Phương pháp tiếp cận dựa trên rủi ro

Bài viết này của ISOCERT sẽ cung cấp cho bạn cái nhìn tổng quan về “cách tiếp cận dựa trên rủi ro” là gì và cung cấp cho bạn lời khuyên cụ thể về cách các công ty có thể đáp ứng các yêu cầu quy định này.

1. Phương pháp tiếp cận dựa trên rủi ro là gì?

Những rủi ro/ tác hại nào có liên quan?

ISO 14971 định nghĩa thuật ngữ “rủi ro” là “sự kết hợp giữa xác suất xảy ra tổn hại và mức độ nghiêm trọng của tổn hại đó”. Tiêu chuẩn xác định tác hại chủ yếu là các thương tích về thể chất và tổn hại đến sức khỏe. Nhưng nó cũng bao gồm tác hại đối với hàng hóa và môi trường.

Ngược lại, ngoài tác hại về thể chất cho bệnh nhân, người dùng và bên thứ ba, cách tiếp cận dựa trên rủi ro còn bao gồm tác hại và hậu quả do việc không tuân thủ quy định như:

• Thu hồi chứng chỉ
• Kiểm toán sai lệch
• Việc cấp chứng chỉ mới bị trì hoãn hoặc bị ngăn cản

Điều chỉnh các hoạt động đối với rủi ro

Cách tiếp cận dựa trên rủi ro là về việc các công ty điều chỉnh các hoạt động quản lý chất lượng của họ theo mức độ rủi ro. Điều này giúp đạt được các mục tiêu sau:

• Tránh các hoạt động không cần thiết và quản lý chất lượng quan liêu
• Tập trung nguồn lực vào các khía cạnh "quan trọng"
• Tăng cường an toàn và tuân thủ pháp luật

Hình 1: Cách tiếp cận dựa trên rủi ro: tập trung vào các khía cạnh rủi ro cao và các hoạt động thích ứng với chúng

Ví dụ về cách tiếp cận dựa trên rủi ro là:

• Đánh giá dựa trên rủi ro
• Kiểm tra dựa trên rủi ro
• Bảo trì dựa trên rủi ro

Cách tiếp cận dựa trên rủi ro có thể được định nghĩa như sau: “Một cách tiếp cận quản lý chất lượng điều chỉnh các hoạt động phù hợp với quy mô của rủi ro để giảm thiểu rủi ro.”

2. Khung quy định cho cách tiếp cận dựa trên rủi ro

ISO 13485: 2016

Tiêu chuẩn yêu cầu những gì?

Các yêu cầu toàn diện nhất đối với phương pháp tiếp cận dựa trên rủi ro được nêu trong ISO 13485: 2016. Cách tiếp cận này phải được phản ánh trong hệ thống quản lý chất lượng:

• Kiểm soát các quy trình nội bộ (phần 4)
• Kiểm soát quá trình thuê ngoài và các quyết định về thuê ngoài (phần 4)
• Xác thực hệ thống máy tính hóa (CSV) (phần 4)
• Đánh giá hiệu quả của đào tạo (phần 6.2)
• Phát triển sản phẩm (phần 7.1 - 7.3)
• Đánh giá và lựa chọn nhà cung cấp (phần 7.4)
• Kiểm soát các nhà cung cấp bao gồm xác minh các sản phẩm đã mua (phần 7.4)
• Xác thực các quy trình và phần mềm máy tính (phần 7.5 và 7.6)
• Ngăn ngừa các kết quả không mong muốn bằng cách cải thiện hệ thống QLCL (phần 8)

Ở một số nơi, tiêu chuẩn sử dụng thuật ngữ "dựa trên rủi ro", và ở những nơi khác, tiêu chuẩn sử dụng "thích hợp".

Trong phần 4.1, ISO 13485: 2016 yêu cầu kiểm soát dựa trên rủi ro đối với tất cả các quá trình chứ không chỉ là “cách tiếp cận dựa trên rủi ro” đối với các quá trình có tên trong các phần khác.

Những gì tiêu chuẩn không yêu cầu

ISO 13485: 2016 không đặt ra bất kỳ yêu cầu nào về cách thức và địa điểm nhà sản xuất phải chứng minh cách thức thực hiện phương pháp tiếp cận dựa trên rủi ro. Đặc biệt, không có yêu cầu thảo luận về nó trong bất kỳ tài liệu cụ thể nào. Các yêu cầu tương ứng từ các cơ quan được thông báo thiếu cơ sở pháp lý.

Trường hợp đặc biệt: ISO 9001

ISO 9001 đã đề cập đến nguyên tắc của cách tiếp cận dựa trên rủi ro kể từ phiên bản năm 2015. Tiêu chuẩn đưa ra định nghĩa:

"Các hành động được thực hiện để giải quyết rủi ro và cơ hội phải tương xứng với tác động tiềm tàng đến sự phù hợp của sản phẩm và dịch vụ." (Nguồn: ISO 9001: 2015 phần 6.1)

3. Thực hiện phương pháp tiếp cận dựa trên rủi ro

Bước 1: Xác định các rủi ro liên quan đến mỗi quá trình

Ví dụ, liệt kê trong sổ tay QLCL của bạn, tất cả các quy trình có liên quan và xác định các rủi ro liên quan. Bạn có thể thực hiện việc này trong một bảng (xem Bảng 1).

Bạn nên xem xét cả rủi ro pháp lý và rủi ro theo định nghĩa của ISO 14971 (cụ thể là về tính toàn vẹn vật chất).

