Внедрение риск-ориентированного мышления

В этой статье мы детально обсудим внедрение риск-ориентированного мышления. Концепция риск-ориентированного мышления, неявно использовалась в предыдущих редакциях ISO 9001 посредством планирования требований, анализа и улучшения. Но ISO 9001:2015 требует от компаний использовать мышление, основанное на оценке рисков, для управления своим бизнесом. Если вы хотите внедрить систему менеджмента качества (СМК) в соответствии со стандартом ISO 9001:2015, в которой используется риск-ориентированное мышление, вам необходимо знать 10 вещей.

Внедрение риск-ориентированного мышления

1. Что такое риск?
Риск состоит из двух компонентов:

-во-первых, это вероятность нежелательного инцидента. 

-во-вторых, тяжесть вреда, когда происходит нежелательный инцидент.

2. Как снижается риск?
Потенциальные угрозы можно уменьшить, уменьшив вероятность возникновения нежелательного инцидента или тяжесть вреда при возникновении нежелательного инцидента. Как правило, значительно труднее уменьшить тяжесть вреда, чем снизить вероятность нежелательного инцидента.

3. Где находятся источники риска в компании?
Каждый процесс в компании является источником риска. Неприемлемый инцидент возникает всякий раз, когда процесс не выполняется должным образом. Тяжесть вреда зависит от типа процесса.

Мышление, основанное на риске, является превентивным. Это требует от компании анализа своих процессов, чтобы определить потенциальные причины того, что их процессы не работают должным образом. После выявления потенциальных причин создаются средства контроля для предотвращения причин и возникающих в результате сбоев в работе. Можно создать дополнительные элементы управления, чтобы свести к минимуму последствия того, что процесс не работает должным образом. Внедрение средств предотвращения и смягчения последствий также является потенциальными источниками угроз.

Мышление, основанное на оценке риска, также используется для выбора возможностей, которыми будет пользоваться компания. Хотя возможности приносят пользу компании, они также могут подвергать ее риску, если выбрана неправильная возможность.

4. В каких процессах ISO 9001:2015 требует использования мышления, основанного на оценке риска?
Стандарт не является предписывающим при определении процессов, в которых должно использоваться мышление, основанное на оценке риска. Стандарт позволяет компании определить процессы, составляющие СМК. После того как компания определила процессы, составляющие СМК, в них должно быть реализовано мышление, основанное на оценке риска.

5. Какова связь между мышлением, основанным на оценке риска, и принципом «планируй-делай-проверяй-действуй»?
Стандарт требует, чтобы мышление, основанное на оценке риска, было интегрировано с циклом «планируй-делай-проверяй-воздействуй». Интеграция достигается путем оценки риска «плана» перед выполнением шага «выполнить».

6. Каковы основные этапы управления процессным риском в рамках системы СМК?
После определения процессов, составляющих систему СМК, существует четыре этапа управления процессными рисками с помощью системы СМК:

• Должны быть определены входы и выходы для каждого процесса в системе СМК.
• Должна быть определена последовательность и взаимодействие процессов СМК.
• Должны быть определены риски требуемых процессов.
• Должен быть разработан план действий для устранения рисков требуемых процессов, чтобы подтвердить, что СМК может достичь намеченных результатов, повысить вероятность получения желательных результатов процесса и предотвратить или уменьшить вероятность получения нежелательных результатов.

7. Как компания определяет приоритеты процессов СМК, над которыми следует работать?
Действия, предпринятые для снижения возможных опасностей, должны быть пропорциональны потенциальному влиянию этих действий на качество поставляемых продуктов и услуг. Поскольку у компаний нет неограниченных ресурсов, невозможно работать со всеми источниками риска в рамках процессов СМК.

8. Какие типы инструментов управления возможными опасностями стандарт требует от компаний?
Стандарт не требует использования каких-либо конкретных инструментов управления рисками. Следующие инструменты управления рисками могут быть очень эффективными при правильном использовании.

• Оценка риска требований (RRA). Два самых больших источника потенциальных опасностей для компаний, разрабатывающих продукты, — это неправильное определение требований клиентов и требований к продукту. Компании могут в конечном итоге потратить миллионы долларов на изменения продукта, если требования клиентов или требования к продукту определены неправильно. Компании, поставляющие свои продукты на рынок, сталкиваются с серьезной проблемой создания единого продукта, который купят несколько клиентов с разными желаниями и потребностями. RRA выполняется для определения набора требований заказчика и проектирования с оптимизированным риском.
• Анализ видов и последствий проектных отказов (DFMEA): После оптимизации требований к проекту необходимо создать спецификации продукта, которые определяют продукт, который им будет соответствовать. DFMEA — это оценка риска адекватности спецификаций продукта при определении продукта, который будет соответствовать требованиям проекта.
• Анализ видов и последствий технологических сбоев (PFMEA): продукт должен быть изготовлен в соответствии с проектными спецификациями. PFMEA — это оценка риска адекватности процесса производства продукта, который будет соответствовать спецификациям продукта.
• Оценка риска использования (URA): продукт может выйти из строя, если он не используется по назначению. URA проводится для оценки адекватности конструкции и инструкций по использованию для предотвращения выхода из строя из-за неправильного использования.

9. Какие элементы системы управления рисками должны быть задокументированы?
Стандарт не требует формализации или документирования системы управления рисками. Стандарт не определяет элементы, которые должна иметь система управления рисками.

10. Должна ли компания внедрить более надежную систему управления рисками, чем система, описанная в стандарте?
Поскольку управление рисками очень важно для успеха бизнеса, и трудно эффективно внедрить систему, которая не формализована и не задокументирована, предприятия могут захотеть сделать больше, чем требует стандарт, чтобы способствовать эффективному внедрению системы управления рисками. Хорошей отправной точкой было бы создание формализованной и задокументированной системы управления рисками, а также обучение работе с ней.

Выводы

Существует много недоразумений относительно того, что ISO 9001:2015 подразумевает под своим требованием внедрять риск-ориентированное мышление. Я считаю, что люди делают это намного сложнее, чем это есть на самом деле. Если вы успешная компания, велика вероятность того, что вы уже внедряете какую-то форму мышления, основанного на оценке рисков. Надеемся, что эта статья поможет вам правильно внедрить мышление, основанное на оценке риска, для управления вашей компанией, чтобы вы могли ощутить многочисленные преимущества его использования.

Перевод статьи Ричарда Харпстера “Top 10 Things You Need to Know About Implementing Risk-Based Thinking”