Риски в системах менеджмента качества

Пост изменен 2019.01.30

Продолжая статьи о рисках в различных системах менеджмента можно остановиться и на некоторых факторах риска в системах качества. Следует заметить, что стандарт ISO9001:2015  устанавливает требования к организации по управлению рисками. Сам стандарт менеджмента качества, в контексте риск менеджмента, может так же, наряду с ISO31000, рассматриваться как базовый инструмент уменьшения неопределенности в деятельности путем прогнозирования угроз и связанных с ними рисков в управлении бизнесом и процессов  и тем самым повышения ее стоимости.
Основные группы рисков СМК могут быть структурированы следующим образом.

Внешние риски

Внешние риски — политические, социальные, технологические, киберинвазии, экономические, экологические, законодательные и др.

Риски, связанные с потребителем ( клиентом)
Качество продукции, поставляемое на рынок ниже, чем ожидание клиента;
Нарушение сроков поставки;
Убытки, связанные с переделкой бракованной продукции/услуги;
Потерянная прибыль от расторжения контрактов на поставку продукции;

Внутренние риски

Риски, связанные с конфигурацией системы менеджмента качества

Выбранная модель управления организацией неадекватна вызовам рынка, ее  организационной культуре или устарела;
Неадекватные цели, политика установленные в системе качества, ;
Ошибки в принятии управленческих решений;
Читать далее…

Почему не надо использовать риск матрицы

Использование риск матриц сегодня достаточно популярный способ оценки уровней риска. Он как бы позволяет выделить из списка рисков ( угроз) главные, имеющие наибольший  эффект на цели организации.

В одном из интервью Grant Purdy рассказывал, как появилась риск матрица: 

 In 1995 when we wrote the first Australian/New Zealand standard. We thought we were being really helpful by cutting in an appendix of the standard for indicative purposes only, a five by five matrix.  It was the worst decision we ever, ever made. It wasn’t intended to work, it was purely an illustration. It was just sort of this is what a matrix looks. And it wasn’t the rating system, it was just a, a heap numbers, you would call it now, as a way of pictorially representing risk in terms of consequence and liability.  But of course, you know it then got transmogrified and turned into, well it’s almost a religion now.

Полный текст интервью см. здесь: https://riskacademy.blog/the-most-amazing-risk-management-interview-ever/amp/

Я сам начал использовать и пропагандировать риск матрицы с 2011 года. Время, а так же практика аудитов систем менеджмента, дискуссий с топ менеджерами организаций и предприятий показал(о), что данный подход не эффективен.

Почему? 

  1. Матрица пересматривается (в лучшем случае) один раз в год. За это время оперативные и стратегические вызовы и сопутствующие угрозы/ риски возникают значительно чаще.
  2. Оценка рисков „ внутрикомпанейских экспертов“ (2й уровень управления) зачастую субъективна. Экспертный опрос специалистов, которые участвуют в оценке рисков, дал результат, что, например, оценка наступления негативного события в терминах «вероятно» (likely), выраженная в процентах, имеет разброс от 20% до 50% в зависимости какой специалист участвует. Причем, наибольшее значение (50%) можно приписать к оценке специалистами по охране труда, а наименьшее значение продавцам ( sales persons). Оценка воздействия неопределенности в терминах “вероятно“, „возможно“, „маловероятно“ и т.д., не дает четкого сигнала руководителям о необходимых приоритетах, а зачастую может вести к ошибочным решениям. Т.к. риски или недооцениваются или переоцениваются. 
  3. Топ менеджмент, наблюдательный совет (board), стэкхолдеры (stakeholders) организации ожидают более точных оценок воздействия рисков, чтобы планировать инвестиции или создавать, если необходимо, резервы для покрытия будущих убытков, передавать риски третьим сторонам. Выводы основанные на цвете сегмента риск матрицы, «красный», «желтый», «зеленый» не дает четкого представления диапазона возможных убытков.
  4. Трудно оценить консолидированные риски в количественных единицах, если они реализуются, например: экологические риски, риски потери рынка, клиента, потере данных (кибер атаки), пандемии, а также соответствия внешним требованиям и др. 

