Найти тему
СМК-консультант
4283 подписчика

9. СМК без секретов. Действия в отношении рисков и возможностей. Рискуем на все деньги...

2473
7 мин
Авторский коллаж.
Авторский коллаж.

Продолжаю авторский цикл статей «СМК без секретов».

Актуальный перечень ранее опубликованных статей со ссылками можно посмотреть/скачать.

Сегодня попробуем подступиться к одному из самых сложных компонентов СМК, введенных ГОСТ Р ИСО 9001-2015: «Действия в отношении рисков и возможностей».

Сразу отметём шелуху, привнесенную различными толкователями «воли фараона» и откроем страшную для этих толкователей тайну: ГОСТ Р ИСО 9001-2015 не требует управления рисками и возможностями! От этой подмены понятий «толкователи» всех мастей сразу перекидывают мостик к ГОСТ Р ИСО 31000 « Менеджмент риска. Принципы и руководство» и настаивают до пены из ушей, что организация, применительно к рискам, ОБЯЗАНА работать по ГОСТ Р ИСО 31000. И даже, закатив в экстазе глаза, указывают на пункт 19 раздела «Библиография» ГОСТ Р ИСО 9001-2015, где указан ISO 31000, Risk management - Principles and guidelines.

Не верьте, Вас пытаются «развести» на дополнительные затраты.

Сначала, как всегда, определимся с терминами.

Используем "свежее" определение термина.
Используем "свежее" определение термина.
Обращаем внимание, что ИСО 3534-2 тоже "свежий"...
Обращаем внимание, что ИСО 3534-2 тоже "свежий"...

Естественно, если мы собираемся работать с рисками, нужно использовать термины, установленные в этой области. Термины, применительно к рискам, установлены ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения».

ВНИМАНИЕ! С 1 марта 2022 года действует новый ГОСТ Р 51897-2021 «Менеджмент риска. Термины и определения». Что изменилось? Читаем - здесь.

Сморим далее. Ссылка на ISO 31000 в ГОСТ Р ИСО 9001 не является нормативной. Почему?

По моему - яснее некуда.
По моему - яснее некуда.

Кроме того, в приложении А.4 ГОСТ Р ИСО 9001 указано: « Несмотря на то что 6.1 указывает, что организация должна планировать действия в отношении рисков, стандарт не требует формализованных методов менеджмента рисков или документированного процесса менеджмента рисков. Организации могут решать следует ли разрабатывать более обширную методологию менеджмента риска, чем требуется настоящим стандартом, например, за счет применения других руководящих указаний или стандартов.»

Вроде бы благодать? Но не всё так просто в этом мире бушующем. Некоторые стандарты, устанавливающие дополнительные требования к СМК из-за специфики продукции (например, СТО Газпром), впрямую требуют работы с рисками по своим «лекалам». Эти «лекала», как можно догадаться, уже не отличаются либеральностью ГОСТ Р ИСО 9001.

Моё личное мнение по поводу рисков.

1 Работа в соответствии с применимыми требованиями стандартов и действующего законодательства предотвращает до 70 % рисков.
2 Повышение компетентности персонала предотвращает ещё до 10 % рисков.
3 Осмотрительная работа с контрагентами «минусует» ещё до 10 % рисков.
4 Остальные 10 % - это те риски, с которыми НИЧЕГО поделать нельзя, либо делать это экономически невыгодно – лучше сразу закрывать контору.
Пример? Тот же Covid -19. Кто-то вкладывался в мероприятия, снижающие до приемлемых последствия пандемии?

Однако, несмотря на привлекательность личных мнений, существуют и требования, которые нужно выполнять.

Сегодня мы остановимся на действиях в отношении рисков и возможностей в организации, которая может себе позволить некоторые «вливания» (ресурсные, организационные) в указанные действия. Совсем бюджетный вариант действий в отношении рисков (когда допобязанности навешиваются на весь персонал организации в составе пяти человек...) рассмотрим чуть позже.

Итак, если по умным книжкам, то целью реализации процедуры управления действиями в отношении рисков и возможностей является создание основы для повышения результативности системы менеджмента качества организации, достижения улучшенных результатов и предотвращения неблагоприятных последствий. То есть, если выгоды от работы с рисками превышают затраты – есть смысл вкладываться.

Сама процедура управления действиями в отношении рисков и возможностей не отличается от цикла PDCA (мы рассматривали его здесь):

  • выявляем риск;
  • проводим анализ риска с целью определения степени приемлемости;
  • планируем действия в отношении риска (в зависимости от степени приемлемости);
  • решительно реализуем запланированные действия;
  • проверяем, что вышло: снижен ли риск до нужной степени приемлемости;
  • по результатам проверки либо назначаем новые действия, либо оставляем только мониторинг.

Остаётся самое простое – определить ту самую нужную степень приемлемости (установить критерии)...

Напомню, что п. 6.1 намекает на необходимость действий (неважно: планирования или реализации) в отношении рисков и возможностей как для процессов СМК, так и для организации.

Алгоритм реализации процедуры управления действиями в отношении рисков и возможностей для всей организации может выглядеть так:

Рисунок автора
Рисунок автора

Алгоритм реализации процедуры управления действиями в отношении рисков и возможностей для процессов СМК может выглядеть так:

Рисунок автора
Рисунок автора

Основой для планирования действий в отношении рисков и возможностей должны, помимо прочего, являться:

- результаты понимания среды организации (статья – здесь);

- результаты определения потребностей и ожиданий заинтересованных сторон (статья – здесь).

Логично поручить работу с рисками и возможностями экспертной группе, той, которая работает с определением среды организации и потребностей «заинтересантов».

Методов работы с рисками и возможностями достаточно много, наиболее (на мой взгляд) доступный – метод сценарного анализа.

Сценарный анализ – это разработка описательных моделей того, что может произойти в будущем («что, если?»). При анализе могут применяться группы сценариев, отражающих, например, «наилучший вариант», «наихудший вариант» и «ожидаемый вариант».

Примерно так может выглядеть матрица ответственности при управлении действиями в отношении рисков и возможностей (приведен фрагмент таблицы для первого этапа).

Авторская таблица.
Авторская таблица.

Основными документами при работе с рисками и возможностями могут быть:

  • реестр рисков и возможностей организации в целом;
  • реестры рисков и возможностей для каждого процесса;
  • карта действий в отношении рисков и возможностей организации в целом;
  • карты действий в отношении рисков и возможностей для каждого процесса.

В реестрах отражаются результаты действий по определению, идентификации и описанию рисков. Не забываем про определение приемлемых/неприемлемых значений уровня рисков – критерии рисков.

Критериями рисков считают совокупность оценок влияния последствия возникновения риска и вероятности (правдоподобности) его возникновения. Обычно эти критерии сводят в таблицу.

В картах действий отражаются результаты:

  • планирования воздействия на риски;
  • мониторинга результативности запланированных воздействий на риски;
  • пересмотра запланированных воздействий на риски .

Целесообразно применение следующих вариантов воздействия на риск (обработки риска):

  • исключение риска посредством решения не начинать или не продолжать деятельность, в результате которой возникает риск;
  • принятие или повышение риска для обеспечения более широких возможностей;
  • устранение источников риска;
  • изменение вероятности (правдоподобности) возникновения риска;
  • изменение последствий риска;
  • разделение риска с другой стороной или сторонами (например, договор аутсорсинга, страхование);
  • принятие обоснованного решения по сохранению риска.

В результате надлежащего управления действиями в отношении рисков и возможностей в организации появляется возможность определять факторы, которые могут привести к отклонению от запланированных результатов процессов и системы менеджмента качества организации, а также использовать предупреждающие средства управления для минимизации негативных последствий и максимального использования возникающих возможностей.

Результаты управления действиями в отношении рисков и возможностей, целесообразно использовать:

  • при планировании видов деятельности организации;
  • при планировании действий в рамках как процессов СМК, так и системы в целом;
  • при анализе внутренних и внешних факторов, которые могут оказывать влияние на подход ООО RR «RRR» к постановке и достижению ее целей;
  • при управлении взаимоотношениями с заинтересованными сторонами;
  • при управлении предупреждающими действиями;
  • при планировании и реализации действий по улучшению.

Ещё раз напомню, что приведенные в статье методы управления действиями в отношении рисков и возможностей применимы для организации, располагающей необходимыми ресурсами. «Бюджетный» способ, который также соответствует установленным требованиям, рассмотрим в очередной статье.

Один из вариантов готового стандарта организации по управлению действиями в отношении рисков и возможностей (с новыми терминами!!!) можно посмотреть здесь: «СТО 8765RISO-105-2022 Система менеджмента качества. Управление системой менеджмента качества. Управление действиями в отношении рисков и возможностей». Стандарт предназначен для применения в СМК, соответствующих требованиям ГОСТ Р ИСО 9001.

Для СМК по ГОСТ РВ 0015-002-2020 СТО смотреть здесь: «СТО 123456RW-105-2021 Система менеджмента качества. Управление системой менеджмента качества. Управление действиями в отношении рисков и возможностей».

Актуальный перечень ранее опубликованных статей со ссылками можно посмотреть/скачать.

10.02.2021

6