Кто не рискует, тот преуспел в риск-менджменте


Одно из основных отличий обновленного ISO 9001:2015 от предыдущей версии этого стандарта – в нем содержится требование при управлении процессами в целом опираться на «риск-ориентированное мышление». Стандарт предполагает определение рисков и возможностей в деятельности организации как основу повышения результативности действующей СМК организации, а также внесение, по результатам определения рисков и возможностей, назревших изменений в СМК. Он содержит принципы ведения результативного риск-менеджмента, которые внедряют и активно используют передовые компании. Эксперты даже называют риск-менеджмент новой парадигмой стратегического управления.

Максим ЕкатерининКаковы основные группы рисков СМК? Как снижать их уровень? Собеседник «Умпро» – генеральный директор Института технического регулирования, стандартизации и сертификации (ITRC) Максим Екатеринин.

– С момента выхода новой серии стандартов ISO 9001 прошел уже год. На ваш взгляд, насколько за это время отечественные промышленные компании продвинулись в плане освоения риск-менеджмента?

– По-разному. Наряду с многими преуспевшими в этом плане компаниями есть столь же немало и тех, где топ-менеджмент до сих пор не сформулировал для себя, что же такое риски. Для кого-то риск – это прогнозируемая негативная ситуация, для кого-то – это уже возникшая в производственном процессе проблема, с которой надо бороться здесь и сейчас. На самом деле правы и те, и другие, но только частично. Согласно стандарту ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство», который устанавливает принципы и общее руководство по риск-менеджменту, риск — это влияние неопределенности на цели. Риск часто характеризуют путем описания возможного события и его последствий или их сочетания. То есть, по сути, риск – это всегда сочетание двух в равной степени значимых факторов. И, если разобраться, любое требование стандартов системы менеджмента качества так или иначе направлено на снижение рисков. Существует и отдельная методология идентификации, анализа, оценки рисков, и определения рисков в конкретном аспекте конкретной деятельности. Это универсальная методология, в целом применимая для любой отрасли, поскольку упомянутые здесь два фактора риска работают везде.

Теперь что касается классификации рисков. Наиболее распространенная проблема наших предприятий – это риски выпуска некачественной продукции. Они могут быть обусловлены как внутренними, так и внешними причинами. К первым относятся, например, устаревшая управленческая модель, нерезультативная СМК, недостаточная квалификация и дисциплина персонала, устаревшее оборудование и т.д. Внешние причины – это, к примеру, риски, связанные с цепочкой поставок: сорванные контрагентом сроки поставки компонентов, поставки некачественного сырья и материалов и т.д.

– Должно быть, к этой же группе можно отнести и риски, связанные с модернизацией, освоением новых технологий…

– Безусловно. И очень правильно делают те компании, которые оценивают их еще на стадии разработки инвестиционного проекта. Такой подход применила одна из компаний из числа наших клиентов. Это крупная организация химической промышленности, сегодня активно инвестирующая средства в модернизацию, – там практически уже построили новое современное производство и сейчас еще докупают оборудование, которое позволит максимально повысить производительность. И еще на стадии создания концепции модернизационного проекта, до того, как начать выбирать оборудование, там были оценены все возможные риски. Ведь закупка современного оборудования в данном случае не самоцель, важно получить от него максимальную отдачу. И в таких ситуациях нередки внутрикорпоративные дискуссии: часть топ-менеджмента за модернизацию, другая – против. И, когда на повестке оказывается вопрос экономической целесообразности, всегда важно оценить риски, то есть вероятные последствия принятия и непринятия решений. Риски в случае отказа от модернизации очевидны: компания может утратить конкурентоспособность. Для того же, чтобы точно рассчитать риски, связанные с техперевооружением, необходима специальная методика, учитывающая и параметры оборудования, и опыт других компаний отрасли, эксплуатирующих аналогичное оборудование, и анализ текущей ситуации на рынке, и прогноз ее развития на перспективу, и т.д. И, конечно, требуется всесторонний анализ ресурсной базы компании, в том числе человеческих ресурсов. Ведь может оказаться, например, что обучить персонал работе на новом оборудовании окажется негде и некому, а приглашение иностранных специалистов для обучения работников или обслуживания оборудования потребует непосильных для предприятия финансовых затрат и эффект от модернизации таким образом будет сведен на нет.

