Риски и возможности
У пользователей стандартов на системы менеджмента возникает много вопросов по поводу выполнения требований, относящихся к управлению рисками и возможностями.
По традиции начнем с терминологии.
В ИСО 9000:2015 «Системы менеджмента качества. Основные положения и словарь» приводится определение термина «риск»:
- Риск (risk) - Влияние неопределенности.
Примечание 1: Влияние выражается в отклонении от ожидаемого результата – позитивном или негативном.
Примечание 2: Неопределенность является состоянием, связанным с недостатком, даже частично, информации, понимания или знания о событии, его последствиях или вероятности.
Примечание 3: Риск часто определяют по отношению к потенциальным событиям и их последствиям, или к их комбинации.
Примечание 4: Риск часто выражается в терминах комбинации последствий события (включая изменения в обстоятельствах) и связанных с ними вероятностей возникновения.
Примечание 5: Слово «риск» иногда используется в тех случаях, когда существует возможность только негативных последствий.
Примечание 6: Термин является одним из числа общих терминов и определений для стандартов ISO на системы менеджмента, приведенных в Приложении SL к Сводным дополнениям ISO Директив ISO/IEC, часть 1. Исходное определение было модифицировано посредством добавления примечания 5.
Определение термина «возможность» в стандарте ИСО 9000 не дается. Поэтому обратимся к другим стандартам.
ИСО 14001:2015 «Системы экологического менеджмента. Требования и руководство по применению»:
- Риски и возможности (risks and opportunities) - Потенциальные неблагоприятные влияния (угрозы) и потенциальные благоприятные влияния (возможности).
ИСО 45001:2018 «Системы менеджмента профессиональной безопасности и охраны здоровья. Требования и руководство по применению»:
- Риск в области профессиональной безопасности и охраны здоровья (ПБОЗ) (OH&S risk) - Сочетание вероятности возникновения связанного с работой опасного события или воздействия, и степени серьезности травмы или вреда здоровью, которые могут быть вызваны данным событием или воздействием.
- Возможность в области ПБОЗ (OH&S opportunity) - Обстоятельства или совокупность обстоятельств, которые могут привести к улучшению результатов деятельности в области ПБОЗ.
Таким образом, в стандартах на системы менеджмента «риск» рассматривается как «событие», которое имеет вероятностный характер (может произойти, а может не произойти) и негативные последствия.
«Возможность» - это тот же «риск», но с позитивными последствиями.
Основными этапами управления рисками и возможностями являются:
- Определение источников рисков и возможностей,
- Выявление (идентификация) рисков и возможностей,
- Анализ и оценка рисков и возможностей,
- Планирование, выполнение и оценка результативности действий в отношении рисков и возможностей.
Рассмотрим каждый из этих этапов.
1. Определение источников рисков и возможностей.
Источники рисков и возможностей должны быть выявлены согласно требованиям пунктов 4.1 и 4.2 стандартов на системы менеджмента.
Пункт 4.1 стандарта ИСО 9001:2015:
Понимание организации и ее среды
Организация должна определить внешние и внутренние факторы, относящиеся к ее намерениям и стратегическому направлению и влияющие на ее способность достигать намеченных результатов ее системы менеджмента качества.
Организация должна осуществлять мониторинг и анализ информации об этих внешних и внутренних факторах.
Для определения внешних факторов деловой среды в англоязычной литературе рекомендуют применять «PESTLE –анализ»:
- Political (англ.) – политические факторы,
- Economical – экономические,
- Social – социальные,
- Technological – технологические,
- Legal – юридические,
- Environmental – экологические.
Выявление и анализ внешних факторов обычно осуществляется на уровне высшего руководства организации, т.к. данные факторы и связанные с ними риски и возможности должны приниматься во внимание при разработке стратегических планов развития компании. Например:
- Политические санкции,
- Изменения курса национальной валюты,
- Возросшая конкуренция на рынке,
- Сезонный характер спроса на продукцию,
- Изменения законодательных требований,
- …..
