مدیریت ریسک در ایزو 9001 چیست؟ و چه مزایایی دارد؟
طبق استاندارد ایزو 9001، برنامه ریزی برای ریسک نوعی مدیریت کیفیت است و انجام این کار به صورت زمینه ای تضمین می کند که سیستم مدیریت کیفیت کسب و کار قادر به دستیابی به نتایج مورد نظر خود از طریق پیشگیری یا کاهش ریسک و همچنین کاهش هر یک از عوارض جانبی بالقوه است.
ایزو 9001 یک استاندارد بین المللی شناخته شده برای سیستم های مدیریت کیفیت (QMS) است که دستورالعمل هایی را برای سازمان ها برای دستیابی به رضایت مشتری، بهبود مستمر و کارایی عملیاتی ارائه می دهد. این استاندارد از سازمان ها میخواهد تا ریسک هایی را شناسایی و مدیریت کنند که میتواند بر توانایی آنها برای برآوردن نیازهای مشتری، ارائه محصولات و خدمات و دستیابی به اهداف استراتژیک آنها تأثیر بگذارد. مدیریت ریسک بخشی جدایی ناپذیر از استاندارد ایزو 9001 است و سازمان ها باید یک فرآیند مدیریت ریسک یکپارچه را ایجاد کنند که متناسب با زمینه آنها باشد.
کسب وکارها برای اخذ گواهینامه ایزو 9001 باید براساس بند “6.1- اقداماتی برای رسیدگی به ریسک ها و فرصت ها” اقدام به پیاده سازی و اجرای مدیریت ریسک در سازمان خود نمایند، و مستندات مربوطه را هنگام حسابرسی به ممیز خود ارائه دهند. رسیدگی به ریسک ها در فرآیند ممیزی داخلی به شما کمک می کند فرآیند حسابرسی شخص ثالث با مشکلات کمتری حرکت کند.
امروزه سازمان ها در شرایط بازار بسیار ناپایدار کار میکنند و با تعدادی از ریسک ها مقابله میکنند. تغییر روند، فناوری های جدید، افزایش رسانه های اجتماعی، نگرانی های مربوط به محیط زیست، جهانی شدن و بسیاری از عوامل دیگر از این دست، نحوه عملکرد و حرکت بازارها را تغییر داده است. جدا از این عوامل بیرونی، ساختارها و پویایی درونی تیم، شایستگی ها و قابلیت های خود ما نقش مهمی در تعیین توانایی یک شرکت برای مقابله با شرایط متغیر ایفا می کند. درک همه این عوامل، خارجی یا داخلی؛ در ISO 9001 به عنوان “Context” شناخته می شود. و اقدامات برنامه ریزی استراتژیک برای مدیریت این موقعیت ها برای موفقیت هر شرکت امروزی حیاتی است.
زمینه یک شرکت ممکن است منجر به خطرات بسیاری شود که امروزه شرکت ها با آن مواجه هستند. در نظر بگیرید که چگونه یک شکایت در رسانه های اجتماعی در مورد شرکت شما می تواند تاثیر زیادی در برهم زدن تصور مشتری بالقوه داشته باشد و ممکن است مشتریان بالقوه را از بین ببرد. شرکت ها باید پاسخ های مؤثری را برای این خطرات برنامه ریزی کنند، زیرا اگر این پاسخ ها ضعیف، برنامه ریزی نشده یا به موقع باشد، ممکن است تأثیر بسیار چشمگیری بر آینده هر کسب وکاری داشته باشد.
مدیریت ریسک کارآمد برای اطمینان از آمادگی شرکت ها برای شرایط نامطلوب و مقابله با آنها مهم است. ایزو 9001 مستلزم آن است که یک شرکت باید رویکرد مناسبی برای مدیریت ریسک ها ایجاد کند و برای هر موقعیت پیش بینی نشده آماده باشد. در این مقاله به مفهوم مدیریت ریسک در ISO 9001، الزامات استاندارد مربوط به مدیریت ریسک و اقداماتی که سازمان ها می توانند برای اجرای یک فرآیند مدیریت ریسک موثر بردارند، می پردازیم.
