Методы оценки риска исо 9001
На 2015 год в мире стандартизации запланировано важное событие - , который находится в разработке с июня 2012 года. Проведя анализ данных исследования как реальных, так и потенциальных пользователей ISO 9001 и ISO 9004, проведенного посредством сети Интернет на 10 языках среди 11722 респондентов, представляющих 122 страны мира, технический комитет ISO/TC176 «Менеджмент и контроль качества» выпустил по-настоящему инновационный стандарт.
ISO 9001:2015 учитывает текущую экономическую обстановку, глобальные тенденции, актуальные потребности современных организаций и закладывает прочный фундамент для разработки последующих поколений стандартов на десятилетия вперед.
На сегодняшний день уже выпущена предварительная версия стандарта под названием ISO/DIS (Draft International Standard). Уже в январе 2015 года Международная организация по стандартизации (ISO) презентует версию FDIS (Final Draft International Standard), которая станет последним промежуточным этапом перед окончательным утверждением и выпуском ISO 9001:2015 в сентябре текущего года.
Уже на этапе DIS опубликованные тексты стандарта дают максимально объективное представление о финальной версии, а структура и положения стандарта в дальнейшем не будут содержать серьезных изменений. Все представленные в предварительной версии стандарта ISO 9001:2015 нововведения с максимальной вероятностью будут включены в полную версию, возможно, с определенными дополнениями и пояснениями.
НОВАЯ СТРУКТУРА И ПРИНЦИПЫ ИСО 9001:2015
Наверное, самым радикальным отличием от предыдущей версии стандарта серии ISO 9001 будет качественная эволюция стандарта от системы менеджмента качества, как свода правил для контроля несоответствий продукции и корректирующих действий, внутренних аудитов, документации и записей, до системы менеджмента бизнеса в целом . В ISO 9001:2015 внимание сосредоточено на аспектах лидерства организации, знаниях организации, планировании и обеспечении процессов, оценке эффективности, совершенствовании, а также на управлении рисками. Также новая версия делает акцент на достижении удовлетворенности и создании ценности от продуктов/услуг организации для всех заинтересованных сторон.
ISO 9001:2015 устанавливает новый стандарт для единой структуры не только в серии ISO 9001, но и в других системах менеджмента. Структура носит название «Структура высокого уровня», и в соответствии с ней в дальнейшем будут разрабатываться все новые стандарты.
Структура ISO 9001:2015 будет построена на основе следующего списка разделов:
0. Введение (общие сведения и базовые концепции – цикл PDCA, управление рисками, процессный подход, взаимосвязь с другими стандартами);
1. Области применения стандарта ;
3. Термины и определения ;
4. Окружение организации (введены 2 новых раздела, связанных с контекстом организации: 4.1 – Понимание организации и ее контекста, 4.2 – Понимание потребностей и ожиданий заинтересованных сторон, а также более четко прописана роль процессного подхода);
5. Лидерство (в новой версии усилены и акцентированы требования к лидерству, политике в области качества, документированию ответственности и полномочий топ-менеджмента);
6. Планирование СМК (введен новый блок требований: Раздел 6.1 Действия по реагированию на риски и возможности, согласно которому организации необходимо создать документированный план реагирования на риски);
7. Обеспечение (ресурсы, компетенции, осведомленность персонала, управление взаимодействиями, документированная информация);
8. Процессы (планирование и управление процессами, разработка, выпуск, контроль, планирование изменений, внешнее обеспечение, устранение несоответствий);
9. Оценка функционирования (мониторинг, измерение, анализ, оценка деятельности организации и удовлетворенности потребителей, внутренний аудит, анализ СМК);
10. Совершенствование (непрерывное улучшение продуктов/услуг, а также системы менеджмента, выявление несоответствий и корректирующие действия).
Изменения также коснулись базовых принципов менеджмента качества . Вместо 8 принципов осталось 7, принцип «Системный подход» отменен, принцип «Взаимовыгодные отношения с поставщиками» приобрел более широкий смысл и стал называться «Управления взаимоотношениями с заинтересованными сторонами», а принцип «Роль руководства» превратился в «Лидерство».
Принципы менеджмента качества
НОВЫЕ ТЕРМИНЫ ISO 9001:2015
- Одним из важнейших нововведений версии стандарта ISO 9001:2015 станет введение нового понятия «Организационная среда» . Этот термин включает окружающую бизнес-среду в совокупности внешних и внутренних факторов. При внедрении СМК и разработке продуктов и услуг необходимо учитывать условия организационной среды для стратегического планирования, анализа и оценки рисков.
- Одной из составляющих организационной среды является еще одно новое понятие – «Заинтересованная сторона», под которой имеется в виду физическое/юридическое лицо, имеющее определенные интересы, связанные с организацией. Это могут быть клиенты, поставщики, акционеры, партнеры, государство и другие стороны.
- Новый термин «Знания организации» расширяет понятия компетентности и осведомленности персонала, встречающиеся в предыдущих версиях стандарта. Организация должна определять, накапливать и поддерживать в доступном состоянии знания, необходимые для обеспечения соответствия качества продуктов и услуг установленным требованиям и ожиданиям потребителей. Знания могут распределяться между компетентным персоналом и физическими/электронными носителями информации по усмотрению руководства организации.
УПРАЗДНЕННЫЕ ТРЕБОВАНИЯ И ПОНЯТИЯ ISO 9001:2015
Перейдем к требованиям и понятиям, которых мы больше не увидим в новом тексте стандарта. Стоит отметить, что некоторые положения не совсем исчезли из ISO 9001:2015, а лишь перешли из статуса директивных в статус рекомендательных.
- Требование разработки организацией «Руководства по качеству» в новой версии не является обязательным. Более не актуально и требование «Шесть обязательных документированных процедур» для управления качеством. Эти нормы признаны устаревшими, однако организации вправе продолжать применять их на свое усмотрение;
- Термины «запись» и «документ» отменяются, во многом, в связи с распространением электронного документооборота. Взамен вводится понятие «документированная информация», описывающее требование к физическим доказательствам хранения информации (электронным либо печатным копиям);
- В разделе 4.3, определяющем области применения, больше нет понятия «исключение» – теперь организации самостоятельно могут решить, какие элементы к ним неприменимы, при условии, что качество товаров и услуг не пострадает: "Если любое требование настоящего международного стандарта не может быть применено, это не должно влиять на способность организации гарантировать соответствие продукции и услуг ";
- Термин «аутсорсинг» также упразднен, сменившись понятием «внешнее обеспечение». Это понятие рассматривается в разделе 8.6 «Контроль продуктов и услуг от внешних поставщиков», объединяющем требования к закупкам и ауторсинговым процессам из версии ИСО 9001:2008. Меры, гарантирующие соответствие внешне предоставляемых товаров/услуги установленным требованиям к качеству, определяются на основе анализа рисков;
- Понятие «продукт» заменяется на «товары и услуги», смещая акцент на конечный результат – создаваемую ценность для клиента и делая стандарт более гибким и универсальным;
- В версии 2015 упразднен термин «предупреждающие меры» вместе с соответствующим разделом. Предупреждающие процедуры становятся частью процесса управления рисками.
- Снимается требование назначать Представителей менеджмента по качеству. Теперь руководство должно быть вовлечено в управление качеством напрямую.
Группа компаний «ЦЭСК» в 2015 году предлагает услугу! Звоните и получайте БЕСПЛАТНУЮ консультацию наших экспертов!
Нормативная база 1. Экскурс по DIS ISO 9001: Риск-ориентированный подход в организации 3. Практическое задание План семинара
Нормативная база Появление 5 версии стандартов ИСО серии 9000 Появится в ноябре 2015 г. Новая версия ИСО ISO (ISO 9001:2015)
Нормативная база 2013 г. Июль 2013 CD (проект комитета) 2014 г. Апрель 2014 DIS (проект международного стандарта) - ИНТЕРНЕТ 2015 г. Июль 2015 FDIS (окончательный проект международного стандарта) Сентябрь 2015 г. (публикация международного стандарта) С г. начинается трехлетний переходный период до сентября 2018 г г г г. (сентябрь) ISO 9001:2015 – этапы подготовки
QMP 6 – Принятие решений, основанное на фактах Является важным для понимания между причинами, воздействиями и потенциальными нежелательными последствиями. Факты, свидетельства и анализ данных приводят к большей объективности и уверенности в принятых решениях. Применение риск-ориентированного подхода в DIS ISO 9001:2015 Принятие управленческих решений на основе только интуиции в условиях рисков рано или поздно приводит организацию к несостоятельности.
Нормативная база Принятие решений с учетом рисков НОВОЕ - Принятие решений с учетом рисков (мышление, основанное на рисках) принятие решений с учетом рисков – это то, что мы делаем автоматически и часто подсознательно. Концепция риска всегда неявным образом присутствовала в тексте ISO 9001 – данный пересмотр делает его более явным и встраивает его в СМК в целом. принятие решений с учетом рисков делает предупреждающие действия частью процессного подхода принятие риска обычно воспринимается в негативном значении Принятие решений, основанное на рисках помогает выявлять возможность для улучшений.
