RISK MANAGEMENT IN ISO 9001

QUẢN LÝ RỦI RO TRONG ISO 9001

Phân tích rủi ro khi nào

Một số ý kiến cho rằng việc phân tích rủi ro cần được thực hiện trước khi thiết lập hệ thống quản lí chất lượng vì như thế tổ chức mới nhận biết và có thể mô tả các biện pháp rủi ro vào các quy trình của hệ thống. Các ý kiến khác lại cho rằng việc phân tích rủi ro phải thực hiện sau khi xây dựng hệ thống vì nếu chưa xây dựng hệ thống đâu có biết phải phân tích rủi ro như thế nào. Trong khi đó điều khoản 6.1.1 của ISO 9001:2015 chỉ nêu “Khi hoạch định hệ thống quản lý chất lượng, tổ chức phải cân nhắc các yếu tố trong mục 4.1 và các yêu cầu trong mục 4.2 và xác định các rủi ro & cơ hội cần được xử lý”. Như vậy, yêu cầu này không nêu rõ thời điểm phân tích rủi ro là khi nào và để biết thời điểm cần phân tích rủi ro tổ chức phải trả lời câu hỏi “Khi nào cần hoạch định hệ thống quản lí chất lượng?”.

Nếu tìm kiếm từ “hoạch định” trong tiêu chuẩn ISO 9001 ta nhận thấy có 2 thời điểm cần hoạch định là: hoạch định hệ thống hay các quá trình của hệ thống (4.4, 6.3, 8.1) và hoạch định mục tiêu của các quá trình & kế hoạch thực hiện mục tiêu (6.2). Ngoài ra, còn một thời điểm hoạch định nữa là hoạch định quá trình sản xuất sản phẩm mới nhưng không được các tổ chức chú trọng vì ISO 9001 cho phép bỏ 8.3 khi không thiết kế sản phẩm. Ba thời điểm hoạch định này cũng đồng nhất với 3 cấp độ phân tích rủi ro đã đề cập trong bài viết RISK BASED THINKING. Bài viết này sẽ tập trung vào diễn giải việc phân tích rủi ro ở 2 cấp độ hệ thống và quá trình do ISO 9001 không bắt buộc thực hiện phân tích ở cấp độ rủi ro thao tác khi thiết kế quá trình (PFMEA) và PFMEA sẽ được phân tích sâu hơn trong một bài khác.

Phân tích rủi ro hệ thống

Rủi ro cấp hệ thống là rủi ro mang tính phổ quát mà hệ thống của bất cứ tổ chức nào cũng đều có thể gặp phải và ảnh hưởng đến khả năng đạt được đầu ra mong đợi của hệ thống. Các rủi ro này là các rủi ro đã được nhà hoạch định tiêu chuẩn ISO 9001:2015 hoặc IATF 16949:2016 hệ thống hóa thành các điều khoản của tiêu chuẩn. Do đó, nhiệm vụ của tổ chức ở giai đoạn này là phải xác định được các quá trình của tổ chức (xem bài QMS PROCESS) và phân tích các rủi ro liên quan đến quá trình đó để xác định các điều khoản ISO 9001:2015 hoặc IATF 16949:2016 cần thực hiện để xử lí rủi ro. Việc phân tích rủi ro này cần được thực hiện trước khi thiết lập hệ thống tài liệu.

Để nhận biết được các rủi ro của mỗi quá trình, tổ chức trước hết cần phải hiểu được quá trình và cách thức vận hành của quá trình. Mô hình sơ đồ con rùa (Turtle Diagram) dưới đây là một công cụ phân tích quá trình.

Hình 2: Sơ đồ con rùa (Turtle Diagram)

Để xác định các rủi ro mang tính hệ thống (hay xác định các điều khoản) liên quan đến một quá trình tổ chức nên bắt đầu từ đầu ra mong đợi của quá trình. Ví dụ, đối với quá trình phát triển sản phẩm mới đầu ra mong đợi sẽ là sản phẩm được phát triển đáp ứng yêu cầu của khách hàng về chất lượng, tiến độ, và giá cả. Từ đầu ra mong đợi, tổ chức xem xét từng yếu tố có ảnh hưởng đến đầu ra (có mũi tên đi vào thân con rùa) để xác định trong từng yếu tố đó cái gì có thể làm cho đầu ra không được như mong đợi (rủi ro).

Thứ nhất, liên quan đến đầu vào các rủi ro có thể xuất phát từ việc tổ chức không xác định đầy đủ, không hiểu rõ được yêu cầu của khách hàng đối với sản phẩm mới dẫn đến sản phẩm không đáp ứng nhu cầu mong đợi. Đó là lí do tiêu chuẩn đưa ra điều khoản về xác định yêu cầu liên quan đến sản phẩm & dịch vụ (8.2.2) xem xét đầu vào thiết kế và phát triển (8.3.3).

Thứ hai, liên quan đến các hoạt động thiết kế và phát triển có nhiều rủi ro nếu tổ chức không thực hiện đầy đủ hoặc cắt giảm các bước của quá trình. Rủi ro thứ nhất có thể xuất phát từ việc tổ chức không lập và kiểm soát kế hoạch thiết kế và phát triển dẫn đến dự án không hoàn thành đúng tiến độ. Đó là lí do tiêu chuẩn đưa ra điều khoản về lập kế hoạch thiết kế & phát triển (8.3.2). Rủi ro thứ hai có thể xuất phát từ việc không thiết lập được các đầu ra cần thiết cho việc sản xuất, kiểm tra sản phẩm dẫn đến phát sinh các vấn đề chất lượng trong quá trình sản xuất, sử dụng sản phẩm. Đó là lí do tiêu chuẩn đưa ra yêu cầu về các tài liệu đầu ra cần thiết (8.3.5). Đặc biệt với IATF 16949:2016, tiêu chuẩn còn liệt kê chi tiết các tài liệu đầu ra đối với thiết kế & phát triển sản phẩm và quá trình. Rủi ro tiếp theo có thể phát sinh từ việc không có các hoạt động kiểm tra kết quả của thiết kế và phát triển ví dụ không thực hiện sản xuất thử, không kiểm tra đánh giá sản phẩm, không xử lí vấn đề phát sinh. Đó chính là lí do tiêu chuẩn yêu cầu kiểm soát thiết kế & phát triển (8.3.4). Ngoài ra, rủi ro còn có thể phát sinh từ việc tổ chức kiểm soát thay đổi thiết kế không tốt dẫn đến các khâu chuẩn bị công cụ, chế tạo, kiểm tra… không thay đổi đồng bộ dẫn đến sản phẩm không đáp ứng yêu cầu thay đổi của khách hàng. Đó là lí do tiêu chuẩn yêu cầu điều khoản về kiểm soát thay đổi thiết kế (8.3.6).

Thứ ba, liên quan đến phương pháp vận hành rủi ro có thể phát sinh từ việc tổ chức không có hướng dẫn thực hiện các hoạt động lập kế hoạch, kiểm soát thiết kế…hoặc tài liệu không thỏa đáng, cập nhật. Đó là lí do tiêu chuẩn yêu cầu tổ chức phải kiểm soát thông tin dạng văn bản (7.5).

Thứ tư, liên quan đến các nguồn lực vật chất phục vụ quá trình thiết kế và phát triển rủi ro có thể phát sinh từ việc thiếu hụt về số lượng hoặc chất lượng của các máy móc, thiết bị (mặc dù không nhiều đối với quá trình thiết kế & phát triển) chẳng hạn như mất dữ liệu máy tính, không đảm bảo tính bảo mật của dự án. Do đó, tiêu chuẩn yêu cầu tổ chức đảm bảo các yêu cầu về hạ tầng cơ sở bao gồm công nghệ thông tin (7.1.3).