Для определения внутренних факторов деловой среды рекомендуется использовать «7М – анализ»:
- Man - человек.
- Machine - оборудование (производственное и вспомогательное).
- Material - материал.
- Method – технология.
- Measurement - измерение.
- Management - управление.
- Milieu (фр.) – условия.
Выявление и анализ внутренних факторов обычно проводится на уровне руководителей производственных и вспомогательных процессов.
Примеры внутренних факторов:
- Высокая квалификация (компетентность) персонала,
- Большой износ производственного оборудования,
- Ограниченная емкость склада сырьевых материалов,
- Освоение новой технологии защиты (консервации) продукции,
- Изменение организационной структуры,
- …..
При этом некоторые внешние факторы (например, изменение законодательных требований) также необходимо учитывать на уровне процессов, а внутренние факторы (например, недостаточное количество квалифицированного персонала) важно учесть на высшем уровне управления.
Пункт 4.2 стандарта ИСО 9001:2015:
Понимание потребностей и ожиданий заинтересованных сторон.
С учетом влияния, которое заинтересованные стороны оказывают или могут оказать на способность организации постоянно поставлять продукцию и услуги, отвечающие требованиям потребителей и применимым к ним законодательным и нормативным правовым требованиям, организация должна определить:
a) заинтересованные стороны, имеющие отношение к системе менеджмента качества;
b) требования этих заинтересованных сторон, относящиеся к системе менеджмента качества.
Организация должна осуществлять мониторинг и анализ информации об этих заинтересованных сторонах и их соответствующих требованиях.
Согласно определению, приведенному в ИСО 9000:
- Заинтересованная сторона (interested party) - Лицо или организация, которые могут воздействовать на осуществление деятельности или принятие решения, быть подверженными их воздействию или воспринимать себя в качестве последних.
ПРИМЕР Потребители, владельцы, работники в организации, поставщики, банкиры, регулирующие органы, союзы, партнеры или сообщество, которое может включать конкурентов или группы противодействия.
Важным источником рисков и возможностей являются требования (потребности, ожидания…) внешних или внутренних заинтересованных сторон.
Эти требования могут противоречить друг другу. Например:
- Требования (собственные возможности) поставщика в отношении сроков поставки комплектующих изделий могут противоречить условиям договора с потребителем по срокам поставки готовой продукции.
- Необходимость сверхурочных работ для выполнения важного заказа может противоречить требованиям трудового законодательства.
- …
Любой «конфликт интересов» заинтересованных сторон является источником риска для организации. Поэтому при построении системы менеджмента важно выявить и учесть все потенциальные «конфликты интересов».
Если требования заинтересованной стороны совпадает с интересами организации, то появляются «возможности» для улучшений. Например:
- Потребности партнера из другого региона в развитии собственного бизнеса могут стать основой для построения взаимовыгодных отношений с эти партнером.
- Освоение поставщиком выпуска новых материалов может стать основой для улучшения свойств собственной продукции организации.
- …
Требования заинтересованных сторон (потребителей, головных организаций…), которые организация принимает для себя в качестве обязательных, должны быть соответствующим образом учтены в системе менеджмента наряду с применимыми законодательными требованиями.
В стандартах нет прямых требований в отношении документального оформления результатов анализа внешних и внутренних факторов деловой среды, а также требований, потребностей и ожиданий заинтересованных сторон. Тем не менее, рекомендуется документировать эту информацию, поскольку стандарты требуют отслеживать изменения, происходящие в деловой среде и в требованиях заинтересованных сторон, и анализировать эти изменения на уровне высшего руководства.
2. Выявление (идентификация) рисков и возможностей,
Стандарт ИСО 9001 требует:
6.1 Действия в отношении рисков и возможностей
6.1.1 При планировании в системе менеджмента качества организация должна учесть факторы (см. 4.1) и требования (см. 4.2) и определить риски и возможности, подлежащие рассмотрению для:
a) обеспечения уверенности в том, что система менеджмента качества может достичь своих намеченных результатов;
b) увеличения их желаемого влияния;
c) предотвращения или уменьшения их нежелательного влияния;
d) достижения улучшения.
