Риски и возможности

У пользователей стандартов на системы менеджмента возникает много вопросов по поводу выполнения требований, относящихся к управлению рисками и возможностями.

По традиции начнем с терминологии.

 

В ИСО 9000:2015  «Системы менеджмента качества. Основные положения и словарь» приводится определение термина «риск»:

 

  • Риск (risk) - Влияние неопределенности.

Примечание 1: Влияние выражается в отклонении от ожидаемого результата – позитивном или негативном.

Примечание 2: Неопределенность является состоянием, связанным с недостатком, даже частично, информации, понимания или знания о событии, его последствиях или вероятности.

Примечание 3: Риск часто определяют по отношению к потенциальным событиям и их последствиям, или к их комбинации.

Примечание 4: Риск часто выражается в терминах комбинации последствий события (включая изменения в обстоятельствах) и связанных с ними вероятностей возникновения.

Примечание 5: Слово «риск» иногда используется в тех случаях, когда существует возможность только негативных последствий.

Примечание 6: Термин является одним из числа общих терминов и определений для стандартов ISO на системы менеджмента, приведенных в Приложении SL к Сводным дополнениям ISO Директив ISO/IEC, часть 1. Исходное определение было модифицировано посредством добавления примечания 5.

 

Определение термина «возможность» в стандарте ИСО 9000 не дается. Поэтому обратимся к другим стандартам.

ИСО 14001:2015 «Системы экологического менеджмента. Требования и руководство по применению»:

  • Риски и возможности (risks and opportunities) - Потенциальные неблагоприятные влияния  (угрозы) и потенциальные благоприятные влияния (возможности).

ИСО 45001:2018 «Системы менеджмента профессиональной безопасности и охраны здоровья. Требования и руководство по применению»:

  • Риск в области профессиональной безопасности и охраны здоровья (ПБОЗ) (OH&S risk) - Сочетание вероятности возникновения связанного с работой опасного события или воздействия, и степени серьезности травмы или вреда здоровью, которые могут быть вызваны данным событием или воздействием.
  • Возможность в области ПБОЗ (OH&S opportunity)  - Обстоятельства или совокупность обстоятельств, которые могут привести к улучшению результатов деятельности в области ПБОЗ.

Таким образом, в стандартах на системы менеджмента «риск» рассматривается как «событие», которое имеет  вероятностный  характер (может произойти, а может не произойти) и  негативные последствия.

«Возможность»  -  это тот же «риск», но с позитивными последствиями.

Основными этапами управления рисками и возможностями являются:

  1. Определение источников рисков и возможностей,
  2. Выявление (идентификация) рисков и возможностей,
  3. Анализ и оценка рисков и возможностей,
  4. Планирование,  выполнение  и оценка результативности действий в отношении рисков и возможностей.

Рассмотрим каждый из этих этапов.

1. Определение источников рисков и возможностей.

Источники рисков и возможностей должны быть выявлены согласно требованиям пунктов 4.1 и 4.2 стандартов на системы менеджмента.

 

Пункт 4.1 стандарта ИСО 9001:2015:

Понимание организации и ее среды

Организация должна определить внешние и внутренние факторы, относящиеся к ее намерениям и стратегическому направлению и влияющие на ее способность достигать намеченных результатов ее системы менеджмента качества.

Организация должна осуществлять мониторинг и анализ информации об этих внешних и внутренних факторах.

Для определения внешних факторов деловой среды в англоязычной литературе рекомендуют применять  «PESTLE –анализ»:

  • Political (англ.) – политические факторы,
  • Economical – экономические,
  • Social – социальные,
  • Technological – технологические,
  • Legal – юридические,
  • Environmental – экологические.

Выявление и анализ внешних факторов обычно осуществляется на уровне высшего руководства организации, т.к. данные факторы и связанные с ними риски и возможности  должны приниматься во внимание  при разработке стратегических планов развития компании. Например:

  • Политические санкции,
  • Изменения курса национальной валюты,
  • Возросшая конкуренция на рынке,
  • Сезонный характер спроса на продукцию,
  • Изменения законодательных требований,
  • …..

