RŮZNÉ – Informace nejen pro podnikatele.

Úvod
INFORMAČNÍ SERVIS KHK KHK
ostatní informace
RŮZNÉ – Informace nejen pro podnikatele.

13. 3. 2023

Aby Audit nebolel – jak pracovat s riziky a proč je dobré si rovnou z nich odvozovat cíle.

Aby Audit nebolel – personální oblast.

Aby Audit nebolel – procesní řízení.

Aby Audit nebolel – život je změna, jak ji promítnout do systému?

Devizový trh 10. týden.

Aby Audit nebolel – jak pracovat s riziky a proč je dobré si rovnou z nich odvozovat cíle.

13.2.2023, Ing. Veronika Soukupová, Zdroj: s-cope (www.s-cope.cz)

Dalším díl seriálu Aby Audit nebolel se bude zabývat nálezy z auditování, tentokráte z oblasti řízení rizik. Uvítám nějaké veselé historky z natáčení, klidně do zpráv. Přiznejte se, máte nějaký talisman, nebo se riziky zabýváte a jste připraveni jim čelit?

S riziky pracujeme úplně všichni. Na denní bázi. Jako auditoři chápeme, že s nimi kalkulujete každý den i ve Vaší firmě. Protože jinak by to ani nešlo. A nemyslíme si, že s velkou revizí ISO 9001 v roce 2015 přišel ten moment, kdy byla objevena důležitost řízení rizik (i jejich pozitivní varianty a sice příležitostí). Ale spíše šlo o moment, který více zakomponoval řízení rizik do požadavků systémových norem a to průřezově celou normou i napříč obory systémů a sektory průmyslu. Pracuje s nimi kvalita, environment, BOZP i další. V oblasti automotive, medical devices, službách apod.

Jako vždy začnu příkladem ze života – „nebude-li pršet nezmoknem…“

Dneska bude asi pršet. Dívala jsem se na předpověď a hrozí déšť. Mohla bych mít zmáchané vlasy a oblečení a řasenka by mi mohla téct nevzhledně po obličeji. Jak zabráním této „katastrofě“? Asi neporučím větru dešti, ale vezmu si deštník a bude to dobré. Popsala bych to v tabulce asi takto: externí aspekt aspekt počasí – definice rizika déšť – popis bude intenzivně pršet – následek zmoknu – pravděpodobnost 50% – dopad znehodnocení dokumentace a PC s batohu – prioritizace rizika 3 – opatření co udělám vezmu deštník / pojedu autem – … Obyčejná situace.

V případě řízení organizací je rizik i příležitostí mnoho. V duchu hesla „kdo je připraven – není překvapen“, je dobré si je promyslet v předstihu. Proto je jedním z požadavků ISO systémových norem ŘÍZENÍ RIZIK. Věřte, že je to dobře. Vzpomínáte, jak jste ve stresu řešili poslední krizovou situaci? Je lepší, mít vše promyšlené s chladnou hlavou. Do stresových situací Vás bez toho přivedou nenadálé události, které jste si v rámci scénářů nedokázali ani představit.

Pojďme se dnes podívat na to, jak doložit auditorovi, že s riziky pracujete SYSTEMATICKY. Protože to je to, co po Vás ISO normy chtějí. Všeobecnou ISO 9001 počínaje a specifickými standardy pro oblast medical devices, automotive nebo letecký průmysl konče. Také záleží jestli se bavíme o informační bezpečnosti, BOZP, environmentu nebo o kvalitě. Požadavky norem na řízení rizik se liší mírou detailu – metodikou jejich zpracování. Náročnější budou pochopitelně sektorové normy, úzce zaměřené např. na automotive IATF 16949 nebo zdravotnické prostředky ISO 13485. Existuje také celá řada specifických návodů a směrnic na řízení rizik. Např. všeobecná ISO 31000 nebo ISO 14971 pro oblast medical devices.

A přistupme k nálezům z auditů.

S čím se v rámci auditů v různých sektorech průmyslu a různých systémů setkáváme?

