Как определяет управление рисками ISO 9001

Как определяет стандарт, риск – это влияние неопределенности на достижение результативности. Стандарт наконец признает неопределенность, присущую реальной деятельности организаций. Неопределенность – это недостаточность информации о ситуации, из-за которой невозможно точно прогнозировать результативность. Это свойство окружающего мира, которое наконец стоит открыто признать. Наверное, в условиях, когда мир становится все более неопределенным, изменчивым, сложным и противоречивым (VUCA-мир), не признавать этого становится уже небезопасно.

Организация должна сформулировать внутренний и внешний контекст, в котором она находится, требования заинтересованных сторон и определить соответствующие риски. Риски должны быть оценены и действия по их обработке должны быть предприняты и проанализированы.

Стандарт ISO 9001 не требует составления полного реестра рисков (как это например делается в стандарте ISO 31000). Но требование обрабатывать риски включено в число требований к описанию бизнес-процессов. Поскольку слово «обрабатывать» включает в себя идентификацию, оценку, планирование и реализацию действий и анализ их результативности, это конечно же будет подталкивать компании к идентификации рисков в каждом бизнес-процессе.

Стандарт ISO 9001:2015 года опять (как и все предыдущие версии) никак не защищает от локальной оптимизации, пагубность которой доказана еще в работах Деминга. Хотя с введением понятия «контекст» имело бы смысл указать на взаимосвязь и взаимное влияние всех элементов внутреннего контекста организации (целостность контекста), а не только на взаимосвязь процессов. Это следовало бы сделать системному подходу, к коим стандарт себя относит. Тогда это однозначно привело бы и к необходимости учитывать в обработке рисков их взаимное влияние.

В ISO 9001 говорится, что «Мышление, основанное на оценке рисков, позволяет организации выявить факторы, которые могут вызывать отклонения ее процессов и системы менеджмента качества от запланированных результатов». Конечно, без определения источника риска, или его причины, планировать какие-либо действия по «обработке» риска (как это требует ISO 9001) бессмысленно. Таким образом, каждый из владельцев бизнес-процессов должен будет самостоятельно определять причины рисков.

Правильно ли обрабатывать риски в каждом бизнес-процессе, если причины могут быть вполне взаимосвязанными? А что если успех в преодолении одного риска является причиной неуспеха в преодолении другого риска? Например, достаточно хорошо известны факты того, что преодоление неэффективности использования ресурсов (производственных мощностей или персонала) может стать причиной срыва сроков поставки. Причем с первым риском может работать одно подразделение (заготовительное производство), а со вторым – другое (сборочный цех).

Правда стандарт ISO 9001:2015 года благоразумно не определяет конкретных методов обработки рисков. Поэтому методы, учитывающие целостность контекста организации, также могут быть применены и тем самым может быть исключен риск поставить под угрозу цели организации вследствие локальной оптимизации при управлении рисками. Другое дело, что такие подходы менее распространены и могут быть не приняты во внимание конкретной организацией.

Но это только часть проблемы.

Вернемся к определению риска. Риск есть влияние неопределенности на результативность организации и СМК. Говоря о неопределенности, следует различать, что неопределенность можно разделить на ту неопределенность, что связана с недостатком фактической информации и неопределенность, связанную с нашим глубинным непониманием взаимного влияния элементов контекста организации.

Подход, основанный на локальной оптимизации (когда риски отдельно рассматриваются в рамках бизнес-процессов), с большой вероятностью не позволит понять причину риска при этом, втором типе неопределенности. Таким образом, некоторые источники рисков останутся не выявленными. А значит, меры по их преодолению окажутся недейственными. Есть основания утверждать, что это и будут основные риски, присущие операционной деятельности современных предприятий.

Приведу несколько примеров:

  1. В проектной деятельности риск незавершения проекта в запланированные сроки часто пытают решать через снижение рисков несвоевременного завершения отдельных задач (выполняемых отдельными подразделениями). Преодоление риска обычно видят в том, что «для выполнения проекта в срок стараются выполнить в срок каждую задачу». Соответственно, в каждую задачу включается подстраховка и оценка длительности задачи рассматривается как обязательство исполнителя. Например, исполнитель определил срок исполнения задачи в две недели. После этого руководство рассматривает такую оценку как его обязательство. Исполнитель старается выполнить это обязательство, даже если в процессе исполнения окажется, что можно сделать быстрее. На самом деле решением, позволяющим преодолеть риск срыва сроков, является интеграция всех подстраховок отдельных задач в одном месте. Такое решение возможно найти только при целостном подходе.
  2. Хорошо известным фактом является то, что в цепи поставок преодоление рисков дефицитов и излишков возможно только при целостном рассмотрении всей цепи поставок. Их сколько-нибудь успешное преодоление на уровне одного звена цепи поставок, которое часто является еще и отдельной коммерческой организацией, невозможно! При подробном системном рассмотрении этих рисков корневые проблемы оказываются связанными с убеждениями в необходимости сокращать затраты на транспортировку и в чрезмерном доверии к прогнозированию потребления. Решение, позволяющее реально сократить указанные риски, заключается в увеличении частоты поставок и быстрому пополнению (что может даже приводить к увеличению транспортных расходов) на основе реального потребления.
  3. Внутри любой организации есть подразделения, отвечающие за текущую деятельность (Run) и подразделения, отвечающие за развитие (Change). Могут ли они по отдельности справиться со своими рисками? Вряд ли. Как минимум, они часто используют одни и те же ресурсы. Соответственно, и риски должны быть рассмотрены совместно, целостно.

Методы, позволяющие целостно проанализировать риски, предлагаются, например, в мыслительных процессах теории ограничений. Логические построения позволяют построить причинно-следственные отношения между выявленными рисками и контентом организации и сформулировать корневую причину наблюдаемых рисков.

Расскажите коллегам:
Комментарии
Генеральный директор, Нижний Новгород

Цитата - Стандарт наконец признает неопределенность, присущую реальной деятельности организаций.

То есть, одну оплошность в стандарте исправили. А где гарантия, что нет еще 5 неисправленных оплошностей стандарта?

Цитата - Неопределенность – это недостаточность информации о ситуации, из-за которой невозможно точно прогнозировать результативность. Это свойство окружающего мира, которое наконец стоит открыто признать.

Не могу согласиться - недостаточность инфы - это просто недостаточность инфы. Это не свойство окружающего мира, а недоработка менеджмента компании (инфа есть, но ее недостаточно - поленились дособрать).

А вот невозможность прогнозировать результат - это связано с изменчивостью и непредсказуемостью внешней среды. И методы борьбы с этим - не всегда отстающие стандарты, а современный стратегический менеджмент.

Директор по продажам, Владивосток
Владимир Токарев пишет:
И методы борьбы с этим - современный стратегический менеджмент.

Автор статьи как бы намекает нам что:

Методы, позволяющие целостно проанализировать риски, предлагаются, например, в мыслительных процессах теории ограничений. Логические построения позволяют построить причинно-следственные отношения между выявленными рисками и контентом организации и сформулировать корневую причину наблюдаемых рисков.

Ну то есть как бы говорит, мол головой думать надо.

Генеральный директор, Нижний Новгород
Роман Крячко пишет:
Ну то есть как бы говорит, мол головой думать надо.

Сфера стратегии - одно из слабых мест ТОС.

Консультант, Челябинск
Владимир Токарев пишет:
Роман Крячко пишет:
Ну то есть как бы говорит, мол головой думать надо.

Сфера стратегии - одно из слабых мест ТОС.

Может подскажите, у какого подхода это сильная сторона?

Генеральный директор, Нижний Новгород
Виктор Вальчук пишет:
Может подскажите, у какого подхода это сильная сторона?

Вопрос не очень ясен - ЭТО - о чем речь? Пытаюсь понять: не это сильная сторона, а обсуждаемая проблема лучше решается этим инструментом. Пример -

Современный стратегический менеджмент. Пример - Ансофф Стратегическое управление, 1989 г. https://gtmarket.ru/laboratory/basis/4155


Консультант, Челябинск
Владимир Токарев пишет:

Цитата - Стандарт наконец признает неопределенность, присущую реальной деятельности организаций.

То есть, одну оплошность в стандарте исправили. А где гарантия, что нет еще 5 неисправленных оплошностей стандарта?


Владимир, вы не дочитали до конца? Признание неопределенности не гарантирует того, что стандарт позволяет справиться с этой самой неопределенность. По причине махровой локальной оптимизации, присущей стандарту в целом и в плане работы с управлениями рисками в частности. В статье как раз предлагается, как все таки правильно построить управление рисками.


Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Все дискуссии
HR-новости
В России создали робота, который может заменить грузчиков и охранников

Робот способен поднимать 300 кг и тянуть за собой еще 500 кг.

Большинство российских компаний подняли зарплаты в 2024 году

Чаще всего поднимали оклады в среднем и крупном бизнесе.

Исследование: чего ждут российские IT-специалисты от работодателей

Половина сотрудников в IT мечтают о гибриде, но большинство опрошенных вынуждены работать в офисе.

Одежда по дресс-коду компании обходится россиянам в среднем 28 тыс. руб. в год

8 из 10 сотрудников компаний, практикующих дресс-код, покупают офисную одежду за свой счет.