Risk Assessment ISO 9001:2015?

ISO 9001:2015 เวอร์ชั่นใหม่กับสิ่งใหม่ๆ

            หลังจากวันที่ 15 กันยายน 2016 เราก็ได้พบสิ่งใหม่ๆ สำหรับ ISO 9001:2015 ซึ่งมีหลายอย่างด้วยกัน แต่ที่จะสะดุดตาเห็นจะมีเรื่องของ การประเมินความเสี่ยง (Risk assessment) ที่ถูกนำมาใช้ และปรับปรุงข้อกำหนดเองก็เพิ่มเป็น 10 ข้อ จากสำหรับเวอร์ชั่น 2008 ที่มีเพียง 8 ข้อ และการจัดวางเรียงข้อกำหนดก็เป็นแบบเชิง Functional มากขึ้น ที่พร้อมจะประยุกต์นำไปใช้ได้กับทุกธุรกิจ

และที่สำคัญ Documents ที่ถูกระบุในรูปแบบที่ต่างกัน ก็จะลดรูปลงใช้เพียงคำว่า documented information ที่จะสื่อให้เห็นถึง documents ที่ใช้สื่อสารในระบบการจัดการได้ทั้งหมด พร้อมกับลดการบังคับให้มี (Compliance) ของ documented procedures ที่เคยบังคับไว้ใน ISO 9001:2008 จำนวน 6 procedures ด้วยกัน และ highlight ที่สำคัญคือตำแหน่ง QMR: Quality Management Representative จะไม่เป็นตำแหน่งที่เป็นทางการอีกแล้วสำหรับ version 2015

คง งงๆ และแปลกหูแปลกตากันบ้าง แต่คงไม่ต้องตกใจ เพราะยังไงก็เป็นเนื้อหาเดิมเป็นส่วนใหญ่ จะเปลี่ยนไปเยอะมากที่สุด ก็คือเรื่อง Risk assessment นั้นแหละ ส่วนเรื่องอื่นๆ จะเปลี่ยนก็ในเชิงลึกลง หรือมีเครื่องมือบางอย่างระบุให้ใช้เท่านั้นเอง

ทำไมต้องมีการประเมินความเสี่ยงใน ISO 9001:2015?

            มีคำถามว่าทำไมต้องทำ Risk assessment หรือ Risk analysis ถ้าตอบกันตรงๆก็คือ ในอดีตที่ผ่านมา ISO 9001:2008 ยังเป็นระบบ reactive คือเกิดก่อนแล้วค่อยแก้ ไม่ใช่ระบบ proactive ที่คิดไว้ก่อนว่าอะไรจะเกิดแล้วหาทางป้องกัน ด้วยการมองเห็นประโยชน์ในการใช้งาน ISO 9001:2015 จึงถูกเปลี่ยนเป็นระบบ proactive ที่ยังใช้ระบบการขับเคลื่อนแบบ PDCA เหมือนเดิม เพื่อสามารถสร้าง benefit ให้แก่ผู้นำระบบไป implement ได้มากขึ้น

ผลของการประเมิน Risk assessment จะถูกนำไปใช้เป็น prevention ของทุกกระบวนการทำงานที่มีความเปราะบาง (Vulnerability) หรือความเสี่ยง (Risk) จึงทำให้ข้อกำหนด Preventive action หายไปจากข้อกำหนดของ ISO 9001:2008 (8.5.3 Preventive action) คงเหลือแต่ข้อกำหนด Corrective action ใน ISO 9001:2015 (ข้อ 10.2 Nonconformity and Corrective action) สรุปแล้วเนื้อหาของกระบวนการทุกกระบวนการที่มีความเสี่ยง จึงต้องมีกระบวนการ prevention action เติมเต็มเข้าไปทุกกระบวนการ เราจึงเรียกว่าเป็นระบบ proactive ที่สมบูรณ์

ความเสี่ยงด้าน คุณภาพ จะประเมินกันอย่างไร?

พอมาถึงจะทำ Risk assessment แล้ว ก็คงติดปัญหาแล้วซิว่าจะเริ่มอย่างไร ก่อนหน้านั้นเราเคยทำของ ISO 14001 ซึ่งมันค่อนข้างง่าย เพราะมุมมอง (Perspectives) ของระบบ ISO 14001 นั้นกำหนดไว้เลยว่าผลกระทบกับประเด็นดังนี้

·   ประเด็นผลกระทบที่จะเกิดกับน้ำ

·   ประเด็นผลกระทบที่จะเกิดกับอากาศ

·   ประเด็นผลกระทบที่จะเกิดกับดิน

·   ประเด็นผลกระทบที่จะเกิดการใช้วัตถุดิบและทรัพยากรธรรมชาติ

·   ประเด็นผลกระทบที่จะเกิดกับการใช้พลังงาน

·   ประเด็นผลกระทบที่จะเกิดทางด้านกายภาพ เสียง การสั่นสะเทือน การแผ่รังสี

·   ประเด็นผลกระทบที่จะเกิดกับของเสีย และผลิตภัณฑ์ข้างเคียงจากการผลิต

·   ประเด็นผลกระทบจากการใช้พื้นที่

หากมองที่มาตรฐาน ISO 14001 แล้ว เป้าหมายในการทำ Risk assessment หรือ Aspect analysis นั้นค่อนข้างชัดเจน เป็นประเด็นไป สามารถใช้เครื่องมือใดๆ ก็ได้ที่เหมาะสมในการประเมินความเสี่ยงด้านสิ่งแวดล้อมได้

แต่พอหันกลับมาที่ ISO 9001:2015 ที่จะต้องทำ Risk assessment ซึ่งเป็นเรื่องเกี่ยวกับ “คุณภาพ” ตั้งคำถามว่าประเด็นของ “คุณภาพ” มีอะไรบ้าง หลายคนนึกไม่ออก เลยไม่รู้ว่าจะไปเริ่มต้นที่ไหน ผมขอบอกเป็น trick ให้เลยครับว่า ให้ไปดูข้อ 4.1 ของข้อกำหนด ISO 9001:2015 จะมีหนึ่งคำในข้อนั้นที่เขียนระบุไว้ว่า “Intended result(s)” นั่นแหละคือเป้าหมายของการทำ Risk assessment ของ ISO 9001:2015

(หากใครไม่เข้าใจ สามารถเขียนมาปรึกษาได้ที่ uthen@qmlcorp.com นะครับ แต่ขอให้ระบุตัวตนให้ชัดนะครับ)

อะไรเป็นตัวตั้งต้นของการวัดความเสี่ยง?

        อะไรเป็นตัวตั้งต้น ที่บอกไว้คือ “intended result(s)” ที่จะหมายรวมเรื่องคุณภาพทุกอย่าง ที่ทางองค์กรกำหนดไว้ ดังนั้นการประเมินความเสี่ยงจึงจำเป็นต้องมีการ mapping ประเด็นก่อนทำการ measure ซึ่งในมาตรฐาน ISO 9001:2015 นั้นไม่ได้ระบุว่าจะต้องใช้วิธีการใดๆ ในการประเมินความเสี่ยง ให้ขึ้นอยู่กับองค์กร แต่ก็ได้อ้างอิงไปถึงมาตรฐาน ISO 3100 (Risk management) ซึ่งได้ recommended วิธีการประเมินความเสี่ยงไว้ 6 วิธีด้วยกัน ทั้งนี้ ISO 9001:2015 ไม่ได้ระบุ หรือบังคับวิธีการประเมินความเสี่ยง (method) ขึ้นอยู่กับองค์กรที่จะเลือกใช้

ต่างกันอย่างไรระหว่าง Aspect analysis กับ Risk analysis?

          โดยวิธีการถือว่าไม่ต่างกันเลย ถ้าใช้ methods เดียวกันเช่น FMEA แต่จะต่างกันก็คือ มุม (perspective) ในการวัด และเกณฑ์ (baseline) ในการตัดสินว่าจะ Actions อย่างไร เนื่องจาก ISO 14001 นั้นมี baseline ค่อนข้างชัดเจนคือ “กฏหมาย หรือกฏระเบียบ” ทำให้เราสามารถวาง baseline ในการ actions ได้ชัดเจน หากแต่ถ้าเป็นเรื่องคุณภาพ เราจะมีวีการวัด และการสร้างเกณฑ์ได้อย่างไร

ISO 31000: Risk management ได้ recommended วิธีการประเมินความเสี่ยงไว้ ประมาณ 6 วิธีการด้วยกันคือ

·   Questionnaire and checklist
·   Workshop and brainstorm
·   Inspection and audit
·   Flowchart and dependency analysis
·   HAZOP and FMEA approach
·   SWOT and PESTLE analysis

จึงเป็นปัญหาของทุกคนที่กำลังจะ Implement มาตรฐาน ISO 9001:2015 เวอร์ชั่นใหม่ว่าจะทำอย่างไรกันต่อไปครับ

(หากติดปัญหาประการใด สามารถติดต่อ uthen@qmlcorp.com หรือ 081-6893090)
ผู้เขียน อุเทน เข้มขัน  กรรมการผู้จัดการ

โทรศัพท์ 081-6893090, uthen@qmlcorp.com
www.qmlcorp.com