– Или же новую технологию и вовсе нельзя будет применять по причинам экологического характера – если предприятие расположено, например, невдалеке от водоохранной зоны…

– Риски, связанные с экологией, – это еще одна отдельная категория рисков. Они оцениваются несколько по-иному, чем те, что напрямую связаны с качеством. Здесь, помимо степени вероятности события и его предполагаемых последствий, следует учитывать еще и масштаб его воздействия. Например, выброс газа или СОЖ может повлиять исключительно на производственный участок, где он случился, а может – и на целый прилегающий к предприятию район. То есть в данном случае важно учитывать последствия не только для производства и персонала, но и для окружающей среды в целом. Также немаловажно учитывать продолжительность воздействия, которое может быть в течение нескольких часов, дней или длиться постоянно.

В целом методика оценки основана на предварительном определении экологических аспектов, то есть элементов деятельности организации, ее продукции или услуг, который взаимодействует или может взаимодействовать с окружающей средой. Примеры экологических аспектов – выбросы в атмосферу, образование отходов, сбросы сточных вод, загрязнение почвы нефтепродуктами и т.д.

Показателями, по которым оцениваются риски в области экологии, могут быть: масштаб (М), интенсивность (И) (тяжесть), вероятность (В), продолжительность (П) воздействия определенного организацией экологического аспекта.

На основе оценки рисков можно определить фактор значимости экологического аспекта, который рассчитывается следующим образом:

  •  используя шкалы оценки значимости, приведенные ниже, производят оценку М, И, В, П по балльной шкале;
  •  определяют фактор значимости (Фз) как произведение значений (Фз = М * И * В * П).

Многие предприятия, на которых мы проводили диагностический аудит действующей системы менеджмента, вопросам рисков, связанных с экологией, практически не уделяли внимания.
Шкалы оценок значимости экологических аспектов (ЭА)

– То есть это традиционно недооцененная проблема?

– Именно. При этом, что одно из ключевых назначений функционирующей системы менеджмента состоит в том, чтобы действовать как инструмент предупреждения. Большинство предприятий, когда речь заходит об экологических рисках, ограничивается реагированием на уже случившиеся негативные события. Конечно, у них имеются планы подготовки к аварийным ситуациям, проводятся тренинги на отработку действий при авариях, но признаки системного характера оценки рисков отсутствуют.

– Вероятно, вновь создаваемые высокотехнологичные предприятия все же являются в этом смысле исключением?

– Да, такие предприятия обычно уже на стадии проектирования обращаются к международным стандартам в области риск-менеджмента, в том числе формируют методику оценки рисков в области экологии.

– Это ведь, в определенной степени, и вопрос промышленной безопасности?

– Безусловно, требования промышленной безопасности установлены на законодательном уровне. Однако на практике для предприятий очень важно учитывать международный опыт в области безопасности труда и охраны здоровья, а именно стандарт OHSAS 18001, который, как предполагается, к концу 2017 года будет пересмотрен в формате международного стандарта ISO 45001. Риски в области охраны труда – это отдельная группа рисков, пренебрежение которыми чревато самыми серьезными последствиями. Наши коллеги-аудиторы приводили различные примеры нарушений требований охраны труда на предприятиях, вплоть до курьезных: был случай, когда люди поскальзывались на наливных полах в цехе весьма продвинутого предприятия. Там проблему могли бы решить обычные таблички с предупреждением о скользких полах. Но вот когда изучаешь материалы Ростехнадзора, где содержится информация по авариям и несчастным случаям на производствах, становится уже не до смеха.

