Риск-ориентированное мышление в стандартах ISO

Было - стало

Дело в том, что теперь риск-ориентированное мышление встроено в систему. Теперь требуется, чтобы организации применяли новый тип мышления во всех процессах.

Если раньше превентивное действие рассматривалось как отдельный пункт требований, то в ISO 9001:2015 и других переработанных согласно Приложению SL стандартах риск-ориентированный подход проходит красной нитью через все требования. В результате предупреждающие меры становятся частью системы при планировании, выполнении, анализе и оценке, по всему циклу PDCA.

• В разделе 4 «Контекст» идет речь об окружении организации. Именно на основе анализа изменений в контексте необходимо идентифицировать риски и возможности.
• В разделе 5 «Лидерство» говорится о том, что высшее руководство должно поддерживать риск-ориентированное мышление.
• В разделе 6 «Планирование» упоминаются и меры управления рисками и возможностями, которые необходимо запланировать.
• В разделе 8 «Функционирование» подразумевается, что запланированные меры управления рисками и возможностями необходимо внедрить.
• Раздел 9 «Оценка выполнения» напоминает о том, что необходимо проводить оценку результативности внедренных мер.
• Раздел 10 «Улучшения» говорит о том, что процессы управления рисками должны улучшаться.

Чем обусловлено риск-ориентированное мышление?

Прежде всего, стоит определиться с терминологией – что такое риск? Существуют разные определения данного понятия, и у нас нет задачи дать единственно правильное, приведем одно из возможных. Риск – это вероятное событие, которое может негативно повлиять на запланированный результат. Для большинства предприятий основная цель – это извлечение прибыли, улучшение финансовых показателей.

Почему же в стандартах ISO появилось требование системно управлять рисками? Причина - в тех угрозах, которые стали нарастать в связи с усиливающейся изменчивостью окружающей среды, негативно сказываясь на целевых показателях организаций.

Меняется политическая обстановка, экономическая ситуация, законодательство, меняются поставщики, ожидания потребителей, причем порой стремительно и кардинально. Валютные колебания, экологические проблемы, ситуация на рынке труда, санкции и т.п.

Что же делать в таких условиях бизнесу, чтобы не только выжить, но и остаться конкурентоспособным? Он должен своевременно реагировать на эти изменения. Организация функционирует в изменчивом мире, и, если постоянно не подстраивать, не корректировать систему менеджмента с учетом происходящих изменений, система станет обузой для бизнеса и будет мешать людям, а не приносить пользу.

Контекст и заинтересованные стороны

В новом поколении стандартов ISO важным элементом системы менеджмента является «контекст организации». Именно окружение, в котором работает организация, и требования заинтересованных сторон должны лечь в основу идентификации рисков.

Заинтересованные стороны – это те категории людей либо организаций, от которых зависит деятельность данного предприятия.

• Внешние заинтересованные стороны – это, конечно, потребители, заказчики (что очевидно и традиционно для стандарта ISO 9001), но также государство, поставщики, зеленые активисты, отраслевые союзы, журналисты, «соседи» и т.п.
• Внутренние заинтересованные стороны – это персонал, акционеры, топ-менеджмент.

Для каждой организации список заинтересованных сторон может быть свой.

Применяя риск-ориентированное мышление, необходимо учитывать риски, связанные с каждой из этих сторон. Таким образом, стандарты ISO дают подсказку предприятиям: в современном мире надо учитывать максимальное количество аспектов, чтобы обеспечить непрерывность бизнеса. Важно установить такой механизм рассмотрения изменений окружения и требований заинтересованных сторон, который будет держать бизнес на плаву.

Риск или возможность?

Считается, что риск имеет только негативные последствия. Однако одно и то же событие может иметь как негативную, так позитивную окраску. Например, изменения в техническом регулировании могут как осложнить жизнь бизнесу, так и дать ему импульс для развития.

В ISO 9001:2015 и других современных стандартах ISO упоминаются «риски» и «возможности». Возможность не является положительной стороной риска. Возможность — это набор обстоятельств, или желательная ситуация в плане получения намеченных результатов. В зависимости от того, используется возможность или игнорируется, возникают новые риски.

Распределенное лидерство

Стандарт ISO 9001:2015 и другие стандарты нового поколения говорят о том, что высшее руководство должно содействовать применению риск-ориентированного мышления, определить и запланировать определенные действия. Цель этих действий — увеличить положительный эффект и предотвратить или уменьшить нежелательное влияние рисков и возможностей на каждом этапе создания продукта или услуги.

Но на самом деле управлять рисками должен не только топ-менеджмент. Риск-ориентированное мышление теперь является частью процессного подхода. У каждого процесса — свои риски, и за них отвечает владелец этого процесса, отслеживая их на своем участке. Речь идет о персональной ответственности руководителей процессов, о так называемом «распределенном лидерстве».

