w opracowaniu propozycje rozwiązań i przykładowych działań mają za zadanie pomóc zrozumieć wymagania normy ISO 9001:2015 w odniesieniu do ryzyka i szans.
Słowa kluczowe: ryzyko, szansa, zarządzanie zagrożeniami i szansami, zarządzanie ryzykiem, system zarządzania jakością, norma ISO 9001:2015.
- Wstęp
Zarządzanie ryzykiem i szansami jest jedną z kluczowych koncepcji (obok cyklu PDCA
i podejścia procesowego), na których opiera się system zarządzania jakością. Ryzyko w normie ISO 9000:2015 jest zdefiniowane następująco: „Ryzyko wpływ niepewności” [1]. Do tej krótkiej definicji dodane są uwagi, które doprecyzowują pojęcie, do których odniesienie znajduje się w dalszej części opracowania.
Podejście do zarządzania ryzykiem i szansami, zawarte w ww. normie, a tym samym w systemie zarządzania jakością, rodzi pewne wymagania co do działań odnoszących się do ryzyka i szans, które organizacja powinna wdrożyć w swoim systemie. Problem jednak w tym, że sama norma jest w tym zakresie bardzo ogólna. Można powiedzieć, że norma ISO 9001:2015 jest tu bardzo elastyczna, a ta elastyczność właśnie powoduje, że omawiane wymagania sprawiają organizacjom trudność interpretacyjną. Stąd potrzeba przybliżenia wymagań normy ISO 9001:2015 w kontekście zarządzania ryzykiem i szansami.
- Rys historyczny zarządzania ryzykiem i szansami w standardach
Czym jest ryzyko? Etymologia ryzyka nie została dotychczas jednoznacznie wyjaśniona, najczęściej jednak podaje się, że słowo ryzyko (ang. risk, fr. risque, niem. risiko) pochodzi od łacińskiego risicum oznaczającego szansę, prawdopodobieństwo wystąpienia zdarzenia pozytywnego lub negatywnego, sukcesu lub porażki [Nahotko 2001, s. 37–38], lub też od starowłoskiego risicare oznaczającego tyle, co odważyć się [Bernstein 1997, s. XIX–XX][2]. Ryzyko jest jednym z kluczowych pojęć w naukach ekonomicznych, zwłaszcza w naukach
o zarządzaniu i funkcjonowaniu firm. Biorąc pod uwagę historię rozwoju standardów zarządzania ryzykiem, należy stwierdzić, że ewaluują one co najmniej od roku 1901 (Teoria ryzyka Willetta i „Risk. Uncertainty and Profit” F. Knigchta (1921 rok), przez COSO I, AS/NZ4360:1995 (odpowiednio 1992 r. i 1995 r.) oraz CAS, FERMA i COSO II (lata 2003
i 2004) przez standardy ISO: 31000, ISO 22301, ISO 27001 (od 2009 roku)[3]. Powstawanie krajowych standardów, odnoszących się do zarządzania ryzykiem i ich ewaluacja oraz wydanie międzynarodowego standardu zarządzania ryzykiem, jakim jest norma ISO 31000:2018 Zarządzanie ryzykiem Wytyczne[4], było odpowiedzią na zmiany zachodzące w gospodarce światowej. Zjawiska takie jak industrializacja, globalizacja, tworzenie międzynarodowych łańcuchów dostaw, automatyzacja, spowodowały, że właściciele firm i zarządzający nimi muszą się mierzyć z coraz większą niepewnością. Planowanie strategiczne okazuje się niezwykle trudne, ponieważ ilość niepewności jak wynika z dużej dynamiki zmian w świecie, powoduje, że strategie długoterminowe muszą być kaskadowane na cele krótkoterminowe
i powinny być dokładnie monitorowane. W związku z powyższym firmy i wspierające je środowiska naukowe musiały przygotować sensowną odpowiedź na te wyzwania. Organizacje, aby móc trwać i rozwijać się w bardzo labilnym środowisku, gdzie zmiany następują bardzo szybko, potrzebowały narzędzi pomagających „oswoić” tę niepewność. Stąd dochodzimy do podejścia ryzyka, które stosuje się w normie ISO 9001:2015 i które wychodzi od określania wpływu niepewności, wynikających z czynników kontekstowych i wymagań stron zainteresowanych, na cele organizacji. Ten wpływ może być zarówno negatywny (zagrożenia) jak i pozytywny (szanse). W tym kontekście wzrosła rola zarządzania ryzykiem oraz nastąpił rozwój nowych zjawisk z tym związanych. Cytując za K. Jajugą: „Głównymi elementami wskazującymi na rozwój zarządzania ryzykiem są:
- powstanie nowych rozwiązań teoretycznych w analizy i zakresie zarządzania ryzykiem, które mają u podstaw zaawansowane narzędzia teoretyczne,
- włączenie przez podmioty gospodarcze zarządzania ryzykiem do ogólnej strategii zarządzania,
- powstanie zawodu „zarządzający ryzykiem” (risk manager),
- wprowadzenie wymogów informowania o strategii zarządzania ryzykiem w sprawozdaniu finansowym,
- powstanie baz danych umożliwiających szacowanie ryzyka,
