Zarządzanie ryzykiem

Artykuł został opublikowany w pismach:

• POMIAR nr 3 (84)/2015
• UTRZYMANIE RUCHU+DIAGNOSTYKA nr 3 (12)/2015
• ENERGETYKA & ELEKTROTECHNIKA nr 3 (33)/2015

W artykule

• Zarządzanie ryzykiem i szansami
• Systemy jakości oparte o analizę ryzyka
• Jak konsumujemy wiedzę o "wielkości" ryzyka

Dlaczego ryzyko?

W poprzednim wydaniu magazynu Pomiar umieściliśmy artykuł pt. „Powinien, znaczy musi”, który w swej treści nawiązywał do obowiązujących już w Polsce wymagań tzw. dobrych praktyk, a przede wszystkim Dobrej Praktyki Wytwarzania (ang. Good Manufacturing Practice – GMP) oraz Dobrej Praktyki Dystrybucyjnej (ang. Good Distribution Practice – GDP). Oba wymienione dokumenty, to zestaw wymagań/standardów  pierwotnie ustanowionych dla przemysłu farmaceutycznego, a obecnie dotyczący również przemysłu spożywczego, kosmetycznego i innych, gdzie produkt wyjściowy musi być bezpieczny dla zdrowia człowieka.

Jednym z podstawowych elementów obowiązujących systemów jakości jest znajomość ryzyka lub różnych rodzajów ryzyk, których skutki dla danego procesu powinny być obserwowalne. Proces zapewniający nadzór nad ryzykiem nazywany jest „zarządzaniem ryzykiem”.

Zarządzanie ryzykiem?

Ryzyko, bez względu na jego charakter, może mieć konsekwencje pozytywne lub negatywne. Starty i zyski powstałe na skutek „działania” ryzyka mogą mieć nie tylko charakter finansowy, ale również  jakościowy, społeczny, polityczny, itp. Działalność każdej organizacji, gdzie podejmowane są działania dotyczące opracowywania i wdrażania strategii operacyjnych, systemów zarządzania, planowane są działania dotyczące procesów, funkcji, projektów nowych wyrobów i usług, podlega skutkom ryzyka. Każde ryzyko ma charakter losowy, jednakże zasadnym jest nadzorowanie jego działania, zwane zarządzaniem ryzykiem.

Zarządzanie ryzykiem w zakresie jakości jest permanentnym procesem oceny i przeglądu ryzyka związanego z jakością produktów. Zarządzanie ryzykiem może mieć charakter proaktywny, jak i retrospektywny.

Zarządzanie ryzykiem, według międzynarodowej normy PN-ISO 31000:2012, są to skoordynowane działania dotyczące kierowania i nadzorowania organizacją w odniesieniu do ryzyka.

Jednym z elementów procesu zarządzania ryzykiem jest analiza ryzyka. Wyróżnia się kilka rodzajów podejścia:

• zastosowanie standardowych zabezpieczeń;
• oparte na wiedzy i doświadczeniu ekspertów;
• z wykorzystaniem technik analizy ryzyka;
• mieszane.

Analiza ryzyka jest narzędziem wykorzystywanym m.in. do:

• przygotowania polityki bezpieczeństwa;
• wdrożenia systemów zarządzania jakością;
• zarządzania projektami;
• zarządzania przedsiębiorstwem;
• analiz biznesowych.

Co z przepisami?

 Istnieje Norma Międzynarodowa PN-ISO 31000 z marca 2012, „Zarządzanie ryzykiem. Zasady i wytyczne”, w której podano ogólne, uniwersalne zasady dotyczące zarządzania ryzykiem. Cóż to jest  zatem owo ryzyko, któremu przypisuje się taką wagę? Według zacytowanej normy „ryzyko jest to wpływ niepewności na cele”. Wpływ niepewności na realizacje celów może mieć skutek pozytywny lub negatywny.

Ryzyko jest często określane w odniesieniu do zdarzeń, ich następstw lub ich kombinacji. Podstawowymi elementami zarządzania ryzykiem jest analiza ryzyka i jego ocena. Według normy, analizą ryzyka jest proces dążący do poznania charakteru ryzyka oraz określenia jego poziomu.

Oceną ryzyka jest proces identyfikacji ryzyka, jego analizy oraz ewaluacji. Ewaluacją ryzyka jest natomiast proces porównania wyników analizy ryzyka z przyjętymi kryteriami ryzyka w celu określenia czy jego wielkość jest akceptowalna.

Ryzyko w systemach zarządzania

W systemach zarządzania, w tym zarządzania jakością są zalecenia odnośnie podejmowania działań korygujących i/lub zapobiegawczych w oparciu o ocenę ryzyka - ale jakiego ryzyka?  Ryzyka wystąpienia niezgodności (przy kolejnej ocenie), ryzyka niezrealizowania zaplanowanych działań, niewykonania zadań o znaczeniu strategicznym, nieosiągnięcia zamierzonych celów itp.

Tak więc, ryzyko jest miarą zagrożenia i/lub niebezpieczeństwa wynikającego albo z prawdopo-dobnych zdarzeń od nas niezależnych albo też z możliwych konsekwencji podjęcia nieadekwatnych decyzji.

Postępowanie z ryzykiem

Postępowanie z ryzykiem jest określane przez normę jako proces modyfikacji ryzyka i może uwzględniać: unikanie działań powodujących ryzyko, podejmowanie lub zwiększanie ryzyka w celu wykorzystania szansy, usuwanie źródeł ryzyka, zmianę prawdopodobieństwa wystąpienia ryzyka, zmianę następstw ryzyka, dzielenie ryzyka np. pomiędzy strony (dywersyfikacja ryzyka) w celu „podzielenia się” skutkami ryzyka.

A co z analizą ryzyka w systemach skomputeryzowanych?

Zarządzanie ryzykiem powinno dotyczyć całego cyklu życia systemu komputerowego, ze względu na bezpieczeństwo produktu, a co za tym idzie zdrowie i życie człowieka, spójność danych i jakość produktów.

Decyzje związane z zakresem walidacji i kontroli spójności danych, będące częścią systemu zarządzania ryzykiem, powinny się opierać na uzasadnionej i udokumentowanej ocenie ryzyka systemu komputerowego.

Analiza ryzyka (ang. Risk analysis) w odniesieniu do systemów skomputeryzowanych jest oparta na Metodzie Analizy Przyczyn i Skutków FMEA (ang. Failure Mode and Effect Analysis). Istotą metody FMEA jest analiza możliwości wystąpienia błędów produktu, ich przyczyn i skutków,  na etapie jego projektowania, podczas pracy oraz w trakcie jego walidacji i kwalifikacji oraz po ewentualnych zmianach.

Metoda FMEA opiera się na założeniu, iż wykrycie i usunięcie potencjalnych wad, będących przyczyną późniejszych błędów, na wczesnych etapach opracowywania wyrobu jest znacznie tańsze i łatwiejsze niż wprowadzenie korekt na linii produkcyjnej lub u klienta. Dla każdego rodzaju błędu oddzielnie określane są przyczyny oraz skutki jego wystąpienia –

przyczyna błędu ==> rodzaj błędu ==> skutek błędu

Określenie ryzyka

Każdy błąd, przyczyna jego wystąpienia oraz skutek jego działania określa się poprzez współczynniki, punktowane w skali 1…10, i tak:

• W – prawdopodobieństwo wystąpienia błędu  (1- niskie, 2-3 – mało prawdopodobne, 4-6 – średnie, 7-8 – prawdopodobne, 9-10 – wysokie);
• Z – znaczenie błędu dla jakości produktu (1 – znikome, 2-3 – niewielkie, 4-6 – średnie, 7-8 – duże, 9-10 bardzo duże);
• O – prawdopodobieństwo wykrycia błędu (1 – wysokie, 2-3 – prawdopodobne, 4-6 – średnie, 7-8 – mało prawdopodobne, 9-10 – niskie)

Dla przykładowego oszacowania wartości współczynnika W, należy odpowiedzieć na pytanie

 „ jakie jest prawdopodobieństwo wystąpienia potencjalnego błędu?”. Jeżeli odpowiedź będzie miała charakter, np. „system/proces jest nowy w badanym obszarze, ale jest dobrze poznany i od wiarygodnego (kwalifikowanego) dostawcy”, wtedy znaczenie błędu opisujemy jako „średnie”, a współczynnik „W” uzyskuje wartość 4-6. W podobny sposób szacujemy wartość pozostałych współczynników „O” i „Z”.

Liczba ryzyka

Liczbę ryzyka R określa iloczyn trzech omówionych współczynników, który można uznać za miarę zagrożenia będącego skutkiem ryzyka.

R = W * O * Z

W przypadkach, kiedy liczba ryzyka R przekracza założone kryterium akceptacji, należy zaplanować i zrealizować odpowiednie działania zapobiegawcze, korygujące i/lub naprawcze.

 Jako pierwszy szacunkowy próg akceptacji, przyjmuje się iloczyn średnich wartości skali współczynników (dla skali 1 – 10 jest to wartość 5), co dopowiada liczbie R > 125 (W = 5; O =  5 i Z = 5). Jednakże w wielu przypadkach liczba ta nie musi w pełni odzwierciedlać stanu zagrożenia będącego skutkiem ryzyka.

W celu określenia kryteriów akceptacji liczby ryzyka, organizacja powołuje zespół dokonujący oceny i analizy ryzyka.

A co ma z tym wspólnego firma LAB-EL?

Systemy monitoringu parametrów mikroklimatu w pomieszczeniach, głównie magazynów, hurtowni, środków transportu, związanych w wyrobami farmaceutycznymi i spożywczymi, czyli tymi produktami, które muszą być szczególnie chronione w zakresie zapewnienia im odpowiednich warunków przechowywania, podlegają okresowym walidacjom i kwalifikacjom.

W przypadku aparatury kontrolno-pomiarowej produkcji firmy LAB-EL, walidacja jest przeprowadzana w procesie konstruowania i oprogramowywania urządzeń, a dowody jej przeprowadzenia tzw. testy producenta, stanowią załączniki do dokumentacji walidacyjnej.

Urządzenia pomiarowe, tworzące systemy pomiarowe są walidowane i kwalifikowane w konkretnych miejscach, u konkretnych klientów. W procesie walidacji określa się tzw. etapy krytyczne czyli takie, gdzie ryzyko wystąpienia błędu może mieć skutek na jakość nadzorowanych produktów.

Właściciel produktów „powinien = musi”, określić wartość liczby ryzyka, będącą miarą skutku wywołanego np. awarią poszczególnych elementów systemu, czyli przeprowadzić analizę ryzyka w zakresie bezpieczeństwa np. produktów leczniczych do stosowania u ludzi (dotyczy to również zwierząt).

Wracając do tytułu

Znajomość ryzyka, prowadzi poprzez jego analizę i ocenę do minimalizacji negatywnych skutków nim wywołanych, a to jest na pewno elementem doskonalącym - co należało dowieść.