Thứ năm, liên quan đến nguồn nhân lực tham gia vào quá trình thiết kế vào phát triển rủi ro có thể đến từ việc thiếu nhân lực hoặc nhân lực không đủ năng lực. Do đó, tiêu chuẩn ISO 9001 yêu cầu tổ chức phải đảm bảo năng lực của nguồn nhân lực có được các năng lực cần thiết (7.2). Không những thế, IATF 16949 còn đưa ra yêu cầu chi tiết hơn về kĩ năng thiết kế (8.3.2.2) và cách tiếp cận đa chức năng trong việc phân công nhiệm vụ thiết kế (8.3.2.1).

Về mặt hệ thống, bất cứ tổ chức nào nhận biết và xử lí được các rủi ro mang tính điển hình này đều có thể đảm bảo giảm thiểu các hệ quả đối với đầu ra mong đợi của quá trình thiết kế & phát triển (sản phẩm mới đạt yêu cầu). Tuy nhiên, mỗi công ty hoặc cùng một công ty ở các thời điểm khác nhau lại có các thước đo quá trình (mục tiêu) khác nhau. Các mục tiêu này ngoài việc chịu tác động của rủi ro từ bốn yếu tố nêu trên còn bị tác động (không đạt được mục tiêu) nếu như người chủ quá trình không nhận biết được yếu tố bối cảnh tác động (4.1) hay yêu cầu cầu của bên hữu quan (4.2), không đánh giá rủi ro & cơ hội từ các yếu tố tác động đó (6.1), không thiết lập mục tiêu & kế hoạch thực hiện mục tiêu của quá trình (6.2), không theo dõi và xem xét kết quả thực hiện mục tiêu (9.3) và không thực hiện hành động khắc phục khi không đạt mục tiêu (10.2.3).

Đây chính là phương pháp tư duy dựa trên rủi ro được ứng dụng trong ngành công nghiệp ô tô. Khi áp dụng tư duy này vào từng quá trình của tổ chức, chúng ta sẽ có sơ đồ con rùa như ví dụ dưới đây.

Hình 3: Tư duy dựa trên rủi ro

Đây cũng chính là lí do vì sao các tổ chức chứng nhận IATF 16949 đều yêu cầu các tổ chức phải điền vào bảng ma trận thể hiện mối liên hệ giữa các yêu cầu của tiêu chuẩn & các quá trình của tổ chức (trước khi đánh giá chứng nhận) để xác định tổ chức đã nhận thức được các rủi ro mà mỗi quá trình có thể gặp phải và các yêu cầu tiêu chuẩn cần ứng dụng để xử lí rủi ro đó. Dưới đây là một ví dụ về bảng ma trận (IATF 16949 2016 Requirements to Management System Matrix) theo cách tiếp cận của BSI.

Hình 4: Ma trận yêu cầu tiêu chuẩn và các quá trình của hệ thống quản lí chất lượng

Phân tích rủi ro quá trình

Như đã phân tích ở trên, kể cả khi tổ chức đã thực hiện một cách hiệu lực các yêu cầu của ISO 9001 hay IATF 16949 các rủi ro vẫn còn tồn tại. Lí do là các tổ chức khác nhau có thể có các mục tiêu khác nhau đối với cùng một quá trình và ngay trong một tổ chức thì mục tiêu cũng có thể khác nhau theo thời gian (bối cảnh). Do đó, sau khi đã thực hiện phân tích & xử lí các rủi ro hệ thống, tổ chức cần phân tích & xử lí các rủi ro liên quan đến mục tiêu của từng quá trình cụ thể dựa trên nhu cầu mong đợi của bên hữu quan (4.2) và bối cảnh của tổ chức (4.1).

ISO 9001 không bắt buộc phải phân tích rủi ro theo một công cụ cố định nào. Nhưng những nội dung yêu cầu trong 6.1 như “cân nhắc các yếu tố trong 4.1 và yêu cầu trong 4.2”, “hoạch định hành động xử lí rủi ro & cơ hội”, ” hành động xử lí cần cân xứng với tác động tiềm ẩn” và “đánh giá hiệu lực xử lí rủi ro” có thể dẫn dắt tổ chức đến cơ chế quản lí rủi ro của ISO 31000 đã đề cập trong bài viết RISK BASED THINKING.