- tworzenie przez profesjonalne środowiska oraz przez instytucje nadzorcze i instytucje regulacyjne pewnych standardów i wymogów w zakresie zarządzania ryzykiem,
- powstanie międzynarodowych i krajowych organizacji zajmujących się rozpowszechnianiem wiedzy i standardów profesjonalnych w zakresie zarządzania ryzykiem.”[5]
Dla systemów zarządzania opartych o międzynarodowe standardy ISO, przełomowym okazał rok 2012 i ustanowienie High Level Structure, czyli wspólnej struktury norm systemowych ISO. HLS wprowadziła do norm wymagania odnoszące się do zarządzania ryzykiem i szansami, a konkretnie wymagania dotyczące działań odnoszących się do ryzyka
i szans. W konsekwencji, również rewizja normy ISO 9001 z 2015 roku zawiera wymagania odnoszące się do ryzyka i szans. Co więcej, podejście oparte na ryzyku stało się jedną
z kluczowych koncepcji systemu zarządzania jakością, opartego o wymagania tej międzynarodowej normy. Koncepcja ta ma za zadanie uczynić z systemu zarządzania jakością proaktywne narzędzie do zapobiegania zmaterializowaniu się ryzyka i zmniejszenia jego negatywnych konsekwencji. Myślenie w kategorii ryzyka i szans zastąpiło więc w pewnym sensie działania zapobiegawcze, które zniknęły z normy ISO 9001 w jej aktualnym wydaniu. Warto jednak podkreślić, że choć nie mamy w aktualnym wydaniu normy punktu „działania zapobiegawcze” to są one obecne w tej normie. Wystarczy spojrzeć na pkt 10.2, który mówi, że jeśli w wyniku działań korygujących organizacja uzna, że należy wprowadzić zmiany w SZJ, w celu uniknięcia wystąpienia niezgodności, to de facto mówimy tu o działaniach zapobiegawczych. Co więcej, autorzy normy przyjęli za podstawę wymagań odnoszących się do ryzyka tzw. neutralną koncepcję zarządzania ryzykiem.
W naukach o zarządzaniu wyróżnia się dwie podstawowe koncepcje zarządzania ryzykiem:
- negatywną koncepcję ryzyka opartą na traktowaniu ryzyka wyłącznie jako zagrożenia czy rozpatrywanie ryzyka w odniesieniu do ewentualnej straty, szkody, nieosiągnięcia celu określonego dla danego działania, itp.,
- neutralną koncepcję ryzyka, gdzie ocenia się je zarówno jako zagrożenie, ale także poszukuje się w nim szans dla organizacji wówczas, gdy nie jest znany rezultat działania, zatem osiągnięty wynik może być gorszy, ale też może być lepszy od spodziewanego wyniku.
Norma ISO 9001:2015 wprowadza właśnie to drugie podejście. Określa te wymagania w pkt 6.1 Działania odnoszące się do ryzyka i szans i czyni z nich jeden z podstawowych elementów planowania systemu zarządzania jakością.
Definicja ryzyka w systemie zarządzania jakością
Jak wiemy norma ISO 9001:2015 powołuje w pkt 2 (Powołania normatywne) i pkt 3 (Terminy i definicje) normę ISO 9000:2015 Systemy zarządzania jakością Podstawy
i terminologia. Zgodnie z definicją ryzyka, zwartą w tej normie – pkt 3.7.9 „Ryzyko to wpływ niepewności”. Jednak na tym nie kończy się definiowanie ryzyka, bowiem norma ISO 9000:2015 wyjaśnia dalej w uwagach, na czym ten wpływ niepewności polega i co należy brać pod uwagę w działaniach do ryzyka. Definicja podstawowa jest rozwinięta w normie
w poniższych uwagach:
Uwaga 1 do hasła: Wpływ niepewności powoduje odchylenie od oczekiwań – pozytywne lub negatywne.
Uwaga 2 do hasła: Niepewność to stan, również częściowy, braku informacji (3.8.2) związanej ze zrozumieniem lub wiedzą na temat zdarzenia, jego następstw lub prawdopodobieństwa.
Uwaga 3 do hasła: Ryzyko jest często określane w odniesieniu do potencjalnych zdarzeń (jak zdefiniowano w ISO Guide 73:2009, 3.5.1.3) i następstw (jak zdefiniowano w ISO Guide 73:2009, 3.6.1.3) lub ich kombinacji.
Uwaga 4 do hasła: Ryzyko jest często wyrażone jako kombinacja następstw zdarzenia (z uwzględnieniem zmian oko-liczności) i związanego z nim prawdopodobieństwa (jak zdefiniowano w ISO Guide 73:2009, 3.6.1.1) jego wystąpienia.
Uwaga 5 do hasła: Słowo „ryzyko” jest czasami używane w przypadku możliwych jedynie negatywnych następstw.
Uwaga 6 do hasła: Jest to jeden ze wspólnych terminów i podstawowych definicji dla norm ISO dotyczących systemów zarządzania podanych w Załączniku SL skonsolidowanego Suplementu ISO do Dyrektyw ISO/IEC, Część 1. Oryginalna definicja została zmodyfikowana poprzez dodanie Uwagi 5 do hasła[6].
Wyjaśnia kwestie niepewności, definiując ją jako stan wiedzy dotyczącej danego zdarzenia, jego konsekwencji czy prawdopodobieństwa wystąpienia. Istotą niepewności jest brak informacji (całościowy lub częściowy), na temat zdarzenia, jego konsekwencji czy następstw. Wpływ niepewności może spowodować odchylenia od zamierzonych rezultatów – zarówno pozytywne jak i negatywne. W związku z tym ryzyko najczęściej jest określane jako kombinacja następstw zdarzenia i prawdopodobieństwa jego wystąpienia. Interpretując zatem pełną definicję ryzyka, wraz z uwagami zawartymi w pkt 3.7.9 normy ISO 9000:2015, możemy wyciągnąć z niej następujące wnioski:
- Zarządzanie ryzykiem w systemie zarządzania jakością powinno odnosić się do niepewności, czyli do analizy informacji na temat konkretnych potencjalnych zdarzeń mogących mieć wpływ na realizację celów organizacji.
- Ustalenie jaką wagę mają brakujące informacje dla decyzji o podejmowania działań
w procesach, tj. na ile brak informacji lub niekompletność informacji stanowi dla organizacji zagrożenie, a kiedy może wygenerować szansę. - Zdefiniowanie prawdopodobieństwa wystąpienia (czyli częstotliwości materializacji ryzyka) oraz kryteriów do oceny skutków wystąpienia ryzyka a następnie określenia miary ryzyka, będącego odzwierciedleniem wpływu ryzyka lub szansy na cele organizacji.
A zatem dokładana interpretacja definicji ryzyka daje nam już konkretne wskazówki na czym powinniśmy się skupić, planując działania do ryzyka i szans w naszym systemie.
Wskazówka pierwsza – analizując czynniki, które stanowią źródło ryzyka, nie możemy fokusować się wyłącznie na identyfikacji i ocenie zagrożeń. Musimy również nauczyć się widzieć i wykorzystywać szanse, wynikające z oceny ryzyka.
Wskazówka druga – ryzyka i szanse nie tylko należy identyfikować, ale także oceniać.
Wskazówka trzecia – ocena ryzyka i szans musi zawierać kombinację elementów prawdopodobieństwa wystąpienia i skali skutków, czyli musimy ustanowić kryteria oceny prawdopodobieństwa i skutku.
Wskazówka czwarta – kryteria oceny ryzyka i szans zawsze muszą odnosić się do celów organizacji i wskazywać jak poważne będą negatywne konsekwencje wystąpienia ryzyka oraz jak dużo organizacja zyska wykorzystując szansę.
Powyższe wskazuje zatem jak ważne jest zapoznanie się z definicjami zawartymi w normie terminologicznej i że jest to podstawą zrozumienia wymagań normy ISO 9001:2015
(i każdej innej normy ISO).
- Wymagania normy ISO 9001:2015 odnoszące się do ryzyka i szans
Po zapoznaniu się z definicją ryzyka, czas na zapoznanie się z wymaganiami normy ISO 9001:2015 odnoszącymi się do ryzyka i szans. Przypomnijmy, że zgodnie z pkt 0.1 Postanowienia ogólne, sformułowanie „powinien, należy” oznacza wymaganie. Zatem czytając normę musimy ustalić, co organizacja powinna lub co należy zrobić w organizacji, jej procesach i działaniach, aby spełnić wymagania normy. Temat ryzyka i szans przewija się przez całą normę, bo jak już wcześniej wspominano, stanowi jedną z podstawowych koncepcji. Wymagania dotyczące zarządzania ryzykiem i szansami oraz powiązania pomiędzy poszczególnymi wymaganiami normy z różnych punktów, zostały tak pomyślane w normie ISO 9001:2015, aby stanowić ramę do zbudowania proaktywnego mechanizmu zabezpieczającego organizację przed negatywnymi skutkami ryzyka i jednocześnie dającego możliwości rozwoju poprzez wykorzystanie szans.
Powiązania między punktami i przykładowe działania do każdego z wymagań zawarte zostały w Tabeli 1.
Tabela 1 Wymagania normy ISO 9001:2015 w odniesieniu do ryzyka i szans oraz przykładowe działania
| Punkty normy | Treść wymagania | Wymaganie normy ISO 9001:2015 | Przykładowe działania | ||
| 4
4.4.1 f)
|
Organizacja powinna określić procesy potrzebne w systemie zarządzania jakością i ich zastosowanie w organizacji oraz powinna: […]
f) uwzględnić ryzyka i szanse, które określono zgodnie z wymaganiami 6.1 |
Określenie ryzyka mającego wpływ na możliwość osiągania celów jakościowych | 1. Określenie celów operacyjnych dla procesów i celów jakościowych
2. Identyfikacja zagrożeń/szans 3. Powiązanie zagrożeń/szans |
||
| 5
5.1.1 d)
5.1.2 b) |
Najwyższe kierownictwo powinno wykazywać przywództwo i zaangażowanie w odniesieniu do systemu zarządzania jakością poprzez: […]
d) promowanie stosowania podejścia procesowego oraz opartego na ryzyku
Najwyższe kierownictwo powinno wykazywać przywództwo i zaangażowanie w obszarze orientacji na klienta poprzez zapewnienie, aby:… b) ryzyka i szanse, które wpływają na zgodność wyrobów i usług oraz na zdolność do zwiększania zadowolenia klienta, były określone i uwzględnione |
Najwyższe kierownictwo powinno zapewnić wsparcie i zasoby dla realizacji pkt. 4 | 1. Powołanie zespołu ds. identyfikacji i oceny zagrożeń i szans wraz z określeniem zakresu, obowiązków i uprawnień2. Zaprojektowanie struktury ramowej zarządzania ryzykiem3. Udział kierownictwa w weryfikacji i zatwierdzeniu Rejestru ryzyka/szans4. Zapewnienie odpowiednich warunków pracy zespołu – czasu, zasobów finansowych, uprawnień decyzyjnych |
||
| 6
6.1.1
6.1.2 a) |
Planując system zarządzania jakością, organizacja powinna rozważyć czynniki wymienione w 4.1 oraz wymagania podane w 4.2, a także określić ryzyka i szanse, do których należy się odnieść, w celu:a) zapewnienia, aby system zarządzania jakością mógł osiągnąć zamierzony (-e) wynik (-i);b) zwiększenia pożądanych skutków;c) zapobieżenia wystąpieniu niepożądanych skutków lub ich ograniczenia; d) osiągnięcia doskonalenia.
