Đánh giá tính hiệu lực rủi ro cơ hội năm 2024

Nói rõ trước: Mục đích của tiêu chuẩn ISO không phải là bổ sung các cơ hội và rủi ro tương ứng cho tất cả các hướng dẫn thủ tục nội bộ. Thay vào đó, việc xác định là liệu công ty có thể đạt được "kết quả dự kiến" bằng cách thực hiện hệ thống quản lý môi trường hay không. Hoặc: Những yếu tố nào có thể xảy ra để kết quả này không xảy ra?

Kết quả dự kiến - Đây là mức tối thiểu

Các kết quả dự kiến của hệ thống quản lý môi trường bao gồm kết quả tối thiểu:

1. Cải thiện hoạt động môi trường
2. Thực hiện các cam kết ràng buộc
3. Đạt được các mục tiêu môi trường

Tuy nhiên, thông thường, tổ chức chỉ định các kết quả dự kiến bổ sung ngoài những kết quả này. Ví dụ, nó có thể cam kết các nguyên tắc xã hội và môi trường. Hiểu được bối cảnh của tổ chức đóng một vai trò rất quan trọng. Không có công ty nào nổi trong "chân không". Nó luôn bị ảnh hưởng bởi các vấn đề bên ngoài và bên trong, chẳng hạn như nhu cầu thị trường thay đổi, sự sẵn có của các nguồn lực hoặc sự tham gia của nhân viên. Không nên quên là các nhà đầu tư, với tư cách là nhà cung cấp vốn, muốn thấy sự tham gia của họ được công nhận một cách thích hợp.

Rủi ro và cơ hội trong bối cảnh

Rõ ràng là các bên quan tâm khác nhau có thể có nhiều yêu cầu và mong đợi khác nhau của công ty. Tuy nhiên, không phải kỳ vọng nào cũng phù hợp với hệ thống quản lý môi trường. Do đó, bước tiếp theo đối với tổ chức là lọc ra các nhu cầu và mong đợi liên quan (tức là các yêu cầu) của các bên quan tâm và sau đó xác định xem cái nào trong số này sẽ trở thành nghĩa vụ ràng buộc đối với họ. Ví dụ, đây có thể là các thỏa thuận với khách hàng, hiệp hội hoặc nhóm cộng đồng, nhưng cũng có thể là các quy tắc ứng xử, tiêu chuẩn ngành hoặc yêu cầu của tổ chức, v.v.

Liên quan đến việc xác định các nghĩa vụ ràng buộc, sự hiểu biết theo ngữ cảnh này là điều kiện tiên quyết để có thể xác định phạm vi của hệ thống quản lý môi trường (EMS). Phạm vi chỉ ra ranh giới không gian và tổ chức của hệ thống quản lý môi trường, để nó vượt xa lĩnh vực (phạm vi) hoạt động của một công ty. Ví dụ, phạm vi được mô tả trên chứng chỉ. Cả hai không nên nhầm lẫn với nhau.

Định nghĩa của phạm vi bao gồm:

• Các vấn đề bên ngoài và bên trong
• Nghĩa vụ ràng buộc
• Các đơn vị tổ chức, chức năng và ranh giới vật lý
• Hoạt động, sản phẩm và dịch vụ
• Quyền hạn và khả năng thực hiện quyền kiểm soát và
• Ảnh hưởng (= các quy trình được thuê ngoài)

Các biện pháp đối phó với rủi ro và cơ hội trong ISO 14001

Theo ISO 14001, các cơ hội và rủi ro phải được xác định cho các lĩnh vực sau để có thể đạt được các kết quả dự kiến, có thể chống lại các tác dụng không mong muốn và có thể đạt được sự cải tiến liên tục:

Rủi ro tồn tại ở bất cứ đâu, trong bất kỳ tổ chức nào và ảnh hưởng trực tiếp tới hệ thống quản lý của tổ chức. Việc xác định và quản lý rủi ro là hoạt động cần được chú trọng. Hãy cùng KNA CERT tìm hiểu về Quy trình đánh giá rủi ro theo ISO 9001:2015.

MỤC ĐÍCH CỦA VIỆC ĐÁNH GIÁ RỦI RO ISO 9001

Đánh giá rủi ro phải được đưa vào hoạt động hàng ngày của tổ chức và phải được thực hiện ở tất cả các cấp trong toàn bộ tổ chức của bạn.

Mục đích tổng thể của đánh giá rủi ro là đảm bảo rằng khả năng và nguồn lực của tổ chức được sử dụng một cách hiệu quả và thích hợp để quản lý các cơ hội và mối đe dọa.

CÁC ĐIỀU KHOẢN ISO 9001:2015 YÊU CẦU QUẢN LÝ RỦI RO

Các yêu cầu giải quyết rủi ro và cơ hội được phản ánh trong nội dung của tiêu chuẩn ISO 9001:2015, bao gồm:

• Điều 4: Tổ chức được yêu cầu xác định các quá trình của mình và giải quyết những rủi ro và cơ hội.
• Điều 5: Lãnh đạo cao nhất cần thúc đẩy tư duy dựa trên rủi ro cũng như xác định và giải quyết các rủi ro và cơ hội có thể ảnh hưởng đến sự phù hợp của sản phẩm/dịch vụ.
• Điều 8: Tổ chức phải lập kế hoạch, thực hiện và kiểm soát các quá trình của mình để quản lý các rủi ro đã xác định.
• Điều 9: Tổ chức được yêu cầu theo dõi, đo lường, phân tích, đánh giá và xem xét tính hiệu lực của các hành động xử lý rủi ro.
• Điều 10 Tổ chức được yêu cầu cải tiến bằng cách ứng phó với những thay đổi về rủi ro.

ƯU ĐIỂM KHI ĐÁNH GIÁ RỦI RO THEO ISO 9001:2015

Rủi ro sẽ ảnh hưởng đến mọi khía cạnh hoạt động của bất kỳ tổ chức nào. Hiểu và quản lý rủi ro mà doanh nghiệp của bạn có thể gặp phải sẽ giúp đưa ra quyết định và chiến lược phát triển tốt hơn. Nó giúp tổ chức của bạn có nhiều khả năng đạt được mục tiêu kinh doanh hơn.

Việc tích hợp quản lý rủi ro vào Hệ thống quản lý chất lượng giúp đảm bảo tính nhất quán và chất lượng của sản phẩm và dịch vụ. Ngoài ra, nó cũng có thể:

• Giúp thiết lập một nền văn hóa chủ động cải tiến
• Tăng tính linh hoạt để ứng phó với các mối đe dọa bất ngờ
• Giúp doanh nghiệp khai thác những cơ hội phù hợp và đạt được lợi thế cạnh tranh
• Nâng cao niềm tin và sự hài lòng của khách hàng
• Cải thiện hiệu suất quản trị
• Cung cấp sự đảm bảo cho ban quản lý và các bên liên quan rằng các rủi ro nghiêm trọng đang được quản lý và giải quyết
• Hỗ trợ kiểm tra chất lượng và sự tuân thủ.

NHỮNG THÔNG TIN CẦN GHI LẠI ĐỂ QUẢN LÝ RỦI RO HIỆU QUẢ

Mặc dù tiêu chuẩn ISO 9001:2015 không yêu cầu duy trì thông tin dạng văn bản về việc xác định rủi ro và cơ hội cũng như đưa ra quyết định về hành động tuy nhiên việc ghi lại thông tin cần thiết sẽ giúp theo dõi, quản lý và đánh giá các rủi ro và cơ hội trở nên dễ dàng hơn.

Những thông tin liên quan đến rủi ro cần được ghi lại bao gồm:

• Mô tả rủi ro
• Phân loại rủi ro (kinh doanh, dự án, giai đoạn)
• Khả năng xảy ra rủi ro
• Mức độ nghiêm trọng của rủi ro
• Các biện pháp được thực hiện để ngăn chặn, giảm thiểu hoặc chuyển giao rủi ro
• Chủ sở hữu rủi ro (cá nhân hoặc bộ phận chịu trách nhiệm quản lý rủi ro)
• Tình trạng hiện tại của rủi ro
• Các giá trị định lượng khác (nếu có thể đo lường được)

QUY TRÌNH ĐÁNH GIÁ RỦI RO THEO ISO 9001:2015

Quy trình đánh giá rủi ro ISO 9001:2015 có thể được thực hiện qua 7 bước như sau:

Bước 1: Lập kế hoạch

Tổ chức của bạn nên phát triển và ghi lại một kế hoạch mô tả ngắn gọn cách thức và thời điểm rủi ro, có thể liệt kê dưới dạng điểm mạnh, điểm yếu, cơ hội và mối đe dọa, sẽ được đánh giá và danh sách nhân sự sẽ tham gia thực hiện kế hoạch này. Kế hoạch phải phản ánh phạm vi (bao gồm mức độ phức tạp, bối cảnh,...), chính sách chất lượng và mục tiêu chất lượng.

Bước 2: Nhận dạng rủi ro

Ở bước này, tổ chức của bạn phải xác định một cách có hệ thống những rủi ro có thể ảnh hưởng đáng kể đến việc đạt được các mục tiêu chất lượng và sự phù hợp của sản phẩm/dịch vụ.

Việc xác định rủi ro phải được thực hiện với sự tham gia đầy đủ của các bên liên quan để không bỏ sót bất kỳ rủi ro nà. Rủi ro không chỉ xuất phát từ mối quan hệ nội bộ trong tổ chức của bạn mà còn đến từ môi trường hoặc cộng đồng bên ngoài rộng hơn.

Để nhận dạng rủi ro một cách toàn diện, doanh nghiệp cần xem xét các vấn đề sau:

• Các cơ hội và mối đe dọa liên quan đến môi trường kinh tế, xã hội, chính trị, văn hóa, môi trường,
• Các quy định và mức độ cạnh tranh của địa phương, khu vực, tiểu bang và toàn cầu
• Yêu cầu của các bên liên quan
• Điểm mạnh và điểm yếu trong việc đạt được mục tiêu chất lượng

Ngoài ra cũng cần xác định rủi ro hoạt động liên quan đến việc đạt được sự hiểu biết về khả năng, mục tiêu, chỉ tiêu, điểm mạnh và điểm yếu của tổ chức bằng cách xem xét:

• Cơ cấu tổ chức
• Văn hóa tổ chức
• Địa lý/nhân khẩu học
• Bản sắc và bản chất của sự tương tác bên trong hoặc bên ngoài với các bên liên quan
• Sự tồn tại của bất kỳ hạn chế hoạt động nào
• Mục tiêu và các chỉ số hiệu suất chính
• Hạn chế khi phục hồi kinh doanh
• Các vấn đề thay đổi gần đây
• Đánh giá hiệu quả hoạt động
• Mối quan tâm hoặc yêu cầu của cộng đồng
• Các yêu cầu và ràng buộc về mặt pháp lý/hợp đồng
• Hệ thống quản lý chất lượng

Bước 3: Đánh giá rủi ro ISO 9001:2015

Sau khi xác định được tất cả các mối nguy hiểm và rủi ro liên quan có thể ảnh hưởng đến chất lượng sản phẩm/dịch vụ, tổ chức cần tiến hành đánh giá mức độ nghiêm trọng của rủi ro.

Quá trình đánh giá này rất quan trọng trong việc xác định các biện pháp kiểm soát nhằm giảm thiểu rủi ro đến mức được cho là có thể chấp nhận được hoặc đáp ứng các yêu cầu, quy định của pháp luật/khách hàng.

Mức độ quan trọng (hay còn gọi là xếp hạng rủi ro) sẽ được sử dụng để ưu tiên các hành động ứng phó. Nếu bạn thực hiện sai quy trình đánh giá rủi ro theo ISO 9001:2015, hiệu quả của hệ thống quản lý chất lượng sẽ bị ảnh hưởng.

Kết quả đánh giá mức độ nghiêm trọng của rủi ro là căn cứ cho việc lập kế hoạch giảm thiểu rủi ro. Tổ chức có thể thực hiện đánh giá rủi ro định lượng (QRA) để nghiên cứu chi tiết hơn về các rủi ro chi phí và thời gian. Đầu ra của QRA cũng có thể hỗ trợ việc ra quyết định và giám sát các hoạt động quản lý rủi ro.

Bước 4: Phản hồi

Đối với mỗi rủi ro đã xác định, chủ sở hữu rủi ro phải thiết lập mức độ giảm thiểu rủi ro phù hợp. Khi cần phải thiết lập ác biện pháp kiểm soát bổ sung cho những biện pháp hiện có để đạt được mức giảm thiểu này.

Sau khi hành động ứng phó được hoàn thành, rủi ro cần được đánh giá lại (tức là lặp lại Bước 3) để phản ánh mọi biện pháp kiểm soát hiện có đã được áp dụng.

Bước 5: Xem xét

Việc xem xét và kiểm tra thường xuyên là cần thiết để đảm bảo rằng rủi ro được quản lý phù hợp và dữ liệu rủi ro vẫn chính xác và đáng tin cậy. Ngoài ra, việc xem xét cũng phản ánh mọi thay đổi trong hoàn cảnh hoặc hoạt động quản lý.

Bước 6: Báo cáo rủi ro

Việc báo cáo thường xuyên là cần thiết để thông báo cho ban lãnh đạo cấp cao và các bên liên quan hác rằng các rủi ro vẫn đang được quản lý một cách thích hợp. Báo cáo phải dựa trên dữ liệu lấy từ quy trình hiện tại. Dữ liệu này phải được cập nhật và xem xét vào thời điểm thích hợp cho chu kỳ báo cáo (như Bước 5 ở trên).

Đôi khi, việc nâng cấp rủi ro lên cấp độ cao hơn để đảm bảo rủi ro đó được đánh giá và/hoặc quản lý bởi người hoặc bên có khả năng tốt nhất để thực hiện việc đó (có khả năng và với thẩm quyền phù hợp) có thể là điều phù hợp. Ví dụ: khi cần có phản hồi quan trọng hoặc phối hợp hơn mức mà chủ sở hữu hiện tại có thể thực hiện hoặc khi mức độ nghiêm trọng của rủi ro hoặc tác động của nó đối với dự án rộng hơn thì cần có sự đánh giá và/hoặc quản lý ở cấp độ cao hơn.

Bước 7: Giám sát rủi ro

Tổ chức cần thực hiện giám sát chính thức một cách có hệ thống và liên tục quy trình quản lý rủi ro ISO 9001:2015. Kết quả đầu ra sẽ được công bố dựa trên các chỉ số hiệu suất phù hợp để đảm bảo tính tuân thủ và hiệu quả của quy trình. Việc giám sát có thể được thực hiện dưới nhiều hình thức và phạm vi khác nhau, từ tự đánh giá và đánh giá nội bộ đến đánh giá chi tiết của các chuyên gia độc lập bên ngoài.

BIỂU MẪU ĐÁNH GIÁ RỦI RO ISO 9001:2015

Dưới đây là ví dụ về bảng tính mức độ nghiêm trọng của rủi ro:

Rủi ro Khả năng xảy ra Mức độ ảnh hưởng Mức độ nghiêm trọng của rủi ro Mức độ ưu tiên A 5 4 20 1 B 4 4 16 2 C 3 4 12 3 D 2 3 6 4 E 1 2 2 5

Cần xem xét mức độ nghiêm trọng của rủi ro để tập trung nguồn lực. Ví dụ:

• Mức độ nghiêm trọng tư 1 đến 2: Không xem xét
• Mức độ nghiêm trọng từ 3 đến 6: Xem xét 1 năm/lần
• Mức độ nghiêm trọng từ 5 đến 9: Xem xét 6 tháng/lần
• Mức độ nghiêm trọng từ 10 đến 16: Tập trung nguồn lực sau mức ưu tiên
• Mức độ nghiêm trọng từ 20 đến 25: Xem xét và tập trung nguồn lực ngay lập tức

ĐÀO TẠO ĐÁNH GIÁ RỦI RO ISO 9001:2015

Nếu doanh nghiệp đang gặp khó khăn trong quy trình đánh giá rủi ro, KNA CERT cung cấp khóa đào tạo đánh giá rủi ro theo ISO 9001:2015. Với đội ngũ chuyên gia có năng lực chuyên môn cao và giàu kinh nghiệm, KNA sẽ giúp doanh nghiệp xác định và đánh giá rủi ro trong ISO 9001:2015 một cách hiệu quả và đáng tin cậy.