Tư duy dựa trên rủi ro trong đó nhận diện và kiểm soát tốt các rủi ro nhằm đưa ra định hướng, chiến lược phù hợp cho từng giai đoạn phát triển của doanh nghiệp là một trong những lợi ích tiềm năng mà ISO 9001:2015 mang lại trong quá trình duy trì áp dụng hệ thống quản lý chất lượng. Tuy nhiên, việc thiết lập một cách tiếp cận có hệ thống đối với rủi ro thay vì xử lý nó như là một thành phần của một hệ thống quản lý chất lượng, bằng một điều khoản riêng về hành động phòng ngừa trong các phiên bản trước đó của tiêu chuẩn ISO 9001 đã khiến không ít người đặt câu hỏi Hành động phòng ngừa và khắc phục đang ở đâu trong phiên bản mới ISO 9001:2015?. Bài báo này sẽ phần nào giúp người áp dụng giải đáp được nghi vấn này bằng việc khái quát về quản lý rủi ro trong ISO 9001:2015 theo TCVN IEC/ISO 31010:2013.
Như ta đã biết, một trong những thay đổi quan trọng trong sửa đổi năm 2015 của ISO 9001 là rủi ro luôn được xem xét trong suốt các quá trình và bao hàm trong toàn bộ tiêu chuẩn. Bằng cách tư duy và tiếp cận quá trình dựa trên rủi ro, doanh nghiệp sẽ trở nên chủ động hơn là phản ứng ngăn chặn, ngăn ngừa hoặc làm giảm tác dụng không mong muốn và thúc đẩy cải tiến liên tục. Tức là hành động phòng ngừa đã trở thành tự động khi một hệ thống quản lý dựa vào rủi ro.
Tư duy dựa trên rủi ro là gì?
Tư duy dựa trên rủi ro là một cái gì đó mà tất cả chúng ta làm tự động và theo tiềm thức, chẳng hạn như cần quan sát tín hiệu đèn giao thông trước khi muốn qua đường. Suy nghĩ dựa trên rủi ro luôn gắn liền với toàn bộ quá trình của hệ thống quản lý tiêu chuẩn ISO 9001:2015, là kết quả của những cuộc tranh luận, góp ý của các học giả và những nhà nghiên cứu chuyên sâu về tiêu chuẩn trên thế giới và sự thống nhất cao của Ban ISO - Tổ chức Tiêu chuẩn hóa quốc tế [ISO], nhằm đảm bảo đạt được các mục tiêu quản lý tại các cấp độ và mục tiêu chiến lược kinh doanh của tổ chức, tạo thuận lợi cho cả phía người áp dụng và bên đánh giá.
Trong tiêu chuẩn ISO 9001: 2015 thì rủi ro được xem xét từ đầu và xuyên suốt trong tiêu chuẩn, làm cho hành động phòng ngừa trở thành thói quen và tác động đến toàn bộ kế hoạch chiến lược cũng như các hoạt động. Tư duy dựa trên rủi ro đã là một phần của cách tiếp cận quá trình, nhằm tận dụng cơ hội và ngăn ngừa các kết quả không mong muốn.
Rủi ro được đề cập ở đâu trong tiêu chuẩn ISO 9001:2015?
ISO 9001:2015 định nghĩa rủi ro như là ảnh hưởng của sự không chắc chắn về một kết quả mong đợi, trong đó xoay quanh các câu hỏi: Ảnh hưởng tích cực hay tiêu cực của sự sai lệch? Điều gì có thể xảy ra và ảnh hưởng như thế nào? Khả năng xảy ra rủi ro như thế nào?
Mục tiêu chính của hệ thống quản lý chất lượng ISO 9001:2015 là để một tổ chức đạt được sự phù hợp và hài lòng của khách hàng bằng cách sử dụng tư duy dựa trên rủi ro, được thể hiện ở việc: [1] Xác định những rủi ro và khả năng ảnh hưởng của nó đến các mục tiêu của hệ thống nó tùy theo bối cảnh của mỗi tổ chức ở Điều khoản 4 [Bối cảnh của tổ chức]; [2] Ban lãnh đạo phải thể hiện vai trò lãnh đạo/cam kết xác định và giải quyết các rủi/cơ hội có thể ảnh hưởng đến sự phù hợp của một sản phẩm hoặc dịch vụ trong Điều khoản 5 [Lãnh đạo]; [3] Tổ chức phải xác định được rủi ro, cơ hội và lập kế hoạch để giải quyết từng vấn đề Trong Điều khoản 6 [Hoạch định]; [4] Tổ chức phải lập kế hoạch thực hiện và kiểm soát quy trình để giải quyết các rủi ro và cơ hội của nó theo Điều khoản 8 [Vận hành]; [5] Tổ chức phải theo dõi, đo lường, phân tích và đánh giá rủi ro/cơ hội như Điều khoản 9 [Đánh giá kết quả hoạt động]; [6] Tổ chức phải cải tiến liên tục để đáp ứng với những thay đổi về rủi ro trong Điều khoản 10 [Cải tiến].