В чем преимущество данного подхода? В том, что владельцы процессов лучше, чем кто-либо, понимают, что может измениться в контексте, почему надо держать руку на пульсе и отслеживать изменения, а также применять меры по управлению рисками.

Как реализовать риск-ориентированный подход?

Ни ISO 9001:2015, ни другие родственные ему стандарты не дают четких указаний, как именно применять риск-ориентированное мышление. Стандарты не требуют какой-либо формальной оценки или ведения специального реестра. Требования ИСО к реализации нового подхода сосредоточены на включении оценки вероятных событий в процесс принятия решений. Как именно это сделать — на усмотрение конкретного предприятия.

Например, для оценки рисков компания вправе использовать любой из известных инструментов, такие как матрица или дерево решений, а может разработать свою внутреннюю методику. С помощью программного продукта можно создать интегрированный реестр, т.е. общее место для регистрации и мониторинга отдельных вероятных событий. Некоторые организации выбирают стандарт ISO 31000 в качестве ориентира при создании своей системы управления рисками.

Практика показывает, что успешные компании интуитивно применяют подход на основе рисков. Приступая к внедрению риск-ориентированного мышления, следует внимательно посмотреть на уже существующие в компании практики. Не стоит выдумывать какую-то новую систему управления рисками, если в организации уже так или иначе ведется работа в этом направлении, например, есть отдел управления рисками. Не следует в рамках СМК создавать отдельный реестр рисков по процессам, если этот реестр уже и так ведется в том или ином формате.

Встречаются две крайности: либо делается очень поверхностная идентификация опасностей и оценка рисков, либо она настолько подробна, что становится оценкой ради оценки. В обоих случаях пользы предприятию это не принесет: либо важные аспекты будут упущены, либо организация не сможет сфокусироваться на приоритетных, наиболее значимых рисках, на которые следует выделять ресурсы.

Рекомендуется проводить тестирование работы СМК, исходя из перечня вероятных событий. Цель тестирования — определить, существует ли в организации процедура реагирования на эти события. Например, что произойдет при поступлении жалобы, отказе оборудования или возврате продукции. По результатам тестирования внедряют корректирующие действия.

Комплексный подход к риск-менеджменту

Максимальную пользу от управления рисками предприятие получает при комплексном подходе.

Например, что может произойти в результате нарушении технологического процесса на производстве? Вот возможные последствия этого события:

• Выпуск небезопасной продукции;
• Жалоба недовольного клиента и/или возврат продукции;
• Превышение лимита по отходам (если несоответствующая продукция перейдет в категорию отходов);
• Поломка оборудования;
• и т.д.

Из-за чего это может произойти? Ниже перечислены возможные причины:

• Куплены несоответствующие материалы;
• Низкая или несоответствующая квалификация персонала;
• Несоответствующие действия по обслуживанию оборудования;
• и т.д.

Если предприятие комплексно работает с рисками, вырабатываются меры, которые помогают снизить риски по всем направлениям. Варианты таких мер:

• Проведение дополнительного обучения технологического персонала;
• Изменение процедуры контроля технологического процесса;
• Переоценка поставщиков;
• Пересмотр процедур обслуживания оборудования;
• и т.д.

Ориентация на потребности бизнеса

Если риск-ориентированный подход реализуется комплексно, то организация действительно получает результат. В случае с ISO 9001, СМК позволяет получить не только высокую удовлетворенность потребителя, произвести ту продукцию или услугу, которые требуются потребителю, но также достичь поставленные бизнес-цели.

Современные стандарты ISO говорят о том, что на каждом этапе создания стоимости, в каждом подразделении при принятии бизнес-решений надо учитывать последствия реализации рисков, т.е. принимать решения на основе оценки рисков. Ведь если мы подготовлены, то риск можно обратить в возможность.

Система менеджмента — это инструмент управления, инструмент обеспечения стабильности бизнеса. Реализация риск-ориентированного мышления, при котором учитываются требования различных сторон, вовлекается персонал, система планируется с учетом изменений во внешней и внутренней среде, оцениваются риски и возможности, определяются меры по их управлению, ведется контроль этих мер, делает систему менеджмента еще более действенным инструментом.

Как SGS может помочь?

SGS является ведущим органом по сертификации систем менеджмента на соответствие требованиям международных стандартов. Мы также проводим тренинги и семинары, разъясняющие требования стандартов и помогающие предприятиям самостоятельно внедрять и развивать их системы менеджмента. Заполните веб-форму, и мы свяжемся с вами для уточнения деталей.