qualitaet-header-blog-dqs-bunte bausteine

Riskbaserat tillvägagångssätt i ISO 9001

Frank Graichen

Expert for ISO 9001 Quality Management
nov. 08 , 2022
# Krav på kvalitetsstyrning

Ett företag är framgångsrikt om det å ena sidan systematiskt identifierar, analyserar och åtgärdar möjligheter och å andra sidan identifierar de risker som är förknippade med dem och agerar därefter. Det riskbaserade tillvägagångssättet i ISO 9001 handlar i första hand om att identifiera effekterna av osäkerheter i verksamheten och fastställa riskerna som grund för planeringen. Ämnet "risk" i ett kvalitetsledningssystem är inte helt nytt. I de gamla versionerna av ISO 9001 var det inbäddat i kraven på förebyggande åtgärder. Detta kapitel har utgått med ISO 9001:2015 och har ersatts av att titta på risker och möjligheter.

INNEHÅLL

Vad är en riskbaserad metod?

Utgångspunkten för att noggrant undersöka möjligheter och risker är det skärpta fokuset i ISO 9001:2015 på att uppnå "avsedda resultat". Detta gäller både kvalitetsledningssystemet (QMS) och de processer som krävs för detta.

I standarden definieras risk som "effekten av osäkerhet" på ett förväntat resultat.

ISO 9001:2015 - Kvalitetsledningssystem - Krav

Förväntade resultat är å andra sidan ett resultat av ledningssystemets omfattning med målet att tillhandahålla produkter och tjänster som måste uppfyllas av följande:

  • Kundernas krav
  • Lagstadgade och/eller föreskrivna krav.
  • Organisationens egna specifikationer

Hur hanterar ni risker och möjligheter?

Det riskbaserade tillvägagångssättet löper som en röd tråd genom ISO 9001. I kapitel 6.1 (Planering) i den välkända ISO-standarden fastställs allmänna krav för hantering av risker och möjligheter. I standarden anges dock endast att lämpliga åtgärder måste planeras, integreras i kvalitetsledningssystemet, genomföras och utvärderas med avseende på deras effektivitet. Hur detta krav ska genomföras anges inte.

Inte heller nämns något om ett omfattande riskhanteringssystem, t.ex. baserat på ISO 31000-standarden, eller om en formell riskhanteringsprocess. Det finns inte heller några krav i ISO 9001 på specifika metoder som ska användas för riskidentifiering eller riskbedömning.

I övrigt gäller följande:

  • Undvik risker,
  • Eliminera riskkällor,
  • Påverka sannolikheten för att risker uppstår,
  • påverka de möjliga konsekvenserna, eller
  • Ta risker på ett målinriktat sätt genom att fatta ett välgrundat beslut, t.ex. för att ta vara på en möjlighet.

Riskbaserat tillvägagångssätt - Vad kräver standarden?

  • Identifiering (fastställande) av risker och möjligheter för att:
    - Säkerställa att avsedda resultat uppnås
    - Förbättra önskade effekter - detta är möjligheterna
    - Förebygga eller minska oönskade effekter (risker)
    - Förbättringar.
  • Utvärdering av identifierade, fastställda risker och möjligheter. Inga obligatoriska metoder som ska användas nämns här. Vanliga, etablerade verktyg är dock mycket rekommenderade, t.ex.
    - FMEA (process)
    - SWOT-analyser
    - ABC-analyser
    - Riskmatris
  • Utgå från de identifierade riskerna och möjligheterna för att vidta åtgärder. Dessa kan:
    - avse avlägsnande eller undvikande av risken eller riskens källa
    - inriktas på att minska risken genom en förändring av sannolikheten för att den ska inträffa eller av effekterna eller konsekvenserna
    - innefatta ett accepterande av risken, t.ex. för att ta vara på en möjlighet.
  • Utvärdering av åtgärdernas effektivitet, t.ex. på grundval av:
    - Att en identifierad risk inte uppstår
    - Att sannolikheten för att den uppstår minskar
    - Att konsekvenserna minskar, t.ex. genom försäkringar eller avtalsmässiga skyddsåtgärder i kundavtal.


Dokumenterad information som bevis

Frågan om i vilken form eller i vilken omfattning dokumenterad information krävs som bevis kan besvaras på följande sätt: Det finns inga konkreta, exakta krav på detta i de relevanta kapitlen i standarden!

I stället står det i bilaga A4 till QM-standarden ISO 9001, som också är värd att läsa, att "... organisationen är ansvarig för att tillämpa ett riskbaserat tänkande och för att vidta åtgärder för att hantera en risk, inklusive att besvara frågan om huruvida dokumenterad information ska behållas av den som bevis för fastställandet av risker eller inte".

Förenklat kan man säga att detta är något som en organisation bestämmer individuellt för sig själv - inte standarden! Och: detta bestäms inte heller av certifieringsorganet eller dess revisorer.

Berörda parter och deras relevanta krav

En aspekt som inte får förbises är att beakta de väsentliga kraven från de berörda parter som är relevanta för kvalitetsledningssystemet (QMS) (kapitel 4.2).

I detta sammanhang skall "relevans" tolkas på följande sätt:
inverkan på organisationens förmåga att kontinuerligt tillhandahålla produkter och tjänster som uppfyller kraven, dvs. produkter och tjänster som uppfyller kundernas förväntningar och lagstadgade, föreskrivna krav. Inom ramen för det riskbaserade tillvägagångssättet måste dessa alltså också beaktas (avsnitt 6.1.1 Planering).

Distinktion mellan möjligheter och risker enligt ISO 9001

Förutom att beakta risker tar standardens krav även upp de möjligheter som kan uppstå till följd av risker. Många företag står dock inför frågan om vad konkreta möjligheter kan vara. Det som inte avses med en möjlighet är att uppnå avsedda resultat. Detta är ett grundläggande krav på ledningssystemet och dess processer.

I QM-standarden förstås möjlighet som en "möjlighet eller möjlighet" som kan uppstå när ett företag tar en kontrollerbar risk. Goda referenser finns i kapitel 0.3.3 i ISO 9001, där följande möjligheter till möjligheter anges:

  • Kundanskaffning
  • Utveckling av nya produkter och tjänster.
  • Minskning av skrot eller avfall.
  • Förbättring av produktiviteten

Ytterligare vägledning om vad som kan förstås med en möjlighet finns i anmärkningarna till kapitel 6.1.2:

  • Införande av nya metoder och användning av ny teknik
  • Marknadsintroduktion av nya produkter
  • Utveckling av nya marknader
  • Förvärv av nya kunder och uppbyggnad av partnerskap
  • Användning av ny teknik osv.

Ytterligare tips

Kapitel 0.3.3 i ISO 9001 ger bra och kompletterande förklaringar om hur man hanterar det riskbaserade tillvägagångssättet. Där står bland annat att riskbaserat tänkande är viktigt för ett effektivt kvalitetsledningssystem (QMS) och bör användas för att uppnå förbättrade resultat och undvika negativa effekter.

Dessutom ger ISO 31000-guiden ett omfattande, systematiskt tillvägagångssätt för riskhantering som går långt utöver kraven i ett QMS.

Två dokument som publicerats av den ansvariga ISO-kommittén är också verkligen att rekommendera, eftersom de på ett kort och koncist sätt förklarar vad det riskbaserade tillvägagångssättet egentligen handlar om. Dessa är för det första en uppsättning diabilder ("ISO 9001 and Risk Based Thinking") och för det andra dokumentet "Risk Based Thinking in ISO 9001:2015".

Slutsats om det riskbaserade tillvägagångssättet i ISO 9001

Risker är "effekter av osäkerheter". Därför kan risker också leda till möjligheter. Möjligheter kan till exempel leda till att man får nya kunder och utvecklar nya marknader, men detta innebär också att möjligheter i sin tur kan ge upphov till osäkerheter och tillhörande risker.

På det hela taget rekommenderar vi att potentiella möjligheter behandlas med samma intensitet som risker fastställs, bedöms och åtgärder härleds från dem. Också de måste fastställas och utvärderas - och åtgärder för att ta dem måste härledas.

ISO 9001 - granskad med mervärde

I allt vi gör ställer vi högsta krav på kvalitet och kompetens i varje projekt. Som ett resultat av detta blir våra åtgärder ett riktmärke för vår bransch, men också vår egen ledstjärna, som vi förnyar varje dag.

Vår kärnkompetens ligger i utförandet av certifieringsrevisioner och bedömningar. Detta gör oss till en av de ledande leverantörerna i världen med anspråk på att alltid sätta nya riktmärken när det gäller tillförlitlighet, kvalitet och kundorientering.

Författare
Frank Graichen

Standards expert and long-standing DQS auditor for ISO 9001 with diverse activities as a passionate keynote speaker, sought-after trainer, moderator, and author of publications on standards and management systems.

Några frågor?

Vi finns här för dig.
Kontakta oss