ISO 31000 w kontekście AQAP
Norma ISO 31000 pełni w standardzie AQAP 2110 rolę kluczowego punktu odniesienia, dostarczając fundamentów metodologicznych dla procesów zarządzania ryzykiem.
Jej wsparcie przejawia się jako:
1. Podstawa normatywna i obowiązkowe wytyczne
AQAP 2110 przywołuje normę ISO 31000 jako powołanie normatywne, nadając jej charakter wiążący w kontekście wymagań NATO. Oznacza to, że o ile umowa nie stanowi inaczej, Dostawca jest zobowiązany do stosowania strategii zarządzania ryzykiem zgodnej z zasadami i wytycznymi określonymi w ISO 31000.
2. Struktura procesu planowania
Norma ISO 31000 stanowi dla Dostawcy praktyczne wsparcie w wykazaniu, poprzez obiektywne dowody, że ryzyka zostały systematycznie zidentyfikowane i uwzględnione już na etapie planowania realizacji umowy. W kontekście wymagań AQAP proces zarządzania ryzykiem nie ogranicza się do jednorazowej analizy, lecz obejmuje pełny, ciągły cykl działań – od identyfikacji ryzyk, rozpoczynanej już podczas przeglądu kontraktu, poprzez ich analizę i ocenę wpływu, aż po bieżący nadzór oraz wdrażanie działań ograniczających (mitygacyjnych). Istotnym elementem tego podejścia jest również uwzględnianie zagrożeń wynikających z funkcjonowania łańcucha dostaw, w tym ryzyk związanych z Poddostawcami i Dostawcami Zewnętrznymi.
3. Integracja z systemem jakości
Zarządzanie ryzykiem zgodnie z ISO 31000 jest integralnie powiązane z systemem zarządzania jakością funkcjonującym u Dostawcy. Wyniki identyfikacji i oceny ryzyk oraz szans stanowią podstawę do planowania działań nadzorczych, w tym do opracowania rocznego programu audytów wewnętrznych, który powinien koncentrować się na obszarach o podwyższonym poziomie ryzyka. Jednocześnie, w oparciu o zasady ISO 31000, Dostawca opracowuje Plan Zarządzania Ryzykiem, który musi zostać udostępniony Przedstawicielowi Rządowego Zapewnienia Jakości (GQAR) lub Zamawiającemu. Należy przy tym podkreślić, że strona rządowa posiada uprawnienie do odrzucenia takiego planu, jeżeli uzna go za niekompletny, niespójny lub niewystarczający z punktu widzenia wymagań kontraktowych i ryzyk związanych z realizacją dostawy.
Stosowanie zarządzania ryzykiem można lepiej zrozumieć jako stosowanie ustandaryzowanego kodeksu budowlanego przy wznoszeniu skomplikowanej konstrukcji: AQAP 2110 mówi Dostawcy, że musi on zagwarantować bezpieczeństwo budowli (zarządzać ryzykiem), natomiast ISO 31000 to ów „kodeks”, który podaje precyzyjne zasady obliczeń i parametry wytrzymałościowe. Dzięki temu, że obie strony (Dostawca i GQAR) odwołują się do tego samego zestawu reguł, Zamawiający ma pewność, że proces identyfikacji zagrożeń nie jest przypadkowy, lecz oparty na sprawdzonych, międzynarodowych inżynierskich standardach.
W jaki sposób plany zarządzania ryzykiem są udostępniane przedstawicielom NATO?
Zgodnie z wymaganiami AQAP 2110, proces udostępniania planów zarządzania ryzykiem przedstawicielom NATO (Zamawiającemu lub GQAR) jest ściśle sformalizowany i opiera się na następujących zasadach:
• Obowiązek udostępnienia: Dostawca ma bezpośredni obowiązek udostępnienia planu zarządzania ryzykiem Przedstawicielowi Rządowego Zapewnienia Jakości (GQAR) i/lub Zamawiającemu.
• Przedstawienie dowodów obiektywnych: Poza samym planem, Dostawca oraz jego Dostawcy Zewnętrzni muszą dostarczyć obiektywne dowody potwierdzające, że ryzyka zostały uwzględnione w procesie planowania. Dowody te powinny obejmować identyfikację, analizę, środki ograniczające oraz kontrolę ryzyka.
