Xác định tính rủi ro và cơ hội trong ISO 9001:2015

Rủi ro và cơ hội là gì?

Rủi ro và cơ hội được xem là 2 mặt đối lập nhau. ISO định nghĩa rủi ro là “ảnh hưởng của sự không chắc chắn đối với kết quả mong đợi”. Việc quản lý rủi ro hiệu quả cần được thảo luận kỹ lưỡng trước để đảm bảo có ít bất ngờ hơn, cải thiện việc lập kế hoạch, ra quyết định hiệu quả và mối quan hệ tốt hơn với các bên liên quan. Quản lý rủi ro hiệu quả dẫn đến hiệu suất tốt hơn, cải tiến liên tục và tăng sự hài lòng của khách hàng. Cơ hội được coi là mặt tích cực của rủi ro, đó là lý do tại sao, ISO 9001: 2015 tập trung vào việc giảm thiểu rủi ro và mở rộng cơ hội.

Sự không chắc chắn nằm ở cốt lõi của quản lý rủi ro. Bạn có thể không biết khả năng một sự kiện sẽ xảy ra hoặc thậm chí nó sẽ xảy ra ở mức nào. Đồng thời, hậu quả khi nó xảy ra cũng sẽ không chắc chắn. Khả năng xảy ra có thể được mô tả là xác suất mà một sự kiện sẽ xảy ra, trong khi hệ quả được định nghĩa là kết quả hoặc tác động của một sự kiện. Được sử dụng cùng nhau, hai yếu tố này xác định độ lớn hoặc quy mô của rủi ro.

Nói chung, các quy trình quản lý rủi ro tuân theo một số bước hợp lý, mặc dù thuật ngữ được sử dụng để mô tả các bước này thường khác nhau và các bước bổ sung đôi khi được thêm vào. 5 bước của quy trình quản lý rủi ro được mô tả dưới đây tạo thành một quy trình quản lý rủi ro đơn giản nhưng hiệu quả.

Xác định rủi ro và cơ hội

Rủi ro và Cơ hội cần được xác định dựa trên Bối cảnh của Tổ chức, cả bên trong và bên ngoài và các yêu cầu của các Bên quan tâm hiện hành. Bối cảnh bên ngoài liên quan đến môi trường mà tổ chức hoạt động. Những yếu tố này có thể được thúc đẩy bởi các yếu tố pháp lý, tài chính, quy định, xã hội và văn hóa. Bối cảnh nội bộ, liên quan đến môi trường nội bộ của tổ chức và được thúc đẩy bởi các yếu tố như hệ thống cấp bậc, khả năng nguồn lực, cơ cấu tổ chức. Rủi ro có thể phát sinh trong một trong hai bối cảnh này cần được xác định. Sau đó, tổ chức cần xác định các rủi ro có thể phát sinh do yêu cầu của các Bên quan tâm. Tổ chức cần hiểu các yêu cầu của tất cả các bên liên quan và sau đó xác định các rủi ro liên quan đến việc đạt được các yêu cầu này. Một số ví dụ về yêu cầu của các bên quan tâm là: khách hàng yêu cầu phân phối thấp hoặc không có sai sót, nhân viên cần sự hài lòng trong công việc hoặc cân bằng cuộc sống công việc hoặc hiệu quả tài chính. Mỗi điều này có thể dẫn đến rủi ro hoặc cơ hội. Tổ chức cần hiểu những điều này và tất cả các rủi ro và cơ hội có thể phát sinh do bối cảnh hoặc yêu cầu của các bên quan tâm phải được xác định.

Phương pháp quản lý rủi ro

Rủi ro sẽ ảnh hưởng đến mọi khía cạnh hoạt động của tổ chức bạn. Hiểu các rủi ro và quản lý chúng một cách thích hợp sẽ nâng cao khả năng đưa ra quyết định tốt hơn của tổ chức, bảo vệ tài sản và nâng cao khả năng cung cấp sản phẩm và dịch vụ cũng như đạt được sứ mệnh và mục tiêu của mình.