Если говорить о рисках в области охраны труда, то оценка рисков может быть рассчитана на основе трех основных параметров: вероятность события (В), тяжесть последствий (Т), масштаб (М). У каждого из этих параметров существуют шкалы для оценки. Для простоты расчета сформируем шкалы от 1 до 3 баллов.

Риск оценивается по формуле: В*Т*М = Оценка риска (Ор).

Вероятность (В):

Тяжесть последствий (Т):

Масштаб (М):

Критерии для оценки уровня риска могут быть следующие:

– Сегодня в промышленности один из основных трендов – автоматизация, внедрение безлюдных технологий. Таким образом, влияние человеческого фактора на аварийность должно снижаться.

– Действительно, на автоматизированных производствах меньше таких рисков. Но все же они есть, и здесь необходимо их просчитывать уже на этапе разработки технического задания на проект автоматизации. Известен пример, когда на одном предприятии в момент обслуживания оборудования произошел несчастный случай из-за того, что в программу данного оборудования был введен неверный код.

– В перечне основных рисков предприятий также указывается наличие процессов, которые не добавляют стоимости продукту и, как следствие, увеличивают расходы организации. Одна из таких «рисковых» статей расходов – энергопотребление, которое, как известно, можно оптимизировать средствами энергоменеджмента. Насколько это получается у наших предприятий?

– Сегодня уровень потребления энергоресурсов у разных предприятий может существенно отличаться. Они в массе своей стремятся максимально снизить затраты по этой статье. Но не всегда это получается. Например, мы, реализуя консалтинговый проект на одном крупном предприятии, объекты которого занимают громадную территорию, обнаружили, что там ночью всегда горит свет даже на совершенно безлюдных в это время участках. И это не было дежурным освещением – на предприятии просто не задумывались о размере потерь на оплате за эту напрасно потраченную электроэнергию. Вообще оценка рисков в этой сфере всегда позволяет открыть многие подобные, прежде не замечаемые, каналы потерь средств из-за непродуманных вопросов энергопотребления. В этом отношении мы рекомендуем предприятиям использовать стандарт в области внедрения системного подхода к энергоменеджменту – ГОСТ Р ИСО 50001-2012 (ISO 50001:2011).

– В советское время большинство крупных предприятий имели собственные подстанции и котельные, которые, помимо производственных площадей, обслуживали еще и ведомственный жилой фонд и объекты соцкультбыта. С начала 1990-х предприятия массово стали избавляться от этих активов как непрофильных, передавать их муниципалитетам. Но вот сейчас в промышленном секторе все большим спросом пользуются газотурбинные установки. Получается, собственные энергоносители все же выгоднее?

– Бывает по-разному. Предприятия, располагающие свободными ресурсами, могут себе позволить собственные мини-котельные и другие источники энергоснабжения, в том числе ГТУ. Но в основном решение проблем энергосбережения на предприятиях связано с использованием автоматизированных систем управления энергоресурсами. На всех участках устанавливаются счетчики, четко учитываются энергозатраты на каждом из них. Таким образом, определяются самые затратные участки и затем вырабатывается комплекс мер по оптимизации энергопотребления. Опять же для этого важно планировать работу по внедрению энергоменеджмента.

– Если призывы экономить электроэнергию мы помним еще с советских времен, то о рисках в системе информационной безопасности, связанных с управлением документацией, заговорили сравнительно недавно…

– Пока что этим рискам уделяется меньшее внимание по сравнению с остальными. Исключение – корпорации ОПК, традиционно умеющие хранить свои секреты. А из нашей практики аудита на предприятиях можно привести немало примеров их уязвимости в этом плане. Приходим с аудитом по соответствию стандарту ISO/IEC 27001 – это стандарт в области системы менеджмента информационной безопасности. Прошли входной контроль, получили пропуск, после чего нашим специалистам была предоставлена полная свобода действий с возможностью заходить в любой кабинет. Открываем дверь одного из них, а там нет никого из сотрудников, но кабинет при этом не заперт – как говорится, заходи любой желающий, хоть всю документацию со столов собирай, хоть скачивай что угодно из компьютеров, никак не защищенных. Мы, конечно, обратили на это внимание заказчиков, подсказали, что обычная практика при проведении внешнего аудита – выделение аудиторам сопровождающего от заказчика.
Количество выданных сертификатов на соответствие требованиям стандартов ISO/IEC 27001, ISO 9001, ISO 14001 с 2014 по 2015 год по данным ISO Survey 2015

