LRQA ISO- RISK BASED THINKING. Af Mogens Larsen, ISO-Academy.001

Transkript

1 LRQA ISO- 1 RISK BASED THINKING Af Mogens Larsen, ISO-Academy.001

2 Alle virksomheder oplever usikkerhed; hvordan denne usikkerhed tackles kan ofte have betydning og endog være afgørende for succes. De nye internationale standarder for ledelsessystemer i både ISO 9001:2015 (kvalitet) og ISO 14001:2015 (miljø) er delvis baseret på et princip om risikobaseret tænkning (RBT), der giver en struktureret, målbar tilgang til de problemer, der med stor sandsynlighed påvirker virksomhederne. Risiko er i begge standarder defineret som virkningen af usikkerhed. Selvom risiko oftere bliver karakteriseret som noget negativt, beskæftiger standarderne sig også med den positive side af usikkerhed: muligheder. 2 Via en rigtig forståelse af virksomhedskonteksten og nøgleinteressenternes behov, kan virksomhederne identificere og styre de vigtigste risici og muligheder igennem det strukturerede PDCA ledelsessystem (Plan-Do-Check-Act), mens planlagte ændringer integreres i processerne. Mens der er chancer for, at risici og muligheder aldrig bliver realiseret, bør der ikke tages let på en bestemmelse af de af dem, der er kritiske for virksomhederne. Fokus på de vigtigste risici og muligheder sker igennem brug af tilgængelige data og oplysninger til udarbejdelse af velunderbyggede prognoser. Dette bør ske på alle niveauer i virksomheden under hensyntagen til relevante interne og eksterne faktorer. Ved at kombinere RBT og PDCA når dit ledelsessystem udarbejdes, kommer dette ikke blot til at være i bedre overensstemmelse med de nye ISO-standarder, men det vil også udgøre et værdifuldt værktøj til opfyldelse af præstationsmålene på tværs af produkter eller serviceydelser, processer, ledelsessystemer, forretninger og strategiske niveauer.

3 Øget effektivitet, færre risici Hvorfor den større fokus på risiko? Hvad har ændret sig? Tidligere versioner af standarderne fokuserede på forebyggende handlinger. Disse lagde vægt på de grundlæggende årsager til potentielt negative situationer, og på hvordan virksomheden kunne reagere og foretage ændringer, i tilfælde af at situationerne skulle blive til virkelighed. Dette krav findes ikke længere i de nye 2015 standarder. Historisk set fandt dette krav i mange tilfælde slet ikke nogen praktisk anvendelse og blev tilbageskuende som følge af analyser af tendenser i traditionelle kvalitets- og miljødata. 3 De nye standarder bruger en mere systematisk PDCA-fremadrettet tilgang ved at identificere, prioritere og styre risici og muligheder. Annex SL den fælles tekst og højniveaustrukturen for de reviderede ISO-standarder anlægger en bredere synsvinkel med vægt på virksomhedskonteksten. Ved at bringe ledelsessystemet helt på linje med centrale virksomhedsstrategier og praksisser kan RBT få en virksomhed videre, selv om den står over for problemer, der har potentielt skadelige virkninger enten internt eller eksternt, og derved reducere eller endog forhindre mulige følgevirkninger. Desuden, hvilket er lige så vigtigt, kan RBT også stille virksomheder i en bedre situation, så de kan få fuldt udbytte af de muligheder, der opstår. Dette er helt centralt for at sikre styret bæredygtig forretningssucces på langt sigt. I den simpleste form beskrives mulige reaktioner på risici ofte som de fire T'er: Treat, Transfer, Tolerate or Terminate (reducere risikoen, overføre risikoen, acceptere risikoen eller terminere aktiviteten). At reducere en risiko sker ved at tage direkte fat i den og arbejde på at minimere usikkerheden og/eller de negative virkninger. At overføre risikoen går ud på at flytte problemet til et andet område eller ansvarsområde eller endog til en outsourcet virksomhed, såsom outsourcing af cybersikkerhed til en anden virksomhed med større erfaring og bedre kompetencer. At acceptere risikoen går ud på at lokalisere problemer, der opstår, og fortsætte kursen. Men når risici accepteres, bør enhver samvittighedsfuld virksomhed have overvejet sin evne til hurtigt at lokalisere risikoen, hvis denne skulle opstå, og reagere hurtigt og effektivt, så følgeskader begrænses. Og endelig, at terminere risikoen går ud på at stoppe aktiviteten eller den kombination af aktiviteter, der skabte risikoen i første instans. Ved at bruge disse fire mulige svar: Treat, Transfer, Tolerate og Terminate som en ramme

4 kan virksomhederne levere mod deres strategier og målsætninger. De er også i stand til at opfylde behov og forventninger fra interne og eksterne interessenter, samtidig med at de bekæmper andre eksterne trusler på en systematisk måde. Efterhånden som en virksomhed identificerer måder, hvorpå den ønsker at ændre eller udvide sine forretninger på, eller til at investere i nye teknologier, kortlægges de muligheder, hvor forbedringer kan integreres i den måde, de tackler risikoen. Hvis en virksomhed f.eks. beslutter sig for at bygge et nyt kontor eller en ny fabrik, eller hvis de beslutter sig for at investere i nye maskiner eller modernisere deres produktionslinjer, har de mulighed for at introducere nye teknologier, nye arbejdsmåder eller anvende nye materialer, som vil sætte dem i stand til at forbedre både deres kvalitet og miljømæssige ydeevne samt reducere virksomhedsrisiciene. 4 Det er vigtigt, at principperne for risikoreduktion anvendes i udviklingsfasen i et sådant projekt, inden de anvendes igennem hele livscyklussen for eventuelle virksomhedsinitiativer. Dette sikrer, at forbedringer kan identificeres og implementeres med held. Hvordan tackles risici og muligheder i de nye standarder? Forskellene i anvendelsen af RBT fra ISO 9001:2015 til ISO 14001:2015 er mindre, eftersom de generelle krav drives af strukturen af og indholdet i Annex SL. I mange tilfælde er miljøkravene i ISO skitseret mere detaljeret. Det er imidlertid ikke altid tilfældet, eftersom stærkt regulerede kvalitetsindustrier, såsom luft- og rumfart, atomenergi og fødevaresikkerhed, også burde have udspecificeret risici ud fra en lovmæssig og/eller juridisk synsvinkel. For at overholde bestemmelser/lovkrav skal virksomhederne udvise rettidig omhu i deres tilgang til risikostyring. Men for at kunne leve op til kundekrav behøver virksomhederne ikke forholde sig til alle mulige risici eller muligheder, som måtte opstå. Det er i stedet vigtigt at prioritere de vigtigste risici og muligheder ud fra resultaterne af deres analyse af virksomhedskonteksten. De kritiske faktorer er sandsynligheden for, at risikoen eller muligheden realiseres, samt omfanget af virkningerne. Dette skal afspejle den reelle verden, og risiciene og mulighederne kan ændre sig, i takt med at nye bestemmelser, teknologier og markeder dukker op. PESTLE- eller SWOT-analyser er almindelige værktøjer, der bruges til at gøre lige præcis dette (dvs. analysere politiske, økonomiske, sociale, teknologiske, lovmæssige, miljømæssige, etiske muligheder henholdsvis trusler SAMT styrker og svagheder).

5 For at opnå en certificering skal en virksomhed vise RBT på alle niveauer, lige fra de vigtigste virksomhedsmål og -strategier til systemer, processer og produkter fra en internt og/eller eksternt anlagt synsvinkel. Dette gøres ved at bestemme prioriteterne ud fra tilgængelige informationer og data samt ekspertise til udarbejdelse af velunderbyggede prognoser, og ved at vise, hvordan disse kan behandles i en løbende proces via en gentagende PDCA-cyklustilgang, dvs. igennem LS. Hvem er ansvarlig for risikobaseret tænkning? 5 De nye standarder lægger vægt på vigtigheden af lederskab og topledelsens rolle. Eftersom det ultimative ansvar for resultaterne af ledelsessystemerne, præstationer og/eller resultater er uddelegeret til de øverste niveauer i topledelsen i en virksomhed, skal ansvaret for RBT også hvile der. Eftersom omfanget af ledelsessystemerne er knyttet til nøgle-strategierne og virksomhedsmålsætningerne/nøgleprocesserne, er topledelsen naturligvis bedst egnet til at se det store, samlede billede og afveje alle organisatoriske udfordringer samt interessentbehov og -krav ud fra de dermed forbundne muligheder og risici. Det ultimative ansvar ligger ganske vist hos topledelsen, men denne kan uddelegere sit ansvar for at få defineret specifikke punkter. Eftersom RBT er inkorporeret på alle niveauer, har alle medlemmer af virksomheden en platform til at finde de vigtigste risici og muligheder på deres område og lægge dem ind i ledelsessystemet, samtidig med at topledelsen fortsat har ansvaret for følgevirkningerne af disse uddelegerede opgaver. Hvordan fører risikostyring til kulturelt engagement og bedste praksis? En nøgle til engagement er at få medarbejderne til at føle, at det de bidrager med, gør en forskel. Ved at fremme RBT i hele virksomheden og give bemyndigelse til autoriserede personer på alle definerede niveauer i ledelsessystemet, får alle medarbejdere beføjelse til at koble sig på og vise, hvordan de klarer vigtige risici og muligheder på deres ansvarsområde, samtidig med at de bestræber sig på at kæde deres indsats sammen med den overordnede strategiske kurs og virksomhedens målsætninger. Ved at kommunikere en virksomheds kurs og prioriteter ud via RBT skabes der klarhed omkring formålet, bedre informeret og afvejet beslutningstagning, og en måde til at navigere med succes og tackle udfordringer og behov fra deres spæde begyndelse. Et gammelt ordsprog: What gets measured gets managed (hvad bliver målt, bliver

6 forvaltet) gælder også her. RBT sætter fokus på afgørende emner og problemer og hjælper en virksomhed med at forstå, hvor godt man formår at tilpasse sig den forandringens kraft, som bestemmer og får betydning for fremtiden såvel internt som eksternt,,. Bedste praksis er hele tiden at måle, evaluere og hvor det måtte være nødvendigt forbedre de foranstaltninger, som træffes som et svar på målrettet, permanent udvikling af risici og muligheder. Hvordan vil en bedre risikostyring gavne min virksomhed? At anlægge en systematisk PDCA-målt tilgang til risikostyring via et ledelsessystem er en vej til løbende forbedring og forebyggende foranstaltninger. Dette hjælper til at højne niveauet for fortsat sikker succes på kort, mellem og lang sigt. Ved at identificere nøglerisici kan de negative virkninger ofte undgås eller minimeres, og evnen til at se og agere på nøglemuligheder er den konkurrencefordel, virksomheden vil få stor gavn af. 6 En virksomhed, der anvender RBT ordentligt, vil så afgjort være bedre forberedt på effektivt at tackle usikkerhed, udnytte og maksimere muligheder og de uundgåelige faktorer, der kan påvirke begge. Hobro, oktober 2017 Mogens Larsen