Bằng cách xem xét rủi ro trong toàn bộ tổ chức của bạn, khả năng đạt được các mục tiêu đã nêu sẽ được cải thiện, đầu ra nhất quán hơn và khách hàng có thể tin tưởng rằng họ sẽ nhận được sản phẩm hoặc dịch vụ mong đợi. Do đó, tư duy dựa trên rủi ro giúp:

• Cải thiện niềm tin và sự hài lòng của khách hàng
• Đảm bảo tính nhất quán của chất lượng hàng hóa và dịch vụ
• Thiết lập văn hóa chủ động phòng ngừa và cải thiện
• Thực hiện một cách tiếp cận dựa trên rủi ro một cách trực quan

Chúng tôi khuyên bạn nên sử dụng phương pháp Kế hoạch-Thực hiện-Kiểm tra-Hành động (PDCA) quen thuộc để quản lý quá trình chuyển đổi của tổ chức bạn sang tư duy dựa trên rủi ro; Sử dụng cách tiếp cận này.

Quy trình đánh giá rủi ro

Đánh giá rủi ro nên được đưa vào hoạt động hàng ngày của tổ chức và phải được thực hiện ở tất cả các cấp trong toàn tổ chức của bạn. Mục đích chung của đánh giá rủi ro là đảm bảo rằng các khả năng và nguồn lực của tổ chức được sử dụng một cách hiệu quả và hiệu quả để quản lý các cơ hội và mối đe dọa.

Đánh giá rủi ro có thể được thể hiện như một quá trình 7 bước, theo chu kỳ:

Bước 1: Lập kế hoạch

Tổ chức của bạn nên phát triển và lập thành văn bản một kế hoạch mô tả ngắn gọn cách thức và thời điểm rủi ro, dưới dạng điểm mạnh, điểm yếu, cơ hội và mối đe dọa, sẽ được đánh giá và ai sẽ tham gia. Điều này phải phản ánh phạm vi (bao gồm độ phức tạp, giao diện, v.v.), các chính sách và mục tiêu.

Bước 2: Nhận dạng

Trong bước này, tổ chức của bạn nên xác định một cách có hệ thống những rủi ro liên quan đến phạm vi của quá trình có thể ảnh hưởng đáng kể đến việc đạt được các mục tiêu và sự phù hợp của sản phẩm.

Việc xác định rủi ro cần được thực hiện với sự tham gia đầy đủ của các bên liên quan để đảm bảo các quan điểm và kiến ​​thức chuyên môn liên quan phải được thể hiện (ví dụ: các đại diện có trình độ phù hợp từ các chức năng khác nhau, nhà thầu, các bên liên quan, nhà cung cấp và chuyên gia nếu thích hợp).

Xác định rủi ro liên quan đến mối quan hệ giữa tổ chức của bạn và môi trường hoặc cộng đồng rộng hơn, bên ngoài.

Một loạt các vấn đề cần được xem xét khi kiểm tra nội dung chiến lược, bao gồm:

• Cơ hội và mối đe dọa liên quan đến môi trường kinh tế, xã hội, chính trị, văn hóa, môi trường, quy định và cạnh tranh của địa phương, khu vực, tiểu bang và toàn cầu
• Các lực đẩy chính của chiến lược các bên liên quan
• Điểm mạnh và điểm yếu của việc đạt được mục tiêu

Xác định rủi ro hoạt động liên quan đến việc đạt được sự hiểu biết về khả năng, mục tiêu, mục tiêu, điểm mạnh và điểm yếu của tổ chức bằng cách xem xét:

• Cơ cấu tổ chức và văn hóa
• Địa lý / nhân khẩu học
• Danh tính và bản chất của sự tương tác với các bên liên quan chính bên trong hoặc bên ngoài
• Sự tồn tại của bất kỳ ràng buộc hoạt động nào
• Mục tiêu và các chỉ số hoạt động chính
• Các lỗ hổng về khả năng phục hồi kinh doanh
• Các vấn đề liên quan liên quan đến các đánh giá rủi ro quản lý thay đổi, hiệu suất hoặc đánh giá gần đây
• Các mối quan tâm hoặc yêu cầu của cộng đồng các bên liên quan có liên quan
• Các yêu cầu và ràng buộc theo quy định và hợp đồng
• Những hệ thống quản lý chất lượng

Bước 3: Đánh giá

Khi đã xác định được tất cả các mối nguy và rủi ro liên quan có thể ảnh hưởng đến sức khỏe và an toàn nghề nghiệp, có thể thực hiện quá trình đánh giá mức độ rủi ro về mức độ nghiêm trọng.

Quá trình quan trọng này, cùng với sự hiểu biết sâu sắc về luật pháp và các yêu cầu tương tự khác, cung cấp nền tảng của hệ thống quản lý.

Quá trình đánh giá này rất quan trọng trong việc xác định nhu cầu của các biện pháp kiểm soát nhằm mục đích giảm rủi ro xuống các mức được cho là có thể chấp nhận được hoặc đáp ứng các yêu cầu của pháp luật.

Sau đó, mức ý nghĩa (hoặc xếp hạng rủi ro) nên được sử dụng để ưu tiên các hành động.

Hãy nhớ rằng tầm quan trọng của quá trình này không thể được đánh giá quá cao. Nếu bạn làm sai quy trình này, toàn bộ hệ thống sẽ gặp rắc rối.

Việc đánh giá mức độ nghiêm trọng của rủi ro cần thu hút sự chú ý của ban lãnh đạo và hỗ trợ việc lập kế hoạch giảm thiểu rủi ro. Đánh giá rủi ro định lượng (QRA) có thể được thực hiện để nâng cao hiểu biết về hồ sơ rủi ro và thu được sự hiểu biết chi tiết hơn về các rủi ro về chi phí và thời gian nhất định. Đầu ra của QRA cũng có thể hỗ trợ việc ra quyết định và giám sát các hoạt động quản lý rủi ro.

Bước 4: Phản hồi

Đối với mỗi rủi ro, chủ sở hữu rủi ro phải thiết lập một mức độ giảm thiểu thích hợp. Có thể cần các biện pháp kiểm soát ngoài những biện pháp đã có để đạt được mức giảm thiểu này.

Khi một hành động ứng phó được hoàn thành, rủi ro phải được đánh giá lại (tức là lặp lại bước 3) để phản ánh bất kỳ biện pháp kiểm soát hiện có nào mới được áp dụng.

Bước 5: Đánh giá

Việc xem xét và thử thách thường xuyên là điều cần thiết để đảm bảo rằng các rủi ro đang được quản lý một cách thích hợp và dữ liệu rủi ro vẫn chính xác và đáng tin cậy, phản ánh bất kỳ thay đổi nào trong hoàn cảnh hoặc hoạt động quản lý.

Bước 6: Báo cáo

Các báo cáo thường xuyên là cần thiết để thông báo và cung cấp sự đảm bảo cho Ban lãnh đạo cao nhất và các bên liên quan chính khác, rằng các rủi ro đang được quản lý một cách thích hợp. Báo cáo phải dựa trên dữ liệu quy trình hiện tại, dữ liệu này phải được cập nhật và xem xét trong thời gian thích hợp cho chu kỳ báo cáo (xem Bước 5 ở trên).

Đôi khi, có thể thích hợp để leo thang một rủi ro để đảm bảo rằng nó được đánh giá và / hoặc quản lý bởi người hoặc bên được tổ chức tốt nhất để làm như vậy (có thể và với thẩm quyền thích hợp). Ví dụ, khi cần phải có phản ứng quan trọng hoặc phối hợp hơn mà chủ sở hữu hiện tại có thể cho phép hoặc thực hiện, hoặc khi mức độ nghiêm trọng của rủi ro hoặc ảnh hưởng của nó đối với dự án rộng lớn hơn chứng minh cho việc đánh giá và / hoặc quản lý cấp cao hơn.

