ISO9001 요구사항에서 가장 애매(?)하고 적용하기 어렵고, 잘 적용하고 있더라도 항상 이렇게 하는 게 맞나(?)라는 생각이 들게 하는 항목이 있는데, 그게 바로 "6.1 리스크와 기회를 다루는 조치"입니다.
저만 그렇게 느낄 수도 있는데, 제가 속한 회사도 물론이거니와 협력업체 대부분이 이 항목에 대해서는 적합하게 적용하여 잘 쓰고 있는 사례를 본 적이 없는 것 같습니다.
예전에 ISO9001 관련 강의를 들은 적이 있는데, 그때 어떤 기업(큰 대기업이었던 걸로 기억합니다)에서 리스크와 기회를 관리를 어떻게 하는지 맛보기로 보여준 적이 있었습니다.
"와~~~" 이렇게 감탄했던 적이 있었는데, 그 뒤로 그렇게까지 하는 회사를 실제로 본 적은 없습니다. ^^;;
그럼 하나씩 살펴볼까요?
6.1.1 품질경영시스템을 기획할 때, 조직은 4.1의 이슈와 4.2의 요구사항을 고려하여야 하며, 다음사항을 위하여 다루어야 할 필요성이 있는 리스크와 기회를 정하여야 한다.
품질경영시스템, 다시 말해 품질에 초점을 두고 만드는 우리의 경영시스템을 설계/기획할 때부터 4.1/4.2항에서 식별해 놓은 조직이 처한 상황(4.1) 및 이해관계자들의 요구사항(4.2)을 고려해서 다음을 위해 리스크와 기회를 결정해서 기록하고 보여줘야 한다.
[추가반영] 단, 요구조건에 언급된 것과 같이 "다루어야 할 필요성 있는" 즉, 조치가 필요한 리스크와 기회를 평가해서 관리필요성을 판단하고 정해야 합니다. (하기 Step 3. 참고하세요)
a) 품질경영시스템이 의도된 결과를 달성할 수 있음을 보증(원하는 제품을 잘 만들자)
품질에 초점을 두고 만든 경영시스템을 통해 우리가 달성하고 하는 것(목표, 제품 등) 잘 이뤄내기 위함이다
b) 바람직한 영향의 증진(기회를 살리자)
기회를 잘 살리기 위함이다
c) 바람직하지 않은 영향의 예방 또는 감소(리스크를 줄이자)
리스크를 줄이거나 없애기 위함이다
d) 개선의 성취
리스크와 기회관리를 통해 끊임없는 개선을 이뤄내기 위함이다
결과적으로, a)~d)까지 언급된 사항을 위해서 리스크와 기회를 식별해 내야 한다는 의미입니다.
자 그럼, 이제 어떻게 해야 하는지(How?)가 남았습니다.
Step 1. 조직의상황(4.1), 이해관계자의 요구사항(4.2) 나열해 보기
앞서 우리는 4.1항을 통해 내부/외부 이슈를, 4.2항을 통해서 내부/외부 이해관계자 요구사항을 식별했습니다. 이제 그걸 그냥 목록화해서 쭈욱 한번 나열해 보죠. 모든 사항을 다 가져오는 것이 중요합니다.
4.1/4.2항을 직접적으로 언급하고 있기 때문에, 우리는 반드시 이것(?) 들을 이용해서 최종적으로 뽑아낼 리스크/기회와의 연관성을 보여주는 것이 좋습니다.
Step 2. 나열된 항목마다 어떤 결과를 가져올 수 있는지 확인해 보기(Risk Identification or Analysis)
우리가 식별해 낸 이슈와 이해관계자 요구사항이 우리한테 어떤 결과를 불러올 수 있는지(잠재적인 영향, Potential impact)와 원인을 파악해야 합니다.
잠재적인 영향을 파악할 때는 최종적인 결론에 도달하는 것보단(예를 들어, 결국은 이 리스크를 조치하지 못하면 회사가 망한다) 1차적인 영향을 고려하는 것이 좋습니다.
|
구분
|
내용
|
원인
|
잠재적 영향
(1차)
|
잠재적 영향
(2차)
|
잠재적 영향
(3차)
|
판정
|
|
외부
이슈
|
표면처리공정에
사용되는 A화학약품 사용이 법적으로
금지될 예정
|
화학약품으로 인한
환경오염 매우 심각하여 법적으로
사용금지
|
표면처리공정에
A화학약품
사용불가에 따른
제품제작중단
불가피
|
제품제작중단에 따른 매출 목표달성 어려움
|
회사망함
|
리스크
|
1차적인 영향을 고려하였을 때 이것이 우리에게 리스크인지 기회인지를 식별하면 되고, 최정적으로 리스크와 기회의 수준을 평가(Step 3) 하기 위하여 다음을 좀 더 명확하게 해야 합니다.
