QualityAustria

Ryzyko w normie ISO 9001:2015

Baza wiedzy


Ryzyko w normie ISO 9001:2015

Ryzyko w normie ISO 9001:2015

Poniższy artykuł jest transkryptem webinaru, który odbył się w marcu. Autorem oraz prowadzącym jest Michał Kubista. Nagranie w wersji wideo możesz zobaczyć poniżej. Zapraszamy do lektury! 

Nie jest moim celem, nigdy nie było i nie będzie dzisiaj abyśmy dyskutowali na temat  definicji jakości. Jak pewnie wiecie z literatury i źródeł pobocznych – samych definicji jakości jest kilkanaście np.: Deming, Juran i inni. Myślę że ważne jest to, by spojrzeć iż w nowej normie podejście do jakości ma coraz większe i szersze zastosowanie. Przede wszystkim, gdy mówimy o standardowym, klasycznym podejściu do wyrobów i usług ono się również tutaj znajduje. Natomiast myślę, że ważne jest to co znajdujemy w normie to zamierzone i niezamierzone stosowanie produktów. Czyli oddziaływanie produktu na strony zainteresowane, które, przy nienależytym podejściu z mojej strony, może skutkować tym, że będę pociągnięty do odpowiedzialności, gdy mój produkt bądź produkt niebezpieczny wyrządzi szkodę poprzez niewłaściwe użytkowanie użytkownika końcowego, którego powinien powiadomić o tym, jak użytkować produkt, ale też z drugiej strony stworzyć jasną barierę  w dokumentacji użytkownika związaną z deklaracją zgodności, w instrukcji obsługi,  gdzie kończy się moja odpowiedzialność jako producenta. Czyli jakie zastosowanie produktu powinno być. Bo tylko znając pole zastosowania mojego produktu, realizacji usług jestem w stanie ograniczyć ryzyko dla konsumenta, dla ostatniego użytkownika jestem w stanie ograniczyć ryzyko tego co się złego może wydarzyć.

W mojej pracy zawodowej podejście do ryzyka było dużo wcześniejsze niż myślenie o certyfikacji. Certyfikacja jest ważnym elementem, natomiast gdy mówimy o budowaniu bezpieczeństwa organizacji i zarządzania ryzykiem, to jest ona tylko jednym z aspektów.

Jeżeli ukierunkujemy się by budować bezpieczeństwo organizacji poprzez zarządzanie ryzykiem – to super, bo to jest najlepszy cel dla narzędzia, jakim jest zarządzanie ryzykiem. 

Chciałbym jedną rzecz powtórzyć od początku naszego spotkania - to, że 9001 nie wymaga od nas ustrukturowanego podejścia. W mojej skromnej opinii dobrze się oprzeć na pewnych rozwiązaniach, które są już na rynku dostępne. Dlaczego? Powiem brzydko, też jestem osobą wygodną – bo tak łatwiej czasami. Szukając narzędzi do zarządzania ryzykiem mamy przynajmniej kilkanaście dostępnych narzędzi z różnych dziedzin. Możemy czerpać dobre doświadczenia.

Myślę, że miarą sukcesu w pierwszym momencie będzie dobór właściwych metod organizacji. Bo tu niestety obserwuję wiele razy, że się trochę się przestrzelimy z narzędziową metodologią albo strzelamy z armaty do komara patrząc pod punktem „zarządzanie ryzykiem” na metody, które spotkaliśmy w organizacjach.

Integracja podejścia w ISO

Mówiąc o podejściu do ryzyka w nowej normie wspomniałem o innych nowych normach i standardach. I to jest wynik aneksu SL, czyli metodologii tworzenia norm, która od jakiegoś czasu funkcjonuje. Wszystkie norm ISO-wskie będą oparte o tzw. aneks SL, o ujednoliconą strukturę dokumentów, co sugeruje też to, że w każdych następnych normach, które będą publikowane przez komitety ISO, podejście do ryzyka też będzie miało miejsce.

Integracja podejścia

Mówimy tak naprawdę o integracji podejścia. Myślę, że to bardzo dobre rozwiązanie, ponieważ jeżeli omówimy sobie dzisiaj na temat zarządzania ryzykiem w normie 9001, zauważycie, że takie samo podejście można zastosować w normie ISO 14001.

Będę się trochę odwoływał do metodologii związanej np. z normą 31000, ale kontekst zarządzania ryzykiem mamy też w innych standardach. Jeżeli ktoś z was był zainteresowany, czy jest zainteresowany również zawodowo ochroną danych osobowych. To zmiana, która za chwilę będzie miała miejsce w maju (RODO), wprowadza również wymaganie do zanurzenia ochrony danych osobowych oparte na podejściu do ryzyka. To dość istotna zmiana, ponieważ do tej pory Rozporządzenie MSWiA - obecnie funkcjonujące jeszcze i ważne – podaje jakie środki organizacyjne i bezpieczeństwa, techniczne przedsięwziąć.

W nowym Rozporządzeniu, bo polskiego prawodawstwa tutaj nie mamy jeszcze, mamy podejście oparte na ryzku. Popatrzcie na to w ten sposób, że odwracając role w ten sposób, ustawodawstwo mówi tak: „Zbuduj system nie taki, jaki ci powie Rozporządzenie MSWiA, zrób analizę ryzyka i zbuduj system adekwatny do zagrożeń”. A to już o wiele trudniejsze.

Także jak widzicie, zarządzanie ryzykiem jest implementowane coraz szerzej i w ustawodawstwie i w normalizacji. Stąd też 9001:2015 również ten element tam wprowadza.

Dobór metody w zarządzaniu ryzykiem.

Myślę, że ważne jest to, by sięgnąć do źródeł zewnętrznych. To nie jedyny obszar w zarządzaniu ryzykiem, gdy musimy wyjść poza 9001. Takich obszarów jest więcej, bo obszar związany z udokumentowaną informacją na pewno was odsyła trochę do dokumentów pobocznych. Również elementy związane z kontekstem wykraczają poza 9001, bo trzeba szukać metod analitycznych choćby tylko pochodzących z makro- czy mikroekonomii. Kompetencje, zarządzanie wiedzą – to schematy, których norma nie opisuje. Natomiast takie modele istnieją globalnie w dziedzinach zarządzania, nie wpisane w jakość. Tu one są przywoływane, więc musimy po nie sięgnąć. Myślę, że jest kilka rynkowych rozwiązań, publikacji, gdzie możecie sięgać, by wiedzę poszerzać.

Dobór metody

Istnieje kilka modeli np. COSO lub ISO 31000. Wiedza to również np. ISO GUIDE 73, który przedstawia nam problemy terminologiczne. Myślę, że bardzo fajny. Sam do niego wróciłem po wielu latach, bo czasami  przywołanie danego zagadnienia i spojrzenie do terminologii jest ważne, żebyśmy popatrzyli bardzo szeroko na zagadnienia związane z ryzykiem, a jednocześnie bardzo wąsko na poszczególne zagadnienia związane z analizą, z ewaluacją, z postępowaniem z ryzykiem. Konkretne zagadnienia wymagają powrotu czasami do terminologii, żebyśmy wiedzieli, że mówimy o tym samym. Tym bardziej jest to ważne, że mamy pewne różnice w tłumaczeniach norm: mamy różnicę między wydaniem polskim i angielskim, mamy różnice między normę 9001 i 31000 co do podejścia w paru miejscach. Myślę, że wrócenie czasami do podstaw do terminologicznych jest bardzo ważne.

