W ciągu ostatnich lat w wielu branżach coraz mocniej odczuwalny jest wzrost znaczenia narzędzia, jakim jest oceny ryzyka. W 2015 roku opublikowane zostało nowe wydanie normy EN ISO 9001 Systemy zarządzania jakością - Wymagania, a wśród wprowadzonych przezeń zmian znalazł się obowiązek wykonania oceny ryzyka. Norma ta czerpie z wymagań zawartych w normie ISO 31000:2009 Zarządzanie ryzykiem - Zasady i wytyczne, która nie jest specyficzna dla żadnego przemysłu lub sektora, dlatego może być stosowana przez każde publiczne, prywatne lub spółdzielcze przedsiębiorstwo, stowarzyszenie, grupę lub osoby fizyczne.
Dla ułatwienia wszyscy potencjalni użytkownicy normy nazywani są ogólnym terminem "organizacja". Standard ten może być stosowany w ciągu całego okresu działalności organizacji oraz w szerokim zakresie działań, łącznie ze strategiami i decyzjami, operacjami, procesami, funkcjami, projektami, wyrobami, usługami i aktywami. W lutym 2018 roku Międzynarodowa Organizacja Normalizacyjna ISO opublikowała nowelizację normy ISO 31000:2018. A nowe wydanie uwzględnia wiele nowych aspektów, których znaczenie wzrosło na przestrzeni ostatnich lat. Norma promuje hasło: „Wczorajsze podejście do zarządzania ryzykiem nie jest już adekwatne do dzisiejszych zagrożeń.” Dlatego w normie zostało uwzględnione między innymi ryzyko związane z:
- utratą reputacji przez firmę,
- cyberprzestępczością,
- decyzjami politycznymi,
- czy terroryzmem.
Przedstawiciele ISO oficjalnie przyznają, że nowa norma jest bardziej przewodnikiem niż sztywnym wymaganiem. Jak więc widać ocena ryzyka stała się priorytetem na zasadzie „być albo nie być” dla wszystkich przedsiębiorstw i organizacji.
Niezależnie od oceny ryzyka wykonywanej dla organizacji, procesu lub projektu, niektóre unijne dyrektyw dotyczące produktów, na przykład dyrektywy MD 2006/42/EC, MDD 93/42/EC, ATEX 2014/34/UE i inne, już wcześniej narzucały wymóg przeprowadzenia i udokumentowania oceny ryzyka. Z datą wprowadzenia unijnego Pakietu Towarowego (tj. rozp. 764/2008, rozp. 765/2008 oraz dec. 768/2008/EC) obowiązek przygotowania dokumentacji technicznej obejmującej analizę i ocenę ryzyka stał się wymaganiem wszystkich dyrektyw nowego i globalnego podejścia. Ostatecznie zmiana ta została wprowadzona w 2014 roku poprzez nowelizacje znacznej części dyrektyw. W ten sposób ocena ryzyka stała się obowiązkowa dla wszystkich produktów znajdujących się w zakresie unijnych dyrektyw dotyczących oznakowania CE i innych oznaczeń potwierdzających zgodność z wymaganiami obowiązującymi na terenie Wspólnoty. Obecnie dokumentacja techniczna dla wszystkich produktów wymaga udokumentowanej oceny ryzyka, a to z kolei wpływa na zawartość instrukcji obsługi oraz ostrzeżenia i informacje umieszczane na produkcie. Nie można tego zaniedbać, ponieważ to właśnie te elementy związane z formalną zgodnością produktu są najczęściej kontrolowane przez inspektorów organów nadzoru rynku.
W przypadku, gdy produkt nie spełnia wszystkich właściwych wymagań unijnych, może się zdarzyć, że inspektor zdecyduje się nałożyć przewidziany ustawą mandat karny, wstrzymać dystrybucje, nakazać wykonania badań i testów produktów, a nawet nakazać wycofanie produktu z rynku, co jest bardzo kosztowne i negatywnie wpływa na reputację firmy. Przekonały się o tym liczne przedsiębiorstwa, które zaniedbały kwestie zgodności i bezpieczeństwa swoich produktów. Tematykę kontroli ze strony polskich organów nadzory rynku i konsekwencji wprowadzenie produktu niezgodnego z wymaganiami szeroko omawiamy na naszym szkoleniu Kontrole organów nadzoru rynku.
Biuro riskCE od długiego czasu profesjonalnie zajmuje się tematyką oceny ryzyka w kontekście produktów, procesów i projektów. Mamy na koncie wiele zrealizowanych projektów związanych z oceną produktu, co dało nam duże doświadczenie w tym zakresie.
Ocena ryzyka – z czym się to wiąże?
W przypadku organizacji, ocena ryzyka w przedsiębiorstwie powiązana jest z koniecznością przeprowadzenia bardzo dokładnej identyfikacji ryzyk poprzez określenie kontekstu zewnętrznego i wewnętrznego firmy, obszarów lub zdarzeń, z którymi mogą wiązać się zagrożenia i niepożądane efekty. Następnie należy wykonać analizę potencjalnych ryzyk, aby następnie wykonać ocenę ryzyk określając poziom ich wpływu na realizację celów organizacji. Dopiero wtedy można potraktować ryzyka wybierając, planując i wdrażając środki kontroli ryzyk. Oczywiście należy pamiętać, że zarządzanie ryzykiem ma charakter ciągły, zatem całą procedurę należy regularnie powtarzać uwzględniając identyfikacje nowych ryzyk.
W przypadku produktów, ocena ryzyka wygląda bardzo podobnie. Procedurę zaczynamy od określenia ograniczeń związanych z produktem, następnie identyfikujemy zagrożenia, przechodzimy do szacowania zagrożeń. Następnie wykonujemy ewaluacje ryzyka, która pozwoli ocenić czy trzeba wprowadzić 3-krokową metodą zmniejszania ryzyka, czy może należy zaakceptować rozpatrywane ryzyko. Procedurę oceny ryzyka dla produktów dokładniej została omówiona na Blogu wiedzy rCE we wpisie Ocena ryzyka vs unijne dyrektywy. W naszym kraju firm, które są w stanie przeprowadzić ocenę ryzyka dla produktów na bardzo dobrym poziomie jest stosunkowo niewiele. Dlatego też wybór firmy, która zajmie się wykonywaniem tego procesu powinien być poprzedzony bardzo dokładną analizą jej oferty i reputacji. Szkoda wyrządzona przez niedostatecznie rzetelną ocenę produktu jest podwójna, ponieważ wiąże się zarówno z utratą dużej ilości pieniędzy zarówno na wadliwą usługę, jak i późniejsze konsekwencje dla produktu.