Что меняет появление в ISO 9001:2015 риск-менеджмента?

В стандарте ISO 9001:2015, если судить по текущему Проекту международного стандарта (DIS – Draft International Standard, – ред.), исчезнет концепт «предупреждающих действий». Вместо этого в нормативный документ будет «вплетен» риск-менеджмент. Если доступный сейчас проект будет без изменений в итоге опубликован в качестве официального стандарта Международной организации по стандартизации (ISO – International Organization for Standardization, – ред.), то пользователь ISO 9001:2015 будет сталкиваться с «подходом на основе рисков» (risk-based approach, – ред.) во многих разделах стандарта. В подпункте 4.4 речь пойдет об оценке рисков, в 5.1.1 риск затрагивается в связи с вопросами лидерства. С риск-менеджментом придется столкнуться в подпунктах 9.3 – анализ со стороны руководства и 8.1 «Операционное планирование и контроль» («Operational planning and control», – ред.). Наконец, есть специальный подраздел – 6.1.2 «Действия исходя из рисков и возможностей» («Actions to address risks and opportunities», – ред.). Главной новостью в связи с интеграцией риск-менеджмента в ISO 9001 является то, что в новой редакции будут отсутствовать требования по стандартизированному риск-менеджменту, например, нет формальных требований по тому, как проводить анализ и оценку рисков – риск-менеджмент введен в структуру стандарта очень мягко и требования предельно ориентированы на индивидуальные особенности организации или компании. По-видимому, «подход на основе рисков» является своеобразной ссылкой на серию стандартов ISO 31000 «Менеджмент рисков», где вопрос оценки и предупреждения рисков освещен гораздо подробнее. К тому же, во многие отраслевые стандарты, гармонизированные с ISO 9001, требования по риск-менеджменту введены уже давно (например, «железнодорожный» IRIS, аэрокосмическая отрасль AS 9100, – ред.). В этом смысле разработчики новой редакции ISO 9001 просто познакомили пользователей стандарта с тем, с чем им придется столкнуться дополняя и усиливая свою систему менеджмента качества (СМК, – ред.) стандартами менеджмента конкретных секторов экономики.

Интересная дискуссия развернулась вокруг причин, по которым управление рисками вводят в «ткань» стандарта ISO 9001 именно сейчас. Автор статьи «ISO 9001:2015 – прощаемся со старым и приветствуем новое» («ISO 9001:2015 – Out with the old and in with the new», – ред.) считает, что это сделано из-за актуальности риск-менеджмента, которая связана с последствиями финансового кризиса 2008 года и крахом банковской системы в США и Великобритании. Статья выложена на сайте крупного британского органа по сертификации NQA. Предприниматели стали больше сосредотачиваться на оценке рисков, так как, по словам автора статьи, «именно отсутствие эффективного риск-менеджмента» привело к развитию кризисных явлений в экономике, не преодоленных до сих пор. Однако если введение в ISO 9001 риск-менеджмента и вызвано кризисом – это точно не эксклюзивное решение Международной организации по стандартизации для стандарта управления качеством. Дело в том, что в Директивах (документах, регулирующих работу по стандартизации, – ред.) ISO появилось Приложение SL (Annex SL, – ред.), которое вводит единую для всех стандартов организации на системы менеджмента структуру. Среди других обязательных к присутствию концепций есть и риск менеджмент. Так что если его появление в ISO 9001:2015 и связано с кризисом, то касается это далеко не только этого стандарта.

Много было написано и сказано о том, что «риск» – это будущее «качества». Но что это значит и как будет реализовано в широком смысле, без привязки к будущей 5-й по счету редакции ISO 9001? Давайте посмотрим на обычные рабочие понятия в качестве: «ноль дефектов», удовлетворенность потребителей, контроль вариаций в процессах, надежность, безопасность и пригодность с точки зрения целей. Все перечисленное – цели, которым программа качества призвана удовлетворять. Стандарт ISO 9000:2005 «Системы менеджмента качества. Основные положения и словарь» определяет качество, как «степень, до которой совокупность определенных характеристик соответствует требованиям». Он-лайн словарь «BusinessDictionary.com» выдает следующее определение качества: «В производстве – это величина превосходства объекта или состояние, при котором в нем отсутствуют дефекты, изъяны или существенные вариации, качество характеризуется строгим соответствием измеримым и прослеживаемым требованиям, позволяющим получать одинаковую продукцию на выходе и удовлетворять требованиям покупателя или пользователя продукции». В производстве программного обеспечения есть такие понятия, как функциональное качество (functional quality, – ред.) и структурное качество (structural quality, – ред.). Организация «Consortium for IT Software Quality», независимая структура, основанная «Software Engineering Institute» при университете «Carnegie Mellon University» и при участии «Object Management Group» определили пять главных желаемых характеристик для полезного в бизнесе программного обеспечения: надежность, экономичность, безопасность, воспроизводимость и разумная степень развертывания.

Если мы сформулируем ключевые определения качества в терминах риск-менеджмента, то они будут звучать так: риски возникновения дефектов, риск неудовлетворенности потребителей, риск неконтролируемых вариаций в процессах, угрозы безопасности, риск неудачи в достижении поставленных целей. Обратите внимание, что в риск-менеджменте акцент сделан не на целях как таковых, а на риске не достигнуть эти цели. Риск-менеджмент нужен именно для контроля над рисками, а также он увеличивает вероятность достижения целей. Риск подобен монете с двумя сторонами: возможность и опасность. То же можно сказать и об управлении рисками. Есть еще одна параллель между менеджментом качества и управлением рисками. В качестве есть цикл PDCA, а восходящая звезда Грэг Хатчинс выдвинул идею четырех П: проактивность-превентивность-предсказуемость-предупредительность (proactive-preventive-predicative-preemptive, – ред.).

Давайте посмотрим более пристально на связь между менеджментом качества и риск-менеджментом. Менеджмент качества можно определить, как рациональный способ разработки и производства продукции и оказания услуг. В этом контексте, эффективность обычно определяется, как способность при изготовлении продукции и услуг выполнять и превышать ожидания потребителя.

Риск-менеджмент – это процесс определения, реагирования и сортировки по важности потенциальных источников риска для достижения поставленных целей. Использовать риск-менеджмент, значит быть проактивным, превентивным, предсказуемым и быть предупредительным. Риск-менеджмент задает вопрос: «Что если?» и обращает внимание на вероятность и последствия, чтобы определить какое из этих «если» значительно и к чему нужно готовиться. Если мы посмотрим на процессы качества, то увидим, что «разрывы» в том, что касается целей, означают большую амплитуду вариаций в процессах, а это больший риск. Большой риск ведет к большим вариациям в процессах и к меньшей идентичности выпускаемой продукции. Уменьшением риска амплитуды вариаций мы повышаем качество процессов.

Кстати:

Какие еще есть стандарты, содержащие подход на основе рисков:

ISO 28000 – безопасность в цепочках поставок.

ISO 27000 – информационная безопасность.

FAA Safety Management System – стандарт безопасности аэропортов.

Ключевые элементы риск-менеджмента:

• Идентификация рисков. Определение источника рисков и последствий их реализации.
• Анализ рисков. Определение вероятности и причин рисков.
• Контроль риска. Определение того, нужно ли предпринимать в связи с риском какие-то действия.
• Обработка риска. Определение стратегии и тактики по контролю или предотвращению риска.