Chciałbym, żebyście zwrócili uwagę na jedną rzecz. Jednym z trudnych elementów w zarządzaniu ryzykiem jest dobór metody. Metod na świecie jest bardzo wiele. Norma 31010 to norma, która zawiera szereg metodologii związanych z analizą ryzyka. Myślę, że warto również tam sięgnąć i zobaczyć, kiedy mamy zastosowanie na normę 365 , kiedy możemy zastosować „world cafe”, a kiedy inne rozwiązania, kiedy możemy te zagadnienia przyjąć do zastosowania w mojej organizacji, i które naszym zdaniem będą adekwatne.

Wiele doświadczonych osób, które biorą udział w dzisiejszym spotkaniu doskonale ma tu rozeznanie – to nie cały katalog. Chodzi mi tylko o to, by pokazać miejsca, gdzie możemy szukać pewnej wiedzy. Gdzie możemy szukać rozwiązań. Cała reszta to praktyka, ale też publikacji związanych z ryzykiem jest wiele dostępnych rynkowo.

Nie chciałbym jednak iść w tym kierunku podczas naszego spotkania, tylko jak najbardziej skupiać się już na samej 9-tce. Polecam również spojrzenie na strony takich organizacji jak: FERMA, czyli Europejska Organizacja Zarządzania Ryzykiem. Publikuje bardzo ciekawe zagadnienia, ciekawe statystyki dzięki którym wiemy, że tylko 47% europejskich przedsiębiorstw podchodzi do ryzyka. Ale i tak jest, to wyższy poziom niż wg. badań COSO rynku Stanów Zjednoczonych, gdzie tych przedsiębiorstw jest dużo mniej.

Polecam szersze spojrzenie - poza ISO 9001. Po co? Po to, żeby trochę lepiej wiedzieć, jakie mam narzędzia, co mam dostępnego, bym mógł to zastosować w 9001. Myślę, że jest tam zawartych wiele dobrych praktyk, których przeniesienie na obszar zarządzania jakością na pewno nie zaszkodzi, a raczej powinno ułatwić wam podejście do tego tematu w nowej ISO 9001:2015.

Na co będę zwracał uwagę za chwilę? Na skuteczność. Na rezultat, który chcę osiągnąć i dopiero w tym kierunku dobieranie metod.

Skoro mówimy o skuteczności rozwiązań, to chcę was zapytać, co wy pod tym zagadnieniem rozumiecie? Kiedy możecie uznać, że system jest skuteczny? Czym się musi charakteryzować, by móc powiedzieć, że jest skuteczny, że podejście do ryzyka to nie wróżenie z kuli,
a  podejmowanie decyzji na podstawie faktów, jako jednej z zasad, o której mówi norma
w swej preambule.

Coś co jest związane z ryzykiem to metodologia postępowania z błędami, z przeciwnościami losu, które na pewno się pojawią. Biorąc pod uwagę każdą organizację, możemy mówić, nie czy się zdarzy jakaś sytuacja niepożądana w firmie, tylko kiedy. Miarą sukcesu będzie odpowiedź na pytanie jak jesteśmy przygotowani na dołek, bo nie tylko górki mamy w działalności naszej organizacji.

Zarządzanie ryzykiem też do tego służy, by próbować zgodnie z niektórymi metodologiami do tego poziomu dojść. Chciałbym abyśmy na to popatrzyli z pozycji publikacji, jaką jest „Czarny łabędź”. Co mnie bardzo zaciekawiło w tym podejściu to to, że po wydarzeniu, po zaistnieniu tzw. czarnego łabędzia, czyli sytuacji kryzysowej, okazuje się, że w wielu przypadkach pojawiały się symptomy tego, że się zbliża, i gdybyśmy popatrzyli na to zupełnie zdroworozsądkowo po wydarzeniu - na zasadzie: „mogliśmy to przewidzieć”.

 

Dowiedz się jak spełnić wymagana normy

 

Niestety nie jest to takie łatwe, dlatego że organizacja w całej swojej strukturze funkcjonowania i podejście do ryzyka to dwa ściśle ze sobą powiązane elementy.

