Как определяет стандарт, риск – это влияние неопределенности на достижение результативности. Стандарт наконец признает неопределенность, присущую реальной деятельности организаций. Неопределенность – это недостаточность информации о ситуации, из-за которой невозможно точно прогнозировать результативность. Это свойство окружающего мира, которое наконец стоит открыто признать. Наверное, в условиях, когда мир становится все более неопределенным, изменчивым, сложным и противоречивым (VUCA-мир), не признавать этого становится уже небезопасно.
Организация должна сформулировать внутренний и внешний контекст, в котором она находится, требования заинтересованных сторон и определить соответствующие риски. Риски должны быть оценены и действия по их обработке должны быть предприняты и проанализированы.
Стандарт ISO 9001 не требует составления полного реестра рисков (как это например делается в стандарте ISO 31000). Но требование обрабатывать риски включено в число требований к описанию бизнес-процессов. Поскольку слово «обрабатывать» включает в себя идентификацию, оценку, планирование и реализацию действий и анализ их результативности, это конечно же будет подталкивать компании к идентификации рисков в каждом бизнес-процессе.
Стандарт ISO 9001:2015 года опять (как и все предыдущие версии) никак не защищает от локальной оптимизации, пагубность которой доказана еще в работах Деминга. Хотя с введением понятия «контекст» имело бы смысл указать на взаимосвязь и взаимное влияние всех элементов внутреннего контекста организации (целостность контекста), а не только на взаимосвязь процессов. Это следовало бы сделать системному подходу, к коим стандарт себя относит. Тогда это однозначно привело бы и к необходимости учитывать в обработке рисков их взаимное влияние.
В ISO 9001 говорится, что «Мышление, основанное на оценке рисков, позволяет организации выявить факторы, которые могут вызывать отклонения ее процессов и системы менеджмента качества от запланированных результатов». Конечно, без определения источника риска, или его причины, планировать какие-либо действия по «обработке» риска (как это требует ISO 9001) бессмысленно. Таким образом, каждый из владельцев бизнес-процессов должен будет самостоятельно определять причины рисков.
Правильно ли обрабатывать риски в каждом бизнес-процессе, если причины могут быть вполне взаимосвязанными? А что если успех в преодолении одного риска является причиной неуспеха в преодолении другого риска? Например, достаточно хорошо известны факты того, что преодоление неэффективности использования ресурсов (производственных мощностей или персонала) может стать причиной срыва сроков поставки. Причем с первым риском может работать одно подразделение (заготовительное производство), а со вторым – другое (сборочный цех).
Правда стандарт ISO 9001:2015 года благоразумно не определяет конкретных методов обработки рисков. Поэтому методы, учитывающие целостность контекста организации, также могут быть применены и тем самым может быть исключен риск поставить под угрозу цели организации вследствие локальной оптимизации при управлении рисками. Другое дело, что такие подходы менее распространены и могут быть не приняты во внимание конкретной организацией.
Но это только часть проблемы.
Вернемся к определению риска. Риск есть влияние неопределенности на результативность организации и СМК. Говоря о неопределенности, следует различать, что неопределенность можно разделить на ту неопределенность, что связана с недостатком фактической информации и неопределенность, связанную с нашим глубинным непониманием взаимного влияния элементов контекста организации.
Подход, основанный на локальной оптимизации (когда риски отдельно рассматриваются в рамках бизнес-процессов), с большой вероятностью не позволит понять причину риска при этом, втором типе неопределенности. Таким образом, некоторые источники рисков останутся не выявленными. А значит, меры по их преодолению окажутся недейственными. Есть основания утверждать, что это и будут основные риски, присущие операционной деятельности современных предприятий.
Приведу несколько примеров:
- В проектной деятельности риск незавершения проекта в запланированные сроки часто пытают решать через снижение рисков несвоевременного завершения отдельных задач (выполняемых отдельными подразделениями). Преодоление риска обычно видят в том, что «для выполнения проекта в срок стараются выполнить в срок каждую задачу». Соответственно, в каждую задачу включается подстраховка и оценка длительности задачи рассматривается как обязательство исполнителя. Например, исполнитель определил срок исполнения задачи в две недели. После этого руководство рассматривает такую оценку как его обязательство. Исполнитель старается выполнить это обязательство, даже если в процессе исполнения окажется, что можно сделать быстрее. На самом деле решением, позволяющим преодолеть риск срыва сроков, является интеграция всех подстраховок отдельных задач в одном месте. Такое решение возможно найти только при целостном подходе.
- Хорошо известным фактом является то, что в цепи поставок преодоление рисков дефицитов и излишков возможно только при целостном рассмотрении всей цепи поставок. Их сколько-нибудь успешное преодоление на уровне одного звена цепи поставок, которое часто является еще и отдельной коммерческой организацией, невозможно! При подробном системном рассмотрении этих рисков корневые проблемы оказываются связанными с убеждениями в необходимости сокращать затраты на транспортировку и в чрезмерном доверии к прогнозированию потребления. Решение, позволяющее реально сократить указанные риски, заключается в увеличении частоты поставок и быстрому пополнению (что может даже приводить к увеличению транспортных расходов) на основе реального потребления.
- Внутри любой организации есть подразделения, отвечающие за текущую деятельность (Run) и подразделения, отвечающие за развитие (Change). Могут ли они по отдельности справиться со своими рисками? Вряд ли. Как минимум, они часто используют одни и те же ресурсы. Соответственно, и риски должны быть рассмотрены совместно, целостно.
Методы, позволяющие целостно проанализировать риски, предлагаются, например, в мыслительных процессах теории ограничений. Логические построения позволяют построить причинно-следственные отношения между выявленными рисками и контентом организации и сформулировать корневую причину наблюдаемых рисков.
Цитата - Стандарт наконец признает неопределенность, присущую реальной деятельности организаций.
То есть, одну оплошность в стандарте исправили. А где гарантия, что нет еще 5 неисправленных оплошностей стандарта?
Цитата - Неопределенность – это недостаточность информации о ситуации, из-за которой невозможно точно прогнозировать результативность. Это свойство окружающего мира, которое наконец стоит открыто признать.
Не могу согласиться - недостаточность инфы - это просто недостаточность инфы. Это не свойство окружающего мира, а недоработка менеджмента компании (инфа есть, но ее недостаточно - поленились дособрать).
А вот невозможность прогнозировать результат - это связано с изменчивостью и непредсказуемостью внешней среды. И методы борьбы с этим - не всегда отстающие стандарты, а современный стратегический менеджмент.
Автор статьи как бы намекает нам что:
Методы, позволяющие целостно проанализировать риски, предлагаются, например, в мыслительных процессах теории ограничений. Логические построения позволяют построить причинно-следственные отношения между выявленными рисками и контентом организации и сформулировать корневую причину наблюдаемых рисков.
Ну то есть как бы говорит, мол головой думать надо.
Сфера стратегии - одно из слабых мест ТОС.
Может подскажите, у какого подхода это сильная сторона?
Вопрос не очень ясен - ЭТО - о чем речь? Пытаюсь понять: не это сильная сторона, а обсуждаемая проблема лучше решается этим инструментом. Пример -
Современный стратегический менеджмент. Пример - Ансофф Стратегическое управление, 1989 г. https://gtmarket.ru/laboratory/basis/4155
Владимир, вы не дочитали до конца? Признание неопределенности не гарантирует того, что стандарт позволяет справиться с этой самой неопределенность. По причине махровой локальной оптимизации, присущей стандарту в целом и в плане работы с управлениями рисками в частности. В статье как раз предлагается, как все таки правильно построить управление рисками.