ISO9001:2015 리스크와 기회를 다루는 조치

[최인권]

ISO9001:2015 리스크와 기회를 다루는 조치

미래는 원하는대로 되지 않는다 그러기 위해서는 지금 의사 결정을 해야 한다. 지금 행동하고 위험을 무릅써야 한다. 필요한 것은 장기 기획에서는 없는 전략 계획이다.

6장은 품질 목표를 제정하고 이를 달성하기 위한 계획을 수립 하도록 정한 요구사항이다.

개정에 의한 주요 변경의 하나가 리스크와 기회를 다루는 조치;가 강하게 요구되는 것이다. 이에 따른 ISO9001:2008 표준의 “예방조치”이란 용어가 삭제되었다. 하지만 부적합 사항을 사전에 예방한다는 생각은 오히려 강화됐다고 볼 수 있다. 왜냐하면 표준의 여러 지 장면에서 리스크에 대응할 것이 요구되고 있기 때문이다.

리스크 조치는 조직 자체의 상황과 제품과 서비스에 관련된 프로세스의 복잡성 등의 요인에 의해서 크게 다르다. 간단한 리스크 평가와 대응책을 세우는 경우도 있고 한편 ISO31000을 활용하는 경우도 있다

클라우드 컴퓨터를 이용한 데이터베이스에 의한 업무 운용을 하면 프로세스를 효과적으로 운용할 수 있는 반면 데이터의 외부 노출이라는 리스크도 생긴다. 이렇게 리스크와 기회는 한 쌍이다. 또 어떤 한정된 기간에 신규 참가하는 제품과 서비스라면 기회다.

“리스크 기반 사고”가 ISO9001:2015 표준에 강한 영향을 주는 것이 이 조항이다. 그러나 어디까지 리스크 경영을 활용할 지는 조직의 결정 사항이며 변하지 않았다.

리스크의 개념은 ISO9001 에서는 지금까지 암묵적으로 제시되어 왔다. 이번 개정에서는 그게 더 선명하게 명시되어 모든 경영 시스템에 편입됐다

리스크 기반 사고는 프로세스 접근 방법의 일부이다

리스크 기반 사고는 예방조치의 일부로 일상화 되고 있다

리스크는 대부분 부정적인 의미로만 생각되고 있다. 리스크 기반 사고는 기회를 명확히 하는데도 도움이 된다. 이것은 리스크의 건설적인 면이라고 생각된다

하지만 리스크 기반 사고의 개념은 외부 공급자와 연관되는 것을 잊어서는 안된다. “8.4.2 외부 공급자의 관리 형태와 범위”에서는 리스크의 용어는 사용되고 있지 않다. 하지만 잘 이해하지 못하는 “외부 공급자에 의해서 적용되는 관리의 인식된 효과성”의 의미에는 리스크가 될 요인을 명확하고 리스크를 관리할 필요가 있는 것이 포함되어 있다

다음 요구 사항을 충족시키는데 뭘 해야 할지를 생각한다

조직에서의 리스크와 기회를 분석할 우선 순위를 부여한다

• 무엇이 받아들여질까

• 무엇이 받아들여지지 않나

  다음, 리스크에 대처하기 위한 액션을 계획한다. 자가 진단으로

• 리스크를 회피하거나 혹은 감소하려면 어떻게 하면 좋을까

• 리스크를 완화하려면 어떻게 해야 할까

  그리고 그 계획을 실행하는 활동을 야기하는

• 활동의 효과를 조사하는 것은 어땠는가

• 경험을 학습했는가

• 지속적 개선