Różnica między zarządzaniem ryzykiem a 9001 jest taka, że, jeżeli jeśli chcemy mówić o skuteczności, to musimy zaangażować całą organizację. Przynajmniej poinformowanie incydentów dla osób decyzyjnych, które będą wiedzieć, że nadchodzą czarne łabędzie.

Popatrzcie na bardzo ważny element, że w normie podejście do ryzyka to zagrożenia, czy też ryzyka i szanse. Jak najbardziej tak, z tym, że tutaj pojawiają się błędy w organizacjach, które mówią o tym, że nie należy na to patrzeć zbyt szeroko. Gdy mówimy w podejściu do  9001, będziemy związani ryzykiem w sposób ściśle ukierunkowany i ustrukturyzowany, by zrealizować cele organizacji. Jeżeli nie mam celów dla procesów, nie mam celów dla organizacji wynikających ze strategii, trudno będzie mi przeprowadzić analizę ryzyka, trudno będzie mi zobaczyć, jakie zagrożenia wpłyną na każdy z tych szczebli, w taki sposób, by przeszkadzać mi w realizacji celów, operacyjnych, strategicznych zadań. I też trudno będzie mi szukać szans, jeżeli nie będę miał ograniczeń co do celów, ponieważ realizacja szans, czy też postępowanie z zagrożeniami i ryzykiem, to również w paru miejscach elementy oparte
o budżet, o którym nie powinniśmy zapomin
ać.

Monitorowanie, pomiary i ocena

Chciałbym, żebyśmy popatrzeli na podejście do ryzyka troszkę szerzej, jak proponuje kilka osób spośród was, a to w taki sposób, by mówić o budowaniu narzędzia, które pozwoli stosować system jakości jako pewnego rodzaju tarczę dla organizacji,

- dla przeciwdziałania zdarzeniom niepożądanym,

- przynajmniej próbie minimalizacji skutków wynikających z zagrożeń,

- czy też próbie podnoszenia szans poprzez wzrost operatywności,

- eliminację działań niepożądanych w procesach.

I tutaj nie odwołuję się do metodologii leanowskiej, ale chciałbym się skupić na postępowaniu z ryzykiem i szansami w nowej normie.

Bardzo istotne jest to, gdzie w normie ISO 9001 mamy podejście do ryzyka. Pierwszym istotnym elementem to punkt 4 normy, gdzie będziemy rozpatrywać dwa elementy, z którego będą wynikały zagrożenia i szanse dla mojej organizacji. Są to na pewno:

- kontekst organizacji, gdzie norma w swoim tytule pkt. 4.1 mówi o zrozumieniu organizacji i jej kontekstu, ale również się skłania do pkt 4.2 Zrozumienia potrzeb i stron zainteresowanych.

Odwracając temat – gdyby nie było kontekstu, potrzeb i oczekiwań stron zainteresowanych, to pewnie nie byłoby zagrożeń. Nie byłoby też szans z tym związanych. Te dwa elementy są ze sobą bardzo ściśle powiązane (i gdy będziemy mówić o analizie ryzyka, musimy przygotować ten ciąg przyczynowo skutkowy), bo dopiero te dwa elementy przy rozpatrzeniu i poddaniu analizie, będą pozwalać nam na realizację dwóch następnych punktów:

- 4.4 System zarządzania i jego procesy – gdzie mówimy o procesach systemu (tam mamy jedno z wymagań, które mówi nam, że przy planowaniu procesów mamy brać pod uwagę pkt. 4.1 i 4.2, czyli kontekst i oczekiwania stron zainteresowanych)

- 6.1 Działania odnoszące się do ryzyk i szans - będziemy musieli zaprogramować, zaplanować  i wprowadzić działania związane z postępowaniem z ryzykiem i szansami.

Tak więc, gdy mówimy o planowaniu, postępowaniu z ryzykiem – to na pewno należy wziąć pod uwagę punkty 4.4 i 6.1 normy, ale pamiętajmy, że nie zrobimy ich bez podejścia do punktów wcześniejszych (tj. pkt. 4.1 i 4.2 normy).

Tak naprawdę od tego momentu w normie nie ma większego przełożenia na zarządzanie ryzykiem. Dopiero się z nim spotykamy już prawie na samym końcu normy w przed ostatnim punkcie 9.3 Przegląd zarządzania. Jednym z nowych punktów – jako dane wejściowe do przeglądu zarządzania i to o czym musimy rozmawiać – to ocenić skuteczność podejmowanych działań (to ten etap). Dlatego tutaj mam dużą wątpliwość, w mojej skromnej opinii, czy bez dokonania zapisów na etapach wcześniejszych, jesteśmy w stanie w pełni ocenić skuteczność działań podejmowanych w postępowaniu z ryzykiem na etapie pkt. 9 normy. Biorąc pod uwagę jedną z zasad zarządzania jakością, w której norma mówi w swojej preambule o podejmowaniu decyzji na podstawie faktu. Z mojej praktyki
i wynikającego doświadczenia, mam wrażenie, że jak tu nie będziemy mieli żadnych zapisów, to będziemy  mieli duży problem zrobić to w sposób skuteczny.

Kontekst i podejście do ryzyka

To jedno z nowych zagadnień w stosunku do wielu innych, o których mówimy w nowej normie. Skupimy się na tym elemencie jako danymi wejściowymi do danego działania.

Przejdziemy do elementu ważnego dla obecnych firm, które muszą dokonać transpozycji normy. Tak naprawdę podejście do ryzyka to trzy kroki, gdzie po przeprowadzeniu pierwszych dwóch można się zorientować, że połowa wymagań mamy spełnionych – taka jest moja opinia, ponieważ gdybyśmy usiedli w każdej organizacji i przeanalizowali kontekst, czyli jakie czynniki otoczenia zewnętrznego oraz wewnętrznego są tu istotne dla realizacji celów organizacji to wówczas się okaże, że w odniesieniu do czynników zewnętrznych już rozpatrujecie wymagania: prawne, środowiskowe, produktowe, regulacje, dyrektywy i to jeden z elementów wpływu kontekstu.

W ramach tego kontekstu musimy również popatrzeć jakie strony zainteresowane będą oddziaływać na naszą organizację, na dany produkt/system lub też jak my oddziałujemy na te strony zainteresowane.

Stroną zainteresowaną na pewno jest klient, wszelkiego rodzaju urzędy, z którymi współpracujecie, urzędy nadzoru i dozoru, to również właściciele i udziałowcy spółki. Strony zainteresowane to te, które mogą mieć wpływ na funkcjonowanie waszej organizacji. Dopiero analiza tych dwóch elementów pozwoli nam na zidentyfikowanie ryzyk i szans, które z tego właśnie wynikają. Ostatnim krokiem dla mnie jest to, w jaki sposób będę z tym ryzykiem i szansami postępował. To przełożenie na system, procesy, cele i planowanie działań. Taka jest sekwencja działań, którą w kilku krokach omówimy.

 

Ryzyko – czym jest?

Rozmawiamy na temat ryzyka. Cóż to jest ryzyko? Jak rozumiemy ryzyko? Z czym się kojarzy? Myślę, że większość z nas tak ma, że gdy zapytamy co to jest ryzyko to pierwsze skojarzenie jest negatywne. Ryzyko jako szanse -  to też wpływ niepewności na cele. Popatrzmy na jedno zagadnienie, chciałbym żebyśmy o tym pamiętali – szanse i zagrożenia – takie dwa wymiary, które może nieść ryzyko.

Wiem, że trudno podejść do ryzyka jako do szansy w pewnej rzeczy albo stanu rzeczy. Gdyby szanse były łatwe do zdefiniowania to żadne przedsiębiorstwo nie miałoby problemu
z własnym rozwojem. Natomiast ono jest bardziej ustrukturyzowane, bardziej złożone.

