Риски и ISO 9001:2015

Источник: статья эксперта Уолта Мюррея (Walt Murray, – ред.) впервые опубликованная в американском журнале «Quality Magazine». У. Мюррей – сертифицированный «Черный пояс» по «Шесть сигм», исполнительный директор в «ARC Experts». Автор работает в сфере менеджмента качества, экоменеджмента и управления охраной труда и безопасностью персонала уже 32 года. Он признается, что за время своей практики выполнил 300 аудитов в различных компаниях.

«Мышление, основанное на риск-менеджменте» и процессный подход

В сентябре 2015-го Международная организация по стандартизации (International Organization for Standardization, – ред.) выпустила ISO 9001:2015, перестроенный в соответствии с HLS (High Level Structure, – ред.). Переделанный ISO 9001 включает некоторые фундаментальные изменения, которые на практике означают, что организации должны действовать несколько по-другому, если хотят сохранять соответствие стандарту. Самое важное тут – это то, что ISO 9001:2015 теперь выстроен в соответствии с унифицированной обязательной структурой всех нормативов ISO на системы менеджмента. Этот общий шаблон можно найти в Приложении SL (Annex SL, – ред.) к Директивам ISO. В этом приложении редакторы ISO сформулировали структуру из 10 параграфов, для которой заданы общие требования по содержанию и последовательности элементов, из которых строится любой MSS (Management System Standard, – ред.) стандарт.

Этим список ключевых нововведений не исчерпывается. Существенные коррективы без связи с HLS были внесены в разделы, где освещается тема лидерства руководства и его роли в системе менеджмента качества. Другие важные поправки фокусируют пользователей на среде организации и концентрируют их внимание на необходимости «мышления, на основе риск-менеджмента». Стоит отметить увеличившуюся гибкость ISO 9001:2015 в аспекте документации, вообще требования стали более общими и менее директивными. Это реализуется за счет усиления процессов планирования документации и мер по выработке адекватных мер на уровне руководства в ответ на идентифицированные потенциальные риски – эти меры документируются.

По сравнению с более ранними версиями стандарта, ISO 9001:2000 и ISO 9001:2008 отметились меньшим вниманием к документации и большим – к процессам. ISO 9001:2015 продолжает данную тенденцию, поскольку он стал еще менее предписывающим и директивным, чем его предшественники и упор переносит на саму производственную деятельность. Это создает целый ряд новых проблем для аудита системы, в ходе которого оцениваются такие свидетельства аудита, как метрики и ключевые показатели деятельности (KPI – Key Performance Evaluation, – ред.), а потом данные сопоставляются с Целями в области качества.

В новой редакции специалисты ISO смогли соединить процессный подход – систематическое управление процессами и их взаимосвязями для достижения намеченных результатов – и «мышление на основе риск-менеджмента». Под последним скрывается анализ рисков и возможностей. Никуда не делся из новой версии ISO 9001 четырехступенчатый управленческий цикл PDCA (Планируй-Делай-Проверяй-Действуй – Plan-Do-Check-Act, – ред.), который должен при внедрении и функционировании СМК работать на всех уровнях управления компанией. Синергия трех элементов: «мышления, основанного на риск-менеджменте», процессного подхода и цикла PDCA формирует ядро стандарта ISO 9001:2015.

«Мышление, основанное на риск-менеджменте», процессный подход и цикл PDCA

Пожалуй, главной новостью в связи с выходом ISO 9001:2015 можно считать все же тот факт, что риски больше не присутствуют в стандарте скрыто (в виде предупреждающих действий, – ред.) и не локализованы отдельными процессами СМК. Риск теперь пронизывает весь стандарт и встроен в целом в систему, становится ее неотъемлемым свойством, а не представляет собой ее часть. Вдобавок, обновленный ISO 9001 теперь имеет и прямые требования к «мышлению, основанному на риск-менеджменте», имеющие целью помочь предпринимателям лучше понять и более результативно применить процессный подход. К большому сожалению, его суть нормально объяснить могли далеко не во всех компаниях, где с системами качества уже работают долгие годы.

По сути дела, в ISO 9001:2015 «мышление, основанное на риск-менеджменте» делает предупреждающие действия частью стратегического и операционного планирования, поэтому само упоминание «предупреждающих действий» теряет смысл. Редакторы ISO 9001 заменили везде термин формулировкой «действия по реагированию на риски и использованию возможностей». Судя по всему, от компаний, ищущих соответствия ISO 9001 теперь будут ждать внедрения процессов оценки рисков и возможностей, а также применения методологии S.M.A.R.T для выработки целей в области качества и планирования изменений. Работа с риском станет скорее проактивной, а не реактивной по отношению к факторам, которые способны отразиться на вашей СМК. Что мы видим? Новый концепт «мышления, основанного на риск-менеджменте» совершает переворот и превращает всю систему менеджмента в единый инструмент планирования предупреждающих действий.

«Мышление, основанное на риск-менеджменте» сейчас как бы главная часть процессного подхода, обеспечивающая оценку и обработку рисков во всех процессах, от начала и до конца их цепочки. А это и есть смысл процессного подхода – заставить все бизнес-процессы заставить работать в единстве, как один процесс. Понимание всех действий в организации как цепочки взаимосвязанных и взаимодействующих процессов, действующих в общей системе, помогает добиться более стабильного и систематического результата работы.

Чтобы получить этот результат в соответствии с процессным подходом в организации должны проанализировать входные и выходные данные ее процессов, определить из каких более «дробных» действий состоят ее основные бизнес-процессы, посмотреть на процесс, как на часть общей системы; каковы цели работы системы менеджмента; в каком направлении ей следует развиваться. Роль процессного подхода состоит в том, что он помогает компаниям ответить для себя на вопрос о целях. Верные ответы находятся сами собой после сбора информации: планирования процессов, осуществления их в соответствии с планом, оценки произведенных действий и улучшений в процессах для их повторной реализации по второму кругу. Если поподробнее остановиться на теме PDCA, то это «становой хребет» ISO 9001. PDCA – это постоянно повторяющаяся последовательность действий, широко применяемая в современном менеджменте процессов и систем. В каждую итерацию постоянно воспроизводящегося цикла «вмонтирована» фаза постоянного улучшения, а в результате после каждого повторения цикла организация или отдельный процесс – цикл действует на всех уровнях – улучшается еще немного.

Несмотря на значительные изменения в ISO 9001:2015 общая цель работы со стандартом, зафиксированная в его тексте, остается прежней: постоянное улучшение качества, система нацелена на то, чтобы гарантировать выпуск продукции и оказание услуг, сохраняющих соответствие требованиям потребителей. Сочетание «мышления, основанного на риск-менеджменте» с процессным подходом и PDCA дает организации возможность лучше достигать поставленные цели, обеспечивать стабильное качество результата работы; приносить пользу, как организации, так и потребителям через проактивный подход, подход, предупреждающий проблемы.

После сентября 2015-го у предприятий, которые уже имеют сертификат ISO 9001 или только собираются его получить есть три года для адаптации требований ISO 9001 в их новом изводе. Для организаций с давней культурой мышления на основе рисков это не составит никакого труда, поскольку это очень укладывается в их обычный способ ведения дел. Что до прочих, то внедрение риск-менеджмента в систему в целом, а не в отдельные ее части может стать настоящим вызовом, прежде всего из-за необходимости начать мыслить по-новому и понять суть концепции управления рисками. Объяснить каждому, в чем смысл риск-менеджмента и его инструментов на простом доступном для него исходя из его специфики работы уровне, возможно, наиболее эффективный способ проделать этот путь.

Перевод: сотрудник «Единый Стандарт» Валентин Рахманов.