Принятие решений, основанное на рисках (изучая проект МС ИСО 9001:2015)

В 2015 году планируется выход новой версии стандарта ISO 9001:2015, работа по подготовке которой началась в середине 2012 года.

Проект новой редакции стандарта ISO 9001, ожидаемой к изданию в 2015 году, предлагает ряд значительных изменений.

Следует отметить, что часть изменений сделаны для упрощения применения требований в деятельности организаций различного типа с учетом замечаний и предложений пользователей предыдущих версий.

По данным источников ISO/Committee Draft ISO 9001, ISO/TC 176/SC 2/N 1147 и сайта , более 1400 респондентов, принявших участие в обсуждении проекта новой редакции стандарта ISO 9001, пришли к следующим выводам:

• -     73 % согласились, что " исключения " должны быть удалены из

стандарта;

• -     93% поддержали изменение термина "продукция (продукт)" на "

товары и услуги";

• -     58% поддержали переход от    термина " постоянное

(непрерывное) улучшение" к "улучшение";

• -     78 % считают, что термины и определения из ISO 9000 Системы

  менеджмента качества. Основные положения и словарь» должны быть перенесены в ISO 9001:2015 (глава 3), а стандарт ISO 9000 отменен;

• -    71% поддерживают изменение формулировки «проектирование и

• разработка» на фразу «разработка товаров и услуг»;

• -     86% респондентов одобрили замену названия раздела «закупки»

на «внешнее обеспечение товарами и услугами», чтобы исключить недоразумения по поводу применения требований к аутсорсингу [1].

Версию 2015 года разрабатывали, в частности, для более удобного применения стандарта в сфере услуг, так как многие пользователи считали, что стандарт версии 2008 года ориентирован на промышленные предприятия.

Основные изменения в стандарте согласно ISO/DIS 9001 можно разделить на три направления:

• -    Структура и терминология, включая интеграцию требований Приложения SL;

• -    Расширение внутреннего и внешнего контекста системы менеджмента качества (СМК) организации;

• -    Детализация требований к системе менеджмента качества.

В соответствии с [2] организациям рекомендуется предпринимать следующие действия:

• -    идентифицировать недоработки организации, на которые

необходимо обратить внимание, чтобы соответствовать новым требованиям,

• -    разработать план внедрения,

• -    обеспечить соответствующую подготовку и осведомленность для

всех сторон, которые оказывают воздействие на результативность организации,

• -    актуализировать действующую систему менеджмента качества,

чтобы она соответствовала новым пересмотренным требованиям, и обеспечить верификацию результативности,

• -    где применимо, установить и поддерживать связь с Органом по

• 0. Введение; 1. Область применения; 2. Нормативные ссылки; 3. Термины и определения; 4. Окружение организации; 5. Лидерство; 6. Планирование; 7. Обеспечение; 8. Функционирование; 9. Оценка результатов деятельности; 10. Улучшение.

• 3.09 Риск - влияние неопределенности на ожидаемый результат.

Сертификации в отношении осуществления мероприятий по переходу.

В новой версии стандарта увеличилось число разделов - 10 вместо 8 (их взаимосвязь представлена на рисунке [3]):

Изменений в стандарте много, но в рамках данной статьи остановимся на ключевом изменении - требовании по оценке рисков, а также подходе, основанном на управлении рисками при проектировании и разработке системы менеджмента.

В новой версии стандарта приводится следующее определение термина «риск»:

• 1.    Примечание 1 для внесения: Это влияние является отклонением от ожидаемого результата – положительным или отрицательным.

• 2.    Примечание 2 для внесения: Неопределенность - это состояние, даже частичное, недостатка информации (3.50), относящееся к пониманию или знанию (3.53) о событии, его последствиях или вероятности.

• 3.    Примечание 3 для внесения: Риск часто характеризуется как отношение потенциальных событий (Руководство ISO 73, 3.5.1.3) и

• последствий (Руководство ISO 73, 3.6.1.3) или их сочетание.

• 4.    Примечание 4 для внесения: Риск часто выражают как сочетание последствий события (с учетом изменений в определенных

• 5.    Примечание 5 для внесения: Термин «риск» иногда используется, когда существует возможность только отрицательных воздействий [ИСТОЧНИК: ISO 9000:2015, 3.7.4].

обстоятельствах) и соответствующей вероятностью (Руководство ISO 73, 3.6.1.1) их возникновения.

Рисунок – Взаимосвязь разделов стандарта

На самом деле, идея принятия решений на основе рисков вообщем-то (правда, не столь открыто) в тексте ISO 9001 прослеживалась всегда. Предлагаемый проект международного стандарта делает принятие решений на основании рисков более очевидным. Требования по действиям с рисками являются принципиально новыми и включены в раздел 6. Планирование СМК. Требование заключается в том, что организации должны определить риски и возможности, которые могут повлиять на СМК. Видимо в связи с этим положением из новой версии стандарта исключено требование по предупреждающим действиям (см. ниже Приложение А), что, на наш взгляд, является, к сожалению, ошибочным. Конечно, определение рисков само по себе является предупреждением, но не столь конкретным, не столь практически реализуемым.

