Что означает риск ориентированное мышление
Предупредить и устранить
Основы риск-ориентированного мышления
Стоит ли идти на разумный риск? Краткий ликбез о том, что требует стандарт ГОСТ Р ИСО 9001-2015 в контексте риск-ориентированного мышления.
Основа основ
Система менеджмента качества должна стать инструментом предупреждения и управления рисками. Стандарт ИСО 9001-2015 призывает использовать для этого риск–ориентированный подход. Данное требование присутствовало и в предыдущей версии стандарта ИСО 9001-2008 в контексте планирования, анализа, улучшений, а также применения предупреждающих действий.
Однако в связи с участившимися экономическими кризисами стандарт ИСО 9001-2015 требует от организаций понимания среды, в которой она существует. Оценивать существующие риски нужно в первую очередь перед разработкой новой продукции или видоизменением имеющейся.
Мышление, основанное на рисках, делает предупреждающие действия частью стратегического и операционного планирования, обеспечивает учет рисков на всем протяжении жизненного цикла продукции. Поэтому в организации, нацеленной на долгосрочное развитие, особое внимание следует обратить на внедрение и использование инструментов риск-ориентированного мышления.
Вольность в стандарте
Несмотря на необходимость планировать действия с учетом возможных рисков, ИСО 9001-2015 не требует обязательного создания карты рисков. Организация вправе сама определять необходимость такого документа. Однако, если принято решение создать советующий документ, он должен включать в себя:
способы управления рисками;
Для того чтобы разобраться в видах рисков, следует начать с терминологии. ГОСТ Р ИСО 9000-2015 связывает риск с неопределенностью.
В свою очередь, неопределенность — это недостаток информации, понимания или знания о событии, его последствиях или вероятности наступления. Влияние риска на работу организации выражается в отклонении процесса от ожидаемого результата.
Виды и разновидности
Для того чтобы создать эффективную риск-ориентированную систему, нужно разобраться с тем, что именно требует стандарт ИСО 9001-2015. В первую очередь следует конкретизировать риски:
по роду опасности — техногенные и природные;
по сферам проявления — коммерческие, экологические и профессиональные;
по возможности предвидения — прогнозируемые или непрогнозируемые;
по источникам возникновения — внешние или внутренние;
по размеру ущерба — допустимые, критические и катастрофические.
Кроме того, стандарт требует от организации:
спланировать действия для предотвращения или уменьшения нежелательного влияния рисков в целях достижения улучшений;
документировать всю информацию по управлению рисками для накопления опыта.
Учимся управлять
Существует несколько способов управления рисками:
избегать рисков — не попадать в ситуацию, в которой велика вероятность возникновения риска и нанесение ущерба бизнесу;
признать риск — заложить потенциальный ущерб в бюджет и не бороться с риском;
разделить риск с заказчиками, поставщиками, например, российские предприниматели часто разделяют риски со своими сотрудниками, снижая им зарплату;
снизить вероятность возникновения риска;
минимизировать потери в случае возникновения риска;
возложить риск на третью сторону — застраховать возможные убытки или ответственность за причиненный ущерб.
SWOT-анализ
Мышление, основанное на рисках, снижает вероятность недостижения установленных производственных результатов и способствует достижению целей компании. Кроме того, определение рисков и формулирование возможностей повышает результативность СМК. Для повышения результативности риск-ориентированной модели управления рекомендуется воспользоваться SWOT-анализом и четко прописать:
Внешние риски, за исключением техногенных:
Технологические (принципиальное изменение технологий).
Договорные (с потребителями, поставщиками, партнерами).
Мониторинг законодательных изменений и новых нормативных документов. Создание портфеля «откликов» на соответствующие риски.
Мониторинг принципиально новых конструктивных и технологических разработок. Сопоставление их с действующими техническими решениями и собственными разработками.
Что означает риск ориентированное мышление
Войти
Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal
СМК. 11.2 Риски. Часть 2. Риск-ориентированное мышление
Здравствуйте, коллеги. Продолжим разговор о рисках, вернее, уже не о самих рисках, а о риск-ориентированном мышлении.
Сразу скажу, что на эту тему есть официальный документ (разъяснения) ISO/TC 176/SC2/N1284, его неплохо прочесть для того, чтобы понять логику разработчиков ISO9001:2015, поскольку документ этот писали сами же разработчики стандарта. Но он на английском, поэтому я постараюсь объяснить суть риск-ориентированного мышления на пальцах, основываясь на положениях данного документа.
Каждый раз, принимая осознанное решение (а стандарты ISO требуют принятия решений, основанных на фактах, то есть как раз осознанных решений), мы всегда задаем себе минимум два из следующих 4 вопросов:
Почему я сказал о том, что риск-ориентированным мышлением пользуется любой человек при принятии решения? Давайте попробуем применить эту матрицу вопросов, например, при выборе места перехода автомобильной дороги ) Каждый же день переходим через дорогу?
Ситуация: У нас через 30 минут важная встреча в месте до которого нам по прямой через дорогу как раз столько времени идти. Есть подземный переход в 500 метрах от нашего месторасположения. Наземного перехода и светофоров рядом с нами нет. Надо принять решение, перейти дорогу в месте, где мы находимся, или идти до подземного перехода, потом по другой стороне столько же обратно и дальше по маршруту.
ВНИМАНИЕ. Это пример просто из жизни. Все ваши решения должны находиться в рамках существующих правил и законов!
1. Что я получу, если этого не сделаю? Я получу возможность попасть на встречу вовремя, однако рискую быть сбитым машиной.
2. Что я получу, если это сделаю? Я рискую опоздать на встречу на 10-15 минут, но перейду дорогу безопасно и без риска для жизни от потока автомобилей на дороге.
3. Что я потеряю, если это сделаю? Вероятно, потеряю клиентов, если те, кто ждут меня на встрече слишком нетерпеливые.
4. Что я потеряю, если этого не сделаю? Я рискую потерять здоровье или жизнь, будучи сбитым машиной.
Согласитесь, такие мысли пролетают в голове за доли секунды и чаще всего человек принимает правильное решение )) Это и есть неосознаваемое риск-ориентированное мышление, присущее каждому из нас. Иногда его еще называют инстинктом самосохранения.
На языке СМК стоит просто заменить слово «(не) сделаю» на «это (не) сделано» и слово «я» на слово «мы».
В принципе, не обязательно чтобы на производстве все обладали таким мышлением. Достаточно одного настырного человека, который сумеет по каждой проблеме сформулировать нужные вопросы и задать их нужным специалистам, а потом собрать все в кучу, сделать анализ, сформулировать доклад и предоставить его высшему руководству для принятия окончательного решения, основанного на фактах.
ОТК в сотрудничестве со службой менеджмента качества должен провести исследование причин возникновения несоответствия, выявить корректирующие действия (КД), и по каждому из них провести риск-анализ.
Это ведь очень естественно! Не сложнее, чем принять решение о том, где перейти дорогу. Это нормально.
Мышление, основанное на риск-менеджменте в ISO 9001:2015
Опубликовано: 25.11.2014 Рубрика: Статьи Автор: Единый Стандарт
Важным нюансом подготовки новой редакции самого распространенного в мире стандарта на системы менеджмента качества (СМК, – ред.) является то, что в стандарте используется не термин «риск-менеджмент», который существует давно и имеет устоявшееся определение, а выражение «мышление, основанное на оценке рисков» (risk-based thinking, – ред.). Напомним, что в новой редакции ISO 9001 будут содержаться требования по управлению рисками. Кристофер Парис, американский специалист по качеству, в своей статье «А что вообще такое “мышление, основанное на оценке рисков” из ISO 9001?» («What is ISO 9001’s “Risk-Based Thinking” Anyway?», – ред.) высказывает мнение, что подобное словоупотребление – безусловная ошибка Технического комитета №176 в Международной организации по стандартизации (ISO – International Organization for Standardization, – ред.). По его словам, смысл введенного в ISO 9001:2015 «неологизма» абсолютно непонятен. Во-первых, из текста стандарта невозможно составить себе четкое представление: в чем состоит требование к управлению рисками на предприятии. По сути, существующий текст можно свести к призыву «держать в голове риски». Однако аудиторы будут лишены возможности проверить как выполняется это пожелание, так как стандарт не требует формализовать управление рисками или вести какую-либо документацию по этому вопросу. По мнению К. Париса, все это приведет к бесконечным спорам с потребителями и органами по сертификации. «Участвуйте в словесных баталиях, которые неизбежно возникнут и надейтесь на победу», – советует эксперт пользователям ISO 9001:2015.
Разъяснение «мышления, основанного на оценке рисков» в ISO 9001:2015 находим в пункте 0.5 Предисловия. Там говорится, в частности, что:
Содержится ссылка и на ISO 31000 «Менеджмент рисков» в таком контексте: организация может по собственной инициативе избрать более развернутый и формализованный подход к управлению рисками в организации и воспользоваться для этого ISO 31000. В комментарии К. Париса это выглядит как смущенная попытка загладить перед пользователями стандарта вину за неясность требований и предложить еще один вариант, позволяющий не спорить с аудиторами до хрипоты. И ссылку на ISO 31000, – полагает эксперт, – нужно понимать, как предложение внедрить в довесок к СМК формализованную систему управления рисками, затратить на это значительные средства и большое количество сил, но зато гарантированно «отделаться» от проверяющих.
