Quy trình đánh giá rủi ro theo ISO 9001:2015

Rủi ro tồn tại ở bất cứ đâu, trong bất kỳ tổ chức nào và ảnh hưởng trực tiếp tới hệ thống quản lý của tổ chức. Việc xác định và quản lý rủi ro là hoạt động cần được chú trọng. Hãy cùng KNA CERT tìm hiểu về Quy trình đánh giá rủi ro theo ISO 9001:2015.

MỤC ĐÍCH CỦA VIỆC ĐÁNH GIÁ RỦI RO ISO 9001

Đánh giá rủi ro phải được đưa vào hoạt động hàng ngày của tổ chức và phải được thực hiện ở tất cả các cấp trong toàn bộ tổ chức của bạn.

Mục đích tổng thể của đánh giá rủi ro là đảm bảo rằng khả năng và nguồn lực của tổ chức được sử dụng một cách hiệu quả và thích hợp để quản lý các cơ hội và mối đe dọa.

CÁC ĐIỀU KHOẢN ISO 9001:2015 YÊU CẦU QUẢN LÝ RỦI RO

Các yêu cầu giải quyết rủi ro và cơ hội được phản ánh trong nội dung của tiêu chuẩn ISO 9001:2015, bao gồm:

Điều 4: Tổ chức được yêu cầu xác định các quá trình của mình và giải quyết những rủi ro và cơ hội.
Điều 5: Lãnh đạo cao nhất cần thúc đẩy tư duy dựa trên rủi ro cũng như xác định và giải quyết các rủi ro và cơ hội có thể ảnh hưởng đến sự phù hợp của sản phẩm/dịch vụ.
Điều 8: Tổ chức phải lập kế hoạch, thực hiện và kiểm soát các quá trình của mình để quản lý các rủi ro đã xác định.
Điều 9: Tổ chức được yêu cầu theo dõi, đo lường, phân tích, đánh giá và xem xét tính hiệu lực của các hành động xử lý rủi ro.
Điều 10 Tổ chức được yêu cầu cải tiến bằng cách ứng phó với những thay đổi về rủi ro.

Đăng ký ngay

ƯU ĐIỂM KHI ĐÁNH GIÁ RỦI RO THEO ISO 9001:2015

Rủi ro sẽ ảnh hưởng đến mọi khía cạnh hoạt động của bất kỳ tổ chức nào. Hiểu và quản lý rủi ro mà doanh nghiệp của bạn có thể gặp phải sẽ giúp đưa ra quyết định và chiến lược phát triển tốt hơn. Nó giúp tổ chức của bạn có nhiều khả năng đạt được mục tiêu kinh doanh hơn.

Việc tích hợp quản lý rủi ro vào Hệ thống quản lý chất lượng giúp đảm bảo tính nhất quán và chất lượng của sản phẩm và dịch vụ. Ngoài ra, nó cũng có thể:

Giúp thiết lập một nền văn hóa chủ động cải tiến
Tăng tính linh hoạt để ứng phó với các mối đe dọa bất ngờ
Giúp doanh nghiệp khai thác những cơ hội phù hợp và đạt được lợi thế cạnh tranh
Nâng cao niềm tin và sự hài lòng của khách hàng
Cải thiện hiệu suất quản trị
Cung cấp sự đảm bảo cho ban quản lý và các bên liên quan rằng các rủi ro nghiêm trọng đang được quản lý và giải quyết
Hỗ trợ kiểm tra chất lượng và sự tuân thủ.

NHỮNG THÔNG TIN CẦN GHI LẠI ĐỂ QUẢN LÝ RỦI RO HIỆU QUẢ

Mặc dù tiêu chuẩn ISO 9001:2015 không yêu cầu duy trì thông tin dạng văn bản về việc xác định rủi ro và cơ hội cũng như đưa ra quyết định về hành động tuy nhiên việc ghi lại thông tin cần thiết sẽ giúp theo dõi, quản lý và đánh giá các rủi ro và cơ hội trở nên dễ dàng hơn.