مدیریت ریسک در ISO 9001 چیست؟
مدیریت ریسک فرآیند شناسایی، ارزیابی و کنترل ریسک هایی است که می تواند بر توانایی سازمان برای دستیابی به اهدافش تأثیر بگذارد. در چارچوب ISO 9001، مدیریت ریسک جزء ضروری سیستم مدیریت کیفیت یک سازمان است. این استاندارد از سازمان ها میخواهد ریسک هایی را شناسایی و مدیریت کنند که میتواند بر کیفیت محصولات و خدمات آنها، توانایی آنها برای برآورده کردن نیازهای مشتری و عملکرد کلی تجاری آنها تأثیر بگذارد.
سازمان ISO ریسک را به عنوان “اثر عدم اطمینان بر نتیجه مورد انتظار” تعریف می کند. ISO همچنین فرصت هایی را تعریف می کند که “سمت مثبت ریسک” هستند. زمینه یک سازمان نیز ممکن است تعدادی فرصت را ارائه دهد و همچنین باید به اندازه کافی مورد توجه قرار گیرد. به عنوان مثال، پیشرفت در فناوری ممکن است روش های فعلی عملیات شما را منسوخ کند و خطر خارج شدن از تجارت را تهدید کنید، اما همچنین فرصتی برای شما فراهم میکند تا در حوزههای جدیدتر کسب و کار سرمایهگذاری کنید. ISO 9001 نه تنها بر خطرات تمرکز دارد، بلکه بر جذب فرصت ها و گسترش آنها نیز تاکید دارد.
مفهوم مدیریت ریسک در ISO 9001 بر اساس چرخه Plan-Do-Check-Act (PDCA) است که یک مدل بهبود مستمر است که به طور گسترده در مدیریت کیفیت استفاده می شود (در مورد چرخه PDCA در متن استاندارد ایزو 9001 ویرایش 2015، بیشتر بخوانید). چرخه PDCA شامل چهار مرحله است:
- برنامه ریزی: مشکل را تعریف کنید، داده ها را جمع آوری کنید و راه حل های ممکن را شناسایی کنید.
- انجام دهید: راه حل را اجرا کنید و اثربخشی آن را نظارت کنید.
- بررسی کنید: نتایج را ارزیابی کنید و آنها را با نتایج مورد انتظار مقایسه کنید.
- اقدام: انجام اقدامات اصلاحی بر اساس ارزیابی برای بهبود فرآیند.
چرخه PDCA اساس مدیریت ریسک در ایزو 9001 است و سازمان ها باید از این مدل برای ایجاد فرآیند مدیریت ریسک خود استفاده کنند.
چگونه ریسک ها و فرصت ها را شناسایی کنیم؟
شرکت باید بر اساس شرایط و الزامات اشخاص ذینفع، ریسک های موجود در شرکت خود را تعیین کند. این را می توان با یک آنالیز SWOT ساده انجام داد. همانطور که در ویکی پدیا آمده است، تجزیه و تحلیل SWOT (یا ماتریس SWOT) یک تکنیک برنامه ریزی استراتژیک است که برای کمک به شخص یا سازمان در شناسایی نقاط قوت، ضعف، فرصت ها و تهدیدهای مرتبط با رقابت تجاری یا برنامه ریزی پروژه استفاده می شود.
نقاط قوت و ضعف درونی (عوامل داخلی) سازمان هستند. فرصت ها و تهدیدها خارجی (عوامل خارجی) سازمان هستند.
ماتریس SWOT به تعدادی از ریسک ها و فرصت ها اشاره می کند. فرصت رشد کسب و کار در گروه سنی کمتر از 25 سال را می توان به راحتی با معرفی مواد غذایی مورد علاقه این گروه سنی افزایش داد. این همچنین خطر فروش کمتری را که کسب و کار ممکن است با ضعف آنها مواجه شود، کنترل می کند: “عدم تنوع در اقلام غذایی”. ایزو 9001 ایجاب می کند که این ریسک ها و فرصت ها را شناسایی کرده و به موقع به آنها رسیدگی کنید.
چگونه به خطرات رسیدگی کنیم؟
هنگامی که ریسک ها شناسایی می شوند، برای سازمان بسیار مهم است که به آن رسیدگی کند تا احتمال وقوع آن کاهش یابد ویا تأثیر ریسک کاهش یابد. این می تواند به سادگی شناسایی اقدامات برای کاهش خطرات و اطمینان از بسته شدن به موقع اقدامات باشد. با این حال، بر اساس پیچیدگی و اندازه یک سازمان، ارزیابی دقیق ریسک ممکن است انجام شود. یک سازمان ممکن است یک روش دقیق ریسک برای رسیدگی به ریسک ها تعریف کند. این روش ممکن است شامل ارزیابی ریسک، دادن رتبه ای برای مقایسه آن با حد پذیرش و سپس تصمیم گیری در مورد پاسخ مناسب به ریسک باشد.