«Намеченные результаты» для различных систем менеджмента определены в соответствующих стандартах.
Для Системы менеджмента качества (ИСО 9001):
1 Область применения
Настоящий стандарт устанавливает требования к системе менеджмента качества в тех случаях, когда организация:
a) нуждается в демонстрации своей способности постоянно поставлять продукцию и(или) услуги, отвечающие требованиям потребителей и применимым законодательным и нормативным правовым требованиям;
Для Системы экологического менеджмента (ИСО 14001):
1 Область применения
…..намеченные результаты системы экологического менеджмента включают себя:
- улучшение экологических результатов деятельности;
- выполнение принятых обязательств (законодательных и других требований);
- достижение экологических целей.
Для Системы менеджмента профессиональной безопасности и охраны здоровья (ИСО 45001):
1 Область применения
…..намеченные результаты СМ ПБОЗ включают:
- постоянное улучшение результатов в области ПБОЗ;
- выполнение законодательных требований и других требований;
- достижение целей в области ПБОЗ.
В ходе проведения идентификации рисков и возможностей нужно выявить потенциальные события, которые:
- являются следствием определенных ранее источников (причин) и
- могут привести к последствиям, влияющим (положительно или отрицательно) на достижение намеченных результатов соответствующей системы менеджмента.
Например:
Риски
Источник риска (причина) |
Риск (событие) |
Последствия риска |
|
1 |
Изменение (снижение) курса национальной валюты. |
Рост стоимости комплектующих изделий. |
Невозможность выполнить заказ потребителя по ранее согласованной стоимости. |
2 |
Изменения природоохранного законодательства |
Отмена Разрешения на выбросы отработанных газов в атмосферу. |
Нарушение законодательных требований (продолжение работы без соответствующего разрешения или остановка производственного процесса). |
3 |
Износ производственного оборудования |
Выход из строя производственного оборудования |
Остановка производственного процесса. |
4 |
Возможности
Источник возможности |
Возможность (событие) |
Последствия реализации возможности |
|
1 |
Изменение (снижение) курса национальной валюты. |
Снижение цены продукции на внешнем рынке. |
Рост спроса на продукцию на внешнем рынке. |
2 |
Высокая квалификация (компетентность) персонала |
Оказание дополнительных услуг потребителям. |
Повышение удовлетворенности потребителей. |
3 |
Появление нового автоматизированного оборудования. |
Автоматизация производственного процесса. |
Снижение производственного травматизма. |
4 |
Управление рисками и возможностями (в том числе, их идентификация) в организации обычно проводится на двух уровнях:
1. На уровне высшего руководства.
На этом уровне акцент делается на рисках и возможностях, связанных с внешними факторами деловой среды и с требованиями внешних заинтересованных сторон.
В представленных выше примерах к данному уровню относятся риски № 1 и 2 и возможности №1 и 3.
2. На уровне руководителей процессов.
На этом уровне акцент делается на рисках и возможностях, связанных с внутренними факторами деловой среды и с требованиями внутренних заинтересованных сторон.
В представленных выше примерах к данному уровню относятся риск № 3 и возможность № 2.
В небольших организациях, в которых высшее руководство непосредственно вовлечено в производственный процесс, нет необходимости разделять процессы управления рисками и возможностями на 2 уровня.
С другой стороны, в крупных холдинговых структурах количество уровней управления рисками и возможностями может возрасти (уровень процесса, уровень предприятия, уровень группы предприятий, уровень центрального офиса …….).
Особенности управления рисками и возможностями в системе менеджмента профессиональной безопасности и охраны здоровья (ИСО 45001).
В системе менеджмента ПБОЗ управление рисками и возможностями на двух уровнях является прямым требованием стандарта. Необходимо выявить:
1. «Общесистемные риски и возможности», которые обычно управляются на уровне высшего руководства.
