Управление рисками в системе менеджмента качества ISO 9001:2015

С принятием пятой редакции ISO 9001 «Системы менеджмента качества. Требования» (ISO 9001:2015, – ред.) частью стандарта стала концепция управления рисками. Специалисты по системам менеджмента качества (СМК, – ред.) задолго до выхода ISO 9001:2015 предсказывали, что так и будет. Уверенность подкреплялась тем фактом, что в отраслевых стандартах (например, AS 9100, – ред.), которые основаны на ISO 9001 и совместимы с ним, риск-менеджмент уже закрепился. Риски давно присутствовали в ISO 9004. Напомним, что этот стандарт относится к той же серии стандартов, что ISO 9001, но в отличие от него он посвящен не первичному созданию СМК, а отвечает за усиление и совершенствование системы. В новой редакции стандарта ISO 9001 положения, которые имеют отношение к управлению рисками, разбросаны по разным параграфам. Однако наиболее важные требования в этом аспекте группируются в 6 разделе «Планирование». Они собраны в подпункте 6.1 «Действия по обработке рисков и реализации возможностей. Концепция менеджмента рисков, в том виде, в котором они введены в норматив разъясняется в соответствующем пункте «Введение».

В чем же состоят требования ISO 9001:2015 в том, что касается рисков? Обобщенно можно сказать, что стандарт предписывает оценивать и идентифицировать риски, но не устанавливает: как это должно быть сделано. По сути, специалист или группа, которые занимаются внедрением ISO 9001 на предприятии, должны сами определить методы и пути, при помощи которых они будут добиваться соответствия требованиям по менеджменту рисков. Интересно, что стандарт отмечает, что для того, чтобы отвечать его требованиям необязательно создавать формализованную систему управления рисками. Естественно, что при такой постановке вопроса редакторы ISO 9001:2015 не занесли в него и положений, которые предполагали бы создание в СМК какой бы то ни было документации, которая отражает работу с рисками. С одной стороны, это вполне логично. ISO 9001 – стандарт на системы менеджмента качества, а не на системы управления рисками. Как бы для того, чтобы подчеркнуть это, редакторы включили в него нормативную ссылку на серию стандартов ISO 31000 «Менеджмент рисков». Это своды требований ISO (Международная организация по стандартизации – International Organization for Standardization, – ред.) специально по рискам. Но на другой чаше весов проблематичность ISO 9001:2015 с точки зрения аудита. Проблема состоит в том, что если не нужна формализованная система рисков и нет документации, то непонятно, как бесспорно доказывать сертификационному аудитору наличие процессов оценки рисков. Это большая проблема и специалисты уже сейчас пророчат спорные ситуации при сертификационных проверках.

Так или иначе, предприниматель, который собирается внедрить СМК по ISO 9001:2015, остается один на один с поиском методов оценки рисков. Придется засесть за учебники! Таких методов множество, управление рисками – это большое направление в менеджменте. Выделяют методы уклонения от рисков, например, отказ от сотрудничества с партнерами, которые по каким-то критериям были признаны ненадежными. Также для того, чтобы уклониться от риска применяют богатый инструментарий страхования. Применяют и методики локализации рисков. Среди таких инструментов можно отметить, к примеру, выделение рискованных процессов в венчурные предприятия. Существуют еще так называемые методы диверсификации и компенсации рисков. Выбор за вами!