Риск-менеджмент в менеджменте качества
В сентябре 2015 года организация ISO (Международная организация по стандартизации - International Organization for Standardization, - ред.) выпустила новую редакцию стандарта ISO 9001 «Системы менеджмента качества. Требования». В числе прочего в техническом задании на разработку было сказано, что обновленный текст должен соответствовать потребностям пользователей этого нормативного документа на ближайшие 10 лет. То есть, ISO 9001:2015 до некоторой степени является попыткой угадать развитие сегодняшних тенденций на рынке. И в этом смысле тот факт, что в новой редакции появились понятия риска и «мышления, основанного на рисках» - глубоко не случаен. Действительно, приметы все большей востребованности управления рисками можно увидеть повсюду в деловой среде. В октябре 1999 года бизнес-объединение NACD (Национальная ассоциация директоров корпораций - National Association of Corporate Directors, - ред.), базирующееся в США, опубликовало отчет, посвященный деятельности ревизионных комиссий. Авторы доклада обращают внимание на необходимость учитывать риски. Они посоветовали ревизионным комиссиям «определить и своевременно использовать ключевую информацию, касающуюся ключевых рисков и критериев эффективности управления ими».
Или вот, может быть, более осязаемый пример. Крупнейшие органы по сертификации, тот же «Det Norske Veritas» теперь продвигаются на рынке аудиторских услуг как компании, специализирующиеся на услугах по риск-менеджменту, хотя раньше «выпячивались» системы менеджмента по стандартам ISO. В действительности эти организации с большой историей имеют огромные наработки по многим видам и направлениям независимого аудита. Смену того, на чем именно из своего «портфолио» они делают упор, можно рассматривать как свидетельство того, что ветер в мировой экономике подул в другую сторону. Еще одно показательное событие. В январе 2000 года увидели свет данные исследования Института финансовых руководителей (Financial Executives Institute, - ред.). Опрос проводился среди вице-президентов корпораций по финансам и главных бухгалтеров. Большинство респондентов высказалось в том смысле, что главным в деятельности ревизионных комиссий являются «ключевые сферы делового и финансового риска».
В ISO 9001:2015 риски теперь присутствуют. В ISO 9001:2008 их не было, хотя те же функции перекрывались требованиями к процессам корректирующих и предупреждающих действий. Разработчики новой версии стандарта объяснили, что управление рисками «всегда скрыто присутствовало» в ISO 9001. Если задаться целью сделать выжимку из требований по рискам в ISO 9001:2015, то отметить, пожалуй, стоит то, что новый стандарт не требует создания формализованной системы управления рисками. Нет никаких документов, которые нужно поддерживать в качестве свидетельства оценки или обработки риска. Все, что есть в стандарте, это, по большому счету, пожелание организациям управлять рисками и решить, каким именно способом они будут это делать. Положения о рисках в ISO 9001:2015 выглядят как своеобразная ссылка на серию нормативов ISO 31000, которая как раз посвящена риск-менеджменту. Стандарт ISO 31000 даже собственной персоной присутствует в нормативных ссылках к ISO 9001:2015.
Многие эксперты посмеялись над комментариями ISO по поводу скрытого присутствия риск-менеджмента в ISO 9001:2008, видя в этом что-то наподобие поступка судьи из пьесы Бомарше. Будучи пойманным на вранье о том, что «запятая в документе есть», он стал утверждать, что она в тексте «была», когда и этому не поверили, он невозмутимо сказал: «Значит, она там будет». Но редакторы Международной организации по стандартизации, похоже, не врут, несмотря на забавную формулировку. В стандарте ISO 9004, который развивает положения ISO 9001 есть, например, слова о том, что «применение принципа процессного подхода ведет, как правило, к оцениванию рисков последствий и влияний деятельности на потребителей, поставщиков и другие заинтересованные стороны». Вообще в стандарте ISO 9004 рискам уделяется огромное внимание. В разделе, который посвящен управлению процессами пользователям норматива, предлагается при планировании процессов принимать во внимание «потенциальные финансовые и иные риски».
Читать на сайте 1CERT.RU