Tillbaka
Riskbaserat angreppssätt – så implementerar du AQAP pragmatiskt

Att omhänderta AQAP-kraven kan kännas som ett stort omtag. Det blir det sällan om du har en förståelse för risker och tar stöd av den i införandet.

METODIK
Att omhänderta AQAP-kraven kan kännas som ett stort omtag. Det blir det sällan om du har en förståelse för risker och tar stöd av den i införandet. Det handlar inte om att göra allt på en gång, utan om att börja där arbetet faktiskt behövs mest.

KORT SVAR
Ett riskbaserat angreppssätt betyder att konsekvensen styr var du lägger kraften när du inför AQAP. Logiken har ni redan, för ISO 9001 vilar på riskbaserat tänkande. De krav som kontraktet åberopar gäller fullt ut. Risk hjälper dig att prioritera ordningen och rätt-dimensionera insatsen. 

Varför är risk redan din utgångspunkt?

Risk är inte något AQAP introducerar. ISO 9001:2015 införde riskbaserat tänkande som ett centralt inslag i avsnitt 6.1, och ersatte därmed den tidigare principen om förebyggande åtgärder. Standarden kräver inget formellt riskregister, men att riskmedvetenheten vävs in i hela ledningssystemet.

Det betyder att om ni har ett fungerande system enligt ISO 9001 har ni redan verktyget. AQAP bygger vidare på samma grund och höjer kraven där det betyder mest. En skillnad är värd att notera: under AQAP blir riskarbetet en dokumenterad leverans. AQAP 2110/2310 kräver en riskhanteringsplan enligt ISO 31000 som ska göras tillgänglig för den statliga kvalitetsrepresentanten, och som denne kan underkänna. Risk är alltså inte längre bara ett tankesätt, utan något som ska gå att visa upp.

Hur avgör du var AQAP-kraven ger mest effekt?

Vilken kravnivå som åberopas beror på den bedömda kvalitetsrisken och hur komplext och kritiskt kontraktsobjektet är. Ju högre risk och komplexitet, desto mer omfattande krav. Beställaren kalibrerar alltså redan kravnivån efter uppdraget.

Er uppgift blir att läsa kontraktet rätt och se var konsekvensen är som störst. Det är det som ska omhändertas. Vanligt är att det handlar om säkerhetskritiska komponenter, nyutveckling där det inte finns en förlaga, och långa leveranskedjor där felet kan uppstå någon annanstans än hos er själva.

Så blir implementeringen avgränsad i praktiken

Ett pragmatiskt upplägg behöver sällan vara mer än fyra steg:

gap -ApAQ_3
Risk avgör inte vad som gäller, men i vilken ordning och med vilket djup ni inför det.

Steg för steg: en gap-analys visar vad ni redan klarar och var något saknas. Det som kostar mest om det går fel går först. Extern verifiering, spårbarhet och avvikelsehantering läggs på det som är kritiskt, proportionerligt på resten. Och ni kompletterar det befintliga i stället för att starta om.

Det här är inte att hoppa över krav. De krav som kontraktet åberopar är obligatoriska. Risk styr var ni lägger kraften och i vilken ordning, inte vad som gäller.

Nästa steg

Vi på CANEA ser ofta att det som känns som ett stort omtag i själva verket är en handfull avgränsade åtgärder, om man låter risken styra ordningen.

Vill ni veta var er kraft gör mest nytta? Börja med en gap-analys mot AQAP 2110 eller 2310, sorterad efter risk. Vi hjälper till, både genom vår utbildning i AQAP 2110/2310 och genom en strukturerad gap-genomgång.

 

Vanliga frågor

Måste man göra allt på en gång?
Nej. Kontraktets krav gäller, men ett riskbaserat angreppssätt låter er prioritera ordningen efter konsekvens.

Kan risk användas för att hoppa över AQAP-krav?
Nej. De krav som kontraktet åberopar är obligatoriska. Risk styr var ni lägger djupet och i vilken ordning, inte vad som gäller.

Kräver AQAP en dokumenterad riskhantering?
Ja. AQAP 2110/2310 kräver en riskhanteringsplan enligt ISO 31000 som ska göras tillgänglig för den statliga kvalitetsrepresentanten. ISO 9001 kräver riskbaserat tänkande, men ingen dokumenterad riskprocess.

 

 

Tina Kolmskog-9

 

 

Tina Kolmskog
Managementkonsult, CANEA
tina.kolmskog@canea.se
0734-02 10 51