Мышление, основанное на риск-менеджменте в ISO 9001:2015
Важным нюансом подготовки новой редакции самого распространенного в мире стандарта на системы менеджмента качества (СМК, – ред.) является то, что в стандарте используется не термин «риск-менеджмент», который существует давно и имеет устоявшееся определение, а выражение «мышление, основанное на оценке рисков» (risk-based thinking, – ред.). Напомним, что в новой редакции ISO 9001 будут содержаться требования по управлению рисками. Кристофер Парис, американский специалист по качеству, в своей статье «А что вообще такое “мышление, основанное на оценке рисков” из ISO 9001?» («What is ISO 9001’s “Risk-Based Thinking” Anyway?», – ред.) высказывает мнение, что подобное словоупотребление – безусловная ошибка Технического комитета №176 в Международной организации по стандартизации (ISO – International Organization for Standardization, – ред.). По его словам, смысл введенного в ISO 9001:2015 «неологизма» абсолютно непонятен. Во-первых, из текста стандарта невозможно составить себе четкое представление: в чем состоит требование к управлению рисками на предприятии. По сути, существующий текст можно свести к призыву «держать в голове риски». Однако аудиторы будут лишены возможности проверить как выполняется это пожелание, так как стандарт не требует формализовать управление рисками или вести какую-либо документацию по этому вопросу. По мнению К. Париса, все это приведет к бесконечным спорам с потребителями и органами по сертификации. «Участвуйте в словесных баталиях, которые неизбежно возникнут и надейтесь на победу», – советует эксперт пользователям ISO 9001:2015.
Разъяснение «мышления, основанного на оценке рисков» в ISO 9001:2015 находим в пункте 0.5 Предисловия. Там говорится, в частности, что:
- учет рисков всегда скрыто присутствовал в стандарте ISO 9001, нынешняя редакция только делает этот элемент СМК явным;
- мышление, основанное на оценке рисков и так является частью процессного подхода;
- понятие «мышления, основанного на оценке рисков» вбирает в себя понятие «предупреждающих действий».
Содержится ссылка и на ISO 31000 «Менеджмент рисков» в таком контексте: организация может по собственной инициативе избрать более развернутый и формализованный подход к управлению рисками в организации и воспользоваться для этого ISO 31000. В комментарии К. Париса это выглядит как смущенная попытка загладить перед пользователями стандарта вину за неясность требований и предложить еще один вариант, позволяющий не спорить с аудиторами до хрипоты. И ссылку на ISO 31000, – полагает эксперт, – нужно понимать, как предложение внедрить в довесок к СМК формализованную систему управления рисками, затратить на это значительные средства и большое количество сил, но зато гарантированно «отделаться» от проверяющих.
Если говорить о самих требованиях к управлению рисками, то они рассеяны между параграфами стандарта, посвященными лидерству, планированию и процессному подходу.
- Параграф №4. Организация должна идентифицировать риски, способные помешать достигать поставленных целей.
- Параграф №5. Высшее руководство должно убедиться, что требования Параграфа №4 выполняются.
- Параграф №6. Организация должна предпринимать действия, направленные на компенсацию рисков и использование возможностей.
- Параграф №8. Организация должна иметь процессы для идентификации и компенсации рисков в операциях (производственных процессах, – ред.).
- Параграф №9. Организация должна осуществлять мониторинг, измерение, анализ и управление рисками и возможностями.
- Параграф №10. Необходимо, чтобы организация реагировала на изменения в ситуации с рисками.
Однако вернемся к пункту Предисловия 0.5. Стоит упомянуть, что в нем говорится также об измерении риска (quantifying risk, – ред.). Сам вопрос о возможности измерения рисков является очень дискуссионным среди экспертов. Недавно вышла интересная статья по этому поводу – «Заблуждения по поводу измерения рисков» («The Fallacy of Quantifying Risk», – ред.) Дэвида Фрика (David E. Frick, – ред.). Очень рекомендуем ознакомиться.
И еще немного об истории. Тем более, что, как заявляли на круглом столе «Сертификация систем менеджмента: проблемы и решения» в апреле, в России не хватает серьезных специалистов по риск-менеджменту и это может стать проблемой, когда отечественные предприятия будут переходить на стандарт ISO 9001:2015. Познакомимся поближе с тем, что, очевидно, является новинкой для российского рынка. У риск-менеджмента было немало теорий-предшественников, первые из которых стали появляться в математических дисциплинах еще с 18 века. Как таковой, риск-менеджмент возник в 1955 году, термин «управление рисками» появился сразу в нескольких публикациях о финансовых рынках в США. Там обосновывалась необходимость перехода от страхования к управлению рисками. В 1970, опять же, в США, появляется математическая модель, которая легла в основу управления рыночными рисками. К 70-м годам относится и появление первых профессиональных организации в сфере риск-менеджмента.
Добавить комментарий