Organizacja powinna zaplanować: a) działania odnoszące się do ryzyk i szans;… Podjęte działania odnoszące się do ryzyk i szans powinny być proporcjonalne do potencjalnego wpływu na zgodność wyrobów Uwaga 1 Uwzględnienie ryzyk może obejmować unikanie ryzyka, podjęcie ryzyka w celu wykorzystania szansy, usunięcie źródła ryzyka, zmianę prawdopodobieństwa lub następstw, dzielenie się ryzykiem lub zatrzymanie ryzyka na podstawie świadomej decyzji. Uwaga 2 Szanse mogą prowadzić do przyjęcia nowych praktyk, wprowadzenia nowych wyrobów, otwarcia nowych rynków, pozyskania nowych klientów, budowania partnerstwa, stosowania nowych technologii i innych pożądanych i realnych możliwości, uwzględniających potrzeby organizacji lub jej klientów. |
Podejmowanie działań eliminujących lub ograniczających możliwość wystąpienia ryzyka oraz szans z nim związanych | 1. Przeprowadzenie analizy i oceny ryzyka
2. Hierarchizacja ryzyka 3. Określenie sposobu postępowania z ryzykiem 4. Określenie działań naprawczych (minimalizujących zagrożenie) 5. Stworzenie Planów postępowania z ryzykiem |
||
| 6.3 | Jeżeli organizacja określi potrzebę zmian w systemie zarządzania jakością, zmiany powinny być przeprowadzone w sposób zaplanowany (patrz 4.4). Organizacja powinna rozważyć a) cel zmian i ich potencjalne konsekwencje |
Ocena ryzyk i szans dla planowanych zmian w SZJ | Przygotowanie projektu wdrożenia zmian w SZJ i ocena ryzyka związanego z projektem
|
||
| 9
9.1.3 e)
9.3.2 e) |
Organizacja powinna analizować i oceniać odpowiednie dane i informacje z monitorowania i pomiaru. Wyniki analizy powinny być wykorzystywane do oceny: […]e) skuteczności działań podjętych w celu uwzględnieniu ryzyk i szans.Przegląd zarządzania powinien być zaplanowany i przeprowadzony z uwzględnieniem:… e) skuteczności podjętych działań uwzględniających ryzyka i szanse (patrz 6.1) . |
Doskonalenie poprzez podejmowanie działań zmniejszających ryzyko i powodujących zmiany w poziomie ryzyka |
1. Weryfikacja podejmowanych działań
2. Audyty wewnętrzne 3. Przeglądy zarządzania |
||
|
W sytuacji wystąpienia niezgodności, w tym każdej wynikającej z reklamacji, organizacja powinna:…
e) aktualizować ryzyka i szanse określone podczas planowania, jeżeli to konieczne |
Doskonalenie poprzez analizę ryzyk i szans po wystąpieniu i zneutralizowaniu każdej niezgodności | 1.Weryfikacja procesów, instrukcji, itp. w sytuacji zmiany i ponowny przegląd ryzyka i szans związanych z obszarem wystąpienia niezgodności
|
Opracowanie własne na podstawie normy PN-ISO 9001:2015
Szukając zatem wymagań odnoszących się do ryzyka i szans, powinniśmy w pierwszej kolejności rozważyć pkt 6.1 Działania odnoszące się do ryzyk i szans. Jakie zatem wymagania zawiera ten punkt.
