前言
2015年ISO9001改版時,其中重要的兩大核心變化就是:提出風險思維與過程導向,因此往後的六年間,其他的ISO管理體系都在異動調適,其中風險思維跟流程導向也都特別地強化,而管理架構也越來越接近,因此在任何ISO的管理系統中更應該要思考風險思維這件事情,而這也是現在大家鮮少提到的議題,因此這次我們以風險的角度來剖析ISO管理系統,這次我們採用日常的生產作業與新建廠房這兩個模式來做比對說明
重新定義
這邊我們需要重新定義風險與管理系統,讓大家能有新的認知會更好說明
風險再定義
大家對於風險還是偏向負面的名詞,但是在這邊我用另外一個方式來闡述風險,風險其實就是對於未來發生的事情具有不確定性的綜合代名詞,這也代表可能發生好事,也可能發生壞事,然後影響的範圍或衝擊也不確定是否是你可以掌握跟承受的範圍內,因此這代表著風險具備著發生不確定性,衝擊大小的不確定性最簡單的例子就是颱風,對於我們所屬的台灣而言,颱風也不是每年都會侵台,依據歷史紀錄來看1941年、1964年、2020年都沒有颱風侵台,但是其餘年份都有侵台,因此侵台的機率非常高,因此侵台後造成的衝擊可能大可能小,這也取決在地點,防護設施、、、等等的
管理系統再定義
大家對於為何需要管理系統都是落在因為客戶與潮流需求而建立,而對於我從風險的角度來看管理系統,我反而覺得『管理系統是架構在公司為了商業獲利而產生的系統框架、提高正效益、降低負支出』的,而這個觀念是反而一個非常重要的基礎,管理系統是為了要強化正向收入(機會)與降低負向支出(風險),就像是品質管理系統(ISO9001)是正向多於負向,以管控(負向)不良品產生與促進(正向)良好產出的服務產品為主,而職安衛管理系統(ISO45001)負向控管多於正向獲利,以控管減少人員工作傷亡造成產線缺勤,工作落後,促進人員工作效率為主,所以差異只在於正向與負向的佔比比例的差別,還有一件事情就是知道整體的營運資金投入的方向,畢竟營運的每一分錢都要用在刀口上,怎樣才能得到大的效益。
何謂管理體系的風險評估?
針對管理體系的風險評估,個人認為風險評估是一種篩選公司營運上的衝擊或特定項目衝擊的工具,管理系統的風險評估其目的是要依據『風險評估的結果去思考該執行什麼樣的管理措施』,所以風險評估是一個接續行動任務與行為準則的先行作業,邏輯順序如下圖所示
高階營運風險評估說明
由於評估的過程,為求評估比較時的公平性,所以會產生不同等級與評估項目,因此會從最高階的營運風險進行檢討後,再接續下去進行各項特殊的功能別的進行評估不同的分項評估方式,這也是為什麼ISO管理系統都會有一個項目就是組織前後環節這個項目,內容不外乎是只是該管理系統對於組織的影響,那這樣的狀況下,大家是不是可以思考一下,如果這個每個ISO管理系統都是這樣,那相對的上面應該會需要有一個公司核心的指引來規劃,才能讓大家更能夠聚焦呢?