10 vad na kráse analýz rizik v rámci systém managementu

Chybí scénáře, popis rizika je vágní, relevantní rizika zcela chybí… Jeden z příkladů kolegyně zabývající se ISMS: „Při analýze rizik bezpečnosti informací mne vždycky překvapí, jak málo si uvědomujeme hodnotu informací, které máme jen ve svých hlavách. Zatím u každého klienta, kterého jsme připravovali na certifikaci ISO 27001 nebo TISAX, jsme objevili alespoň jednoho člověka, který byl/je pro svou firmu nějakým způsobem jedinečný a jeho znalosti a schopnosti nenahraditelné, aniž si to majitelé či management firmy uvědomovali. Společně pak hledáme řešení, jak riziko ztráty takového „informačního aktiva“ eliminovat.“
Z rizik nejsou vyvozena opatření, cíle je nezohledňují… Ano, jen pojmenování rizik nestačí. Je nutné popsat jak jim budete předcházet. Co budete dělat, když budou aktuální. Vaše cíle musí rizika reflektovat.
Chybí stanovení významnosti – prioritizace (v souladu s tím, do jaké míry je pravděpodobný jeho výskyt a jaká je míra závažnosti dopadu, které může riziko způsobit)
Analýza se udělá a leží v šuplíku. Je zřejmé, že se s riziky nepracuje.
Pozor na nastavení kritérií přijatelnosti. Kolega auditor z oblasti zdravotnických prostředků uvádí: „riziko způsobující poranění uživatele jehož pravděpodobnost výskytu byla třeba 10% bylo stále riziko přijatelné, pro které nebylo nutné stanovit žádnou akci. Řešení rizik probíhalo nikoli akcí, nýbrž úpravou pravděpodobnosti výskytu či závažnosti…“
Analýza rizik byla prováděna nikoli na začátku návrhu a vývoje, ale až na jeho konci.
Nebyly reflektovány požadavky. Firma neznala ISO 14971 (u firmy vyrábějící zdravotnické prostředky).
Neřešení rizik vznikajících u dodavatelů (ani nekomunikování o nich, ani zapracování kontrolních mechanismů do dodavatelských specifikací)
Před X lety si organizace nechala od externí poradenské firmy zpracovat analýzu rizik bezpečnosti informací, ale vůbec netuší, co v ní je a jak s ní pracovat. Výstupům analýzy nerozumí, SOA je čistě formální bez pochopené celé věci.
Analýza rizik nezohledňuje zřejmé změny v kontextu organizace.

Závěr

Uvědomte si prosím, že nedostatečná analýza rizik se Vám může vrátit jako bumerang při formulaci cílů a jinde. Aby organizace realizovala svou činnost v souladu s ISO 9001, musí řídit svá rizika a příležitosti.

Přehled, kde se v normě ISO 9001 setkáte s požadavky na řízení rizik:

Vedení musí zvažovat rizika (5.1.1 d)

Řízení rizik v rámci systému řízení kvality (4.4.1 f)

Nastavení opatření k pokrytí rizik / využití příležitostí v rámci plánování všechny segmenty pro myšlení založené na rizicích (6.1.1)

Nepotvrzení konečného produktu/služby/reklamací (5.1.2)

Spokojenost zákazníka (5.1.2)

Ostatní zúčastněné strany (6.1.1)

Přijímání opatření k řešení rizik (6.1.2)

Sledování rizik a přijatých opatření (9.1.3)

Vyhodnocení účinnosti (9.1.3)

Uchovávání zdokumentovaných informací (9.1.1)

Aktualizovat záznam, kdykoli je to nutné (10.2.1)

Zařazení rizika jako agendy do pravidelného přezkoumání vedením (9.3.2)

Veronika Soukupová
CEO, S-cope s.r.o.
www.s-cope.cz
T: +420 603 171 017
E: v.soukupova@s-cope.cz
Poradenství v oblasti ISO, TISAX, IATF
Více užitečných odkazů najdete na linktr.ee/veronika_soukupova

Aby Audit nebolel – personální oblast.

27.2.2023, Ing. Veronika Soukupová, Zdroj: s-cope (www.s-cope.cz)

Lidé jsou to nejcennější, co organizace má. Žádný systém řízení kvality Vám bez péče o ně nebude nic platný. To oni tvoří systém. A jaké jsou nejčastější nálezy v auditech systémů řízení v souvislosti s řízením lidských zdrojů? Na co musíte myslet v souvislosti s kompetencemi, znalostmi? Jak nastavit komunikaci v organizaci? Pojďme se na to podívat postupně.

Organizace není schopna doložit, že poskytuje adekvátní zdroje na provoz a zlepšování systému řízení kvality. Cíle a úkoly jsou stanoveny, ale je zřejmé, že chybí prostředky, lidé, potřebné kompetence, znalosti… Pak je sice prima, že vedení organizace na základě požadavků článku 5 (viz live stream na toto téma zde) normy ISO 9001 deklarovalo svůj závazek k podpoře QMS, ale s jistotou nevyhoví článku 7.1 této normy. Deklarace podpory bez přiřazení potřebných zdrojů je jen výkřik, nikoliv strategické vedení.

Často chybí záznam ve formě Zprávy z přezkoumání vedení, ze kterého je zřejmé, že byla potřeba zdrojů projednána, vyhodnocena a byl přijat nějaký závěr. Toto je jednou z povinností, pokud deklarujete systém řízení kvality dle ISO.

Chybí jasné určení potřebných kompetencí u jednotlivých pozic. A pochopitelně nestačí mít jen kompetenční matici, ale je potřeba doložit i to, že Vaši lidé tyto kompetence mají. Případně, že jim pomáháte je získat. Organizace nemá jasno, jaké znalosti musí její pracovníci mít a jedná pak tak nějak pocitově. Rozvoj zaměstnance pak není plánován systematicky v souladu s cíli a potřebami organizace, ale zaměstnanec dostane nějaké školení jako jakýsi benefit. Tím, že získané vědomosti ve finále nevyužije, nepřinese takové školení nic ani jemu ani firmě. Chybí jakékoliv plány osobního rozvoje.

A s tím souvisí další nedostatek a sice absence hodnocení přínosu školení. Doložení toho, že školení zaměstnanci / firmě něco přineslo. Organizace není schopna doložit, že daný pracovník školení či výcvik absolvoval. Chybí jakýkoliv záznam. Není ani zřejmé, co bylo přesně obsahem školení a jak dlouho trvalo. Chybí hodnocení dodavatele školení.

Co je organizace povinna?

Organizace je povinna určit klíčové znalosti, které jsou potřebné k tomu, aby produkovala kvalitní výstupy. A pracovníci k nim musí mít přístup! Při změně situace (nové technologie, změna výrobního programu apod.) musí zajistit, že potřebné nové znalosti budou k dispozici.

Chybí pravidla pro zástupnost a když klíčový pracovník odejde ze dne na den, je zřejmé, že bude mít firma závažný problém. Firma nemá ošetřeno, že nepřijde o klíčové znalosti daného pracovníka.

Nový zaměstnanec nebyl proškolen na systém řízení kvality a nemá tudíž žádné povědomí. Případně byl proškolen, ale organizace není schopna toto doložit.

Zaměstnanci mají jen kusé informace o tom, že nějaký systém kvality organizace má a že přijde auditor. Obvykle dokáží ukázat na Politiku kvality visící na zdi v kanceláři, ale již nedokáží určit, který z cílů kvality na daný rok se jich bezprostředně týká. Povědomí o QMS je mizivé a neprůkazné.

Lidé v organizaci ví, že existují směrnice, ale neví, proč podle nich musí postupovat a co se stane, když toto nebudou činit. Případně ani neví, kde je najít. Nebo mají k dispozici neaktuální verzi dokumentu. Více o nedostatcích souvisejících s dokumentací zde.

Interní auditor audituje svou práci nebo není k auditu kompetentní (nebo i je, ale firma není schopna toto doložit).

Organizace nezjišťuje, jak jsou její vlastní zaměstnanci spokojeni. Interní komunikace vázne a dochází k nedopatřením.

Není zřejmé kdo může komunikovat směrem ven z organizace případně do jaké míry. Nejsou jasná pravidla. Nikdo je nezná.

Je zřejmé, že pracovní prostředí je k plnění požadovaných úkolů naprosto nevyhovující.

Aby Audit nebolel – procesní řízení.

20.2.2023, Ing. Veronika Soukupová, Zdroj: s-cope (www.s-cope.cz)

Každá firma „něco dělá“. A to něco se skládá z dílčích činností. Těm říkáme procesy. Cílem firmy je maximalizovat zisk při plnění svého poslání (a chovat se společensko-odpovědně, pomáhat okolí, kde působí a řada dalších krásných věcí…). K tomu nám je prospěšné, když minimalizujeme činnosti/procesy, které nikam nevedou, dělají je lidé duplicitně, vycházejí z nich služby nebo mezi/produkty se závadami, které se pak musí řešit ať již opravou tak přepracováním atd. To všechno něco stojí. Čas, peníze, demotivaci zaměstnanců, odliv zákazníků…. Tolik úvod.