Po pierwsze, zgodnie z wymaganiami pkt 6.1.1, planując swój system zarządzania jakością organizacja powinna rozważyć czynniki wymienione w pkt 4.1 oraz wymagania podane w pkt 4.2. To wymaganie kieruje nas w stronę określenia źródeł ryzyka i szans, których należy poszukiwać w szeroko pojętym kontekście organizacji i jej zobowiązaniach. Zatem już wiemy, że w pierwszej kolejności powinniśmy przeanalizować czynniki zewnętrzne i wewnętrze, istotne dla osiągnięcia zamierzonych wyników naszego systemu zarządzania jakością i ustalić jaki wpływ mają one na nasze działania. Następnie musimy przeanalizować wymagania istotnych stron zainteresowanych w jaki sposób wpływają one na organizację naszych działań i procesów. Analiza czynników kontekstu i potrzeb zainteresowanych stron pozwoli nam zidentyfikować ryzyka i szanse, które będą wpływać na wyniki naszego systemu zarządzania jakością, czyli mogą stanowić zagrożenia dla osiągnięcia zamierzonych rezultatów lub mogą spowodować znaczne przekroczenie oczekiwanych wyników. Sama identyfikacja zagrożeń
i szans nie wystarczy, należy w oparciu o zamierzone wyniki, cele strategiczne, operacyjne, finansowe itd. ustalić kryteria oceny ryzyk i szans. Kryteria te muszą oceniać ryzyko
w odniesieniu do jego konsekwencji i prawdopodobieństwa wystąpienia – im bardziej uciążliwe konsekwencje i/lub większe prawdopodobieństw wystąpienia ryzyka, zagrażające realizacji celów i osiągnięciu zamierzonych wyników, tym wyższa ocena ryzyka. Podobnie
w odniesieniu do szans – im większa korzyść z podjęcia szansy, tym jej wyższa ocena.
Mamy więc ocenione ryzyka i szanse. Czy to wystarczy, aby spełnić wymagania normy ISO 9001:2015 w odniesieniu do zarządzania ryzykiem i szansami? Oczywiście, że nie.
Dalej norma wymaga w pkt 6.1.2 zaplanowania działań odnoszących się do ryzyka i szans oraz sposobu(ów) zintegrowania i wdrożenia tych działań do procesów systemu zarządzania jakością, zgodnie z wymaganiami pkt 4.4.1 f). Oznacza to, że działania do ryzyka muszą stać się elementem realizacji procesów i działań w organizacji. A to z kolei generuje potrzebę poinformowania pracowników o ryzykach i szansach oraz działaniach do nich, które staną się kolejnym elementem wykonywania pracy przez pracowników. Planując działania organizacja powinna nie tylko ustalić co będzie robione, aby obniżyć poziom ryzyka, ale także zaplanować w jaki sposób będzie monitorować postępy i mierzyć efektywność działań do ryzyka czy też skuteczność i wartość dodaną z wykorzystanej szansy. W ten sposób dochodzimy do konieczności ustanowienia komunikacji i konsultacji w odniesieniu do ryzyka i szans.
Kolejnym wymaganiem normy ISO 9001:2015 jest zaplanowanie oceny skuteczności tychże działań do ryzyka i szans. Zatem skoro organizacja powinna oceniać ryzyko i szanse, to również musi analizować i oceniać wyniki, co jest wymaganiem wprost sformułowanym w punkcie 9.1.3 e) normy ISO 9001:2015. Wynikiem analizy i oceny skuteczności działania powinna być ponowna ocena ryzyka. Skuteczne działania powinny dać w rezultacie niższy poziom ryzyka. Jeśli przed wdrożeniem działań dane ryzyko było ocenione jako „wysokie”, skuteczne działania powinny spowodować, że ponowna ocena ryzyka daje wynik „średnie”. Skutecznie wykorzystana szansa może spowodować jej zniknięcie z zapisów dotyczących ryzyka.
Na tej podstawie można podjąć decyzje dotyczące dalszego działania do ryzyka i szans. Zgodnie z apetytem na ryzyko, określonym przez organizację, może ona, na podstawie faktów i danych z monitorowania, pomiaru, analizy i oceny ryzyka i szans, podjąć świadomą decyzję dotyczącą swojego postępowania. W tym miejscu mówimy jeszcze o decyzjach właścicieli ryzyka[7], czyli jesteśmy na poziomie realizacyjnym, operacyjnym organizacji. To oni decydują czy nadal wdrażają kolejne działania czy zmieniają strategię postępowania i np. przyjmują ryzyko jako rezydualne, nawet jeśli jego poziom jest wysoki. Należy bowiem pamiętać, aby działania do ryzyka i szans były proporcjonalne do potencjalnego wpływu na zgodność wyrobów i usług. Oznacza to, że nie mamy obowiązku dążenia obniżania poziomu ryzyka za wszelką cenę, nie biorąc pod uwagę czynników ekonomicznych czy zdrowego rozsądku. Należy jednak podkreślić, że wybór strategii[8] i wdrażanie działań lub rezygnacja z działań muszą opierać się na danych, zatem powinny być wynikiem analizy i oceny skuteczności działań oraz ponownej oceny ryzyka i szans.
Kolejnym wymaganiem normy ISO 9001:2015 jest ocena działań do ryzyka i szans na poziomie najwyższego kierownictwa, podczas przeglądu zarządzania systemu zarządzania jakością (9.3.2 e). podczas przeglądu ocenie poddawane są kompleksowo wszystkie ryzyka
i omawiana jest skuteczność działań do każdego rodzaju ryzyka występującego w organizacji. W efekcie podejmowane są decyzje dotyczące ryzyka i szans w odniesieniu do strategii
i apetytu na ryzyko całej organizacji. Decyzje z przeglądu, podobnie jak decyzje właściciel ryzyka stanowią dane wejściowe do doskonalenia i ciągłego doskonalenia systemu zarządzania jakością danej organizacji.
