Многие специалисты еще на этапе обсуждения проекта стандарта высказывались на эту тему, было так же достаточно статей и на тему корректности перевода международного стандарта. Но не хотелось бы повторять то, что уже было сказано. Но все-таки не могу не высказаться, хотя и кратко: почему в процессе выполнения проектов на предприятиях мы вынуждены тратить часть своего времени на «толкование», на перевод с «русского» на русский язык, но более понятный. Почему, имею ОДНУ библия на всех (стандарт ISO 9001), так много писем пишут в редакцию известных журналов (например. «Методы менеджмента качества»), в которых представители предприятий рассказывают о своем непонимании зафиксированных несоответствий? Почему, по одной и той же коллизии, эксперты (уважаемые люди, имеющие за своими плечами не один год работы и не одну СОТНЮ аудитов) высказывают иногда прямо противоположные мнения? Судя по тексту новой версии количество подобных писем существенно увеличиться.

Пришла пора заниматься практической реализацией этого стандарта и некоторые организации уже приступили к этому. Соответственно стали возникать вопросы, которые хотел бы вынести на обсуждение.

Общее впечатление от новой версии стандарта – он (стандарт) ДЛЯ ПРОДВИНУТЫХ пользователей. Стандарт для тех, кто:

• понимает и умеет читать между строк;
• внедряет не формально;
• имеет базу (разумную систему менеджмента).

Вообще, если посмотреть на изменения стандарта 9001 (например, версии 1994, 2000, 2008 и 2015 годов), то прослеживается явная тенденция: уменьшается количество обязательных документов, наличие которых требует стандарт. Многое оставляется на усмотрение организации. Этим решением, возможно, пытаются уменьшить количество претензий к СМК по ИСО 9001,которые сводятся к тому, что стандарт требовал ОГРОМНОЕ количество документации: на каждый шаг нужна «бумажка» (но это ошибочное мнение). Те кто, понимает (и кто создает систему не ради сертификата на стене кабинета директора), не ринутся сразу аннулировать процедуры и выбрасывать руководство по качеству.

Теперь о рисках. Давно назрело это решение. Системы должны быть более активны и предупреждать, а не действовать после того, когда что-то уже произошло. Но есть опасения, что данная деятельность будет осуществляться формально.

Начнем обсуждение с терминологии, потому что проблема существует с самим термином «Риск – влияние неопределенности». В самом определении риска заложена приличная доля неопределенности. Это определение практически ничего не дает для понимания, что это такое и «с чем его едят». Пока специалисты и читатели не доберутся до примечаний №3 и №4 к данному термину – разобраться сложно. Почему не использовать терминологию OHSAS 18001? Там сразу понятно, что такое риск. «Риск - комбинация вероятности возникновения опасного события или воздействия(ий) и тяжести травмы или ухудшения состояния здоровья, которые могут быть вызваны данным событием или воздействием(и)». Стандарт ISO 3100 хотя бы поясняет, что риск – влияние неопределенности НА ЦЕЛИ. В результате на практике приходится «переводить с русского на русский»: риск – комбинация ВЕРОЯТНОСТИ возникновения НЕЖЕЛАТЕЛЬНОГО события и ТЯЖЕСТИ последствий (на цели, на продукт, на результат процесса, на потребителя и т.д.).

Что же требует стандарт делать с рисками? Определять, рассматривать, учитывать. Нельзя сказать, что здесь все понятно после первого прочтения. Это, кстати, относится не только к российскому стандарту.

«Учитывать риски…» (пункт 4.4).

«Демонстрировать…., что риски определены и рассмотрены» (пункт 5.4.1).

«Определить риски…» (пункт 6.1).

«Планировать действия по рассмотрению рисков» (пункт 6.1.2).

«Меры, принимаемые в отношении рисков, должны быть пропорциональны их возможному влиянию на соответствие продукции и услуг» (пункт 6.1.2).

«Организация должна актуализировать при необходимости риски и возможности, определенные на этапе планирования» (пункт 10.2).

