Hướng dẫn nhận diện và đánh giá rủi ro trong ISO 9001 | VNC
4
/
5
(
3
bình chọn
)
Việc nhận diện và đánh giá rủi ro là một yêu cầu mới trong ISO 9001:2015. Bài viết sau đây sẽ đưa ra một số phương pháp đánh giá rủi ro thường được sử dụng.
1. Khái niệm về rủi ro trong ISO 9001
Trong các tiêu chuẩn mới (ISO 9001:2015, ISO 45001:2018 …) : Hành động phòng ngừa được thay thế bằng quản lý rủi ro
Hành động phòng ngừa: Hành động được tiến hành để loại bỏ nguyên nhân của sự không phù hợp tiềm tàng hay các tình trạng không mong muốn tiềm tàng khác
Hành động giải quyết các rủi ro và cơ hội sẽ được gọi ngắn gọn là “quản lý rủi ro”
Trong các tiêu chuẩn ISO 9001, 14001, 22000, 45000, 31000,… khái niệm về rủi ro cơ bản là giống nhau.
Tuy nhiên, với một số tiêu chuẩn chuyên ngành đặc thù như ISO 13485, ISO 45001, thuật ngữ “rủi ro” được định nghĩa khác
Ví dụ : ISO 13485 – Hệ thống quản lý chất lượng dụng cụ y tế
-
Rủi ro: Sự kết hợp giữa khả năng xảy ra thiệt hại và mức độ nghiêm trọng của thiệt hại
-
Chú thích : Định nghĩa“rủi ro” này khác với định nghĩa được đề cập trong ISO 9000:2015.
Ví dụ : ISO 45001:2018 Hệ thống quản lý an toàn sức khỏe nghề nghiệp
-
Rủi ro (an toàn và sức khỏe nghề nghiệp): Sự kết hợp của khả năng xảy ra của một sự kiện nguy hại liên quan đến công việc hay sự phơi nhiễm và mức độ nghiêm trọng của các chấn thương hay bệnh tật có thể có do các sự kiện.
(Định nghĩa này – nếu nhìn từ góc độ phân tích/đánh giá rủi ro thì bản chất không có gì khác lắm, xem tiếp các phân tích ở phần sau).
Như vậy, ngoài rất nhiều việc phải làm, ví dụ: tổ chức sản xuất kinh doanh, nhận và giải quyết các yêu cầu của khách hàng, kiểm soát tài liệu nội bộ và bên ngoài, thiết kế sản phẩm, xử lý các sản phẩm không phù hợp …. doanh nghiệp cần tiến hành cả hoạt động phòng ngừa. Và nay, hoạt động phòng ngừa được thay thế bằng quản lý rủi ro (theo phiên bản ISO 9001:2015).
Nói khác đi: Quản lý rủi ro là 1 phần/trong rất nhiều các hoạt động/quá trình của công tác quản lý chất lượng, môi trường … tại doanh nghiệp.
Rủi ro có thể liên quan tới hệ thống quản lý và rủi ro có tính chất kỹ thuật.
2. Phương pháp phân tích rủi ro
Trong tiêu chuẩn ISO 31000 có đưa ra phương pháp phân tích rủi ro là định tính, tức là sẽ xác định khả năng, tần suất xảy ra và tác động (tích) của rủi ro đó – theo các mức “cao”, “trung bình” và “thấp.
Làm thế nào để đánh giá được mức rủi ro là “cao”, “trung bình” hay “thấp?
Phương pháp định tính hay sử dụng là phương pháp chuyên gia. Tức là dùng những người có kinh nghiệm trong các lĩnh vực cụ thể để đánh giá mức rủi ro.
Về bản chất thì phương pháp đánh giá rủi ro này dựa theo FMEA. Phương pháp này gồm: theo dõi Khả năng xảy ra mối nguy, Tần suất xảy ra và Khả năng phát hiện ra mối nguy.
Với sản phẩm, hay quá trình sản xuất thì cách cho điểm hơi khác (xem hình ảnh phía dưới)
Các con số trên đều dựa trên thống kê thực tế và đưa ra. Có qui định thế này thì việc cho điểm của các chuyên gia sẽ đỡ lệch/sát với nhau hơn. Cuối cùng thì phương pháp định tính này cũng được lượng hóa để dễ so sánh tác động của các mối nguy đến mục tiêu của doanh nghiệp, rồi lựa chọn rủi ro (những mối nguy có chỉ số RPN cao) để xử lý.
Tham khảo thêm trong ISO 31000, ISO 31010.
Ngoài ra, còn có cách đánh giá theo định tính bằng phương pháp ma trận như hình ảnh dưới đây:
3. Khi nào thực hiện đánh giá rủi ro?
Nhiều doanh nghiệp được tư vấn hướng dẫn xây dựng hệ thống tài liệu xong rồi tiến hành đánh giá rủi ro, quan điểm của bạn?
3.1. Đối với doanh nghiệp đã xây dựng HTQLCL:
Nếu doanh nghiệp đã có hệ thống quản lý chặt chẽ, ví dụ theo ISO 9001:2008, đã thực hiện tốt hoạt động phòng ngừa thì mặc nhiên họ đã quản lý rất tốt các rủi ro, có thể phát sinh rồi. Bản thân HTQLCL là 1 giải pháp phòng ngừa quan trọng giúp doanh nghiệp ổn định chất lượng sản phẩm/dịch vụ.
Dựa vào ISO 9000, Tổ chức ISO đã khuyến nghị doanh nghiệp nên xây dựng HTQLCL, tiếp cận theo các quá trình (ví dụ có 20 quá trình). Nếu doanh nghiệp đã có đầy đủ, chặt chẽ các văn bản giúp kiểm soát đúng 20 quá trình nêu trên, tức là HTQLCL đã có thể giúp họ thực hiện mục tiêu đảm bảo chất lượng sản phẩm/dịch vụ với khách hàng.
Trong thực tế, nếu ở quá trình nào doanh nghiệp còn vô tình/hay chủ động để “lỏng” – nay được phép mà – nhằm thích nghi nhanh với các điệu kiện thay đổi của môi trường …, ở đó có thể tạo ra mối nguy đến hiệu lực của hệ thống quản lý, nên cần theo dõi/có biện pháp kiểm soát. Tuy nhiên, cũng do để “lỏng” nên doanh nghiệp có thể sẽ phản ứng linh hoạt hơn với những yêu cầu/đòi hỏi từ thị trường. Việc để lỏng ở đâu, mức độ thế nào … phụ thuộc vào khả năng, văn hóa và mục tiêu của doanh nghiệp.
Quản lý rủi ro của HTQLCL gắn liền với kết quả hoạt động – tức là chất lượng sản phẩm/dịch vụ có ổn định không (mức độ giao động thế nào)? Nếu chất lượng sản phẩm ổn định, nhiều thị trường/khách hàng khó tính chấp nhận, hàng bán đều – mối nguy/rủi ro của HTQLCL (có thể có) thấp. Nếu quản lý rủi ro rất tốt, rất nhiều biện pháp phòng ngừa …. được đưa ra, thực hiện, chi phí tốn nhiều hơn nhưng hàng luôn bị khiếu nại, trả về … chứng tỏ hiệu lực, hiệu quả quản lý rủi ro thấp. Cần cân nhắc giữa kết quả/chi phí đầu tư.
3.2. Đối với doanh nghiệp bắt đầu xây dựng HTQLCL
Nếu doanh nghiệp bắt đầu xây dựng HTQLCL thì nên thống kê lại những tài liệu, qui định … gì đang có, xác định xem các quá trình và mối nguy/rủi ro còn ở đâu, thế nào, rồi đưa ra giải pháp kiểm soát/hoàn thiện HTQLCL thì tiện hơn.
Doanh nghiệp nên có 1 qui trình quản lý rủi ro để thống nhất phương pháp xác định các mối nguy, lượng hóa các tác động (mức độ nghiêm trọng) và lựa chọn những mối nguy có mức độ tác động cao/nghiêm trọng cần giải quyết trước. Cái này có thể coi là “Risk management framwork/ Khuôn khổ quản lý rủi ro” của doanh nghiệp.
Chú ý: không nên quá tập trung vào quản lý rủi ro (do doanh nghiệp vô tình hay cố ý để lỏng trong hệ thống) mà quên đi nhiệm vụ quan trọng hơn – là xây dựng Hệ thống quản lý cho doanh nghiệp, tổ chức sản xuất kinh doanh hiệu quả …..
Xem thêm: Tham khảo một số quy trình nhận diện và kiểm soát rủi ro
4. Một số quan điểm về quản lý rủi ro
4.1. Có cần xác định và kiểm soát tất cả các rủi ro?
Giai đoạn đầu triển khai đánh giá rủi ro, chỉ cần tập trung xác định một số rủi ro để kiểm soát, còn lại để các năm sau tiếp tục xác định rủi ro khác để kiểm soát, quan điểm của bạn?
Doanh nghiệp chúng tôi chỉ có 10 người, vừa sản xuất, vừa kiêm nhiệm tất cả các vị trí Chất lượng, An toàn, Môi trường … nên chia ra các cấp độ rủi ro để kiểm soát dần là và đó là hợp lý.
Tuy nhiên, nếu áp dụng theo ISO 14000, 22000, 45000 thì doanh nghiệp cần liệt kê ra toàn bộ các mối nguy/rủi ro liên quan (về môi trường, ATVSTP, ATVSLĐ, ATSKNN) sau đó lựa chọn/hoạch định và làm dần.
Mức độ quản lý rủi ro thế nào tùy thuộc vào nguồn lực, tình hình thực tế và mục tiêu cốt lõi của doanh nghiệp (đảm bảo chất lượng sản phẩm/dịch vụ; đảm bảo rằng quá trình sản xuất kinh doanh tuân thủ pháp luật, không gây tổn hại tới môi trường, hay môi trường làm việc an toàn, đảm bảo sức khỏe của người lao động,…).
