СМК «по-человечески»: семь раз отмерь

Самый обсуждаемый пункт стандарта  ИСО 9001-2015  — риск-ориентированное мышление. Он вызывает много споров как со стороны предприятий, так и со стороны экспертного сообщества. Однако все достаточно просто. Риск-ориентированное мышление и управление рисками — это два разных понятия, каждое из которых обладает своей спецификой в работе с рисками и возможностями. Разберемся подробнее.

Для начала нужно вспомнить текст стандарта.

Справка:

6.1.1 При планировании в системе менеджмента качества организация должна учесть факторы (см. 4.1) и требования (см. 4.2) и определить риски и возможности, подлежащие рассмотрению для:

a) обеспечения уверенности в том, что система менеджмента качества может достичь своих намеченных результатов;

b) увеличения их желаемого влияния;

c) предотвращения или уменьшения их нежелательного влияния;

d) достижения улучшения.

6.1.2 Организация должна планировать:

а) действия по рассмотрению этих рисков и возможностей;

b) то, каким образом:

1) интегрировать и внедрить эти действия в процессы системы менеджмента качества (см. 4.4);

2) оценивать результативность этих действий.

Меры, принимаемые в отношении рисков и возможностей, должны быть пропорциональны их возможному влиянию на соответствие продукции и услуг.

подробнее

В первую очередь следует обратить внимание на два важных фактора, указанных в стандарте:

1. Отсутствуют требования по документированию.

2. Работать с рисками стандарт просит только в рамках пунктов  4.1 и  4.2 ИСО 9001-2015. Это исключительно контекст организации, то есть риски, возникающие относительно внешних и внутренних заинтересованных сторон.

Из-за непонимания этих факторов мы видим тенденцию, когда срабатывает главный риск при внедрении требований стандарта ИСО 9001-2015, а именно — риск переборщить с рисками.

В качестве доказательства рассмотрим текст, взятый из приложения А стандарта ИСО 9001-2015, в котором указано:

Приложение А стандарта ИСО 9001-2015

А.4 Риск-ориентированное мышление

«Одна из ключевых целей системы менеджмента качества состоит в том, чтобы она действовала как инструмент предупреждения. Поэтому настоящий стандарт не имеет отдельного раздела или пункта по предупреждающим действиям. Понятие предупреждающего действия выражено через использование риск-ориентированного мышления при формулировке требований к системе менеджмента качества.

….

Несмотря на то, что 6.1 указывает, что организация должна планировать действия в отношении рисков, стандарт не требует формализованных методов менеджмента рисков или документированного процесса менеджмента рисков. Организации сами вправе решать, следует ли разрабатывать более обширную методологию менеджмента риска, чем требуется настоящим стандартом, например, за счет применения других руководящих указаний или стандартов».

подробнее

В версии стандарта ИСО 9001-2008 требовалась документированная процедура — «предупреждающие действия», которая устанавливала порядок работы с потенциальными несоответствиями, а это и есть риски. Однако в ней не было требования, чтобы процедуру «предупреждающие действия» разрабатывали на основе каких-либо стандартов, например  ИСО 31000 .

Авторы стандарта подсказывают нам, что подходы к рискам и работа с ними могут быть заложены в самих процедурах и процессах организации. Грубо говоря, инструкция нужна, если риск невыполнения работы или высокой вариативности процесса при его выполнении разными людьми превышает разумные границы.

Стоит заметить, что нигде в стандарте ИСО 9001-2015 вы не найдете ссылку на ИСО 31000, например, как на рекомендацию или обязательное требование при внедрении риск-ориентированного подхода.

Как не перегибать с рисками?

Для того чтобы понять, что именно требует стандарт ИСО 9001-2015 от предприятия, проведем аналогию между компанией и человеком.

Существует пословица: «Семь раз отмерь, один раз отрежь». Если сильно упрощать, то стандарт требует от организаций использовать эту пословицу в своей работе.

Риски и возможности всегда появляются из поставленных целей и задач. Например, человеку надо перейти на другую сторону дороги, это цель. Есть пешеходный переход. Но чтобы до него добраться и перейти по нему дорогу, потребуется полчаса. А можно перебежать, это займет пять минут

В этот момент появляются риск и возможность. Можно использовать возможность перебежать дорогу, сэкономив двадцать пять минут. Однако есть риск не добежать вообще. А можно пойти по переходу, но возможности за пять минут оказаться на другой стороне уже не будет. Появляется риск опоздания. Решение в этом случае принимает мозг человека.

Так же и с риск-ориентированным подходом в компании. Сотрудники сообщают генеральному директору о всех рисках и возможностях, которые появляются на пути исполнения поставленной задачи или цели. А он на основе полученных данных принимает взвешенное решение.

В повседневной жизни любой человек постоянно анализирует риски при принятии практических всех решений, даже простейших. Например, нужно пойти поставить чайник во время просмотра фильма. Возникает риск — пропустить фрагмент кино, но возможность попить чай тоже упускать не хочется. Человек принимает решение минимизировать риск: дождаться рекламы.

Стоит заметить, что в этом случае он не берет бумагу и не переписывает на лист все «за» и «против», не документирует принятые решения и не записывает результат. Анализ ситуации, решение задачи и оценка последствий в этом случае не требуют документации.

Так же и в компаниях: подумали, взвесили все «за» и «против» и только после этого начали работать. Как оценить результативность работы с рисками? Работа выполнена, претензий нет.

Реальная ситуация

На сегодняшний день можно утверждать, что из 100 предприятий, внедряющих у себя стандарт ИСО 9001-2015, 80 прибегают к инструменту ИСО 31000 при внедрении риск-ориентированного подхода. Этот подход обоснован далеко не всегда. Компании внедряют его под давлением аудиторов или заказчиков.

В результате люди на предприятиях не понимают, как, а главное — зачем они записывают все возможные риски, вплоть до тех, которыми они вообще не управляют, например, метеориты, периодически падающие с неба, или глобальные катаклизмы. После этого они оценивают эти риски по непонятным для них методикам, которые на самом деле методиками и не являются. Далее оформляют огромное количество бумаг, тратят на это уйму времени, а результата, в том числе финансового, как не было, так и нет.

Эта ситуация в обычной жизни человека выглядела бы очень странно. При переходе дороги нужно было бы выполнить огромное количество действий:

1. Записать количество машин, проезжающих мимо в определенный интервал времени.

2. Проанализировать всю статистику сбитых пешеходов за последние пять лет.

3. Спрогнозировать возможные последствия, если человека собьет автомобиль при переходе дороги.

4. Занести все данные в математическую модель.

5. Утвердить полученные результаты у жены или тещи.

6. Разработать план мероприятий по переходу дороги.

7. Придумать план действия по минимизации рисков, связанных с этим переходом.

8. Утвердить эти планы у жены или тещи.

9. Внедрить эти мероприятия.

10. Наконец-то перейти дорогу.

И так на каждый риск, с которым мы сталкиваемся в повседневной жизни. Любой человек сойдет от этого с ума.

На самом деле риск-ориентированный подход в этом случае выражается очень просто: переходя проезжую часть, каждый человек сначала смотрит налево, потом направо. Он делает это потому, что знает о риске попасть под машину. В своей жизни человек использует простой инструмент, чтобы обезопасить себя от всевозможных рисков, — здравый смысл и инстинкт самосохранения.

Так вот, риск-ориентированный подход — это инстинкт самосохранения компании. Его надо продемонстрировать делом, показав результат, а не огромным количеством бумаг, якобы доказывающих применение менеджмента риска в компании.