Dragutin Vuković DRAGUTIN VUKOVIĆ KING ICT d.o.o., Zagreb drago.vukovic@king-ict.hr
SUSTAV UPRAVLJANJA KVALITETOM TEMELJEN NA RIZICIMA JESMO LI MORALI ČEKATI ISO 9001:2015?
Stručni rad / Professional paper Sažetak Norma ISO 9001:2015 donosi zahtjev procjene, odnosno upravljanja rizicima u sustave upravljanja kvalitetom. Mnogi menadžeri kvalitete pitaju se kako uvesti upravljanje rizicima u sustav upravljanja kvalitetom. Možda bi prije odgovora na to pitanje trebali potražiti odgovor na ovo pitanje: „Zašto to već ne činimo?“ U ovom radu propituju se razlozi za primjenu razmišljanja temeljenog na rizicima u upravljaju kvalitetom, razmatraju mogući pristupi i nastoji definirati radni okvir za uspostavljanje upravljanja kvalitetom temeljenog na rizicima. Ključne riječi: upravljanje kvalitetom, razmišljanje temeljeno na rizicima, ISO 9001:2015, upravljanje rizicima, rizik
1. UVOD Čak i prije pojave nacrta nove revizije norme ISO 9001:2015 [1], u kojem su predloženi zahtjevi za procjenu rizika u sustavima upravljanja kvalitetom, bilo je dosta razgovora o tome kakva procjena rizika je potrebna u sustavima upravljanja kvalitetom, kada bi ju trebalo raditi i kako to učiniti. Neki menadžeri kvalitete o tome su počeli razmišljati tek s najavom revizije norme za 2015. No brojni drugi su već i prije našli prikladnim uključiti upravljanje rizicima u svoje sustave upravljanja kvalitetom. Temelje ove razlike u pristupu i opsegu uključenja opravljanja rizicima u sustav upravljanja kvalitetom vidimo ponajviše u odnosu cijele organizacije prema razmišljanju temeljenom na rizicima, kao i mjeri u kojoj je praksa upravljanja rizicima usvojena u poslovanju i procesima organizacije. U sada važećoj reviziji norme ISO 9001:2008 nema formalnog zahtjeva za procjenu rizika; međutim, oni koji su imali potrebu primijeniti normu AS9100 [2] (koja je ISO 9001:2008 s nekim dodatnim zahtjevima) već su se susreli s formalnim zahtjevom za procjenu rizika. ISO 9001:2015, iako još nije formalno usvojen, u revizijskoj je fazi u kojoj više nema suštinskih promjena tako da je uključenje formalnih zahtjeva za procjenu rizika izvjesno, čime će se ova norma poravnati s ostalim normama koji se već zasnivaju na procjeni i upravljanju rizicima, kao što su ISO 14001 [3], ISO 27001 [4] i OHSAS 18001 [5]. Pripremajući se za dolazak nove revizije ISO 9001:2015, korisno je razmišljati o tome kako i gdje već sada u upravljanje kvalitetom uključiti procjenu i upravljanje rizicima, čime ćemo usklađivanje s novom normom učiniti jednostavnijim i lakšim, a planiranje kvalitetnijim. 2. UPRAVLJANJE RIZICIMA I NORME NIZA ISO 9000 Sadašnja važeća revizija norme ISO 9001 objavljena je krajem 2008. godine. U njoj je po prvi puta izrijekom naglašeno da pri razvoju sustava upravljanja kvalitetom moraju uzeti u obzir okoliš u kojem organizacija djeluje, promjene u tom okolišu i rizici povezani s tim okolišem.
15. HRVATSKA KONFERENCIJA O KVALITETI 6. znanstveni skup Hrvatskog društva za kvalitetu 07. - 09. svibnja 2015. Primošten, Hrvatska
- 253 -
Dragutin Vuković Zatim se navodi da ISO 9001 ne postavlja zahtjeve u vezi s drugim vrstama upravljanja, posebice upravljanja okolišem, upravljanja zdravljem i sigurnošću, financijskim upravljanjem ili upravljanjem rizicima [6]. Zaista, u ISO 9001:2008 [7] ne možemo nigdje naći izričite reference o upravljanju rizicima – identifikaciji, analizi, vrednovanju, akcijama za umanjivanje ili otklanjanje, i slično. Međutim, pažljivijim proučavanjem norme pronalazimo na više mjesta da se norma ISO 9001 neizravno referencira na neke situacije iz upravljanja rizicima. Primjeri zahtjeva norme ISO 9001:2008 koji su neizravno povezani s procjenom i upravljanjem rizicima sabrani su u Tabeli 1. Tabela 1: Primjeri zahtjeva ISO 9001:2008 neizravno povezani s rizicima Točka ISO 9001:2008 5.6 Management review 5.6.1 General
5.6.2 Review input
6.2 Human Resources
6.3 Infrastructure
7.2.2 Review of requirements related to the product
7.3.7 Control of design and development changes
7.4 Purchasing
7.5. Production and service provision
8.2.1 Customer satisfaction
8.2.2 Internal audit
Zahtjev / Komentar This review shall include assessing opportunities for improvement and the need for changes to the quality management system, including the quality policy and quality objectives. / Razmatranjem prilika za poboljšanja tražimo prikladne mjere za umanjenje rizika smanjenja kvalitete. f) Changes that could affect the quality management system / Promjene koje mogu nepovoljno utjecati na sustav upravljanja kvalitetom predstavljaju rizike pa njihovo razmatranje pri upravinoj ocjeni čini dio upravljanja rizicima. Personnel performing work affecting conformity to product requirements shall be competent on the basis of appropriate education, training, skills and experience. / Zadovoljavanjem ovih zahtjeva kako bi se osigurala potrebna kompetentnost, možemo upravljati rizicima vezanim uz ljudske resurse. The organization shall determine, provide and maintain the infrastructure needed to achieve conformity to product requirements. / Pribavljanjem i održavanjem infrastruktura (npr. zgrada, opreme, informacijskih