Если говорить о самих требованиях к управлению рисками, то они рассеяны между параграфами стандарта, посвященными лидерству, планированию и процессному подходу.
Однако вернемся к пункту Предисловия 0.5. Стоит упомянуть, что в нем говорится также об измерении риска (quantifying risk, – ред.). Сам вопрос о возможности измерения рисков является очень дискуссионным среди экспертов. Недавно вышла интересная статья по этому поводу – «Заблуждения по поводу измерения рисков» («The Fallacy of Quantifying Risk», – ред.) Дэвида Фрика (David E. Frick, – ред.). Очень рекомендуем ознакомиться.
И еще немного об истории. Тем более, что, как заявляли на круглом столе «Сертификация систем менеджмента: проблемы и решения» в апреле, в России не хватает серьезных специалистов по риск-менеджменту и это может стать проблемой, когда отечественные предприятия будут переходить на стандарт ISO 9001:2015. Познакомимся поближе с тем, что, очевидно, является новинкой для российского рынка. У риск-менеджмента было немало теорий-предшественников, первые из которых стали появляться в математических дисциплинах еще с 18 века. Как таковой, риск-менеджмент возник в 1955 году, термин «управление рисками» появился сразу в нескольких публикациях о финансовых рынках в США. Там обосновывалась необходимость перехода от страхования к управлению рисками. В 1970, опять же, в США, появляется математическая модель, которая легла в основу управления рыночными рисками. К 70-м годам относится и появление первых профессиональных организации в сфере риск-менеджмента.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Риск-ориентированное мышление в стандартах ISO
Стандарт ISO 9001:2015 стал вторым (после ISO 27001:2013) стандартом ISO, в который интегрирована концепция риск-ориентированного мышления. За ним последовали переработанные версии других стандартов, в том числе ISO 14001, ISO 22000, ISO 45001, ISO 50001. Что же изменилось по сравнению с предыдущими редакциями стандартов ISO? Ведь превентивные меры, направленные на снижение рисков, и раньше были неотъемлемой частью систем менеджмента.
Дело в том, что теперь риск-ориентированное мышление встроено в систему. Теперь требуется, чтобы организации применяли новый тип мышления во всех процессах.
Если раньше превентивное действие рассматривалось как отдельный пункт требований, то в ISO 9001:2015 и других переработанных согласно Приложению SL стандартах риск-ориентированный подход проходит красной нитью через все требования. В результате предупреждающие меры становятся частью системы при планировании, выполнении, анализе и оценке, по всему циклу PDCA.
Чем обусловлено риск-ориентированное мышление?
Прежде всего, стоит определиться с терминологией – что такое риск? Существуют разные определения данного понятия, и у нас нет задачи дать единственно правильное, приведем одно из возможных. Риск – это вероятное событие, которое может негативно повлиять на запланированный результат. Для большинства предприятий основная цель – это извлечение прибыли, улучшение финансовых показателей.
Меняется политическая обстановка, экономическая ситуация, законодательство, меняются поставщики, ожидания потребителей, причем порой стремительно и кардинально. Валютные колебания, экологические проблемы, ситуация на рынке труда, санкции и т.п.
Что же делать в таких условиях бизнесу, чтобы не только выжить, но и остаться конкурентоспособным? Он должен своевременно реагировать на эти изменения. Организация функционирует в изменчивом мире, и, если постоянно не подстраивать, не корректировать систему менеджмента с учетом происходящих изменений, система станет обузой для бизнеса и будет мешать людям, а не приносить пользу.
Контекст и заинтересованные стороны
В новом поколении стандартов ISO важным элементом системы менеджмента является «контекст организации». Именно окружение, в котором работает организация, и требования заинтересованных сторон должны лечь в основу идентификации рисков.
Заинтересованные стороны – это те категории людей либо организаций, от которых зависит деятельность данного предприятия.
Для каждой организации список заинтересованных сторон может быть свой.
Применяя риск-ориентированное мышление, необходимо учитывать риски, связанные с каждой из этих сторон. Таким образом, стандарты ISO дают подсказку предприятиям: в современном мире надо учитывать максимальное количество аспектов, чтобы обеспечить непрерывность бизнеса. Важно установить такой механизм рассмотрения изменений окружения и требований заинтересованных сторон, который будет держать бизнес на плаву.
Риск или возможность?
Считается, что риск имеет только негативные последствия. Однако одно и то же событие может иметь как негативную, так позитивную окраску. Например, изменения в техническом регулировании могут как осложнить жизнь бизнесу, так и дать ему импульс для развития.
В ISO 9001:2015 и других современных стандартах ISO упоминаются «риски» и «возможности». Возможность не является положительной стороной риска. Возможность — это набор обстоятельств, или желательная ситуация в плане получения намеченных результатов. В зависимости от того, используется возможность или игнорируется, возникают новые риски.
Распределенное лидерство
Стандарт ISO 9001:2015 и другие стандарты нового поколения говорят о том, что высшее руководство должно содействовать применению риск-ориентированного мышления, определить и запланировать определенные действия. Цель этих действий — увеличить положительный эффект и предотвратить или уменьшить нежелательное влияние рисков и возможностей на каждом этапе создания продукта или услуги.
Но на самом деле управлять рисками должен не только топ-менеджмент. Риск-ориентированное мышление теперь является частью процессного подхода. У каждого процесса — свои риски, и за них отвечает владелец этого процесса, отслеживая их на своем участке. Речь идет о персональной ответственности руководителей процессов, о так называемом «распределенном лидерстве».
В чем преимущество данного подхода? В том, что владельцы процессов лучше, чем кто-либо, понимают, что может измениться в контексте, почему надо держать руку на пульсе и отслеживать изменения, а также применять меры по управлению рисками.
Как реализовать риск-ориентированный подход?
Ни ISO 9001:2015, ни другие родственные ему стандарты не дают четких указаний, как именно применять риск-ориентированное мышление. Стандарты не требуют какой-либо формальной оценки или ведения специального реестра. Требования ИСО к реализации нового подхода сосредоточены на включении оценки вероятных событий в процесс принятия решений. Как именно это сделать — на усмотрение конкретного предприятия.
Например, для оценки рисков компания вправе использовать любой из известных инструментов, такие как матрица или дерево решений, а может разработать свою внутреннюю методику. С помощью программного продукта можно создать интегрированный реестр, т.е. общее место для регистрации и мониторинга отдельных вероятных событий. Некоторые организации выбирают стандарт ISO 31000 в качестве ориентира при создании своей системы управления рисками.
Практика показывает, что успешные компании интуитивно применяют подход на основе рисков. Приступая к внедрению риск-ориентированного мышления, следует внимательно посмотреть на уже существующие в компании практики. Не стоит выдумывать какую-то новую систему управления рисками, если в организации уже так или иначе ведется работа в этом направлении, например, есть отдел управления рисками. Не следует в рамках СМК создавать отдельный реестр рисков по процессам, если этот реестр уже и так ведется в том или ином формате.
Встречаются две крайности: либо делается очень поверхностная идентификация опасностей и оценка рисков, либо она настолько подробна, что становится оценкой ради оценки. В обоих случаях пользы предприятию это не принесет: либо важные аспекты будут упущены, либо организация не сможет сфокусироваться на приоритетных, наиболее значимых рисках, на которые следует выделять ресурсы.
Рекомендуется проводить тестирование работы СМК, исходя из перечня вероятных событий. Цель тестирования — определить, существует ли в организации процедура реагирования на эти события. Например, что произойдет при поступлении жалобы, отказе оборудования или возврате продукции. По результатам тестирования внедряют корректирующие действия.
Комплексный подход к риск-менеджменту
Максимальную пользу от управления рисками предприятие получает при комплексном подходе.
Например, что может произойти в результате нарушении технологического процесса на производстве? Вот возможные последствия этого события:
Из-за чего это может произойти? Ниже перечислены возможные причины:
Если предприятие комплексно работает с рисками, вырабатываются меры, которые помогают снизить риски по всем направлениям. Варианты таких мер:
Ориентация на потребности бизнеса
Если риск-ориентированный подход реализуется комплексно, то организация действительно получает результат. В случае с ISO 9001, СМК позволяет получить не только высокую удовлетворенность потребителя, произвести ту продукцию или услугу, которые требуются потребителю, но также достичь поставленные бизнес-цели.
Современные стандарты ISO говорят о том, что на каждом этапе создания стоимости, в каждом подразделении при принятии бизнес-решений надо учитывать последствия реализации рисков, т.е. принимать решения на основе оценки рисков. Ведь если мы подготовлены, то риск можно обратить в возможность.
Система менеджмента — это инструмент управления, инструмент обеспечения стабильности бизнеса. Реализация риск-ориентированного мышления, при котором учитываются требования различных сторон, вовлекается персонал, система планируется с учетом изменений во внешней и внутренней среде, оцениваются риски и возможности, определяются меры по их управлению, ведется контроль этих мер, делает систему менеджмента еще более действенным инструментом.
Понравилась эта статья? Интересуют стандарты ISO и системы менеджмента? Подпишитесь на нашу рассылку и регулярно получайте полезную информацию об изменениях в стандартах, разъяснения от аудиторов SGS и примеры лучших практик.
О КОМПАНИИ SGS
Группа SGS является мировым лидером в области независимой экспертизы, контроля, испытаний и сертификации. Основанная в 1878 году, сегодня SGS признана эталоном качества и деловой этики. В состав SGS входят свыше 2’600 офисов и лабораторий по всему миру, в которых работает 97’000 сотрудников.
Концепция риск-ориентированного мышления
«Контроль качества продукции» Июль 2016
На сайте Международного Форума по аккредитации (IAF) в свободном доступе размещены документы, подготовленные Группой практического аудита ISO 9001 APG (Auditing Practices Group), неформальной организацией экспертов, аудиторов и специалистов-практиков по системам менеджмента качества (СМК) IAF и Технического комитета ISO/TC 176 Quality Management and Quality Assurance (Управление качеством и обеспечение качества).
Представляем нашим читателям перевод одного из этих документов — Руководящих указаний по вопросу: Концепция риск-ориентированного мышления (Risk Based Thinking), сделанный Центром апостилирования документов в Москве apostil-perevod.ru.
Понятие риска так или иначе присутствовало во всех версиях стандарта ISO 9001. Многие требования стандарта направлены на предотвращение рисков в деятельности организации, поэтому тема рисков в рамках стандарта ISO 9001 не нова. В предыдущих редакциях стандарта рассматривался комплекс упреждающих действий, направленных на исключение потенциальных несоответствий.
Стандарт ISO 9001 требует от организации четкого понимания своих обстоятельств и выявления рисков как основы для планирования СМК. Концепция мышления, основанного на риск-менеджменте, направлена на оценку рисков и возможностей.
Во введении и в Приложении A к стандарту ISO 9001:2015 раскрывается суть риск-ориентированного мышления и даны пояснения по концепции оценки рисков и возможностей. Более полная информация представлена в документе по Концепции риск-ориентированного мышления, доступном по ссылке: www.iso.org/tc176/sc02/public.
Аудит риск-ориентированного мышления в организации не может проводиться как обособленная процедура. Он должен быть составной частью комплексного процесса аудита СМК, включая процедуру собеседования с высшим руководством организации.
Аудитор должен действовать по определенной схеме и собирать объективные свидетельства в отношении следующих аспектов:
● Какие факторы организация учитывала при оценке рисков и возможностей? Среди них должны быть следующие:
– анализ внешней и внутренней среды организации;
– стратегическое направление организации;
– заинтересованные стороны, имеющие отношение к системе менеджмента качества, и их требования к СМК;
– область применения СМК организации;
– процессы, протекающие в организации.
● Аудитор должен знать, что организация обязана определить объем документированной информации, необходимой для представления объективных свидетельств применения риск-ориентированного мышления.
Стандарт ISO 9001:2015 не устанавливает особых требований к способам документирования результатов оценки рисков и возможностей.
● Потребность организации в документированной информации, а также объем и виды такой информации могут различаться в разных организациях в зависимости от обстоятельств деятельности организации, ее размера, культуры, типа продукции и услуг, применяемых нормативно-правовых требований или требований заказчиков к оценке рисков в отношении продукции и т. д.
● Как вышеуказанные факторы позволяют организации определить риски и возможности? Примеры форм представления объективных свидетельств:
– SWOT-анализ (сильные и слабые стороны, возможности и угрозы);
– отчеты с отзывами заказчиков;
– результаты мозгового штурма;
– анализ финансового состояния конкурентов;
– планирование, анализ и оценка различных аспектов деятельности организации, например: стратегическое планирование, дизайн и разработка, маркетинг, производство и предоставление услуг, корректирующие действия и т. д.;
– анализ системы управления;
– записи с результатами определения или оценки рисков, если документирование применимо и необходимо в организации и т. д.
● Как в организации управляют выявленными рисками и возможностями? Здесь требуются, например, такие меры:
– пересмотр старых и определение новых целей;
– разработка стратегии действий;
– обучение без отрыва от производства;
– инструктаж по выполнению работ;
– улучшение целевых показателей и совершенствование проектов и т. д.
● Оценивает ли организация эффективность вышеперечисленных мероприятий? Аудитор должен подтвердить, учитывается ли в ходе внутренних аудиторских проверок и мероприятий по оценке производительности эффективное применение риск-ориентированного мышления.