Для определения внутренних факторов деловой среды рекомендуется использовать «7М – анализ»:

  • Man - человек.
  • Machine - оборудование (производственное и вспомогательное).
  • Material - материал.
  • Method – технология.
  • Measurement  -  измерение.
  • Management - управление. 
  • Milieu (фр.) – условия.

Выявление и анализ внутренних факторов обычно проводится на уровне руководителей производственных и вспомогательных процессов.

Примеры внутренних факторов:

  • Высокая квалификация (компетентность) персонала,
  • Большой износ производственного оборудования,
  • Ограниченная емкость склада сырьевых материалов,
  • Освоение новой технологии защиты (консервации) продукции,
  • Изменение организационной структуры,
  • …..

При этом некоторые внешние факторы (например, изменение законодательных требований) также необходимо учитывать на уровне процессов, а внутренние факторы (например, недостаточное количество квалифицированного персонала) важно учесть на высшем уровне управления.

 

Пункт 4.2 стандарта ИСО 9001:2015:

Понимание потребностей и ожиданий заинтересованных сторон.

С учетом влияния, которое заинтересованные стороны оказывают или могут оказать на способность организации постоянно поставлять продукцию и услуги, отвечающие требованиям потребителей и применимым к ним законодательным и нормативным правовым требованиям, организация должна определить:

a) заинтересованные стороны, имеющие отношение к системе менеджмента качества;

b) требования этих заинтересованных сторон, относящиеся к системе менеджмента качества.

Организация должна осуществлять мониторинг и анализ информации об этих заинтересованных сторонах и их соответствующих требованиях.

Согласно определению, приведенному в ИСО 9000:

  • Заинтересованная сторона (interested party)  - Лицо или организация, которые могут воздействовать на осуществление деятельности или принятие решения, быть подверженными их воздействию или воспринимать себя в качестве последних.

ПРИМЕР Потребители, владельцы, работники в организации, поставщики, банкиры, регулирующие органы, союзы, партнеры или сообщество, которое может включать конкурентов или группы противодействия.

Важным источником рисков и возможностей являются требования (потребности, ожидания…) внешних или внутренних заинтересованных сторон.

Эти требования могут противоречить друг другу. Например:

  • Требования (собственные возможности)  поставщика в отношении сроков поставки комплектующих изделий могут противоречить условиям договора с потребителем по срокам поставки готовой продукции.
  • Необходимость сверхурочных работ для выполнения важного заказа может противоречить требованиям трудового законодательства.

Любой «конфликт интересов» заинтересованных сторон является источником риска для организации. Поэтому при построении системы менеджмента важно выявить и учесть все потенциальные «конфликты интересов».

Если требования заинтересованной стороны совпадает с интересами организации, то появляются «возможности» для улучшений. Например:

  • Потребности партнера из другого региона в развитии собственного бизнеса могут  стать основой  для построения  взаимовыгодных отношений с эти партнером.
  • Освоение поставщиком выпуска новых материалов может стать основой для улучшения свойств собственной продукции организации.

Требования заинтересованных сторон (потребителей, головных организаций…), которые организация принимает для себя  в качестве обязательных, должны быть соответствующим образом учтены в системе менеджмента наряду с применимыми законодательными требованиями.

В стандартах нет прямых требований в отношении  документального оформления  результатов анализа внешних и внутренних факторов деловой среды, а также требований, потребностей и ожиданий заинтересованных сторон. Тем не менее, рекомендуется документировать эту информацию, поскольку стандарты требуют отслеживать изменения, происходящие в деловой среде и в требованиях заинтересованных сторон, и анализировать эти изменения на уровне высшего руководства.

 

2. Выявление (идентификация) рисков и возможностей,

Стандарт ИСО 9001 требует:

6.1 Действия в отношении рисков и возможностей

6.1.1 При планировании в системе менеджмента качества организация должна учесть факторы (см. 4.1) и требования (см. 4.2) и определить риски и возможности, подлежащие рассмотрению для:

a) обеспечения уверенности в том, что система менеджмента качества может достичь своих намеченных результатов;

b) увеличения их желаемого влияния;

c) предотвращения или уменьшения их нежелательного влияния;

d) достижения улучшения.

