Риск ориентированное мышление по ISO 9001:2015

После публикации новой версии стандарта ISO 9001:2015, пожалуй, больше всего вопросов и дискуссий возникает относительно одного из новых требований  - применение риск ориентированного мышления (в англ. «risk-based thinking»). Рекомендую посмотреть видео "Основные различия между ISO 9001:2015 и ISO 9001:2008".

На моем блоге я написала несколько статей на тему управления рисками (см. статьи: «Управление рисками вместо предупреждающих действий»; «Управление рисками - основные шаги»; «Риск менеджмент в бизнесе» и др.).  В продолжение темы я решила написать о том, что же такое «риск ориентированное мышление» по ISO 9001:2015 и как его применять.

Риск ориентированное мышление, прежде всего,  подразумевает реализацию организацией комплекса согласованных мероприятий и методов для управления и контроля многочисленными рисками (положительными и отрицательными), влияющими на её способность достигать запланированных целей. Риск ориентированное мышление, фактически, заменяет требование по выполнению предупреждающих действий из прежней версии стандарта.

Нельзя сказать, что риск ориентированное мышление - это абсолютно новое требование. В неявном виде оно всегда присутствовало в ISO 9001. В предыдущих версиях стандарта, включая ISO 9001:2008, присутствовало требование прогнозирования и предотвращения ошибок, несоответствий (осуществление предупреждающих действий), что тоже относится к риск ориентированному мышлению. Организации обучали людей, планировали работу, распределяли обязанности и полномочия, проверяли результаты, проводили аудиты и проверки, осуществляли мониторинг и измерения процессов. Все эти действия были направлены на то,  чтобы избежать ошибок и достичь успеха. 

Таким образом, организации пытались управлять своими рисками и возможностями. Поэтому можно сказать, что риск ориентированное мышление всегда было частью ISO 9001 и Систем менеджмента качества организаций. Просто раньше это было неявно, а теперь явно. Так  почему же разработчики ISO 9001:2015 решили сделать применение риск ориентированного мышления более явным и фактически заменили им предупреждающие действия? Что нового организации должны делать, чего не делали раньше?

Дело в том, что предупреждающие действия в большинстве организаций часто выполнялись «для галочки», из необходимости выполнить требование ISO 9001, а не в качестве реального инструмента продвижения вперед, непрерывного улучшения. Нередко предупреждающие действия выполнялись на ненадлежащем уровне и бессистемно. Кроме того, во многих организациях ответственность за назначение и реализацию предупреждающих действий возлагалась на кого-либо из членов группы по качеству, которые были не в состоянии охватить все вопросы, действительно влияющие на организацию на верхнем уровне и способствующие постоянному улучшению.

Чтобы соответствовать требованиям новой версии стандарта, организациям необходимо планировать и осуществлять действия в ответ на риски и возможности. 

Новый стандарт ожидает, что организации будут систематически выявлять и эффективно устранять риски, которые могут повлиять на их способность поставлять соответствующие требованиям продукцию и услуги и удовлетворять потребности клиентов. Он также ожидает, что организации будут определять свои возможности, которые могут повысить их способность поставлять соответствующие требованиям продукцию и услуги, чтобы удовлетворять своих клиентов.

Новый стандарт также ожидает, что организации будут идентифицировать риски и возможности, которые могут повлиять на результативность их Системы менеджмента качества или нарушить работу, а затем определят действия для решения этих рисков и возможностей. Также организации должны определить, как они собираются сделать эти действия частью своих процессов Системы менеджмента качества, и как они будут осуществлять контроль, оценку и анализ эффективности этих действий и процессов.

Согласно требованиям новой версии стандарта, руководители верхнего уровня должны быть вовлечены в процесс выявления, регистрации, устранения и снижения рисков. Учитывая это, уже с самого начала применения риск ориентированного мышления в организации можно будет увидеть, что оно эффективнее применявшихся ранее предупреждающих действий.

Очень важно, чтобы вопросы выявления рисков и выбора подходящих мер управления рисками выносились на повестку регулярных совещаний руководства. Не менее важным является обеспечение того, чтобы в организации были налажены каналы, по которым  все сотрудники на более низком уровне могли бы передавать свое мнение наверх - на рассмотрение управленческой команды.

Тогда организации будут иметь риск ориентированное мышление, возглавляемое командой топ менеджеров, владеющей ключевыми стратегическими знаниями об угрозах и возможностях для бизнеса и одновременно поддерживаемой информацией со всех уровней организации (часть из которой ранее была им не известна и, соответственно, не рассматривалась).

Таким образом, вместо предупреждающих действий, которые ранее, в основном, проводились на более низком уровне, теперь организациям предлагается риск ориентированное мышление, возглавляемое командой топ менеджеров, которая владеет полной и всесторонней информацией. Естественно, что управленческие решения, полученные в результате такого подхода, и последующие действия будут более эффективными на основе участия всей компании, чем ранее существовавший процесс предупреждающих действий.

В то время, как риск ориентированное мышление является теперь частью нового стандарта, тем не менее, стандарт не требует специального документа, описывающего риск ориентированный подход организации. Однако, исходя из моего опыта, лучше, если он будет описан в документе, чтобы обеспечить системность и единообразие применения во всей организации.

Рекомендую также мою статью еще об одном новом требовании в ISO 9001:2015 - понимание контекста организации.  Здесь можно скачать бесплатно электронную книгу "Как перейти на ISO 9001:2015".