Думается, что риск матрицы сыграли определенную роль в более глубоком представлении процесса оценки и управления рисками.  По крайней мере, понимание риска как комбинации вероятности и последствий в малом и среднем бизнесе присутствует. Этому переходу способствовали и стандарты ИСО, требования регуляторов. Думается, что необходимо делать следующий шаг в оценке рисков используя математические и статистические методы, сценарный анализ и др.. Хорошая сборка методов работы с рисками изложена в стандарте ISO31010. 

Метод Monte Carlo simulation как один из адекватных, «приходит» в организации для улучшения качества решений, более точного определения диапазона рисков и выработке стратегии и тактики их уменьшения. ( см. здесь  ).

www.sea.lt

Риск менеджмент. Другой подход.

10 лет назад, когда я начинал заниматься консультированием в области риск менеджмента, наиболее часто использовалась методика построения риск матриц и регистра рисков. Основным инструментом является назначение рейтингов ( scoring) вероятности возникновения нежелательных событий и их возможное влияние на достижение  целей фирмы. При этом, оценка рисков и их последствий при всех интерпретациях сводится к терминам “Низкий”, “Средний “, “Высокий” используя матрицу 3 x 3. Можно так же встретить матрицы 5×5, 6×6, или 10×10 (FMEA). В настоящее время, когда я провожу аудит систем менеджмента в компаниях, замечаю, что эта методика работает не эффективно. Очень часто менеджеры средних компаний, с кем я беседую, объясняют, что они это делают только для того “чтобы сделать”, как правило, не чаще одного раза в год . Другой аргумент менеджеров – оценку рисков по этой методике??? требуют стандарты качества, природоохраны, надзорные институции и т.д.  

Другими словами – компании теряют время, ресурсы для подготовки документов на основе риск матриц которые не работают. 

Недостатки этого подхода будут обсуждены более подробно в другой публикации.здесь

От Качественной к Количественной оценке рисков. 

Последнее время в оценке рисков набирает популярность другое направление.

Количественная оценка рисковMonte Carlo Simulation, probability management: эти и другие определения подходов можно встретить в литературе и на практике. Общее для них – более точное моделирование, сценирование распределения рисков и их интерпретация влияния в денежных, временных, весовых и др. единицах, т.е. можно количественно оценить эффект негативного или позитивного (opportunities)  воздействия рисков. 

Например:

— с какой вероятностью в процентах ваш бюджет может быть выполнен;

— достигнет ли ваш проект норму прибыльности, NPV, ROI или может ли проект завершиться в планируемые сроки;

— какое влияние ( в “деньгах”) консолидированных рисков таких как экологические, кибер, коррупционные, маркетинговые, законодательные ( statutory) и др. на бизнес компании. 

Количественные методы оценки рисков давно нашли свое применение в финансовых, нефтехимических и др. глобальных корпорациях. Однако, в малом и среднем бизнесе, в проектном менеджменте они встречаются редко.

Основное преимущество для бизнеса – значительное улучшение качества и скорости принятия решений. Методы моделирования в течение 10 минут позволяют просчитать 1000, 5000 и более вариантов (iterractions) возможного развития событий и визуально отобразить их влияние на поставленную цель проекта, бюджета и т.д. в течении совещания топ менеджеров, т.е. в момент принятия решения. 

Для небольших проектов, бюджетов, а также расчета консолидированных рисков вполне достаточно использовать инструментарий Microsoft Excel.

http://www.sea.lt

Риск менеджмент с применением вероятностного прогнозирования

Как количественно оценить риски?  Качественную оценку как правило ограничивают построением т.н. «HEAT MAP» исходя из предположения о наименьших, оптимальных и максимальных значениях последствий возникновения случаев ( событий ) рисков.

«Монте Карло» анализ позволяет  в денежном выражении просчитать наиболее вероятные количественные оценки рисков и ресурсы ( например деньги) для инвестирования в проекты уменьшения или оптимизации рисков. Вместо трех вариантов прогнозирования ( min, max, optimum) возможны расчеты 1000, 5000, 10000  и более вариантов   в течении одного — двух часов.

Новые методики  расчетов рисков и их последствий сокращают время и повышают эффективность управленческих решений.