Dưới đây là các bước phân tích rủi ro của quá trình dựa trên mô hình ISO 31000

Bước 1: Thiết lập bối cảnh

Việc phân tích bối cảnh của tổ chức (4.1) và yêu cầu bên hữu quan (4.2) đã được phân tích chi tiết tron bài ORGANIZATION CONTEXT. Theo đó, tổ chức có thể cần 2 giai đoạn phân tích bối cảnh ở 2 quá trình khác nhau: bối cảnh để xác định chiến lược (WHAT) và bối cảnh xác định hành động thực hiện mục tiêu (HOW). Điều này cũng phần nào tương thích với diễn giải của ISO 31000 như phân tích dưới đây.

Theo ISO 31000, hiểu bối cảnh bên ngoài là rất quan trọng để đảm bảo mục tiêu & mối quan tâm của các bên hữu quan được cân nhắc khi đánh giá rủi ro. Trong ma trận dưới đây, các yếu tố bối cảnh bên ngoài là các thông tin để lí giải tầm quan trọng hay tại sao tổ chức lại lựa chọn các định hướng và mục tiêu chiến lược (bối cảnh chiến lược) từ đó làm cơ sở để xác định đúng các RỦI RO CẦN XỬ LÍ & HỆ QUẢ CỦA RỦI RO (tránh sa đà vào các vấn đề không thực sự là rủi ro vì mỗi quá trình có quá nhiều yêu cầu phải đáp ứng nhưng không phải việc không đáp ứng nào cũng gây rủi ro).

Trong ví dụ bên dưới, các bối cảnh “tăng cường yêu cầu luật định”, “mối quan tâm của người lao động và cộng đồng đến ESG” có thể là lí do công ty lựa chọn chiến lược “Tăng cường hành động định hướng an toàn & môi trường”, với mục tiêu là “Zero Accident”. Đây là hành lang quan trọng cho việc phân tích các yếu tố có thể gây rủi ro vì nếu không có hành lang này việc phân tích rủi ro có thể rất lan man.

Bối cảnh nội bộ là môi trường nội bộ mà trong đó tổ chức tìm kiếm giải pháp đạt được mục tiêu. Bối cảnh nội bộ là bất cứ thứ gì trong nội bộ tổ chức có ảnh hưởng đến cách thức tổ chức quản lí rủi ro để đạt được mục tiêu. Sau khi đã xác định được mục tiêu “Zero Accident”, nhóm có thể tập trung sự phân tích bằng cách sử dụng kĩ thuật HAZOP bằng cách đặc các câu hỏi “Sự kiện nào làm tăng khả năng đạt được mục tiêu?” để xác định cơ hội hoặc “Sự kiện nào làm giảm khả năng đạt được mục tiêu” để xác định các bối cảnh nội bô. Các yếu tố này (bối cảnh hành động) sẽ giúp tổ chức nhận biết mình cần làm gì để xử lí các rủi ro.

Trong ví dụ dưới đây, các vấn đề “thiếu kiến thức về an toàn” hay “động lực triển khai 5S thấp” có thể là yếu tố dẫn đến rủi ro phát sinh tai nạn lao động.

Hình 5: Ma trận phân tích bối cảnh

Bước 2: Nhận biết rủi ro

Nhận biết rủi ro được định nghĩa là quá trình tìm kiếm, nhận biết và mô tả các rủi ro. Nhiệm vụ của hoạt động này là phải thuyết phục được các bên liên quan đây đúng là rủi ro. Theo ISO 31000 việc nhận biết rủi ro liên quan đến hoạt động xâu chuỗi nguồn rủi ro như 4M, 7S (xem thêm bài về phân tích bối cảnh), các sự kiện (bao gồm thay đổi), nguyên nhân của các sự kiện, lĩnh vực bị ảnh hưởng và hệ quả tiềm ẩn.

Trong ví dụ trên, một trong những rủi ro có thể được mô tả như sau: “Không thực hiện đào tạo 5WHY (nguyên nhân) dẫn đến phân tích nguyên nhân gốc rễ không triệt để (sự kiện) gây tăng khả năng phát sinh lỗi lặp lại (rủi ro) làm cho khách hàng không hài lòng (hệ quả).

Bước 3: Phân tích rủi ro

Phân tích rủi ro là bước chấm điểm các rủi ro nhằm giúp tổ chức đưa ra mức độ ưu tiên xử lý. Điểm rủi ro thường được đánh giá dựa trên hai yếu tố: khả năng phát sinh và mức độ ảnh hưởng.

Với mức độ ảnh hưởng, tổ chức có thể dựa trên tầm quan trọng của các mục tiêu đã được xác định trong phần nhận biết bối cảnh. Nếu một rủi ro có ảnh hưởng đến các mục tiêu chiến lược, sự hài lòng của khách hàng (ví dụ tăng số lượng khiếu nại) nó sẽ được đánh giá điểm ảnh hưởng cao. Nếu một rủi ro chỉ ảnh hưởng đến những mục tiêu nội bộ của tổ chức (ví dụ chi phí) nó sẽ có mức điểm ảnh hưởng thấp.

Hình 7: Bảng phân loại mức độ ảnh hưởng của rủi ro & cơ hội

Với khả năng phát sinh, tổ chức có thể dựa vào các kinh nghiệm quá khứ để phân loại mức độ và điểm số. Tuy nhiên, với các mục tiêu mới & sự kiện mới phương pháp đánh giá theo cảm tính có thể được chấp nhận.

Hình 8: Bảng phân loại khả năng phát sinh rủi ro

Bước 4: Đánh giá rủi ro

Đánh giá rủi ro bao gồm việc tính toán điểm rủi ro, so sánh với chuẩn để lựa chọn mức độ ưu tiên xử lý rủi ro. Điểm rủi ro thường được tính bằng tích của điểm ảnh hưởng & điểm phát sinh. Mức độ rủi ro cũng thường được chia thành 3 cấp: cao, vừa, thấp.

Hình 9: Bảng phân loại cấp độ rủi ro

Bước 5: Xử lí rủi ro

Để xử lý rủi ro, tổ chức có thể lựa chọn một trong các phương án: tránh rủi ro bằng cách không thực hiện dự án; loại bỏ nguồn gây ra rủi ro; thay đổi/làm giảm khả năng xảy ra; thay đổi hệ quả bằng cách bổ sung biện pháp dự phòng hoặc chấp nhận rủi ro đó. Tuy nhiên, về phương pháp xử lý tổ chức cần có các cách tiếp cận khác nhau cho các mức độ rủi ro khác nhau. Bảng dưới đây là một cách tiếp cận.

Hình 10: Phương án xử lí rủi ro

Phương án này được thiết lập dựa trên các nguyên tắc quản lý rủi ro của ISO 31000. Thông qua việc thiết lập các mục tiêu & kế hoạch hành động tổ chức có thể tích hợp kết quả phân tích rủi ro vào các quá trình, hướng tới hoạt động tạo giá trị gia tăng, cải tiến liên tục và làm cho việc phân tích rủi ro là một phần của quá trình ra quyết định.

Bước 6: Đánh giá hiệu lực xử lý rủi ro

Mục đích của xử lý rủi ro là loại bỏ các tác động tiêu cực & nâng cao ảnh hưởng tích cực của các sự kiện đối với mục tiêu. Do đó, việc xử lý rủi ro có thực sự hiệu quả thường được phản ánh trên kết quả đạt được các mục tiêu của quá trình. Tổ chức có thể xác định thời điểm để đánh giá hiệu lực xử lý rủi ro theo các tiêu chí dưới đây.