Стандарт ISO 9001:2015 года получил развитие по сравнению с предыдущей версией направленное на риск-ориентированное мышление. В стандарте ISO 9001 появился целый раздел 6.1 Действия в отношении рисков и возможностей.
Аналогичные требования по управлению рисками есть и в других стандартах, например ISO 45001:2018, ISO 27001:2013 и т.д.
Тем самым, если Вы планируете внедрять хоть один из этих стандартов, данный тема потребует разбора.
Но зачем они нужны вообще и что это такое.
Принципиальный смысл применения риск-ориентированного мышления – переход от реагирования на произошедшую проблему к ее предотвращению.
Часть 1. Понимание риска.
Существует достаточно большое количество литературы посвященной управлению рисками, в том числе и стандарт ISO 31000:2018 "Менеджмент рисков. Принципы и руководящие указания", который содержит принципы, структуру и процесс управления рисками.
Но несмотря на то, что вопросы, связанные с рисками, рассматриваются уже достаточно давно, большое количество литературы посвященной данному вопросу, до сих пор в организациях часто понимание рисков является неполным или некорректным.
В соответствии с ГОСТ Р ИСО 31000:2010 термин «риск» раскрывается как «влияние неопределенности на Цели». В версии стандарта 2018 года определение риска остается таким же.
И тут хочется, во-первых, обратить внимание на тот факт, что понятие «риск» в стандарте не обязательно предполагает под собой негативные последствия! В результате неопределённости может возникнуть и положительный эффект. Что раскрывается в том числе в стандарте: «Влияние рассматривается как отклонение от ожидаемого. Оно может быть с позитивными или негативными последствиями, а также с теми, и другими, и может создавать или выступать в форме возможностей и угроз».
Во-вторых, стоит обратить внимание на то, что риск должен в себе содержать неопределенность и цели. Тем самым, например «Низкая зарплата сотрудников», не может считаться риском, так как содержит в себе только некоторый фактор. Чуть ближе к правильному пониманию будет «Увольнение сотрудников из-за низкой зарплаты», но на самом деле и это является не риском, а только источником риска. Для того чтобы говорить о риске сначала нужно определиться с целью. Например, если рассматривается процесс «Управление персоналом», то целью данного процесса может быть «Обеспечение квалифицированным персоналом производственной цепочки». И тогда риском будет «Невозможность обеспечить квалифицированным персоналом производственную цепочку». В данной формулировке есть цель и неопределенность (смогут обеспечить или нет). Но такой риск тяжело будет поддаваться оценке из-за множества факторов. Поэтому целесообразно его будет детализировать для разных ситуаций, например «Невозможность обеспечить квалифицированным персоналом производственную цепочку из-за низкой зарплаты»
Таким образом чтобы правильно определить риски и провести их оценку сначала целесообразно определить цели, для которых данный риск будет оцениваться, а затем детализировать по тем факторам, которые могут представлять источники рисков для достижения данных целей. И только потом уже проводить их оценку.
Часть 2. Способы определения источников рисков
Итак, что такое риски определились. Чтобы правильно оценивать риски нужно прежде всего их детализировать по источникам. Конечно можно оценить их и в целом, но тогда получиться «средняя температура по больнице». А для того, чтобы детализировать по источникам их нужно прежде всего определить. Существует большое количество методов и мне хотелось бы рассказать о некоторых из них.
Метод «Здравого смысла» или экспертная оценка.
На самом деле, большую часть источников, которые могут влиять на достижение конкретных целей, специалист ответственный за их достижение представляет без всяких исследований. Поэтому для того, чтобы их определить нужно просто дать данному специалисту высказать свое мнение, о том, что может помешать или помочь ему достигнуть запланированного результата. При этом не стоит рассматривать все, что может произойти, вплоть до падения метеорита на завод. Достаточно определить только те факторы, которые, как считает специалист, действительно могут привести к проблемам. Чаще всего такого метода определения источников хватает для организации. При необходимости можно углубить рассмотрение источников рисков до более мелких. Но если все же такой методики оказывается недостаточно и цели достигаются совсем не так как было запланировано, следует попробовать использовать другие методы.
«Метод от обратного» или «Метод ошибок». Всегда можно вспомнить (а согласно 9001 вообще просто поднять записи) какие проблемы уже возникали у организации. А если возникали проблемы – значит реализовалась конкретная опасность. Так что нужно только определиться какие конкретно опасности реализовались. Ну а высшим пилотажем реализации данного метода будет учиться не на своих – а на чужих ошибках. Всегда можно посмотреть не только свой опыт, но и опыт других организаций.
«Мозговой штурм» Одна голова хорошо, а две, может три, а может 7? Если один специалист не видит почему происходят проколы при достижении цели, а они происходят то в одном направлении, то в другом, может дело в том, что он определил не все опасности? Тогда имеет смысл провести «мозговой штурм». Основной смысл мозгового штурма – высказывание участниками группы всех мыслей(даже бредовых на первый взгляд) по текущей проблеме – в данном случае о возможных опасностях и потом их более пристальное рассмотрение.
Дальше уже идут частности, позволяющие не превратить мозговой штурм в балаган
Все высказанные идеи должны быть записаны, никакого отбора на этом этапе вести не нужно.
Фиксирует идеи помощник руководителя.
Не следует углубляться в развитие высказанной идеи, достаточно ее кратко сформулировать.
Желательно заканчивать обсуждение на всплеске активности, а не вследствие ее полного упадка.
Участники располагаются по кругу, чтобы видеть друг друга. Руководитель и помощник сидят вместе возле флипчарта или доски.
В данном методе важно количество, а не качество выдвигаемых идей.
В случае снижения активности команды делается короткий перерыв.
Золотое правило «мозгового штурма» - никакой критики. Любая идея желанна.
Часть 3. Оценка риска и его обработка
Стандарты требуют оценить риски и после оценки принять решение о дальнейших действиях применительно к данным рискам. Методы оценки рисков при этом организация может принимать любые, в том числе разрабатывать свои.
Учитывая то, что риск обычно определяется с точки зрения источников риска, возможных событий, их последствий и их вероятности (п.3.1 ISO 31000:2018) оценка рисков обычно проводится оценкой совокупности вероятности и последствий (чаще всего обычным произведением их значений) применительно к конкретному источнику (см. Часть 1). А с учетом того, что такое вероятность и того, как можно оценить последствия методы оценки являются некоторой компиляцией экспертной оценки и статистических методов.
Например, система оценки рисков, может быть такой:
Вероятность оценивается экспертным способом из трех вариантов:
«Высокая»=3, «Средняя»=2 или «Низкая»=1
Последствия оцениваются по сумме возможного ущерба/прибыли
«до 100 000»=1, «от 100 001 до 500 000»=2, «свыше 500 000»=3
Значимость риска определяется как произведение значений:
«до 3-х включительно – низкий», «больше 3-х меньше 9-ти - средний», «9 – высокий»
Оценив риски нужно определиться что с ними делать. Стандарт ISO 31000:2018 Предлагает следующие варианты реагирования на риски:
« избегание риска решением не начинать или не продолжать деятельность, которая ведет к риску;
принятие или увеличение риска с целью реализации возможности;
устранить источник риска;
изменить вероятность;
изменить последствия;
разделить риск (например, посредством включения соответствующих положений в договоры, приобретения страховки);
сохранение риска путем принятия обоснованного решения».
Проще всего рассмотреть способы реагирования на риски на примере хождения под сосульками, можно:
Не ходить в тех местах, где висят сосульки
Понимать что это опасно, но все равно проходить под ними(постоять под ними чтобы увеличить вероятность – но увеличение риска относится конечно к положительным эффектам а не к данному случаю)
Сбить сосульки в тех местах где вы проходите
Быстро пробегать в местах где они висят
Одевать каску проходя в таких местах (последствия будут, но тяжесть скорее всего будет ниже)
Застраховаться от несчастного случая
Оставить все так как есть, т.к. вероятность того что что то произойдет ничтожно мала(температура в данном месте всегда отрицательная) и последствия ничтожно малы(висят на низком сарае и небольшие).
Хорошим примером, связанным с определением необходимости реагирование на риск - являются действия врача при болезни. Как лучше поступить? Дать антибиотик – который гарантировано поможет, но имеет свои негативные последствия? Или дать жаропонижающее, которое имеет меньшие последствия, но не известно справится ли организм. Или может вообще ничего не давать – пусть организм борется самостоятельно. И каковы будут последствия действия или бездействия в каждом из этих случаев.
