Риск-менеджмент буквально вплетен в новый ИСО 9001:2015,так как в пункте 03 стандарта говорится, что менеджмент процессов и системы в целом может быть построен на основе методологии РДСА – «Планируй – Делай – Проверяй – Действуй» совместно с упором на «риск-ориентированное мышление», позволяющее предотвратить получение непланируемых результатов. В разделе 4.4 требуется определить процессы, а также риски и действия реагирования на них, в 5.1.2 риски влияния на соответствие продукции и услуг при ориентации на потребителя. С риск – менеджментом придется столкнуться в подпунктах 9.3 –анализ со стороны руководства. Наконец, есть специальный подраздел – 6.1. «Действия в отношении рисков и возможностей». Риск-менеджмент является частью стратегического менеджмента организации и тесно переплетается с понятием контекста организации, то есть бизнес – среды, сочетания внутренних и внешних факторов и условий, которые влияют на организацию и ее устойчивость [3].
Риск, с точки зрения стандарта ИСО 9000:2015, – влияние неопределенности на ожидаемый результат. Неопределенность – это состояние отсутствия информации, относящейся к событию или к вероятности возникновения этого события. Тем самым, мы понимаем, что риски в организации напрямую перекликаются с контекстом. Иными словами, в новой версии стандарта риск-ориентированный подход требует, чтобы организация четко понимала среду, в которой она существует, и, исходя из нее устанавливали риски [3,4].
Организация должна определять критерии, которые необходимо использовать для оценки значимости риска. Критерии риска могут включать сопутствующие стоимость и выгоды, законодательные и обязательные требования, социально-экономические и экологические аспекты, озабоченность причастных сторон, приоритеты и другие затраты на оценку [1].
Назначение анализа риска заключается в получении входных данных для оценивания риска и принятия решений относительно обработки риска. Информация может включать в себя исторические данные, параметры процессов, результаты теоретического анализа, информированное мнение специалистов и касаться причастных сторон.
При некоторых обстоятельствах оценивание риска приводит к решению о проведении дополнительного анализа. Оценивание риска также может привести к решению не обрабатывать риск каким-либо образом, за исключением применения средств управления. На это решение влияет отношение организации к риску и установленные критерии риска. Некоторые критерии могут устанавливаться на основе законодательных и обязательных требований, а также других требований, которые взяла на себя организация.
Оценка риска – это общий процесс идентификации, анализа и оценивания риска. Организация должна идентифицировать источники риска и связанные с ними аспекты, области воздействия, события и их причины, а также их потенциальные последствия.
Для идентификации рисков используется комбинация различных методик и инструментов, например таких как, идентификация рисков на основе поставленных целей и задач, отраслевых и международных сравнений, семинаров и обсуждений, интервьюирования, базы данных произошедших событий и убытков (аварии, внеплановые простои, брак, дефекты и поломки и т.д.).
При идентификации событий необходимо рассматривать различные внутренние и внешние факторы, которые могут вызывать риски и возможности, в масштабах всего предприятия.
События с позитивным влиянием представляют собой возможности, которые учитываются в процессе разработки стратегии развития предприятия и постановки целей. События с негативным влиянием представляют собой риски, которые служат базой для выделения ключевых рисков и выбора способов реагирования на них. Идентифицированные как риски потенциальные негативные события подвергаются оценке.
Для оценки рисков используется матрица рисков (рис. 1). Риски оцениваются с точки зрения вероятности их наступления и степени финансового/нефинансового влияния (размера риска). Матрица рисков позволяет оценить относительную значимость каждого риска (по сравнению с другими рисками), а также выделить риски, которые являются критическими и требуют разработки мероприятий по их управлению. Матрица рисков разбита на несколько областей, выделенных разным цветом: красная зона – риски, которые являются критичными для подразделения (предприятия) либо в связи с высокой вероятностью наступления, либо в связи с серьезным потенциалом ущерба, который может повлиять на финансовую жизнеспособность; желтая зона – риски, которые являются обратимыми и без принятия мер могут перейти в красную зону; зеленая зона – риски, которые являются допустимыми рисками и не оказывают значительного влияния на финансовую жизнеспособность. В черно-белой печати красная, желтая и зелёные зоны выглядят как темная (черная), светло-серая и темно-серая области соответственно.
