淺談ISO9001:2015風險管理之作法

瀏覽數:25607

  ISO9001:2015版公告2年多,許多組織已完成換版或重新取證,筆者親自參與數十家的輔導與驗證過程中發現,風險管理的作法經常被稽核員提出詢問,許多組織對風險管理也不是很清楚,不是不了解其中的精神,不然就是做不到位。故本文擬就輔導經驗與各位讀者分享ISO9001:2015風險管理之作法。

  首先對風險做些基本說明,何謂風險(Risk)參考ISO31000中的定義,風險是指對目標的不確定性的效應。風險通常用某一事件的結果與發生的可能性之組合來表示。

  效應可能為正面或負面,或者同時兼具正面與負面,正面的效應又可稱為組織的機會,由上可知風險與機會是一體兩面的。例如:原料大幅上漲,對組織而言增加了採購的風險,但同時也刺激組織開發替代原料或新產品之動力(組織的機會)。

  另外,在2015版中與風險相關的條文有6.1「處理風險及機會之措施規劃」,條文中規定組織應考量(1)內外部的環境議題與(2)利害相關者所期望之要求,透過上述來決定需加以處理之風險與機會。

  在條文6.1.2中進一步規定,組織應規劃處理風險與機會之措施,並且評估措施之有效性。其中措施有效性是指與潛在衝擊成正比。

  透過前一段讀者應可理解條文中對風險的定義與管理的要項。至於筆者對風險管理採取的作法是以雇用人數來區分,員工人數少者採取簡單的管理方法,員工人數多者採取較有系統的管理方法,依經驗分成三個等級,請各位讀者參考表1整理。

表1:依組織人數進行風險管理之分級作法

人數 建議作法 文件化 產出
50人以下
  • 資料蒐集:利用SWOT分析內外部環境、瞭解利害關係者的需求與期望。
  • 風險鑑別與評估:依前項資料於會議中討論組織的風險與機會,利用主管的經驗來鑑別風險程度。
  • 展開行動方案/改善措施。
 訂定風險管理程序書或於品質手冊中說明
  • SWOT分析表
  • 利害關係者需求調查表
  • 風險與機會行動方案
50人到200人
  • 資料蒐集:利用SWOT分析內外部環境,瞭解利害關係者的需求與期望。
  • 風險鑑別與評估:
  1. 風險議題蒐集
  2. 風險頻率矩陣
  3. 風險風險嚴重度矩陣
  4. 風險評估準則
  • 風險分級:訂定可以接受之風險等級,不可忍受之風險要優先進行改善。
  • 展開行動方案/改善措施。

訂定風險管理程序書(含風險鑑別)

其它與風險相關之程序書(如:汙染洩漏應變程序、消防應變程序、防颱應變程序、職災應變程序等)
  1. SWOT分析表
  1. 利害關係者需求調查表
  1. 保存風險鑑別之文件化資訊
  1. 風險與機會行動方案
200人以上
  • 資料蒐集:利用SWOT分析內外部環境,瞭解利害關係者的需求與期望。
  • 風險鑑別與評估:
  1. 風險議題蒐集
  1. 風險頻率矩陣
  1. 風險風險嚴重度矩陣
  1. 風險評估準則
  • 風險分級:訂定可以接受之風險等級,不可忍受之風險要優先進行改善。
  • 展開行動方案/改善措施。
  • 除上述事項外,因擴大資訊蒐集範圍,與考量運用更多風險鑑別與評估工具(參考ISO31010)。
  • 建議由專責部門統籌風險管理事項與日常風險管理。
  • 建議風險鑑別的工作可與其它系統整合一起鑑別與評估,如此可以節省組織風險鑑別之時間,與其它系統同時評估也比較能全面考慮避免遺漏;其它系統指ISO14001、ISO45001、ISO27000等。
  • 建議參考ISO31000風險管理系統之架構。

訂定風險管理程序書(含風險鑑別)

其它與風險相關之程序書(如:汙染洩漏應變程序、消防應變程序、防颱應變程序、職災應變程序等)
  • SWOT分析表及/或PEST分析表
  • 利害關係者需求調查表
  • 保存風險鑑別之文件化資訊
  • 風險與機會行動方案
  • 風險日常管理(如:與情蒐集、特殊事件追蹤等)

資料來源:筆者整理。

  本段介紹風險管理之步驟與表格,供讀者們參考:

  • 第一步:利用SWOT分析表(表2),瞭解與組織有關之內外部環境議題(條文4.1)。
  • 第二步:利用利害關係者需求表(表3),蒐集利害關係者需求與期望(條文4.2)。
  • 第三步:利用風險鑑別工具(表4、表5、表6),進行風險鑑別與評估(條文6.1.1)。
  • 第四步:利用風險分級表(表6),進行風險分級。
  • 第五步:利用行動方案表(表7),展開行動方案/改善措施(條文6.1.2)。

表2:SWOT分析表
SWOT分析表
資料來源:Albert Humphrey於1964年

表3:利用利害關係者需求表(範例)

對象 關注之議題 瞭解議題途徑 溝通管道 溝通頻率
股東
  1. 業績表現
  2. 投資報酬
  3. 公司營運
  4. 符合各項法規
  1. 公開發布財務報告
  2. 召開股東大會
  3. 召開營運說明會
  1. 股東專線
  2. 官方網站
  3. 定期法說會
 每月1次
員工
  1. 勞資關係
  2. 薪資福利
  3. 職場安全與健康
  4. 職涯發展與訓練
  1. 電子平台及公告
  2. 員工問卷調查
  3. 職工福利委員會
  4. 電子報/企業雜誌
  1. 郵件Mail
  2. 電話專線
  3. 意見箱
  4. 勞資協調會議
 即時

  請依表格範例自行延伸,常見的利害關係者有:股東、員工、供應商、政府、社區、媒體…等。

表4:風險機率矩陣表

評分 發生機率 預期危害發生頻率
P1 經常的 5次/年以上(含)
P2 可能的 1~4次/年
P3 也許的 5年內超過1次,但少於1年1次
P4 稀少的 10年內超過1次,但5年內未超過1次
P5 極不可能 10年內未超過1次

 

表5:風險嚴重度矩陣表

評分 財務衝擊 停工損失 人員傷亡 環境危害 法規與符合
A 500萬以上 停工1週以上 一人死亡或三人嚴重受傷 大量危害物外洩;危害影響範圍擴及廠外,對環境及公眾健康有立即及持續衝擊。
  1. 重大控訴金額逾5000萬,另加上龐大費用。
  2. 公司執行階層受到拘留起訴。
  3. 政府機關延長擱置公司營運。
B 100~500萬 停工3天~1週 嚴重傷害: (殘廢、嚴重骨折、職業性癌症、三級燙傷、失能傷害) 需住院治療或修養/復建,休息1日以上。 中量危害物外洩;危害影響擴及廠內,對環境及公眾健康有暫時性衝擊。
  1. 重大控訴金額逾1000萬。
  2. 政府機關介入調查使公司業務中斷…。
C 自行延伸 ... ... ... ...
D 自行延伸 ... ... ... ...
E 自行延伸 ... ... ... ...

表6:風險評估準則矩陣表
風險評估準則矩陣表

表7:行動方案表
行動方案表

  鑒於ISO9001:2015版是強調經營管理之品質,在條文5.1.1(b)、5.2.1(a)中要求最高管理者要發展適合組織之策略方向,故在進行風險管理時也應考量組織之策略,筆者彙整策略管理與ISO9001架構發展成下列概念圖(圖1),提供讀者們參考。

策略管理與ISO9001關聯圖
圖1:策略管理與ISO9001關聯圖(資料來源:筆者彙整)

  本文總結,表1提出依據雇用人員的多寡來進行不同層次的風險管理,是依據筆者輔導及驗證經驗所得,僅供讀者們參考之用,運用時因視各組織的產業情況、產品複雜程度、人員熟悉程度等因素作調整。

  表3至表6所採用之方法為「機率矩陣評估法」非筆者之創見,列於本文中主要是使讀者有系統性之閱讀,使用時可自行調整因子與級距。ISO9001:2015版標準是基於風險之思維來訂定,其中已隱含預防的概念,組織因在各環節與流程中,致力於利用機會並預防不期望的結果。以上文章提供給各位讀者們做參考。

 

參考資料】

  • CNS12681 品質管理系統-要求事項
  • CNS31000 風險管理-原則與指導綱要
更多資訊請參考...
{{item.title}}

生產力中心提供的活動資訊
{{item.title}}
您可能會有興趣的課程...
相關出版品...