در مورد “ارزیابی ریسک امنیت سایبری” بیشتر بخوانید.
روش ارزیابی ریسک در ISO 9001
چندین ماتریس ریسک وجود دارد که می توان از آنها برای استخراج سطوح ریسک استفاده کرد. یک روش ساده ارزیابی ریسک برای رتبه بندی ریسک است. در زیر برخی از عواملی که می توان آنها را رتبه بندی کرد آورده شده است:
- تأثیر ریسک یا شدت: سطح شدت معمولی یک پیامد ریسک ممکن است بر اساس تأثیر ریسک رتبه بندی شود. تأثیر ممکن است زیاد، متوسط، کم یا بر حسب اعداد در مقیاس (مثلاً 1 تا 10) باشد.
- احتمال خطر یا احتمال: این شامل رتبه بندی احتمال وقوع خطر است. اینها ممکن است به عنوان بالا، متوسط، کم یا بر حسب درصد احتمال وقوع یا به سادگی از نظر اعداد رتبه بندی شوند.
- رتبه بندی ریسک: رتبه بندی ریسک را می توان با ضرب احتمال و تأثیر به سادگی محاسبه کرد.
- سطح پذیرش ریسک: سازمان ممکن است سطح پذیرش ریسک را ایجاد کند. این به معنای رسیدن به حد قابل قبولی از ریسک است.
این رتبه بندی ریسک ممکن است برای تعیین اولویت در پرداختن به ریسک های شناسایی شده و تصمیم گیری در مورد سطح مناسبی از پاسخ به ریسک استفاده شود.
چگونه ریسک را کنترل کنیم؟
هنگامی که رتبه بندی ریسک و سطح پذیرش تصمیم گیری شد، گام بعدی این است که بفهمیم آیا ریسک های شناسایی شده در محدوده قابل قبول قرار دارند یا خیر. اگر رتبه بندی ریسک کمتر از حد قابل قبول باشد، به این معنی است که کنترل های اعمال شده روی ریسک به خوبی کار می کنند و سازمان ها ممکن است به هیچ گونه کنترل اضافی روی ریسک نیاز نداشته باشند. اگر ریسک به اندازه کافی کنترل نشود (یعنی رتبه بندی ریسک فراتر از حد قابل قبول باشد)، ممکن است نیاز به تعریف رویه ها یا اقدامات کنترلی جدید باشد. اقداماتی باید در جهت ریسک انجام شود:
- کاهش احتمال وقوع خطر (به نام Mitigation) و/یا
- کاهش تاثیر ریسک (به نام Contingency)
در صورت امکان، هر دو اقدام فوق باید برای کنترل ریسک انجام شود.
بررسی و نظارت بر ریسک ها
خطرات باید به طور منظم نظارت و ردیابی شوند. نظارت بر ریسک ها به درک اثربخشی اقدامات برنامه ریزی شده کمک می کند. پس از اجرای اقدامات کنترلی، ممکن است لازم باشد بررسی کنید که آیا ریسک در سطوح قابل قبول است یا خیر. این امر مستلزم بازنگری در رتبه بندی ریسک است تا مشخص شود که آیا کنترل های اعمال شده قادر به کاهش احتمال یا تأثیر ریسک هستند یا خیر. این باید در یک فرکانس ثابت یا در رویدادهایی مانند تغییرات در فرآیند، کارکنان یا تجهیزات انجام شود.
الزامات ISO 9001 مربوط به مدیریت ریسک چیست؟
ایزو 9001 سازمان ها را ملزم می کند که یک فرآیند مدیریت ریسک را که متناسب با زمینه آنها باشد ایجاد کنند. این استاندارد چارچوب یا متدولوژی مدیریت ریسک خاصی را ارائه نمیکند، اما سازمان ها را ملزم میکند که فرآیندی را اجرا کنند که الزامات زیر را برآورده کند:
- شناسایی ریسک: سازمانها باید ریسکهایی را که میتواند بر کیفیت محصولات و خدمات، توانایی آنها برای برآورده کردن نیازهای مشتری و عملکرد کلی کسبوکارشان تأثیر بگذارد، شناسایی کنند. شناسایی ریسک را می توان با استفاده از ابزارها و تکنیک های مختلفی مانند طوفان فکری، تحلیل SWOT و نقشه برداری فرآیند انجام داد.
- ارزیابی ریسک: سازمان ها باید ریسک های شناسایی شده در مرحله قبل را برای تعیین احتمال و تاثیر بالقوه آنها ارزیابی کنند. ارزیابی را می توان با استفاده از ماتریس ریسک یا سایر ابزارهای مشابه انجام داد.
- درمان ریسک: سازمان ها باید برنامه ای را برای درمان خطرات شناسایی شده تدوین و اجرا کنند. طرح درمان باید شامل اقداماتی برای کاهش احتمال و تأثیر احتمالی خطرات باشد. طرح درمان می تواند شامل اجتناب از ریسک، انتقال ریسک، کاهش ریسک و پذیرش ریسک باشد.
- نظارت بر ریسک: سازمان ها باید ریسک های شناسایی شده، ارزیابی و درمان شده در مراحل قبلی را برای اطمینان از موثر بودن طرح درمان نظارت کنند. فرآیند نظارت باید شامل بررسی منظم فرآیند مدیریت ریسک، شناسایی خطرات جدید و ارزیابی اثربخشی طرح درمان باشد.
مراحل پیاده سازی مدیریت ریسک در ایزو 9001 (به همراه نمونه مدیریت ریسک در ایزو 9001)
سازمان ها می توانند مراحل زیر را برای اجرای یک فرآیند مدیریت ریسک موثر در ISO 9001 پیاده سازی کنند:
- ایجاد زمینه: اولین قدم ایجاد زمینه فرآیند مدیریت ریسک است. این شامل تعریف محدوده فرآیند، اهداف و ذینفعان است. این زمینه همچنین شامل شناسایی عوامل خارجی و داخلی است که می تواند بر توانایی سازمان برای دستیابی به اهداف تأثیر بگذارد.
- شناسایی ریسک ها: گام بعدی شناسایی ریسک هایی است که می تواند بر کیفیت محصولات و خدمات، توانایی برآورده کردن نیازهای مشتری و عملکرد کلی کسب و کار تأثیر بگذارد. سازمان ها میتوانند از ابزارها و تکنیک های مختلفی مانند تحلیل SWOT، طوفان فکری و نقشه برداری فرآیند برای شناسایی ریسک ها استفاده کنند. مهم است که همه ذینفعان مربوطه را در فرآیند شناسایی ریسک مشارکت دهیم تا اطمینان حاصل شود که همه ریسک های بالقوه شناسایی شدهاند.
- ارزیابی ریسک ها: زمانی که ریسک ها شناسایی شدند، گام بعدی ارزیابی آنها برای تعیین احتمال و تأثیر بالقوه آنهاست. این را می توان با استفاده از ماتریس ریسک یا سایر ابزارهای مشابه انجام داد. ارزیابی باید شدت تأثیر، احتمال وقوع خطر و توانایی سازمان برای شناسایی و پاسخ به خطر را در نظر بگیرد.
- توسعه برنامه های درمانی: بر اساس ارزیابی ریسک، سازمان ها باید برنامه های درمانی را برای کاهش احتمال و تأثیر بالقوه خطرات شناسایی شده توسعه دهند. برنامه های درمانی باید شامل اقداماتی برای اجتناب، انتقال، کاهش یا پذیرش خطرات باشد. برنامه های درمانی باید با اهداف و استراتژی های سازمان همسو باشد.
- اجرای طرح های درمانی: طرح های درمانی باید اجرا و نظارت شوند تا اطمینان حاصل شود که در کاهش احتمال و تأثیر بالقوه خطرات شناسایی شده مؤثر هستند. اجرای طرح های درمانی باید توسط منابع مناسب از جمله پرسنل، فناوری و زیرساخت ها حمایت شود.
- نظارت و بازنگری: فرآیند مدیریت ریسک باید به طور منظم مورد نظارت و بازبینی قرار گیرد تا اطمینان حاصل شود که در شناسایی و درمان ریسکها موثر باقی میماند. فرآیند نظارت باید شامل بررسی منظم فرآیند مدیریت ریسک، شناسایی خطرات جدید و ارزیابی اثربخشی طرحهای درمانی باشد. فرآیند بررسی باید با معیارها و شاخص های مناسب برای اندازه گیری اثربخشی فرآیند مدیریت ریسک پشتیبانی شود.
مزایای مدیریت ریسک در ISO 9001 چیست؟
اجرای یک فرآیند مدیریت ریسک موثر در ISO 9001 مزایای متعددی را برای سازمان ها به همراه دارد، از جمله:
- بهبود کیفیت: مدیریت ریسک موثر می تواند کیفیت محصولات و خدمات را با شناسایی و رسیدگی به ریسک های بالقوه ای که می تواند بر کیفیت آنها تأثیر بگذارد، بهبود بخشد.
- افزایش رضایت مشتری: مدیریت ریسک می تواند به سازمان ها کمک کند تا نیازها و انتظارات مشتری را برآورده کنند و در نتیجه رضایت مشتری را افزایش دهند.
- بهره وری عملیاتی افزایش یافته: مدیریت ریسک می تواند به سازمان ها کمک کند تا ناکارآمدی ها را شناسایی و رسیدگی کنند و فرآیندها را ساده کنند و در نتیجه کارایی عملیاتی را افزایش دهند.
- تصمیم گیری بهتر: مدیریت ریسک اطلاعات ارزشمندی را در اختیار سازمان ها قرار می دهد که می تواند با شناسایی ریسک های بالقوه و تأثیر آنها بر سازمان از تصمیم گیری بهتر حمایت کند.
- بهبود آگاهی از ریسک: اجرای فرآیند مدیریت ریسک در ایزو 9001 می تواند آگاهی از ریسک سازمان را بهبود بخشد و فرهنگ آگاهی از ریسک را ارتقا دهد.
سخن پایانی
مدیریت ریسک بخشی جدایی ناپذیر از ISO 9001 است و برای سازمان ها برای دستیابی به اهداف خود، برآورده کردن نیازهای مشتری و بهبود عملکرد کلی کسب و کار ضروری است. سازمانها باید یک فرآیند مدیریت ریسک را ایجاد کنند که متناسب با زمینه آنها باشد و الزامات ISO 9001 را برآورده کند. فرآیند مدیریت ریسک باید از چرخه PDCA پیروی کند و شامل مراحل شناسایی ریسک، ارزیابی ریسک، درمان ریسک و نظارت بر ریسک باشد. اجرای یک فرآیند مدیریت ریسک موثر چندین مزیت از جمله بهبود کیفیت، افزایش رضایت مشتری، افزایش بهره وری عملیاتی، تصمیم گیری بهتر و بهبود آگاهی از ریسک را به همراه دارد.
هر عملیات تجاری یک سازمان شامل ریسک ها (1) و فرصت هایی است. کلید موفقیت هر سازمانی این است که این ریسک ها و فرصت ها را از قبل مدیریت کند. این تضمین می کند که شگفتی های کمتر، برنامه ریزی بهتر و تصمیم گیری سریع وجود دارد.
پرسش های متداول
مدیریت ریسک در ISO 9001 چیست؟
مدیریت ریسک فرآیند شناسایی، ارزیابی و کنترل ریسک هایی است که می تواند بر توانایی سازمان برای دستیابی به اهدافش تأثیر بگذارد. در چارچوب ISO 9001، مدیریت ریسک جزء ضروری سیستم مدیریت کیفیت یک سازمان است. این استاندارد از سازمان ها میخواهد ریسک هایی را شناسایی و مدیریت کنند که میتواند بر کیفیت محصولات و خدمات آنها، توانایی آنها برای برآورده کردن نیازهای مشتری و عملکرد کلی تجاری آنها تأثیر بگذارد.
الزامات ISO 9001 مربوط به مدیریت ریسک چیست؟
ایزو 9001 سازمان ها را ملزم می کند که یک فرآیند مدیریت ریسک را که متناسب با زمینه آنها باشد ایجاد کنند. این استاندارد چارچوب یا متدولوژی مدیریت ریسک خاصی را ارائه نمیکند، اما سازمان ها را ملزم میکند که فرآیندی را اجرا کنند که الزامات زیر را برآورده کند:
1. شناسایی ریسک
2. ارزیابی ریسک
3. درمان ریسک
4. نظارت بر ریسک