Не переборщить с рисками! Главный риск при внедрении СМК на основе стандарта ISO 9001:2015

В настоящее время подходит к концу переходный период адаптации систем менеджмента качества к новой версии стандарта ISO 9001:2015 [1]. Одна из проблем, которая встречается почти на каждом предприятии при применении новых требований стандарта, связана с непониманием принципа работы с рисками, а именно философии реализации принципа риск-ориентированного подхода.

Уважаемые коллегии! Приглашаем Вас к дискуссии по актуальным проблемам менеджмента качества. Будем рады, если Вы поделитесь своим опытом с другими читателями нашего журнала!

Многие эксперты органов по сертификации, особенно консультанты, помогающие внедрять новые требования в компаниях, интерпретируют риск-ориентированный подход как обязательное применение требований стандартов ISO серии 31000 [2, 3] по управлению рисками. Однако это совершенно не так.
Приведем несколько аргументов, позволяющих доказать, что управление рисками и риск-ориентированный подход в менеджменте, заложенный в стандарте ISO 9001:2015, — две совершенно разнополярные темы, позволяющие работать с рисками совершенно по-разному.

Аргумент номер один — нормативные требования

Чтобы сильно не философствовать и не размышлять на тему, что именно надо внедрить при переходе на новую версию стандарта в работе организации — полноценную процедуру управления рисками или достаточность понимания об их существовании с акцентом на результат и его анализ, давайте обратимся к самому стандарту ISO 9001:2015. А именно к приложению А, в пункте 4А которого указано: «Одна из ключевых целей системы менеджмента качества состоит в том, чтобы она действовала как инструмент предупреждения. Поэтому настоящий стандарт не имеет отдельного раздела или пункта по предупреждающим действиям. Понятие предупреждающего действия выражено через использование риск-ориентированного мышления при формулировке требований к системе менеджмента качества».
В стандарте ISO 9001 версии 2008 г. [4] предупреждающие действия являлись обязательной документированной процедурой, определяющей порядок работы с потенциальными несоответствиями (практически — рисками). Однако случаев, чтобы в организациях процедуру «Предупреждающие действия» разрабатывали на основе стандарта ISO 31000, не было, так же как и упоминания о процессах управления рисками.
Далее по тексту приложения А следует: «Несмотря на то что 6.1 указывает, что организация должна планировать действия в отношении рисков, стандарт не требует формализованных методов менеджмента рисков или документированного процесса менеджмента рисков. Организации сами вправе решать, следует ли разрабатывать более обширную методологию менеджмента риска, чем требуется настоящим стандартом, например, за счет применения других руководящих указаний или стандартов».
Разработчики стандарта настаивают, что подходы к рискам и работе с ними могут быть заложены в самих процедурах и процессах. В компании организация взаимодействия этих процессов входит в компетентность работников. Даже степень документированности самой системы менеджмента зависит от степени и влияния рисков. Наличие той или иной инструкции — один из инструментов минимизации рисков. Однако если риски минимальны, то инструкция не нужна. Риск перегрузить компанию излишними инструкциями и ненужными процедурами — тоже риск!
В стандарте ISO 31000 требуется формализация подходов к анализу, оценке и проработке почти каждого риска, существующего в компании, и документирование всей этой работы. Что противоречит философии стандарта ISO 9001:2015.
Стоит отметить, что в стандарте ISO 9001:2015 отсутствует ссылка на стандарт ISO 31000 как рекомендацию или обязательное требование при внедрении риск-ориентированного подхода. Исключением является лишь раздел «Библиография», и только потому, что некоторые термины и определения, посвященные рискам, взяты именно из стандарта ISO 31000.

Аргумент номер два — интерпретация требований

Стандарты ISO серии 31000 направлены на управление деньгами компании. Это в первую очередь экономические подходы к управлению рисками с целью минимизации затрат при работе с ними. Другими словами, смысл менеджмента рисков сводится к следующему (рисунок):

• увидеть все возможные риски в организации и задокументировать их;
• по единой методике (или методикам, позволяющим уравновесить все риски между собой) оценить риски, чтобы выстроить рейтинги (самый страшный/самый безобидный риск) и задокументировать их;
• выделить деньги (по принципу Парето) на программы по минимизации самых страшных рисков и задокументировать;
• пересчитать все риски и актуализировать их рейтинги. Страшные риски (над которыми мы работали) превращаются в средние или безобидные, а средние (над которыми мы еще не работали) занимают первые строчки рейтинга вместо «ушедших вниз» бывших страшных рисков. И снова все документируется;
• повторить круг с вышедшими на первые места рисками.