Приоритетность рисков устанавливается в соответствии с позицией каждого из рисков на матрице рисков в зависимости от финансово/нефинансового влияния и вероятности осуществления: 1 группа – катастрофические риски – красная зона матрицы рисков – риски, имеющие наиболее высокий приоритет; 2 группа – средние риски – желтая зона матрицы рисков – вторые по приоритетности риски; 3 группа – низкие риски – зеленая зона матрицы рисков – риски в пределах удерживающей способности компании – мониторинг и контроль.
Анализ риска включает рассмотрение причин и источников риска, их последствий и вероятности того, что эти последствия могут произойти, оценку риска, его значимости и методы снижения риска или уменьшения связанных с ним неблагоприятных последствий.
Назначение анализа риска заключается в получении входных данных для оценивания риска и принятия решений относительно обработки риска. Информация может включать в себя исторические данные, параметры процессов, результаты теоретического анализа, информированное мнение специалистов и касаться причастных сторон. Анализ риска может осуществляться с различной степенью детальности, в зависимости от риска, цели анализа и информации и имеющихся ресурсов. Анализ может быть качественным, полуколичественным или количественным, либо их комбинацией в зависимости от потребностей организации и других возможных обстоятельств. Качественный анализ риска заключается в определении (идентификации) факторов риска, этапов, процессов и работ, при выполнении которых риск возникает, т.е. в установлении потенциальных областей риска, а после этого в определении всех возможных рисков [1].
Оценивание риска – процесс сравнения количественно оцененного риска с данными критериями риска для определения значимости риска. На основании этого сравнения определяется необходимость и установление приоритета обработки риска. Решения должны быть приняты в соответствии с законодательными, обязательными и другими требованиями.
При некоторых обстоятельствах оценивание риска приводит к решению о проведении дополнительного анализа. Оценивание риска также может привести к решению не обрабатывать риск каким-либо образом, за исключением применения средств управления. На это решение влияет отношение организации к риску и установленные критерии риска.
Рис. 1. Матрица рисков
Обработка риска включает выбор одного или нескольких вариантов изменения рисков и применение этих вариантов. Варианты могут включать: a)предотвращение риска посредством принятия решения не начинать или не продолжать деятельность, в результате которой возникает риск; б) устранение источника риска; в) изменение вероятности; г) изменение последствий; д) разделение риска с другой стороной или сторонами (включая страхование и финансирование риска); е) принятие риска на основании обоснованного решения.
Выбор наиболее подходящего варианта обработки риска включает сопоставление затрат и усилий по реализации с извлекаемыми преимуществами с учетом законодательных, обязательных и других требований, таких как социальная ответственность, охрана здоровья персонала и защита окружающей среды.
В рамках планирования СМК АО «АрселорМиттал Темиртау» с учетом внешних и внутренних факторов, требований заинтересованных сторон и области применения СМК по каждому процессу определяются основные риски и возможности, подлежащие рассмотрению.
Рассмотрение рисков и возможностей производится для: обеспечения уверенности в том, что система менеджмента качества может достигать своих намеченных результатов; увеличения желательного влияния рисков; предотвращения или уменьшения их нежелательного влияния; достижения улучшения.
Действия по рассмотрению рисков на АО «АрселорМиттал Темиртау» предусматривают: сбор статистики по связанным с рисками событиям и оценку их влияния на СМК, процессы и их результат; отнесение событий к недопустимым рискам или выявление дополнительных возможностей; определение основных производственных рисков по структурным подразделениям; принятие действий в отношении рисков и возможностей с целью достижения улучшения или ожидаемого результата; оценку результативности предпринятых в отношении рисков и возможностей действий; актуализацию рисков и возможностей, определенных в ходе планирования.
Способы реагирования на риски могут включать: избежание риска; допущение риска с тем, чтобы отследить возможности; устранение источника риска; изменение вероятности или последствий; разделение риска или сдерживание риска путем принятия решения, основанного на информации.
Под «действием» подразумевается как непосредственный алгоритм и комплекс мер по рассмотрению рисков и возможностей, так и мероприятия (организационные, технические, комплексные), предпринимаемые в отношении рисков и возможностей с целью достижения желаемого результата или наступления желательного события. Алгоритм действий в отношении рисков и возможностей приведен на рис. 2.
Рис. 2. Алгоритм действий в отношении значимых рисков и возможностей
При составлении Реестра значимых производственных рисков структурного подразделения учитываются отнесенные к недопустимым рискам события, произошедшие в течение последних трех лет. При этом отдельные риски могут быть объединены (сгруппированы) или изложены в измененной редакции с целью наиболее объективной и точной оценки их влияния на СМК и процессы. Риск может быть исключен из Реестра значимых производственных рисков структурного подразделения, если связанные с этим риском события не проявлялись в течение последних трех лет или в результате предпринятых в отношении риска действий было изменено его влияние на положительное.
События, не влекущие за собой нежелательных последствий, должны анализироваться руководителями структурных подразделений на предмет создания дополнительных возможностей. Возможности могут возникнуть в ситуации, благоприятной для достижения запланированного результата, например, как совокупность обстоятельств, позволяющих предприятию привлекать новых потребителей, разрабатывать новую продукцию и услуги, сокращать производственные расходы, повышать производительность труда и др.
Принятию действий в отношении рисков и возможностей предшествует анализ факторов (производственных, организационных, человеческих и т.п.), способных по своей природе и степени влияния на процессы стать наиболее вероятными причинами потенциально нежелательных ситуаций (в том числе несоответствий) или достичь ожидаемого результата.
Источниками информации для анализа могут являться: информация от потребителей (в т.ч. жалобы, отзывы, результаты анкетирования); записи о выявленных несоответствиях и их причинах; результаты мониторинга и измерений продукции и процессов; результаты самоконтроля; результаты входного контроля оборудования, сырья и материалов; результаты контроля и мониторинга состояния оборудования (включая технические и программные средства), зданий и сооружений, инженерных сетей и коммуникаций, транспортных ресурсов, информационных систем; отчёты о внутренних и внешних аудитах; входные и выходные данные анализа со стороны руководства; результаты анализа результативности предпринятых корректирующих действий; документы СМК (СЭМ, СМПБиЗ), регламентирующие взаимодействия (между подразделениями, персоналом) и процессы (в т.ч. процессы материального производства); классификаторы дефектов продукции; диаграммы причинно-следственной связи, разрабатываемые инженерными службами по отдельным процессам (схемы Исикавы), и другие результаты статистической обработки данных и компьютерного моделирования; результаты опытно-промышленных испытаний и других научных изысканий; другая документированная информация по процессам и их результатам [5].
По результатам анализа информации принимается решение о проведении в отношении рисков и возможностей необходимых действий.
Действия в отношении рисков и возможностей могут предусматривать: принятие новых практик; использование новых технологий; совершенствование методов контроля продукции и процессов; внесение изменений в действующую технологическую документацию и документацию СМК (СЭМ, СМПБиЗ); модернизацию и реконструкцию оборудования, средств контроля и измерений; вовлечение в производство новых видов сырья, материалов и инструментов; проведение проектно-конструкторских работ, опытно-промышленных испытаний, научных изысканий, реализацию проектов по постоянному улучшению продукции и процессов; внедрение в производство объектов интеллектуальной собственности (изобретений и рационализаторских предложений); повышение квалификации технологического и ремонтного персонала, производственной и технологической дисциплины; совершенствование организационной структуры; повышение ответственности и материальной заинтересованности персонала за качество своего труда.
Критериями оценки результативности действий, предпринятых в отношении рисков и возможностей, являются: обеспечение реализации Политики и целей в области качества АО «АрселорМиттал Темиртау»; достижения желаемого результата или наступления желательного события; отсутствие несоответствий по связанному с риском (в отношении которого предпринимались действия) процессу СМК.
Исследования показывают, что анализируя, данные в реестре опасностей и рисков, очевиден тот факт, что после планомерного внедрения процессов управления рисками в деятельность предприятия, показатели степени риска значительно снижаются. Такие результаты могут минимизировать число травм и жертв на производственных площадках и цехах.