 

 «Намеченные результаты» для различных систем менеджмента определены в соответствующих стандартах.

Для Системы менеджмента качества (ИСО 9001):

1 Область применения

Настоящий стандарт устанавливает требования к системе менеджмента качества в тех случаях, когда организация:

a) нуждается в демонстрации своей способности постоянно поставлять продукцию и(или) услуги, отвечающие требованиям потребителей и применимым законодательным и нормативным правовым требованиям;

 

Для Системы экологического менеджмента (ИСО 14001):

1 Область применения

…..намеченные результаты системы экологического менеджмента включают себя:

- улучшение экологических результатов деятельности;

- выполнение принятых обязательств (законодательных и других требований);

- достижение экологических целей.

 

Для Системы менеджмента профессиональной безопасности и охраны здоровья (ИСО 45001):

1 Область применения

…..намеченные  результаты СМ ПБОЗ включают:

-  постоянное улучшение результатов в области ПБОЗ;

-  выполнение законодательных требований и других требований;

-  достижение целей в области ПБОЗ.

 

В ходе проведения идентификации рисков и возможностей нужно выявить потенциальные события, которые:

  • являются следствием  определенных ранее источников (причин)  и
  • могут привести к последствиям, влияющим (положительно или отрицательно) на достижение намеченных результатов соответствующей системы менеджмента.

Например:

Риски

 

Источник риска (причина)  

Риск (событие)

Последствия риска

1  

Изменение (снижение) курса национальной валюты.                                                                                                                                                               

Рост стоимости комплектующих изделий.                                                                                                                                                                                           

Невозможность выполнить заказ потребителя по ранее согласованной стоимости.

2

Изменения природоохранного законодательства

Отмена Разрешения на выбросы

отработанных газов в атмосферу.

Нарушение законодательных требований  (продолжение работы без соответствующего разрешения или остановка производственного процесса).

3

Износ производственного оборудования  

Выход из строя производственного оборудования 

Остановка производственного процесса.

4

     

Возможности

 

Источник возможности

Возможность (событие)

Последствия реализации возможности

1  

Изменение (снижение) курса национальной валюты.

Снижение цены продукции на внешнем рынке.

Рост спроса на продукцию на внешнем рынке.

2

Высокая квалификация (компетентность) персонала

Оказание дополнительных услуг потребителям.

Повышение удовлетворенности потребителей.

3

Появление нового автоматизированного оборудования.

Автоматизация производственного процесса.

Снижение производственного травматизма.

4

     

 

Управление рисками и возможностями  (в том числе, их идентификация) в организации обычно проводится на двух уровнях:

1. На уровне высшего руководства.

На этом уровне акцент делается на рисках и возможностях, связанных с внешними факторами деловой среды и с требованиями внешних заинтересованных сторон.

В представленных выше примерах к данному уровню относятся риски № 1 и  2 и возможности №1 и 3.

2. На уровне руководителей процессов.

На этом уровне акцент делается  на рисках и возможностях, связанных с внутренними  факторами деловой среды и с требованиями внутренних заинтересованных сторон.

В представленных выше примерах к данному уровню относятся риск № 3 и возможность  № 2.

В небольших организациях, в которых высшее руководство  непосредственно вовлечено в производственный процесс, нет необходимости разделять процессы управления  рисками и возможностями  на 2 уровня.

С другой стороны, в крупных холдинговых структурах количество уровней управления рисками и возможностями  может возрасти (уровень процесса, уровень предприятия,  уровень группы предприятий, уровень центрального офиса …….).

 

Особенности управления рисками и возможностями в системе менеджмента профессиональной безопасности и охраны здоровья (ИСО 45001).

В системе менеджмента  ПБОЗ управление рисками и возможностями на двух уровнях является прямым требованием стандарта. Необходимо выявить:

1. «Общесистемные риски и возможности», которые обычно управляются на уровне высшего руководства.