• Terminy i aktualizacja: Proces ten nie jest jednorazowy. Rozpoczyna się on od identyfikacji ryzyka już na etapie przeglądu umowy i musi być uaktualniany w określonych ramach czasowych (terminowo) w trakcie realizacji kontraktu.
• Standard i forma: O ile umowa nie stanowi inaczej, strategia zarządzania ryzykiem musi być zgodna z wytycznymi normy ISO 31000. Dostawca powinien zapewnić dostęp do tych informacji (w tym dokumentów na nośnikach elektronicznych) w formie uzgodnionej z przedstawicielem NATO.
• Prawo do odrzucenia: Ważnym elementem nadzoru jest to, że Zamawiający i/lub GQAR zastrzegają sobie prawo do odrzucenia planów zarządzania ryzykiem oraz wszelkich ich poprawionych wersji, jeśli nie spełniają one wymagań.
• Powiadamianie o zmianach: Dostawca jest również zobowiązany do informowania przedstawicieli NATO o wszelkich zmianach w swojej organizacji, które mogłyby wpłynąć na system zarządzania jakością, co w sposób naturalny wiąże się z aktualizacją profilu ryzyka.
Dzielenie się planami zarządzania ryzykiem nie polega jedynie na przesłaniu dokumentu, ale na zapewnieniu przedstawicielom NATO stałego wglądu w proces identyfikacji i mitygacji zagrożeń, począwszy od momentu podpisania kontraktu.
Zarządzanie ryzykiem zgodnie z wymaganiami NATO można porównać prowadzenia dziennika pokładowego na statku: kapitan (Dostawca) nie tylko musi mieć plan podróży omijający mielizny (plan zarządzania ryzykiem), ale musi go regularnie pokazywać inspektorowi portowemu (GQAR), aktualizować o nowe ostrzeżenia pogodowe i udowadniać, że każda decyzja o zmianie kursu była poparta rzetelną analizą bezpieczeństwa.
W jaki sposób Dostawca powinien raportować ryzyka do Zamawiającego?
Raportowanie ryzyk przez Dostawcę do Zamawiającego według standardu AQAP 2110 opiera się na dostarczaniu obiektywnych dowodów oraz udostępnianiu konkretnej dokumentacji planistycznej.
Główne zasady raportowania i komunikowania ryzyk obejmują:
Udostępnienie Planu zarządzania ryzykiem:
Dostawca ma obowiązek przygotować i udostępnić Przedstawicielowi Rządowego Zapewnienia Jakości (GQAR) oraz Zamawiającemu formalny Plan zarządzania ryzykiem. Należy pamiętać, że Zamawiający lub GQAR zastrzegają sobie prawo do odrzucenia tego planu oraz jego uaktualnionych wersji.
Dostarczanie obiektywnych dowodów:
Dostawca (oraz jego Dostawcy Zewnętrzni) musi przedstawić dowody na to, że ryzyka zostały uwzględnione w procesie planowania. Dokumentacja ta musi obejmować:
- identyfikację ryzyka,
- analizę ryzyka,
- środki ograniczające oraz środki kontroli ryzyka.
Harmonogram raportowania:
Zarządzanie ryzykiem musi rozpocząć się już na etapie przeglądu umowy i być systematycznie uaktualniane w określonych ramach czasowych.
Raportowanie ryzyk w łańcuchu dostaw:
Dostawca musi niezwłocznie powiadomić GQAR i Zamawiającego w specyficznych sytuacjach ryzyka dotyczących Podwykonawców, mianowicie gdy:
- umowa z Dostawcą Zewnętrznym obejmuje elementy krytyczne, niedojrzałe rozwiązania techniczne lub istotne prace,
- działanie Dostawcy zewnętrznego jest nieznane lub wzbudza zaniepokojenie,
- wyrób od Dostawcy zewnętrznego, którego wybór uznano za ryzykowny, został odrzucony, naprawiony lub przerobiony.
Standardy techniczne:
O ile zapisy umowy nie stanowią inaczej, stosowane procesy i raporty powinny być zgodne z wytycznymi normy ISO 31000.
Warto dodać, że wyniki analizy ryzyka powinny być również uwzględniane podczas planowania audytów wewnętrznych Dostawcy.