- 해당 리스크와 기회의 발생가능성(=실현될 가능성)
- 해당 리스크와 기회의 영향도(얼마나 심각한지, 얼마나 도움이 되는지)
평가를 위해 명확화 한다는 것은 결국 위의 내용들을 정량적인 기준에 의해서 어느 정도(degree)인지 확인할 수 있어야 한다는 것을 의미합니다. (하기 예시 참고)
|
발생가능성(빈도/가능성 측면)
|
||
|
정도
|
빈도
|
가능성
|
|
5
|
1년중 수시로 발생
|
매우높음(90%이상)
|
|
4
|
1년중 월단위로 발생
|
높음(70%이상)
|
|
3
|
1년중 분기반위로 발생
|
보통(50%이상)
|
|
2
|
1년중 반기단위로 발생
|
낮음(50%미만)
|
|
1
|
1년중 1회 정도 발생
|
매우낮음(10%이하)
|
|
영향도(비용, 운영, 신뢰 측면)
|
|||
|
정도
|
비용
|
운영
|
신뢰
|
|
5
|
매출의 %이상(일정금액이상)
|
영업중단 ~개월
|
심각한 영향
|
|
4
|
매출의 %이상(일정금액이상)
|
영업중단 ~개월
|
영향다소있음
|
|
3
|
매출의 %이상(일정금액이상)
|
영업중단 ~개월
|
판단불가
|
|
2
|
매출의 %이상(일정금액이상)
|
제작중단 ~개월
|
미미함
|
|
1
|
매출의 %이상(일정금액이상)
|
제작중단 ~개월
|
영향없음
|
Step 3. 리스크와 기회 수준의 평가 (Risk Evaluation)
우리가 당면한 리스크와 기회를 모두 관리할 수는 없습니다. 그래서 우리는 앞서 리스크/기회 분석을 통해서 확인된 발생가능성과 영향도를 토대로 수준을 평가할 수 있고 일정 수준 이상의 것을 관리하도록 하여 선택과 집중을 통해 관리의 효과성/효율성을 도모할 수 있고, 일정 수준 이상 중에서도 나름의 우선순위를 정할 수 있죠.
일반적으로 "발생도 X(곱하기) 영향도"에서 나온 점수가 몇 점 이상이면 High, Medium, Low 등으로 나눠서 하기도 하는데, 저는 경영진의 토론을 통해서 그 정도를 결정하는 것이 이상적이라고 생각합니다.
발생가능성과 영향도가 아주 칼로 자르듯이 명확하게 나올 수 있는 수준이 아닐 수도 있고, 우리 회사의 목표를 달성하기 위해서 아주 중요한 리스크와 기회를 결정하는 것에 경영진의 적극적인 개입이 반드시 필요하기 때문입니다.
그리고, 발생도 x 영향도를 통해서 관리가 필요한 리스크/기회를 식별하게 되더라도 우리의 전략적인 목표와 방향에 상응하지 않는 내용이라고 한다면, 그것을 관리할지에 대한 전략적 결정은 결국엔 경영진 또는 대표이사가 하는 것이기 때문입니다.
지금까지 우리는 6.1.1의 요구사항이 의미하는 바와 어떠한 과정을 통해서 리스크/기회를 식별하는지에 대한 내용을 살펴보았습니다. 6.1.2 리스크와 기회를 다루기 위한 조치는 다음 시간에 다루도록 하겠습니다.
그럼 이만,
※Risk Management에 대한 Guideline(Requirement가 아닙니다)은 ISO31000:2018을 참고하시면 되겠습니다.
'ISO9001 품질경영시스템 > ISO9001 요구사항' 카테고리의 다른 글
| ISO9001 [6.2] 품질목표와 품질목표 달성 기획 Part. 1 (0) | 2024.07.06 |
|---|---|
| ISO9001 [6.1] 리스크와 기회를 다루는 조치 Part. 2 (0) | 2024.07.06 |
| ISO9001 [5.3] 조직의 역할, 책임 및 권한 (0) | 2024.07.05 |
| ISO9001 [5.2] 방침(Policy) (0) | 2024.07.05 |
| ISO9001 [5.1] 리더십과 의지표명 (0) | 2024.07.05 |