Пример «общесистемного риска»:

  • Риск получения штрафных санкций по результатам проверки со стороны государственных контролирующих органов.

Пример «общесистемной возможности»:

  • Возможность улучшения условий труда работников за  счет расширения производственных помещений.

2. «Риски и возможности в области ПБОЗ», которые обычно управляются на уровне процессов (подразделений).

Пример «Риска в области ПБОЗ»:

  • Риск получения травмы от движущихся частей производственного оборудования.

Пример «Возможности в области ПБОЗ»:

  • Возможность снижения концентрации вредных веществ в воздухе рабочей зоны за счет модернизации системы вентиляции.

Стандарт требует выявить и обеспечить управление рисками и возможностями, связанными  с выполнением (или не выполнением) применимых законодательных и других требований. Например:

  • Риск административного наказания за несвоевременное проведение специальной оценки рабочих мест.

 

Особенности управления рисками и возможностями в системе экологического менеджмента (ИСО 14001).

В системе экологического менеджмента также необходимо управлять рисками и возможностями на двух уровнях.

1. «Общесистемные риски и возможности», управляемые на уровне высшего руководства.

Пример «общесистемного риска»:

  • Риск штрафных санкций из-за невыполнения программы производственного экологического контроля.

Пример «общесистемной возможности»:

  • Возможность заключения контракта с ключевым заказчиком благодаря наличию действующей системы экологического менеджмента.

2. «Риски и возможности, связанные с экологическими аспектами», управляемые  на уровне процессов (подразделений).

Пример «Риска, связанного с экологическими аспектами»:

  • Риск пролива топлива при заправке погрузчика.

Пример «Возможности, связанной с экологическими аспектами»:

  • Возможность снижения выбросов вредных веществ в атмосферу за счет модернизации отопительного котла.

Стандарт также требует выявить и обеспечить управление рисками и возможностями, связанными  с выполнением (или не выполнением) применимых законодательных и других требований, которые в стандарте ИСО 14001 называются «принятыми обязательствами». Например:

  • Риск отзыва Разрешения на выбросы вредных веществ в атмосферу по результатам проверки Росприроднадзора.

Специфика управления рисками, связанными с экологическими аспектами, состоит в том, что большинство аспектов не являются «неопределенными», т.е. не носят вероятностный характер. Объемы потребления электроэнергии, воды, образующихся  отходов, выбросов в атмосферу обычно зависят от объемов производства продукции.

Риски ухудшения экологических показателей чаще всего связаны с аварийными или нештатными ситуациями.

Возможности улучшения экологических показателей обычно появляются в результате выполнения различных природоохранных мероприятий.

 

3. Анализ и оценка рисков и возможностей,

В стандарте ИСО 9001  нет прямых требований в отношении проведения анализа и оценки рисков и возможностей.

Но проводить анализ и оценку нужно, чтобы:

  • определить значимость риска или возможности,
  • принять решение о необходимости дополнительных действий в отношении риска или возможности.

В стандарте на системы менеджмента профессиональной безопасности и охраны здоровья установлены  требования в отношении оценки рисков и возможностей (см. п. 6.1.2 ИСО 45001).

В стандарте на системы экологического  менеджмента  установлены требования в отношении оценки значимости экологических аспектов (см. п. 6.1.2 ИСО 14001).

Перед проведением анализа рисков и возможностей нужно установить показатели (критерии), по которым анализ и оценка  будут  проводиться.

Основными  показателями рисков являются:

  • Вероятность наступления события риска.

Для оценки вероятности наступления события риска обычно проводится анализ статистических данных наступления подобных событий в предыдущие периоды времени. По результатам проведения такого анализа можно спрогнозировать вероятность наступления подобных событий в будущем.

Показатель вероятности наступления события риска является универсальным  для любых систем менеджмента.

  • Уровень последствий  риска.

Показатели уровня последствий рисков отличаются  для  различных  систем менеджмента.

