?

Log in

No account? Create an account

Предыдущая запись | Следующая запись

Важным нюансом подготовки новой редакции самого распространенного в мире стандарта на системы менеджмента качества (СМК, - ред.) является то, что в стандарте используется не термин «риск-менеджмент», который существует давно и имеет устоявшееся определение, а выражение «мышление, основанное на оценке рисков» (risk-based thinking, - ред.). Напомним, что в новой редакции ISO 9001 будут содержаться требования по управлению рисками. Кристофер Парис, американский специалист по качеству, в своей статье «А что вообще такое “мышление, основанное на оценке рисков” из ISO 9001?» («What is ISO 9001’s “Risk-Based Thinking” Anyway?», - ред.) высказывает мнение, что подобное словоупотребление – безусловная ошибка Технического комитета №176 в Международной организации по стандартизации (ISO – International Organization for Standardization, - ред.). По его словам, смысл введенного в ISO 9001:2015 «неологизма» абсолютно непонятен. Во-первых, из текста стандарта невозможно составить себе четкое представление: в чем состоит требование к управлению рисками на предприятии. По сути, существующий текст можно свести к призыву «держать в голове риски». Однако аудиторы будут лишены возможности проверить как выполняется это пожелание, так как стандарт не требует формализовать управление рисками или вести какую-либо документацию по этому вопросу. По мнению К. Париса, все это приведет к бесконечным спорам с потребителями и органами по сертификации. «Участвуйте в словесных баталиях, которые неизбежно возникнут и надейтесь на победу», - советует эксперт пользователям ISO 9001:2015.

Разъяснение «мышления, основанного на оценке рисков» в ISO 9001:2015 находим в пункте 0.5 Предисловия. Там говорится, в частности, что:


  • учет рисков всегда скрыто присутствовал в стандарте ISO 9001, нынешняя редакция только делает этот элемент СМК явным;

  • мышление, основанное на оценке рисков и так является частью процессного подхода;

  • понятие «мышления, основанного на оценке рисков» вбирает в себя понятие «предупреждающих действий».

Содержится ссылка и на ISO 31000 «Менеджмент рисков» в таком контексте: организация может по собственной инициативе избрать более развернутый и формализованный подход к управлению рисками в организации и воспользоваться для этого ISO 31000. В комментарии К. Париса это выглядит как смущенная попытка загладить перед пользователями стандарта вину за неясность требований и предложить еще один вариант, позволяющий не спорить с аудиторами до хрипоты. И ссылку на ISO 31000, – полагает эксперт, – нужно понимать, как предложение внедрить в довесок к СМК формализованную систему управления рисками, затратить на это значительные средства и большое количество сил, но зато гарантированно «отделаться» от проверяющих.

Если говорить о самих требованиях к управлению рисками, то они рассеяны между параграфами стандарта, посвященными лидерству, планированию и процессному подходу.


  • Параграф №4. Организация должна идентифицировать риски, способные помешать достигать поставленных целей.

  • Параграф №5. Высшее руководство должно убедиться, что требования Параграфа №4 выполняются.

  • Параграф №6. Организация должна предпринимать действия, направленные на компенсацию рисков и использование возможностей.

  • Параграф №8. Организация должна иметь процессы для идентификации и компенсации рисков в операциях (производственных процессах, - ред.).

  • Параграф №9. Организация должна осуществлять мониторинг, измерение, анализ и управление рисками и возможностями.

  • Параграф №10. Необходимо, чтобы организация реагировала на изменения в ситуации с рисками.

Однако вернемся к пункту Предисловия 0.5. Стоит упомянуть, что в нем говорится также об измерении риска (quantifying risk, - ред.). Сам вопрос о возможности измерения рисков является очень дискуссионным среди экспертов. Недавно вышла интересная статья по этому поводу – «Заблуждения по поводу измерения рисков» («The Fallacy of Quantifying Risk», - ред.) Дэвида Фрика (David E. Frick, - ред.). Очень рекомендуем ознакомиться.

И еще немного об истории. Тем более, что, как заявляли на круглом столе «Сертификация систем менеджмента: проблемы и решения» в апреле, в России не хватает серьезных специалистов по риск-менеджменту и это может стать проблемой, когда отечественные предприятия будут переходить на стандарт ISO 9001:2015. Познакомимся поближе с тем, что, очевидно, является новинкой для российского рынка. У риск-менеджмента было немало теорий-предшественников, первые из которых стали появляться в математических дисциплинах еще с 18 века. Как таковой, риск-менеджмент возник в 1955 году, термин «управление рисками» появился сразу в нескольких публикациях о финансовых рынках в США. Там обосновывалась необходимость перехода от страхования к управлению рисками. В 1970, опять же, в США, появляется математическая модель, которая легла в основу управления рыночными рисками. К 70-м годам относится и появление первых профессиональных организации в сфере риск-менеджмента.

Читать на сайте 1CERT.RU