ISO9001:2015版公告2年多,許多組織已完成換版或重新取證,筆者親自參與數十家的輔導與驗證過程中發現,風險管理的作法經常被稽核員提出詢問,許多組織對風險管理也不是很清楚,不是不了解其中的精神,不然就是做不到位。故本文擬就輔導經驗與各位讀者分享ISO9001:2015風險管理之作法。
首先對風險做些基本說明,何謂風險(Risk)參考ISO31000中的定義,風險是指對目標的不確定性的效應。風險通常用某一事件的結果與發生的可能性之組合來表示。
效應可能為正面或負面,或者同時兼具正面與負面,正面的效應又可稱為組織的機會,由上可知風險與機會是一體兩面的。例如:原料大幅上漲,對組織而言增加了採購的風險,但同時也刺激組織開發替代原料或新產品之動力(組織的機會)。
另外,在2015版中與風險相關的條文有6.1「處理風險及機會之措施規劃」,條文中規定組織應考量(1)內外部的環境議題與(2)利害相關者所期望之要求,透過上述來決定需加以處理之風險與機會。
在條文6.1.2中進一步規定,組織應規劃處理風險與機會之措施,並且評估措施之有效性。其中措施有效性是指與潛在衝擊成正比。
透過前一段讀者應可理解條文中對風險的定義與管理的要項。至於筆者對風險管理採取的作法是以雇用人數來區分,員工人數少者採取簡單的管理方法,員工人數多者採取較有系統的管理方法,依經驗分成三個等級,請各位讀者參考表1整理。
表1:依組織人數進行風險管理之分級作法
人數 | 建議作法 | 文件化 | 產出 |
50人以下 |
|
訂定風險管理程序書或於品質手冊中說明 |
|
50人到200人 |
|
訂定風險管理程序書(含風險鑑別) 其它與風險相關之程序書(如:汙染洩漏應變程序、消防應變程序、防颱應變程序、職災應變程序等) |
|
200人以上 |
|
訂定風險管理程序書(含風險鑑別) 其它與風險相關之程序書(如:汙染洩漏應變程序、消防應變程序、防颱應變程序、職災應變程序等) |
|
資料來源:筆者整理。
本段介紹風險管理之步驟與表格,供讀者們參考:
- 第一步:利用SWOT分析表(表2),瞭解與組織有關之內外部環境議題(條文4.1)。
- 第二步:利用利害關係者需求表(表3),蒐集利害關係者需求與期望(條文4.2)。
- 第三步:利用風險鑑別工具(表4、表5、表6),進行風險鑑別與評估(條文6.1.1)。
- 第四步:利用風險分級表(表6),進行風險分級。
- 第五步:利用行動方案表(表7),展開行動方案/改善措施(條文6.1.2)。
表2:SWOT分析表
資料來源:Albert Humphrey於1964年
表3:利用利害關係者需求表(範例)
對象 | 關注之議題 | 瞭解議題途徑 | 溝通管道 | 溝通頻率 |
股東 |
|
|
|
每月1次 |
員工 |
|
|
|
即時 |
請依表格範例自行延伸,常見的利害關係者有:股東、員工、供應商、政府、社區、媒體…等。
表4:風險機率矩陣表
評分 | 發生機率 | 預期危害發生頻率 |
P1 | 經常的 | 5次/年以上(含) |
P2 | 可能的 | 1~4次/年 |
P3 | 也許的 | 5年內超過1次,但少於1年1次 |
P4 | 稀少的 | 10年內超過1次,但5年內未超過1次 |
P5 | 極不可能 | 10年內未超過1次 |
表5:風險嚴重度矩陣表
評分 | 財務衝擊 | 停工損失 | 人員傷亡 | 環境危害 | 法規與符合 |
A | 500萬以上 | 停工1週以上 | 一人死亡或三人嚴重受傷 | 大量危害物外洩;危害影響範圍擴及廠外,對環境及公眾健康有立即及持續衝擊。 |
|
B | 100~500萬 | 停工3天~1週 | 嚴重傷害: (殘廢、嚴重骨折、職業性癌症、三級燙傷、失能傷害) 需住院治療或修養/復建,休息1日以上。 | 中量危害物外洩;危害影響擴及廠內,對環境及公眾健康有暫時性衝擊。 |
|
C | 自行延伸 | ... | ... | ... | ... |
D | 自行延伸 | ... | ... | ... | ... |
E | 自行延伸 | ... | ... | ... | ... |
表6:風險評估準則矩陣表
表7:行動方案表
鑒於ISO9001:2015版是強調經營管理之品質,在條文5.1.1(b)、5.2.1(a)中要求最高管理者要發展適合組織之策略方向,故在進行風險管理時也應考量組織之策略,筆者彙整策略管理與ISO9001架構發展成下列概念圖(圖1),提供讀者們參考。
圖1:策略管理與ISO9001關聯圖(資料來源:筆者彙整)
本文總結,表1提出依據雇用人員的多寡來進行不同層次的風險管理,是依據筆者輔導及驗證經驗所得,僅供讀者們參考之用,運用時因視各組織的產業情況、產品複雜程度、人員熟悉程度等因素作調整。
表3至表6所採用之方法為「機率矩陣評估法」非筆者之創見,列於本文中主要是使讀者有系統性之閱讀,使用時可自行調整因子與級距。ISO9001:2015版標準是基於風險之思維來訂定,其中已隱含預防的概念,組織因在各環節與流程中,致力於利用機會並預防不期望的結果。以上文章提供給各位讀者們做參考。
【參考資料】
- CNS12681 品質管理系統-要求事項
- CNS31000 風險管理-原則與指導綱要