Risk-Based Thinking (RBT) คือแนวคิดที่ ISO 9001:2015 นำมาแทนแนวทาง Preventive Action แบบเดิม แทนที่จะรอให้เกิดปัญหาแล้วค่อยแก้ มาตรฐานต้องการให้องค์กร คิดถึงความเสี่ยงล่วงหน้า และนำความเสี่ยงนั้นมาเป็นพื้นฐานในการวางแผนระบบบริหารคุณภาพ
สิ่งที่ auditor ต้องการเห็นไม่ใช่ form ที่สวยงาม แต่คือหลักฐานว่าองค์กร ระบุความเสี่ยง วางแผนจัดการ และทำได้จริง
RBT ต่างจาก Risk Management ทั่วไปอย่างไร
| RBT ใน ISO 9001 | Formal Risk Management |
|---|---|
| ไม่บังคับให้ทำ Risk Assessment อย่างเป็นทางการ | มักกำหนดวิธีการเฉพาะ เช่น FMEA, HAZOP |
| เน้นความเสี่ยงที่กระทบต่อ QMS | ครอบคลุมทุกมิติขององค์กร |
| ทำได้หลายรูปแบบ ขึ้นกับขนาดและประเภทองค์กร | มักต้องการผู้เชี่ยวชาญเฉพาะด้าน |
| ต้องแสดงว่า "risk thinking" อยู่ในทุกกระบวนการ | มักแยกส่วนออกมาต่างหาก |
ขั้นตอนปฏิบัติ: ทำ RBT ให้ผ่าน Audit
Step 1: ระบุ Context ขององค์กร (ข้อ 4.1 และ 4.2)
ก่อนระบุความเสี่ยงต้องเข้าใจ context ขององค์กร:
- Internal Issues: จุดแข็ง จุดอ่อน โครงสร้างองค์กร ทรัพยากร วัฒนธรรม
- External Issues: กฎหมาย ตลาด เทคโนโลยี คู่แข่ง ซัพพลายเออร์
- Interested Parties: ลูกค้า พนักงาน ผู้ถือหุ้น ผู้กำกับดูแล
ผลจาก Step นี้คือรายการ Issues ที่ส่งผลต่อความสามารถในการบรรลุผลลัพธ์ที่ต้องการ
Step 2: ระบุความเสี่ยงและโอกาส (ข้อ 6.1)
ใช้ข้อมูลจาก Step 1 มาระบุว่า:
- Risks: อะไรที่อาจทำให้ระบบ QMS ล้มเหลวหรือผลลัพธ์ไม่เป็นไปตามเป้า
- Opportunities: อะไรที่ทำให้ระบบดีขึ้นหรือสร้างมูลค่าเพิ่ม
ตัวอย่างความเสี่ยงที่พบบ่อย:
- พนักงานที่มีทักษะเฉพาะทางลาออกกะทันหัน
- ซัพพลายเออร์ไม่สามารถส่งวัตถุดิบตรงเวลา
- กฎหมายใหม่เปลี่ยนข้อกำหนดผลิตภัณฑ์
- เครื่องจักรหลักเสียกลางสายการผลิต
Step 3: วางแผนจัดการความเสี่ยง (Actions to Address)
สำหรับแต่ละความเสี่ยง กำหนด:
- Action: ทำอะไรเพื่อลด likelihood หรือ impact
- Owner: ใครรับผิดชอบ
- Timeline: ภายในเมื่อไหร่
- Integration: นำ action ไปรวมอยู่ใน QMS process ไหน (ไม่แยกต่างหาก)
ตัวอย่าง: ความเสี่ยง "พนักงานทักษะเฉพาะลาออก" → Action: จัดทำ Cross-training, บันทึก Tacit Knowledge, สร้าง Succession Plan → รวมอยู่ใน Training Plan ประจำปี
Step 4: เชื่อมกับ Quality Objectives
ความเสี่ยงที่ระบุไว้ต้องสะท้อนอยู่ใน Quality Objectives หรือ Action Plans บางส่วน auditor จะตรวจว่า Objective ที่ตั้งไว้สอดคล้องกับความเสี่ยงหลักของธุรกิจหรือไม่
เครื่องมือที่ใช้บ่อย
Risk Register (ตาราง Risk) เหมาะสำหรับส่วนใหญ่:
| ความเสี่ยง | Likelihood | Impact | Score | Action | Owner | Due |
|---|---|---|---|---|---|---|
| พนักงานหลักลาออก | สูง | สูง | 9 | Cross-training | HR | มี.ค. |
| Supplier ล่าช้า | กลาง | สูง | 6 | Approved Vendor List | Purchasing | ก.พ. |
FMEA (Failure Mode Effects Analysis) เหมาะสำหรับกระบวนการผลิตหรือห้องปฏิบัติการ มีรายละเอียดกว่า แต่ใช้เวลามากกว่าด้วย
เชื่อมกับ Management Review และ Internal Audit
ความเสี่ยงในระบบต้องถูกทบทวนใน Management Review ทุกรอบ และ Internal Audit Checklist ควรครอบคลุมการตรวจสอบว่า action ที่วางไว้สำหรับความเสี่ยงได้ดำเนินการจริงหรือไม่
บทความที่เกี่ยวข้อง
- Management Review ทำอย่างไรให้ครบและผ่าน Audit — Risk เป็น input หนึ่งของ Management Review
- สร้าง Internal Audit Checklist ที่ใช้ได้จริง — วิธีรวม Risk clause เข้าใน checklist
- ขอรับรองมาตรฐาน ISO ต้องเตรียมอะไรบ้าง และใช้เวลานานแค่ไหน — RBT เป็นส่วนหนึ่งของ Phase 2 การจัดทำระบบ