Нормативная база Принятие решений с учетом рисков НОВОЕ - Принятие решений с учетом рисков (мышление, основанное на рисках) КАКОВА ЦЕЛЬ ПРИМЕНЕНИЯ ПОДХОДА К ПРИНЯТИЮ РЕШЕНИЙ С УЧЕТОМ РИСКОВ? Повышение удовлетворенности потребителей Обеспечение стабильности качества продукции и услуг внедрение проактивной культуры предупреждения и улучшения Успешные организации, зачастую не осознавая этого, применяют подход к принятию решений с учетом рисков.
Нормативная база Принятие решений с учетом рисков НОВОЕ - Принятие решений с учетом рисков Проанализируйте и определите приоритетность рисков в вашей организации: Какие приемлемы? Какие не приемлемы? Планируйте действия по отношению к рискам: Каким образом избежать или устранить риск? Каким образом снизить риск? Реализовывайте план действий по отношению к рискам. Проверяйте результативность предпринятых действий. Используйте полученный опыт для постоянного улучшения.
Нормативная база Принятие решений с учетом рисков НОВОЕ - Принятие решений с учетом рисков Использование подхода к принятию решений с учетом рисков в процессах организации: определите риски и возможности вашей организации – они зависят от ее организационной среды. ISO 9001:2015 не требует проведения полной, официальной оценки рисков или ведения реестра рисков.
Нормативная база Система менеджмента качества ISO 9001:2015 не требует проведения полной, официальной оценки рисков или ведения реестра рисков. ISO «Менеджмент рисков – Принципы и руководства» является полезным документом, но не является обязательным.
Нормативная база Принятие решений, основанное на рисках ОО могут сделать выбор в пользу более обширного подхода, основанного на рисках и применять руководящие указания ИСО (если это уместно).
Нормативная база Раздел 6. Планирование СМК п. 6.1 Действия, необходимые для обращения с рисками и возможностями При планировании СМК организация должна рассматривать аспекты, упомянутые в п. 4.1 и требования, упомянутые в п. 4.2, для определения рисков и возможностей, которые нуждаются в обращении для: а) обеспечения уверенности, что СМК может достичь намеченных результатов; b) предотвратить или сократить нежелательный эффект; с) достигнуть постоянного улучшения.
Нормативная база п. 6.1 Действия, необходимые для обращения с рисками и возможностями Организация должна планировать: а) действия по обращению с рисками и возможностями; и как: 1) внедрять и осуществлять действия в процессы СМК (см. 4.4) и 2) оценивать результативность этих действий Действия, предпринятые для обращения с рисками и возможностями, должны быть пропорциональны их потенциальному воздействию на продукты и услуги. Раздел 6. Планирование СМК
Нормативная база Раздел 6. Планирование СМК п. 6.1 Действия, необходимые для обращения с рисками и возможностями ПРИМЕЧАНИЕ. Способы обращения с рисками и возможностями могут включать: Уклонение от риска; Принятие риска для реализации возможности; Устранение источника риска; Изменение вероятности последствий; Разделение риска; Удержание риска посредством обоснованного решения
Нормативная база п.9.3 Анализ со стороны руководства d) результативности действий, предпринятых для обращения с рисками и возможностями (см. п. 6.1) e) Новых потенциальных возможностей для постоянного улучшения Выходные данные анализа со стороны руководства должны включать решения и действия, относящиеся к: a) возможности постоянного улучшения; b) любым потребностям в изменениях в СМК, включая потребности в ресурсах. Организация должна сохранять документированную информацию как свидетельство проведения анализов со стороны руководства. Раздел 9. Оценка функционирования
Не минимизация величин рисков, а оптимизация величин рисков Оптимизация величин рисков – определение значений величин рисков, при которых достигается оптимум между количеством ресурсов, затраченных на мероприятия по снижению величины риска и величиной угроз продуцируемых риском. Практика применения риск-ориентированного подхода в MC ISO 9001:2015
Нормативная база Практика применения риск-ориентированного подхода в MC ISO 9001:2015 Риск – аспект, оказывающий воздействие на цели в области качества организации Риск – это влияние неопределенности на достижение определенного результата. РИСК = (ВЕРОЯТНОСТЬ)* (ТЯЖЕСТЬ СОБЫТИЯ)
Практика применения риск-ориентированного подхода в MC ISO 9001:2015 РИСК Допустимый (то, что можно позволить, разрешить, что кардинально не повлияет на качество продукции, услуг; приемлемый для потребителя) Недопустимый (повлияет на качество; превышающий уровень допустимого)
Нормативная база Практика применения риск-ориентированного подхода в MC ISO 9001:2015 Типы рисков Внутренние Внешние Риски ограниченные рамками организационной системы Риски, влияние которых выходит за рамки организации Мы можем на них повлиять и должны ими управлять! Мы должны о них знать и учитывать при проведении SWOT-анализа и разработки стратегии!
Практика применения риск-ориентированного подхода в MC ISO 9001:2015 Событие Риск 1 Риск 2 Риск 3 Источники риска: человек; оборудование; сырье; методы; окружающая среда Последствие 1 Последствие 2 Последствие 3 Последствие 4 Диаграмма «галстук-бабочка»
Практика применения риск-ориентированного подхода в MC ISO 9001:2015 Несоответствие 100% оснащению УМКД ФГОС СПО Неспособность обеспечить 100% оснащение УМКД ФГОС СПО Неисполнение требований СТО СМК ФК «УМКД специальностей СПО» Ненадлежащий контроль по разработке УМКД Прохождение аккредитации с замечаниями Низкое качество преподавания дисциплин Низкий уровень знаний студентов Невыполнение учебного плана
Нормативная база Для облегчения координации работ в организации может быть разработан документ – Положение по идентификации и управлению рисками в организации. Цель внедрения – определение рекомендаций по выявлению приемов, средств и их применение для идентификации рисков, их оценки и снижения, а также разработки мероприятий, для устранения рисков. Практика применения риск-ориентированного подхода в DIS ISO 9001:2015
Нормативная база Известно, что системный цикл в риск-менеджменте представлен этапами: -Сбор информации (является базисом – кто, откуда, куда) ; -Идентификация рисков (даем имена рискам, что будет являться источником риска, рисковым событием); Практика применения риск-ориентированного подхода в MC ISO 9001:2015
Нормативная база Практика применения риск-ориентированного подхода в MC ISO 9001:2015 Идентификация риска – действия, направленные на определение параметров рисковой ситуации (что может случиться, где, когда, как и почему). Цель идентификации – составление полного перечня рисков, которые могут повлиять на достижение поставленных целей, в рамках СМК.
Нормативная база Практика применения риск-ориентированного подхода в MC ISO 9001:2015 Для основных и вспомогательных процессов СМК члены рабочей группы методом мозгового штурма должны определить риски и провести их оценивание, полученные результаты можно обобщить в таблице «Идентификация и оценка рисков».
Нормативная база Оценка рисков (качественные, количественные); -Анализ рисков (ранжирование); -Оптимизация величин рисков (внедрение мероприятий, направленных на снижение величины риска). Практика применения риск-ориентированного подхода в MC ISO 9001:2015
В положении могут быть разделы, в которых описывается: а) процедура оценки и управления рисками, связанными с оказанием воздействия на качество продукции (услуг); б) ответственность за общее руководство процедурой оценки и управления рисками; в) создание рабочей группы ответственных лиц для разработки (далее Рабочая группа), системы анализа рисков (идентификация, оценка и снижение) и критических контрольных точек; г) распределение ответственности и полномочий в Рабочей группе; д) результат работы рабочей группы, в который входит выявление области применения оценки рисков, связанных с качеством продукции; определение рисков; планирование мероприятий; методология оценки рисков; способы управления рисками. Практика применения риск-ориентированного подхода в DIS ISO 9001:2015
По завершению работ по оценке и управлению рисками, рабочая группа согласует итоговые документы, включающие: Таблицу «Идентификация и оценивание рисков»; матрицу оценки рисков; реестр критических и значительных рисков; паспорта критических и значительных рисков; ПОЛОЖЕНИЕ
Пример критической контрольной точки 1 Управление закупками входвыход Вход процесса – план закупок Выход процесса – закупленные МТС Цель процесса – 100% соответствие факта закупленной МТС, плану закупок Риск – неспособность обеспечить 100% соответствие плану Критическая контрольная точка – информация по количеству претензий к выбранному списку поставщиков на дату ХХ.ХХ.ХХХХ. Мероприятия – в зависимости от величины показателя оценки критической точки, ввести механизм пересмотра выбранных поставщиков.
Пример критической контрольной точки 1 Прием студентов входвыход Вход процесса – абитуриент Выход процесса – студент Цель процесса – Х количество набранных студентов Риск – неспособность обеспечить Х набранных студентов Критическая контрольная точка – информация по количеству набранных студентов на конкретную дату приемной кампании ХХ.ХХ.ХХХХ. Мероприятия – в зависимости от величины показателя оценки критической точки, усиление (ослабление) промоакций ОО в СМИ.
Нормативная база Идентификация и оценка рисков (пример формы) Приемлемый риск до 5, значительный от 5 до 12, критический риск – более 12 Процесс Наименов ание риска Событие Вероятнос ть (частота возникнов ения риска) Наименов ание последств ия события Оценка тяжести последств ия события Величина риска Уровень риска Управлен ие закупками Неспособ ность обеспечит ь 100% соответст вие плану закупок Несоответ ствие плану закупок 2Срыв планируе мой деятельно сти 510 значитель ный
Нормативная база План мероприятий (пример формы) Наименовани е значительног о риска Сценарий мероприятия Мероприятия /план действий Ответственны й за проведение мероприятия Кого нужно ознакомить Способы информирова ния Неспособност ь обеспечить 100% соответствие плану закупок Введение процедуры оценки поставщиков 1. Разработа ть 2. Утвердить 3. Внедрить Руководитель отдела закупок Коллектив подразделени я (процессы) потребители/ поставщики Распоряжение по организации
Нормативная база Паспорт риска (пример формы) ПАСПОРТ РИСКА: ХХ Наименование процесса Управление закупками Уровень риска (значительный/критический)Значительный Ответственный Руководитель отдела закупок Общая информация о риске Наименование риска Неспособность обеспечить 100% соответствие плану закупок Причины Некорректный выбор поставщиков Последствия риска Срыв планируемой деятельности Критическая точка Информация по количеству претензий к выбранному списку поставщиков на дату ХХ.ХХ.ХХХХ Мероприятия по снижению/оптимизации уровня риска (ресурсы) Ответственный 1 Ведение записей по анализу поставщиков Руководитель отдела закупок Реализация риска Дата Наименование события Причина Корректирующие мероприятия. Коррекция Комментарии ХХ Срыв поставки Не проверенный поставщик Внесен в базу «черного списка» Нет Оценка остаточного риска (30.10.ХХ) (предполагаемая после выполнения всех мероприятий) С введением процедуры оценки поставщиков данный риск перешел в зону «приемлемости» - и имеет оценку 4
Нормативная база Паспорт риска (пример) ПАСПОРТ РИСКА: Наименование процесса Проектирование и разработка ОПОП Уровень риска (значительный/критический) Критический Ответственный Зав. ОМО Общая информация о риске Наименование риска Невыполнение требований СТО СМК ФК «УМКД специальностей СПО» Причины Пропуски преподавателями заседаний, семинаров, пед. советов; Неумение работать с орг. техникой, компьютером; Личные характеристики сотрудников; Болезнь персонала и тд. Последствия риска Прохождения аккредитации с замечаниями; Некачественное ведение уроков; Невыполнение учебного плана Критическая точка Промежуточный анализ выполнения плана по обеспечению УМКД ФГОС СПО Мероприятия по снижению/оптимизации уровня риска (ресурсы) Ответственный 1 Контроль посещения заседаний, пед. советов, семинаров Председатели ЦМК, зав. отделениями 2 Промежуточный анализ посещения заседаний, пед. советов, семинаров Зав. ОМО 3 Актуализация требований СТО СМК на заседаниях ЦМК, пед. советах Председатели ЦМК, зав. отделениями 4 Проведение диагностики личностных качеств преподавателя Психолог
Реализация риска Дата Наименование события Причина Корректирующие мероприятия. Коррекция Комментарии Прохождение аккредитации с замечаниями Загруженность преподавателей; Незнание СТО СМК Внести изменения в тариф. преподавателя; Ознакомление с СТО СМК г г. Оценка остаточного риска (предполагаемая после выполнения всех мероприятий) С введением корректирующих мероприятий данный риск перешел в зону «приемлемости» - и имеет оценку 4 Паспорт риска (пример)
Практическое задание 1. Идентифицировать риски по процессам: «Прием студентов»; «Содействие трудоустройству выпускников»; «Проектирование и разработка ОПОП»; «Реализация ОПОП»; «Проектирование и разработка программ ДПО»; «Реализация программ ДПО». 2. Разработать паспорт риска по выбранному процессу.
Управление рисками является обязательной дисциплиной практически каждого серьезного курса по бизнес-обучению, потому что бизнес всегда работает в условиях неопределенности. Неопределенность порождает риски. Источниками рисков являются покупатели и поставщики, технологии и техника, персонал и правила организации.
Стандарт ISO 9001, по своей сути, является одним из способов управления рисками. Обобщив опыт, создатели ISO 9001 поняли, что даже компании, реально поддерживающие управление качеством в соответствии со стандартом, допускают отклонения в работе. Основная причина отклонений - это неопределенность, лежащая за пределами действия стандарта. Появление отклонений в сертифицированных компаниях подрывает доверие к системе стандартов ISO в целом.
Стандарт ISO 9001 и раньше боролся с рисками. Но в предыдущих редакциях ISO 9001 раздел по предупреждающим действиям был выделен как отдельный компонент СМК. А с 2015 года было решено оценку рисков, их мониторинг и управление встроить в систему работы предприятия.
Разработчики Стандарта подчеркивают, что данное изменение приближает Стандарт к реальной повседневной жизни людей. Человек перед переходом дороги всегда взвешивает вероятность быть сбитым автомобилем и ожидаемую выгоду - возможность успеть на отходящий автобус. Он учитывает при этом плотность потока машин, расстояние до перекрестка со светофором, время ожидания следующего автобуса, свою собственную прыть, необходимость ехать на автобусе в принципе. Отдельные категории - водители, спортсмены, врачи - применяют оценку рисков и возможностей профессионально.
ISO 9001:2015 требует от компаний рассматривать риски постоянно и системно. Тем самым, предупреждающие действия будут осуществляться и при планировании, и во время операционной деятельности, и при последующем анализе работы. При этом в организации повышается стабильность качества продукции и вероятность достижения поставленных целей. В чемпионы пробиваются футболисты, умеющие превращать риски в возможности лучше других. Организации становятся успешными потому, что интуитивно или осознанно применяют мышление, основанное на оценке рисков. Именно к этому призывает всех ISO 9001:2015.
Анализ и методы управление рисками
Итак, в 2015 году разработчики ISO 9001 выдвинули дополнительное требование для получения сертификата соответствия: «Организация должна определить внешние и внутренние факторы, … влияющие на ее способность достигать … результатов системы менеджмента качества». С сентября 2018 года компания должна будет не только сформулировать правила поведения в различных ситуациях, как этого требовал прежний стандарт, но и внедрить новый метод управления рисками - механизм реакции на заранее неизвестные события. Реакции, которая обеспечит неизменное качество продукта.
Чтобы соответствовать ISO 9001:2015 компаниям после выявления потенциальных источники возникновения рисков, следует вести мониторинг их состояния, чтобы воздействуя напрямую на источники, можно было управлять этими рисками. В госстандарте России ГОСТ Р ИСО/МЭК 31010 в качестве примеров приведено более 30 методов анализа: от мозгового штурма до моделирования методом Монте-Карло.
Теория ограничений (ТОС) и метод мыслительных процессов
Теория ограничений
Теория ограничений уже много лет применяется для снижения рисков в ведущих компаниях мира (Amazon, Boeing, General Electric и многие другие) и прекрасно зарекомендовала себя.
Когда вполне определенную область риск менеджмента применяют к индивидуальным нуждам компании, ее целевой аудитории, восприятию и критериям, для начала управления рисками необходимо установить «контекст» организации. Установление контекста зафиксирует цели организации, условия, при которых организация пытается достичь своих целей, заинтересованные стороны и разнообразие критериев риска - каждый из которых поможет выявить и оценить природу и сложность риска организации.
Удобный в практике способ определения основных источников рисков и их анализ дает теория ограничений систем (ТОС). Это метод мыслительных процессов . Мы используем его уже несколько лет. К анализу рисков внешней и внутренней среды с применением данного инструмента желательно привлечь всех ключевых специалистов предприятия.
После определения и первичной оценки рисков нужно будет их нейтрализовать. В арсенале ТОС несколько решений для различных сред с неопределенностью - производственной, проектной, закупочной. Эти решения представляют из себя систему планирования и исполнения с учетом основных рисков, мониторинг рисков и своевременное принятие решений по их предотвращению.
После публикации новой версии
стандарта
ISO
9001
:2015, пожалуй, больше всего вопросов и дискуссий возникает относительно одного
из новых требований - применение риск
ориентированного мышления
(в англ. «risk-based thinking»)
.
Рекомендую посмотреть видео "Основные различия между ISO 9001:2015 и ISO 9001:2008 ".
На моем блоге я написала несколько
статей на тему управления рисками (см. статьи: «Управление рисками вместо предупреждающих действий» ; «Управление рисками - основные шаги» ; «Риск менеджмент в бизнесе» и др.). В продолжение
темы я решила написать о том, что же такое «риск ориентированное мышление» по
ISO
9001:2015 и как его применять.
Риск ориентированное мышление,
прежде всего,подразумевает
реализацию
организацией комплекса согласованных мероприятий и методов для управления и
контроля многочисленными рисками (положительными и отрицательными), влияющими
на её способность достигать запланированных целей. Риск ориентированное
мышление, фактически, заменяет требование по выполнению предупреждающих действий
из прежней версии стандарта.
Нельзя сказать, что риск
ориентированное мышление
- это абсолютно новое требование. В неявном виде оно
всегда присутствовало в
ISO
9001. В предыдущих версиях стандарта, включая
ISO
9001
:2008, присутствовало требование
прогнозирования и предотвращения ошибок, несоответствий (осуществление
предупреждающих действий), что тоже относится к риск ориентированному мышлению. Организации обучали людей, планировали работу, распределяли обязанности и
полномочия, проверяли результаты, проводили аудиты и проверки, осуществляли мониторинг
и измерения процессов.
Все эти действия были
направлены на то, чтобы избежать ошибок
и достичь успеха.
Таким образом, организации пытались управлять своими рисками
и возможностями. Поэтому можно сказать, что всегда было частью
ISO
9001 и Систем менеджмента качества организаций. Просто раньше это было неявно, а
теперь явно.
Так почему же разработчики
ISO
9001:2015 решили сделать применение риск
ориентированного мышления более явным и фактически заменили им предупреждающие
действия? Что нового организации должны делать, чего не делали раньше?
Дело в том, что предупреждающие действия в большинстве организаций часто выполнялись «для галочки», из необходимости выполнить требование ISO 9001 , а не в качестве реального инструмента продвижения вперед, непрерывного улучшения. Нередко предупреждающие действия выполнялись на ненадлежащем уровне и бессистемно . Кроме того, во многих организациях ответственность за назначение и реализацию предупреждающих действий возлагалась на кого-либо из членов группы по качеству, которые были не в состоянии охватить все вопросы, действительно влияющие на организацию на верхнем уровне и способствующие постоянному улучшению.
Чтобы соответствовать требованиям новой версии стандарта, организациям необходимо планировать и осуществлять действия в ответ на риски и возможности.
Новый стандарт ожидает, что организации будут систематически выявлять и эффективно устранять риски, которые могут повлиять на их способность поставлять соответствующие требованиям продукцию и услуги и удовлетворять потребности клиентов. Он также ожидает, что организации будут определять свои возможности, которые могут повысить их способность поставлять соответствующие требованиям продукцию и услуги, чтобы удовлетворять своих клиентов.
Новый стандарт также ожидает, что организации будут идентифицировать риски и возможности, которые могут повлиять на результативность их Системы менеджмента качества или нарушить работу, а затем определят действия для решения этих рисков и возможностей. Также организации должны определить, как они собираются сделать эти действия частью своих процессовСистемы менеджмента качества, и как они будут осуществлять контроль, оценку и анализ эффективности этих действий и процессов.
Согласно требованиям новой версии стандарта, руководители верхнего уровня должны быть вовлечены в процесс выявления, регистрации, устранения и снижения рисков. Учитывая это, уже с самого начала применения риск ориентированного мышления в организации можно будет увидеть, что оно эффективнее применявшихся ранее предупреждающих действий.
Очень важно, чтобы вопросы выявления рисков и выбора подходящих мер управления рисками выносились на повестку регулярных совещаний руководства. Не менее важным является обеспечение того, чтобы в организации были налажены каналы, по которым все сотрудники на более низком уровне могли бы передавать свое мнение наверх - на рассмотрение управленческой команды.
Тогда организации будут иметь риск ориентированное мышление , возглавляемое командой топ менеджеров, владеющей ключевыми стратегическими знаниями об угрозах и возможностях для бизнеса и одновременно поддерживаемой информацией со всех уровней организации (часть из которой ранее была им не известна и, соответственно, не рассматривалась).
Таким образом, вместо предупреждающих действий, которые ранее, в основном, проводились на более низком уровне, теперь организациям предлагается риск ориентированное мышление, возглавляемое командой топ менеджеров, которая владеет полной и всесторонней информацией. Естественно, что управленческие решения, полученные в результате такого подхода, и последующие действия будут более эффективными на основе участия всей компании, чем ранее существовавший процесс предупреждающих действий.
В то время, как
риск ориентированное
мышление
является теперь частью нового стандарта, тем не менее, стандарт не
требует специального документа, описывающего риск ориентированный подход
организации. Однако, исходя из моего опыта, лучше, если он будет описан в
документе, чтобы обеспечить системность и единообразие применения во всей
организации.
Рекомендую также мою статью еще об одном новом требовании в ISO 9001:2015 - понимание контекста организации . Здесь можно скачать бесплатно электронную книгу " ".
Добавление анализа рисков – одно из самых ожидаемых событий в связи с . Судя по доступным проектам – ISO 9001 сейчас подвергается регулярной редакции – . Анализ рисков представляет собой важнейший шаг идентификации потенциальных проблем, которые могут в будущем встать перед вашей компанией, по-другому это называется риском. Когда риск проанализирован, можно решить: как на него среагировать. оценка риска и анализ риска – не являются требованием, как я уже рассказывал в другой статье «Роль оценки рисков в системах менеджмента качества », сейчас многие компании по собственному почину занимаются , особенно в процессах проектирования продукции. Одним из наиболее распространенных методов идентификации рисков стал (Failure Modes and Effect Analysis, — ред.), иногда применяемый в модификации FMECA (Failure Modes Effects and Criticality Analysis, — ред.) – ее применяют на этапе разработки продукции или процесса.
Идея метода состоит в идентификации всех потенциальных проблем, которые могут возникнуть в связи с конкретным продуктом или бизнес-процессом. Идентифицируется критичность (criticality, — ред.) риска, а потом принимается решение относительно необходимых действий. Звучит довольно просто, но на практике может доставить некоторые сложности.
Как работает FMEA?
Я просто не способен предоставить углубленное руководство по FMEA (по этой теме читают целые курсы, объясняя, как его применять), но я могу предложить общее описание при помощи этой методологии.
- Идентифицируйте риски. Это обычно делается путем организации при участии компетентных в вопросе людей со всей организации. На данной стадии вы записываете и перечисляете все потенциальные проблемы, которые могут случиться с продукцией или процессом. Например, в процессе использования молотка в работе может сломаться ручка, железная деталька может выскочить из-под молотка, иногда слетает с деревянной ручки металлическая часть самого инструмента и так далее.
- Определите, насколько критичен каждый идентифицированный риск. Для этого любому возможному сбою присваиваются баллы (обычно от 1 до 10, хотя есть другие методы), так удается сделать вывод о важности того или иного риска по отношению к другим рискам, записанным во время мозгового штурма. В оценке учитываются такие факторы, как вероятность реализации риска, тяжесть последствий, шанс обнаружения реализации риска (высокую оценку присваивают, когда идентифицировать возникновение проблемы тяжело). Выше мы упомянули три возможных риска при использовании молотка, давайте при помощи FMEA приглядимся к ним подробнее: а) сломанная ручка (вероятность реализации: (2) ручка из твердой древесины, тяжесть последствий: (9) молоток будет непригоден для использования, шанс обнаружения реализации: (8) ручка может не сломаться, а получить малозаметные трещинки); б) выскальзывающая металлическая деталька (вероятность реализации: (2) использована закаленная сталь, тяжесть последствий: (7) если использованы защитные очки, а молоток – цел, шанс обнаружения реализации: (6) может быть сложно обнаружить); в) срывающаяся с ручки металлическая часть (вероятность реализации: (4) может случиться, если повреждено дерево, тяжесть последствий: (9) опасно и молоток нельзя будет использовать, шанс обнаружения реализации: (1) просто обнаружить).
- Ранг риска. Риски ранжируют, чтобы принять решение о том, какие из них являются приемлемыми, а какие – неприемлемыми. Три числовых характеристики, которые были нами выше описаны, перемножают и получают ранг риска. В других системах подсчета данные не перемножают, а прописывают в таблице, чтобы можно было сравнивать однотипные отдельные показатели по разным идентифицированным рискам. В нашем примере у сломанной ручки ранг 144, у выскользнувшей детали – 84, у отлетающей железной части молотка – 36. При этом последний риск, хоть и имеет самый низкий ранг, по факту является наиболее опасным, но определить реализацию этого риска очень легко.
- Определите, какие действия следует предпринять. Наконец, когда вы лучше поняли существующие риски, можно спланировать, что вы будете делать для того, чтобы их скомпенсировать. Это может быть что угодно, можно уменьшить или вовсе исключить риск (можно организовать программу ухода за молотком, которая будет предусматривать проверку его на износ), есть вариант не предпринимать ничего, а поправить положение можно очень легко. для его уменьшения.
Преимущества FMEA и критика этого метода
Преимущества метода лежат на поверхности. Раз поняв его, вы легко используете FMEA. Его выводы легко принимаются, потому что они весьма прозрачны, а значит легко выделять ресурсы на программы уменьшения риска и легко поддерживать эти программы. Когда все участники обсуждения достигнут консенсуса по поводу ранжирования рисков: какой из них главный, легко добиться общего решения в первую очередь заняться самым критическим риском, потом вторым по важности и так далее. FMEA к тому же используют очень широко, поэтому для многих отраслей верно, что вам не придется объяснять другим что вы сделали и как вы получили те или иные результаты.
С другой стороны, существует и критика FMEA. Наиболее серьезный контраргумент заключается в том, что все три фактора из тех, которые мы обсудили – важны. Сейчас методология работает так, что для FMEA это не так. К примеру, если риск имеет низкую вероятность, тяжелые последствия и низкий шанс обнаружения реализации, то получившийся от перемножения общий ранг будет ничтожным (1 X 10 X 1 = 10), даже если тяжесть возможных последствий сама по себе оправдывает срочные действия по ликвидации этого риска. Обратите внимание, что если в FMEA у риска малый показатель тяжести последствий, средняя вероятность и высокий шанс на обнаружение реализации ранг будет выше (10 X 1 X 10 = 100), ему в соответствии с методологией будет присвоен гораздо более высокий ранг, чем в предыдущем случае, хотя этот риск может не составлять реальной проблемы с точки зрения выпуска продукции.
Помните, анализ рисков – это не риск-менеджмент
Как я и сказал, FMEA – только один из методов анализа рисков. ISO 9001 ни в коем случае не обязывает его использовать. Можно применять любой способ, который вы сочтете полезным и эффективным в своем случае. Обращу также ваше внимание на то, что пока