Quản Trị 24h

Hướng dẫn đánh giá cho: Tư Duy Dựa trên rủi ro của ủy ban TC 176 (ISO 9001)

ISO 9001 Auditing Practices Group

Guidance on: Risk Based Thinking

Nhóm Thực hành đánh giá ISO 9001:

Hướng dẫn cho: Tư Duy Dựa trên rủi ro

Risk has been always implicit and addressed in ISO 9001. Many of its requirements, are aimed to prevent risks, therefore risk and ISO 9001 is not a new combination. Previous editions of ISO 9001 included a clause on preventive action, which aimed to prevent the occurrence of nonconformities.

ISO 9001 specifies requirements for the organization to understand its context and determine risks as a basis for planning. Risk based thinking considers both risks and opportunities.

Rủi ro thường tiềm ẩn và được giải quyết trong ISO 9001. Nhiều yêu cầu của tiêu chuẩn nhằm ngăn ngừa rủi ro, do đó rủi ro và ISO 9001 không phải là sự kết hợp mới. Các phiên bản trước của ISO 9001 bao gồm một điều khoản về hành động phòng ngừa, nhằm mục đích ngăn ngừa sự không phù hợp xảy ra.

ISO 9001 yêu cầu cụ thể cho tổ chức nhằm hiểu bối cảnh của tổ chức và xác định rủi ro làm cơ sở cho việc hoạch định. Tư duy dựa trên rủi ro xem xét cả hai mặt rủi ro và cơ hội.

The Introduction and Annex A of ISO 9001:2015 provide an explanation on risk based thinking, including clarification on risk and opportunity concepts. More comprehensive information can be found in Risk based thinking paper at www.iso.org/tc176/sc02/public.

An audit of risk-based thinking in an organization cannot be performed as a stand-alone activity. It should be implicit during the entire audit of a QMS, including when interviewing top management. An auditor should act in accordance with the following steps and collect objective evidence as follows:

– What inputs are used by the organization for risk and opportunity determination? These inputs should include the following:

Phần giới thiệu và Phụ lục A của ISO 9001: 2015 cung cấp giải thích về tư duy dựa trên rủi ro, bao gồm việc làm rõ các khái niệm rủi ro và cơ hội. Thông tin toàn diện hơn có thể được tìm thấy trong bài báo về Tư duy dựa trên rủi ro tại www.iso.org/tc176/sc02/public.

Đánh giá về tư duy dựa trên rủi ro trong một tổ chức không thể được thực hiện như một hoạt động độc lập. Nó phải được ngầm hiểu trong toàn bộ quá trình đánh giá QMS, bao gồm cả khi phỏng vấn lãnh đạo cao nhất. Đánh giá viên cần hành động theo các bước sau đây và thu thập bằng chứng khách quan như sau:

– Tổ chức sử dụng những yếu tố đầu vào nào để xác định rủi ro và cơ hội? Những đầu vào này phải bao gồm những điều sau:

  • analysis of external and internal issues
  • the strategic direction of the organization.
  • interested parties, related to its QMS, and their requirements, also related to the QMS.
  • the scope of QMS of the organization.
  • the processes of the organization.
  • phân tích các vấn đề nội bộ và bên ngoài;
  • định hướng chiến lược của tổ chức.
  • các bên quan tâm, liên quan đến Hệ thống quản lý chất lượng và các yêu cầu của họ, cũng liên quan đến Hệ thống quản lý chất lượng.
  • phạm vi QMS của tổ chức.
  • các quá trình của tổ chức.

– The auditor should note that the organization has to determine the extent of documented information needed to provide objective evidence of the application of risk based thinking. There is no specific requirement in ISO 9001:2015 on how to document the results of determinations of risks and opportunities.

– An organization’s needs for, and the extent and type of, documented information will vary greatly due to the context of the organization, its size, culture, nature of products and services, applicable statutory and regulatory requirements, or customer requirements regarding the risks on products, etc.

– How can an organization determine its risks and opportunities, while considering the above? Objective evidence could be in various forms, for example:

– Đánh giá viên cần lưu ý rằng tổ chức phải xác định mức độ thông tin dạng văn bản cần thiết để cung cấp bằng chứng khách quan về việc áp dụng tư duy dựa trên rủi ro. Không có yêu cầu cụ thể nào trong ISO 9001: 2015 về cách thức lập hồ sơ kết quả xác định rủi ro và cơ hội.

– Các nhu cầu của tổ chức cho, mức độ và loại thông tin dạng văn bản sẽ khác nhau rất nhiều do bối cảnh của tổ chức, quy mô, văn hóa, bản chất của sản phẩm và dịch vụ, các yêu cầu luật định và quy định hiện hành hoặc các yêu cầu của khách hàng về các rủi ro trên sản phẩm, v.v.

– Làm thế nào một tổ chức có thể xác định rủi ro và cơ hội của mình, trong khi xem xét những điều trên? Bằng chứng khách quan có thể ở nhiều dạng khác nhau, ví dụ:

  • Meeting minutes
  • SWOT analysis
  • Reports on customer feedback.
  • Brain-storming activities
  • Competitor analysis.
  • Planning, analysis and evaluation activities related to several processes, e.g. strategic planning, design and development, marketing, production and service provision, corrective actions, …
  • Management review
  • Risk determination or evaluation records, if determined applicable or needed by the organization,
  •  etc.
  • BIên bản họp;
  • Phân tích SWOT;
  • Báo cáo phản hồi khách hàng;
  • Hoạt động Brain-storming;
  • Hoạch định, Phân tích và đánh giá các hoạt động liên quan đến các quá trình, ví du: hoạch định chiến lược, thiết kế và phát triển, tiếp thị, sản xuất và cung cấp dịch vụ, hành động khắc phục, …
  • Xem xét lãnh đạo;
  • Xác định rủi ro hoặc đánh giá hồ sơ, nếu được tổ chức xác định là có thể áp dụng hoặc cần thiết,
  •  v..
– How can an organization address its determined risks and opportunities? The actions needed to be taken can be in different forms, for example: – Làm thế nào một tổ chức có thể giải quyết các rủi ro và cơ hội đã xác định của mình? Các hành động cần thực hiện có thể ở các dạng khác nhau, ví dụ:
  • The revision of old, or the setting of new, objectives.
  • Action plans.
  • On the job training
  • Work instructions
  • Improvement targets and projects, etc.
  • Việc sửa đổi các mục tiêu cũ hoặc thiết lập các mục tiêu mới.
  • Các kế hoạch hành động.
  • Đào tạo về công việc
  • Hướng dẫn công việc
  • Các chỉ tiêu và dự án cải tiến, v.v.
– Does the organization evaluate the effectiveness of above mentioned actions? The auditor should confirm if internal audits and performance evaluation activities take into account the effective application of risk based thinking. – Tổ chức có đánh giá hiệu quả của các hành động nêu trên không? Đánh giá viên cần xác nhận xem đánh giá nội bộ và các hoạt động đánh giá kết quả hoạt động có tính đến việc áp dụng hiệu quả tư duy dựa trên rủi ro hay không.

Biên Dịch: Nguyễn Hoàng Em

Link:

https://committee.iso.org/files/live/sites/tc176/files/documents/ISO%209001%20Auditing%20Practices%20Group%20docs/Auditing%20to%20ISO%209001%202015/APG-RiskBasedThinking2015.pdf