Пример «общесистемного риска»:
- Риск получения штрафных санкций по результатам проверки со стороны государственных контролирующих органов.
Пример «общесистемной возможности»:
- Возможность улучшения условий труда работников за счет расширения производственных помещений.
2. «Риски и возможности в области ПБОЗ», которые обычно управляются на уровне процессов (подразделений).
Пример «Риска в области ПБОЗ»:
- Риск получения травмы от движущихся частей производственного оборудования.
Пример «Возможности в области ПБОЗ»:
- Возможность снижения концентрации вредных веществ в воздухе рабочей зоны за счет модернизации системы вентиляции.
Стандарт требует выявить и обеспечить управление рисками и возможностями, связанными с выполнением (или не выполнением) применимых законодательных и других требований. Например:
- Риск административного наказания за несвоевременное проведение специальной оценки рабочих мест.
Особенности управления рисками и возможностями в системе экологического менеджмента (ИСО 14001).
В системе экологического менеджмента также необходимо управлять рисками и возможностями на двух уровнях.
1. «Общесистемные риски и возможности», управляемые на уровне высшего руководства.
Пример «общесистемного риска»:
- Риск штрафных санкций из-за невыполнения программы производственного экологического контроля.
Пример «общесистемной возможности»:
- Возможность заключения контракта с ключевым заказчиком благодаря наличию действующей системы экологического менеджмента.
2. «Риски и возможности, связанные с экологическими аспектами», управляемые на уровне процессов (подразделений).
Пример «Риска, связанного с экологическими аспектами»:
- Риск пролива топлива при заправке погрузчика.
Пример «Возможности, связанной с экологическими аспектами»:
- Возможность снижения выбросов вредных веществ в атмосферу за счет модернизации отопительного котла.
Стандарт также требует выявить и обеспечить управление рисками и возможностями, связанными с выполнением (или не выполнением) применимых законодательных и других требований, которые в стандарте ИСО 14001 называются «принятыми обязательствами». Например:
- Риск отзыва Разрешения на выбросы вредных веществ в атмосферу по результатам проверки Росприроднадзора.
Специфика управления рисками, связанными с экологическими аспектами, состоит в том, что большинство аспектов не являются «неопределенными», т.е. не носят вероятностный характер. Объемы потребления электроэнергии, воды, образующихся отходов, выбросов в атмосферу обычно зависят от объемов производства продукции.
Риски ухудшения экологических показателей чаще всего связаны с аварийными или нештатными ситуациями.
Возможности улучшения экологических показателей обычно появляются в результате выполнения различных природоохранных мероприятий.
3. Анализ и оценка рисков и возможностей,
В стандарте ИСО 9001 нет прямых требований в отношении проведения анализа и оценки рисков и возможностей.
Но проводить анализ и оценку нужно, чтобы:
- определить значимость риска или возможности,
- принять решение о необходимости дополнительных действий в отношении риска или возможности.
В стандарте на системы менеджмента профессиональной безопасности и охраны здоровья установлены требования в отношении оценки рисков и возможностей (см. п. 6.1.2 ИСО 45001).
В стандарте на системы экологического менеджмента установлены требования в отношении оценки значимости экологических аспектов (см. п. 6.1.2 ИСО 14001).
Перед проведением анализа рисков и возможностей нужно установить показатели (критерии), по которым анализ и оценка будут проводиться.
Основными показателями рисков являются:
- Вероятность наступления события риска.
Для оценки вероятности наступления события риска обычно проводится анализ статистических данных наступления подобных событий в предыдущие периоды времени. По результатам проведения такого анализа можно спрогнозировать вероятность наступления подобных событий в будущем.
Показатель вероятности наступления события риска является универсальным для любых систем менеджмента.
- Уровень последствий риска.
Показатели уровня последствий рисков отличаются для различных систем менеджмента.
- В системе менеджмента качества (ИСО 9001) необходимо оценить уровень влияния события риска и его последствий на удовлетворенность потребителя выполнением его требований, а также применимых законодательных и нормативных требований.
- В системе менеджмента профессиональной безопасности и охраны здоровья (ИСО 45001) необходимо оценить уровень влияния события риска и его последствий на здоровье и безопасность работников, в том числе, на соблюдение применимых законодательных и других требований в области охраны труда.
- В системе экологического менеджмента (ИСО 14001) необходимо оценить уровень влияния события риска и его последствий на окружающую среду, в том числе, на соблюдение применимых экологических законодательных и других требований.
При проведении анализа последствий рисков обычно используются различные методы экспертных оценок.
В качестве дополнительных показателей рисков применяются:
- Возможность своевременного выявления события риска и возможность реагирования на него.
Данный показатель используется при проведении FMEA – анализа (FMEA – Failure Mode and Effects Analysis – Анализ видов и последствий отказов).
- Масштаб последствий риска.
При проведении оценки рисков важно учесть:
- Количество потребителей, которые могут получить несоответствующую продукцию или услугу (ИСО 9001)
- Количество работников, подвергшихся риску (ИСО 45001).
- Масштаб воздействия на окружающую среду (ИСО 14001)
- Уровень регламентированности риска
При проведении оценки рисков принято учитывать, в какой мере данный риск регламентирован в международных, национальных, региональных, отраслевых нормативных документах.
По результатам анализа и оценки рисков их обычно распределяют на 3 группы:
- Приемлемые (допустимые) риски, в отношении которых не требуются никакие дополнительные действия.
- Значимые (существенные) риски, в отношении которых требуются плановые действия,
- Критические (недопустимые) риски, в отношении которых требуются срочные действия.
При проведении анализа и оценки возможностей можно использовать показатели, аналогичные тем, которые применяются для анализа и оценки рисков:
- Вероятность реализации возможности.
- Последствия реализации возможности (для удовлетворенности потребителей, для безопасности работников, для окружающей среды, ….)
По результатам анализа и оценки возможностей их обычно распределяют на 2 группы:
- Значимые (существенные) возможности, для реализации которых требуются дополнительные действия.
- Незначимые (несущественные) возможности, в отношении которых в настоящее время действия не требуются.
4. Планирование, выполнение и оценка результативности действий в отношении рисков и возможностей.
Действия в отношении рисков и возможностей могут быть разовыми или постоянными.
Для разовых действий составляется план, в котором указываются:
- Действия,
- Сроки их выполнения,
- Ответственные лица.
Пример разового действия:
- Обучение персонала методам обслуживания нового оборудования.
Постоянные действия должны быть «интегрированы» в систему менеджмента, т.е. отражены в документированной информации системы менеджмента: процедурах, инструкциях, регламентах…
Пример постоянного действия:
- Назначение лиц, ответственных за обслуживание нового оборудования.
Действия в отношении рисков могут быть направлены на:
- Исключение события риска за счет устранения его причины (например, запрет на проведение огнеопасных работ)
- Снижение вероятности наступления события риска за счет воздействия на его причину (например, обучение персонала методам проведения огнеопасных работ)
- Смягчение последствий риска за счет предупредительных мер (например, использование негорючих материалов).
- Смягчение последствий риска за счет реагирования на событие риска (например, использование огнетушителей).
- Устранение последствий риска (например, ликвидация последствий возгорания).
- Передача риска (например, передача огнеопасных работ подрядной организации).
Действия в отношении возможностей могут быть направлены на:
- Повышение вероятности реализации возможности,
- Усиление эффекта (последствий) от реализации возможности.
После того, как все необходимые разовые действия были спланированы и выполнены, а постоянные действия спланированы, внедрены и продолжают выполняться, необходимо «оценивать результативность этих действий» (см. п. 6.1.2.2 ИСО 9001).
Должен пройти определенный промежуток времени, в течение которого нужно убедиться, что ожидаемый результат достигнут. Чаще всего, в процедуры проверки результативности запланированных действий закладывается промежуток времени от 3 месяцев до 1 года.
Н.А.Шичков
19.04.2021