Systém řízení kvality vychází z teze, že pokud mám pořádek v procesech, pokud je systematicky řídím, minimalizuji tyto negativní dopady. A proto se dnes podíváme na nálezy z auditů, které se týkají procesního řízení.

Mapka, kterou nikdo nechápe
Procesní mapa má pomoci tomu, kdo ji vidí, pochopit základní uspořádání činností v organizaci a jejich vzájemné vazby, závislosti. Někdy se stane, že autor se nechá „unést“ a vyrobí spletité bludiště čar a políček, že to ani pan vedoucí z nákupu nechápe, a ten má 2 vysoké školy… Vězte, že mapa má být srozumitelná a když u auditu ani auditovaný nechápe kam co vede, vede to spíše k neshodě…

Procesy nejsou dostatečně popsány
Je zřejmé, že popis je nedostatečný, nebo se jedná o popis „pro formu“, zkrátka aby byl nějaký až přijde auditor. Příklad: interní audit odhalil opakovaně nedostatky v realizaci činnosti, ale proces nebyl popsán tak, aby bylo zřejmé co ne/dělat a jak. Žádná opatření zkrátka nebyla přijata a chyby se neustále opakují dokola…

Pozn.: pozor i na opačný problém „chrliče stránek“. Každý proces/činnost by měla být popsána do té míry, do jaké míry je to pro Vaše lidi přínosné a užitečné.

Zmetky a nic se neděje…
Vůbec opakovaná produkce neshodných výstupů procesu bez hledání příčin a snahy je odstranit je pochopitelně problém. O systému řízení kvality se pak s auditorem nemusíte ani dohadovat.

Má proces všechny parametry?
Chybí některý ze základních parametrů každého procesu: zdroje, vstupy, výstupy, odpovědná osoba / vlastník procesu, cíl procesu, apod.

My ale přeci cíle máme…
Cíl procesu není v souladu se strategií firmy nebo si dokonce protiřečí. To je problém…

Procesní rizika
Vlastníci procesů tzn. ti, kdo za daný proces odpovídají se nezamýšleli nad riziky vztahujícími se k dané činnosti. Zkrátka to vypadá, že se nikdo ničeho a nikoho neobává. To ale není odvaha, ale nedostatečné plnění požadavku normy, že…

Nesleduji, neměřím = odhaduji, domnívám se
Chybí měřítka pro vyhodnocování jednotlivých činností. Nebo jsou stanovená, ale jaksi ta realizace … Zkrátka se procesy nesledují a/nebo nevyhodnocují. Stačí se zeptat, zda máte přehled o aktuálním stavu jednotlivých procesů.

Sleduji, měřím, ale neřeším
Nebo se i vyhodnotí, ale nepřijme se žádné opatření. Zkrátka se neplní a tečka. Auditor se pak ptá, stejně jako u cílů, co bylo důvodem, že se neplní? Přehnaná očekávání, změna kontextu, rizika, nedostatečné zdroje…???

Změny v systému
Popisy procesů nezaznamenali resp. jejich vlastníci pozapomněli zaznamenat změny. A tak se auditor dozví, že se to dělá už dávno jinak, ale v popisech je to „po staru“. A šup s tím zase do šuplíku…

S jakými nedostatky v oblasti procesního řízení jste se potkali Vy? Podělte se v komentáři.

Procesy potřebují ke svému správnému chodu vaši péči a podporu.

Aby Audit nebolel – život je změna, jak ji promítnout do systému?

7.3.2023, Ing. Veronika Soukupová, Zdroj: s-cope (www.s-cope.cz)

Změny jsou běžnou součástí našich dnů. A mají dopady na celý náš systém!

Nejdříve můj obvyklý příklad ze života. Tentokrát si vezměte, že otěhotníte – plánovaně. Co uděláte? Jdete vybírat větší auto, protože do sporťáku nacpat kočárek, přebalovák a pleny zkrátka nelze. Začnete chystat pokojík, zakoupíte kočárek… Před rozhodováním promyslíte, kolik peněz na to máte. Zvážíte, zda v prvních dnech nepovoláte matku na pomoc (to si pak rozmyslíte, když si uvědomíte dopady na vztahy v týmu). A tak dále. Dopady této plánované změny na celý váš systém, ve kterém jste žili budou velké a je potřeba se na ně připravit…

A pak tu máme neplánované rodičovství, kdy kouzlo noci způsobí opět citelnou změnu vašeho kontextu, o systému nemluvě. Pokud jste si nevšimli a přisuzovali to dlouhou dobu tomu, že tloustnete po čtyřicítce, může Vás porod nečekaně zaskočit a máte méně času na adaptaci než v předchozím případě.