4.2. Khi đánh giá rủi ro, có thể bỏ qua rủi ro mà cho rằng đã kiểm soát tốt?
Mức độ nghiêm trọng của từng mối nguy có thể thay đổi theo thời gian, mục tiêu và nguồn lực …. của doanh nghiệp, nên hãy liệt kê tất cả các mối nguy, định lượng tác động của từng mối nguy, xác định rủi ro cần kiểm soát và đưa ra giải pháp liên quan.
4.3. Cách tiếp cận rủi ro trong các tiêu chuẩn HTQL khác
Rủi ro trong các tiêu chuẩn HTQL (ISO 9001, ISO 13485, IATF v.v.)/ISO 22000/ISO 14001/ISO 45001/ISO 27001… có cách tiếp cận khác nhau không?
Nên có qui trình quản lý rủi ro chung, nhưng có hướng dẫn riêng cho từng lĩnh vực vì cách tiếp cận/ khung kỹ thuật của các tiêu chuẩn (MT, HACCP, ATVSLĐ ….) xác định ra các mối nguy khác nhau.
Từng lĩnh vực, dựa vào mục tiêu, xác định các mối nguy liên quan, lượng hóa mức độ tác động của các mối nguy rồi đưa ra các giải pháp thích hợp, áp dụng vào thực tế và đánh giá hiệu quả.
Nhìn vào quá trình chính để tạo ra sản phẩm tại doanh nghiệp, các mối nguy có thể là :
-
ISO 9001: quá trình đó có tạo ra sản phẩm cuối cùng (có đủ, đạt chất lượng hay thiếu/nhầm lẫn …), các mối nguy …. giải pháp;
-
ISO 45001: mối nguy cho người lao động là gì: mất ATVSLĐ, ATSKNN (bệnh nghề nghiệp, BHLĐ ….), giải pháp là gì : kỹ thuật hay hành chính; rủi ro liên quan tới hệ thống quản lý
- ISO 22000 : các mối nguy sinh học, hóa học hay vật lý ?
- ISO 14000 : bám sát vào bối cảnh, các khía cạnh môi trường, các qui định luật pháp cần tuân thủ, yêu cầu của các bên liên quan, các vấn đề nội bộ và bên ngoài, … nhận diện các mối nguy …. hành động.
4.4. Trình tự đánh giá và kiểm soát rủi ro
Theo bạn trình tự nào sau đây đúng:
-
So sánh/Đánh giá rủi ro (risk evaluation) => Biện pháp kiểm soát = Hành động giải quyết các rủi ro và cơ hội, hay là
-
Kiểm soát hiện tại => So sánh/Đánh giá rủi ro (risk evaluation) => Biện pháp kiểm soát bổ sung (nếu cần thiết). Và khi đó: Hành động giải quyết các rủi ro và cơ hội = Kiểm soát hiện tại + Biện pháp kiểm soát bổ sung (nếu cần thiết)
Trình tự thứ 2 hợp lý hơn.
4.5. Biện pháp kiểm soát hiện có được tính đến trong trường hợp nào sau đây?
-
Khi xác định Rủi ro liên quan đến các khía cạnh môi trường,
-
Khi xác định Khía cạnh môi trường đáng kể/quan trọng,
Cả 2 phương án trên.
4.6. Tích hợp và thực hiện hành động giải quyết rủi ro vào các quá trình
Các tiêu chuẩn có yêu cầu “phải tích hợp và thực hiện các hành động (Hành động giải quyết các rủi ro và cơ hội) vào các quá trình của hệ thống quản lý”, vậy cụ thể phải làm gì để đáp ứng?
Nên dựa vào các quá trình mô tả theo ISO 9001, sau đó hiểu rõ mục tiêu của từng quá trình là gì (Về ATLĐ, MT, ATVSTP …) và xác định các rủi ro liên quan, xây dựng các văn bản/ biện pháp quản lý cho phù hợp.
4.7. Hoạch định hành động mang tính bị động có được không?
Doanh nghiệp cần chủ động trong việc hoạch định các hành động xử lý các rủi ro liên quan.
4.8. Có phải định kỳ phải đánh giá rủi ro ?
Doanh nghiệp nên định kỳ đánh giá lại rủi ro và các biện pháp kiểm soát. Tần suất đánh giá tùy thuộc vào mỗi doanh nghiệp, thường không quá 12 tháng.
ISO 22000 yêu cầu doanh nghiệp cập nhật/có nghĩa không cần định kỳ đánh giá rủi ro.
4.9. Khi nào cập nhật/sửa đổi lại tài liệu đánh giá rủi ro?
Mỗi khi có thay đổi liên quan tới các quá trình của HTQL hay công nghệ sản xuất …., doanh nghiệp nên xem xét các tác động, nếu có và bổ xung kiểm soát các mối nguy phát sinh.