Риски в этой сфере оцениваются несколько по-другому, чем, например, риски, связанные с качеством, охраной труда и т.д. В рамках информационной безопасности есть понятия угрозы и уязвимости. Угрозой является, например, промышленный шпионаж и в этом плане как потенциальную угрозу можно рассматривать визит в компанию любого постороннего лица. А пример уязвимости мы рассмотрели выше: незапертый кабинет, оставленный без присмотра компьютер, не защищенный даже входным паролем, и т.д. И потенциальные угрозы, и уязвимости надо выявлять и оценивать. Но перед этим необходимо оценить в целом нематериальные активы компании – учредительные документы, коммерческую и техническую документацию, и т.д. И определить, какая степень защиты необходима каждому конкретному документу.

– На многих предприятиях очень туго идут процессы внедрения автоматизированных систем управления документацией. Менеджмент старшего поколения препятствует автоматизации документооборота, предпочитая бумажную форму как более надежную.

– Есть такая проблема. Нашим специалистам случалось консультировать предприятия, где давно внедрена автоматизированная система управления документооборотом, но при этом персонал дублирует информацию в ручном режиме на бумажных носителях. Здесь проблема, в первую очередь, в построении процессов: важно понять, насколько на данный момент предприятию необходимо дублирование документов вручную, чем это предпочтительнее электронной формы. Например, на предприятиях, где рабочие места в массе своей еще не оснащены компьютерами, в этом есть необходимость.

– Но это – не про высокотехнологичный сектор.

– Конечно. Но все же есть еще немало предприятий, где не все участки оснащены компьютерами. И поэтому автоматизировать взаимодействие с этими подразделениями пока невозможно, остается бумажная переписка.

– Но на любом производстве обычное дело – корректировка технической документации. И если внести коррективы в электронный документ – секундное дело, то сбор десятка визирующих подписей на аналогичном бумажном документе может занять несколько недель. Приводя хотя бы этот аргумент, можно убедить руководство компании взяться за автоматизацию документооборота?

– Мы, консультируя предприятия, всегда говорим о необходимости и целесообразности автоматизации, но решение, конечно, всегда остается за руководством компании или владельцем бизнеса. При этом, помогая внедрять СМК, мы должны сделать так, чтобы в подразделениях предприятия-клиента не было устаревших документов. И чтобы все изменения, вносимые в проектную, конструкторскую документацию, оперативно доводились до всех заинтересованных служб компании. А это – опять же предпосылка для автоматизации документооборота. И все больше предприятий приходят к пониманию этой необходимости.

– Кстати, ведь на это решение, наверное, может повлиять и аудит второй стороны, когда, к примеру, крупный заказчик, формируя пул поставщиков комплектующих, в качестве критерия отбора рассматривает наличие системы автоматизации документооборота…

– Конечно, заказчик в этом плане имеет рычаги влияния на своих партнеров. Как правило, аудит второй стороны проводится в рамках аудита СМК. Инициирует его потребитель, изначально предъявляющий определенные требования не только к продукту поставщика, но и к организации производственных процессов в его компании. В тендерах обычно содержатся требования наличия у потенциальных поставщиков сертификатов ISO 9001, но, как мы уже отмечали в предыдущей беседе («Умпро», №3 (35)), само по себе обладание сертификатом не всегда является гарантией качества. И потому заказчики прибегают к аудиту второй стороны, проверкам на соответствие стандарту ISO 9001, который напрямую требует внедрения системного подхода к управлению документацией. К сожалению, при этом заказчики в массе своей меньше внимания уделяют соответствию партнеров стандартам в сфере экологии, охраны труда, энергоменеджмента и информационной безопасности. Но это вполне объяснимо: все это в большей степени является стандартами самого предприятия-поставщика, они сами должны заботиться о соответствии их требованиям, если хотят быть конкурентоспособными.