Z raportowaniem zarządzania ryzykiem jest jak prowadzenie wyprawy wysokogórskiej: Dostawca (kierownik wyprawy) musi przedłożyć Zamawiającemu (organizatorowi) szczegółową mapę zagrożeń (Plan zarządzania ryzykiem) jeszcze przed wyjściem z bazy. Nie może tylko ogólnie wspomnieć o niebezpieczeństwie, ale musi udowodnić, że ma plan na wypadek lawiny czy załamania pogody, a każda informacja o problemach u tragarzy (Dostawców Zewnętrznych) musi być natychmiast przekazana do bazy, aby wspólnie zdecydować o dalszych krokach.
Jakie narzędzia analizy przyczyn źródłowych są wymagane przez standard?
Standard AQAP nie narzuca stosowania konkretnych, wymienionych z nazwy narzędzi analizy przyczyn źródłowych (takich jak np. popularne w przemyśle metody „5 Why” czy diagram Ishikawy). Podejście NATO w tym zakresie opiera się na elastyczności i odpowiedzialności Dostawcy za dobór odpowiednich metod.
Standard definiuje analizę przyczyn źródłowych (RCA – Root Cause Analysis) jako termin ogólny, który obejmuje szeroki wachlarz podejść, metod, narzędzi i technik stosowanych w celu ustalenia, dlaczego doszło do danej niezgodności. AQAP wymaga on, aby system zarządzania jakością Dostawcy był skuteczny i ekonomiczny, co sugeruje, że dobrane narzędzia muszą być adekwatne do skali i złożoności problemu.
Obowiązek Dostawcy:
To Dostawca musi samodzielnie określić procesy, w tym konkretne narzędzia i techniki, których będzie używał do wspierania analizy przyczyn źródłowych dotyczącej występujących niezgodności.
Zastosowanie w praktyce:
Wybrane przez Dostawcę narzędzia muszą być skuteczne w procesie doskonalenia systemu. Dostawca jest zobowiązany do udzielenia odpowiedzi na reklamację lub zgłoszoną wadę i wdraża działania korygujące. W przypadku skarg lub niedociągnięć zgłoszonych przez GQAR lub Zamawiającego, Dostawca musi udzielić odpowiedzi zawierającej informacje o przeprowadzonej analizie przyczyny źródłowej. Analiza ta jest kluczowym elementem rozdziału dotyczącego doskonalenia (rozdział 5.6), co oznacza, że wybrane techniki muszą realnie wspierać proces działań korygujących do eliminacji przyczyn stwierdzonych niezgodności, aby zapobiec ich ponownemu wystąpieniu.
Powiązanie z planowaniem jakości:
Wybrane techniki i ustalenia dotyczące nadzoru nad jakością (w tym RCA) powinny być uwzględnione w Planie Jakości (QP), który musi zostać zaakceptowany przez GQAR/Zamawiającego przed rozpoczęciem prac.
Kompetencje personelu:
Dostawca musi zapewnić, że personel korzystający z tych technik posiada odpowiednie kompetencje do wykonywania czynności mających wpływ na jakość wyrobu.
Efektywność i ekonomia:
Choć wybór narzędzi należy do Dostawcy, cały system zarządzania jakością, w ramach którego są one stosowane, musi być oceniany jako skuteczny i ekonomiczny.
Wymagania w zakresie doboru technik analizy niezgodności można porównać do wymogu posiadania przez kierowcę zestawu naprawczego: przepisy (standard) nie określają, czy w zestawie musi być klucz konkretnej marki lub konkretnego typu (narzędzie), ale nakładają na kierowcę (Dostawcę) obowiązek posiadania i zdefiniowania takich narzędzi, które w razie awarii (niezgodności) pozwolą mu skutecznie naprawić usterkę i bezpiecznie kontynuować jazdę.
W jaki sposób GQAR może ocenić skuteczność narzędzi RCA?
Choć standard nie wymienia narzędzi, Przedstawiciel Rządowego Zapewnienia Jakości (GQAR) ma prawo do oceny skuteczności systemu Dostawcy, co w praktyce oznacza weryfikację, czy wybrane przez niego narzędzia RCA (Root Cause Analysis) faktycznie pozwalają na skuteczne eliminowanie przyczyn problemów.
GQAR może ocenić narzędzia RCA za pomocą następujących mechanizmów:
Weryfikacja zdefiniowanych procesów:
GQAR sprawdza, czy Dostawca wypełnił obowiązek zdefiniowania procesów, w tym konkretnych narzędzi i technik używanych do wspierania analizy przyczyn źródłowych występujących niezgodności.
Ocena obiektywnych dowodów skuteczności: GQAR ma prawo do wglądu w obiektywne dowody potwierdzające, że system zarządzania jakością (w tym procesy RCA) jest skuteczny. Jeśli dana niezgodność powtarza się cyklicznie, jest to dla GQAR sygnał, że stosowane narzędzia RCA są nieskuteczne.
Analiza odpowiedzi na reklamacje: W przypadku wystąpienia skarg lub niedociągnięć, Dostawca musi udzielić odpowiedzi zawierającej informacje o przeprowadzonej analizie przyczyny źródłowej oraz podjętych działaniach korygujących. GQAR ocenia, czy zastosowane narzędzia pozwoliły na zidentyfikowanie faktycznej przyczyny, a nie tylko powierzchownych objawów problemu.
Dostęp do przeglądów zarządzania: GQAR ma dostęp do danych wejściowych i wyjściowych z przeglądu zarządzania. Może tam sprawdzić, czy najwyższe kierownictwo monitoruje skuteczność działań korygujących i czy narzędzia RCA są poddawane regularnej ocenie i doskonaleniu.
Prawo do odrzucenia systemu: Jeśli GQAR uzna, że narzędzia RCA są nieadekwatne lub ich wyniki nie gwarantują jakości wyrobu, ma prawo odrzucić system zarządzania jakością Dostawcy w zakresie dotyczącym umowy. Wymusza to na Dostawcy przygotowanie nowych propozycji działań korygujących w uzgodnionym terminie.
Wymóg kompetencji: GQAR może ocenić, czy personel przeprowadzający analizy posiada odpowiednie kompetencje do posługiwania się wybranymi narzędziami RCA, co jest ogólnym wymogiem standardu wobec osób wykonujących czynności mające wpływ na jakość.
Co się stanie, jeśli Dostawca nie zidentyfikuje przyczyny problemu?
Jeśli Dostawca nie zidentyfikuje przyczyny źródłowej (Root Cause Analysis – RCA) w przypadku wystąpienia niezgodności, naraża się na szereg sankcji formalnych, operacyjnych i finansowych wynikających z wymagań publikacji AQAP 2110.
Konsekwencje braku skutecznej analizy przyczyn źródłowych to::
• Naruszenie procedury reklamacyjnej:
W przypadku zgłoszenia jakiejkolwiek skargi lub niedociągnięcia (reklamacji klienta), Dostawca ma obowiązek udzielenia odpowiedzi, która musi zawierać informacje o przeprowadzonej analizie przyczyny źródłowej oraz podjętych działaniach korygujących.
• Odrzucenie Systemu Zarządzania Jakością (SZJ):
Zamawiający lub przedstawiciel GQAR mają prawo odrzucić system zarządzania jakością Dostawcy, jeśli uznają go za nieskuteczny. Brak umiejętności identyfikacji przyczyn problemów jest kluczowym dowodem na to, że system nie spełnia swojej roli w zapobieganiu powtórnemu wystąpieniu wad.
• Zastosowanie kar umownych:
W przypadku odrzucenia systemu zarządzania jakością z powodu jego nieskuteczności (np. braku rzetelnych analiz RCA), wobec Dostawcy stosuje się kary umowne zgodnie z zapisami zawartymi w kontrakcie.
• Wymuszone działania naprawcze:
Po odrzuceniu systemu Dostawca jest zobligowany do przygotowania i przedłożenia propozycji działań korygujących oraz poprawek (revisions) w ściśle uzgodnionym terminie.
• Odrzucenie napraw i przeróbek:
GQAR oraz Zamawiający zastrzegają sobie prawo do odrzucenia wszelkich propozycji przeróbek i napraw wyrobów niezgodnych, jeśli nie mają pewności (wynikającej z rzetelnej analizy RCA), że proponowane działania faktycznie eliminują problem.
• Utrata zaufania do zdolności Dostawcy: Ponieważ celem AQAP jest zwiększenie pewności co do zdolności Dostawcy do dostarczenia wyrobu zgodnego z umową, chroniczna niezdolność do identyfikacji przyczyn źródłowych podważa fundamenty relacji kontraktowej.