Не совсем понятная ситуация с документированием информации о рисках и последующих действиях. В «процессном» пункте 4.4.1 говорится о том, что организация должна «учитывать риски и возможности в соответствии с требованиями подраздела 6.1». В самом главном пункте требований о рисках (п. 6.1) не содержится требований про документирование информации о рисках. Почему – не ясно. В аналогичном пункте стандарта ISO 14001:2015 «черным по белому» говорится о необходимости «разработать, поддерживать в актуальном состоянии и применять документированную информацию, касающуюся: рисков и возможностей…». Вернемся к пункту 4.4.2, который требует «регистрировать и сохранять документированную информацию для обеспечения уверенности в том, что эти процессы осуществляются так, как это было запланировано». Логически рассуждая, можно понять, что в состав документированной информации входит и информация о рисках. Почему бы это не написать «ПРЯМЫМ ТЕКСТОМ» в пункте 6.1?

Хотел бы обратить внимание специалистов на то, что в некоторых пунктах стандарта не говорится в целом о рисках (и не применяется термин «риск»), но применяются другие термины, которые связаны с риском, например:

• пункт 6.3: организация должна рассмотреть «цель вносимого изменения и возможные ПОСЛЕДСТВИЯ его внесения» (фраза звучит не совсем «по-русски», но не об этом речь);
• пункт 7.3: организация должна обеспечить, чтобы соответствующие лица были осведомлены о «ПОСЛЕДСТВИЯХ несоответствия требованиям системы менеджмента качества»;
• пункт 8.3: организация должна рассмотреть «потенциальные ПОСЛЕДСТВИЯ отказов, связанные с особенностями продукции и услуг».

Автор считает, что просто рассмотреть ПОСЛЕДСТВИЯ не достаточно. Не проведя полноценной оценки рисков (выявить возможные события, определить последствия, оценить тяжесть, вероятность и риск в целом, сравнить с уровнем допустимого риска) – НЕВОЗМОЖНО понять, ЧТО делать дальше! Недостаточно только выявить последствия для того, чтобы их «РАССМОТРЕТЬ». Что это за термин такой – «рассмотреть»? Рассмотреть в смысле «увидеть»? Рассмотрение включает оценку рисков, анализ и последующие действия? По мнению автора, конечно да! Поэтому в тех местах, где стандарт говорит о ПОСЛЕДСТВИЯХ – необходимо все-таки выполнять процедуру управления рисками в ПОЛНОМ объеме.

Нельзя не высказаться еще об одном не четком требовании применительно к рискам (но следует отметить, что в предыдущей версии стандарта ISO 9001:2008 подобных «расплывчатых» требований было больше): пункт 10.2 регламентирует, что организация должна «уточнить, ПРИ НЕОБХОДИМОСТИ, риски и возможности, выявленные в ходе планирования…». Еще Петр 1 считал, что нужно принимать такие законы, чтобы не было возможности их «перетолковать». Есть необходимость или нет? Стандарт не объясняет. Можно только догадываться и\или руководствоваться здравым смыслом. К тому же, планируя корректирующие действия, оценка рисков позволит понять – спланированных действий достаточно или нет, чтобы причина не повторялась или вероятность ее повторения была существенно снижена.

В завершении хочется рекомендовать специалистам не заниматься «терминологической войной», причем «с пеной у рта» и «до посинения». Это не означает, что не нужно выяснять, как понимать тот или иной термин. Но не следует тратить ОЧЕНЬ много времени на это. Не нужно забывать о цели применения методики управления риском (да и любой другой): это инструмент должен приносить РЕАЛЬНУЮ пользу. А если организация будет иметь МНОГО документированной информации о рисках, но МАЛО последующих действий, тогда зачем все это было сделано? А чтобы понять реальную пользу от этого инструмента, необходимо иметь действующую и понятную систему учета затрат «на плохое качество», позволяющую подсчитать не только фактические потери из-за возникших несоответствий (в процессах и продукции), но и возможные потери (из-за потенциальных несоответствий).

Ну и в завершении одно правило: необходимо руководствоваться не только «буквой закона» (стандарта), но и его «духом»!