sustava) potrebnih za postizanje sukladnosti sa zahtjevima za proizvod, utječemo na smanjenje rizika povezanih s infrastrukturom. The organization shall review the requirements related to the product. / Zahtjev pregleda ugovora prije potpisivanja, uključujući utvrđivanje sposobnosti organizacije za ispunjenje zahtjeva, značajno umanjuje rizik kasnijeg neispunjavanja ugovornih obaveza. The review of design and development changes shall include evaluation of the effect of the changes on constituent parts and product already delivered. / Procjena utjecaja razvojnih promjena na sastavne dijelove i proizvode već isporučene kupcu, smanjuje rizik od naknadnih dorada i prepravki prije isporučenih proizvoda. The organization shall evaluate and select suppliers based on their ability to supply product in accordance with the organization's requirements. Criteria for selection, evaluation and re-evaluation shall be established. / Utvrđivanje kriterija za ocjenjivanje dobavljača i njihovo sustavno ocjenjivanje umanjuje rizike povezane s aktivnostima dobavljača i partnera. The organization shall plan and carry out production and service provision under controlled conditions … / Pribavljanje kontroliranih uvjeta za proizvodnju (npr. raspoloživost potrebnih informacija, radne upute, oprema, mjerni i ispitni uređaji) značajno umanjuje rizike isporuke nesukladnih proizvoda. … the organization shall monitor information relating to customer perception as to whether the organization has met customer requirements. / Praćenje informacija u vezi s percepcijom kupaca je li organizacija zadovoljila njihove zahtjeve važan je element za identificiranje rizika nezadovoljstva kupca, time i rizika po ugled organizacije i, posljedično, smanjenja tržišnog udjela. The organization shall conduct internal audits at planned intervals / Interni auditi pomažu u identificiranju operativnih rizika u vezi s kvalitetom.
15. HRVATSKA KONFERENCIJA O KVALITETI 6. znanstveni skup Hrvatskog društva za kvalitetu 07. - 09. svibnja 2015. Primošten, Hrvatska
- 254 -
Dragutin Vuković 8.5.3 Preventive action
The organization shall determine action to eliminate the causes of potential nonconformities in order to prevent their occurrence. Preventive actions shall be appropriate to the effects of the potential problems / Postupak upravljanja preventivnim radnjama najbliži je postupku upravljanja rizicima: zahtijeva se identifikacija rizika (causes of potential nonconformities) kako bi se spriječilo njihovo događanje. Mjere za umanjivanje rizika (preventive actions) trebaju biti u skladu s veličinom rizika (appropriate to the effects of the potential problems).
Upravljanje rizicima još je jače sugerirano u normi ISO 9004:2009 [8]. Primjere takvih zahtjeva prikazuje Tabela 2. Tabela 1: Primjeri preporuka ISO 9004:2009 neizravno povezanih s rizicima Točka ISO 2004:2009 4.2 Sustained success
5.2 Strategy and policy formulation
5.3 Strategy and policy deployment
6.1 (Resource Management) General
6.4.2 Selection, evaluation and improvement of the capabilities of suppliers and partners 6.5 Infrastructure
6.7.1 (Knowledge, information and technology) General
6.8 Natural resources
7.2 Process planning and control
Zahtjev / Komentar An organization's environment is ever-changing and uncertain, and to achieve sustained success its top management should ... identify associated short and long-term risks and deploy an overall strategy for the organization to mitigate them, ... / Poslovni okoliš organizacije je uvijek promjenjiv i nesiguran. Da bi postigla održivu uspješnost organizacija mora stalno pratiti i redovito analizirati svoj okoliš kako bi identificirala potencijalne rizike. The formulation of an organization's strategy should also consider activities such as analyses of customer or regulatory demands, its products, its strengths, weaknesses, opportunities, and threats. / Formuliranje strategije organizacije treba zasnivati na analizi potražnje, proizvoda, rizika i prilika. To implement a strategy and policies for sustained success, the organization should establish and maintain processes and practices that ... evaluate strategic risks and define adequate counter measures ... / Kako bi strategija i politike postale djelotvorne, organizacija koja želi postići održivu uspješnost mora uspostaviti i održavati proces procjenjivanja strateških rizika. To ensure the availability of the resources for future activities, the organization should identify and assess the risks of potential scarcity / Da bi osigurala raspoloživost resursa za buduće aktivnosti organizacija mora identificirati i ocijeniti rizike njihove moguće nestašice. In selecting and evaluating suppliers and partners, the organization should consider issues such as ... the risks associated in the relationships with the suppliers and partners. / U odabiru i vrednovanju partnera, te stalnom poboljšavanju njihove sposobnosti, organizacija bi trebala razmotriti pitanja kao što su rizici povezani s partnerskim odnosima. The organization should identify and assess the risks associated with the infrastructure and take action