Zarządzanie ryzykiem niewątpliwie jest realizowane w większości organizacji, jak i codziennym życiu. Otwierając nowy zakład przedsiębiorca bierze pod uwagę ryzyko niepowodzenia. Zatrudniając nowych pracowników zastanawiamy się nad ryzykiem związanym z daną osobą. Podejmując codzienne decyzje rozważamy ryzyko. Rozpoczynając współpracę z nowym klientem, nowym dostawcą, bierzemy pod uwagę ryzyko. Czym zatem jest zarządzanie ryzykiem?
Czym jest zarządzanie ryzykiem?
Wg normy ISO 31000 – zarządzanie ryzykiem (zarządzanie ryzykami) to podejmowanie decyzji i realizacja działań prowadzących do osiągnięcia przez podmiot akceptowalnego poziomu ryzyka. Oznacza to, że organizacja powinna określić, kiedy ryzyko będzie akceptowalne, a kiedy nie. W praktyce przekłada się to na opracowanie procesu zarządzania ryzykiem – przykładowo procedur, instrukcji i praktyk dotyczących nadzorowania ryzyka w firmie. Niezależnie od przyjętej koncepcji każda metodologia oceny ryzyka zawiera wspólne elementy tj.:
- identyfikowanie zagrożenia;
- ocena prawdopodobieństwa wystąpienia danego zagrożenia/ryzyka;
- starty, jakie dane zagrożenie może przynieść/skutki/znaczenie danego ryzyka np. dla organizacji.
Zarządzanie ryzykiem w branży motoryzacyjnej nie jest nowością. Już od lat 70-tych analiza ryzyka FMEA jest stosowana w przemyśle samochodowym. W międzyczasie pojawiły się ustrukturyzowane wymagania odnośnie tego procesu:
- organizacja AIAG w roku 1994 wydała pierwszy podręcznik dla branży motoryzacyjnej, który ujednolicał podejście do analizy ryzyka FMEA dla dostawców
- analogicznie stowarzyszenie VDA opracowało podejście do analizy ryzyka FMEA, które opublikowano w tomie VDA 4.
Generalnie analizując ryzyko techniczne, przeprowadzając analizę ryzyka związaną z wyrobem (DFMEA) czy procesem wytwarzania (PFMEA) organizacje miały do wyboru jasne wytyczne opracowane w podręcznikach branżowych wydawnictwa AIAG lub VDA (aktualnie ujednolicone wspólne podejście FMEA AIAG&VDA z roku 2019). W obu przypadkach, aby ocenić ryzyko techniczne, brano pod uwagę ocenę występowania, wykrywanie i znaczenie. Oba podręczniki opisywały skuteczne narzędzia, kroki oraz cały proces związany z analizą ryzyka, jaką jest FMEA.
Jednakże sama analiza ryzyka FMEA, mimo iż wciąż jest obligatoryjna, nie jest jedynym rozwiązaniem odnośnie zarządzania ryzykiem w organizacjach. Biorąc pod uwagę złożoność procesów, które zachodzą w organizacjach jak i w samej branży motoryzacyjnej, firmy powinny również oceniać ryzyko związane z szeroko pojętym zarządzaniem. Wymaganie takie oficjalnie pojawiło się dopiero w roku 2015 wraz z nowelizacją normy ISO 9001, aczkolwiek wiele firm już wcześniej przeprowadzało analizę ryzyka np. za pomocą metodologii SWOT (Strengths – silne strony, Weaknesses – słabe strony, Opportunities – szanse, okazje i Threats – zagrożenia).

Analiza ryzyka w systemie zarządzania jakością
Wg obowiązujących wymagań dla systemu zarządzania jakością (SZJ), organizacje powinny stosować podejście procesowe oraz podejście oparte na ryzyku. Wdrażając SZJ organizacje powinny m.in.:
- ustanowić procesy oraz ich wzajemne oddziaływanie;
- określić wymagane wejścia i wyjścia z tych procesów;
- określić zasoby, odpowiedzialności i uprawnienia w procesach;
- uwzględnić ryzyka i szanse.
Za promowanie stosowania podejścia procesowego oraz podejścia opartego na ryzyku odpowiedziane jest najwyższe kierownictwo organizacji, które to powinno zapewnić odpowiednie zasoby niezbędne do skutecznego zarządzania ryzkiem. Zarówno standard IATF 16949:2016, jak i norma ISO 9001:2015, wymagają stosowania podejścia opartego na ryzyku, nie wskazują jednakże jak powinno być to zrealizowane w praktyce. Firma musi sama zdefiniować stosowne metody. Dodatkowo organizacja powinna zaplanować działania odnoszące się do ryzyk i szans oraz oceniać skuteczność tych działań.
Czy to oznacza, iż dla każdego zdefiniowanego w organizacji ryzyka trzeba obligatoryjnie zaplanować działania? Niekoniecznie. Poniżej przedstawiono pomysły na to, jak zarządzać ryzykiem w organizacji.
Zarządzanie ryzykiem w firmach – metody i pomysły
Jak można opisać kryteria oceny ryzyka?
Jest wiele metod i pomysłów jak zarządzać ryzykiem w firmach. Najczęściej firmy planują działania dla najistotniejszych/kluczowych zagrożeń, mając zdefiniowane podejście do analizy ryzyka. Strategie, które są stosowane w dzisiejszych firmach są różne. Przeważnie jednak sprowadzają się do wspólnego kontekstu, a mianowicie określenia prawdopodobieństwa (P) wystąpienia danej sytuacji niepożądanej (ryzyka), oraz znaczenia ryzyka (S). Następnie ryzyko (R) obliczane jest ze wzoru: R = P x S. Organizacje same definiują kryteria oceny zagrożeń np. w postaci tabelki, gdzie określają wymagania i system punktacji, w oparciu o swoje doświadczenie.
Przykładowy system punktacji dla oceny znaczenia:

