ISO 경영시스템의 공통 요구사항 중 하나는 리스크 관리이며, 단독 요구사항으로도 의미를 갖지만, ISO 14001의 환경영향평가, ISO 45001의 위험성 평가 등과 같이 복합적으로 작용하기도 한다. 따라서 ISO 경영시스템을 운영하는 입장이라면 리스크 관리는 다루어야 할 핵심 요구사항인 것이다.
예전에 작성한 ‘리스크와 기회’라는 글이 리스크 관리를 어떻게 해야 할 것인가에 대하여 적은 글이라면, 이번에는 전체적인 조직의 업무 프로세스 중에서 리스크 관리를 어떻게 다루어야 하는지 언급하고자 한다. 다시 말해서, 지난 글이 개념과 방법론에 대한 글이라고 한다면 이번 글은 보다 전체적인 흐름에서 업무에 실제 적용 가능하게 작성된 글이라고 이해하길 바란다. HLS 구조상 모든 경영시스템 표준은 유사한 구조를 지니므로 여기서는 대표 표준인 ISO 9001을 근거로 해서 설명하기로 한다.
1. 조직의 내외부 이슈 및 이해관계자의 요구사항을 분석한다.
조직이 현재 처한 상황을 고려하여 내부, 외부 이슈 및 관련 이해관계자의 요구사항을 분석한다.
2. 리스크 선별 및 리스크 평가를 실시한다.
분석한 결과에 따라 리스크 관리가 필요한 이슈를 선별한 후 리스크 평가를 실시한다.
※ 1, 2번에 대한 자세한 내용은 예전 글인 ‘리스크와 기회’ 참고.
3. 리스크 평가 결과 다루어야 할 필요가 있는 리스크를 정한 후 해당 이슈에 상응하는 조치를 결정해야 한다(ISO 9001:2015, 6.1.1).
해당 조치를 실행하기 위한 전략으로는 회피, 감소, 제거나 변경, 유지 등의 전략을 취할 수 있으며, 그러한 전략의 실행은 조직이 기존에 운영하고 있는 경영시스템의 프로세스에 통합하여야 한다(ISO 9001:2015, 6.1.2).
예를 들어, 원자재 공급 불안정에 대한 리스크를 처리하기 위하여 거래처 다변화라는 회피전략을 선택하였다면, 기존의 협력업체 관리 프로세스에서 규정하고 있는 신규업체 선정 프로세스를 활용하여 대응조치를 마련해야 한다.
이러한 조치들은 적합성을 담보해야 한다고 규정되어 있으므로(ISO 9001:2015, 6.1.2) 취하려는 조치가 기존 경영시스템의 프로세스에 없는 절차라면 경영시스템의 변경(ISO 9001:2015, 6.3)이 필요한 것이다.
4. 리스크를 처리하기 위한 조치를 실행하였다면 조치의 효과성을 확인하기 위한 모니터링이 실시되어야 한다.
모니터링은 주간회의, 월간회의, 정기 보고 등의 다양한 방법 등이 사용될 수 있으며, 만일 모니터링을 통해 취해진 조치의 효과성이 없다고 판단되면 새로운 조치를 간구해야 한다.
5. 경영검토를 통해 취해진 효과성을 최종적으로 확인한다.
확인 결과물은 다음 사업계획에 반영되어야 하므로, 효과성 여부에 따라 조치의 지속여부를 판단한다.
6. 모니터링, 내부심사, 고객통보 등의 형식으로 발생한 부적합 사항 중, 새로운 이슈가 발생하였고 그 이슈가 조직이 다루어야 할 필요가 있는 리스크라고 판단되면, 기존의 리스크 목록을 갱신하여 다루도록 한다.
지금까지 설명한 내용을 흐름도로 표현하면 아래와 같다.
'ISO인증 자료실' 카테고리의 다른 글
| ISO 인증 신청 방법, 비용 및 진행 절차 (0) | 2020.05.06 |
|---|---|
| ISO 매뉴얼 만들기 – (23) 운용기획과 관리 (0) | 2020.04.21 |
| ISO 매뉴얼 만들기 – (21) 문서화된 정보의 관리 (0) | 2019.09.30 |
| ISO 매뉴얼 만들기 – (20) 문서화된 정보의 작성, 갱신 (0) | 2019.09.09 |
| ISO 매뉴얼 만들기 – (19) 문서화된 정보 : 일반사항 (0) | 2019.04.29 |