to mitigate the risks, including the establishment of adequate contingency plans. / Organizacija bi trebala identificirati i procijeniti rizike povezane s infrastrukturom i poduzeti mjere za njihovo umanjenje ili otklanjanje. The organization should establish and maintain processes to manage knowledge, information and technology as essential resources. The processes should address how to identify, obtain, maintain, protect, use and evaluate the need for these resources. / Organizacija bi trebala uspostaviti proces procjenjivanja rizika povezanih s tehnološkim promjenama. The organization should consider the risks and opportunities related to the availability and use of energy and natural resources in the short and long term. / Organizacija bi trebala razmotriti rizike i prilike u vezi s raspoloživošću i iskorištavanjem prirodnih bogatstava (voda, nafta, minerali, sirovine … ) kako kratkoročno tako i dugoročno. In the planning and control of processes, consideration should be given to ... potential financial and other risks ... / Pri planiranju procesa organizacija bi trebala obratiti pažnju na moguće financijske i druge rizike.
15. HRVATSKA KONFERENCIJA O KVALITETI 6. znanstveni skup Hrvatskog društva za kvalitetu 07. - 09. svibnja 2015. Primošten, Hrvatska
- 255 -
Dragutin Vuković 8.1 (Monitoring, measurement, analysis and review) General
8.3.1 (Measurement) General
8.3.2 Key performance indicators 8.3.3 Internal audit
8.4 Analysis
9.3.5 (Innovation) Risks
To achieve sustained success in an ever-changing and uncertain environment, it is necessary for the organization to regularly monitor, measure, analyse and review its performance. / Da bi postigla održivu uspješnost u stalno promjenjivom i nesigurnom okolišu, organizacija mora pratiti i redovito analizirati svoj okoliš radi identifikacije potencijalnih rizika. The methods used for collecting information regarding key performance indicators should be practicable and appropriate to the organization. Typical examples include ⎯ risk assessments and risk controls, / Metode prikupljanja podataka u vezi s ključnim pokazateljima uspješnosti trebaju biti primjenjive i prikladne za organizaciju, tj. primjerene procijenjenim rizicima i mjerama. Specific information relating to risks and opportunities should be considered when selecting the KPIs. / Prilikom odabira ključnih pokazatelja uspješnosti valja razmotriti specifične informacije o rizicima i prilikama. Internal auditing is an effective tool for identifying problems, risks and nonconformities / Interni audit može biti djelotvoran proces za identificiranje problema, rizika i nesukladnosti, koji će se naknadno podvrgnuti analizi uzroka. Top management should analyse information gathered from monitoring the organization's environment, identify risks and opportunities, and establish plans to manage them. / Organizacija bi trebala analizirati svoj okoliš, identificirati rizike i prilike te uspostaviti planove za upravljanje njima. The organization should assess the risks related to planned innovation activities, including giving consideration to the potential impact on the organization of changes, and prepare preventive actions to mitigate those risks, including contingency plans, where necessary. / Organizacija bi trebala ocijeniti rizike povezane s aktivnostima inovacija i pripremiti preventivne radnje radi otklanjanja ili umanjivanja rizika, uključujući planove oporavka.
Kako je vidljivo iz primjera u tabelama, brojna su mjesta na kojima sustav upravljanja kvalitetom može imati koristi od upravljanja rizicima. Organizacije koje su implementirale sustave upravljanja temeljene na normama ISO 14001, ISO 27001 ili OHSAS 18001, imaju iskustva u upravljanju rizicima u okviru ovih sustava. Stoga se samo možemo pitati – zašto ne koristiti prednosti pristupa zasnovanog na rizicima i u upravljanju kvalitetom, pogotovo ako možemo uspostaviti prikladan proces upravljanja rizicima kao integrativni element za sve sustave upravljanja.
3. NORME I RADNI OKVIRI ZA UPRAVLJANJE RIZICIMA Sadašnji nacrt norme ISO 9001:2015, iako postavlja zahtjeve procjene rizika, ne zahtijeva postojanje formalnog sustava upravljanja rizicima, što je jasno formulirano: “Although risks have to be identified and acted upon there is no requirement for formal risk management.” Stoga ni i u novoj reviziji norme ne možemo očekivati specifične upute kako provesti procjenu rizika i upravljati njima. Ima mnogo različitih načina kako provesti procjenu rizika i, ukoliko to kupci i klijenti ne specificiraju, organizaciji je na volju odabrati metode i radne okvire za procjenu i upravljanje rizicima. U ovom poglavlju se daje pregled šest široko primjenjivanih normi, preporuka i najboljih praksi za upravljanje rizicima, primjenjivih kao radni okvir za upravljanje rizicima u sustavu upravljanja kvalitetom. U kontekstu ovog rada pojam radni okvir tumačimo kao a) strukturu za podršku strateških i operativnih ciljeva organizacije i b) sustav ili grupu međusobno povezanih, međudjelujućih ili nezavisnih elemenata kao što su ideje, načela, metode i postupci, a koji zajedno čine složenu cjelinu.
