Obsah

Audítor sa pri certifikačnom audite spýta jednoducho: „Ukážte mi, ako u vás pracujete s rizikami.“ A v miestnosti nastane jedna z dvoch reakcií. Buď niekto vytiahne tabuľku, ktorú vyrobil deň pred auditom a odvtedy ju nikto neotvoril, alebo padne nervózna otázka: „To musíme mať zavedené celé ISO 31000?“ Obe reakcie vychádzajú z toho istého nedorozumenia o tom, čo ISO 9001 v oblasti rizík vlastne chce.

Poďme to nedorozumenie rozobrať, lebo rizikové myslenie je jedna z mála vecí v deviatke, ktorú firmy buď zbytočne komplikujú, alebo úplne míňajú.

Čo rizikové myslenie v ISO 9001 znamená

Rizikové myslenie (po anglicky risk-based thinking) je jedna z najväčších zmien, ktoré priniesla verzia normy z roku 2015. Norma ho vysvetľuje hneď v úvode a nahradila ním starší koncept „preventívnych opatrení“. Logika je jednoduchá: namiesto toho, aby firma reagovala na problémy až keď nastanú, má dopredu uvažovať, čo môže ohroziť kvalitu a spokojnosť zákazníka, a konať skôr.

Dôležité je, že rizikové myslenie nie je v deviatke jedna samostatná kapitola, ktorú odškrtnete a máte hotovo. Je votkané naprieč celou normou. Objavuje sa pri kontexte organizácie (kapitola 4), pri vedení (kapitola 5), výslovne pri plánovaní (kapitola 6.1 „Opatrenia na zvládnutie rizík a príležitostí“), pri hodnotení výkonnosti (kapitola 9) aj pri zlepšovaní (kapitola 10). Je to spôsob uvažovania, ktorý má prestúpiť celý systém, nie kolónka v zozname.

Najväčší mýtus: že musíte mať formálny systém rizík

Toto je miesto, kde firmy strácajú najviac času a nervov, tak to povedzme úplne jasne. ISO 9001:2015 nevyžaduje formálny proces riadenia rizík. Nevyžaduje dokumentovaný register rizík. Nevyžaduje konkrétnu metodiku. A nevyžaduje, aby ste zaviedli ISO 31000.

Norma to hovorí priamo: spôsob, akým rizikové myslenie uplatníte, je na vás. ISO 31000 je v úvode spomenutá ako možná užitočná referencia pre firmy, ktoré chcú formálnejší prístup, ale jej použitie nie je povinné. Inak povedané, môžete mať jednoduchú tabuľku, môžete to mať zapracované v procesoch, môžete to riešiť na poradách, podstatné je, že riziká určujete a riešite, nie akým nástrojom.

To je dobrá správa najmä pre menšie firmy. Audítor vám nemôže vytknúť, že nemáte register rizík v predpísanej podobe, lebo takú požiadavku norma neobsahuje. Čo vám ale vytknúť môže, je, že rizikové myslenie nevidno nikde, ani v dokumentoch, ani v praxi, ani v hlavách ľudí.

Riziko nie je len hrozba, ale aj príležitosť

Ešte jedna vec, ktorú norma zdôrazňuje a na ktorú sa často zabúda. Rizikové myslenie nie je len o obrane pred zlým. Zahŕňa aj príležitosti, teda situácie, ktoré sa oplatí využiť. Nový trh, nová technológia, zmena na strane konkurencie, to všetko sú príležitosti, ktoré majú v rizikovom myslení miesto rovnako ako hrozby.

Firmy, ktoré rizikové myslenie chápu len ako zoznam toho, čo sa môže pokaziť, si tak ukrajujú z jeho hodnoty. Dobre uchopené rizikové myslenie pomáha nielen vyhnúť sa škode, ale aj včas zachytiť, kde sa oplatí konať.

Čo audítor naozaj chce vidieť

Audítor pri rizikovom myslení nehľadá peknú tabuľku. Hľadá dôkaz, že firma premýšľala, čo ohrozuje kvalitu a spokojnosť zákazníka, a že pre to aj niečo urobila.

Konkrétne sa pozerá na niekoľko vecí. Či viete pomenovať riziká, ktoré sú relevantné pre vašu činnosť, nie nakopírované všeobecnosti. Či ste na ne reagovali konkrétnym opatrením a nezostalo len pri ich vymenovaní. Či sú tieto opatrenia primerané, teda či najviac pozornosti venujete tomu, čo najviac ohrozuje zhodu produktu alebo služby, a netrápite sa rovnako okrajovými drobnosťami. A či rizikové myslenie vidno naprieč systémom, nielen v jednej tabuľke, audítor sa naň pýta aj vedenia, lebo riziko sa dotýka aj stratégie firmy.

Všimnite si, čo medzi týmito vecami nie je: požiadavka na konkrétny formát. Audítor nemôže napísať nezhodu za to, že vám chýba dokument, ktorý norma nežiada. Môže ju napísať za to, že nevidí žiadny dôkaz, že ste o rizikách uvažovali a konali. Toto je presne tá hranica, ktorú firmy nepoznajú a buď ju prekračujú zbytočnou byrokraciou, alebo pod ňu padajú prázdnym formalizmom.

A tu sa vraciame k téme, ktorej sme sa v tejto sérii venovali samostatne: register rizík vyrobený deň pred auditom, ktorý sa odvtedy neotvoril, je presne ten prázdny formalizmus. Splní formu a nepresvedčí nikoho, kto vie, čo hľadá. Skúsený audítor rozozná živý systém od mŕtveho dokumentu rovnako rýchlo ako vy rozoznáte čerstvé pečivo od včerajšieho.

Ako na to bez zbytočnej byrokracie

Dobrá správa je, že rizikové myslenie v deviatke sa dá zvládnuť triezvo a primerane. Kľúčové slovo je proporcionalita. Pri jednoduchých, málo rizikových procesoch stačí jednoduchý prístup. Pri tých, kde môže zlyhanie vážne zasiahnuť zákazníka alebo firmu, sa oplatí ísť hlbšie a siahnuť po poriadnej technike posudzovania rizika.

Zapracujte rizikové myslenie priamo do plánovania procesov, nie ako oddelené cvičenie raz za rok. Pýtajte sa pri každom dôležitom procese, čo by mohlo ohroziť jeho výsledok a čo s tým spravíme. Riziká prehodnoťte, keď sa zmení kontext, proces alebo produkt. A ak chcete štruktúrovanejší prístup, môžete dobrovoľne použiť logiku ISO 31000, ktorú sme rozoberali v tejto sérii, vrátane registra, ktorý sa naozaj používa, a techník, ktoré sa hodia na vážnejšie riziká. Nie preto, že to deviatka prikazuje, ale preto, že vám to pomôže.

Rizikové myslenie v ISO 9001 je teda v skutočnosti pozvánka, nie povinnosť navyše. Pozvánka uvažovať o tom, čo vás môže odkloniť od kvality, skôr než sa to stane. Firmy, ktoré ju prijmú, majú nielen hladší audit, ale aj menej prekvapení v prevádzke.

Ak chcete posúdiť, či vaše rizikové myslenie obstojí pred audítorom a zároveň firme reálne pomáha, na úvodnej konzultácii sa na to pozrieme spolu a navrhneme ďalší krok bez záväzku.