ניהול סיכונים לעומת פעולה מונעת
אורנה קמין, מנכ"לית OK יועצים לניהול
אחת מדרישות החובה בתקן 9001:2008 ISO הייתה פעולה מונעת. ארגון מטמיע תהליך שיטתי לפעולה מונעת כדי לקבוע פעולות לסילוק גורמים לאי-התאמות פוטנציאליות, כדי למנוע את הופעתן. דוגמאות לאי התאמות: ביצועים נמוכים, תלונות של לקוחות, אי עמידה ביעדים, אי שביעות רצון עובדים או ספקים ועוד.
בגרסת התקן 9001:2015 ISO.הוחלפה הדרישה לפעולה מונעת לתהליך של ניהול סיכונים.
האם לדעתכם יש הבדל בין פעולה מונעת לניהול סיכונים? אם יש הבדל – מהו?
כדי ענות על השאלה, נשווה את שני התהליכים, לפי שלביהם:
זיהוי
פעולה מונעת: קביעת אי-התאמות פוטנציאליות והגורמים להן
ניהול סיכונים: זיהוי הסיכון, ניתוח הסיכון
הערכת נזק
פעולה מונעת: הערכת הצורך בפעולה למניעת הופעתן של אי-התאמות
ניהול סיכונים: הערכת הסיכון (אומדן הנזק)
החלטה על פעולה
פעולה מונעת: קביעת הפעולה הדרושה ויישומה,
ניהול סיכונים: החלטה על אסטרטגית הפעולה לשיכוך נזקי הסיכון
מעקב ובקרה
פעולה מונעת: רישום תוצאות הפעולה שננקטה; סקירת האפקטיביות של הפעולה המונעת שננקטה
ניהול סיכונים: פיקוח ובקרה על הסיכון ובדיקת אפקטיביות הפעולות שננקטו
לאור האמור שלעיל נראה שלמעשה שניהול סיכונים הוא בעצם פעולה מונעת. בכל זאת, מדוע טורחים חכמי מועצת התקן ועושים שינוי שכזה?
מניסיוני בייעוץ לארגונים המעוניינים בתקן 9001 ISO למדתי כי במקרים רבים, אין הבנה ובטח שלא הטמעה של תהליך שיטתי לפעולות מונעות. מנהלי איכות בארגונים מתאמצים כדי להראות יישום של תהליך שכזה. ייתכן שהדבר נובע מכך שהתהליך לא ממש ברור וחסר את ההנחיה מה נדרש בעצם לעשות. לעומת זאת, תהליך ניהול סיכונים הוא תהליך מאד סדור ואף אפקטיבי.
סוף מעשה במחשבה תחילה
תהליך ניהול סיכונים מוסיף שתי פעולות חשובות מעבר לפעולה המונעת:
- האחת – ניתוח הסיכון. ההמלצה לטפל באותם הסיכונים עם הסתברות גבוהה שיקרו וכן עם נזק פוטנציאלי גבוה מאד.
- השנייה – החלטה על אסטרטגית הפעולה. יש מגוון אסטרטגיות לבחירה – החל מלא לעשות דבר, דרך פעולות למזעור הנזק ועד לפעולות למניעת הסיכון.
כלומר, תהליך ניהול סיכונים מוסיף נדבך של ניתוח סיכונים כדי לטפל רק בסיכונים עם פוטנציאל נזק גבוה, ולאחר שזוהו הסיכונים מכניס בחירת אסטרטגיית פעולה לטיפול בסיכון. כלומר – חשיבה בשלב הניתוח ולאחריו. חשיבה זו היא חשובה כי אין לנו משאבים לטפל בכל הסיכונים ולכן נבחר את אלה בעלי פוטנציאל הנזק הגבוה ביותר.
יש הבדל או אין הבדל?
אין הבדל מהותי. תהליך ניהול סיכונים הוא תהליך שמונע אי התאמות. כל פעילות יזומה לשיפור איכות של מוצר או תהליך, מניחה שיש סיכון ומחיר לאי-עשייה של אותה פעולת מניעה או שיפור. תהליך ניהול סיכונים מוסיף נדבכים של שיטתיות ובהירות לתהליך.
תהליך ניהול סיכונים שיטתי דורש ניתוח של כל התחום בו עוסקים וזיהוי הסיכונים לעמידה ביעדים באותו התחום. תהליך של פעולה מונעת הוא פחות שיטתי בכך שהוא לא מזכיר סריקה של כל התחום אלא מאפשר פעולות שיפור נקודתיות ואפילו מקריות.
הפעולה המתקנת היא חלק מתהליך ניהול סיכונים. תהליך ניהול סיכונים שיטתי מחייב לתעד את תהליך הבחירה לפעולה המתקנת ואת ההחלטה על אסטרטגיית הפעולה. תיעוד זה נסקר בישיבות צוות וסקרי הנהלה. תהליך התיעוד והסקירה מאפשר שיתוף וקבלת החלטה מושכלת. תהליך של פעולה מונעת מבוצע בדרך כלל בראשו של מנהל מסוים ומה שצף מעל פני השטח הוא בעיקר תוצאת הפעולה המתקנת.
האם השינוי חשוב?
לטעמי, חשוב ביותר. ניהול סיכונים הוא תהליך ממוקד ושיטתי שניתן להפעילו בכל רמות הארגון. האתגר הוא לנהל סיכונים בצורה נכונה. לדעת להבדיל בין אירוע עתידי שמהווה סיכון לבין כל מצב מסוכן או בעייה ניהולית שלא טופלה בזמן ונקראית בטעות סיכון. גרסת התקן החדש אינה מכתיבה תהליך ניהול סיכונים שיטתי, אלא דורשת שתהיה חשיבה בכיוון (Risk-Based-Thinking). ככל שעובר הזמן מרגע שהתקן הושק לעולם, ארגונים בכל זאת עוברים לאט לאט מחשיבה מבוססת סיכונים לניהול סיכונים.
ארגונים רבים בארץ ובעולם עוברים תהליך התעדה לפי תקן 9001 ISO. עד כה, ברוב הארגונים, תהליך ניהול סיכונים שיטתי אינו מוטמע בחלק גדול מהארגונים, במיוחד בארגונים קטנים. הכנסת התהליך לתקן הבסיסי והפופולארי גורמת להרבה מאד ארגונים למסד תהליך שכזה, לתועלתם. עד כה, תהליך ניהול סיכונים היה חובה רק בתקני ISO אחרים יותר כגון: ISO 27001 לבטיחות מידע, ISO 14001 לבטיחות הסביבה ועוד. המלצתי – גם אם הדרישה היא "רק" ל- Risk-Based-Thinking – מסדו תהליך ניהול סיכונים שיטתי. אל תסתפקו בדרישה המנינמלית. שהרי – לא מספיק למסד חשיבה על… מיסוד תהליך שיטתי מביא תועלת רבה.