Ważnym aspektem tego doskonalenia są działania korygujące do niezgodności. Otóż zgodnie z wymaganiami pkt 10.2, w przypadku niezgodności, w tym każdej pochodzącej
z reklamacji, organizacja powinna wdrożyć działania korekcyjne, ustalić przyczynę niezgodności i wdrożyć działania korygujące, ocenić ich skuteczność i jednocześnie zaktualizować ryzyka i szanse zidentyfikowane dla obszaru wystąpienia niezgodności. Jest to niezbędne z tego względu, że samo wystąpienie niezgodności może wskazać nowe ryzyko, którego wcześniej nie zidentyfikowaliśmy. Działania do ryzyka mogą dać podstawę do obniżenia poziomu ryzyka, mogą wygenerować nową szansę.
- Wykorzystanie podejścia do ryzyka zawartego w normie ISO 9001:2015 do zaprojektowania i wdrożenia procesu zarządzania ryzykiem na przykładzie wybranego przedsiębiorstwa.
W ramach niniejszego opracowania zaprezentowane jest wykorzystanie podejścia do zarządzania ryzykiem w systemie zarządzania jakością opartego na normie ISO 9001:2015. przykładzie wybranego przedsiębiorstwa z branży magazynowej, realizującego usługi logistyczne dla innych klientów. Kluczowi klienci magazynu to sklepy internetowe (tzw. branża e-commerce). Z uwagi na fakt, że w poniższym case study zostały opisane rzeczywiste działania opisywanej firmy, które w jej ocenia są elementem jej wiedzy i know how, autorka opracowania została zobowiązana do zachowanie poufności oraz nieujawniania nazwy organizacji.
Opisana organizacja jest polskim przedsiębiorstwem (magazynem) świadczącym usługi
w dziedzinie logistyki kontraktowej, dopasowane do potrzeb e-commerce i handlu tradycyjnego. W 2020 roku kierownictwo firmy podjęło decyzję o wdrożeniu systemu zarządzania jakością opartego o normę ISO 9001:2015. Należy dodać, że w momencie podjęcia decyzji o wdrożeniu SZJ, firma działał na rynku od pięciu lat i jej top management czuł, że firma wkracza w taką fazę rozwoju, gdzie konieczne jest wykorzystanie profesjonalnych standardów do wsparcia dalszego rozwoju organizacji. Nie bez znaczenia jest tu fakt, że kadra zarządzająca, w tym Dyrektor Generalny, miała za sobą doświadczenia pracy w organizacjach, gdzie SZJ oparty o normę ISO 9001:2015 był podstawowym standardem zarządzania jakością. Oznaczało to dużą świadomość roli, ale też wymagań tego standardu i też zrozumienie zaangażowania najwyższego kierownictwa. Stąd podjęto decyzję o wyborze kompetentnego konsultanta wspierającego w organizacji wdrożenie, a następnie wybrano i powołano Pełnomocnika ds. Systemu Zarządzania Jakością. Pełnomocnik odbył stosowne szkolenia
z wymagań normy ISO 9001:2015 i z wdrożenia tego systemu. Następnie wraz z konsultantem przystąpili do realizacji wcześniej zaplanowanego projektu wdrożenia systemu. Ponieważ opracowanie niniejsze dotyczy zarządzania ryzykiem i szansami, inne elementy wdrażania SZJ zostały celowo pominięte.
Jednym z etapów wdrażania SZJ, był etap wdrożenia działań do ryzyka i szans. Najwyższe kierownictwo wraz z Pełnomocnikiem i Konsultantem w pierwszej kolejności dokonało oceny elementów zarządzania ryzykiem, które funkcjonowały w organizacji (analiza SWOT i oceny ryzyka robione silosowo, głównie dla obszarów operacji). Wnioski z tej oceny zaprowadziły ich do następujących decyzji:
- Po pierwsze zarządzanie ryzykiem i szansami w ich SZJ będzie procesem
- Po drugie wybrano matrycę ryzyka jako podstawową metodę oceny ryzyka i szans
- Po trzecie podjęto decyzję o zaprojektowaniu struktury ramowej zarządzania ryzykiem
i szansami w ich SZJ.
Najwyższe kierownictwo wzięło odpowiedzialność za cały proces oraz przyznało sobie uprawnienia do ostatecznej akceptacji wyników wszelkich działań w procesie zarządzania ryzykiem i szansami. W ramach już funkcjonujących stanowisk organizacyjnych ustalono rolę Właściciela ryzyka i określono dla niej uprawnienia i obowiązki. Właścicielstwo ryzyk przypisano właścicielom procesów i jednocześnie zobowiązano ich do udziału w ocenie ryzyka i nadano odpowiedzialność za wdrożenie i skuteczność działań do ryzyka i szans. Dodatkowo powołano rolę Koordynatora ds. ryzyka i szans, która miała pełnić funkcję konsultacyjną
i odpowiadała za ocenę ryzyk realizowaną na poziomie realizacji procesów.
Pełnomocnik uzyskał uprawnienia Risk Managera i został odpowiedzialny za to, aby nadzorować zgodność procesu zarzadzania ryzykiem i szansami. W celu zapewnienia wsparcia tego procesu opracowano: Procedurę zarządzania ryzykiem i szansami, schemat blokowy dla procesu oraz przygotowano Rejestr ryzyka i szans jako podstawę dokumentowania procesu. Najwyższe kierownictwo określiło również zakres procesu zarządzania ryzykiem
i szansami oraz kryteria oceny ryzyka i szans. W procesie ustalono również zasady konsultacji i komunikacji w procesie oceny ryzyka.
Kolejnym etapem były warsztaty ryzyka moderowane przez Konsultanta i Pełnomocnika. Warsztaty składały się z dwóch elementów – pierwszy etap to szkolenie z metody i kryteriów oraz zapoznanie uczestników warsztatów z dokumentacja procesową, drugi etap – przeprowadzenie identyfikacji, analizy i ewaluacji ryzyk i szans oraz udokumentowanie wyników warsztatów w Rejestrze ryzyka i szans.
W warsztatach ryzyka udział wzięli Najwyższe kierownictwo, Właściciele ryzyk
i Koordynatorzy ds. ryzyka i szans oraz Pełnomocnik i Konsultant. Wyniki oceny ryzyka i szans zostały przeanalizowane przez Najwyższe kierownictwo i ostatecznie zatwierdzone po kilku korektach. Następnie podjęto decyzję o przygotowaniu działań do ryzyka i szans i opracowania zasad ich wdrożenia oraz integracji z procesami operacyjnymi i pomocniczymi. Zadanie to zostało przypisane do Właścicieli ryzyka. Właściciel ryzyka wraz z Koordynatorami opracowali działania do ryzyka i szans. Plany te zawierały opis konkretnych działań mających na celu zminimalizowanie prawdopodobieństwa wystąpienia i obniżenia ciężkości skutków zmaterializowania się ryzyka, czas wdrażania działań, osoby odpowiedzialne za działania, metodę i wskaźniki oceny skuteczności działań. Plany zostały poddane ocenie Najwyższego kierownictwa po konsultacji z Pełnomocnikiem i Konsultantem. Finalnie zostały zatwierdzone i zostały wdrożone.
Ważnym elementem procesu zarządzania ryzykiem i szansami było ustalenie zasad dokonywania przeglądu ryzyka. Zgodnie z opracowaną procedurą Właściciel ryzyka, którzy są jednocześnie właścicielami procesów zostali zobligowania do dokonania przeglądu ryzyka
i jego ponownej oceny w sytuacji:
- zmiany czynnika zewnętrznego lub wewnętrznego oraz wymagań stron zainteresowanych (oni również są odpowiedzialni za monitorowanie kontekstu i ocenę zgodności z wymaganiami interesariuszy,
- wystąpienia niezgodności lub reklamacji i wdrożenia działań korygujących,
- cyklicznej oceny skuteczności działań realizowanej w cyklach sześciomiesięcznych,
- przed przeglądem zarządzania, aby opracować dane wejściowe do przeglądu.
W pierwszym cyklu rocznym funkcjonowania procesu w zakresie systemu Zarządzania jakością tej organizacji, Pełnomocnik ds. Systemu Zarządzania Jakością odbył szkolenie
z zarządzania ryzykiem wg normy ISO 31000:2018 i służył realnym wsparciem właścicielom procesów w integracji działań do ryzyka z procesami operacyjnymi i wspierającymi oraz
i wykorzystywaniu szans. Dzięki temu organizacja zaczęła budować kolejny element kultury organizacyjnej – wykorzystywanie podejścia opartego na zarządzaniu ryzykiem i szansami jako elementu kultury korporacyjnej.
Podsumowanie efektywności procesu na pierwszym przeglądzie zarządzania wskazało na znaczną poprawę w obszarze minimalizowania skutków ryzyka, a zwłaszcza wykorzystania szans.
- Korzyści z wdrożenia procesu zarządzania ryzykiem i szansami w SZJ przedmiotowej organizacji.
Skuteczny proces zarządzania ryzykiem i szansami pozwoli opisywanej organizacji zminimalizować skutki ryzyka związanego z woją w Ukrainie oraz wykorzystać wygenerowane podczas analizy i oceny szanse. Dzięki cykliczności przeglądów ryzyka
i procesowi konsultacji i komunikacji w procesie zarządzania ryzykiem i szansami, właścicielowie procesów (a tym samym właścicielowie ryzyk) bardzo szybko zidentyfikowali zagrożenia związane z potencjalną możliwością wojny w Ukrainie (jest koniec roku 2021). Zagrożenia te wiązały się z faktem, że 80% załogi magazynu to byli obywatele Ukrainy
i Białorusi. Wybuch konfliktu zbrojnego, o którym mówiła Europa, między Rosją a Ukrainą spowodowałyby poważne perturbacje dotyczące ilości pracowników i ich dostępności.
W związku z powyższym rozpoczęto poszukiwania nowych kierunków pozyskiwania pracowników. Wybrano destynacją azjatycką i agencję, która zajęła się dostarczeniem pracowników zgodnie z wymaganiami organizacji. W momencie wybuchu wojny na Ukrainie w lutym 2022 roku, w naszym magazynie kończył się proces adaptacji pierwszej grupy pracowników z Azji (Indie, Wietnam, Bangladesz). Tym samym odpływ pracowników
z Ukrainy i Białorusi nie spowodował braków kadrowych i problemów z utrzymaniem SLA
i innych wymagań klientów. Dodatkowo zostały zidentyfikowane ryzyka w łańcuchach dostaw i podjęto działania mitygujące.
W ostatecznym podsumowaniu, dzięki skutecznemu procesowi zarządzania ryzykiem
i szansami organizacja uniknęła zmaterializowania się ryzyka, wykorzystała szanse związane z nowym kierunkiem pozyskiwania pracowników i zmiany polityki utrzymywania zapasów. Ocena krytycznych okresów działalności klientów, dla których realizowane są usługi – black friday i wyprzedaże sezonowe wskazuje, że linia i kierunek działania są skuteczne. Firma osiągnęła zakładane cele finansowe i wygenerowała zyski, w przeciwieństwie do większości firm z branży. Analizują bilans tej firmy, faktem jest, że firma osiąga zysk i rośnie z roku na rok oraz firma bardzo dobrze sobie radzi z niepewnością, zmianami w kontekście. Rozwija się prężnie i dynamicznie, realizują swoją misję, wizję i strategię.
- Podsumowanie
Zarządzanie ryzykiem i szansami w systemie zarządzania jakością stanowi istotny element zapewnienia organizacji utrzymania i rozwoju w niestabilnych warunkach ciągle zmieniającego się otoczenia zewnętrznego i kultury organizacyjnej wewnątrz organizacji. Choć wielu krytyków zarzuca normie ISO 9001:2015 zbyt dużą ogólność i brak precyzji w odniesieniu do jej kluczowej koncepcji (i nie tylko, także do całej normy), powyższy tekst wykazuje, że nie do końca tak jest. Norma jest precyzyjna co do wymagań, jak pokazano wyżej, jest ich wystarczająco, aby zbudować iteracyjny mechanizm wychodzący od analizy kontekstu
i ustalenia wymagań niezbędnych do spełnienia w systemie, aby móc dostarczać wyroby
i usługi zgodne z wymaganiami i uzyskiwać wysoką satysfakcję klientów. Te elementy są podstawa do identyfikacji ryzyk i szans, ich oceny i wdrożenia działań zintegrowanych
z procesami biznesowymi i procesami systemu zarządzania jakością. Wdrożone działania musza być o cenione i na podstawie danych z oceny, podejmowane są kolejne decyzje. W ten sposób nasze zarządzanie ryzykiem i szansami jest dynamiczne i zawsze podąża za zmianami w rzeczywistości.
Bibliografia
- Stasiuk-Piekarska A., M. Wyrwicka, Ł Hadaś, Ryzyko organizacyjne w produkcji, Wydawnictwo Politechniki Poznańskiej, Poznań 2020, s. 29.
- Jajuga, Zarządzanie ryzykiem, Wydawnictwo PWN, Warszawa 2007, s. 9.
Norma PN-ISO 31000:2018-8, Copyright by PKN, Warszawa 2018
Norma PN-ISO 9000:2015-10, Copyright PKN, Warszawa 2014
Norma PN-ISO 9001:2015-10, Copyright PKN, Warszawa 2016
[1] PN-EN ISO 9000:2015-10 Systemy zarządzania jakością Podstawy i terminologia, Copyright by PKN, Warszawa 2016, definicja nr 3.7.9, s. 26.
[2] M. Gładysz, Ryzyko w działalności gospodarczej, Katedra Ekonomii i Polityki Gospodarczej SGGW, s.31
[3] Na podstawie Stasiuk-Piekarska A., Wyrwicka M., Hadaś Ł., Ryzyko organizacyjne w produkcji, Wydawnictwo Politechniki Poznańskiej, Poznań 2020, s. 29.
[4] Norma ISO 31000:2018-08 Zarządzanie ryzykiem Wytyczne, Copyright by PKN, Warszawa 2018.
[5] Red. K. Jajuga, Zarządzanie ryzykiem, Wydawnictwo PWN, Warszawa 2007, s. 9.
[6] PN-EN ISO 9000:2015-10 Systemy zarządzania jakością Podstawy i terminologia, Copyright by PKN, Warszawa 2016, definicja nr 3.7.9, s. 26.
[7] Właścicielem ryzyka nazywa się osobę odpowiedzialną za działania do ryzyka i szans, które zostały przypisane do danego obszaru. Jest to pojęcie często stosowane w zarządzaniu ryzykiem, w odniesieniu do odpowiedzialności i uprawnień oraz ról w zarządzaniu ryzykiem. Właściciel ryzyka najczęściej jest tożsamy z właścicielem procesu lub managerem danego obszaru.
[8] Zasadniczo, w literaturze przedmiotu dotyczącego ryzyka można spotkać następujące strategie postępowania z ryzykiem: unikanie ryzyka, tj. niepodejmowanie działań, które mogłyby doprowadzić do zmaterializowania się ryzyka, działanie na prawdopodobieństwo i/lub na skutek ryzyka w celu ich zmniejszenia, dzielenie się ryzykiem poprzez scedowanie na inne podmioty części lub całości kosztów związanych ze zmaterializowaniem się ryzyka i podjęcie ryzyka lub zwiększenie jego poziomu w celu wykorzystania szansy.