15. HRVATSKA KONFERENCIJA O KVALITETI 6. znanstveni skup Hrvatskog društva za kvalitetu 07. - 09. svibnja 2015. Primošten, Hrvatska
- 256 -
Dragutin Vuković Odabrani skup normi i preporuka prikazan je Tabelom 3. Odabrane su prema kriteriju generičnosti, to jest mogućnosti prilagođavanja potrebama raznih organizacija i primjena. Tabela 3: Norme upravljanja rizicima Izdavač ISO OCEG BSI COSO FERMA SAE
Norma, preporuka, najbolja praksa ISO 31000:2009 Risk management -- Principles and guidelines OCEG “Red Book” 2.1:2012 Governance, Risk and Compliance Capability Model ™ BS 31100: 2008 Code of Practice for Risk Management COSO:2004 Enterprise Risk Management - Integrated Framework FERMA:2002 A Risk Management Standard SOLVENCY II:2012 Risk Management for the Insurance Industry
3.1 ISO 31000:2009 ISO 31000 Risk Management Principles and Guidelines [9] nastao je na osnovi norme AS/NZS 4360 (Australija / Novi Zeland), uz doprinose iz Francuske, Švicarske i Brazila. Terminologija ove norme osvježena je kroz ISO Guide 73:2009 Risk Management – Vocabulary [10]. Pri implementaciji ova dva dokumenta treba primijeniti zajedno. Kao vodič pri implementaciji može se koristiti ISO/TR 31004:2013 Risk management -- Guidance for the implementation of ISO 31000 [11], australski AS/NZS HB 436, ili kanadski CSA Q850. Dokument ISO/IEC 31010 Risk Assessment Techniques [12] daje široki spektar alata za različite procjene rizika. ISO 31000 ne bavi se samo procesom. Norma je strukturirana u načela, petodijelni radni okvir i proces. Nije dizajniran da osigura povjerenje u primijenjene kontrole, usmjerava se na akcije poduzete nad identificiranim rizicima kako bi troškovno učinkovito poboljšala performanse organizacije. Daje osnovnu disciplinu odlučivanja u vezi s rizicima i pomaže organizacijama postići očekivane ishode. ISO 31000 nije specifična za bilo koju industriju, vrstu ili veličinu organizacije, to je univerzalna norma koja se može prilagoditi specifičnim potrebama i strukturama organizacije. Rizik definira kao 'djelovanje neizvjesnosti na ciljeve'. Univerzalno primjenjiv u svojoj prilagodljivosti i jednostavnosti, ISO 31000 je možda najprimjereniji brzo promjenjivim organizacijama, onima s ograničenim resursima za implementaciju, kao i onima koje traže veću fleksibilnost u upravljanju strateškim i operativnim rizicima. 3.2 OCEG “Red Book” 2.1:2012 Open Compliance and Ethics Group (OCEG) sebe opisuje kao „ … neprofitni think tank koji pomaže organizacijama u postizanju uspješnosti temeljene na načelima, opskrbljujući ih normama, alatima i resursima koji unapređuju korporativnu kulturu i integriraju vladanje, upravljanje rizicima, regulatornu usklađenost, internu kontrolu i etičke procese“. U integriranju i poravnavanju vladanja organizacijom, upravljanja rizicima i regulatorne usklađenosti (GRC, governance, risk and compliance) OCEG opisuje svoj radni okvir za uspješnost temeljenu na načelima u dva dijela: Crvena knjiga (Red Book) [13] koja sadrži pregled načela GRC modela sposobnosti, i Burgundska knjiga (Burgundy Book) [14] koja sadrži postupke i kriterije procjene za podršku upravljanju i vrednovanju GRC sustava. Fokusira se na primjenu GRC metoda kojima organizacija uspostavlja granice i ostaje unutar tih granica dok se kreće prema financijskim i nefinancijskim ciljevima.
15. HRVATSKA KONFERENCIJA O KVALITETI 6. znanstveni skup Hrvatskog društva za kvalitetu 07. - 09. svibnja 2015. Primošten, Hrvatska
- 257 -
Dragutin Vuković Pristup je iscrpan i donekle propisujući u identificiranju odgovornosti, kao i dijelova organizacije i procesa koji trebaju biti uključeni u GRC model. Podrazumijeva izvjesne univerzalne ishode: postizanje poslovnih ciljeva; obogaćenje organizacijske kulture, povećanje povjerenja dionika, priprema i zaštita organizacije, prevencija, detekcija i redukcija nedaća; motivacija i inspiracija željenog ponašanja; poboljšanje u odzivu i učinkovitosti; optimiranje gospodarskih i društvenih vrijednosti. Crvena knjiga definira rizik kao mjeru izvjesnosti da se dogodi nešto što će utjecati na postizanje ciljeva, ponajprije, ali ne i isključivo, nepovoljan utjecaj. 3.3 BS 31100:2008 BSI Grupa, poznata na domaćem tržištu i kao British Standards Institute (BSI) je nacionalno tijelu za normizaciju u Ujedinjenom kraljevstvu i međunarodni pružatelj usluga proizvodnje i prodaje normi kao i drugih usluga povezanih s normizacijom. BS 31100:2008 Code of Practice for Risk Management [15] je generička norma za upravljanje rizicima koja daje podlogu za razumijevanje, razvoj, implementaciju i održavanje djelotvornog upravljanja rizicima u cijeloj organizaciji, radi pojačavanja izvjesnosti uspjeha postizanja ciljeva organizacije. Sadrži skup temeljnih načela upravljanja rizicima primjenjivih na bilo koju organizaciju, ali način kako će se ta načela implementirati razlikovat će se od organizacije do organizacije, ovisno o veličini, složenosti i kontekstu. BS 31100 je usklađen s općim preporukama upravljanja rizicima danim u ISO 31000 ali također uključuje i neke preporuke iz HM Treasury’s Orange Book, Management of Risk: Guidance for Practitioners, kao i iz nekih drugih dokumenata koji se navode u uvodu norme. BS 31100 namijenjen je za upotrebu svima koji imaju odgovornosti za: osiguranje da organizacije postigne svoje ciljeve; osiguranje da se rizicima upravlja proaktivno u specifičnim područjima i aktivnostima; nadgledanje upravljanja rizicima u organizaciji; dokazivanje učinkovitosti upravljanja rizicima u organizaciji; izvještavanje dionika kroz godišnja financijska izvješća, izviješća uprave ili izvješća o društveno odgovornom poslovanju. 3.4 COSO:2004 Committee of Sponsoring Organizations (COSO) je dobrovoljna organizacija u privatnom sektoru koja se sastoji od različitih profesionalnih udruženja uključujući American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), Association for Accountants and Financial Professionals in Business (IMA) i Institute of Internal Auditors (IIA). COSO sebe opisuje kao „…posvećenu vođenju izvršne uprave i tijela vlasti prema uspostavljanja uspješnijih, učinkovitijih i etičnih poslovnih operacija na globalnoj razini“. Ciljevi COSO su poboljšanje uspješnosti organizacija kroz integraciju strategije, rizika, kontrole i upravljanja. COSO zagovara stav da organizacije trebaju implementirati upravljanje rizicima na razini poduzeća (ERM, enterprise risk management) kako bi bolje povezali nadzor nad rizicima sa stvaranjem i zaštitom vrijednosti za dionike. ERM je proces koji daje robustan i holistički pogled na ključne rizike s kojima se suočava organizacija. Kao pomoć upravama organizacija u razumijevanju kritičnih elemenata ERM, COSO je 2004. godine objavila Enterprise Risk Management - Integrated Framework [16], gdje je ERM definiran ovako: „ERM je proces, pod utjecajem upravnih odbora, menadžmenta i drugih osoba, primijenjen u strateškom okruženju kroz cijelo poduzeće, oblikovan za identificiranje potencijalnih događaja koji mogu utjecati na organizaciju, i upravljati rizicima tako da budu unutar apetita za rizike, radi pružanja razumne uvjerenosti u postizanje ciljeva.“
15. HRVATSKA KONFERENCIJA O KVALITETI 6. znanstveni skup Hrvatskog društva za kvalitetu 07. - 09. svibnja 2015. Primošten, Hrvatska
- 258 -
Dragutin Vuković COSO Enterprise Risk Management – Integrated Framework ističe četiri područja koja pomažu upravama ostvariti nadzor nad upravljanjem rizicima na razini poduzeća: razumijevanje filozofije rizika i slaganje s apetitom za rizike u organizaciji; poznavanje dosega uspostavljanja učinkovitog upravljanja rizicima u organizaciji; ocjenjivanje portfelja rizika i njegovo razmatranje u odnosu na apetit za rizike; ocjenjivanje najznačajnijih rizika i primjerenosti odziva menadžmenta na te rizike. Priznajući da njihov radni okvir možda nije primjenjiv za sve organizacije, COSO ipak vjeruje da, pošto je njihov radni okvir zasnovan na identificiranim vodećim praksama te dosljednoj terminologiji i pristupu, može biti uspješno primijenjen u mnogim organizacijama radi postizanja strateških ciljeva. 3.5 FERMA: 2002 FERMA:2002 A Risk Management Standard [17] je norma usvojena od saveza europskih udruga za upravljanje rizicima (FERMA, Federation of European Risk Management Associations). Kreirao ju je tim sastavljen od predstavnika najznačajnijih organizacija za upravljanje rizicima iz Ujedinjenog kraljevstva: Institute of Risk Management (IRM); Association of Insurance and Risk Managers (AIRMIC); National Forum for Risk Management in the Public Sector (ALARM). Norma uspostavlja proces koji počinje utvrđivanjem općih ciljeva i namjera organizacije, preko identifikacije, vrednovanja i ublažavanje rizika, do prijenosa nekih rizika na osiguravatelja. FERMA:2002 usvaja definiciju rizika kao „…kombinaciju vjerojatnosti događaja i njegovih posljedica.“ Norma naglašava da u okolnostima povezanim s rizikom uvijek ima prilika za probitak (upside risk), kao i prijetnji uspjehu (downside risk). Upravljanje tim prilikama i prijetnjama opisuje se kao ključni dio strateškog planiranja organizacije. Upravljanje rizicima opisuje se kao metodičan proces identificiranja svih rizika za postizanje ciljeva organizacije, te zatim tretiranja tih rizika mjerama koje dodaju maksimalnu održivu vrijednost za organizaciju. Pošto je proces upravljanja rizicima usmjeren na cijelu organizaciju, mora biti implementiran kao dio organizacijske kulture. To uključuje dodjeljivanje odgovornosti za upravljanje rizicima kao dijela opisa poslova zaposlenika kako bi se promovirala operativna učinkovitost na svim razinama. Stvarni proces upravljanja rizicima u FERMA:2002 vrlo je sličan procesu opisanom u ISO 31000. FERMA:2002 pruža pojednostavnjeni okvir za analizu rizika, jednako downside i upside, pogodan za organiziranje i kategoriziranje rizika prema vjerojatnosti događanja i posljedicama. Te se informacije onda mogu koristiti za vrednovanje značaja rizika po organizaciju te odlučivanje koje mjere za tretiranje rizika će se primijeniti. Slično kao ISO 31000 i COSO:2004, norma FERMA:2002 naglašava važnost nadzornog procesa u upravljanju rizicima kao alata za stalno poboljšavanje. Specifično za ovu normu je uključivanje redovitih prosudbi usklađenosti s politikama i normama upravljanja rizicima, osiguranje da su prikladne mjere za tretiranje rizika primijenjene, da su postupci upravljanja rizicima jasni i primjenjivani, kako bi se utvrdilo jesu li namjeravani rezultati zaista i ostvareni. 3.6 SOLVENCY II:2012 Hrvatski ured za osiguranje opisuje SOLVENCY II kao „…novi zakonodavni i regulatorni okvir ukupnog poslovanja društava za osiguranje i društava za reosiguranje u Europskoj uniji. Ključne promjene odnose se na nova pravila solventnosti i upravljanja rizikom, što se često podrazumijeva pod pojmom Solvency II. Solvency II sustav zakonodavnih i regulatornih odredbi trebao bi prepoznavati i vrednovati sve rizike kojima je društvo za osiguranje i
15. HRVATSKA KONFERENCIJA O KVALITETI 6. znanstveni skup Hrvatskog društva za kvalitetu 07. - 09. svibnja 2015. Primošten, Hrvatska
- 259 -
Dragutin Vuković društvo za reosiguranje izloženo, poticati društvo na cjelovito upravljanje rizicima, unaprijediti odnos s nadzornim tijelom te povećati otvorenost poslovanja svim sudionicima. Temeljni ciljevi Solvency II su zaštita osiguranika, postavljanje granice solventnosti koja će predstavljati ukupnu izloženost svim rizicima, anticipiranje tržišnih promjena, utemeljenost na principima, a ne na strogim pravilima te održavanje financijske stabilnosti i izbjegavanje procikličnosti regulatornih odredbi. Solvency II je nastavak „nove regulacije“ koja je započela uvođenjem Basela II, novih pravila mjerenja kapitalnih zahtjeva banaka. Kroz Solvency II isti principi i organizacija regulacije uvode se i u poslovanje osiguratelja i reosiguratelja.“ [18] SOLVENCY II:2012 [19] iscrtava ekonomska načela za mjerenja kapitalnih zahtjeva društava za osiguranje, prikazanih u tri stupa sa zahtjevima: kvantitativni zahtjevi; zahtjevi za upravljanje rizicima osiguravatelja uključujući učinkoviti nadzor; zahtjevi očitovanja i transparentnosti. Za zaštitu organizacije od rizika norma predlaže pristup kroz tri linije obrane: 1) Upravljanje rizicima – dnevna aktivnost upravnih odbora i menadžmenta u identificiranju, procjeni, upravljanju i izvještavanju o rizicima; 2) Nadzor nad rizicima – proces nadzora počinje u upravnom odboru, ili povjerenstvu uprave za rizike, da bi preko glavnog upravitelja za rizike došao do koordinatora rizika na razini poslovnih jedinica; 3) Osiguranje rizika – proces audita započinje od povjerenstva za audite i može uključivati i aktivnosti regulatorne usklađenosti. SOLVENCY II je norma dosta uskog opsega primjene, usmjerena uglavnom na društva za osiguranje i društva za reosiguranje u Europskoj uniji.
4. OSTALE NORME KOJE MOGU POMOĆI U UPRAVLJANJU RIZICIMA U prethodnom poglavlju prikazane su norme i preporuke prikladne za primjenu u upravljanju rizicima na razini cijele organizacije, s ciljem povećanja uvjerenosti u ostvarenju ciljeva organizacije, kako financijskih tako i nefinancijskih, uključivo i ciljeva kvalitete. Ove norme i preporuke primjenjive su za uspostavljanje općeg sustava upravljanja rizicima. Međutim, kod organizacija sa specifičnim poslovnim i proizvodnim procesima moguće će biti potrebne i dodatne norme i preporuke za upravljanje rizicima specifičnim za te procese. Tabela 4 prikazuje uzorak takvih normi, koje se mogu naći u katalogu Hrvatskog zavoda za norme.
Tabela 4: Primjeri normi za upravljanje rizicima u specifičnim područjima Izdavač HZN/ISO
Norma HRN EN ISO 15265:2007 Ergonomija toplinskog okoliša -- Strategija procjene rizika opasnosti za sprečavanje opterećenja ili neudobnosti u toplinskim radnim uvjetima (ISO 15265:2004; EN ISO 15265:2004) / Ergonomics of the thermal environment -- Risk assessment strategy for the prevention of stress or discomfort in thermal working conditions (ISO 15265:2004; EN ISO 15265:2004) HRN EN ISO 15743:2010 Ergonomija toplinskog okruženja -- Radna mjesta u hladnom okruženju -- Procjena rizika i upravljanje (ISO 15743:2008; EN ISO 15743:2008) / Ergonomics of the thermal environment -- Cold workplaces -- Risk assessment and management (ISO 15743:2008; EN ISO 15743:2008) HRN EN 62198:2014 -- Upravljanje rizicima u projektima -- Upute za primjenu (IEC 62198:2013; EN 62198:2014) / Managing risk in projects -- Application guidelines (IEC 62198:2013; EN 62198:2014) HRI CEN/TR 16353:2012 Ambalaža -- Sigurnosne smjernice za savitljivu plastičnu ambalažu kako bi se smanjio rizik od gušenja djece (CEN/TR 16353:2012) / Packaging --
15. HRVATSKA KONFERENCIJA O KVALITETI 6. znanstveni skup Hrvatskog društva za kvalitetu 07. - 09. svibnja 2015. Primošten, Hrvatska
- 260 -
Dragutin Vuković Safety guidelines for flexible plastic packaging to minimize the risk of suffocation to children (CEN/TR 16353:2012) HRN EN ISO 17776:2003 -- Industrija nafte i prirodnog plina -- Odobalna proizvodna postrojenja -- Upute za identifikacije opasnosti i procjene rizika, sredstva i metode (ISO 17776:2000; EN ISO 17776:2002) / Petroleum and natural gas industries -- Offshore production installations -- Guidelines on tools and techniques for hazard identification and risk assessment (ISO 17776:2000; EN ISO 17776:2002) HRN EN ISO 14798:2013 Dizala, pokretne stube i pokretne trake za prijevoz osoba -Metodologija procjene i smanjenja rizika (ISO 14798:2009; EN ISO 14798:2013) / Lifts (elevators), escalators and moving walks -- Risk assessment and reduction methodology (ISO 14798:2009; EN ISO 14798:2013) HRS CEN ISO/TS 22367:2011 -- Medicinski laboratoriji -- Smanjenje pogrešaka upravljanjem rizika i sustavnim poboljšanjima (ISO/TS 22367:2008, including Cor 1:2009; CEN ISO/TS 22367:2010) / Medical laboratories -- Reduction of error through risk management and continual improvement (ISO/TS 22367:2008, including Cor 1:2009; CEN ISO/TS 22367:2010 HRN ISO/IEC 27005:2015 -- Informacijska tehnologija -- Sigurnosne tehnike -Upravljanje rizikom informacijske sigurnosti (ISO/IEC 27005:2011) / Information technology -- Security techniques -- Information security risk management (ISO/IEC 27005:2011) HRN EN 80001-1:2012 -- Primjena upravljanja rizikom za mreže informacijske tehnologije (IT-mreže) u koje su uključeni medicinski uređaji -- 1. dio: Uloge, odgovornosti i područje djelovanja (IEC 80001-1:2010; EN 80001-1:2011) / Application of risk management for ITnetworks incorporating medical devices -- Part 1: Roles, responsibilities and activities (IEC 80001-1:2010; EN 80001-1:2011)
Izdašnost normi za upravljanje rizicima pokazuje i jednostavno pretraživanje kataloga normizacijskih organizacija. Pretragom kataloga Međunarodne organizacije za norme ISO po naslovu norme, za pojam 'risk' dalo je 247 dokumenata, dok je za pojam 'risk management' nađeno 64 dokumenta. Jednaka pretraga u katalogu normi Hrvatskog zavoda za norme dala je za pojam 'risk' 41 rezultat, a za pojam 'risk management' 14 rezultata. Zanimanje za područje upravljanja rizicima na globalnoj razini indicirano je i brojem rezultata dobivenih pretraživanjem globalnog informacijskog prostora servisom za pretraživanje Google. Pretraživanje za pojam 'risk management' dat će oko 78.400.000 rezultata, dok pretraga za pojam 'upravljanje rizicima' daje 114.000 rezultata. Ne prejudicirajući znanstvenu vrijednost ovih rezultata, uzet ćemo te brojke samo kao indikator zanimanja za ovo područje.
5. ZAKLJUČAK Bogatstvo raspoloživih normi koje opisuju upravljanje rizicima pokazuje da je to značajna poslovna disciplina. Činjenica da norme dijele više sličnosti nego što ima razlika pokazuje da je upravljanje rizicima disciplina koja, iako u stalnom razvoju, ima značajnu primjenjivost u svim sektorima, radilo se o organizacijama strukturiranim za profitne, neprofitne, upravne ili neupravne svrhe. Elementi u svakoj od ovih normi ili preporuka mogu biti korisni i prilagodljivi za primjenu u upravljanju rizicima u kvaliteti. Zašto već sada upravljati rizicima u kvaliteti iako još nema formalnog zahtjeva u normi? Kad nešto krene po zlu, najgori dio problema je to što se desio neočekivano i zato nitko u tom času ne zna što treba učiniti. Dodavanjem procjene rizika u procese, naročito u fazi planiranja, možemo poduzeti korake ka osiguravanju da se predviđeni problemi ne dogode, i imati planove za akciju ako se problemi dogode. Jedan sat u identificiranju potencijalnih rizika može uštedjeti dane u rješavanju neočekivanih problema. Uštede mogu biti značajne, kako u vremenu tako i u troškovima. Također, brojne dodatne pogodnosti mogu se očekivati od upravljanja rizicima u sustavu upravljanja kvalitetom, kao: identificiranje i analiza rizika
15. HRVATSKA KONFERENCIJA O KVALITETI 6. znanstveni skup Hrvatskog društva za kvalitetu 07. - 09. svibnja 2015. Primošten, Hrvatska
- 261 -
Dragutin Vuković povezanih s tržištem (kupci, konkurencija, regulativa, dobavljači); identificiranje rizika inherentnih sustavu upravljanja kvalitetom; olakšavanje komuniciranja operativnih rizika i potencijalnih posljedica njihovog događanja; poboljšanje procesa odlučivanja o prioritetima i aktivnostima; povećanje povjerenja dionika, posebno kupaca i ulagača; bolje upravljanje dobavljačima (solventnost, sposobnost izvršenja ugovora, outsourcing); povezivanje s financijskim sektorom; bolje poravnavanje s ISO 14001, OHSAS 18001 i ISO 27001. I na kraju, ne najmanje značajno - krenemo li ranije s uključivanjem upravljanja rizicima u naš sustav kvalitete, to će nam glatkije i lakše biti usklađivanje sustava s novom revizijom norme ISO 9001:2015 kad ona postane izvršna.
LITERATURA [1] ISO/DIS 9001:2015 Quality management systems – Requirements [2] AS9100C Quality Management Systems - Requirements for Aviation, Space and Defense Organizations [3] ISO 14001:2004 Environmental Management Systems [4] ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements [5] BS OHSAS 18001 Occupational Health and Safety Management [6] Evgeny Avanesov, Risk management in ISO 9000 Series Standards, International Conference on Risk Assessment and management, 24-25.11.2009., Geneva [7] ISO 9001:2008 Quality management systems -- Requirements [8] ISO 9004:2009 Managing for the sustained success of an organization -- A quality management approach [9] ISO 31000:2009 Risk management — Principles and guidelines [10] ISO Guide 73:2009 Risk management -- Vocabulary [11] ISO/TR 31004:2013 Risk management -- Guidance for the implementation of ISO 31000 [12] IEC 31010:2009 Risk management -- Risk assessment techniques [13] OCEG Red Book 2.1:2012 Governance, Risk and Compliance Capability Model [14] OCEG Burgundy Book 2.1:2012 Governance, Risk and Compliance Assessment Tools [15] BS 31100: 2008 Code of Practice for Risk Management [16] COSO: 2004 Enterprise Risk Management - Integrated Framework [17] FERMA: 2002 A Risk Management Standard [18] Hrvatski ured za osiguranje, Solvency II je …, https://www.huo.hr/hrv/-to-je-solvency-ii/81/ [19] SOLVENCY II: 2012 Risk Management for the Insurance Industry RISK-BASED QUALITY MANAGEMENT SYSTEM DID WE HAVE TO WAIT FOR ISO 9001:2015?
Summary The ISO 9001:2015 standard brings the requirement of risk assessment and management into quality management systems. Many quality managers ask themselves how to introduce risk management into quality management. Maybe, before searching for an answer to that question, they should find the answer to this question: “Why are we not doing it already?” This paper questions the rationale for using risk-based thinking in quality management, examines possible methods, and strives to define a framework for implementation of riskbased quality management. Keywords: quality management, risk-based thinking, ISO 9001:2015, risk management, risk
15. HRVATSKA KONFERENCIJA O KVALITETI 6. znanstveni skup Hrvatskog društva za kvalitetu 07. - 09. svibnja 2015. Primošten, Hrvatska
- 262 -