прочитано
#качество управления #СМК #стандарты ИСО #управление рисками #гайд

Существует распространенное мнение, что, управляя рисками, нужно создавать множество документов, описывать все варианты событий и возможные решения, утверждать их у всех заинтересованных сторон. Однако этот путь может привести к потере эффективности компании и недовольству персонала. Разбираемся, как этого не допустить.

0 1

Самый обсуждаемый пункт стандарта  ИСО 9001-2015  — риск-ориентированное мышление. Он вызывает много споров как со стороны предприятий, так и со стороны экспертного сообщества. Однако все достаточно просто. Риск-ориентированное мышление и управление рисками — это два разных понятия, каждое из которых обладает своей спецификой в работе с рисками и возможностями. Разберемся подробнее.

Для начала нужно вспомнить текст стандарта.

В первую очередь следует обратить внимание на два важных фактора, указанных в стандарте:

  1. Отсутствуют требования по документированию.

  2. Работать с рисками стандарт просит только в рамках пунктов  4.1 и  4.2 ИСО 9001-2015. Это исключительно контекст организации, то есть риски, возникающие относительно внешних и внутренних заинтересованных сторон.

Из-за непонимания этих факторов мы видим тенденцию, когда срабатывает главный риск при внедрении требований стандарта ИСО 9001-2015, а именно — риск переборщить с рисками.

Главная проблема: людям непонятно, что принцип риск-ориентированного подхода — это философия. Именно принцип, а не процесс

В качестве доказательства рассмотрим текст, взятый из приложения А стандарта ИСО 9001-2015, в котором указано:

В версии стандарта ИСО 9001-2008 требовалась документированная процедура — «предупреждающие действия», которая устанавливала порядок работы с потенциальными несоответствиями, а это и есть риски. Однако в ней не было требования, чтобы процедуру «предупреждающие действия» разрабатывали на основе каких-либо стандартов, например  ИСО 31000 .

Авторы стандарта подсказывают нам, что подходы к рискам и работа с ними могут быть заложены в самих процедурах и процессах организации. Грубо говоря, инструкция нужна, если риск невыполнения работы или высокой вариативности процесса при его выполнении разными людьми превышает разумные границы.

Возможность перегрузить компанию излишними инструкциями и ненужными процедурами — это тоже значительный риск!

Стоит заметить, что нигде в стандарте ИСО 9001-2015 вы не найдете ссылку на ИСО 31000, например, как на рекомендацию или обязательное требование при внедрении риск-ориентированного подхода.

Как не перегибать с рисками?

Для того чтобы понять, что именно требует стандарт ИСО 9001-2015 от предприятия, проведем аналогию между компанией и человеком.

Существует пословица: «Семь раз отмерь, один раз отрежь». Если сильно упрощать, то стандарт требует от организаций использовать эту пословицу в своей работе.

Риски и возможности всегда появляются из поставленных целей и задач. Например, человеку надо перейти на другую сторону дороги, это цель. Есть пешеходный переход. Но чтобы до него добраться и перейти по нему дорогу, потребуется полчаса. А можно перебежать, это займет пять минут

В этот момент появляются риск и возможность. Можно использовать возможность перебежать дорогу, сэкономив двадцать пять минут. Однако есть риск не добежать вообще. А можно пойти по переходу, но возможности за пять минут оказаться на другой стороне уже не будет. Появляется риск опоздания. Решение в этом случае принимает мозг человека.

Так же и с риск-ориентированным подходом в компании. Сотрудники сообщают генеральному директору о всех рисках и возможностях, которые появляются на пути исполнения поставленной задачи или цели. А он на основе полученных данных принимает взвешенное решение.

В повседневной жизни любой человек постоянно анализирует риски при принятии практических всех решений, даже простейших. Например, нужно пойти поставить чайник во время просмотра фильма. Возникает риск — пропустить фрагмент кино, но возможность попить чай тоже упускать не хочется. Человек принимает решение минимизировать риск: дождаться рекламы.

Стоит заметить, что в этом случае он не берет бумагу и не переписывает на лист все «за» и «против», не документирует принятые решения и не записывает результат. Анализ ситуации, решение задачи и оценка последствий в этом случае не требуют документации.

Так же и в компаниях: подумали, взвесили все «за» и «против» и только после этого начали работать. Как оценить результативность работы с рисками? Работа выполнена, претензий нет.

Реальная ситуация

На сегодняшний день можно утверждать, что из 100 предприятий, внедряющих у себя стандарт ИСО 9001-2015, 80 прибегают к инструменту ИСО 31000 при внедрении риск-ориентированного подхода. Этот подход обоснован далеко не всегда. Компании внедряют его под давлением аудиторов или заказчиков.

В результате люди на предприятиях не понимают, как, а главное — зачем они записывают все возможные риски, вплоть до тех, которыми они вообще не управляют, например, метеориты, периодически падающие с неба, или глобальные катаклизмы. После этого они оценивают эти риски по непонятным для них методикам, которые на самом деле методиками и не являются. Далее оформляют огромное количество бумаг, тратят на это уйму времени, а результата, в том числе финансового, как не было, так и нет.

Эта ситуация в обычной жизни человека выглядела бы очень странно. При переходе дороги нужно было бы выполнить огромное количество действий:

  1. Записать количество машин, проезжающих мимо в определенный интервал времени.

  2. Проанализировать всю статистику сбитых пешеходов за последние пять лет.

  3. Спрогнозировать возможные последствия, если человека собьет автомобиль при переходе дороги.

  4. Занести все данные в математическую модель.

  5. Утвердить полученные результаты у жены или тещи.

  6. Разработать план мероприятий по переходу дороги.

  7. Придумать план действия по минимизации рисков, связанных с этим переходом.

  8. Утвердить эти планы у жены или тещи.

  9. Внедрить эти мероприятия.

  10. Наконец-то перейти дорогу.

Управление рисками при переходе дороги

И так на каждый риск, с которым мы сталкиваемся в повседневной жизни. Любой человек сойдет от этого с ума.

На самом деле риск-ориентированный подход в этом случае выражается очень просто: переходя проезжую часть, каждый человек сначала смотрит налево, потом направо. Он делает это потому, что знает о риске попасть под машину. В своей жизни человек использует простой инструмент, чтобы обезопасить себя от всевозможных рисков, — здравый смысл и инстинкт самосохранения.

Так вот, риск-ориентированный подход — это инстинкт самосохранения компании. Его надо продемонстрировать делом, показав результат, а не огромным количеством бумаг, якобы доказывающих применение менеджмента риска в компании.