Zarządzanie ryzykiem i analiza ryzyka w branży motoryzacyjnej

Zarządzanie ryzykiem niewątpliwie jest realizowane w większości organizacji, jak i codziennym życiu. Otwierając nowy zakład przedsiębiorca bierze pod uwagę ryzyko niepowodzenia. Zatrudniając nowych pracowników zastanawiamy się nad ryzykiem związanym z daną osobą. Podejmując codzienne decyzje rozważamy ryzyko. Rozpoczynając współpracę z nowym klientem, nowym dostawcą, bierzemy pod uwagę ryzyko. Czym zatem jest zarządzanie ryzykiem?

Czym jest zarządzanie ryzykiem?

Wg normy ISO 31000 – zarządzanie ryzykiem (zarządzanie ryzykami) to podejmowanie decyzji i realizacja działań prowadzących do osiągnięcia przez podmiot akceptowalnego poziomu ryzyka. Oznacza to, że organizacja powinna określić, kiedy ryzyko będzie akceptowalne, a kiedy nie. W praktyce przekłada się to na opracowanie procesu zarządzania ryzykiem – przykładowo procedur, instrukcji i praktyk dotyczących nadzorowania ryzyka w firmie. Niezależnie od przyjętej koncepcji każda metodologia oceny ryzyka zawiera wspólne elementy tj.:

  • identyfikowanie zagrożenia;
  • ocena prawdopodobieństwa wystąpienia danego zagrożenia/ryzyka;
  • starty, jakie dane zagrożenie może przynieść/skutki/znaczenie danego ryzyka np. dla organizacji.

Zarządzanie ryzykiem w branży motoryzacyjnej nie jest nowością. Już od lat 70-tych analiza ryzyka FMEA jest stosowana w przemyśle samochodowym. W międzyczasie pojawiły się ustrukturyzowane wymagania odnośnie tego procesu:

  • organizacja AIAG w roku 1994 wydała pierwszy podręcznik dla branży motoryzacyjnej, który ujednolicał podejście do analizy ryzyka FMEA dla dostawców
  • analogicznie stowarzyszenie VDA opracowało podejście do analizy ryzyka FMEA, które opublikowano w tomie VDA 4.

Generalnie analizując ryzyko techniczne, przeprowadzając analizę ryzyka związaną z wyrobem (DFMEA) czy procesem wytwarzania (PFMEA) organizacje miały do wyboru jasne wytyczne opracowane w podręcznikach branżowych wydawnictwa AIAG lub VDA (aktualnie ujednolicone wspólne podejście FMEA AIAG&VDA z roku 2019). W obu przypadkach, aby ocenić ryzyko techniczne, brano pod uwagę ocenę występowania, wykrywanie i znaczenie. Oba podręczniki opisywały skuteczne narzędzia, kroki oraz cały proces związany z analizą ryzyka, jaką jest FMEA.

Jednakże sama analiza ryzyka FMEA, mimo iż wciąż jest obligatoryjna, nie jest jedynym rozwiązaniem odnośnie zarządzania ryzykiem w organizacjach. Biorąc pod uwagę złożoność procesów, które zachodzą w organizacjach jak i w samej branży motoryzacyjnej, firmy powinny również oceniać ryzyko związane z szeroko pojętym zarządzaniem. Wymaganie takie oficjalnie pojawiło się dopiero w roku 2015 wraz z nowelizacją normy ISO 9001, aczkolwiek wiele firm już wcześniej przeprowadzało analizę ryzyka np. za pomocą metodologii SWOT (Strengths – silne strony, Weaknesses – słabe strony, Opportunities – szanse, okazje i Threats – zagrożenia).

SQDA analiza ryzyka - analiza SWOT
Analiza SWOT

Analiza ryzyka w systemie zarządzania jakością

Wg obowiązujących wymagań dla systemu zarządzania jakością (SZJ), organizacje powinny stosować podejście procesowe oraz podejście oparte na ryzyku. Wdrażając SZJ organizacje powinny m.in.:

  • ustanowić procesy oraz ich wzajemne oddziaływanie;
  • określić wymagane wejścia i wyjścia z tych procesów;
  • określić zasoby, odpowiedzialności i uprawnienia w procesach;
  • uwzględnić ryzyka i szanse.