Чтобы определить степень готовности потенциального поставщика к сотрудничеству, оценить уровень его компетентности, заказчик может также организовать независимый аудит третьей стороны силами специалистов консалтинговой компании. Такой подход сегодня набирает все большую популярность.

– Но консалтинговых фирм соответствующего уровня в России  пока наперечет. Получается, что выбор независимых аудиторов консультантов – тоже риск. Помочь компаниям сориентироваться мог бы составленный авторитетными экспертами рейтинг консалтинговых фирм. Такой рейтинг существует?

– К сожалению, пока нет, и даже нет соответствующего регистра участников этого рынка. И потому на этом рынке на одном поле работают как компании, оказывающие качественные консалтинговые услуги, которые действительно проводят изменения в деятельности предприятий, так и фирмы, деятельность которых сводится к методической помощи для оформления сертификатов ISO 9001. Существует также международный стандарт ISO 10019:2005 «Руководящие указания по выбору консультантов по системе менеджмента качества и использованию их услуг» с набором критериев для выбора консультантов. Однако у российских консалтинговых компаний зачастую сложно получить достоверную информацию о соответствии их этим критериям, а больше ее взять неоткуда – нет ни регистра, ни независимой оценки в этом сегменте.

– Но ведь добросовестный поставщик услуг добровольно предоставит эту информацию!

– Конечно! Но круг таких консультантов у нас до сих пор узок. Безусловно, это важная тема, и потому уже давно в воздухе витает идея создания профессиональной ассоциации. Важно привлечь к ее реализации максимум участников, представляющих все заинтересованные стороны, – это не только консалтинговые фирмы, но и российские и зарубежные органы по сертификации, профильные министерства, Росстандарт, а также, возможно, и Евразийская экономическая комиссия – поскольку эти проблемы надо решать на всем пространстве ЕАЭС.

– Коль скоро мы упомянули о международных контактах в сфере СМК, то нельзя обойти тему сотрудничества с Китаем – поставщиком широкого спектра товаров: от сложных станков до ширпотреба. Как китайские производители выглядят в плане соответствия международным стандартам качества?

– Если обратиться к обзорам использования стандарта ISO 9 001 во всем мире, то можно убедиться, что Китай в этом отношении входит в число лидеров по числу компаний, обладающих сертификатами ISO. Продукция этих фирм вполне соответствует мировым стандартам. Также можно отметить, что китайские производители проявляют значительный интерес к российским техническим регламентам и за этим угадывается их намерение повышать степень интеграции с российскими партнерами. Вопросы технического регулирования более актуальны в рамках Евразийского экономического союза.

– Итак, мы перечислили основные риски. Давайте поговорим о том, как с ними бороться.

– Если говорить в целом о менеджменте рисков, то важно отметить, что процесс его внедрения необходимо запускать осознанно, непременно вовлекая в него все руководство компании. А самое удачное вовлечение начинается с анализа текущей ситуации и идентификации существующих в ней рисков. Затем следует разработка плана мероприятий по внедрению менеджмента рисков, по оценке рисков. Все это – командная работа, один человек, даже с широкими полномочиями топ-менеджера, с этим не справится. Целесообразно создать многофункциональную группу, объединяющую специалистов из разных служб предприятия. Только так они смогут наиболее объективно оценить все риски. Что касается методики их оценки, то на сегодня в стандартах они есть. Например, в стандарте ИСО/МЭК 31010:2009 «Менеджмент риска. Методы оценки риска» – это стандарт в области менеджмента рисков, где приводятся различные методы его оценки. Можно также использовать стандарт ISO/IEC 27005:2008 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности», это стандарт на менеджмент рисков в области информационных технологий. Начинать целесообразно с апробирования на предприятии существующих универсальных методик риск-менеджмента, затем в рабочем порядке адаптировать их под свою специфику. Ведь в основе всех методик – набор критериев с баллами, оценивающими степень вероятности негативного события, значимость его последствий и т.д. От менеджмента компании в данном случае требуется разработать соответствующие критерии оценки, учитывающие специфику деятельности предприятия.

