+
ПРОТОКОЛЫ ОЦЕНКИ РИСКОВ ПО ИСО 9001
Компания успешна, если она, с одной стороны, систематически выявляет, анализирует и принимает меры в отношении возможностей, а с другой стороны, определяет связанные с ними риски и действует соответствующим образом. Риск-ориентированный подход в ИСО 9001 в первую очередь касается выявления последствий неопределенности в бизнесе и определения рисков как основы для планирования.
Стандарт определяет риск как "влияние неопределенности" на ожидаемый результат.
Риск можно предупредить, минимизировать, а можно и принять. Главное – понимать, какую пользу принесет воздействие на него в зависимости от целей компании. Риск-менеджмент позволяет организации совершенствовать бизнес-процессы, принимать верную стратегию развития на рынке, своевременно реагировать на изменения внешней и внутренней среды.
Риски могут быть внутренними (ресурсные, управленческие, технологические, кадровые или инвестиционные) и внешними (экономические, политические, отраслевые, инфляционные, законодательные, валютные). Каждый из них влияет на показатели качества продукции/услуги, стоимость и сроки изготовления.
Управление рисками представляет собой циклически повторяющийся процесс, схожий с циклом Шухарта–Деминга PDCA, и включает определение ситуации, идентификацию, анализ, оценку риска и воздействие на него.
Объектами риск-менеджмента могут быть организация в целом, отдельные направления ее деятельности, определенный продукт или услуга. На начальном этапе развития риск-ориентированного мышления риск-менеджеру следует сконцентрировать внимание на процессах, целях организации или проектах. Работа в этих трех направлениях позволяет минимизировать основные риски организации.
Управление рисками начинается с их идентификации. Для идентификации рисков можно использовать простой инструмент принятия решений – квадрат Декарта. Применяя этот метод, нужно ответить на четыре вопроса:
– что случится, если это произойдет;
– что случится, если это не произойдет;
– что не случится, если это произойдет;
– что не случится, если это не произойдет.
Метод позволяет сравнить разные варианты развития события. Он применим в как в бизнесе, так и в жизни.
Комплексный подход к управлению рисками на ежедневной основе обеспечивает интегрированная в общую структуру менеджмента система управления рисками. Начинать выстраивать систему управления рисками можно с малого: изучить существующую практику управления рисками, выбрать простые инструменты и методы, подходящие под нужды компании, и испытать их в действии. Управление рисками не должно быть функцией одного сотрудника или отдела. Это общая задача всей организации. Поэтому следующим шагом должно стать подключение к управлению рисками других подразделений организации. Для этого потребуется обучить сотрудников методам управления рисками, распределить ответственность в управлении рисками между участниками.
Все это должно координировать высшее руководство организации. Заинтересованность и вовлеченность высшего руководства – обязательное условие для выстраивания эффективной системы управления рисками.
Для анализа и оценки рисков существуют различные методы и инструменты. В стандарте ГОСТ Р 58771-2019 “Менеджмент рисков. Технологии оценки рисков” представлено 42 таких метода. Самый простой метод – матрица рисков.
Матрица рисков проста в использовании. Она позволяет визуально отобразить относительную значимость риска по последствиям, вероятности или уровню риска.
В матрице рисков используются две шкалы – вероятность наступления события и тяжесть его последствий, – каждая из которых, как правило, имеет пять уровней.
Вероятность рисков исчисляется в процентах, это пять пунктов шкалы рисков: 0 - 20%; 21% - 40%; 41% - 60%; 61%-80%; 81%-100%.
Степень ущерба оценивается по уровням, эта также пять пунктов шкалы: Низкий, Средний, Высокий, Очень высокий, Критический.
Их произведение в точке пересечения определяет значимость риска. В зависимости от значимости риск окажется в красной, желтой или зеленой зоне.
В красной зоне будут находиться критические риски. Такие риски необходимо минимизировать. Воздействие на них – приоритетная задача.
Желтая зона – область значительных рисков. Эту категорию рисков следует рассматривать как потенциально критическую. Риски желтой зоны необходимо контролировать и не допускать их переход в красную зону.
Зеленая зона – умеренные риски, которые незначительно влияют на бизнес-процесс.
Матрица позволяет определить, является ли данный риск в целом приемлемым или неприемлемым в соответствии с зоной, где он находится на матрице. С помощью матрицы рисков можно быстро проранжировать риски по уровню их значимости.
Риски должны быть оценены и оформлены документально. Как правило, риски по процессам СМК оформляются протоколами по каждому из процессов СМК. В протоколе, как правило, указываются: период оценки риска, рабочая группа, вид риска, его последствия, оценка, корректирующие действия по риску, дата повторной оценки риска, ответственный исполнитель. С протоколом по риску должны быть ознакомлены все ответственные сотрудники.
Для любой организации управление рисками – это неотъемлемая часть бизнеса, это работа, которая проводится постоянно. Нельзя недооценивать важность этой работы. Начать можно с использования несложных инструментов оценки рисков, в дальнейшем переходя на новый уровень. Можно также усовершенствовать инструменты, используемые внутри организации. Все зависит от целей организации, а также от степени вовлеченности и готовности команды, которая занимается внутри организации процессами управления рисками.