Những thông tin liên quan đến rủi ro cần được ghi lại bao gồm:

Mô tả rủi ro
Phân loại rủi ro (kinh doanh, dự án, giai đoạn)
Khả năng xảy ra rủi ro
Mức độ nghiêm trọng của rủi ro
Các biện pháp được thực hiện để ngăn chặn, giảm thiểu hoặc chuyển giao rủi ro
Chủ sở hữu rủi ro (cá nhân hoặc bộ phận chịu trách nhiệm quản lý rủi ro)
Tình trạng hiện tại của rủi ro
Các giá trị định lượng khác (nếu có thể đo lường được)

QUY TRÌNH ĐÁNH GIÁ RỦI RO THEO ISO 9001:2015

Quy trình đánh giá rủi ro ISO 9001:2015 có thể được thực hiện qua 7 bước như sau:

Bước 1: Lập kế hoạch

Tổ chức của bạn nên phát triển và ghi lại một kế hoạch mô tả ngắn gọn cách thức và thời điểm rủi ro, có thể liệt kê dưới dạng điểm mạnh, điểm yếu, cơ hội và mối đe dọa, sẽ được đánh giá và danh sách nhân sự sẽ tham gia thực hiện kế hoạch này. Kế hoạch phải phản ánh phạm vi (bao gồm mức độ phức tạp, bối cảnh,...), chính sách chất lượng và mục tiêu chất lượng.

Bước 2: Nhận dạng rủi ro

Ở bước này, tổ chức của bạn phải xác định một cách có hệ thống những rủi ro có thể ảnh hưởng đáng kể đến việc đạt được các mục tiêu chất lượng và sự phù hợp của sản phẩm/dịch vụ.

Việc xác định rủi ro phải được thực hiện với sự tham gia đầy đủ của các bên liên quan để không bỏ sót bất kỳ rủi ro nà. Rủi ro không chỉ xuất phát từ mối quan hệ nội bộ trong tổ chức của bạn mà còn đến từ môi trường hoặc cộng đồng bên ngoài rộng hơn.

Để nhận dạng rủi ro một cách toàn diện, doanh nghiệp cần xem xét các vấn đề sau:

Các cơ hội và mối đe dọa liên quan đến môi trường kinh tế, xã hội, chính trị, văn hóa, môi trường,
Các quy định và mức độ cạnh tranh của địa phương, khu vực, tiểu bang và toàn cầu
Yêu cầu của các bên liên quan
Điểm mạnh và điểm yếu trong việc đạt được mục tiêu chất lượng

Ngoài ra cũng cần xác định rủi ro hoạt động liên quan đến việc đạt được sự hiểu biết về khả năng, mục tiêu, chỉ tiêu, điểm mạnh và điểm yếu của tổ chức bằng cách xem xét:

Cơ cấu tổ chức
Văn hóa tổ chức
Địa lý/nhân khẩu học
Bản sắc và bản chất của sự tương tác bên trong hoặc bên ngoài với các bên liên quan
Sự tồn tại của bất kỳ hạn chế hoạt động nào
Mục tiêu và các chỉ số hiệu suất chính
Hạn chế khi phục hồi kinh doanh
Các vấn đề thay đổi gần đây
Đánh giá hiệu quả hoạt động
Mối quan tâm hoặc yêu cầu của cộng đồng
Các yêu cầu và ràng buộc về mặt pháp lý/hợp đồng
Hệ thống quản lý chất lượng

Bước 3: Đánh giá rủi ro ISO 9001:2015

Sau khi xác định được tất cả các mối nguy hiểm và rủi ro liên quan có thể ảnh hưởng đến chất lượng sản phẩm/dịch vụ, tổ chức cần tiến hành đánh giá mức độ nghiêm trọng của rủi ro.

Quá trình đánh giá này rất quan trọng trong việc xác định các biện pháp kiểm soát nhằm giảm thiểu rủi ro đến mức được cho là có thể chấp nhận được hoặc đáp ứng các yêu cầu, quy định của pháp luật/khách hàng.

Mức độ quan trọng (hay còn gọi là xếp hạng rủi ro) sẽ được sử dụng để ưu tiên các hành động ứng phó. Nếu bạn thực hiện sai quy trình đánh giá rủi ro theo ISO 9001:2015, hiệu quả của hệ thống quản lý chất lượng sẽ bị ảnh hưởng.

Kết quả đánh giá mức độ nghiêm trọng của rủi ro là căn cứ cho việc lập kế hoạch giảm thiểu rủi ro. Tổ chức có thể thực hiện đánh giá rủi ro định lượng (QRA) để nghiên cứu chi tiết hơn về các rủi ro chi phí và thời gian. Đầu ra của QRA cũng có thể hỗ trợ việc ra quyết định và giám sát các hoạt động quản lý rủi ro.