Bước 2: Xác định các biện pháp

Trong cột bổ sung, hãy thêm các hành động bạn sẽ thực hiện để kiểm soát rủi ro. ISO 9001: 2015 bao gồm các loại hành động có thể có sau đây:

• Tránh rủi ro
• Chấp nhận rủi ro
• Giảm rủi ro bằng cách thay đổi mức độ nghiêm trọng hoặc khả năng gây hại
• Loại bỏ rủi ro (“an toàn vốn có”), ví dụ: bằng cách sửa chữa nguyên nhân

Bảng 1: Phân công nhiệm vụ cho các thông số kỹ thuật QLCL

Bước 3: Thiết lập các lớp rủi ro

Trong bước thứ ba, nhà sản xuất xác định các loại rủi ro, ví dụ:

Bảng 2: Định nghĩa các loại rủi ro

Lưu ý: Nói một cách chính xác, hai cột bên phải không mô tả rủi ro mà thay vào đó mô tả mức độ nghiêm trọng của tác hại với xác suất không rõ ràng. Xác suất nên được hiểu là 'có thể thấy trước một cách hợp lý'.

Bước 4: Điều chỉnh các hành động đối với loại rủi ro

Bây giờ cần phải điều chỉnh phạm vi của các hành động (cột bên phải trong Bảng 1) thành rủi ro (loại rủi ro). Đây là cách tiếp cận dựa trên rủi ro.

Ví dụ 1: Đánh giá thiết kế

Thời gian và nỗ lực dành cho việc xem xét thiết kế có thể được điều chỉnh cho phù hợp với các loại rủi ro. Ví dụ, thời gian và nỗ lực này có thể được điều chỉnh thông qua:

• Tính thường xuyên
• Cường độ: Thời lượng, các khía cạnh kiểm tra
• Những người liên quan...

Bảng 3: Ví dụ về cách tiếp cận dựa trên rủi ro để xem xét thiết kế

Ví dụ 2: Trình độ của nhà cung cấp

“Phương pháp tiếp cận dựa trên rủi ro” cũng phải được sử dụng để lựa chọn, đánh giá và giám sát các nhà cung cấp theo ISO 13485: 2016.

Bảng 4: Ví dụ về cách tiếp cận dựa trên rủi ro đối với năng lực của nhà cung cấp

Ví dụ 3: Xác thực phần mềm máy tính

Để xác nhận phần mềm máy tính, các nhà sản xuất có thể sử dụng một số kích thước để điều chỉnh thời gian và nỗ lực đối với các rủi ro:

1. Chức năng: Việc xác nhận có thể tập trung vào các chức năng phần mềm “quan trọng”. Các chức năng này có thể có dạng:

• Sử dụng các tình huống và các trường hợp sử dụng
• Yêu cầu phần mềm

2. Quy trình kiểm tra: Có thể sử dụng nhiều phương pháp kiểm tra khác nhau tùy thuộc vào rủi ro

• Thử nghiệm "Con đường hạnh phúc" so với thử nghiệm dựa trên lỗi
• Dẫn xuất có hệ thống của các trường hợp kiểm thử bằng cách sử dụng các phương pháp kiểm thử hộp đen như kiểm thử lớp tương đương, kiểm tra giới hạn, kiểm tra bảng quyết định, v.v.

3. Phạm vi kiểm tra: Có một số cách để định lượng phạm vi kiểm tra:

• Phần trăm các tình huống sử dụng được thử nghiệm
• Báo cáo phạm vi
• Phạm vi chi nhánh
• Phần trăm phần tử giao diện người dùng được kiểm tra
• Và nhiều thứ khác nữa

4. Các khía cạnh kiểm tra theo ISO 25010

• Chức năng
• Tính di động
• Bảo mật CNTT
• Khả năng sử dụng
• Hiệu suất (hành vi thời gian, tiêu thụ tài nguyên)
• Khả năng tương tác
• Mạnh mẽ
• Khả năng bảo trì

5. Kiểm tra mức độ

• Kiểm tra đơn vị
• Thử nghiệm hội nhập
• Kiểm tra hệ thống phần mềm
• Kiểm tra sau khi cài đặt và cấu hình trong môi trường đích
• Xác nhận khác, ví dụ: kiểm tra khả năng sử dụng

Ví dụ 4: Hàng hóa đến

Trong trường hợp nhận hàng, các khía cạnh có thể được điều chỉnh cho “cách tiếp cận dựa trên rủi ro” bao gồm:

• Phần trăm các bộ phận được kiểm tra
• Giá trị AQL
• Tỷ lệ phần trăm các thuộc tính được thử nghiệm của một bộ phận

Ví dụ 5: Phát triển phần mềm

IEC 62304 đã triển khai phương pháp tiếp cận dựa trên rủi ro dưới dạng các lớp an toàn. Tùy thuộc vào các lớp này, các nhà sản xuất phải thực hiện và lập hồ sơ các hoạt động như một thiết kế chi tiết.

Các nhà sản xuất có thể tự do xem xét rủi ro của phần mềm tương ứng thậm chí chi tiết hơn trong kế hoạch phát triển. Các điều chỉnh có thể có bao gồm:

• Mọi thứ được đề cập trong ví dụ 1 (đánh giá thiết kế)
• Mọi thứ được đề cập trong ví dụ 3 (CSV)
• Độ sâu mô hình kiến trúc
• Quyết định về tự động hóa các bài kiểm tra, ví dụ: cho GUI
• Mô hình quy trình
• Yêu cầu đối với năng lực của nhóm (yêu cầu rõ ràng của ISO 13485: 2016)
• Các quyết định về việc sử dụng SOUP và thuê ngoài các bộ phận của quá trình phát triển