Главное – это не метод, выбранный компанией, а то, как компания управляет значимыми для нее рисками.
Далее об Отчетах о внутренних аудитах по ИСО 9001
Стандарт определяет риск как "влияние неопределенности" на ожидаемый результат.
Риск можно предупредить, минимизировать, а можно и принять. Главное – понимать, какую пользу принесет воздействие на него в зависимости от целей компании. Риск-менеджмент позволяет организации совершенствовать бизнес-процессы, принимать верную стратегию развития на рынке, своевременно реагировать на изменения внешней и внутренней среды.
Риски могут быть внутренними (ресурсные, управленческие, технологические, кадровые или инвестиционные) и внешними (экономические, политические, отраслевые, инфляционные, законодательные, валютные). Каждый из них влияет на показатели качества продукции/услуги, стоимость и сроки изготовления.
Управление рисками представляет собой циклически повторяющийся процесс, схожий с циклом Шухарта–Деминга PDCA, и включает определение ситуации, идентификацию, анализ, оценку риска и воздействие на него.
Объектами риск-менеджмента могут быть организация в целом, отдельные направления ее деятельности, определенный продукт или услуга. На начальном этапе развития риск-ориентированного мышления риск-менеджеру следует сконцентрировать внимание на процессах, целях организации или проектах. Работа в этих трех направлениях позволяет минимизировать основные риски организации.
Управление рисками начинается с их идентификации. Для идентификации рисков можно использовать простой инструмент принятия решений – квадрат Декарта. Применяя этот метод, нужно ответить на четыре вопроса:
– что случится, если это произойдет;
– что случится, если это не произойдет;
– что не случится, если это произойдет;
– что не случится, если это не произойдет.
Метод позволяет сравнить разные варианты развития события. Он применим в как в бизнесе, так и в жизни.
Комплексный подход к управлению рисками на ежедневной основе обеспечивает интегрированная в общую структуру менеджмента система управления рисками. Начинать выстраивать систему управления рисками можно с малого: изучить существующую практику управления рисками, выбрать простые инструменты и методы, подходящие под нужды компании, и испытать их в действии. Управление рисками не должно быть функцией одного сотрудника или отдела. Это общая задача всей организации. Поэтому следующим шагом должно стать подключение к управлению рисками других подразделений организации. Для этого потребуется обучить сотрудников методам управления рисками, распределить ответственность в управлении рисками между участниками.
Все это должно координировать высшее руководство организации. Заинтересованность и вовлеченность высшего руководства – обязательное условие для выстраивания эффективной системы управления рисками.
Для анализа и оценки рисков существуют различные методы и инструменты. В стандарте ГОСТ Р 58771-2019 “Менеджмент рисков. Технологии оценки рисков” представлено 42 таких метода. Самый простой метод – матрица рисков.
Матрица рисков проста в использовании. Она позволяет визуально отобразить относительную значимость риска по последствиям, вероятности или уровню риска.
В матрице рисков используются две шкалы – вероятность наступления события и тяжесть его последствий, – каждая из которых, как правило, имеет пять уровней.
Вероятность рисков исчисляется в процентах, это пять пунктов шкалы рисков: 0 - 20%; 21% - 40%; 41% - 60%; 61%-80%; 81%-100%.
Степень ущерба оценивается по уровням, эта также пять пунктов шкалы: Низкий, Средний, Высокий, Очень высокий, Критический.
Их произведение в точке пересечения определяет значимость риска. В зависимости от значимости риск окажется в красной, желтой или зеленой зоне.
В красной зоне будут находиться критические риски. Такие риски необходимо минимизировать. Воздействие на них – приоритетная задача.
Желтая зона – область значительных рисков. Эту категорию рисков следует рассматривать как потенциально критическую. Риски желтой зоны необходимо контролировать и не допускать их переход в красную зону.
Зеленая зона – умеренные риски, которые незначительно влияют на бизнес-процесс.
Матрица позволяет определить, является ли данный риск в целом приемлемым или неприемлемым в соответствии с зоной, где он находится на матрице. С помощью матрицы рисков можно быстро проранжировать риски по уровню их значимости.
Риски должны быть оценены и оформлены документально. Как правило, риски по процессам СМК оформляются протоколами по каждому из процессов СМК. В протоколе, как правило, указываются: период оценки риска, рабочая группа, вид риска, его последствия, оценка, корректирующие действия по риску, дата повторной оценки риска, ответственный исполнитель. С протоколом по риску должны быть ознакомлены все ответственные сотрудники.
Для любой организации управление рисками – это неотъемлемая часть бизнеса, это работа, которая проводится постоянно. Нельзя недооценивать важность этой работы. Начать можно с использования несложных инструментов оценки рисков, в дальнейшем переходя на новый уровень. Можно также усовершенствовать инструменты, используемые внутри организации. Все зависит от целей организации, а также от степени вовлеченности и готовности команды, которая занимается внутри организации процессами управления рисками.
Главное – это не метод, выбранный компанией, а то, как компания управляет значимыми для нее рисками.
Далее об Отчетах о внутренних аудитах по ИСО 9001