Z brakiem identyfikacji problemu jest tak jak z serwisem samochodowm, który nie potrafi zdiagnozować, dlaczego silnik gaśnie: jeśli mechanik (Dostawca) po prostu wymienia przypadkowe części, nie znajdując prawdziwej przyczyny awarii (brak RCA), klient (Zamawiający) nie tylko nie zapłaci za nieskuteczną naprawę, ale może rozwiązać umowę serwisową z winy warsztatu i żądać odszkodowania (kary umowne) za przestój floty, uznając, że warsztat nie posiada kompetencji do obsługi nowoczesnego sprzętu.
A jeśli kluczowy element nie przejdzie testu walidacyjnego?
W przypadku, gdy element krytyczny (którego awaria może prowadzić do utraty sprzętu, życia lub pogorszenia parametrów misji) nie przejdzie testu walidacji, uruchamiany jest rygorystyczny proces zarządzania niezgodnością, mający na celu ochronę bezpieczeństwa i interesów Zamawiającego.
Szczegółowo procedura zarządzania niezgodnością działa jak w poniżej:
1. Klasyfikacja i segregacja:
Wadliwy element zostaje natychmiast uznany za wyrób niezgodny. Dostawca ma obowiązek go fizycznie odizolować w specjalnie wyznaczonym do tego miejscu w swojej infrastrukturze, aby zapobiec jego omyłkowemu użyciu.
2. Obowiązkowa identyfikowalność:
Ponieważ awaria tego konkretnego elementu zagraża bezpieczeństwu lub sprzętowi, prowadzenie ciągłej identyfikowalności jest dla Dostawcy obowiązkowe. Pozwala to na precyzyjne ustalenie, z jakiej partii pochodził wadliwy element i czy inne jednostki mogą być dotknięte tą samą wadą.
3. Powiadomienie Zamawiającego:
Dostawca musi niezwłocznie poinformować przedstawiciela rządowego zapewnienia jakości (GQAR) i/lub Zamawiającego o wykrytej niezgodności oraz o planowanych działaniach korygujących.
4. Analiza przyczyn źródłowych (RCA):
Dostawca jest zobowiązany do przeprowadzenia formalnej analizy przyczyn źródłowych przy użyciu zdefiniowanych narzędzi i technik, aby zrozumieć, dlaczego doszło do błędu. Jeśli błąd wynikał z usterki przyrządu pomiarowego, Dostawca musi ocenić wpływ tej awarii na wyroby już dostarczone lub wcześniej zaakceptowane.
5. Decyzja o dalszym losie wyrobu (Dyspozycja):
- Dostawca może zaproponować naprawę lub przeróbkę, ale Zamawiający/GQAR zastrzega sobie prawo do ich odrzucenia.
- Jeśli Dostawca chce, aby wyrób został przyjęty mimo wad (odstępstwo/koncesja), musi uzyskać formalną zgodę Zamawiającego.
- W ostateczności Zamawiający ma pełne prawo do całkowitego odrzucenia wyrobów niezgodnych.
6. Odpowiedzialność finansowa i systemowa:
Za dostarczenie (lub próbę dostarczenia) wyrobów niezgodnych mogą zostać naliczone kary umowne zgodnie z zapisami kontraktu. Jeśli błędy w elementach krytycznych są powtarzalne, Zamawiający może odrzucić cały system zarządzania jakością Dostawcy.
Aby lepiej zrozumieć taki rygorystyczny proces zarządzania niezgodnością można sobie wyobrazić wykrycie wady hamulców podczas testów w nowym modelu samochodu: producent nie może po prostu odłożyć wadliwego egzemplarza na bok. Musi go zamknąć w osobnym warsztacie (segregacja), sprawdzić numer seryjny każdej części, by wiedzieć, skąd pochodzi (identyfikowalność), i zgłosić to nadzorowi technicznemu (GQAR). Nie wolno mu sprzedać auta, dopóki nie udowodni, że wie, co się stało (RCA), i nie naprawi usterki w sposób, który zaakceptuje urząd (akceptacja naprawy). Jeśli usterka jest seryjna, cała linia produkcyjna może zostać zatrzymana (odrzucenie SZJ).