Таким образом, из года в год мы все больше и больше рисков минимизируем, а денег тратим на это все меньше и меньше. Концепция такого подхода подразумевает наличие уникальной, «правильно считающей риски» методики, которая индивидуальна для каждой компании. И главная задача всего этого процесса — повышение эффективности работы компании.
Риск-ориентированный подход не требует наличия каких-либо методик, рейтингов или программ по минимизации рисков. Не забывайте, что ISO 9001 — стандарт, направленный на получение результата, в первую очередь потребителем, а не на повышение эффективности самой компании.
Подтверждение реализации риск-ориентированного подхода надо искать не в документах или прочих объективных свидетельствах (опять же документально доказанных), а в самой работе, самих процессах и процедурах компании, результатах деятельности и даже в наличии каких-либо структурных единиц или их отсутствии.
Планирование и выполнение процедур оценки поставщика (п. 8.4.1 стандарта ISO 9001:2015) или проведение входного контроля (п. 8.4.2 стандарта ISO 9001:2015) — уже реализованный подход к минимизации риска выбрать плохого поставщика или принять бракованную продукцию от него. Наличие юридического отдела является мерой своеобразной защиты от воздействия внешних факторов (заинтересованных сторон), так часто упоминаемых в стандарте ISO 9001:2015.
Если компания спокойно работает на рынке, достигает намеченных результатов, показывает достаточно высокие показатели эффективности и результативности процессов — не­ужели она не работает с рисками и никак от них не защищается? Так не бывает.

Аргумент номер три — результат внедрения

На сегодняшний день можно с уверенностью сказать, что 80 из 100 предприятий при внедрении риск-ориентированного подхода используют стандарт ISO 31000. Однако делают это не потому, что им это нужно, а потому, что им говорят так сделать. Что это якобы требования стандарта ISO 9001:2015.
Как результат, люди на предприятиях совершенно не понимают, как и, главное, зачем они переписывают на бумагу все возможные риски (вплоть до тех, которыми они вообще не управляют). Затем пересчитывают (оценивают) их по непонятным для них методикам, которые на самом деле методиками-то и не являются. Оформляют огромное количество бумаг, тратят на это много времени — а результата, в том числе финансового (эффективности), как не было, так и нет.
Чья в этом вина? Сложный вопрос. Можно обвинить сами компании, которые внедряют требования, не понимая их смысл, экспертов-аудиторов, которые заставляют компании внедрять ненужные инструменты, позволяя консультантам на этом заработать, а также самих разработчиков стандарта ISO 9001:2015, которые «непонятно» описали свои мысли на бумаге, тем самым позволили по-разному интерпретировать требования стандарта.
По мнению автора, вина кроется в банальном отсутствии здравого смысла как у менеджеров предприятий, так и у экспертов-консультантов.
Ведь, например, переходя проезжую часть, любой человек сначала смотрит налево, потом направо, но при этом нигде у себя в блокноте не ведет сложных расчетов всех рисков, связанных с машинами, встречающимися на его пути. Он знает о риске попасть под машину. И в своей жизни человек использует простой инструмент, чтобы обезопасить себя от этих рисков, — здравый смысл.
Так давайте же и в работе компаний при внедрении новых инструментов и подходов использовать здравый смысл.

Резюме

Все чаще и чаще мы встречаемся с проблемой перегиба в отношении применения требований стандарта ISO 9001:2015 со стороны как экспертов, так и консультантов и самих компаний. Вина этому — неправильная интерпретация требований стандарта, их непонимание, «выдирание из контекста» некоторых фраз и бесконечное обсуждение вопроса, что с этим делать. Необходимо внимательно вникать в суть написанных требований и читать стандарт целиком, а не по частям, правильно понимать его и интерпретировать. И при внедрении этих требований исходить не из стандарта, а из самой системы организации. Риск-ориентированный подход — не требование, а концепция. Нет необходимости утрировать его и превращать в формальное требование с формальным исполнением. Относитесь к стандарту философски.

01.10.2018

---

448

Поделиться: