W 2015 roku pojawiła się nowa wersja normy ISO 9001 i zaczęła się rewolucja! W normie pojawiły się dwa tajemnicze określenia:
kontekst organizacji
zarządzanie ryzykiem
Mimo, że od 2015 roku upłynęły już 3 lata, dalej kontekst organizacji i zarządzanie ryzykiem spędza sen z powiek wielu osobom zajmującym się systemami zarządzania!
ISO 9001, jak wirus, zaczęło “infekować” inne normy systemowe tymże kontekstem organizacji, a co gorsza, również zarządzaniem ryzykiem. Od 2015 roku każda aktualizacja normy, która się pojawiła, zawiera te elementy. Dotyczy to:
AQAP 2110
ISO 13485
ISO 14001
ISO 45001 (zamiast OHSAS 18001)
IATF 16949
ISO/IEC 20000-1
ISO/IEC 17025
Należy się spodziewać, że każde nowe wydanie normy będzie zawierało wymóg zidentyfikowania kontekstu organizacji i zarządzania ryzykami wynikającymi z kontekstu, a dotyczącymi celów organizacji.
Postaram się Wam wytłumaczyć o co chodzi w kontekście i zarządzaniu ryzykiem.
Co to jest kontekst organizacji?
Każda organizacja działa w środowisku (otoczeniu), na które składają się: dostawcy (firmy, osoby), klienci (firmy, osoby), dostawcy finansujący naszą działalność (banki, leasingodawcy), dostawcy nas asekurujący (ubezpieczyciele), administracja państwowa (KAS, ZUS, NFZ, ministerstwa, urzędy centralne), administracja samorządowa (wojewódzka, powiatowa, gminna), organy ścigania (policja, straż graniczna, wojsko, itd), nasi właściciele lub udziałowcy, naszej kadra kierownicza i nasi pracownicy.
Członków środowiska (otoczenia) nazywamy (za normą ISO 9001) Interesariuszami, bo każdy z nich ma wobec nas oczekiwania (interesy). Czegoś od nas chce.
Naszym zadaniem jest:
Określenie czego od nas chce Interesariusz?
Określenie, czy jego potrzeby stanowią dla nas zagrożenie? Jeżeli tak, to jakie?
Określenie, czy jego potrzeby stanowią dla nas szanse? Czy możemy coś zyskać? Jeżeli tak, to co?
Gdy wypiszemy naszych Interesariuszy, określimy ich potrzeby wobec nas, zagrożenia jakie dla nas stanowią oraz szanse, które nam stwarzają. Mamy określony kontekst organizacji!
Zapisujemy to i gotowe!
Co to jest zarządzanie ryzykiem?
Gdy znamy zdefiniowane zagrożenia, które stwarza dla nas środowisko (interesariusze), przechodzimy do zarządzania ryzykiem.
Aby móc to uczynić musimy odpowiedzieć sobie na następujące pytania:
Co chcemy zyskać?
Odpowiedź, np.: zysk operacyjny rzędu 10%
Czego potrzebujemy, aby to uzyskać?
Odpowiedź, np.: procesy, zasoby, wiedzę (są to aktywa)
Co chcemy lub musimy chronić, aby to uzyskać?
Odpowiedź, np.: procesy, zasoby, wiedzę
Gdy już wiemy co chcemy uzyskać i co musimy chronić, musimy określić:
Co zagraża naszym aktywom? Wymieniamy wszystkie znane nam zagrożenia.
Co spowoduje powstanie zagrożeń? Wymieniamy wszystkie znane nam podatności.
Co się stanie, gdy wystąpi zagrożenie? Wymieniamy wszystkie znane nam straty.
Następnie określamy prawdopodobieństwo takiego zdarzenia. Jeżeli prawdopodobieństwo wyjdzie wysokie musimy się przygotować na zagrożenie! Przygotowanie to dzielimy na trzy obszary:
Co robić, aby nie dopuścić do wystąpienia zagrożenia?
Co robić, gdy wystąpi zagrożenie?
Co robić, aby usunąć skutki zagrożenia i przywrócić stan pierwotny?
Gdy mamy te wszystkie informacje i są one u nas wdrożone, zarządzamy ryzykiem!
Autor: Mariusz Mazur
Masz pytania związane z Systemem Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.