Za promowanie stosowania podejścia procesowego oraz podejścia opartego na ryzyku odpowiedziane jest najwyższe kierownictwo organizacji, które to powinno zapewnić odpowiednie zasoby niezbędne do skutecznego zarządzania ryzkiem. Zarówno standard IATF 16949:2016, jak i norma ISO 9001:2015, wymagają stosowania podejścia opartego na ryzyku, nie wskazują jednakże jak powinno być to zrealizowane w praktyce. Firma musi sama zdefiniować stosowne metody. Dodatkowo organizacja powinna zaplanować działania odnoszące się do ryzyk i szans oraz oceniać skuteczność tych działań.  

Czy to oznacza, iż dla każdego zdefiniowanego w organizacji ryzyka trzeba obligatoryjnie zaplanować działania? Niekoniecznie. Poniżej przedstawiono pomysły na to, jak zarządzać ryzykiem w organizacji.

Zarządzanie ryzykiem w firmach – metody i pomysły

Jak można opisać kryteria oceny ryzyka?

Jest wiele metod i pomysłów jak zarządzać ryzykiem w firmach. Najczęściej firmy planują działania dla najistotniejszych/kluczowych zagrożeń, mając zdefiniowane podejście do analizy ryzyka. Strategie, które są stosowane w dzisiejszych firmach są różne. Przeważnie jednak sprowadzają się do wspólnego kontekstu, a mianowicie określenia prawdopodobieństwa (P) wystąpienia danej sytuacji niepożądanej (ryzyka), oraz znaczenia ryzyka (S). Następnie ryzyko (R) obliczane jest ze wzoru: R = P x S. Organizacje same definiują kryteria oceny zagrożeń np. w postaci tabelki, gdzie określają wymagania i system punktacji, w oparciu o swoje doświadczenie.

Przykładowy system punktacji dla oceny znaczenia:

Ocena ryzyka w organizacji - branża motoryzacyjna SQDA
System punktacji dla oceny znaczenia

Powyższy przykład jest tylko propozycją, w jaki sposób można opisać kryteria przyznawania ocen dla znaczenia. Analogicznie można podejść do stworzenia kryteriów dla występowania (np. skala oceny od 1-5) oraz dla sumarycznego ryzyka. Istniejące w większości organizacji metody, uwzględniają również opis, kiedy ryzyko jest akceptowalne, a kiedy nie.

Samodzielne definiowanie akceptowalnego poziomu ryzyka

Przykładowo bazując na poniższym schemacie – organizacja sama definiuje akceptowalny poziom ryzyka. Skala przyjętej oceny dla znaczenia i występowania 1-5 wskazuje, iż maksymalny wynik ryzyka może wynosić 25 (R=PxS)

Ocena ryzyka w organizacji - schemat oceny ryzyka SQDA
Schemat oceny ryzyka

Analiza ryzyka w powiązaniu ze zdefiniowanymi procesami

Dobrą praktyką jest przeprowadzenie analizy ryzyka w powiązaniu z każdym procesem zdefiniowanym w organizacji.

Przykładowo organizacja ustanowiła w swojej firmie 15 procesów, które odpowiednio skategoryzowała jako:

  • procesy zarządcze (np. PR1 – Proces zarządzania biznesem, PR2 – Proces zarządzania kompetencjami personelu, PR3…, PR4… itd.);
  • procesy główne (np. PR5 – Proces zarządzania ofertami, PR6 – Proces projektowania i rozwoju, PR7 – Proces nadzorowania dostawców i usług, PR7 – Proces produkcyjny, PR8… itd.);
  • procesy wspomagające (np. PR11 – Proces utrzymania infrastruktury i wyposażenia, PR12 Proces monitorowania i pomiarów … itd.).

Załóżmy, że organizacja ustanowiła sekwencję pomiędzy tymi procesami, opracowała globalną mapę procesów oraz posiada karty każdego z ww. procesów, na których to zdefiniowała wejścia, wyjścia, zasoby, pomiar skuteczności danego procesu oraz analizę ryzyk i szans. Jest wiele metod opisujących sposób, w jaki organizacja może przeprowadzić taką analizę. Poniżej znajduje się propozycja tabelki dla wybranego procesu PR2.