Также вместо восьми принципов менеджмента качества осталось семь - исключен пятый - системный подход, что тоже можно отнести к недостаткам новой версии. Разработчики, видимо, посчитали, объединив четвертый и пятый принципы, что само по себе понятие процессного подхода подразумевает одновременное использование и системного, хотя на самом деле сколь угодно можно привести примеров использования процессного подхода без применения системного.

Если же организации требуется более широкий охват рисков, чем это отражено в новой версии МС ИСО 9001:2015, то такие руководящие указания по формальному менеджменту рисков, которыми может воспользоваться любая организация, предоставляет ISO 31000 [2].

Например, именно в этом документе определены принципы, которым должны следовать организации в целях эффективного управления риском:

• a)    риск-менеджмент создает и защищает ценность.

• b)    риск-менеджмент является неотъемлемой частью всех организационных процессов.

• c)    риск-менеджмент является частью процесса принятия решений.

• d)    риск-менеджмент явным образом связан с неопределенностью.

• e)    риск-менеджмент является систематическим, структурированным и своевременным.

• f)    риск-менеджмент основывается на наилучшей доступной информации.

• g)    риск-менеджмент является адаптируемым.

• h)    риск-менеджмент учитывает человеческие и культурные факторы.

• i)    риск-менеджмент является прозрачным и учитывает интересы заинтересованных сторон.

• j)    риск-менеджмент является динамичным, итеративным и реагирующим на изменения;

• k)    риск-менеджмент способствует постоянному улучшению организации.

• 6.1    Действия, необходимые для обращения с рисками и возможностями

  • 6.1.1    При планировании системы менеджмента качества организация должно рассматривать аспекты, упомянутые в разделе 4.1 и требования, упомянутые в разделе 4.2 для определения рисков и возможностей, которые нуждаются в обращении для:

Ниже приведены требования МС ИСО 9001:2015, относящиеся к рискам [4]:

• а)    обеспечения уверенности, что система менеджмента качества может достичь намеченных результатов;

• b)    предотвратить или сократить нежелательный эффект; и

• с)    достигнуть постоянного улучшения.

• 6.1.2    Организация должна планировать:

• а)    действия по обращению с рисками и возможностями; и

• b)    как:

• 1)    внедрять и осуществлять действия в процессы системы менеджмента качества; и

• 2)    оценивать результативность этих действий.

Действия, предпринятые для обращения с рисками и возможностями, должны быть пропорциональны их потенциальному воздействию на продукцию и услуги.

ПРИМЕЧАНИЕ Способы обращения с рисками и возможностями могут включать: уклонение от риска, принятие риска для реализации возможности, устранение источника риска, изменения вероятности или последствий, разделение риска, удержание риска посредством обоснованного решения.

Приложение А

( информационное )

Разъяснение новой структуры, терминологии и концепций

А.4 Подход, основанный на рисках

Настоящий Международный Стандарт требует от организации понимания своей организационной среды (см. раздел 4.1) и определения рисков и возможностей, которые необходимо рассматривать (см. раздел 6.1).

Одной из основных целей системы менеджмента качества является действовать как предупреждающий инструмент. Следовательно, настоящий Международный Стандарт не содержит отдельного раздела или подраздела, именуемого «Предупреждающие действия». Концепция предупреждающих действий выражена посредством подхода, основанного на рисках при формулировании требований к системе менеджмента качества.

Подход, основанный на рисках позволил при разработке настоящего Международного Стандарта несколько сократить предписывающие требования посредством замены их на требования, основанные на результативности.

Хотя риски и возможности должны быть определены и рассматриваться, отсутствует требование по проведению официального менеджмента рисков или документирования процесса менеджмента рисков*.

• *-    курсивом приведены выдержки из проекта МС ИСО 9001:2015

Естественно, что не все процессы системы менеджмента качества являются одинаковыми по уровню риска с точки зрения влияния на возможность организации добиваться своих целей. Следовательно, «Принятие решений, основанное на рисках», предполагает рассмотрение риска как количественно, так и качественно для планирования и управления системой менеджмента качества, в том числе и для составляющих ее процессов и функций, что, на наш взгляд, потребует еще более значительных усилий (по сравнению с версиями 2000 и 2008) для выполнения требований МС ИСО 9001:2015.

Предприятиям, сертифицировавших свою систему менеджмента качества на соответствие стандарту ИСО 9001 версии 2008 года, надо будет провести ресертификацию на соответствие новой версии.

Как указано в официальных документах, через 18 месяцев после публикации ИСО 9001:2015 все первоначальные сертификаты должны подтверждать соответствие ИСО 9001:2015. Через три года после публикации все выданные сертификаты по ИСО 9001:2015 будут недействительными. Для ресертификации каждой организации необходимо провести оценку степени воздействия для определения необходимых ресурсов и времени. Уровень необходимого воздействия     и соответствующих изменений будет определяться степенью развития и результативности действующей СМК.