 

Popatrzmy na przykłady rynkowe z zakresu zarządzania ryzykiem i podejścia do szans. Pamiętacie zagrożenie jakim było kilka lat temu embargo Rosji dla producentów jabłek? Gdy jesteśmy przedsiębiorstwem, które produkuje – np. sadownikiem, który wytwarza, hoduje i sprzedaje na rynek Rosyjski jabłka – to to zagrożenie jest dla mnie bardzo istotne. Natomiast popatrzcie na to w ten sposób, że większość sytuacji związanych z zagrożeniem jesteśmy w stanie „przekłuć” na coś nowego, coś lepszego, coś innego. Ta innowacja to szansa: to szukanie nowych produktów, rynku, fuzji i innych zagadnień z tym związanych. Popatrzmy, co się wtedy pojawiło na rynku: soki w tzw. „Bag-In-Box”, czyli sok jabłkowy zamknięty szczelnie w torbie foliowej i kartonie lub cydr. Czy pamiętacie, aby były wcześniej takie produkty na rynku? Pamiętam, że sporadycznie, natomiast od czasów tamtej sytuacji bardzo wiele osób też to zauważa, że faktycznie tutaj ten nowy produkt – to właśnie ta szansa, o której mówimy w sytuacji ryzykownej.

Popatrzmy na normę ISO 31000, która jest dedykowaną postępowaniu z ryzykiem (nie zawiera ona co prawda wymagań, ale wytyczne). Gdy popatrzymy na model (powyżej) to praktycznie gdybyśmy spojrzeli na normę 31000 i cykl PDCA to są one zbieżne. Tutaj również, by dokonać oceny ryzyka konieczne jest ustanowienie kontekstu organizacji (5.3). Nie ma takiej możliwości, byśmy to zrobili w sposób prawidłowy bez znalezienia tych powiązań miedzy dwoma elementami (tj. miedzy punktami 5.3 a 5.4).

Jak widzimy, spięte jakbyśmy tłumaczyli na cykl PDCA, czyli:

- PLANOWANIE - by mówić o planowaniu działań postępowania z ryzykiem, muszę dokonać analiz

- MONITOROWANIE i PRZEGLĄD (cykle: C i A) – czyli weryfikacja i podejmowanie działań korygujących, doskonaleń w wyniku monitorowania przeglądu.

Kontekst organizacji

Spójrzmy na to przez pryzmat takiego otoczenia:

To przykład poszczególnych perspektyw, które mogą wnieść do nowej organizacji zagrożenia bądź szanse, takie jak np.: rynki kapitałowe, otoczenie jakim jest przyroda, rynki nabywców/dostawców (czyli łańcuchy całych powiązań), sama jakość produktów – to wszystko są elementy, z których mogą wypływać zagrożenia. Jakie?

- Jakość produktu – to gwarancja – skoro udzielam gwarancji z tytułu jakości moich produktów lub usług wprowadzanych na rynek to zwrot z rynku, reklamacja klienta jest jakimś ryzykiem – czymś skutkuje dla mojej organizacji. Wnosi do mojej organizacji akcje niepożądane.

- Rynki kapitałowe – tj. wzrost odsetek, kalkulacje, refinansowania, refaktoring.

- Rynki nabywców dostawców – jeżeli jest  się monopolistą to mamy trudności z dostawą towarów, nowe problemy z Just In Time (jeśli chodzi o cykle produkcyjne).

- Zjawiska przyrodnicze – trzęsienia ziemi, powodzie, burze. Jeżeli np. w wyniku burzy możemy zatrzymać dostęp (w każdej z firm) do internetu bądź prądu na dzień, dwa lub trzy. Nie ma przedsiębiorcy, który nie jest wrażliwy na tego typu zagrożenia z zewnątrz organizacji.

Do analizy kontekstu, gdybyśmy popatrzeli na jedno z narzędzi jakim jest wykres Ishikawy. Jest, to narzędzie dzięki któremu, możemy rozpatrywać wpływ kontekstu na organizację, popatrzeć na perspektywę i w ramach działu, o których mówi nam Ishikawa, poszukać zagadnień np. wg. lokalnego transportu lotniczego, burza, czyli przerwy w dostawie prądu, powódź – czyli zagadnienia, które dotyczyłyby organizacji, a nie całokształtu. Ryzyko w przetwarzaniu danych, wirusy, inne złośliwe oprogramowania, ataki hakerskie, podatność pracowników/użytkowników systemu na zagrożenia, awarie techniczne.

Tak więc, celem analizy kontekstu i stron zainteresowanych powinno być to, by wybrać z całokształtu tych zagadnień tylko to co dotyczy mojej organizacji i ma wpływ na osiąganie celów. Norma ISO 9001 mówi o tym pod kątem wpływu na cele na system jakości, czyli nie całe zagadnienie, ale tylko te elementy zagadnień, które dla mojej organizacji mają zastosowanie. Stąd też mówimy o dopasowaniu według normy nowych systemów konkretnie do dążenia organizacji, ponieważ to co w jednej firmie będzie istotne z punktu widzenia np. zarządzania personelem/zasobami ludzkimi (będzie to obszar wrażliwy np.: na starzenie się społeczeństwa, braki kadrowe) dla innej organizacji wcale nie musi być istotnym zagrożeniem. Z kolei dla innej być może wymagania klientów, ich zmienność i dokładność w definiowaniu będzie większym zagrożeniem niż braki w personelu.

Wykorzystanie narzędzi do postępowania z ryzykiem, do identyfikacji i analizy.

Trudno będzie zdefiniować jedno narzędzie, które znajdzie zastosowanie w wielu organizacjach. Dla każdej organizacji może to być inne narzędzie – dobrane pod kątem kompetencji personelu, zagrożeń, szerokości zagadnienia jakim są zagrożenia i szanse, czy też umiejętności przeprowadzenia takiej analizy. Możemy w wyniku analizy Ishikawy (przede wszystkim jej skanu) zdefiniować 10 obszarów, z których wypływają zagrożenia – tak naprawdę po to, by dobrze agregować ryzyko - natomiast dalszy krok zależy od mojej decyzji:

1. Czy wykorzystam analizę SWOT – to wcale nie musi być proste narzędzie, ale takie, które sobie dostosuję do moich wymagań i dzięki któremu będę w stanie przeanalizować pewne elementy. Analiza SWOT to przykład analizy, która załatwia nam tak naprawdę dwa elementy:

- kontekst wewnętrzny organizacji – to moje mocne i słabe strony

- kontekst zewnętrzny organizacji – to szanse i zagrożenia, które wynikają z mojego otoczenia.

Gdy mówimy o analizie SWOT to mówimy o zagrożeniach i szansach. Tak więc, okazuje się, że proste narzędzie dobrze przygotowane może spełniać moje oczekiwania pod kątem budowania systemu zarządzania ryzykiem w organizacji.

2. Popatrzmy na to również w taki sposób, że możemy wykorzystać dowolne inne narzędzie, bardziej skomplikowane, jakimi są: analizy dwu- trzy – czynnikowe, FMEA, poprzez zbudowanie sobie matrycy.

Chcę zwrócić Waszą uwagę, iż należy przyjąć takie narzędzia, które będą dla Was adekwatne. Wziąłbym pod uwagę przede wszystkim kompetencje personelu. Możemy pokusić się
o zastosowanie bardzo skomplikowanego narzędzia, natomiast pamiętajmy o tym, że dobierając narzędzie lepiej rozpocząć system narzędziem jakim jest analiza SWOT i w miarę rozwoju organizacji zmienić metodykę podejścia niż „przestrzelić się” w doborze narzędzia. To nam może nie przynieść (wbrew oczekiwaniom) oczekiwanego efektu.