當然沒錯這是需要的,那就是整個公司的企業靈魂(企業核心價值),基於企業的核心價值、商業環境所發展的企業商業營運評估,延伸發展出公司的營運策略、願景,之後再套入各功能別進行發展與評估,如品質的ISO9001、能源的ISO50001、環保ISO14001、職安衛ISO45001、企業持續營運ISO22301、資安ISO27001、、、等等其他的管理系統中,因此高階的商業營運策略,包含所擬定的短、中、長期的戰略目標也會影響到個系統間的平衡與比重,雖然有明確的方向,但這也會受到外在環境因素的拉扯,造成需要多走一些路,或是需要投入資源強力拉回的狀況,這也是在這個時候也必須對各項風險設定風險應對的策略定義,除此之外每年還是需要進行適當檢視並調整資源比重確認校政與調整,這也是為什麼每個管理系統都需要定期去評估檢視,正常的營運商業活動而言,都是以年為週期,因此也造成管理體系的運作多以年為基礎進行規劃,也降低重工的可能性。
然而就前面所得到之的高階風險,有可能就會直接進行進一步的實施與規劃,通常我都會喜歡用專案模式進行控管,採用『專案管理』的模式來執行與管控會讓整個管理過程更完善,或是再更近一步的進行細項的風險評估,其目的是為了要篩選高階風險中,因為評估準則而短缺的專項風險。
各功能別系統面的風險評估說明
當高階風險評估完成後,進到各專項的風險評估時,大家很長的就先設想有什麼措施已經做了,在這邊非常建議大家先無視這些已經有的措施,這樣才能讓大家做的更好,可以知道本質上的風險,而前面我們有提到風險評估的目的是為了接續後端的處理措施,所以我們可以從這些評估中得到四大分類,分別為高衝擊高頻率、高衝擊低頻率、低衝擊高頻率、低衝擊低頻率,針對這些分類我們以衝擊為考量進行說明該如何管控。
高衝擊
原則都需要有對應的預防措施以及緊急應變的措施與準備作業
高頻率
由於高頻率通常是我們常說的不可接受的風險、重大環境衝擊或是關鍵的生產製程或程序,因此要進行必要的專案改善,除此之外我在補充說明一些需要注意的事項
- 製作標準作業文件與確認人員作業手法的一致性,目的是所要求作業的結果是一致
- 擬訂關鍵查核校正的查驗點,目的確保有無疏失,如同職安的自動檢查或品質的線上抽樣檢查
- 擬訂緊急應變措施、準備必要的應變器材並定期檢視可用性,避免狀況發生後的事件擴大並適時的進行小型演練
低頻率
高衝擊低頻率這是在風險評估很容易被遺漏的作為可接受的風險,因此更需要對此作業進行必要的管制措施,以下為幾個認為應該要執行的措施
- 制定作業管制許可與臨時的查驗機制,目的在於確認作業的
- 訂定標準作業程序且作業前應進行教育訓練與危害說明,確保人員知道作業內容
- 擬訂緊急應變流程並且需要定期進行訓練評估演練狀況,目的是因為不常發生所以要讓大家熟悉這些突發狀況,大家也可以思考成就像火災消防演練
- 評估並確認緊急應變器材與設備的有效性與需求
低衝擊
低衝擊屬於可以接受的衝擊範圍,但不代表我們可以忽視,也是需要為這些事情進行必要的管理
高頻率
由於高頻率低衝擊這代表作業頻繁,但為了確保作業的可靠度,或是人員作業的不穩定性,避免經常出問題後的累積而造成更重大事件的損失或影響,除此之外這些低度的衝擊也有可能是某些低風險部門評估出來的高衝擊為此我們提供以下幾個建議的措施,
- 製作標準作業文件與確認人員作業手法的一致性,目的是所要求作業的結果是一致
- 不定期查驗與校正的查驗點,目的確保有無疏失
- 追蹤實際狀態,發生問題應進行根因調查與改善
低頻率
低衝擊低頻率這其實是公司營運中完全可接受的風險,所以並不建議作為優先處理的事項,因此管控措施建議可以執行以下措施
- 簡易單張的管理措施或公告
- 必要的警告標語
小結
從風險的視角去看待ISO管理系統更容易讓人可以理解為什麼需要作業程序,因為衝擊與頻率的影響,期待要一致性的產出提高優化與穩定性,也重新定義ISO管理系統的目的『提高正效益、降低負支出的系統框架』,讓推行人員有所思考企業營運的本質在於創造營收,在推行時該採用怎樣的觀點去說明與闡釋。
結論
這次我們透過風險管理的角度來闡述ISO管理系統,希望大家可以在透過不同的風險思維來看待管理系統,也簡單的描述與補足一些管理系統上隱性的要求與基礎面,也包含為何會需要作業指導書與程序書,而非為了做而作加了很多不需要的程序文件,也期望讓大家在推行管理系統時可以對於自己的營運組織中進行調適,但相對的這些概念也是用在各項的風險治理的管理手法上,期待大家可以更優化自己的管理系統。
延伸閱讀
有關於風險整體架構的說明可以可以參考-> 風險管理的整合觀念
有關於為何相同事情不同的公司會有不同的策略、公司資源比重的不平均可以參考下述文章
了解風險並且具體的描述,讓你在風險溝通更有效-> 風險管理的關鍵描述
職安人還可能需要多看這幾篇風險文章可以幫助您的風險控管更有效
自動引用通知: 如何看待法規遵守與合規性 | 瀚博職業衛生技師事務所