Спросите директора производства про риски - и в девяти случаях из десяти услышите: «Да мы их и так все понимаем, чего тут управлять». Звучит уверенно. Проблема в том, что управление — это не понимание. Это документ, владелец, срок и проверка. Как только вы садитесь и просите выписать риски одного цеха с вероятностью и ущербом в деньгах, уверенность испаряется. Выясняется, что «понятно» было ровно до момента, пока никто не спросил конкретику.
Проблематика
Риск-ориентированное мышление стало обязательным требованием ISO 9001:2015 (в России - ГОСТ Р ИСО 9001-2015). Это не каприз аудиторов. Серия стандартов ISO 9000 - спрессованный опыт управления качеством со всего мира, оплаченный реальными авариями, отозванными партиями и судебными исками. Когда стандарт говорит «думайте о рисках заранее», за этой формулировкой стоят тысячи компаний, которые не подумали.
Но между требованием стандарта и реальным управлением - пропасть. Большинство предприятий имеют «матрицу рисков» - красиво раскрашенную таблицу, которую достают раз в год к сертификационному аудиту и убирают обратно. Это не управление рисками. Это ритуал поклонения аудитору.
Цена разрыва между ритуалом и реальностью измерима. До 70% программ трансформаций не достигают заявленных целей, и одна из ключевых причин - неучтённые риски исполнения и нереалистичная оценка (McKinsey & Company, исследования transformation, 2015–2021). В производстве это конвертируется в простои, срывы поставок, штрафы и потерю клиентов.
Отдельная боль - bus factor, фактор зависимости системы от одного человека. На многих заводах ключевой технолог, наладчик уникальной линии или главный энергетик - это нераспределённый риск в чистом виде. Пока человек на месте - «всё нормально». Уволился, заболел, ушёл к конкуренту - встаёт производство. И это не форс-мажор. Это риск, который годами видели, но не управляли.
Самое дорогое - что некомпетентность здесь маскируется лучше всего. Типичный менеджер-симулянт говорит про «управление неопределённостью» гладко и уверенно. Собственник, который не сидел в цехе, не всегда поймёт, что за красивыми словами нет ни одного посчитанного риска. А цена ошибки найма ТОПа, по оценкам разных консалтинговых компаний, достигает нескольких годовых окладов с учётом упущенной выгоды и последствий его решений (Society for Human Resource Management, оценки cost-of-bad-hire).
4.1. Определение
Риск - влияние неопределённости на достижение целей. Управление риском - скоординированные действия по руководству и управлению организацией в отношении риска. Источник: ISO 31000:2018 / ГОСТ Р ИСО 31000-2019.
Ключевое слово - скоординированные действия. Не ощущения, не интуиция директора, не «чуйка». Действия, которые можно увидеть, проверить и повторить. Компетенция живёт не в самооценке руководителя, а в реестре, в принятых решениях и в том, что произошло (или не произошло) после.
Управление рисками - измеримое поведение, потому что у каждого риска есть владелец, вероятность, оценка ущерба, мера реагирования и факт проверки. Если ничего из этого нельзя предъявить - компетенции нет, есть разговоры.
4.2. Компоненты компетенции
Знания. Что такое риск-ориентированное мышление по ISO 9001 и ISO 31000. Виды рисков на производстве: технологические, кадровые, поставок, качества, охраны труда, экологические, регуляторные, финансовые. Методы оценки: качественные (матрица вероятность × ущерб) и количественные. Цикл PDCA. Базовое понимание FMEA (Failure Mode and Effects Analysis - анализ видов и последствий отказов) для производства.
Навыки. Идентифицировать риски не «вообще», а по конкретным процессам. Оценивать ущерб в деньгах и сроках, а не в словах «высокий/низкий». Назначать владельца. Выбирать стратегию: избегать, снижать, передавать, принимать. Закрывать причину, а не симптом. Проверять, сработала ли мера. Пересматривать реестр по ритму, а не по аудиту.
Установки.
o Продуктивные: «лучше неприятная правда сейчас, чем авария потом»; «плохие новости должны доходить до меня быстро»; «если риск без владельца - он мой».
o Вредные: «у нас всё под контролем»; «это маловероятно, не будем тратить время»; «риски — это для отдела качества».
Поведенческие индикаторы. Руководитель оперирует цифрами ущерба. Спрашивает «а кто за это отвечает?». Реагирует на плохую новость разбором, а не поиском виноватого. Регулярно пересматривает приоритеты рисков.
Управленческие артефакты:
o реестр рисков с владельцами, оценкой и датами пересмотра;
o протоколы разбора реализовавшихся рисков (что видели, что прозевали);
o карты ответственности (RACI - Responsible, Accountable, Consulted, Informed) по ключевым рискам;
o планы митигации с конкретными мерами и сроками;
o результаты FMEA по критичным линиям;
o план снижения bus factor (резервирование компетенций).
Результаты. Снижение незапланированных простоев. Меньше «сюрпризов». Сокращение брака и рекламаций. Устойчивость производства при уходе ключевых людей.
4.3. Уровни зрелости
Слабый. Рисками не занимается, реагирует по факту аварии. Говорит «у нас всё нормально». Артефактов нет. Производство держится на героизме отдельных людей.
Базовый. Есть матрица рисков, но она формальная - к аудиту. Риски названы общими словами, ущерб не посчитан, владельцев нет. Реагирует уже осмысленнее, но всё ещё в режиме тушения.
Уверенный. Реестр живой, с владельцами и деньгами. Риски пересматриваются по ритму. Закрывает причины. Знает свой bus factor и работает над ним. Плохие новости доходят быстро.
Экспертный. Управление рисками встроено в культуру: о рисках думают начальники цехов, а не только директор по качеству. Решения принимаются с учётом риска как нормы. Система устойчива к уходу людей. Риски связаны со стратегией - директор видит не только аварию станка, но и риск потери рынка.
4.4. Исследования и данные
o До 70% трансформаций не достигают целей, в том числе из-за неучтённых рисков исполнения (McKinsey & Company, 2015–2021).
o Качество менеджмента напрямую связано с вовлечённостью: команды с сильными руководителями устойчивее к стрессовым событиям (Gallup, State of the Global Workplace, 2023–2024).
o Риск-ориентированное мышление закреплено как обязательное требование в ISO 9001:2015 - пункты по планированию действий в отношении рисков и возможностей.
4.5. Модели - и как применить завтра
PDCA (Plan–Do–Check–Act). Основа риск-менеджмента по ISO. Завтра: для каждой меры минимизации ущерба заведите Check - кто и когда проверит, что мера сработала. Без Check у вас не цикл, а список благих намерений.
Матрица вероятность × ущерб. Завтра: возьмите 10 рисков цеха, проставьте по шкале 1–5 вероятность и ущерб в рублях. Перемножьте. Топ-3 по произведению - ваш фокус на месяц.
FMEA (анализ видов и последствий отказов). Завтра: по одной критичной линии разберите, что может отказать, к чему это приведёт и насколько вы это обнаружите вовремя.
RACI. Завтра: напротив каждого риска в реестре - буква A (кто отвечает головой). Если у риска нет A - он ничей, значит ваш.
Bus factor. Завтра: отметьте процессы, где всё держится на одном человеке. Это риски без строки в реестре.
4.6. Связь с другими компетенциями
Управление рисками не живёт отдельно. Без принятия решений реестр превращается в созерцание угроз. Без ответственности риски остаются без владельцев. Без работы с данными оценка ущерба становится гаданием. Без системного мышления директор латает симптомы. И без управления неопределённостью руководитель либо парализован страхом, либо отрицает реальность.
4.7. На разных уровнях управления
Линейный руководитель (мастер). Видит риски своего участка: износ оборудования, нарушения техники безопасности, нехватка людей в смене. Реагирует на месте.
Руководитель среднего звена (начальник цеха). Координирует риски между участками, видит узкие места по теории ограничений Голдратта, передаёт критичное наверх.
Директор функции (главный инженер, директор по производству). Строит систему: реестр, ритм пересмотра, FMEA на критичных линиях, план снижения bus factor. Связывает риски с метриками простоев и брака.