Niezależnie od tego, które narzędzie przyjmiemy pamiętajmy, że muszą być one rozpatrywane pod kątem celu na implementowane procesy, ponieważ tego wymaga norma (czyli wystąpienia ryzyka w procesach). Tutaj są dwa kierunki badań zagrożeń: top down i down up.

Gdy badamy zagrożenia w procesach – jest to miejsce dobre dla pracy zespołowej, ponieważ właściciele procesów sami wskażą słabe i mocne strony działań. Natomiast ważne jest w tym podejściu by potem zebrać je i zagregować ryzyko. Dlaczego? Ponieważ gdy ryzyko jest związane z personelem i będzie występowało w przeważającej części procesów – to to nie jest poziom decyzyjny do rozwiązywania problemu. Nagle się okaże, że w wyniku agregacji ryzyka te zdarzenia w poszczególnych procesach dla całej firmy staną się istotne.

Spójrzmy na podstawową analizę SWOT i jej wykorzystanie. Nawet gdybyśmy wzięli tylko jej drugi stopień skomplikowania - czyli dla: mocnych stron, słabych stron, zagrożeń i szans – przypisali jej jakikolwiek rangi (czy na podstawie oceny bezpośredniej czy też oceny ważonej) pozwoli nam to z każdego obszaru zidentyfikować najbardziej wpływowe elementy pod kątem szans i zagrożeń.

Analiza SWOT wypełniona tylko pod kątem znalezienia zagrożeń i szans, słabnących stron już nie da nam efektów. Dlatego powinniśmy popatrzeć by próbować ocenić te perspektywy np. mocnych i słabych stron a następnie zestawić słabe strony i zagrożenia, zestawić mocne strony i szanse. Tak de facto po to by w pełnej analizie SWOT popatrzeć jak na dane zagrożenie zewnętrzne wpływają moje mocne strony, czy te zagrożenia zewnętrzne minimalizują, czy przypadkiem moje słabe strony nie podnoszą szansy zaistnienia zagrożenia.

Jeżeli dla mnie szansą rynkową jest wprowadzenie nowego produktu albo słabą stroną są braki personalne to nie możemy tego traktować jako szansy rynkowej wiedząc, że mamy słabą stronę w tym obszarze. Tego wymaga pełna analiza SWOT, by zobaczyć perspektywy: jak na mocne strony wpływają szanse i zagrożenia i zrobić analizę krzyżową – wtedy mówimy o pełnej analizie SWOT – czy w postaci tabeli punktowej, czy w opisach słownych, ale popatrzcie na zależności. Wtedy będzie mowa o pełnej analizie. Jest to w miarę proste narzędzie.

W każdym procesie przeprowadzona analiza pozwoli nam potem na agregowanie tych zagrożeń i szans na poziomie realizacji.

 

RYZYKO - SPEŁNIJ WYMAGANIA NORMY ISO 9001:2015 ORAZ 14001:2015

 

Podejście oparte na ryzyku - Rewizja ISO 9001 wyjaśniona w prosty sposób

Quality Austria oferuje cykl informacyjnych artykułów eksperckich dotyczących rewizji ISO 9001:2015. Każdego miesiąca zostanie dogłębnie wyjaśniona kluczowa koncepcja rewizji. W tym miesiącu MSc Eckehart Bauer wyjaśnia koncepcję „podejścia opartego na… więcej


Ryzyko w pytaniach i odpowiedziach

Spis treści Pułapka szacowania ryzyka Ryzyko niewykorzystanych szans Zagrożenie vs Ryzyko ISO 29990 - Kształcenie to zagrożenie, czy szansa dla organizacji Wpływ zmienności na zarządzanie ryzykiem Ryzyko i inwestycje w… więcej




Quality Austria - Polska Sp. z o.o.

Quality Austria