  • В системе менеджмента качества (ИСО 9001) необходимо оценить уровень влияния события риска и его последствий на удовлетворенность потребителя выполнением его требований, а также применимых законодательных и нормативных требований.
  • В системе менеджмента профессиональной безопасности и охраны здоровья (ИСО 45001) необходимо оценить уровень влияния события риска и его последствий на здоровье и безопасность работников, в том числе, на соблюдение применимых законодательных и других требований в области охраны труда.
  • В системе  экологического менеджмента (ИСО 14001) необходимо оценить уровень влияния события риска и его последствий на окружающую среду, в том числе, на соблюдение применимых экологических законодательных и других требований.

При проведении анализа последствий рисков  обычно используются различные методы экспертных оценок.

В качестве дополнительных  показателей рисков применяются:

  • Возможность своевременного выявления события риска и возможность реагирования на него.

Данный показатель используется при проведении FMEA – анализа  (FMEA – Failure Mode and Effects Analysis – Анализ видов и последствий отказов).

  • Масштаб последствий риска.

При проведении оценки рисков важно учесть:

  • Количество потребителей, которые могут получить несоответствующую продукцию или услугу (ИСО 9001)
  • Количество работников, подвергшихся риску (ИСО 45001).
  • Масштаб воздействия на окружающую среду (ИСО 14001)
  • Уровень регламентированности риска

При проведении оценки рисков принято учитывать, в какой мере данный риск регламентирован в международных, национальных, региональных, отраслевых нормативных документах.

По результатам анализа и оценки рисков их обычно распределяют на 3 группы:

  • Приемлемые (допустимые) риски, в отношении которых не требуются никакие дополнительные действия.
  • Значимые (существенные) риски, в отношении которых требуются плановые действия,
  • Критические (недопустимые) риски, в отношении которых требуются срочные действия.

При проведении анализа и оценки возможностей можно использовать показатели, аналогичные тем, которые применяются для анализа и оценки рисков:

  • Вероятность реализации возможности.
  • Последствия реализации возможности (для удовлетворенности потребителей, для безопасности работников,  для окружающей среды, ….)

По результатам анализа и оценки возможностей  их обычно распределяют на 2 группы:

  • Значимые (существенные) возможности, для реализации которых требуются дополнительные действия.
  • Незначимые (несущественные) возможности, в отношении которых в настоящее время действия не требуются.

 

4. Планирование,  выполнение и оценка результативности  действий в отношении рисков и возможностей.

Действия в отношении рисков и возможностей могут быть разовыми или постоянными.

Для разовых действий составляется план, в котором указываются:

  • Действия,
  • Сроки их выполнения,
  • Ответственные лица.

Пример разового действия:

  • Обучение персонала методам обслуживания нового оборудования.

Постоянные действия должны быть «интегрированы» в систему менеджмента, т.е.  отражены в  документированной информации системы менеджмента: процедурах, инструкциях, регламентах…

Пример постоянного действия:

  • Назначение лиц, ответственных за  обслуживание нового оборудования.

Действия в отношении рисков могут быть направлены на:

  • Исключение события риска за счет устранения его причины (например, запрет на проведение огнеопасных работ)
  • Снижение вероятности наступления события риска  за счет воздействия на его причину (например, обучение персонала методам проведения огнеопасных работ)
  • Смягчение последствий риска за счет предупредительных мер (например, использование негорючих материалов).
  • Смягчение последствий риска за счет реагирования на событие риска (например, использование огнетушителей).
  • Устранение последствий риска (например, ликвидация последствий возгорания).
  • Передача риска (например, передача огнеопасных работ подрядной организации).

Действия в отношении возможностей  могут быть направлены на:

  • Повышение вероятности реализации возможности,
  • Усиление эффекта (последствий) от реализации возможности.

После того, как все необходимые разовые  действия были спланированы и выполнены, а постоянные действия спланированы, внедрены и продолжают выполняться, необходимо «оценивать результативность этих действий» (см. п. 6.1.2.2 ИСО 9001).

Должен пройти определенный промежуток времени, в течение которого нужно убедиться, что ожидаемый результат достигнут. Чаще всего, в процедуры проверки результативности запланированных действий закладывается промежуток времени от 3 месяцев до 1 года.