Требуется ли в вашей системе менеджмента качества по ISO 9001:2015 процедура управления рисками и использования возможностей?

Источник: автором статьи является Марк Хаммар – сертифицированный в ASQ (American Society for Quality, – ред.) специалист по качеству и деловому совершенству. В сфере качества эксперт трудится с 1994 года. У него есть опыт работы в сфере аудитов, улучшения процессов, написания процедур для систем управления качеством и систем экологического менеджмента. Марк Хаммар – сертифицированный главный аудитор по стандартам ISO 9001, AS 9100, ISO 14001.

С выходом ISO 9001:2015 в системах менеджмента качества (СМК, – ред.) появилось новое требование по идентификации и оценке рисков и возможностей, связанных с деятельностью предприятия. Новое положение стандарта не только внесло сумятицу в ряды пользователей стандартов, заставив их гадать, что делать для его реализации, но и оставляет вопросы относительно того, что документировать в СМК в связи с рисками и возможностями. В этой статье я бы хотел помочь преодолеть путаницу, объяснив, что на самом деле требует стандарт, что необходимо сделать для соответствия ISO 9001 в данном аспекте. Также я постараюсь объяснить, чем риски и возможности выгодны пользователям стандарта.

Что требует ISO 9001:2015?

Раздел 6.1 ISO 9001:2015 подразумевает внедрение нескольких видов деятельности, которые необходимо поддерживать в своей СМК в рамках выполнения требований стандарта:

• идентификация ваших рисков и возможностей: на что нужно отреагировать, чтобы СМК достигала поставленных вами перед ней целей? Каковы желаемые результаты работы? Как максимально предотвратить или уменьшить вероятность возникновения проблем в достижении результатов? Как добиться улучшения?
• планирование вашей реакции на выявленные риски и возможности: какие действия в ответ на риски и возможности вам нужно предпринять?
• интеграция планов в вашу систему качества: необходимо принять решение о том, как ваши планы по реагированию на риски и использованию возможностей будут встроены и учтены в вашей повседневной основной производственной деятельности? Сделать это нужно так, чтобы в максимальной степени облегчить реализацию планов.
• оценка результативности: по каким критериям вы определите после совершения действия, было ли оно успешным или нет? Как вы решите, когда действия не дают результатов и нужно работать по-другому? Этот процесс включает анализ информации (подраздел 9.1.3) и анализ со стороны руководства для оценки результативности (подраздел 9.3.2).

Чтобы узнать больше о том, чего требует, а чего не требует стандарт ISO 9001:2015, читайте нашу статью «Как выполнить требования по рискам и возможностям из ISO 9001?».

Нужна ли вам документированная процедура?

Крайне важно отметить: в стандарте отсутствует требование о поддержке документированной информации по какой-либо из вышеперечисленных функций. ISO 9001:2015 совсем не предъявляет требований по введению какой-либо документации СМК по проблематике управления рисками и возможностями. Подраздел 10.2 лишь требует выполнять действия, о которых мы говорили в предыдущем параграфе статьи и проводить ревизию рисков и возможностей компании, если какой-либо процесс начинает давать несоответствующий результат.

Например, вы можете решить построить работу таким образом: оценить свои риски и возможности в ходе анализа со стороны руководства, проводя этот обзор вы смогли зафиксировать один какой-нибудь риск: к примеру, если у вас есть единственный поставщик определенного комплектующего, и он вдруг не доставил вам то, что должен был. Вы предпринимаете какие-либо действия, чтобы снизить потенциальный негативный эффект от реализации риска, например, ищете второго поставщика. Затем вам нужно еще убедиться, что сотрудники, которые вовлечены в интересующий вас аспект работы СМК, знали, что нужно делать (менеджер по закупкам начинает поиск второго поставщика, – ред.). Если все это вы проделали, то смело можете утверждать, что соответствуете требованиям по рискам и возможностям ISO 9001:2015. Обратите внимание, что все это верно даже в том случае, если все сделанное не было как-либо документировано.

Так, нужна ли вам документированная процедура? Опираясь на букву стандарта ISO 9001:2015 можно уверенно сказать, что это не требуется. Однако дело не только в соответствии стандарту: у вас могут быть другие причины поддерживать документированную информацию или записи по рискам и возможностям в своей СМК.

Зачем мне документированная процедура?

Даже если ISO 9001:2015 не требует наличия документированной процедуры, в некоторых случаях документирование рисков и возможностей может быть полезно организации и помочь обеспечить стабильность того или иного бизнес-процесса, например:

• речь идет о новом процессе? Если годами вы усердно применяете SWOT-анализ и применяете его, в том числе, для реализации требований ISO 9001:2015, то тогда, вероятно, новая документация вам не нужна. А вот если у вас появился новый процесс, о котором вы пока имеете весьма смутное представление, то создание документированной информации по рискам и возможностям может оправдать себя, так как документы помогут эффективнее выдерживать логику процесса и предоставят данные для его улучшения;
• к реализации процесса привлечены новые люди? Даже если процесс старый, но его частью стали новые люди, документация может быть полезна. Она способна помочь новичкам разобраться в том, что происходит и побыстрее адаптироваться;
• документация может облегчить интеграцию? Полезно создать документацию на этапе составления планов по предотвращению рисков и использованию возможностей, так как когда вы станете интегрировать эти процессы СМК в бизнес-процессы, связанные с основной деятельностью организации, вам придется объяснять риски людям, которые не участвовали в их идентификации. Впрочем, это не нужно понимать так, что можно составить документы и больше ничего не делать для интеграции процессов СМК в бизнес-процессы. Это все равно необходимо;
• поможет ли документация проанализировать результативность? Когда мы доходим до этого пункта, то речь идет уже не только о документированной процедуре по рискам и возможностям, документировать можно и планы по предотвращению их и по использованию возможностей. Подумайте, как вы собираетесь оценивать результативность планирования и предпринимаемых в соответствии с планом действий. Можете ли вы без документирования обеспечить желаемый результат?

Обдумайте свое решение перед тем, как отказаться от документирования

Существует немало веских причин документировать процедуру управления рисками и использования возможностей, однако ISO 9001:2015 позволяет вам сделать выбор и решить, что лучше в вашей ситуации. Только вы знаете, что требуется, чтобы убедиться в результативности процесса. Обычно я противник создания процедур там, где можно без них обойтись, в данном случае я призываю подумать. Сперва представьте, как потенциальная процедура по рискам и возможностям могла бы использоваться, чем она была бы полезна. Поразмыслите обо всем этом перед тем, как прийти к заключению, что документированная процедура не будет для вас выгодна. Короткий лаконичный документ не потребует много времени, но он мог бы очень помочь вашим сотрудникам, если составлен правильно. В заключении хочу напомнить, что документированная информация существует для вас и на пользу вашей компании. Потратьте на ее организацию в своей системе менеджмента качества, если считаете, что она поможет решать реальные проблемы организации.

Читайте также: «Требуется ли в вашей системе менеджмента качества по ISO 9001:2015 процедура управления рисками и использования возможностей?»

Перевод: сотрудник «Единый Стандарт» Валентин Рахманов.