Методология анализа рисков для ISO 9001:2015

Источник: автором статьи является Марк Хаммар, сертифицированный в ASQ (Американское общество качества – American Society for Quality, – ред.) менеджер по качеству и деловому совершенству. В сфере качества Марк работает с 1994 года. Автор статьи имеет практический опыт в области аудита, улучшения процессов, подготовки процедур для систем качества (СМК, – ред.) и систем экологического менеджмента (СЭМ, – ред.). Также Марк Хаммар – сертифицированный ведущий аудитор по стандартам ISO 9001, AS 9100 и ISO 14001.

Добавление анализа рисков – одно из самых ожидаемых событий в связи с ISO 9001:2015. Судя по доступным проектам – ISO 9001 сейчас подвергается регулярной редакции – риски все-таки стали частью стандарта. Анализ рисков представляет собой важнейший шаг идентификации потенциальных проблем, которые могут в будущем встать перед вашей компанией, по-другому это называется риском. Когда риск проанализирован, можно решить: как на него среагировать. Хотя в ISO 9001:2008 оценка риска и анализ риска – не являются требованием, как я уже рассказывал в другой статье «Роль оценки рисков в системах менеджмента качества», сейчас многие компании по собственному почину занимаются риск-менеджментом, особенно в процессах проектирования продукции. Одним из наиболее распространенных методов идентификации рисков стал FMEA (Failure Modes and Effect Analysis, – ред.), иногда применяемый в модификации FMECA (Failure Modes Effects and Criticality Analysis, – ред.) – ее применяют на этапе разработки продукции или процесса.

Идея метода состоит в идентификации всех потенциальных проблем, которые могут возникнуть в связи с конкретным продуктом или бизнес-процессом. Идентифицируется критичность (criticality, – ред.) риска, а потом принимается решение относительно необходимых действий. Звучит довольно просто, но на практике может доставить некоторые сложности.

Как работает FMEA?

Я просто не способен предоставить углубленное руководство по FMEA (по этой теме читают целые курсы, объясняя, как его применять), но я могу предложить общее описание главных этапов оценки риска при помощи этой методологии.

1. Идентифицируйте риски. Это обычно делается путем организации мозгового штурма при участии компетентных в вопросе людей со всей организации. На данной стадии вы записываете и перечисляете все потенциальные проблемы, которые могут случиться с продукцией или процессом. Например, в процессе использования молотка в работе может сломаться ручка, железная деталька может выскочить из-под молотка, иногда слетает с деревянной ручки металлическая часть самого инструмента и так далее.
2. Определите, насколько критичен каждый идентифицированный риск. Для этого любому возможному сбою присваиваются баллы (обычно от 1 до 10, хотя есть другие методы), так удается сделать вывод о важности того или иного риска по отношению к другим рискам, записанным во время мозгового штурма. В оценке учитываются такие факторы, как вероятность реализации риска, тяжесть последствий, шанс обнаружения реализации риска (высокую оценку присваивают, когда идентифицировать возникновение проблемы тяжело). Выше мы упомянули три возможных риска при использовании молотка, давайте при помощи FMEA приглядимся к ним подробнее: а) сломанная ручка (вероятность реализации: (2) ручка из твердой древесины, тяжесть последствий: (9) молоток будет непригоден для использования, шанс обнаружения реализации: (8) ручка может не сломаться, а получить малозаметные трещинки); б) выскальзывающая металлическая деталька (вероятность реализации: (2) использована закаленная сталь, тяжесть последствий: (7) если использованы защитные очки, а молоток – цел, шанс обнаружения реализации: (6) может быть сложно обнаружить); в) срывающаяся с ручки металлическая часть (вероятность реализации: (4) может случиться, если повреждено дерево, тяжесть последствий: (9) опасно и молоток нельзя будет использовать, шанс обнаружения реализации: (1) просто обнаружить).
3. Ранг риска. Риски ранжируют, чтобы принять решение о том, какие из них являются приемлемыми, а какие – неприемлемыми. Три числовых характеристики, которые были нами выше описаны, перемножают и получают ранг риска. В других системах подсчета данные не перемножают, а прописывают в таблице, чтобы можно было сравнивать однотипные отдельные показатели по разным идентифицированным рискам. В нашем примере у сломанной ручки ранг 144, у выскользнувшей детали – 84, у отлетающей железной части молотка – 36. При этом последний риск, хоть и имеет самый низкий ранг, по факту является наиболее опасным, но определить реализацию этого риска очень легко.
4. Определите, какие действия следует предпринять. Наконец, когда вы лучше поняли существующие риски, можно спланировать, что вы будете делать для того, чтобы их скомпенсировать. Это может быть что угодно, можно уменьшить или вовсе исключить риск (можно организовать программу ухода за молотком, которая будет предусматривать проверку его на износ), есть вариант не предпринимать ничего, если вероятность риска слишком мала, а поправить положение можно очень легко. Анализ риска открывает возможность для его уменьшения.

Преимущества FMEA и критика этого метода

Преимущества метода лежат на поверхности. Раз поняв его, вы легко используете FMEA. Его выводы легко принимаются, потому что они весьма прозрачны, а значит легко выделять ресурсы на программы уменьшения риска и легко поддерживать эти программы. Когда все участники обсуждения достигнут консенсуса по поводу ранжирования рисков: какой из них главный, легко добиться общего решения в первую очередь заняться самым критическим риском, потом вторым по важности и так далее. FMEA к тому же используют очень широко, поэтому для многих отраслей верно, что вам не придется объяснять другим что вы сделали и как вы получили те или иные результаты.

С другой стороны, существует и критика FMEA. Наиболее серьезный контраргумент заключается в том, что все три фактора из тех, которые мы обсудили – важны. Сейчас методология работает так, что для FMEA это не так. К примеру, если риск имеет низкую вероятность, тяжелые последствия и низкий шанс обнаружения реализации, то получившийся от перемножения общий ранг будет ничтожным (1 X 10 X 1 = 10), даже если тяжесть возможных последствий сама по себе оправдывает срочные действия по ликвидации этого риска. Обратите внимание, что если в FMEA у риска малый показатель тяжести последствий, средняя вероятность и высокий шанс на обнаружение реализации ранг будет выше (10 X 1 X 10 = 100), ему в соответствии с методологией будет присвоен гораздо более высокий ранг, чем в предыдущем случае, хотя этот риск может не составлять реальной проблемы с точки зрения выпуска продукции.

Помните, анализ рисков – это не риск-менеджмент

Как я и сказал, FMEA – только один из методов анализа рисков. ISO 9001 ни в коем случае не обязывает его использовать. Можно применять любой способ, который вы сочтете полезным и эффективным в своем случае. Обращу также ваше внимание на то, что пока в проекте ISO 9001:2015 есть требование анализировать риск, но нет ничего о необходимости предпринимать в отношении идентифицированных угроз действия. Есть множество методов и программных средств, которые способны помочь вам в управлении рисками, но вам нужно спросить себя, важна ли вся эта проблематика для вашего бизнеса. Выбор за вами. ISO 9001 с нами, чтобы предоставить в наше распоряжение общую структуру для хорошей системы менеджмента качества – не чтобы обременять вас дополнительными тратами и процессами, которые вам на самом деле не нужны.

Перевод: сотрудник «Единый Стандарт» Валентин Рахманов.