– Годится ли универсальная методика оценки рисков для всех предприятий, или же для поточного и для мелкосерийного, кастомизированного производства с частыми переналадками она разнится?

– Методика может быть доработана именно с учетом этих условий. Предприятие должно принять методический опыт, который задается стандартом, и при этом сформировать свою методику, с учетом специфики производства. Вообще, перефразируя известную поговорку, можно сказать, что оценка рисков – дело рук самих рискующих. Важно, чтобы на предприятии понимали полезность разработки такой методики. Ведь на ежедневных планерках и еженедельных совещаниях всегда так или иначе поднимаются вопросы, связанные с рисками. И здесь методика нужна как инструмент принятия решений.

– Но предприятиям некогда работать над методикой – у них текучка, нет ни временных, ни интеллектуальных ресурсов, чтобы выйти на уровень методических разработок.

– Здесь предприятиям важно хотя бы раз в месяц детально обсуждать эти темы, обобщать информацию о постоянных проблемах с качеством, выявлять узкие места, прогнозировать с их учетом развитие ситуации и т.д. В этих практических обсуждениях и выработается методика. На практике трудозатраты на ее разработку небольшие – есть вспомогательные методические материалы, здесь поможет даже простейший анализ возможных рисков, связанных с качеством, экологией, охраной труда. В эту работу необходимо вовлечь все подразделения предприятия. На его основе формируется перечень необходимых мероприятий по снижению рисков. Нередко в процессе консультирования крупных предприятий мы видим, что там уже успешно пользуются разработанными собственными силами методиками, у них имеются внутренние документированные процедуры по риск-менеджменту, но при этом они пользуются и нашими наработками и на их основе пересматривают свои подходы.

– Но этот процесс должен быть постоянным – ведь от рисков нельзя избавиться раз и навсегда, по мере развития модернизационных процессов, освоения новых технологий появляются и новые риски!

– Совершенно верно. И потому стандартом ISO 9001 предусмотрен постоянный мониторинг и анализ информации о возможных внешних и внутренних факторах, влияющих на деятельность организации, поэтому анализ рисков важно проводить с установленной периодичностью – ведь даже для поточного производства риски завтра могут быть совершенно другими, чем сегодня. И что особенно важно в методологии менеджмента рисков помимо оценки вероятностей и последствий внутренних негативных событий необходима и оценка внутренних и внешних факторов. Они ведь тоже постоянно меняются, например, с выходом очередного нормативного акта, регулирующего деятельность отрасли. Необходим сбор и анализ подобной информации о внешних изменениях.

Сегодня в Институте технического регулирования, стандартизации и сертификации открыт специальный проект в области внедрения системы менеджмента рисков на предприятиях различных отраслей. Участниками данного проекта могут стать как те предприятия, которые сегодня внедряют или переходят на новые версии стандартов ISO 9001:2015, ISO 14001:2015, ISO 45001 и др., а также те предприятия, которые имеют потребность во внедрении системного подхода к менеджменту рисков на основе стандартов ИСО серии 31000. В рамках данного проекта институт оказывает консультации и методическую помощь предприятиям. Мы надеемся, что подобного рода проекты позволят организациям оптимизировать работу по идентификации, анализу и оцениванию рисков в их деятельности.

Версия для печати
Авторы: Светлана БАКАРДЖИЕВА
Разместить ссылку на: 


Добавить комментарий

Автор: *
Тема: *
Код c
картинки: *

Коментарий: