Управление рисками в менеджменте на примере нового ISO 9001:2015

В новой версии появился менеджмент рисков. Одновременно исчез термин «предупреждающие действия», который был поглощен новой концепцией. Для руководителей российских предприятий, которые так или иначе сталкиваются с проблемой перехода с ISO 9001:2008 на ISO 9001:2015, первостепенное значение в связи с этим новшеством приобретают два обстоятельства. Первое. Стандарт не содержит никаких требований по документированию процессов менеджмента рисков. Нет никаких указаний на то, что для соответствия нужно обязательно внедрять формализованную систему оценки рисков. Имплементацию «мышления, основанного на риск-менеджменте» вообще можно было бы считать рекомендацией, если бы не одно существенное «но». Есть прямое требование учитывать риски при планировании и управлении системой менеджмента качества (СМК, – ред.). Это требование не позволяет проигнорировать работу с рисками при аудите на соответствие ISO 9001:2015. С другой стороны, если нет обязательных документов по рискам, то в том числе аудитор не может потребовать ни свидетельства работы формализованной системы управления рисками, ни даже оценить выходы из процессов оценки рисков.

Второй важный для компаний-держателей сертификатов ISO 9001 аспект – соотношение ISO 9001:2015 и серии стандартов по управлению рисками, она называется ISO 31000. Дело в том, что некоторые специалисты восприняли появление в ISO 9001:2015 как ссылку на ISO 31000: «необходимо внедрить ISO 9001 и управлять рисками по ISO 31000». ISO 31000 как раз описывает мощную формализованную систему менеджмента рисков, с обилием обязательной документации и новых для сообщества «качественников» концепций. Как бы то ни было, редакторы стандарта из ТК №176 уделили вопросу внимание только в пояснениях к проекту ISO 9001:2015 (DIS – Draft International Standard, – ред.), где написали…

Цитата: ‘…[организация] может решить целесообразным для себя применить более фундаментальный подход к управлению рисками, сверх того, что требуется по стандарту ISO 9001:2015, ISO 31000 предоставляет руководство по формализованному менеджменту рисков, которое может быть подходящим при определенном характере организационной среды’

О стандартах ISO 31000 здесь говорится, как о дополнительных по отношению к ISO 9001:2015 требованиях. Кроме того, если одни профессионалы по качеству трактуют появление риск-менеджмента, как намек на ISO 31000, то другие столь же убедительно указывают на то, что в ISO 9001:2015 используют не термин «менеджмент рисков», а понятие «мышление, на основе менеджмента рисков». По их мнению, новый и не очень ясный термин, который ни в каких специализированных стандартах на системы управления рисками не применяется, в общем-то, и нужен, чтобы провести черту между ISO 9001:2015 и ISO 31000. Специалист по качеству Майкл Шафф (Michael Shuff, – ред.) в своей статье «ISO 9001:2015 – How to apply Risk-based Thinking to Quality Processes («Как приложить «мышление, основанное на менеджменте рисков» к процессам качества», – ред.) подчеркнул, что если кто-то хочет решить проблему с не очень понятными требованиями ISO 9001:2015 в области риск-менеджмента при помощи ISO 31000, то для того, чтобы разувериться в этом порой бывает достаточно почитать эти стандарты. Там много такого, что совершенно неважно для целей, ради которых внедряют СМК по ISO 9001.

Новую версию ISO 9001 опубликовали в конце 2015 года и консультантам-внедренцам еще предстоит выработать стандартные решения в области документации и других аспектов практической реализации требований по управлению рисками. Что касается самого стандарта, то, как уже было сказано, он почти всю конкретику оставляет на усмотрение внедряющих компаний, лишь парой штрихов очерчивая общие принципы. Одним из возможных решений проблемы может быть реализация процессов управления рисками с помощью воспроизводства знаменитого цикла PDCA с небольшими добавлениями. Можно выстроить процессы так, чтобы они реализовывали следующую последовательность:

• проанализируйте и распределите по приоритетам риски и возможности (что приемлемо, а что неприемлемо);
• планируйте действия для компенсации рисков (как можно уклониться или исключить риск, как сделать вероятность реализации риска приемлемой);
• внедрите план и реализуйте его;
• совершенствуйте процессы, анализируя опыт – постоянное улучшение.

Конечно, прежде, чем анализировать риски и возможности их нужно идентифицировать.

Хотя положения ISO 9001:2015 не содержат требований о создании какой-либо документации (это не касается документированной информации, – ред.), все же какие-то документы имеет, на наш взгляд создать. С одной стороны, так будет проще контролировать выполнение довольно неопределенных требований, относительно «мышления, основанного на менеджменте рисков», а во-вторых – так проще будет демонстрировать соответствие аудиторам. Ничего нового.