Стандарт ISO 9001:2015 совершил прорыв в подходе к системам менеджмента качества. Ранее требования к предупреждающим действиям были выделены в отдельный пункт, что часто приводило к формальному подходу.
Новая редакция интегрировала концепцию рисков во всю структуру документа. Риск определяется как влияние неопределенности на ожидаемые результаты. Эта неопределенность может нести как негативные последствия, так и открывать новые возможности.
Концепция риск-ориентированного мышления
Риск-ориентированное мышление заменяет реактивный подход на проактивный. Организация перестает реагировать на уже произошедшие сбои и начинает прогнозировать потенциальные отклонения до их появления. Методология оценки рисков базируется на комбинации двух факторов: вероятности наступления события и тяжести его последствий. Такая количественная оценка позволяет ранжировать риски и направлять ресурсы на наиболее критичные области.
Важно понимать двойственную природу риска. С одной стороны, это потенциальные угрозы соответствию продукции и удовлетворенности потребителя.
С другой зоны для улучшений и инноваций.
Например, ужесточение требований к сырью создает риск увеличения себестоимости, но одновременно открывает возможность освоения новых, более эффективных технологий или поиска альтернативных поставщиков.
Стандарт ISO 9001:2015 https://tcrrbi.ru/raspisanie/upravlenie-riskami-v-smk-iso-90012015-gost-r-iso-9001-2015/ прямо указывает на необходимость интеграции управления рисками в процессы планирования на всех уровнях.
Пункт 4.4 требует определять риски и возможности для процессов СМК, пункт 5.1.2 обязывает высшее руководство демонстрировать лидерство в этом направлении, а пункт 9.3 включает анализ эффективности предпринятых мер в повестку менеджмент-обзора.
Контекст организации и заинтересованные стороны
Управление рисками начинается с глубокого анализа контекста. Стандарт требует рассматривать как внешние, так и внутренние факторы, способные повлиять на достижение целей качества. Внешний контекст включает законодательные требования, отраслевые тенденции, экономическую ситуацию, технологические изменения и даже социальные ожидания. Внутренний контекст охватывает корпоративную культуру, компетенции персонала, состояние оборудования, финансовые ограничения.
Для систематизации факторов контекста применяются инструменты стратегического анализа. PESTEL-анализ помогает структурировать макроэкономические, политические, социальные, технологические, экологические и правовые аспекты. SWOT-анализ позволяет связать внутренние сильные и слабые стороны с внешними возможностями и угрозами. Такой подход дает целостную картину среды функционирования организации.
Не менее важным элементом является идентификация заинтересованных сторон и их требований. Пункт 4.2 стандарта требует определить все стороны, влияющие на СМК или зависящие от ее результатов. Это не только потребители и собственники, но и персонал, поставщики, регуляторы, общественные организации. Каждая группа предъявляет свои требования и создает свои риски.
Визуальное картирование связей между контекстом, заинтересованными сторонами и процессами СМК повышает прозрачность системы. Например, изменение экологического законодательства (внешний фактор) формирует требования контролирующих органов (заинтересованная сторона), что создает риск остановки производства при несоблюдении и возможность снижения страховых взносов при внедрении «зеленых» технологий.
Идентификация и анализ рисков в процессах СМК
Идентификация рисков требует пошагового анализа каждого процесса. Практический подход начинается с определения характеристик процесса, обеспечивающих достижение запланированных результатов. Например, для процесса складирования сварочных материалов такой характеристикой будет соблюдение условий хранения согласно рекомендациям производителя. Отклонение от этой характеристики создает риск дефектов сварных швов.
Для каждого процесса следует определить потенциальные источники неопределенности. В литейном производстве типичными рисками выступают ошибки исполнителей, недостаток времени или информации, неисправность оборудования, несогласованность действий разных подразделений, банкротство поставщиков, колебания валютных курсов. Этот перечень не является исчерпывающим и должен актуализироваться по мере накопления опыта.
Методология FMEA (анализ видов и последствий потенциальных отказов) предоставляет формализованный инструмент оценки. Каждому риску присваиваются три параметра: тяжесть последствий (S), вероятность возникновения (O) и вероятность обнаружения до того, как последствия проявятся (D). Итоговый показатель - приоритетное число риска (RPN) - вычисляется как произведение этих трех оценок. Риски с RPN выше порогового значения требуют обязательных корректирующих действий.
Количественный анализ должен сочетаться с качественным. Не все риски поддаются точному измерению. Для сложных систем с высокой степенью неопределенности применяются экспертные методы оценки. Важно документировать не только сами риски, но и допущения, использованные при их анализе. Это позволяет в будущем проверить обоснованность принятых решений и скорректировать методологию.
Интеграция управления рисками в процессы и цикл PDCA
Управление рисками не должно существовать как изолированная деятельность. Стандарт требует интегрировать запланированные действия непосредственно в процессы СМК. Это означает, что контрольные точки и процедуры реагирования становятся частью операционных инструкций, а не отдельным документом «Реестр рисков». Например, если идентифицирован риск использования неквалифицированных сварщиков, требование проверки квалификации включается в процедуру допуска к работам.
Цикл PDCA (Plan-Do-Check-Act) служит естественной рамкой для управления рисками. На этапе планирования определяются риски, цели и корректирующие действия. Этап выполнения внедряет эти действия в повседневную работу. Проверка включает мониторинг результативности мер и изменение уровня рисков. Действие предполагает анализ результатов и корректировку подходов.
Предлагается следующая декомпозиция этапов по фазам PDCA:
- Фаза планирования включает определение рабочей команды, установление периодичности анализа, картирование процессов, идентификацию рисков, качественный и количественный анализ, приоритизацию и разработку плана действий. Ключевой элемент - установление периодичности пересмотра, так как риски меняются во времени.
- Фаза выполнения реализует утвержденные планы и корректирующие действия. Важно обеспечить доведение информации до всех вовлеченных сторон и выделение необходимых ресурсов. Ответственность за выполнение закрепляется за владельцами процессов.
- Фаза проверки включает мониторинг выполнения корректирующих действий и контроль актуального уровня рисков. Периодические совещания по рискам с участием владельцев процессов фиксируют результаты мониторинга в протоколах.
- Фаза действия обеспечивает обратную связь между результатами мониторинга и планированием следующего цикла. Здесь же происходит обмен информацией о рисках между подразделениями и выработка предложений по улучшению процессов.
Планирование действий и меры реагирования
Выбор мер реагирования на риски должен соответствовать потенциальному влиянию на соответствие продукции и услуг. Слишком затратные меры для незначительных рисков экономически неоправданны, тогда как недостаточное реагирование на критические риски ставит под угрозу бизнес. Принцип пропорциональности - ключевой при проектировании системы управления рисками.
Стандарт ISO 9001:2015, ссылаясь на ISO 31000, выделяет несколько вариантов реагирования:
- Избежание риска предполагает отказ от деятельности, порождающей неприемлемый уровень риска. Например, если риск, связанный с аутсорсингом критической операции, слишком высок, организация принимает решение выполнять эту операцию собственными силами.
- Разделение риска подразумевает передача части риска другой стороне. Типичный пример - страхование, аутсорсинг некритичных функций или заключение договоров с поставщиками с четким распределением ответственности.
- Снижение риска - наиболее распространенный подход. Он включает действия по уменьшению вероятности нежелательного события или смягчению его последствий. Для производственных процессов это могут быть дополнительные контрольные операции, резервирование оборудования, обучение персонала.
- Принятие риска означает осознанное решение не предпринимать действий, когда уровень риска находится в допустимых пределах. Такое решение принимается на основе объективной оценки соотношения затрат на контроль и потенциальных потерь.
Для каждого идентифицированного риска может применяться комбинация стратегий. Например, критический риск остановки линии из-за поломки уникального оборудования требует: снижения (регулярное техническое обслуживание и наличие запасных частей), разделения (сервисный контракт с производителем) и принятия (согласованный допустимый простой до прибытия ремонтной бригады).
Важное дополнение: действия реагирования должны создавать документированную информацию как о самих мерах, так и об оценке их результативности. Отсутствие такой документации делает невозможным анализ менеджментом эффективности системы управления рисками.
Возможности как позитивная сторона риска
Риск-ориентированный подход требует рассматривать не только угрозы. Возможности позитивные неопределенности, которые организация может использовать для улучшения. Стандарт прямо обязывает планировать действия по увеличению желательного влияния таких возможностей.
Возможности в контексте СМК возникают из различных источников. Внедрение новых технологий, позволяющих повысить точность или снизить себестоимость. Открытие новых рынков или сегментов потребителей. Улучшение партнерских отношений с поставщиками, дающее преимущества в цене или сроках. Оптимизация процессов, высвобождающая ресурсы.
Практический пример из металлургии: ужесточение требований к качеству продукции со стороны автомобильной промышленности создает риск увеличения затрат на контроль. Но одновременно это открывает возможность сертификации поставщика для премиальных автопроизводителей, что обеспечивает более высокую маржинальность заказов и долгосрочные контракты.
Другой пример связан с социальной ответственностью. Компании электронной промышленности, столкнувшиеся с риском репутационных потерь из-за условий труда на фабриках контрактных производителей, превратили эту угрозу в возможность. Присоединение к инициативам по улучшению условий труда и прозрачность цепочки поставок стали конкурентными преимуществами при работе с брендами, чувствительными к репутационным рискам.
Управление возможностями требует не менее системного подхода, чем управление угрозами. Возможности идентифицируются, оцениваются по потенциальному эффекту и вероятности реализации, затем планируются и внедряются действия по их использованию. Мониторинг результативности также обязателен. Разница лишь в том, что целевым показателем является не снижение негативного эффекта, а рост позитивного результата.
Практические инструменты для оценки поставщиков и процессов
Оценка поставщиков критического оборудования требует углубленного риск-анализа. Стандартный чек-лист, основанный на перечислении требований ISO 9001, недостаточен. Эффективнее использовать подход, структурированный по технологическому процессу.
Практическая методика включает несколько шагов. Первый шаг - идентификация характеристик каждого этапа процесса, обеспечивающих качество. Для изготовления сосуда высокого давления такими характеристиками будут: правильное хранение сварочных материалов, верификация сертификатов на сталь, калибровка сварочного оборудования, квалификация контролеров неразрушающего контроля.
Второй шаг - определение потенциальных рисков для каждой характеристики. Например, неразборчивые сертификаты на материал, отсутствие документального подтверждения термообработки, потеря маркировки при резке. Третий шаг - идентификация нежелательных эффектов: использование неподтвержденного материала, снижение прочности сварного соединения, потеря прослеживаемости.
Четвертый шаг - определение существующих на предприятии поставщика средств контроля. Это могут быть процедуры входного контроля, системы менеджмента прослеживаемости, программы квалификации персонала, калибровки оборудования. Пятый шаг - выявление взаимодействия оцениваемого процесса с другими функциями организации: складским хозяйством, отделом закупок, службой главного инженера, лабораторией.
Такой подход позволяет создать чек-лист, который не просто отмечает наличие процедур, а проверяет их практическую применимость к конкретному продукту. Кроме того, он раскрывает межфункциональные связи, что критически важно для аудита систем менеджмента.
Мониторинг результативности и анализ менеджментом
Система управления рисками требует постоянного мониторинга. Владельцы процессов обязаны отслеживать выполнение запланированных мер и оценивать их влияние на уровень риска. Результаты мониторинга фиксируются в протоколах совещаний, которые ведутся в соответствии со стандартом организации по управлению записями.
Периодичность пересмотра рисков устанавливается в зависимости от динамичности среды. Для стабильного производства с устоявшимися технологиями достаточен ежегодный пересмотр. Для отраслей с быстро меняющимися требованиями (например, фармацевтика или IT) пересмотр требуется ежеквартально или даже ежемесячно. Важно, чтобы периодичность была определена заранее, а не назначалась ad hoc.
Анализ со стороны руководства (менеджмент-обзор) согласно пункту 9.3 стандарта должен включать оценку результативности действий по рискам и возможностям. Руководство получает агрегированные данные о статусе рисков по процессам, эффективности корректирующих действий, изменении профиля риска организации в целом. На основе этого анализа принимаются стратегические решения о выделении ресурсов, изменении политики качества или корректировке целей.
Важный аспект мониторинга - финансовые и трудовые затраты. Стандарт не требует непропорциональных инвестиций в управление незначительными рисками. Затраты на меры должны быть соразмерны потенциальному ущербу.
Это означает, что система должна быть экономически эффективной. Оценка затрат на контроль рисков должна включать как прямые расходы (оборудование, обучение, сертификация), так и косвенные (временные потери, снижение производительности).