Analiza ryzyka dla procesu PR2 - tabela
Pobierz tabelę analizy ryzyka dla procesu PR2

Powyższy schemat postępowania, tabelka oraz ocena ryzyka nie są w żadnym stopniu obligatoryjne, są tylko sugestią jak można podejść do zarządzania ryzkiem w organizacji. Standard IATF 16949 oraz norma ISO 9001 wymagają od organizacji zarządzania ryzykiem, określenia ryzyka i podejmowania działań. Nie wskazują jednakże, jak organizacja powinna to zrobić. Powyższe przykłady mają na celu naprowadzenie organizacji na znalezienie własnych rozwiązań i ustandaryzowanie ich w swoich systemach.

Dobra praktyką jest zaangażowanie w analizę ryzyka właścicieli procesów, najwyższe kierownictwo, pracowników pracujących w danym procesie, jak i osoby odpowiedzialne za systemy zarządzania w organizacjach. Należy przy tym pamiętać, aby osoby zaangażowane w zarządzanie ryzykiem, posiadały również wymagane kompetencje.

Matryca ryzyka – jedna z metody oceny ryzyka w organizacji

Kolejną metodą oceny ryzyka w organizacjach o prostej strukturze, może być stworzenie matrycy ryzyka.

SQDA Martyca ryzyka - zarządzanie ryzykiem w organizacji
Matryca ryzyka

Powyższa tabela jest kolejnym przykładem. W podręcznikach i normach istnieje wiele sposobów, w jaki sposób opracować analogiczną matrycę. Opracowując matrycę ryzyka, należy pamiętać o określeniu kryteriów przypisywania poszczególnych ocen.

Zarządzanie ryzykiem – etapy procesu

Zarządzanie ryzykiem można podsumować jako proces składający się z kilku etapów:

  • określenie celu zarządzania ryzykiem – celem niewątpliwie jest minimalizowanie negatywnych skutków;
  • identyfikacja ryzyka – tu pomocne są wymagania standardu IATF 16949:2016, pkt. 6.1.2.1 oraz zatwierdzonych interpretacji do standardu IATF – SI 21 – które to wskazują, co należy wziąć pod uwagę przy analizie ryzyka (Organizacja powinna uwzględnić w swojej analizie ryzyka przynajmniej: wnioski z poprzednich doświadczeń (lessons learned) związanych z kampaniami nawrotowymi, auditami wyrobu, zwrotami z rynku i naprawami, reklamacjami, odrzutami i przerabianiem, zagrożenie atakami cybernetycznymi na systemy informatyczne – cyt.);
  • ocena ryzyka, czyli oszacowanie prawdopodobieństwa wystąpienia i skutków ryzyka;
  • wybór metody zarządzania ryzykiem – tu pomocne są istniejące standardy tj. norma ISO 31000 czy podręczniki branżowe tj. analiza FMEA;
  • monitorowanie – zarządzanie ryzykiem nie kończy się z opracowaniem planu działań. Zarządzanie ryzkiem w organizacji to proces ciągły, dlatego też należy nieustannie monitorować czy pojawiają się nowe ryzyka, nowe szanse oraz czy działania podjęte w celu minimalizowania ryzyka są działaniami skutecznymi, które wyeliminowały bądź zredukowały zagrożenie. Monitorowanie to również przegląd analizy ryzyk i szans każdorazowo, gdy rozwiązano problemy w organizacji, gdy zamknięto reklamację klienta, gdy zakończono działania korygujące będące wynikiem np. wewnętrznych auditów.

Anna Niedźwiedzka-Kubieniec Trener / Konsultant/auditor SQDA

Share on facebook
Udostępnij na Facebooku
Share on linkedin
Udostępnij w LinkedIn
Korzyści z pandemii #zostańwdomu

Korzyści z pandemii

Cykl artykułów #zostańwdomu Co byś zrobił, gdybyś musiał zostać w domu na zawsze? Jakbyś wtedy żył? Jakie byłyby Twoje obowiązki i rozrywki? Niektórzy z nas właśnie tak funkcjonują na co

Czytaj więcej »