Để đạt được mục tiêu của hệ thống quản lý chất lượng một cách hiệu quả, ISO 9001:2015 yêu cầu các tổ chức phải có cái nhìn và hiểu rộng hơn về rủi ro/cơ hội, xem xét rủi ro như là một phần không thể thiếu trong kế hoạch quản lý của họ, kêu gọi sự tham gia và cam kết cao hơn của lãnh đạo trong việc tìm cách giảm thiểu rủi ro, và cũng là cơ hội thúc đẩy sự thay đổi và cải tiến.
Đánh giá rủi ro và cơ hội theo ISO 9001:2015 theo TCVN IEC/ISO 31010:2013
Theo yêu cầu của tiêu chuẩn ISO 9001:2015, tổ chức phải xác định rủi ro và cơ hội cho ba vấn đề lớn như: Rủi ro và cơ hội từ bối cảnh tổ chức [4.1]; rủi ro và cơ hội từ các bên quan tâm [4.2]; rủi ro và cơ hội từ các quá trình của hệ thống quản lý chất lượng [4.4].
Tổ chức không cần phải kiểm soát tất cả các rủi ro, mà chỉ kiểm soát những rủi ro ảnh hưởng trực tiếp đến khả năng đạt được các kết quả như dự định của Hệ thống quản lý chất lượng [QMS]. Để xác định các rủi ro ảnh hưởng đến khả năng đạt được kết quả như dự định của QMS, trước hết chúng ta cần phải xây dựng quy trình và tiêu chí đánh giá, sau đó tiến hành đánh giá rủi ro theo tiêu chuẩn ISO 9001:2015.
Xây dựng quy trình và tiêu chí đánh giá rủi ro:
Việc đánh giá rủi ro được thực hiện theo kỹ thuật đánh giá rủi ro trong tiêu chuẩn TCVN IEC/ISO 31010:2013, dựa vào ma trận xác định mức độ ảnh hưởng [M] và khả năng xảy ra [K].
Ma trận xác định mức độ ảnh hưởngvà khả năng xảy ra của rủi ro
Trong đó, mức độ ảnh hưởng [M] được định lượng cụ thể cho từng hệ thống, chẳng hạn như:
Điển hình xác địnhmức độ ảnh hưởng củarủi ro
Tiêu chí đánh giá định lượng cho khả năng xảy ra [K] được quy định cụ thể tùy vào mỗi hệ thống và tuân thủ nguyên tắc điển hình sau:
Điển hình nguyên tắcquy địnhkhả năng xảy ra củarủi ro
Xác định cấp độ rủi ro
Cấp độ rủi ro được phân thành 3 cấp độ, bao gồm: Rủi ro cao [cấp A] đối với số điểm rủi ro từ 15 đến 25, rủi ro trung bình [cấp B] đối với số điểm rủi ro từ 6 đến 12, rủi ro thấp [cấp C] đối với số điểm rủi ro từ 1 đến 5. Khi kết quả rủi ro thuộc cấp độ A và cấp độ B, phải xây dựng biện pháp hành động giải quyết rủi do và cơ hội. Đối với cấp độ C thì khuyến khích các bộ phận chức năng đưa ra biện pháp ứng phó.
Biện pháp giải quyết rủi ro
Có nhiều cách để giải quyết rủi ro, tuy nhiên có thể chia làm 4 loại chính, đó là: [1] loại bỏ rủi ro, đối với những rủi ro có thể loại bỏ hoàn toàn như hành động khắc phục thông thường; [2] giảm thiểu rủi ro, đối với những rủi ro chúng ta không thể loại bỏ hoàn toàn do bản chất rủi ro hay do năng lực của tổ chức thì chúng ta thực hiện các biện pháp để giảm thiểu chúng ở mức chấp nhận được, chẳng hạn như: tỷ lệ hư hỏng trong quá trình sản xuất không bao giờ bằng 0, chúng ta chỉ thực hiện các biện pháp để kéo giảm tỷ lệ hàng này ở mức chấp nhận được; [3] chuyển rủi ro: chuyển rủi ro cho bên ngoài, bằng các cách như mua bảo hiểm, hoặc yêu cầu nhà cung cấp cam kết bồi thường khi chất lượng nguyên liệu có vấn đề; [4] chấp nhận rủi ro: đối với những rủi ro có khả năng xảy ra rất thấp hoặc chúng ta chấp nhận chúng không cần đưa ra biện pháp xử lý.
Đánh giá rủi ro theo tiêu chuẩn ISO 9001:2015
ISO 9001:2015 yêu cầu chúng ta xác định các rủi ro và cơ hội cho hệ thống chất lượng từ 3 nguồn chính, bao gồm: một là rủi ro từ bối cảnh tổ chức [a]; hai là rủi ro từ các quá trình [b]; ba là rủi ro từ các bên liên quan [c]. Trong đó, rủi ro thuộc các nhóm [a] và [b] thuộc về hệ thống quản lý và nhóm [c] là những rủi ro trong quá trình hoạt động.
Rủi ro từ bối cảnh tổ chức
Việc đầu tiên chúng ta phải xác định bối cảnh tổ chức tương ứng với mỗi vấn đề chúng ta xác định rủi ro của chúng, sau đó tiến hành đánh giá mức độ rủi ro. Ví dụ: xác định rủi ro về bối cảnh tổ chức của một công ty trong lĩnh vực sản xuất:
Phân tíchrủi ro từ bối cảnh tổ chức
Rủi ro từ các bên liên quan
Việc đầu tiên chúng ta phải xác định các bên liên quan ảnh hưởng đến tổ chức, tương ứng với mỗi bên quan tâm chúng ta xác định rủi ro của chúng, sau đó tiến hành đánh giá mức độ rủi ro.
Phân tíchrủi ro từ các bên liên quan [quan tâm]
Rủi ro từ quá trình sản xuất
Là các phân tích rủi ro trên cơ sở tiếp cận theo quá trình, sử dụng các chu trình dòng chảy PDCA [Plan-Do-Check-Act] xuyên suốt ở tất cả các bộ phận và đến từng CBCNV trong dây chuyền sản xuất.
Phân tíchrủi ro từcác quá trình [PDCA]
Sau khi phân tích và đưa ra biện pháp giải quyết rủi ro, tổ chức phải theo dõi tần suất xuất hiện của các rủi ro này. Định kỳ hàng quý hay hàng năm rà soát lại rủi ro và đánh giá lại tần suất xuất hiện dựa trên kết quả theo dõi sự xuất hiện của các mối đe dọa.
Trên đây là một trong những phương pháp kỹ thuật để đánh giá rủi ro cho một hệ thống quản lý chất lượng mà tiêu chuẩn TCVN IEC/ISO 31010:2013 đưa ra, tùy vào độ phức tạp, đặc thù và nguồn lực mà chúng ta sẽ lựa chọn các kỹ thuật phù hợp để áp dụng vào công tác quản lý rủi ro của từng tổ chức.Mục đích của đánh giá rủi ro là đưa ra thông tin dựa trên bằng chứng và phân tích để ra quyết định đúng đắn về cách thức xử lý rủi ro cụ thể và lựa chọn các phương án khác nhau. Việc đánh giá rủi ro mang lại một số lợi ích chủ yếu như: hiểu rõ rủi ro và tác động tiềm ẩn của nó đến các mục tiêu; cung cấp thông tin cho người ra quyết định; hỗ trợ lựa chọn các phương án xử lý rủi ro,
* Tiêu chuẩn này mang tính tổng quan, có thể chỉ dẫn cho nhiều ngành công nghiệp và nhiều loại hệ thống khác nhau, hứa hẹn giúp chúng ta thực hiện tốt việc lựa chọn và vận dụng các kỹ thuật đánh giá rủi ro nhằm gia tăng tính hiệu lực của hệ thống quản lý chất lượng, cải thiện và ngăn ngừa các tác động tiêu cực, đạt được mức độ tự tin và sự hài lòng cao nhất của khách hàng.