Nyhet · 2016-06-23

Riskbaserat tänkande i ISO 9001:2015

Syftet med detta dokument är att • förklara riskbaserat tänkande i ISO 9001 • bemöta uppfattningar om och oro för att riskbaserat tänkande ersätter processinriktning • bemöta oro för att förebyggande åtgärd har tagits bort från ISO 9001 • i enkla termer förklara varje komponent i riskbaserat tänkande.

Ladda ner pdf

Vad är riskbaserat tänkande?

En av de viktigaste ändringarna i senaste utgåvan av ISO 9001 är att organisationen ska arbeta systematiskt med risker och inte hantera ”förebyggande åtgärder” som en separat komponent i kvalitetsledningssystemet.

Det finns risker i varje verksamhet samt i dess processer och funktioner. Riskbaserat tänkande syftar till att säkerställa att dessa risker identifieras, beaktas och styrs när kvalitetsledningssystemet upprättas och används.

I tidigare utgåvor av ISO 9001 fanns ett separat avsnitt om förebyggande åtgärd. När organisationen istället använder riskbaserat tänkande blir följden att den automatiskt tar hänsyn till risker. Ledningssystemet blir proaktivt snarare än reaktivt för att förebygga eller mildra oönskade effekter genom att dessa tidigt identifieras och hanteras. Förebyggande åtgärder är ”inbyggda” när ett ledningssystem är riskbaserat.

Riskbaserat tänkande är något vi alla använder automatiskt i det dagliga livet.

Exempel:
Om jag vill gå över en väg tittar jag efter trafik innan jag startar. Jag kliver inte ut framför en bil i rörelse.

Riskbaserat tänkande har alltid funnits i ISO 9001 – denna revidering bygger in det i hela ledningssystemet.
I ISO 9001:2015 måste riskbaserat tänkande beaktas från början och genom hela ledningssystemet, så att förebyggande åtgärd blir integrerat i aktiviteter avseende planering, verksamhet, analys och utvärdering.

Riskbaserat tänkande är redan en del av processinriktningen.
Alla processer i ett kvalitetsledningssystem har inte samma risknivå när det gäller organisationens förmåga att nå sina mål. Vissa kräver mer omsorgsfull och formell planering och styrning än andra.

Exempel:
För att komma över vägen kan jag gå direkt eller använda en gångbro i närheten. Vilken ”process” jag väljer fastställer jag genom att överväga riskerna.

Risk anses vanligen ha endast negativa konsekvenser, men verkan av risk kan vara antingen negativ eller positiv.

I ISO 9001:2015 nämns risker och möjligheter ofta tillsammans. Möjlighet är inte nödvändigtvis en positiv aspekt av risk. En möjlighet är omständigheter som innebär att det sannolikt går att göra något. Att agera eller inte agera utifrån en möjlighet medför sedan olika nivåer av risk.

Exempel:
Att gå över vägen ger mig möjligheten att nå den andra sidan snabbt, men om jag tar den möjligheten ökar risken att jag skadas av bilar i rörelse.

Riskbaserat tänkande innebär övervägande både av den aktuella situationen och av möjligheterna till förändring.
Analys av denna situation visar möjligheter till förbättring:

• en tunnel under vägen

• övergångsställe med trafikljus

• omledning av trafiken, så att vägen blir fri från trafik.

Var i ISO 9001:2015 behandlas risk?

Begreppet riskbaserat tänkande förklaras i orienteringen till ISO 9001:2015 som en integrerad del av processinriktningen.

ISO 9001:2015 använder riskbaserat tänkande på följande sätt:

Orientering – Begreppet riskbaserat tänkande förklaras.

Avsnitt 4 
– Organisationen ska hantera de risker och möjligheter som hör samman med kvalitetsledningssystemets processer.

Avsnitt 5 
– Högsta ledningen ska

• främja riskbaserat tänkande

• bestämma och hantera risker och möjligheter som kan påverka produkters och tjänsters överensstämmelse med krav.

Avsnitt 6 – Organisationen ska identifiera de risker och möjligheter som hör samman samman med kvalitetsledningssystemets processer och vidta lämpliga åtgärder för att hantera dem.

Avsnitt 7 – Organisationen ska fastställa och tillhandahålla nödvändiga resurser (risk är alltid underförstått när ordet ”lämplig” används).

Avsnitt 8 – Organisationen ska styra sina verksamhetsprocesser (risk är alltid underförstått när ordet ”lämplig” används).

Avsnitt 9 – Organisationen ska övervaka, mäta, analysera och utvärdera verkan av åtgärder som vidtas för att hantera risker och möjligheter.

Avsnitt 10 – Organisationen ska avhjälpa, förebygga eller minska oönskade effekter, förbättra kvalitetsledningssystemet samt uppdatera risker och möjligheter.

Varför använda riskbaserat tänkande?

Genom att risk beaktas i alla delar av ledningssystemet och i alla processer ökar sannolikheten att uppsatta mål nås, resultatet blir mer enhetligt och kunderna kan lita på att de kommer att få den förväntade produkten eller tjänsten.

Riskbaserat tänkande:

• förbättrar styrningen

• etablerar en proaktiv förbättringskultur

• bidrar till att författningskrav uppfylls

• säkerställer jämn kvalitet på produkter och tjänster

• förbättrar kundernas förtroende och tillfredsställelse.


Framgångsrika företag tillämpar riskbaserat tänkande intuitivt.

Hur gör jag det?

Använd riskbaserat tänkande när ledningssystemet och processerna byggs upp.

Identifiera vilka de aktuella riskerna är – det beror på förutsättningarna.

Exempel: 
Om jag går över en liten väg med få bilar som kör sakta medför det inte samma risker som om jag går över en hårt trafikerad väg där bilarna kör snabbt. Det är också nödvändigt att jag tar hänsyn till sådant som väder, sikt, min rörlighet och mina egna mål.

Förstå dina risker
Vad är acceptabelt och vad är oacceptabelt? Vilka fördelar eller nackdelar har en process jämfört med en annan?

Exempel:
Målet är att jag ska ta mig över vägen på säkert sätt för att komma till ett möte vid ett visst klockslag.

• Det är OACCEPTABELT att bli skadad.

• Det är OACCEPTABELT att komma för sent.

Behovet att snabbt nå målet måste jag väga mot sannolikheten att jag blir skadad. Det är viktigare att jag kommer till mötet oskadad än att jag kommer till mötet i tid.

Det kan vara ACCEPTABELT att nå andra sidan av vägen senare genom att jag använder en gångbro om sannolikheten är hög att jag skadas när jag går över vägen.

Jag analyserar situationen. Gångbron är 200 meter bort och det tar längre tid om jag använder den. Vädret är bra, sikten är god och jag kan se att det inte är mycket trafik på vägen just nu.

Jag bestämmer att risken att skadas om jag går rakt över vägen är så liten att den är acceptabel, och det kommer att hjälpa mig att komma till mötet i tid.
 

Planera åtgärder för att hantera riskerna

Hur kan jag undvika eller eliminera risken? Hur kan jag minska risken?

Exempel:
Jag skulle kunna eliminera risken att skadas av en bil genom att använda gångbron, men jag har redan bestämtmig för att risken med att gå över vägen är acceptabel.

Nu planerar jag hur jag ska minska risken för eller följderna av en skada. Jag kan inte rimligen vänta mig att kunna kontrollera effekten av att bli påkörd av en bil. Jag kan minska sannolikheten för att bli påkörd av en bil.

Jag planerar att korsa vägen vid en tidpunkt då inga bilar är i rörelse nära mig, för att därmed minska sannolikheten för en olycka. Jag planerar också att korsa vägen på ett ställe där sikten är god.

Genomför planen – agera

Exempel:
Jag går fram till vägkanten och kontrollerar att det inte finns några hinder mot att korsa vägen. Jag kontrollerar att det inte kommer några bilar. Jag fortsätter att titta efter bilar medan jag går över vägen.

Kontrollera verkan av åtgärden – fungerar den?

Exempel:
Jag når andra sidan av vägen oskadad och i tid. Planen fungerade och oönskade konsekvenser uteblev.

Lär av erfarenheten – förbättra

Exempel:
Jag repeterar planen under flera dagar, vid olika tider och under olika väderförhållanden. 

Därmed samlar jag data som gör att jag kan förstå att varierande förutsättningar (klockslag, väder, antal bilar) direkt påverkar verkan av planen och ökar sannolikheten att jag inte kommer att nå mina mål (att komma i tid och att undvika att skadas).

Erfarenheten lär mig att det är mycket svårt att korsa vägen vid vissa tider, eftersom det är för många bilar då. För att hålla risken på en acceptabel nivå ändrar och förbättrar jag min ”process” genom att använda gångbron vid dessa tider.

Jag fortsätter att analysera verkan av ”processen” och ändra den när förutsättningarna förändras. Jag fortsätter också att överväga mer ”innovativa” alternativ:

• Kan jag flytta mötesplatsen så att jag inte behöver korsa vägen?

• Kan jag ändra klockslag för mötet så att jag kan korsa vägen när det är lugnt?

• Kan vi ha ett elektroniskt möte?

Slutsats

Riskbaserat tänkande:

• är inte nytt

• är något du redan gör

• sker kontinuerligt

• säkerställer bättre kunskap om risker och ger bättre beredskap

• ökar sannolikheten att mål nås

• minskar sannolikheten för negativa resultat

• gör förebyggande åtgärder till en vana.

Andra användbara dokument

SS-ISO 31000:2009 Riskhantering – Principer och riktlinjer

PD ISO/TR 31004:2013 Risk management – Guidance for the implementation of ISO 31000

ISO 9001:2015 Risk-based thinking – (www.iso.org/tc176/sc02/public)

SS-EN 31010:2010 Riskhantering – Metoder för riskbedömning

Ladda ner pdf


Utbildningar inom kvalitetsledning ISO 9001

SIS erbjuder utbildningar om våra mest sålda standarder inom kvalitetsledning så att du kan utveckla din verksamhet och din egen kompetens.

SIS Perspektiv

SIS Perspektiv optimerar organisationens förutsättningar att rikta fokus på kvalitet, miljö och hållbarhet. Genom att ge inspiration till utveckling, generell åtkomst till centrala standarder och möjlighet att arbeta digitalt, effektivt och strukturerat kan SIS Perspektiv underlätta vid implementation och uppföljning av ISO:s ledningssystem.

Läs mer om Perspektiv