Мышление, основанное на риск-менеджменте в ISO 9001:2015

Важным нюансом подготовки новой редакции самого распространенного в мире стандарта на системы менеджмента качества (СМК, – ред.) является то, что в стандарте используется не термин «риск-менеджмент», который существует давно и имеет устоявшееся определение, а выражение «мышление, основанное на оценке рисков» (risk-based thinking, – ред.). Напомним, что в новой редакции ISO 9001 будут содержаться требования по управлению рисками. Кристофер Парис, американский специалист по качеству, в своей статье «А что вообще такое “мышление, основанное на оценке рисков” из ISO 9001?» («What is ISO 9001’s “Risk-Based Thinking” Anyway?», – ред.) высказывает мнение, что подобное словоупотребление – безусловная ошибка Технического комитета №176 в Международной организации по стандартизации (ISO – International Organization for Standardization, – ред.). По его словам, смысл введенного в ISO 9001:2015 «неологизма» абсолютно непонятен. Во-первых, из текста стандарта невозможно составить себе четкое представление: в чем состоит требование к управлению рисками на предприятии. По сути, существующий текст можно свести к призыву «держать в голове риски». Однако аудиторы будут лишены возможности проверить как выполняется это пожелание, так как стандарт не требует формализовать управление рисками или вести какую-либо документацию по этому вопросу. По мнению К. Париса, все это приведет к бесконечным спорам с потребителями и органами по сертификации. «Участвуйте в словесных баталиях, которые неизбежно возникнут и надейтесь на победу», – советует эксперт пользователям ISO 9001:2015.

Разъяснение «мышления, основанного на оценке рисков» в ISO 9001:2015 находим в пункте 0.5 Предисловия. Там говорится, в частности, что:

  • учет рисков всегда скрыто присутствовал в стандарте ISO 9001, нынешняя редакция только делает этот элемент СМК явным;
  • мышление, основанное на оценке рисков и так является частью процессного подхода;
  • понятие «мышления, основанного на оценке рисков» вбирает в себя понятие «предупреждающих действий».

Содержится ссылка и на ISO 31000 «Менеджмент рисков» в таком контексте: организация может по собственной инициативе избрать более развернутый и формализованный подход к управлению рисками в организации и воспользоваться для этого ISO 31000. В комментарии К. Париса это выглядит как смущенная попытка загладить перед пользователями стандарта вину за неясность требований и предложить еще один вариант, позволяющий не спорить с аудиторами до хрипоты. И ссылку на ISO 31000, – полагает эксперт, – нужно понимать, как предложение внедрить в довесок к СМК формализованную систему управления рисками, затратить на это значительные средства и большое количество сил, но зато гарантированно «отделаться» от проверяющих.

Если говорить о самих требованиях к управлению рисками, то они рассеяны между параграфами стандарта, посвященными лидерству, планированию и процессному подходу.

  • Параграф №4. Организация должна идентифицировать риски, способные помешать достигать поставленных целей.
  • Параграф №5. Высшее руководство должно убедиться, что требования Параграфа №4 выполняются.
  • Параграф №6. Организация должна предпринимать действия, направленные на компенсацию рисков и использование возможностей.
  • Параграф №8. Организация должна иметь процессы для идентификации и компенсации рисков в операциях (производственных процессах, – ред.).
  • Параграф №9. Организация должна осуществлять мониторинг, измерение, анализ и управление рисками и возможностями.
  • Параграф №10. Необходимо, чтобы организация реагировала на изменения в ситуации с рисками.

Однако вернемся к пункту Предисловия 0.5. Стоит упомянуть, что в нем говорится также об измерении риска (quantifying risk, – ред.). Сам вопрос о возможности измерения рисков является очень дискуссионным среди экспертов. Недавно вышла интересная статья по этому поводу – «Заблуждения по поводу измерения рисков» («The Fallacy of Quantifying Risk», – ред.) Дэвида Фрика (David E. Frick, – ред.). Очень рекомендуем ознакомиться.

И еще немного об истории. Тем более, что, как заявляли на круглом столе «Сертификация систем менеджмента: проблемы и решения» в апреле, в России не хватает серьезных специалистов по риск-менеджменту и это может стать проблемой, когда отечественные предприятия будут переходить на стандарт ISO 9001:2015. Познакомимся поближе с тем, что, очевидно, является новинкой для российского рынка. У риск-менеджмента было немало теорий-предшественников, первые из которых стали появляться в математических дисциплинах еще с 18 века. Как таковой, риск-менеджмент возник в 1955 году, термин «управление рисками» появился сразу в нескольких публикациях о финансовых рынках в США. Там обосновывалась необходимость перехода от страхования к управлению рисками. В 1970, опять же, в США, появляется математическая модель, которая легла в основу управления рыночными рисками. К 70-м годам относится и появление первых профессиональных организации в сфере риск-менеджмента.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Вам понравилась статья? Не хотите пропускать новые? Тогда подпишитесь на RSS или получайте новые статьи мгновенно на электронную почту


Лицензия Creative Commons

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: