新版ISO9001:2015质量管理体系认证风险管理如何做
新版ISO9001:2015质量管理体系认证风险管理如何做
1.导言
2 目的
3. 什么是风险管理
4. 风险管理的重要性
5. 四步法进行风险管理流程
1. 导言
基于风险的思维是ISO9001:2015标准中的一个新概念,这使得许多公司寻找一种简单的方法来管理他们公司的风险。通过专注于通过一个简单的风险管理过程来理解您的风险,您可以将您的注意力更多地集中在解决您的组织所面临的风险上,而不是与一个复杂的过程进行斗争,这个过程将花费大量的时间和资源来获得很少的投资回报。
2. 目的
本白皮书的目的是为那些正在寻找一个简单的风险管理过程,以支持他们实施质量管理系统(QMS)的公司。一个基本的风险管理过程可以有利于公司,让他们把QMS的重点放在防止问题发生上,而不是后续的问题改善上。ISO9001:2015 本文描述了基本风险管理过程中的建议步骤。
3. 什么是风险管理
什么是风险管理,ISO9001:2015要求什么?严格地说,ISO9001:2015需要一个风险评估过程,在这个过程中,您可以识别存在哪些风险,并决定您将如何处理这些风险。风险管理更进一步地跟踪和管理风险,直到它们被消除,或者直到它们可能发生的时间已经过去。这种基本的风险管理是一个周期性的过程,在这个过程中,公司将识别存在哪些风险,确定采取什么行动(如果有的话)来控制或防止风险的发生,然后继续跟踪风险,看看它们是否发生。
风险被定义为不确定性的影响,或者换句话说,你无法确定的事情发生的可能性。这更常被认为是潜在的不良影响发生,而不是风险的良好转变可能发生。因为我们认为风险主要是坏的影响,所以风险管理是我们为防止这些坏事情发生而做的活动。
这个循环过程将使您能够跟踪您预见的可能发生的风险,以及您为处理这些风险而采取的行动和控制。风险处理可以采取消除风险、减少风险发生的可能性、减轻风险的影响、制定计划在风险发生时应对风险、甚至接受风险并不采取行动的形式。
4. 风险管理的重要性.
为什么你应该在你的组织中使用风险管理?这是一个常见的问题,许多高素质的专业人员被问到。对于那些专注于短期目标并试图解决已经发生的问题的忙碌经理来说,风险管理似乎是一个耗时的过程,现在对他们没有帮助,而且他们也没有错,风险管理确实是关于从长远来看防止问题。
如果不能预见风险,并作出响应,那么在未来,你将会是不断地在处理问题,而不是提前就防止问题发生。这就是为什么ISO9001:2015标准在质量管理体系的要求中包含了风险和机遇的评估。
那么,为什么风险管理被纳入ISO9001:2015?ISO质量管理体系标准的许多变化是在审视了2007-2008年全球经济衰退期间导致许多公司倒闭的问题之后实施的。在观察那些在经济困难时期幸存下来的公司时发现,与那些表现不佳的公司相比,这些公司所做的事情之一是,他们积极主动地审查和处理其过程中的风险,并在这些问题发生之前找到预防或处理这些问题的方法。
对于那些想提高自己的能力来应对过程中可能出现的问题风暴的公司来说,风险管理是质量管理体系的重要组成部分。因此,确保您知道如何评估您的风险,并在必要时实施控制,对于您的QMS过程的总体成功至关重要。通过管理可能导致你问题的风险,你会发现,如果这些问题发生,你可以更容易地处理这些问题的负面后果。
5. 四步法进行风险管理流程
现在您知道了什么是风险管理,以及它与风险评估的不同之处,您可以确定您将如何选择在您的组织中执行它。在您的组织中有许多不同的方法来解决风险,并且有许多工具可以帮助这个过程。如果您使用风险管理作为改进QMS中流程的一种方法,那么简单的流程就足够了。
那么,风险管理的基础是什么?对于一个简单的四步风险管理过程,请考虑以下步骤:
步骤1:定义如何处理和处理风险
虽然风险管理不需要一个程序,但有一个过程来确定风险评估的谁、什么、地点、原因和方式,将确保这个过程在您的公司中正确地发生。过程中风险评估由谁负责??当风险被识别时需要发生什么?在这个过程中风险评估将发生在哪里?风险评估何时需要发生,何时不需要发生?为什么你要进行风险评估(这会大大影响所需的细节)?风险评估是如何进行的,风险处理是如何记录、控制和沟通的?与贵公司的所有程序一样,风险评估和管理程序应包括一些重要信息,如程序的识别和描述(例如标题、日期、作者或参考编号),以便员工知道程序是关于什么的,如果他们需要澄清,可以与谁交谈。同样,有一种格式可以确保很容易地找到程序的谁、什么、在哪里、何时、为什么以及如何,这样就可以使员工很容易地知道他们需要在组织中做什么来进行风险管理。
步骤2:识别风险
现在定义了该过程,下一步是确定哪些风险可能影响您的QMS。有一些问题可以帮助您确定存在哪些风险,例如:您能满足交付产品和服务的所有要求吗?你的供应商是否对达到你的最终目标构成任何风险?您的公司流程需要设置哪些控制,以确保它们正确操作,以给您所需的输出?
例如,您可能会发现一个风险,即您的一个供应商已经发出通知,他们将停止生产您的产品的关键部件,没有它,您的产品将无法工作。第二个可以识别的风险是,如果某个设备磨损,您将生产不良部件。
步骤3:评估风险有多大
并非所有风险都同样重要,这并不奇怪。有些风险发生的可能性要低得多,而另一些风险如果你不阻止它们,肯定会发生。同样,有些风险如果确实发生,就会造成很多问题,而另一些风险则很难产生问题,或者在发生时很容易修复。甚至重要的是要考虑当风险发生时,它有多可能注意到事件-如果它可能被忽视,但会造成大量的麻烦,那么努力确保它不发生可能是至关重要的。
对于那些熟悉使用失败模式和效果分析(FMEA)过程的人,会了解每个识别的风险都是根据效果的严重程度、发生的可能性和由于控制到位而被检测的机会来评估的。
例如,如果供应商通知您他将停止制造组件,您可能会将风险评估为非常重大,因为这将阻碍您向客户交付产品的能力。第二个例子,如果设备磨损会在一个过程中产生不良部件,如果废料的成本很低,而且检测的机会很高,可能不是一个重大的风险。在你的评估中,你会想看看三件事:严重程度、发生和可检测度。如果风险发生,问题会造成多严重?风险有多大可能发生??如果问题发生了,你有多可能发现它?即使您没有使用正式的FMEA模板,使用这些评估标准将帮助您确定风险是否足够大,以做一些事情。
步骤4:确定控制和其他选项以减少风险
你接下来做什么?然后,你需要扩大你对每一种风险的思考。如果一个风险会给你带来困难,并有50%的机会发生,那么你将需要评估你将对此做什么-换句话说,你将实施什么控制。
记住,如果风险的重要性不值得采取行动,你也可以选择无所作为。知道风险有多大,或者换句话说,它将如何影响你,是你在决定你将如何反应之前首先需要做的事情。你将设置什么控制?为了使基于风险的思维为您的组织工作,您将希望使您的风险控制与您的风险意义相匹配。
那么,在确定哪些风险是重大的之后,你会怎么做?您将希望确定为每个风险设置哪些控制,但如何做到这一点?秘密是利用风险意义来决定需要什么样的控制水平。
因此,一旦你知道风险有多大,就更容易知道你需要做些什么。与那些没有重大风险的风险相比,非常重大的风险需要更多的关注和更大的计划。你可以投入一个工程控制,以阻止一个重大的潜在风险的发生,而一个轻微的风险,可以注意到和固定容易,几乎没有成本或时间影响,可能只是监测与行动计划时,它发生。这些控制措施或其他备选办法需要根据其旨在应对的每一种风险的重要性进行评估。
以供应商停止一个部件为例,您可以采取行动找到一个新的供应商,或者您可以找到一个替换部件-这将意味着重新设计和潜在的重新验证您的产品,以适应这一变化。这一风险处理计划可以是长期的和多方面的,包括一个计划,同时解决供应商搜索和产品重新设计活动并行。解决这种复杂的风险需要大量的时间和精力来减轻。
例如,由于机器磨损而产生报废零件的过程,可能有几种风险处理可以考虑。更换这台机器的成本可能很高,而且成本效益不高,因为它可以节省废料的价值;同样,由于预防性维修的复杂性或遇到的停机时间,需要对预防性维修过程进行成本效益评估。
甚至有可能,您可以简单地接受创建坏部件的风险,并简单地监视过程,以便您注意到何时创建了坏部件,此时可以实现简单的调整。
要做的重要事情是确保您所决定的任何控件都是必要的,成为QMS进程的嵌入式部分,这样它们就不会被忽略。监视和测量活动需要成为常规过程的一部分,任何已到位的控制措施都需要由操作有关过程的人理解,以便他们不仅知道要做什么,而且知道为什么控制这种风险是重要的。
对过程中风险的认识培训是至关重要的,因为这种知识可能意味着员工在问题发生时作出适当反应,以及因拖延停止问题而失去宝贵的时间和金钱之间的差异。
结束了风险管理的四个步骤,但需要补充的一个额外阶段是定期风险审查。虽然不是四个步骤之一,但定期进行风险审查是使这四个步骤进入一个周期的重要环节。
在您的QMS中,有几个过程中风险评审是有用的,并且通过使用四步过程来评估这些时候的风险将帮助您确保您不会忽略任何风险。
这些过程包括QMS计划,产品和服务过程的计划和控制,设计,采购,内部审核和纠正措施.. 将风险评估包括在这些过程中,可以定期审查您的风险,并且是确保您对需要在公司内解决的风险进行持续评估的一种方法。
此风险审查还应包括对风险管理过程的审查和更新,以确保其改进并对您的组织仍然有用。