В ISO 22000:2018 введен новый термин бизнес-риск - вероятность потерь в результате ухудшения деловой среды и негативного изменения в организационно-управленческой сфере организации, что может повлиять на способность организации достигать намеченного результата. При этом не стОит забывать, что в рамках систем менеджмента бизнес-риск может быть положительного направления, и стать возможностью. Подробнее о рисках в ISO 9001 или ISO 31000.
Помните, именно в 6 разделе ISO 22000 появляется требование о планировании и внедрении действий, связанных с организационными или бизнес-рисками. Чтобы не путаться, рекомендую организационные риски называть бизнес-рисками.
Мы должны учесть контекст, влияние заинтересованных сторон (мы же их уже прописали) и определить возможные риски.
Для чего необходимо это сделать?
Получить уверенность, что действующая система управления позволит предотвратить или уменьшить нежелательное влияние рисков и увеличить степень реализации возможностей (желаемых результатов).
Т.е. грамотное обращение с рисками уверенно приведет к достижению намеченных результатов и постоянного улучшения.
Любой метод обращения с рисками состоит из этапов:
- выявление возможных рисков;
- определение приоритетных рисков (ранжирование);
- определение методов обращения с рисками;
- интеграция методов обращения с рисками в СМБПП и их применение;
- определение результативности методов;
- повторное определение возможных рисков.
Как же выявить возможные риски?
Есть различные пути: использование опыта и знаний одного сотрудника или группы, на совещаниях, собраниях, мозговой штурм.
Самым простой путь: неструктурированный подход, т.е. выбор на основании опыта группы компетентных сотрудников. Структурированный подход предполагает методику для оценки.
В рамках анализа Вы рассмотрите источники рисков, возможные последствия реализации риска, какая реакция должна быть по конкретному риску, ресурсы для снижения негативного влияния или создания благоприятных условий для реализации возможностей.
Примеры источников риска.
Риск, связанный с контекстом: срыв экспортных поставок при изменениях законодательства в стране поставки, изменение курса валюты, налогового, таможенного регулирования, экономические санкции и т.д.
Риск, связанный с заинтересованными сторонами: срыв поставок сырья, отказ потребителя от готовой продукции, недовольство и саботаж персонала, снижение инвестиций в производство, отказ в кредитовании, лоббирование интересов конкурентов.
Риск, связанный со стратегическими целями: может быть связан с отраслью, технологиями, брэндом, конкурентами, клиентами (неспособность вовремя распознать покупательские предпочтения), проектами (провал нового проекта), застоем бизнеса.
Риски, связанные с процессами: качество и безопасность выпускаемой продукции, эффективность процесса, влияние на окружающую среду, гигиена и безопасность труда.
После ранжирования приоритетных рисков определяют методы обращения с этими рисками. Собственно, в этом и заключается смысл риск-ориентированного мышления.
Должна быть выбрана одна из стратегий по обращению с риском:
- безрисковая стратегия, т.е. отказ от процесса/деятельности, риски по которому нести не может и снизить не может;
- принятие риска, т.е. когда невозможно достоверно установить имеющийся уровень риска, но риск оставляют, т.к. слишком привлекательны возможности (инновационные продукты, рискованное земледелие, несколько площадок дают возможность выполнить заказ при остановке одной из них);
- снижение последствий риска: планы действий в непредвиденных ситуациях (забастовки, отказ основного оборудования, перебои в снабжении. Самострахование).
Стратегия в отношении рисков и возможностей, должны быть выбрана в зависимости от:
a) их возможного влиянию на требования безопасности пищевых продуктов;
b) соответствия пищевых продуктов и услуг для потребителей;
c) требований заинтересованных сторон в продуктовой цепи.
Критериями результативности этих методов является отсутствие рисковых событий в течение определенного времени, отсутствие превышения установленных лимитов, сохранение уровня устойчивости или отсутствие негативных последствий при наступлении рисковых событий и т.п.
После оценки результативности проведите повторную оценку, т.к. не исключено, что некоторые риски стали уже незначимыми или возникли новые риски.
Важнейшим условием мышления, основанного на рисках, является ясное и четкое:
Определение и соблюдение сроков для обращения с рисками;
Распределение ответственности и наделение полномочиями персонала для применения методов;
Определение, своевременное и достаточное выделение ресурсов для обращения с рисками.
Т.е. необходимо создание программы управления рисками.
А вы определили ваши бизнес-риски? Какой подход использовали: структурированный или неструктурированный? В каком виде оформили? Текстовый, табличный, перечень? Какую стратегию чаще используете?