ТОП / CEO. Управляет не отдельными рисками, а системой управления рисками. Видит стратегические риски: зависимость от одного поставщика, регуляторные изменения, потеря рынка, кадровый кризис. На этом уровне опасно путать занятость с управлением: директор может проводить десять совещаний по рискам в неделю и не иметь ни одного посчитанного. Если после прихода ТОПа выросло число совещаний о рисках, но не появилось ни реестра с деньгами, ни снижения простоев - это не управление рисками, это их обсуждение.
Блок для тех, кто нанимает и оценивает
5.1. Резюме: что искать
Хорошие признаки:
o конкретные риски, которыми управлял, и результат в цифрах («снизил незапланированные простои на N%»);
o внедрение FMEA, реестра рисков, системы предупредительных мер;
o работа с поставщиками: диверсификация, резервирование;
o снижение зависимости от ключевых людей;
o результат, переживший его уход.
Красные флаги:
o «внедрил систему управления рисками» без единой цифры результата;
o «участвовал в разработке матрицы рисков» - участвовал кем?
o много про ISO-сертификаты, ничего про реальные предотвращённые потери;
o обесценивание: «до меня там вообще не понимали, что такое риск»;
o неспособность назвать цену конкретного решения.
5.2. Scorecard
Уровень
Поведение
Доказательства
Риски
Слабо
Реагирует только по факту аварии
Артефактов нет, «всё под контролем»
Внезапные простои, аварии, авралы
Базово
Есть формальная матрица к аудиту
Таблица без денег и владельцев
Риски «на бумаге», в реальности не управляются
Уверенно
Живой реестр, владельцы, ритм пересмотра
Реестр, протоколы разборов, RACI
Локальные провалы, но система держит
Экспертно
Риски встроены в культуру и стратегию
Снижение простоев, устойчивость к уходу людей, связь рисков со стратегией
Минимальные, система самовосстанавливается
5.3. Вопросы на собеседование
1. «Назовите три риска, реализовавшихся на вашем производстве за два года. Что видели заранее, что прозевали?» - проверяет честность и способность к разбору. Сильный ответ: конкретика, признание прозевал. Насторожить: «у нас всё было под контролем».
2. «Возьмите риск отказа ключевой линии - посчитайте ущерб за сутки простоя.» - проверяет перевод риска в деньги. Сильный: считает в уме структуру потерь. Насторожить: «ну это сложно посчитать».
3. «Кто на прежнем месте был незаменим? Что вы с этим делали?» - bus factor. Сильный: видел проблему, резервировал. Насторожить: «у нас все профессионалы, проблем не было».
4. «Расскажите про решение, где вы приняли риск осознанно. Какие альтернативы отвергли?» - проверка реального участия. Просите хронологию и цифры.
5. «Опишите случай, когда ваша оценка риска оказалась неверной.» - зрелость. Сильный: спокойно разбирает ошибку. Насторожить: не может вспомнить ни одной.
6. «Объясните мне, неспециалисту, главный риск вашего производства простыми словами.» - за терминами часто прячут пустоту.
Приёмы против симуляции: просите цифры; восстанавливайте хронологию; спрашивайте «кто конкретно отвечал»; отделяйте «мы» от «я»; просите показать артефакт (реестр, FMEA); спрашивайте цену ошибки.
5.4. На что смотреть в стиле ответа
Реальная компетенция: говорит причинно-следственно, считает в деньгах, признаёт прозёванное, не прячется за «мы», объясняет сложное просто, не раздражается на уточнения.
Симуляция: много терминов и ISO-аббревиатур, мало фактов; драматизация («рынок непредсказуем, что тут спланируешь»); подмена результата активностью («провели 20 совещаний по рискам»); раздражение на вопрос «а сколько это в рублях?»; «всё было бы хорошо, если бы собственник дал бюджет».
5.5. Оценка действующего ТОПа
Смотрите: как реагирует на плохие новости (разбор или поиск виноватого?); доходят ли проблемы до него быстро; есть ли живой реестр; пересматривается ли он; знает ли он свой bus factor.
Вопросы собственника к ТОПу:
1. «Покажи реестр рисков. Когда последний раз пересматривали?»
2. «Какие три риска сейчас могут остановить производство?»
3. «Кто у нас незаменим и что мы с этим делаем?»
4. «Назови риск, который реализовался в этом году. Почему прозевали?»
5. «Какую меру минимизации ущерба мы внедрили - и проверили ли, что она работает?»
Вопросы HR к ТОПу и его команде:
1. «Доходят ли до руководителя плохие новости вовремя - или их боятся приносить?»
2. «Кого готовят на замену ключевым специалистам?»
3. «Что произойдёт, если завтра уволится главный технолог?»
Запросите: реестр рисков, протоколы разборов, план резервирования компетенций. Проверьте расхождение между «всё под контролем» и фактическими простоями.
5.6. Матрица «уровень - действие»
Уровень
Что делать
Срок проверки
Риск ошибки
Слабо
Жёсткие контрольные точки, наставник, требование реестра
1–2 месяца
Высокий: авария может опередить развитие
Базово
Развивать, поставить цель по живому реестру и FMEA
3 месяца
Средний
Уверенно
Расширять зону, делегировать систему рисков
6 месяцев
Низкий
Экспертно
Усиливать стратегическую роль, тиражировать культуру
-
Минимальный
Расставаться оправдано, когда: компетенция критична для роли, повторные попытки развития провалились, руководитель отрицает проблему («у меня всё под контролем» при регулярных авариях), бизнес несёт существенные риски, а симуляция стала постоянным поведением.
5.7. Кейс для собственника и HR
Моделирование ситуации.
Производство пластиковых изделий. Новый директор по производству на интервью блестяще говорил про ISO, риск-ориентированное мышление, FMEA. Собственник, не инженер, был впечатлён.
Через семь месяцев встала единственная линия термоформовки - отказал узел, к которому полгода не было запчастей. Простой 12 дней, сорван контракт с крупным ритейлером, штраф. Выяснилось: риск отсутствия резервных запчастей был очевиден всем мастерам, но в «реестре рисков» директора стояла строка «риск отказа оборудования - средний» без владельца, без оценки ущерба и без меры.
Сигналы, которые можно было увидеть: на интервью директор не назвал ни одного посчитанного риска. Реестр был презентацией, а не рабочим документом. На вопрос «кто отвечает за запас критичных запчастей» внятного ответа не было.
Что должны были сделать собственник и HR: запросить реестр на интервью, попросить посчитать ущерб от простоя линии, проверить наличие владельцев у рисков.
Вывод для руководителя: риск без владельца, цифры ущерба и проверки - это не управление, это надпись.
Блок для руководителя
6.1. Знания, навыки, установки
Знания: требования ISO 9001 к рискам; цикл PDCA; матрица вероятность × ущерб; основы FMEA; виды производственных рисков; что такое bus factor.
Навыки: идентифицировать риски по конкретным процессам; считать ущерб в рублях и днях; назначать владельца; выбирать стратегию реагирования; закрывать причину, а не симптом; проверять результативность мер; вести ритм пересмотра.
Установки: «риск без владельца - мой»; «плохая новость сегодня лучше аварии завтра»; «маловероятно ≠ можно игнорировать, если ущерб катастрофичен». Вредные: «у нас всё под контролем», «риски - забота отдела качества».
6.2. План 30/60/90
30 дней - честная картина. Выпишите 15–20 событий, после которых производство встанет или потеряет деньги. Поговорите с мастерами и наладчиками - они знают реальные риски лучше отчётов. Посмотрите статистику простоев за год. Отметьте процессы с bus factor. Задайте себе вопрос: «Какой риск я знаю, но не управляю им, потому что неудобно?»
60 дней - смена практик. Заведите живой реестр: риск, вероятность, ущерб в рублях, владелец (A по RACI), мера, дата проверки. Введите ритуал: 15 минут на оперативке - статус топ-5 рисков. По одной критичной линии проведите FMEA. Уберите привычку обсуждать риски без назначения владельца.
90 дней - закрепление. Должны появиться: рабочий реестр, минимум 2–3 закрытые причины (не симптома), план резервирования по ключевым людям. Признак прогресса - не «больше совещаний», а снижение незапланированных простоев и то, что плохие новости стали доходить быстрее. Спросите команду: «Стало ли понятнее, кто за что отвечает при сбое?»
6.3. Чек-лист самодиагностики
Вопрос
Хороший ответ
Тревожный сигнал
У моих рисков есть владельцы?
У каждого - конкретный человек (A по RACI)
«За это отвечает отдел» / нет ответа
Оцениваю ли я ущерб в деньгах?
Считаю рубли и дни простоя
«Высокий/средний/низкий» без цифр
Когда я последний раз пересматривал реестр?
По ритму, не реже раза в месяц
«Перед аудитом» / не помню
Знаю ли я свой bus factor?
Назову незаменимых и план резервирования
«У нас все профессионалы»
Доходят ли до меня плохие новости вовремя?
Команда приносит проблемы без страха
Узнаю об авариях последним
Закрываю причину или симптом?
Разбираю корневую причину
Latch - починили, забыли
Проверяю ли я, что меры сработали?
Есть Check в каждом цикле
Внедрил и забыл
Могу ли назвать топ-3 риска производства?
Назову сразу, с цифрами
Задумываюсь, путаюсь
Был ли разбор последнего реализованного риска?
Есть протокол, выводы внедрены
«Ну, бывает, исправили»
Реагирую ли я на риск до аварии?
Предупреждаю заранее
Тушу по факту
Связаны ли мои риски со стратегией?
Вижу рыночные и регуляторные
Только поломки станков
Принимаю ли я решения по реестру?
Реестр меняет приоритеты
Реестр живёт сам по себе
Как я реагирую на «у нас всё под контролем»?
Прошу показать цифры
Принимаю на веру
· Если на треть вопросов ответ тревожный - у вас не управление рисками, а их коллекционирование.
· 6.4. Шкала самооценки
Уровень
Описание
Как видно окружающим
Что делать дальше
1. Слабый
Рисками не занимаюсь, тушу пожары
Команда живёт от аварии к аврале, авралы как норма
Завести реестр, выписать топ-10 рисков с владельцами
2. Базовый
Есть матрица, но формальная
Бумага есть, реальность другая
Перевести риски в деньги, назначить A, ввести ритм пересмотра
3. Уверенный
Живой реестр, закрываю причины
Сбоев меньше, понятно кто за что отвечает
Снижать bus factor, внедрить FMEA на критичных линиях
4. Экспертный
Риски - часть культуры и стратегии
Система устойчива к уходу людей, мало сюрпризов
Тиражировать культуру, связать риски со стратегией бизнеса
· 6.5. Инструменты, книги, практики
· Книги:
o Нассим Талеб, «Чёрный лебедь» - про риски, которые недооценивают именно потому, что считают невероятными. Учит не путать «не было» с «не может быть».
o Нассим Талеб, «Антихрупкость» - как строить систему, которая выигрывает от потрясений, а не просто их переживает.
o Дуглас Хаббард, «Как измерить всё, что угодно» - практика количественной оценки рисков, лечит привычку говорить «это невозможно посчитать».
o Элияху Голдратт, «Цель» - теория ограничений: где узкое место, там и главный риск производства.
o ГОСТ Р ИСО 31000-2019 и ГОСТ Р ИСО 9001-2015 - первоисточники, а не пересказы. Читать с карандашом, проецируя на свой цех.
Инструменты:
o Реестр рисков. Применять постоянно, пересматривать ежемесячно. Результат - ни один значимый риск без владельца и оценки. Предотвращает «риски в голове директора».
o FMEA. На критичных линиях, при запуске нового продукта или оборудования. Результат - заранее видны слабые узлы. Предотвращает аварию «на ровном месте».
o Матрица вероятность × ущерб. Ежемесячно для приоритизации. Результат - фокус на главном, а не распыление. Предотвращает занятость второстепенным.
o RACI по ключевым рискам. При распределении ответственности. Результат - нет ничейных рисков. Предотвращает «я думал, это делает он».
Практики:
o 15 минут на оперативке - статус топ-5 рисков. Еженедельно.
o Разбор каждого реализовавшегося риска по принципу «что видели заранее, что прозевали, почему». Без поиска виноватого - иначе перестанут приносить плохие новости.
o Ежеквартальная ревизия bus factor: кто стал незаменим за квартал.
6.6. Типичные ошибки
1. «Понял концепцию — значит умею». Прочитал про FMEA, рассказал на совещании - и считает, что внедрил. Опасно: создаёт ложное чувство контроля. Альтернатива: провести FMEA руками по одной линии, до конца.
2. Матрица вместо управления. Завёл красивую таблицу к аудиту, дальше не трогает. Возникает из желания закрыть формальность. Альтернатива: привязать реестр к оперативке, чтобы он жил.
3. Собрал риски - не принял решений. Реестр есть, но приоритеты не меняются. Альтернатива: каждый месяц задавать «что мы делаем с топ-3 по-другому?».
4. Контроль формы вместо результата. Проверяет, заполнена ли графа, а не сработала ли мера. Альтернатива: ввести Check - кто проверил, что риск снизился.
5. Наказал за честность. Спросил про прозёванные риски, отругал - и больше плохие новости не доходят. Самая дорогая ошибка: риски уходят в тень. Альтернатива: разбирать без поиска виноватого, поощрять раннее предупреждение.
6. «Маловероятно — значит неважно». Игнорирует катастрофичные риски из-за низкой вероятности. Альтернатива: для редких, но смертельных рисков - отдельная стратегия (резервирование, страхование).
7. Прячет отсутствие системы за «гибкостью». «Мы динамичные, нам реестры ни к чему». Альтернатива: гибкость в реагировании - да, отсутствие учёта рисков - нет.
6.7. Кейс для руководителя
Моделирование ситуации.
Начальник цеха металлообработки получил повышение до директора по производству. Привычка - тушить пожары, и он этим гордился: «я всегда в гуще». Через два месяца собственник спросил, почему за квартал три внеплановых простоя на одной линии.
Директор начал с честной диагностики: выписал все сбои за год. Оказалось, 60% простоев - на одном узле, запчасти к которому заказывали по факту поломки, неделями ожидая поставку. Bus factor: единственный наладчик этого узла перед увольнением.
Сопротивление было своё, внутреннее: «реестры — это бюрократия, я производственник». Первый реестр получился формальным - риски общими словами. Собственник вернул: «посчитай в рублях». Пересчитал - сутки простоя стоили больше, чем годовой запас критичных запчастей. Решение стало очевидным.
За 90 дней: завёл живой реестр с владельцами, провёл FMEA по проблемной линии, заказал страховой запас узлов, обучил второго наладчика. Простои по этой линии прекратились. Признак прогресса - не «стал больше работать», а мастера стали приносить ему риски заранее, до поломки.
Что сработало: перевод риска в деньги (тогда решение стало бесспорным), FMEA, работа с bus factor. Сигнал прогресса: изменилось поведение команды - риски стали обсуждать до аварии, а не после.
Заключение
Управление рисками - редкая компетенция, где симуляцию легко вскрыть одним вопросом: «А сколько это в рублях и кто за это отвечает?». За уверенным «у нас всё под контролем» либо стоит реестр с владельцами и цифрами, либо не стоит ничего, кроме надежды, что пронесёт.
Собственнику и HR важно не покупать гладкий рассказ про «комплексное управление неопределённостью» - покупать нужно реестр, протоколы разборов и снижение простоев. Руководителю важно не продавать себе иллюзию, будто понимание рисков и управление ими - одно и то же. Между ними лежит пропасть в виде владельца, цифры и проверки.
ГОСТы серии 9000 сделали риск-ориентированное мышление обязательным не из любви к бумагам, а потому что десятилетия чужих аварий доказали: то, чем не управляют, рано или поздно управляет вами.
Риск, который вы знаете, но не записали, — это не управляемый риск. Это просто авария, которая ещё не нашла свободного окна в вашем календаре.
Подписывайтель на мои каналы:
https://t.me/seodnya
https://Vk.com/ceodnya
https://www.youtube.com/@ceodnya
https://max.ru/join/J2S__nJ2ZzSOK0tAWXHMDKMJizbZkkQOzBgSURAY90Y
https://dzen.ru/ceodnya