Bước 4: Phản hồi

Đối với mỗi rủi ro đã xác định, chủ sở hữu rủi ro phải thiết lập mức độ giảm thiểu rủi ro phù hợp. Khi cần phải thiết lập ác biện pháp kiểm soát bổ sung cho những biện pháp hiện có để đạt được mức giảm thiểu này.

Sau khi hành động ứng phó được hoàn thành, rủi ro cần được đánh giá lại (tức là lặp lại Bước 3) để phản ánh mọi biện pháp kiểm soát hiện có đã được áp dụng.

Bước 5: Xem xét

Việc xem xét và kiểm tra thường xuyên là cần thiết để đảm bảo rằng rủi ro được quản lý phù hợp và dữ liệu rủi ro vẫn chính xác và đáng tin cậy. Ngoài ra, việc xem xét cũng phản ánh mọi thay đổi trong hoàn cảnh hoặc hoạt động quản lý.

Bước 6: Báo cáo rủi ro

Việc báo cáo thường xuyên là cần thiết để thông báo cho ban lãnh đạo cấp cao và các bên liên quan hác rằng các rủi ro vẫn đang được quản lý một cách thích hợp. Báo cáo phải dựa trên dữ liệu lấy từ quy trình hiện tại. Dữ liệu này phải được cập nhật và xem xét vào thời điểm thích hợp cho chu kỳ báo cáo (như Bước 5 ở trên).

Đôi khi, việc nâng cấp rủi ro lên cấp độ cao hơn để đảm bảo rủi ro đó được đánh giá và/hoặc quản lý bởi người hoặc bên có khả năng tốt nhất để thực hiện việc đó (có khả năng và với thẩm quyền phù hợp) có thể là điều phù hợp. Ví dụ: khi cần có phản hồi quan trọng hoặc phối hợp hơn mức mà chủ sở hữu hiện tại có thể thực hiện hoặc khi mức độ nghiêm trọng của rủi ro hoặc tác động của nó đối với dự án rộng hơn thì cần có sự đánh giá và/hoặc quản lý ở cấp độ cao hơn.

Bước 7: Giám sát rủi ro

Tổ chức cần thực hiện giám sát chính thức một cách có hệ thống và liên tục quy trình quản lý rủi ro ISO 9001:2015. Kết quả đầu ra sẽ được công bố dựa trên các chỉ số hiệu suất phù hợp để đảm bảo tính tuân thủ và hiệu quả của quy trình. Việc giám sát có thể được thực hiện dưới nhiều hình thức và phạm vi khác nhau, từ tự đánh giá và đánh giá nội bộ đến đánh giá chi tiết của các chuyên gia độc lập bên ngoài.

BIỂU MẪU ĐÁNH GIÁ RỦI RO ISO 9001:2015

Dưới đây là ví dụ về bảng tính mức độ nghiêm trọng của rủi ro:

Rủi ro	Khả năng xảy ra	Mức độ ảnh hưởng	Mức độ nghiêm trọng của rủi ro	Mức độ ưu tiên
A	5	4	20	1
B	4	4	16	2
C	3	4	12	3
D	2	3	6	4
E	1	2	2	5

Cần xem xét mức độ nghiêm trọng của rủi ro để tập trung nguồn lực. Ví dụ:

Mức độ nghiêm trọng tư 1 đến 2: Không xem xét
Mức độ nghiêm trọng từ 3 đến 6: Xem xét 1 năm/lần
Mức độ nghiêm trọng từ 5 đến 9: Xem xét 6 tháng/lần
Mức độ nghiêm trọng từ 10 đến 16: Tập trung nguồn lực sau mức ưu tiên
Mức độ nghiêm trọng từ 20 đến 25: Xem xét và tập trung nguồn lực ngay lập tức

Tư vấn từ chuyên gia

ĐÀO TẠO ĐÁNH GIÁ RỦI RO ISO 9001:2015

Nếu doanh nghiệp đang gặp khó khăn trong quy trình đánh giá rủi ro, KNA CERT cung cấp khóa đào tạo đánh giá rủi ro theo ISO 9001:2015. Với đội ngũ chuyên gia có năng lực chuyên môn cao và giàu kinh nghiệm, KNA sẽ giúp doanh nghiệp xác định và đánh giá rủi ro trong ISO 9001:2015 một cách hiệu quả và đáng tin cậy.

Để biết thêm thông tin chi tiết về chứng nhận ISO 9001:2015, Quý Khách hàng vui lòng liên hệ với KNA CERT theo số Hotline: 0968.038.122 hoặc Email: salesmanager@knacert.com để được hỗ trợ.