qualitaet-header-blog-dqs-bunte bausteine

Riskiperusteinen lähestymistapa ISO 9001:ssä

Frank Graichen

Expert for ISO 9001 Quality Management
marrask. 08 , 2022
# Laadunhallintaa koskevat vaatimukset

Yritys menestyy, jos se yhtäältä tunnistaa, analysoi ja toteuttaa järjestelmällisesti mahdollisuuksia ja toisaalta tunnistaa niihin liittyvät riskit ja toimii niiden mukaisesti. ISO 9001:n riskiperusteinen lähestymistapa koskee ensisijaisesti liiketoiminnan epävarmuustekijöiden vaikutusten tunnistamista ja riskien määrittämistä suunnittelun pohjaksi. Nyt "riskin" teema laadunhallintajärjestelmässä ei ole täysin uusi. ISO 9001:n vanhoissa versioissa se oli sisällytetty ehkäiseviä toimenpiteitä koskeviin vaatimuksiin. Tästä luvusta on luovuttu ISO 9001:2015:n myötä, ja se on korvattu riskien ja mahdollisuuksien tarkastelulla.

SISÄLTÖ

Mikä on riskiperusteinen lähestymistapa?

Lähtökohtana mahdollisuuksien ja riskien huolelliselle tarkastelulle on ISO 9001:2015 -standardin terävöity keskittyminen "aiottujen tulosten" saavuttamiseen. Tämä koskee sekä laadunhallintajärjestelmää (QMS) että sen edellyttämiä prosesseja.

Standardissa riski määritellään "epävarmuuden vaikutukseksi" odotettuun tulokseen.

ISO 9001:2015 - Laadunhallintajärjestelmät - Vaatimukset.

Tavoitellut tulokset taas johtuvat johtamisjärjestelmän soveltamisalasta, jonka tavoitteena on tarjota tuotteita ja palveluja, joiden on täytettävä seuraavat vaatimukset:

  • Asiakkaan vaatimukset
  • Lakisääteiset ja/tai viranomaisvaatimukset
  • Organisaation omat eritelmät

Miten riskejä ja mahdollisuuksia hallitaan?

Riskiperusteinen lähestymistapa kulkee kuin punainen lanka ISO 9001:n läpi. Tunnetun ISO-standardin luvussa 6.1 (Suunnittelu) esitetään yleiset vaatimukset riskien ja mahdollisuuksien käsittelylle. Standardissa kuitenkin vain täsmennetään, että asianmukaiset toimenpiteet on suunniteltava, sisällytettävä laadunhallintajärjestelmään, toteutettava ja arvioitava niiden tehokkuus. Vaatimuksen toteuttamistapaa ei ole täsmennetty.

Standardissa ei myöskään mainita kattavaa riskienhallintajärjestelmää, joka perustuu esimerkiksi ISO 31000 -standardiin, eikä virallista riskienhallintaprosessia. ISO 9001:ssä ei myöskään ole vaatimuksia erityisistä menetelmistä, joita on käytettävä riskien tunnistamisessa tai arvioinnissa.

Muilta osin sovelletaan seuraavaa:

  • Vältä riskejä,
  • eliminoidaan riskilähteet,
  • Vaikuta riskin esiintymistodennäköisyyteen,
  • vaikutetaan mahdollisiin seurauksiin tai
  • Ota riskejä kohdennetusti tekemällä perusteltu päätös, esimerkiksi tarttumalla tilaisuuteen.

Riskiperusteinen lähestymistapa - Mitä standardi edellyttää?

  • Riskien ja mahdollisuuksien tunnistaminen (määrittäminen), jotta:
    - Varmistetaan haluttujen tulosten saavuttaminen
    - Parannetaan haluttuja vaikutuksia - nämä ovat mahdollisuuksia
    - Estetään tai vähennetään ei-toivottuja vaikutuksia (riskejä)
    - Saavutetaan parannuksia.
  • Tunnistettujen ja määritettyjen riskien ja mahdollisuuksien arviointi. Tässä ei mainita pakollisia menetelmiä. Yleiset, vakiintuneet työkalut ovat kuitenkin varsin suositeltavia, esimerkiksi:
    - (prosessin) FMEA
    - SWOT-analyysit
    - ABC-analyysit
    - riskimatriisi.
  • Johdetaan toimenpiteet tunnistetuista riskeistä ja mahdollisuuksista. Nämä voivat:
    - koskea riskin poistamista tai välttämistä tai riskin lähdettä
    - keskittyä riskin vähentämiseen muuttamalla riskin esiintymistodennäköisyyttä tai vaikutuksia tai seurauksia
    - sisältää riskin hyväksymisen, esim. tilaisuuteen tarttumiseksi.
  • Toimenpiteiden tehokkuuden arviointi, joka perustuu esimerkiksi seuraaviin seikkoihin:
    - Tunnistetun riskin toteutumatta jääminen
    - Toteutumisen todennäköisyyden pienentäminen
    - Vaikutusten vähentäminen esimerkiksi vakuutusten tai asiakassopimuksiin sisältyvien sopimusturvatoimien avulla.


Dokumentoitu tieto todisteena

Kysymykseen siitä, missä muodossa tai missä määrin dokumentoitua tietoa tarvitaan todisteeksi, voidaan vastata seuraavasti: Standardin asianomaisissa luvuissa ei ole mitään konkreettista, täsmällistä vaatimusta tästä!

Sen sijaan ISO 9001 QM -standardin liitteessä A4, joka sekin kannattaa lukea, todetaan, että "... organisaatio on vastuussa riskiperusteisen ajattelutavan soveltamisesta ja riskinhallintatoimien käynnistämisestä, mukaan lukien vastaaminen kysymykseen siitä, onko sen säilytettävä dokumentoitua tietoa todisteena riskien määrittämisestä.".

Yksinkertaisemmin sanottuna tämä on jotain, jonka organisaatio määrittelee yksilöllisesti itselleen - ei standardi! Ja: tätä ei myöskään määrittele sertifiointielin tai sen auditoijat.

Asianomaiset osapuolet ja niiden asiaa koskevat vaatimukset

Yksi näkökohta, jota ei pidä jättää huomiotta, on laadunhallintajärjestelmän (QMS) kannalta merkityksellisten sidosryhmien olennaisten vaatimusten huomioon ottaminen (luku 4.2).

Tässä yhteydessä "merkityksellisyys" on tulkittava seuraavasti:
vaikutus organisaation kykyyn tarjota jatkuvasti vaatimustenmukaisia tuotteita ja palveluja eli tuotteita ja palveluja, jotka täyttävät asiakkaiden odotukset ja lakisääteiset, sääntelyn vaatimukset. Näin ollen riskiperusteisen lähestymistavan yhteydessä myös nämä on otettava huomioon (kohta 6.1.1.1 Suunnittelu).

Mahdollisuuksien ja riskien erottaminen toisistaan ISO 9001:ssä tarkoitetussa merkityksessä.

Riskien huomioon ottamisen lisäksi standardin vaatimus koskee myös niitä mahdollisuuksia, jotka voivat syntyä riskeistä. Monet yritykset joutuvat kuitenkin pohtimaan, mitä konkreettiset mahdollisuudet voivat olla. Mahdollisuudella ei tarkoiteta tavoiteltujen tulosten saavuttamista. Tämä on johtamisjärjestelmän ja sen prosessien perusvaatimus.

QM-standardissa tilaisuus ymmärretään "mahdollisuutena tai tilaisuutena", joka voi syntyä, kun yritys ottaa hallittavissa olevan riskin. Hyviä viitteitä annetaan ISO 9001:n luvussa 0.3.3, jossa luetellaan seuraavat mahdollisuudet:

  • Asiakashankinta
  • Uusien tuotteiden ja palvelujen kehittäminen
  • Romun tai jätteen vähentäminen
  • tuottavuuden parantaminen

Lisäohjeita siitä, mitä tilaisuudella voidaan tarkoittaa, on luvun 6.1.2 huomautuksissa:

  • Uusien käytäntöjen omaksuminen ja uusien tekniikoiden käyttö
  • Uusien tuotteiden tuominen markkinoille
  • Uusien markkinoiden kehittäminen
  • Uusien asiakkaiden hankkiminen ja kumppanuuksien luominen
  • Uusien tekniikoiden käyttö jne.

Lisää vinkkejä

ISO 9001 -standardin luvussa 0.3.3 annetaan hyviä ja täydentäviä selityksiä riskiperusteisen lähestymistavan käsittelystä. Siinä todetaan muun muassa, että riskiperusteinen ajattelu on olennainen osa tehokasta laadunhallintajärjestelmää (QMS), ja sitä olisi käytettävä parempien tulosten saavuttamiseksi ja kielteisten vaikutusten välttämiseksi.

Lisäksi ISO 31000 -oppaassa esitetään kattava, systemaattinen lähestymistapa riskienhallintaan, joka menee paljon QMS:n vaatimuksia pidemmälle.

Myös kaksi vastaavan ISO-komitean julkaisemaa asiakirjaa ovat todella suositeltavia, sillä niissä selitetään lyhyesti ja ytimekkäästi, mistä riskiperusteisessa lähestymistavassa todella on kyse. Nämä ovat ensinnäkin diasarja ("ISO 9001 and Risk Based Thinking") ja toiseksi asiakirja "Risk Based Thinking in ISO 9001:2015".

Johtopäätös riskiperusteisesta lähestymistavasta ISO 9001:ssä.

Riskit ovat "epävarmuuksien vaikutuksia". Näin ollen riskit voivat johtaa myös mahdollisuuksiin. Mahdollisuudet voivat johtaa esimerkiksi uusien asiakkaiden hankkimiseen ja uusien markkinoiden kehittymiseen, mutta tämä tarkoittaa myös sitä, että mahdollisuudet voivat puolestaan synnyttää epävarmuuksia ja niihin liittyviä riskejä.

Kaiken kaikkiaan suosittelemme, että mahdollisiin mahdollisuuksiin suhtaudutaan samalla intensiteetillä, jolla riskit määritetään, arvioidaan ja niistä johdetaan toimenpiteitä. Myös ne on määriteltävä ja arvioitava - ja niistä on johdettava toimenpiteitä.

ISO 9001 - auditointi tuo lisäarvoa

Asetamme kaikessa toiminnassamme korkeimmat laatu- ja pätevyysvaatimukset jokaisessa projektissa. Tämän seurauksena toiminnastamme tulee alamme vertailukohta, mutta myös oma johtoajatuksemme, jota uudistamme joka päivä.

Keskeinen osaamisalueemme on sertifiointiauditointien ja -arviointien suorittaminen. Tämä tekee meistä yhden maailman johtavista palveluntarjoajista, joilla on vaatimus asettaa aina uusia vertailukohtia luotettavuuden, laadun ja asiakaslähtöisyyden suhteen.

Kirjoittaja
Frank Graichen

Standards expert and long-standing DQS auditor for ISO 9001 with diverse activities as a passionate keynote speaker, sought-after trainer, moderator, and author of publications on standards and management systems.

Onko kysyttävää?

Olemme täällä sinua varten.
Ota yhteyttä