Что меняет появление в ISO 9001:2015 риск-менеджмента?

В стандарте ISO 9001:2015, если судить по текущему Проекту международного стандарта (DIS – Draft International Standard, — ред.), исчезнет концепт «предупреждающих действий». Вместо этого в нормативный документ будет «вплетен» риск-менеджмент. Если доступный сейчас проект будет без изменений в итоге опубликован в качестве официального стандарта Международной организации по стандартизации (ISO – International Organization for Standardization, — ред.), то пользователь ISO 9001:2015 будет сталкиваться с «подходом на основе рисков» (risk-based approach, — ред.) во многих разделах стандарта. В подпункте 4.4 речь пойдет об оценке рисков, в 5.1.1 риск затрагивается в связи с вопросами лидерства. С риск-менеджментом придется столкнуться в подпунктах 9.3 – анализ со стороны руководства и 8.1 «Операционное планирование и контроль» («Operational planning and control», — ред.). Наконец, есть специальный подраздел – 6.1.2 «Действия исходя из рисков и возможностей» («Actions to address risks and opportunities», — ред.). Главной новостью в связи с интеграцией риск-менеджмента в ISO 9001 является то, что в новой редакции будут отсутствовать требования по стандартизированному риск-менеджменту, например, нет формальных требований по тому, как проводить анализ и оценку рисков – риск-менеджмент введен в структуру стандарта очень мягко и требования предельно ориентированы на индивидуальные особенности организации или компании. По-видимому, «подход на основе рисков» является своеобразной ссылкой на серию стандартов ISO 31000 «Менеджмент рисков», где вопрос оценки и предупреждения рисков освещен гораздо подробнее. К тому же, во многие отраслевые стандарты, гармонизированные с ISO 9001, требования по риск-менеджменту введены уже давно (например, «железнодорожный» IRIS, аэрокосмическая отрасль AS 9100, — ред.). В этом смысле разработчики новой редакции ISO 9001 просто познакомили пользователей стандарта с тем, с чем им придется столкнуться дополняя и усиливая свою систему менеджмента качества (СМК, — ред.) стандартами менеджмента конкретных секторов экономики.

Интересная дискуссия развернулась вокруг причин, по которым управление рисками вводят в «ткань» стандарта ISO 9001 именно сейчас. Автор статьи «ISO 9001:2015 – прощаемся со старым и приветствуем новое» («ISO 9001:2015 – Out with the old and in with the new», — ред.) считает, что это сделано из-за актуальности риск-менеджмента, которая связана с последствиями финансового кризиса 2008 года и крахом банковской системы в США и Великобритании. Статья выложена на сайте крупного британского органа по сертификации NQA. Предприниматели стали больше сосредотачиваться на оценке рисков, так как, по словам автора статьи, «именно отсутствие эффективного риск-менеджмента» привело к развитию кризисных явлений в экономике, не преодоленных до сих пор. Однако если введение в ISO 9001 риск-менеджмента и вызвано кризисом – это точно не эксклюзивное решение Международной организации по стандартизации для стандарта управления качеством. Дело в том, что в Директивах (документах, регулирующих работу по стандартизации, — ред.) ISO появилось Приложение SL (Annex SL, — ред.), которое вводит единую для всех стандартов организации на системы менеджмента структуру. Среди других обязательных к присутствию концепций есть и риск менеджмент. Так что если его появление в ISO 9001:2015 и связано с кризисом, то касается это далеко не только этого стандарта.

Много было написано и сказано о том, что «риск» – это будущее «качества». Но что это значит и как будет реализовано в широком смысле, без привязки к будущей 5-й по счету редакции ISO 9001? Давайте посмотрим на обычные рабочие понятия в качестве: «ноль дефектов», удовлетворенность потребителей, контроль вариаций в процессах, надежность, безопасность и пригодность с точки зрения целей. Все перечисленное – цели, которым программа качества призвана удовлетворять. Стандарт ISO 9000:2005 «Системы менеджмента качества. Основные положения и словарь» определяет качество, как «степень, до которой совокупность определенных характеристик соответствует требованиям». Он-лайн словарь «BusinessDictionary.com» выдает следующее определение качества: «В производстве – это величина превосходства объекта или состояние, при котором в нем отсутствуют дефекты, изъяны или существенные вариации, качество характеризуется строгим соответствием измеримым и прослеживаемым требованиям, позволяющим получать одинаковую продукцию на выходе и удовлетворять требованиям покупателя или пользователя продукции». В производстве программного обеспечения есть такие понятия, как функциональное качество (functional quality, — ред.) и структурное качество (structural quality, — ред.). Организация «Consortium for IT Software Quality», независимая структура, основанная «Software Engineering Institute» при университете «Carnegie Mellon University» и при участии «Object Management Group» определили пять главных желаемых характеристик для полезного в бизнесе программного обеспечения: надежность, экономичность, безопасность, воспроизводимость и разумная степень развертывания.

Если мы сформулируем ключевые определения качества в терминах риск-менеджмента, то они будут звучать так: риски возникновения дефектов, риск неудовлетворенности потребителей, риск неконтролируемых вариаций в процессах, угрозы безопасности, риск неудачи в достижении поставленных целей. Обратите внимание, что в риск-менеджменте акцент сделан не на целях как таковых, а на риске не достигнуть эти цели. Риск-менеджмент нужен именно для контроля над рисками, а также он увеличивает вероятность достижения целей. Риск подобен монете с двумя сторонами: возможность и опасность. То же можно сказать и об управлении рисками. Есть еще одна параллель между менеджментом качества и управлением рисками. В качестве есть цикл PDCA, а восходящая звезда Грэг Хатчинс выдвинул идею четырех П: проактивность-превентивность-предсказуемость-предупредительность (proactive-preventive-predicative-preemptive, — ред.).

Давайте посмотрим более пристально на связь между менеджментом качества и риск-менеджментом. Менеджмент качества можно определить, как рациональный способ разработки и производства продукции и оказания услуг. В этом контексте, эффективность обычно определяется, как способность при изготовлении продукции и услуг выполнять и превышать ожидания потребителя.

Риск-менеджмент – это процесс определения, реагирования и сортировки по важности потенциальных источников риска для достижения поставленных целей. Использовать риск-менеджмент, значит быть проактивным, превентивным, предсказуемым и быть предупредительным. Риск-менеджмент задает вопрос: «Что если?» и обращает внимание на вероятность и последствия, чтобы определить какое из этих «если» значительно и к чему нужно готовиться. Если мы посмотрим на процессы качества, то увидим, что «разрывы» в том, что касается целей, означают большую амплитуду вариаций в процессах, а это больший риск. Большой риск ведет к большим вариациям в процессах и к меньшей идентичности выпускаемой продукции. Уменьшением риска амплитуды вариаций мы повышаем качество процессов.

Кстати:

Какие еще есть стандарты, содержащие подход на основе рисков:

ISO 28000 – безопасность в цепочках поставок.

ISO 27000 – информационная безопасность.

FAA Safety Management System – стандарт безопасности аэропортов.

Ключевые элементы риск-менеджмента:

  • Идентификация рисков. Определение источника рисков и последствий их реализации.
  • Анализ рисков. Определение вероятности и причин рисков.
  • Контроль риска. Определение того, нужно ли предпринимать в связи с риском какие-то действия.
  • Обработка риска. Определение стратегии и тактики по контролю или предотвращению риска.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Вам понравилась статья? Не хотите пропускать новые? Тогда подпишитесь на RSS или получайте новые статьи мгновенно на электронную почту


Лицензия Creative Commons

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: