ISO 9001:2015 , ca si ISO 14001:2015, se alineaza Anexei SL emisa de ISO in anul 2012. O cerinta absolut noua in noua versiune a celor doua standarde este cea legata de riscurile organizatiei. Exista si alte cerinte dar in acest articol o sa tratam doar aceste aspecte , intrucat sunt cele mai importante si mai dificil de inteles de majoritatea organizatiilor certificate ISO 9001 si ISO 14001. Articolul propune doar o abordare ce ar trebui sa fie acceptata de catre auditorii organismelor de certificare dar mai pot fi si altele.
PROFESSIONALS BUSINESS KNOWLEDGE SRL a dezvoltat un suport de curs integral pentru organizatiile care doresc efectuarea tranzitiei la noile standarde. La cerere acest curs poate fi facut in-house, cu exemple de analize de risc si planuri de tratare specifice industriei respective. Lectorii nostri sunt auditori externi certificati de IRCA cu competente dovedite in diverse domenii (ex: productie, furnizare de servicii, administratie publica etc.)
Noua abordare de a face business in marile companii este cea bazata pe conceptul de „Risk Governance”. Acest concept se refera la faptul ca resursele companiei (ex: oameni, financiare, timp) precum si actiunile/prioritatile acesteia de business se aloca, respectiv se iau, in functie de riscurile de business la care compania se expune in contextul sau.
Ce inseamna context organizational?
Standardele ISO definesc contextul organizational ca fiind totalitatea factorilor care influenteaza pozitiv si negativ activitatile organizatiei respective. Aici standardul ISO 9001:2015 dar si ISO 14001:2015 disting doua categorii de factori: cei interni (care provin din interiorul organizatiei) si cei externi(care provin din exteriorul acesteia).
Factorii interni sau aspectele interne sunt reprezentati(e) de tipul de procese specifice din cadrul organizatiei, modul de organizare (fluxuri informationale si de lucru, structuri ierarhice), cultura organizationala, obiective impuse de management, competentele angajatilor, particularitati ce tin de infrastructura utilizata etc.
Factorii externi sau aspectele externe sunt reprezentati(e) de profilul si numarul furnizorilor de servicii (inclusiv personal colaborator) cu care organizatia lucreaza, legislatia si cerintele de reglementare specifice, cerinte de la clienti si tipologia acestora, aspecte ce tin de zona geografica in care organizatia activeaza.
Ce trebuie sa faca o companie certificata ISO 9001:2008 si/sau ISO 14001:2004 pentru a putea implementa noile cerinte de tranzitie la ISO 9001:2015 si/sau ISO 14001:2015 ?
Noile standarde au venit cu cateva cerinte noi fata de versiunile anterioare, dar cele mai importante cerinte sunt cele referitoare la abordarea riscurilor.
Pentru a putea face tranzitia la noile standarde, organizatiile trebuie sa isi identifice riscurile de business pe baza contextului organizational. Primul pas ce trebuie realizat dupa identificarea contextului specific este identificarea riscurilor si analiza lor.
Simplu de spus, dar ce riscuri ce trebuie identificate? O sa luam ca exemplu ISO 9001:2015. Pentru Sistemul de Management al Calitatii sunt importante riscurile care tin de non-calitatea serviciilor/produselor organizatiei. Adica acele riscuri pe care organizatia le are, in contextul in care functioneaza, si care pot influenta negativ serviciile / produsele acesteia.
Ca exemplificare, in analiza de risc specifica ISO 9001:2015 ar trebui sa se regaseasca identificate urmatoarele riscuri:
– Neatingerea nivelului dorit al satisfactiei clientilor. Pentru acest risc trebuie identificati factorii (ex: amenintarile si vulnerabilitatile organizatiei) care ar putea conduce la aparitia lui.
– Cresterea numarului de produse defecte ce se fabrica
– Aparitia unui numar mare de reclamatii din partea clientilor/furnizorilor
– Neindeplinirea cerintelor contractuale privind serviciile/produsele organizatiei conform specificatiilor clientilor
– Neincadrarea in parametrii de performanta a serviciilor/produselor organizatiei.
Pentru ISO 14001:2015 este important sa se identifice riscuri precum:
– Aparitia unui incident/accident care ar duce la poluarea mediului;
– Lipsa de conformare cu cerintele legale si eventual, amendarea organizatiei de catre autoritatile competente;
– Gestionarea necorespunzatoare a deseurilor (efectele ei).
Daca presupunem ca aceste riscuri au fost identificate, organizatia trebuie sa isi „ia” niste masuri de prevenire/contracarare ale aparitiei acestor riscuri. Pot fi mai multe masuri ce trebuie luate pentru a diminua (mitiga) un anumit risc. Important este ca organizatia sa poata demonstra, in cazul unui audit de tranzitie, ca a depus toate eforturile pentru a reduce nivelul riscului de la valoarea initiala la o valoare acceptata de catre management sau proprietarii de risc desemnati de catre conducerea organizatiei. Acest proces de reducere a nivelului initial al riscului la o valoare tolerabila de catre organizatie se poate realiza prin aplicarea metodei celor „4T”:
– Tratare cu actiuni specifice
– Transfer (ex: incheierea unei polite de asigurare sau externalizarea unui proces sau unei activitati);
– Tolerare (nu exista actiuni ce se pot intreprinde pentru prevenirea aparitiei riscului dar organizatia poate crea un plan de actiune care sa fie testat si aplicat atunci cand apare riscul, in scop corectiv, in vederea diminuarii consecintelor si a impactului). Aici ne referim la riscuri care tin de calamitati naturale care nu pot fi prevenite dar fara a ne limita la acestea;
– Terminare (organizatia renunta complet la o activitate/resursa care ii introduce riscul respectiv). Mai rar dar se poate intampla.
Ce urmareste un auditor de sisteme de management atunci cand realizeaza un audit de tranzitie la noile standarde ISO 9001:2015 respectiv ISO 14001:2015 ?
In primul rand auditorul urmareste daca organizatia si-a identificat corect si complet contextul. Ulterior, daca pe baza contextului, si-a identificat riscurile calitatii/de mediu si daca pentru fiecare risc a identificat si aplicat o serie de actiuni de contracarare (ex: metoda celor „4T” explicata mai sus). Va mai urmari trasabilitatea cu obiectivele organizatiei si politica in domeniul calitatii si/sau de mediu. Este posibil ca programul de obiective anual si/sau politica sa fie influentate de riscurile si masurile de contracarare identificate. Acest lucru inseamna ca organizatia a adoptat conceptul de „Risk Governance” si l-a integrat in SMC respectiv SMM (implicit in procesele de business).
Nu este o cerinta a standardelor ca riscurile identificate sa fie si reduse complet sub un nivel de prag (definit si acceptat de catre management). Important este ca organizatia sa demonstreze ca si-a identificat corect riscurile specifice SMC/SMM si le tine sub control.
In mod normal, neconformitati pot fi identificate atunci cand organizatia nu demonstreaza o trasabilitate intre context, analiza riscurilor, masurile de tratare/contracarare ale riscurilor, Politica si obiective. Mai pot fi identificate neconformitati evident si atunci cand lipsesc unele din elementele de mai sus.
In mod normal auditorii externi (din partea organismelor de certificare) nu ar trebui sa „dea” neconformitati ci doar niste „recomandari de imbunatatire” atunci cand lipsesc anumite riscuri punctuale daca organizatia demonstreaza ca are implementat tot fluxul de analiza-tratare al riscului si le tine sub control in mod adecvat si daca procesul este documentat si trasabil. Dar depinde de la caz la caz…
