ISO9001 [6.1] 리스크와 기회를 다루는 조치 Part. 2

반응형

앞서 우리는 "6.1 리스크와 기회를 다루는 조치"를 이행하기 위하여 어떻게 리스크와 기회를 식별하는지에 대한 내용을 살펴보았고, 최종적으로 Step 3을 통해서 6.1.1항에 언급된 것과 같이 "다루어야 할 필요성이 있는 리스크와 기회" 를 정하였습니다. (하기 링크 참고!)

 

2024.07.05 - [ISO9001 요구사항] - ISO9001 [6.1] 리스크와 기회를 다루는 조치 Part. 1

​

 그럼, 계속해서 요구사항을 살펴볼까요?

​

6.1.2 조직은 다음 사항을 기획하여야 한다.

다음에 언급되는 사항을 실행하기 위하여 구체적인 계획을 수립하여야 한다.

​

a) 리스크와 기회를 다루기 위한 조치(actions to address these risks and opportunities)

조직의 목표달성을 저해할 수 있는 "리스크"는 감소시키도록, 조직의 목표달성에 도움이 되는 "기회"는 더욱 증진시킬 수 있도록 하기 위하여 세부계획을 수립하여 실행하여야 한다.

※조치(Action)란? 어떤 것을 달성하기 위한 활동

​

b) 다음 사항에 대한 방법:

1) 조치를 품질경영시스템의 프로세스에 통합하고 실행(4.4 참조)

앞서 4.4항에서 잠시 언급했었죠? (하기 링크 참고)

2024.07.04 - [ISO9001 품질경영시스템/ISO9001 요구사항] - ISO9001 [4.4] 품질경영시스템과 그 프로세스 Part. 1

 

품질경영시스템을 구축하기 위한 프로세스를 제정할 때, 리스크와 기회를 다루기 위한 조치를 위해 수립된 실행방안이 프로세스에 통합되어서 실행되어야 한다는 의미입니다.

- 기존 프로세스를 통해 다룰 수 있다면 금상첨화

- 해당 실행방안을 위해 기존 프로세스가 변경될 수도 있음

- 해당 실행방안을 통합하여 이행할 수 있는 프로세스가 존재하지 않는다면 신규로 제정 필요

​

(허접한 삽화의 재등장 ^^;;)

2)이러한 조치의 효과성 평가

a)항에 의해서 수립된 리스크 감소, 기회 증진을 위한 활동이 실제로 효과가 있었는지? 즉, 다루기 위한 조치(actions to address)의 효과성에 대한 평가를 해야 한다.

실제로 리스크를 잘 예방해서 우리가 생각한 발생가능성보다 현저히 줄었거나, 발생되었지만 임팩트를 감소시켰다면 "다루기 위한 조치"가 효과가 있었다고 봐야겠죠? 프로세스에서 통합되어 실행되고 있는 조치는 모니터링 지표에 의해서 이행여부가 점검되고, 결과 지표에 의해서 효과성이 검토될 수 있습니다.

​

리스크와 기회를 다루기 위하여 취해진 조치는, 제품 및 서비스의 적합성에 미치는 잠재적 영향에 상응하여야 한다.

리스크와 기회를 다루기 위한 조치가 혹여 제품 및 서비스의 적합성(즉, 품질 Quality)을 유지하는 것을 저해하지 않아야 한다. 즉, 제품의 적합성에 대한 연관성도 고려해야 해서, 제품이나 서비스가 잘 제공될 수 있는 방향으로 설정되어야 한다.

(본 내용은 해석이 다양할 수 있습니다만, 전체 맥락에 따라 위와 같이 이해가 됩니다.)

​

비고 1. 리스크를 다루기 위한 선택사항 (회피, 감소, 원인제거, 발생가능성 또는 결과의 변경, 유지 등)

기본적으로는 우리한테 리스크라고 판단되는 사항은 원인을 제거해서 뿌리를 뽑아(?) 버려야 하는데, 그러지 못하는 것들은 상황에 따라 피하거나, 발생가능성을 조금 줄이거나, 임팩트를 줄이거나 하는 여러 가지 옵션이 있음.

​

비고 2. 기회를 증진시키는 실행방안 (새로운 실행방안 채택, 신제품 출시, 시장 개척, 신규 고객 창출, 신기술 활용 등)

별 다른 설명 없어도 이해하시리라 생각됩니다 ㅎㅎ

​

요구사항에 대한 이해는 위와 같이 정리하고, 앞서 리스크 식별-분석-평가의 Step에 이어서, 리스크와 기회를 다루기 위해서는 어떻게(How?)해야 하는지 한번 살펴보죠.

​

Step 4. 분석으로 확인된 원인/결과에 따라 조치계획 수립하기

Step 2,3을 통해 관리필요성이 확인된 리스크와 기회를 다루기 위한 조치를 구체적으로 수립해야 합니다.

리스크이 경우에는 비고 1을 참고해서 해당 리스크가 제거할 수 있는지, 회피할 수 있는지 등을 먼저 결정한 후에 그에 따른 세부조치계획을 수립하면 되겠습니다.

1) 세부조치활동 정의 (리스크 감소, 기회 증진 등을 위한 구체적인 활동계획)

2) 세부조치활동 목표 및 활동 기간 설정 (목표는 달성여부를 측정하기 위하여 정량적으로 설정필요)

3) 어떤 프로세스에 통합하여 관리할지 확인 (필요시 제/개정에 대한 조치활동 정의)

4) 세부조치활동에 대한 모니터링, 수행완료여부 평가방법 및 시기 결정

※6.2.1항, 6.2.2항에 언급된 것과 같이 품질목표를 기획할 때와 동일하게 적용하시면 됩니다.

​

Step 5. 세부조치활동에 대해서 어떤 프로세스를 통해 관리할지 결정하기

6.1.2, b),1)에서 언급한 것과 같이 조치를 프로세스에 통합하고 실행해야 합니다.

1) 세부조치활동이 어떤 업무영역에서 실행될 수 있는지 확인

2) 기존 업무영역에서 관리될 수 있는 활동인지, 새로운 업무정의가 필요한지 확인

3) 필요시 기존 프로세스의 변경, 새로운 프로세스의 제정을 통해서 세부조치활동을 프로세스에 통합

4) 세부조치활동이 잘 이행되고 있는지에 대한 모니터링 지표, 달성여부를 확인할 수 있는 결과지표를 설정

​

Step 6. 리스크/기회를 다루는 조치가 잘 이행되고 있는지 확인하기

일반적인 프로세스의 모니터링에서 리스크와 기회를 다루기 위한 조치는 별도로 목록화하여 이행과 목표달성이 잘 이뤄지고 있는지 최소 월단위로 확인합니다.

​

Step 7. 효과성 평가하기

세부조치활동의 목표기간 및 목표가 달성되는 시점에 해당 조치활동으로 인해 목표한 리스크 감소와 기회증진이 이뤄졌는지 평가해야 합니다. 평가하는 방법은 최초에 Step 3에서 했던 수준을 평가했던 방법과 동일하며, 세부조치활동이 끝난 후에 평가하는 것이 중요합니다.

그리고, 세부조치활동의 목표달성 및 기간이 만료되기 이전에라도 리스크에 대한 중간 평가가 필요할 수 있습니다. 내/외부의 이슈가 저절로 해소되는 경우에는 더 이상 인력/자원을 투입해서 목표를 달성할 필요가 없기 때문입니다.

세부조치활동에 대한 조치가 상반기 또는 3분기 정도에 끝나더라도, 대부분의 회사에서 연말에 몰아서(?) 평가를 해버리는 경우가 많은데, 이렇게 되면 효과가 없는 경우 세부조치활동을 재수립하는 적합한 타이밍을 놓쳐버릴 수 있습니다.

​

Step 8. 효과성 평가에 따른 후속조치

세부조치활동이 끝나고 해당 조치활동이 효과가 있었는지 평가했는데, 만약 리스크가 감소되지 않았다면...? 기회를 살리지 못했다면...? 어떻게 해야 할까요?

이런 경우, 세부조치활동이 적합하게 수립되지 않은 것으로 볼 수 있습니다. 다만, 우리가 미리 예상치 못한 영향들이 있을 수 있지만, 이는 중간중간 모니터링 및 평가가 제대로 이뤄지지 않았기 때문에 효과가 없는 조치들이 어이질 수밖에 없었다고 밖에 판달될 수 있습니다.

그래서, Step 2로 돌아가 해당 리스크/기회의 원인과 결과를 다시 한번 분석해서 세부조치활동을 재수립하고, 해당항목이 조치되었다는 평가가 나올 때까지 계속 P-D-C-A 사이클을 돌리는 겁니다.

​

자 지금까지 "6.1 리스크 및 기회를 다루는 조치"를 알아보았습니다.

양식에 대해서 문의를 주시는 분들이 많은데, 제가 언급한 Step을 엑셀에 가로방향으로 표현해 보시고 본인이 이해하신 만큼 실제로 운영해 보시길 바랍니다. 아무리 좋은 양식도 각 단계별, 각 행위에 대한 내용을 정확하게 이해하지 못한다면 100% 활용하기란 어렵습니다. ^^

​

이제 아침, 저녁으로 쌀쌀한 가을이 온 것 같네요. 다들 감기 조심하시고요.

​

그럼 이만.