—

Stejně tak u firem máme rozšiřování výroby jako příklad plánované změny, kterou musím zohlednit a která bude mít jistě dopad na systém řízení kvality. A pak např. neplánovanou změnu typu změna skladby produkce z nějakého náhlého a nepředvídatelného důvodu. A také se s tím musíte nejenom poprat, ale musíte to promítnout i do systému jako takého a všech relevantních procesů.

Minimálně jednou ročně se musím povinně zabývat v rámci přezkoumání systému vedením tím, jestli nedošlo k nějakým zásadním změnám, které by mohly mít vliv na:

kontext organizace resp. podnikatelské prostředí jako celek – nová konkurence? nové technologie? neujíždí nám vlak?…
požadavky a očekávání zainteresovaných stran – nová legislativa? nový požadavek? nová zainteresovaná strana? nebo změna v jejich očekáváních? Jiné priority?
objevila se nová rizika?
politika, cíle, procesy i KPIs – rozhodli jste se jít jinou cestou?
aj.

Je potřeba si říci, že na změny by se mělo reagovat pružně, nečekat na přezkoumání vedením na konci roku. To je nejzazší termín a jde o naplnění požadavku, ale funkční systém promítá změny výše do dokumentace, oblasti zdrojů a infrastruktury, dodatků smluv s dodavateli či zákazníky chcete-li atd. ihned.

Pojďme se podívat na nálezy ve vztahu k požadavkům normy ISO 9001:2015

Plánované i neplánované změny požaduje norma (a tedy její prodloužená ruka v osobě auditora) řídit systematicky a vést tedy i této činnosti záznam. Jmenovitě se o tom zmiňuje v těchto případech:

6.3 plánování změn

Organizace ví o změně, která ji čeká – např. plánuje rozšiřovat výrobu, ale nezohlední tyto své plány v systému. Např. neupraví dokumentaci, nezahrne novou oblast do plánu interního auditu, nepřehodnotí rizika…

7.5.3.2 řízení změn v rámci dokumentace

Někdy chybí verzování, jindy se setkáváme s nesrovnalostmi v rámci archivace (pozor na zákonné požadavky!), také není zřejmé, jestli dokument je schválený nebo nedej bože obíhají různé verze zároveň! Více k tomuto tématu zde.

8.2.3.1 e) změnil klient požadavek?

Ale chybí o tom záznam! Jak se pak budete s klientem dohadovat, že Vám to, že chce auto v jiné barvě, tehdy v pátek neříkal, když on si to živě pamatuje?

Nebo že jste klienta informovali o tom, že jeho požadavek zakotvený v objednávce nelze zohlednit, protože např. došel materiál a musíte ho nahradit jiným. Změnili jste objednávku nebo upravili dodatkem smlouvu? Ne? Zaděláváte si nejenom na neshodu z auditu, ale i na daleko větší problém!

8.2.4 změny požadavků na produkty a služby

Je zřejmé, že pracovník neví o změně požadavku zákazníka, protože pracuje se špatnou verzí dokumentace. Pokud toto auditor zjistí, je to průšvih! A až to zjistí klient, tak určitě také.

8.3.6 změny v rámci návrhu a vývoje

Je potřeba o nich vědět, vyhodnotit je, zohlednit schválené změny, informovat relevantní lidi, … Auditor chce vidět záznam. Nestačí mu vyprávět, že proběhla změna, ale že jste to nějak nakonec udělali.

8.5.6 řízení změn v rámci výroby a poskytování služby tak, aby byla zajištěna shoda výstupu s požadavky

Při samotné výrobě je to obdobný případ jako u návrhu a vývoje. Došlo ke změně a firma není schopna doložit, kdo rozhodl o tom, že to místo způsobu A uděláme cestou B.

Podělte se s námi v komentářích o své zážitky se změnovým řízením!

Devizový trh 10. týden.

23-03-14 IN Devizový trh 10. týden