Bước 7: Giám sát

Việc giám sát liên tục có hệ thống và chính thức đối với việc thực hiện quá trình rủi ro và các kết quả đầu ra sẽ được thực hiện dựa trên các chỉ số hoạt động thích hợp để đảm bảo sự tuân thủ và hiệu quả của quá trình. Việc giám sát có thể có nhiều hình thức và bao gồm từ tự đánh giá và đánh giá nội bộ đến các đánh giá chi tiết của các chuyên gia độc lập bên ngoài.

Cách giải quyết rủi ro và cơ hội trong ISO 9001

Trong dự án triển khai ISO 9001 của bạn, có những điều bạn nên xem xét cẩn thận liên quan đến rủi ro và cơ hội. Ví dụ:

• Hiểu bản chất của rủi ro và sử dụng các phương pháp tiếp cận giảm thiểu rủi ro đã được thiết lập làm cơ sở cho quá trình hành động sắp tới.
• Hành động của bạn dựa trên tác động có thể xảy ra đối với sự phù hợp của sản phẩm và dịch vụ hoặc đối với sự hài lòng của khách hàng. Đảm bảo kết hợp nó vào cả hệ thống quản lý chất lượng và các quá trình của nó, nếu thích hợp. Ví dụ, nếu tổ chức có một nguồn cung cấp nguyên liệu thô quan trọng, thì tổ chức nên xem xét đầu tư vào việc phát triển một nguồn mới.
• Lưu ý các tình huống khác nhau mà rủi ro và cơ hội cần được xem xét. Ví dụ, các cuộc họp chiến lược, đánh giá của ban giám đốc, đánh giá nội bộ, các loại cuộc họp khác nhau về chất lượng, các cuộc họp để thiết lập các mục tiêu chất lượng, các giai đoạn lập kế hoạch cho việc thiết kế và phát triển các sản phẩm và dịch vụ mới và các giai đoạn lập kế hoạch cho các quy trình sản xuất.
• Về cơ hội, hãy tận dụng tư duy dựa trên rủi ro để giúp tổ chức của bạn phát triển văn hóa chủ động và phòng ngừa. Tập trung làm mọi thứ tốt hơn và cải thiện cách thực hiện công việc nói chung.
• Quyết định phương pháp hoặc công cụ quản lý rủi ro nào sẽ sử dụng và nhớ rằng những phương pháp hoặc công cụ này có thể khác nhau giữa các quy trình.
• Áp dụng cách tiếp cận dựa trên rủi ro và xem xét áp dụng nó cho các quá trình cần thiết cho hệ thống quản lý chất lượng của tổ chức bạn.
• Sử dụng các công cụ và phương pháp quản lý rủi ro phổ biến như:
  • Phân tích mối nguy và các điểm kiểm soát tới hạn (HACCP).
  • Chế độ thất bại, phân tích ảnh hưởng và mức độ nghiêm trọng (FMECA), và
  • Phân tích Hiệu ứng và Chế độ Lỗi (FMEA).
  • PESTLE, là một khái niệm trong các nguyên tắc tiếp thị, để phân tích môi trường kinh doanh theo các tiêu đề P cho Chính trị, E cho Kinh tế, S cho Xã hội, T cho Công nghệ, L cho Pháp lý và E cho Môi trường.
  • Phân tích SWOT, điểm mạnh, điểm yếu, cơ hội và mối đe dọa.

Trên đây là những thông tin về xác định rủi ro và cơ hội trong ISO 9001:2015. Hy vọng tài liệu này thật sự hữu ích đối với quý doanh nghiệp trong quá trình áp dụng hệ thống quản lý chất lượng theo tiêu chuẩn quốc tế.