Powyższy przykład jest tylko propozycją, w jaki sposób można opisać kryteria przyznawania ocen dla znaczenia. Analogicznie można podejść do stworzenia kryteriów dla występowania (np. skala oceny od 1-5) oraz dla sumarycznego ryzyka. Istniejące w większości organizacji metody, uwzględniają również opis, kiedy ryzyko jest akceptowalne, a kiedy nie.
Samodzielne definiowanie akceptowalnego poziomu ryzyka
Przykładowo bazując na poniższym schemacie – organizacja sama definiuje akceptowalny poziom ryzyka. Skala przyjętej oceny dla znaczenia i występowania 1-5 wskazuje, iż maksymalny wynik ryzyka może wynosić 25 (R=PxS)

Analiza ryzyka w powiązaniu ze zdefiniowanymi procesami
Dobrą praktyką jest przeprowadzenie analizy ryzyka w powiązaniu z każdym procesem zdefiniowanym w organizacji.
Przykładowo organizacja ustanowiła w swojej firmie 15 procesów, które odpowiednio skategoryzowała jako:
- procesy zarządcze (np. PR1 – Proces zarządzania biznesem, PR2 – Proces zarządzania kompetencjami personelu, PR3…, PR4… itd.);
- procesy główne (np. PR5 – Proces zarządzania ofertami, PR6 – Proces projektowania i rozwoju, PR7 – Proces nadzorowania dostawców i usług, PR7 – Proces produkcyjny, PR8… itd.);
- procesy wspomagające (np. PR11 – Proces utrzymania infrastruktury i wyposażenia, PR12 Proces monitorowania i pomiarów … itd.).
Załóżmy, że organizacja ustanowiła sekwencję pomiędzy tymi procesami, opracowała globalną mapę procesów oraz posiada karty każdego z ww. procesów, na których to zdefiniowała wejścia, wyjścia, zasoby, pomiar skuteczności danego procesu oraz analizę ryzyk i szans. Jest wiele metod opisujących sposób, w jaki organizacja może przeprowadzić taką analizę. Poniżej znajduje się propozycja tabelki dla wybranego procesu PR2.

Powyższy schemat postępowania, tabelka oraz ocena ryzyka nie są w żadnym stopniu obligatoryjne, są tylko sugestią jak można podejść do zarządzania ryzkiem w organizacji. Standard IATF 16949 oraz norma ISO 9001 wymagają od organizacji zarządzania ryzykiem, określenia ryzyka i podejmowania działań. Nie wskazują jednakże, jak organizacja powinna to zrobić. Powyższe przykłady mają na celu naprowadzenie organizacji na znalezienie własnych rozwiązań i ustandaryzowanie ich w swoich systemach.
Dobra praktyką jest zaangażowanie w analizę ryzyka właścicieli procesów, najwyższe kierownictwo, pracowników pracujących w danym procesie, jak i osoby odpowiedzialne za systemy zarządzania w organizacjach. Należy przy tym pamiętać, aby osoby zaangażowane w zarządzanie ryzykiem, posiadały również wymagane kompetencje.
Matryca ryzyka – jedna z metody oceny ryzyka w organizacji
Kolejną metodą oceny ryzyka w organizacjach o prostej strukturze, może być stworzenie matrycy ryzyka.

Powyższa tabela jest kolejnym przykładem. W podręcznikach i normach istnieje wiele sposobów, w jaki sposób opracować analogiczną matrycę. Opracowując matrycę ryzyka, należy pamiętać o określeniu kryteriów przypisywania poszczególnych ocen.
Zarządzanie ryzykiem – etapy procesu
Zarządzanie ryzykiem można podsumować jako proces składający się z kilku etapów:
- określenie celu zarządzania ryzykiem – celem niewątpliwie jest minimalizowanie negatywnych skutków;
- identyfikacja ryzyka – tu pomocne są wymagania standardu IATF 16949:2016, pkt. 6.1.2.1 oraz zatwierdzonych interpretacji do standardu IATF – SI 21 – które to wskazują, co należy wziąć pod uwagę przy analizie ryzyka (Organizacja powinna uwzględnić w swojej analizie ryzyka przynajmniej: wnioski z poprzednich doświadczeń (lessons learned) związanych z kampaniami nawrotowymi, auditami wyrobu, zwrotami z rynku i naprawami, reklamacjami, odrzutami i przerabianiem, zagrożenie atakami cybernetycznymi na systemy informatyczne – cyt.);
- ocena ryzyka, czyli oszacowanie prawdopodobieństwa wystąpienia i skutków ryzyka;
- wybór metody zarządzania ryzykiem – tu pomocne są istniejące standardy tj. norma ISO 31000 czy podręczniki branżowe tj. analiza FMEA;
- monitorowanie – zarządzanie ryzykiem nie kończy się z opracowaniem planu działań. Zarządzanie ryzkiem w organizacji to proces ciągły, dlatego też należy nieustannie monitorować czy pojawiają się nowe ryzyka, nowe szanse oraz czy działania podjęte w celu minimalizowania ryzyka są działaniami skutecznymi, które wyeliminowały bądź zredukowały zagrożenie. Monitorowanie to również przegląd analizy ryzyk i szans każdorazowo, gdy rozwiązano problemy w organizacji, gdy zamknięto reklamację klienta, gdy zakończono działania korygujące będące wynikiem np. wewnętrznych auditów.
Anna Niedźwiedzka-Kubieniec Trener / Konsultant/auditor SQDA