Риск-ориентированное мышление в новой версии стандарта ISO 9001:2015

Стандарты серии ISO 9000 являются востребованными нормативными документами. В 2014 г. зарегистрировано более 1 млн сертифицированных по этому стандарту организаций. Все они специфичны по областям деятельности, формам собственности, размеру и структуре, поэтому любая информация об изменениях в этом стандарте вызывает всеобщий интерес.

Среднее время «жизни» версии ISO 9001 составляет семь лет. Процесс принятия решения по поводу выхода новой версии требует консультаций со всеми заинтересованными сторонами и одобрения большинства членов ISO [3].

Стандарт системы менеджмента качества ISO 9001:2015 проходит периодическую проверку на соответствие существующим потребностям заинтересованных сторон (бизнеса, государственных органов, потребителей). Результатами такой проверки является пересмотр положений действующего стандарта и выход новой версии [5].

Появление пятого издания ISO 9001 обусловлено следующими причинами:

• 1)    появление существенных изменений в мировой практике менеджмента, окружающей деловой среде, накопление новых знаний;

• 2)    появление новых стандартов систем менеджмента, требующих единого подхода;

• 3)    наличие определенных «рудиментов», которые требуется устранить для дальнейшего развития;

• 4)    устаревшая структура ИСО 9001;

• 5)    необходимость в вертикальной интеграции менеджмента организации. Система менеджмента качества должна соответствовать 2

общей стратегии организации, а не быть отдельной автономной частью организации [4].

Рассмотрим основные изменения, которые произошли в новой версии ISO 9001 по сравнению с предыдущей версией 2008 г. (табл. 1).

Таблица 1- Структуры стандартов ИСО 9001:2008 и ИСО 9001:2015

в сравнении

ИСО 9001:2008	ИСО 9001:2015
0 Введение
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Система менеджмента качества	4 Среда организации
5 Ответственность сторон	5 Лидерство
	6 Планирование
6 Менеджмент ресурсов	7Средство обеспечения
7 Выпуск продукции	8 Деятельность на стадиях жизненного чикла продукции и услуг
8 Измерение, анализ и улучшение	9 Оценка результатов деятельности
	10 Улучшение

При создании новой версии ISO 9001 была применена «структура высокого уровня» – стандартизованное перечисление разделов, основанное на цикле непрерывного улучшения Шухарта – Деминга (PDCA). Эта структура впоследствии будет применяться для всех стандартов ISO, описывающих требования к системам менеджмента [1].

Помимо структуры изменениям подверглись термины и принципы стандарта (табл. 2).

Таблица 2 - Сравнение терминов и принципов стандарта ISO 9001 2008 и 2015 гг.

ISO 9001:2008	ISO 9001:2015
Понятие «продукция» объединяет материальный товар и нематериальную услугу.	Понятие «продукция» заменяется терминами «продукция» (товар) и «услуга».
Понятия «документация» и «записи» существуют раздельно.	Два понятия «документация» и «записи» объединены в один общий термин «документированная информация».
Требования, предъявляемые товарам и услугам, рассредоточены по всему стандарту.	Все требования касательно закупаемых товаров и услуг, а также процессов, передаваемым внешним организациям, объединяются в один раздел – «Контроль продуктов и услуг от внешних поставщиков».
Понятия «управление закупками» и «аутсорсинг» не покрывают все формы получения организацией продукции извне.	«Управление закупками» и «аутсорсинг» объединены в понятии «внешнее обеспечение»

Процессный подход остался ключевой концепцией построения системы менеджмента, тогда как в новой версии данный тезис усилен. В практике процессный подход зачастую применяется в искаженном виде: процессами называют деятельность подразделений и в СМК используется функциональный подход.

В новой версии отсутствует раздел, который формулирует особые требования к «предупреждающим действиям». Это связано с тем, что одно из ключевых назначений функционирующей системы менеджмента состоит в том, чтобы действовать как инструмент предупреждения. Подготовка персонала, поддержание инфраструктуры, внутренние аудиты 4

– все это предупреждающие действия, заложенные в самой основе стандарта. В новой версии это выражается в виде «риск-ориентированного мышления».

Концепция риска, т.е. вероятности невыполнения основной задачи СМК по предоставлению потребителю соответствующих его требованиям продуктов и услуг в целях достижения его удовлетворенности и ранее присутствовала в тексте стандарта ISO 9001, но в новой версии она более явно встраивается во всю систему менеджмента.

Не все процессы системы менеджмента качества представляют один и тот же уровень риска с точки зрения способности организации выполнять свои задачи, и последствия несоответствий процесса, продукта, услуги или системы не одни и те же для всех организаций. Некоторые процессы организации обладают одним и тем же уровнем риска с точки зрения их влияния на способность организации достигать своих целей, также как и последствия несоответствий в процессах, продукции, услугах или системе не одинаковы для разных организаций. В одних организациях последствия поставки несоответствующей продукции или предоставления несоответствующих услуг могут привести к незначительным неудобствам для потребителя, тогда как в других несоответствия могут привести к далеко идущим последствиям и к фатальному исходу.

Поэтому риск-ориентированное мышление означает необходимость количественного рассмотрения риска при принятии решения о строгости и глубине подхода к планированию и управлению как системой менеджмента качества, так ее процессами и видами деятельности.

Текст документа требует применения риск-ориентированного подхода на всех этапах функционирования системы менеджмента качества. Однако, хотя риски должны идентифицироваться и учитываться, нет никаких требований для формального внедрения системы менеджмента рисков или документированного процесса управления рисками.

В новой версии требование о принятии решений, основанном на рисках, сформулировано явно и тесно увязано с концепцией процессного подхода. Это и позволило отказаться от предупреждающих действий как отдельного требования, поскольку переместило их на уровень оперативного и ежедневного функционирования каждого процесса СМК. При этом риск следует понимать не только как негативное явление, но и как возможность нахождения областей для улучшения в процессах. ISO 9001:2015 не требует проведения полной, официальной оценки рисков с заполнением «реестров рисков» или каких-либо других документов. В качестве полезного, справочного (но совершенно не обязательного) документа по методам принятия решений на основании рисков можно назвать ГОСТ Р ИСО 31000–2010 «Менеджмент риска. Принципы и руководство».

Согласно стандарту ГОСТ Р ИСО 31000–2010 «Менеджмент риска. Принципы и руководство», который устанавливает принципы и общее руководство по риск-менеджменту, риск – это влияние неопределенности на цели.

Для облегчения координации работ в организации может быть разработан документ – Положение по идентификации и управлению рисками в организации. Цель внедрения – определение рекомендаций по выявлению приемов, средств и их применение для идентификации рисков, их оценки и снижения, а также разработки мероприятий для устранения рисков. Известно, что системный цикл в риск-менеджменте представлен следующими этапами:

– сбор информации (является базисом – кто, откуда, куда);

– идентификация рисков (даем имена рискам, что будет являться источником риска, рисковым событием).

Идентификация риска – действия, направленные на определение параметров рисковой ситуации (что может случиться, где, когда, как и почему). Цель идентификации – составление полного перечня рисков, которые могут повлиять на достижение поставленных целей, в рамках СМК.

В положении могут быть разделы, в которых описывается:

• а)    процедура оценки и управления рисками, связанными с оказанием воздействия на качество продукции (услуг);

• б)    ответственность за общее руководство процедурой оценки и управления рисками;

• в)    создание рабочей группы ответственных лиц для разработки (далее рабочая группа), системы анализа рисков (идентификация, оценка и снижение) и критических контрольных точек;

• г)    распределение ответственности и полномочий в рабочей группе;

• д)    результат работы рабочей группы, в который входит выявление области применения оценки рисков, связанных с качеством продукции, определение рисков, планирование мероприятий; методология оценки рисков, способы управления рисками.

По завершении работ по оценке и управлению рисками рабочая группа согласует итоговые документы, включающие:  таблицу

«Идентификация и оценивание рисков»; матрицу оценки рисков; реестр критических и значительных рисков; паспорта критических и значительных рисков.

Все риски делятся на приемлемые, оправданные, недопустимые. Приемлемые риски не принимаются во внимание, а остальные требуют действий. Для рисков, получивших статус оправданных, планируются и 7

осуществляются мероприятия, способные предотвратить риски или минимизировать их (в предыдущей версии стандарта мероприятия такого вида назывались предупреждающими). Недопустимый риск показывает, что риск важно еще и постоянно контролировать. Повторная оценка необходима для того, чтобы проверить результативность реализованных мероприятий.

Важно использовать одну и ту же методику по расчету рисков, а также привлекать для оценки все тех же специалистов/экспертов. Это даст возможность получить сравнимые результаты.

На реализацию требований новой версии дается 3 года, т.е. при условии публикации стандарта ISO 9001:2015 в 2015 г. организации будут иметь 3 года на подготовку. В течение этого переходного периода возможна сертификация и по старой версии 2008 г., и по новой [2].

Таким образом, ключевым изменением в новой версии стандарта ISO 9001:2015 является замена предупреждающих действий предшествующего стандарта на управление рисками. На смену ISO 9001:2008, как стандарту менеджмента качества, водворяется ISO 9001:2015, позиционирующийся как стандарт для систем менеджмента бизнеса. Новый стандарт организация может использовать как инструмент управления бизнесом для увеличения ценности, улучшения своей работы и снижения рисков.