Особенно полезно использование   прогнозирования, основанного на методе MONTE CARLO,  когда необходимо  » в деньгах» оценить последствия  суммарных  рисков , таких как экологические, кибер, технологические, юридические ( compaliance) , экономические, проектные и др.

www.sea.lt

ISO50001: система энергетического менеджмента

Стандарт ISO50001 снабжает организацию моделью управления энергетическими ресурсами и способами повышения эффективности их использования. Стандарт основан на известной модели PLAN-DO-CHECK-ACT, предполагающей постоянное улучшение энергопотребления. Он совместим с наиболее популярными стандартами ISO9001 и ISO14001, и оставляет в силе основные стадии управленческого цикла, а именно: политика, анализ руководства, внутренние аудиты, корректирующие и предупреждающие действия, мониторинг и анализ баз данных.

По отношению к функции энергопотребления введены дополнительные требования:
• Проведение анализа энергопотребления и определение основных аспектов рационального использования
• Определение энергетического базиса (и трендов)
• Планирование и постановка измеряемых целей и показателей энергетической результативности
• Управление операциями по использованию энергии
• Проектирование и закупка энергетических услуг, оборудования , систем и процессов

Рациональное использование рекомендаций стандарта должно принести экономическую выгоду.
Такие как повышение эффективности бизнеса, улучшение экономических показателей организации.
Ну и конечно, стандарт уменьшает бизнес риски посредством лучшего понимания об использовании различного вида энергии на предприятии , организации. Стандарт может быть так же  использован при проектировании одного из элементов непрерывного (sustainable) развития организации.

Ссылки внизу дополняют статью.

Нажмите для доступа к iso_focusplus_centerfold_11-05.pdf

Нажмите для доступа к LRQA_Practical_Guidance_ISO%2050001_FIN_LR_singles_02-27-12_small_tcm163-236268.pdf

 

http://www.sea.lt

О коммуникации ( рефлексия от Бернарда Вербера)

«Между
тем, что я думаю,
тем, что я хочу сказать,
тем, что я, как мне кажется, говорю,
тем, что я говорю,
и тем, что вы хотите услышать,
тем что, как вам кажется, вы слышите,
тем, что вы слышите,
тем, что вы хотите понять,
тем, что вы понимаете,
стоит десять вариантов непонимания.
…».

Развитие Систем Менеджмента. Опыт Балтийских стран.

В течении последних 11 лет можно было наблюдать развитие систем менеджмента (СМ) в Балтийских странах. Данная статья основана на опыте работы с более чем 100 бизнес компаний, в которых была возможность оценивать системы менеджмента на соответствие наиболее популярным ИСО стандартам: 9001, 14001, 18001 и др.
Уровень зрелости систем можно условно разделить на две части:
1. Системы менеджмента работающие в передовых фирмах, принадлежащих собственникам из западных стран;
2. СМ имеющиеся в локальных компаниях, принадлежащих собственникам из балтийских стран.

Разница существенная. Читать далее…

ISO9001 – новый вызов

ISO организация предполагает пересматривать свои стандарты в определенный промежуток времени. Хотя, в свое время заявлялся 5-6 летний цикл пересмотра, но в последнее время были, видимо, причины для задержки.
Однако новая структура стандарта ISO9001:2015  отражает современные тенденции в управлении бизнесом.
Первые три части стандарта остаются теми же по названию. Т.е. область применения, ссылки, термины и определения. Концепция последующих глав стандарта значительно усовершенствована.

Часть 3 – Содержание организации (Context of organization ) *

Часть 4 — Лидерство (Leadership)

Часть 5 – Планирование (Planning)

Часть 6 — Поддерживающие процессы (Support)

Часть 7 – Оперативная деятельность (Operation)

Часть 8 – Оценка деятельности (Performance evaluation)

Часть 9 — Улучшение (Improvement)

Стандарт  включает требования к системам менеджмента , такие как риск менеджмент, необходимость оценивать риски, контекст организации включающие  внешние и внутренние факторы , которые влияют на деятельность компании. Переработаны требования к элементу постоянного улучшения систем,  а так же управления субконтрактом и документации.
Новый стандарт  опубликован в сентябре 2016г.

* перевод автора может не совпадать с официальным переводом

http://www.sea.lt