Управление рисками и ISO 9001

Управление рисками и ISO 9001. Как все-таки получить пользу

По материалам статьи Виктора Вальчука для портала e-xecutive.ru.

Новый стандарт ISO 9001:20015 вводит понятие контекста организации и риск-ориентированное мышление.

Как определяет стандарт, риск – это влияние неопределенности на достижение результативности. Стандарт наконец признает неопределенность, присущую реальной деятельности организаций. Неопределенность – это недостаточность информации о ситуации, из-за которой невозможно точно прогнозировать результативность. Это свойство окружающего мира, которое наконец стоит открыто признать. Наверное, в условиях, когда мир становится все более неопределенным, изменчивым, сложным и противоречивым (VUCA-мир), не признавать этого становится уже небезопасно.

Организация должна сформулировать внутренний и внешний контекст, в котором она находится, требования заинтересованных сторон и определить соответствующие риски. Риски должны быть оценены и действия по их обработке должны быть предприняты и проанализированы.

Стандарт ISO 9001 не требует составления полного реестра рисков (как это например делается в стандарте ISO 31000). Но требование обрабатывать риски включено в число требований к описанию бизнес-процессов. Поскольку слово «обрабатывать» включает в себя идентификацию, оценку, планирование, реализацию действий и анализ их результативности, это конечно же будет подталкивать компании к идентификации рисков в каждом бизнес-процессе.

Стандарт ISO 9001:2015 опять (как и все предыдущие версии) никак не защищает от локальной оптимизации, пагубность которой доказана еще в работах Деминга. Хотя с введением понятия «контекст» имело бы смысл указать на взаимосвязь и взаимное влияние всех элементов внутреннего контекста организации (целостность контекста), а не только на взаимосвязь процессов. Это следовало бы сделать системному подходу, к коим стандарт себя относит. Тогда это однозначно привело бы и к необходимости учитывать в обработке рисков их взаимное влияние.

В ISO 9001 говорится, что «Мышление, основанное на оценке рисков, позволяет организации выявить факторы, которые могут вызывать отклонения ее процессов и системы менеджмента качества от запланированных результатов». Конечно, без определения источника риска, или его причины, планировать какие-либо действия по «обработке» риска (как это требует ISO 9001) бессмысленно. Таким образом, каждый из владельцев бизнес-процессов должен будет самостоятельно определять причины рисков.

Правильно ли обрабатывать риски в каждом бизнес-процессе, если причины могут быть вполне взаимосвязанными? А что если успех в преодолении одного риска является причиной неуспеха в преодолении другого риска? Например, достаточно хорошо известны факты того, что преодоление неэффективности использования ресурсов (производственных мощностей или персонала) может стать причиной срыва сроков поставки. Причем с первым риском может работать одно подразделение (заготовительное производство), а со вторым – другое (сборочный цех).

Правда, стандарт ISO 9001:2015 благоразумно не определяет конкретных методов обработки рисков. Поэтому методы, учитывающие целостность контекста организации, также могут быть применены, и тем самым может быть исключен риск поставить под угрозу цели организации вследствие локальной оптимизации при управлении рисками. Другое дело, что такие подходы менее распространены и могут быть не приняты во внимание конкретной организацией. Но это только часть проблемы.

Вернемся к определению риска. Риск есть влияние неопределенности на результативность организации и СМК. Говоря о неопределенности, следует различать, что неопределенность можно разделить на ту неопределенность, что связана с недостатком фактической информации и неопределенность, связанную с нашим глубинным непониманием взаимного влияния элементов контекста организации.

Подход, основанный на локальной оптимизации (когда риски отдельно рассматриваются в рамках бизнес-процессов), с большой вероятностью не позволит понять причину риска при этом, втором типе неопределенности. Таким образом, некоторые источники рисков останутся невыявленными. А значит, меры по их преодолению окажутся недейственными. Есть основания утверждать, что это и будут основные риски, присущие операционной деятельности современных предприятий.

Приведу несколько примеров.

1. Управление рисками в проектной деятельности

В проектной деятельности риск незавершения проекта в запланированные сроки часто пытают решать через снижение рисков несвоевременного завершения отдельных задач (выполняемых отдельными подразделениями). Преодоление риска обычно видят в том, что «для выполнения проекта в срок стараются выполнить в срок каждую задачу». Соответственно, в каждую задачу включается подстраховка и оценка длительности задачи рассматривается как обязательство исполнителя. Например, исполнитель определил срок исполнения задачи в две недели. После этого руководство рассматривает такую оценку как его обязательство. Исполнитель старается выполнить это обязательство, даже если в процессе исполнения окажется, что можно сделать быстрее. На самом деле решением, позволяющим преодолеть риск срыва сроков, является интеграция всех подстраховок отдельных задач в одном месте. Такое решение возможно найти только при целостном подходе.

Вероятность завершения задачи в срок

Рис. 1. График плотности вероятности окончания задачи имеет смещение влево и более пологий правый скат по сравнению с нормальным распределением

Подробнее об управлении рисками в проектах вы можете узнать из Методического пособия Виктора Вальчука «Управление рисками при управлении проектами. Выполнение требований ISO 9001:2015».

2. Управление рисками в цепи поставок

Хорошо известным фактом является то, что в цепи поставок преодоление рисков дефицитов и излишков возможно только при целостном рассмотрении всей цепи поставок. Их сколько-нибудь успешное преодоление на уровне одного звена цепи поставок, которое часто является еще и отдельной коммерческой организацией, невозможно! При подробном системном рассмотрении этих рисков корневые проблемы оказываются связанными с убеждениями в необходимости сокращать затраты на транспортировку и в чрезмерном доверии к прогнозированию потребления. Решение, позволяющее реально сократить указанные риски, заключается в увеличении частоты поставок и быстрому пополнению (что может даже приводить к увеличению транспортных расходов) на основе реального потребления.

3. Управление рисками в подразделениях организации

Внутри любой организации есть подразделения, отвечающие за текущую деятельность (Run) и подразделения, отвечающие за развитие (Change). Могут ли они по отдельности справиться со своими рисками? Вряд ли. Как минимум, они часто используют одни и те же ресурсы. Соответственно, и риски должны быть рассмотрены совместно, целостно.

Методы, позволяющие целостно проанализировать риски, предлагаются, например, в Мыслительных процессах Теории ограничений. Логические построения позволяют построить причинно-следственные отношения между выявленными рисками и контентом организации и сформулировать корневую причину наблюдаемых рисков.

Автор: Виктор Вальчук