Введение к рассмотрению риска - Школа метрологии

Введение к рассмотрению риска


EUROLAB “Cook Book” – Doc No. 18
Translated into Russian by LLC “Profilab” (with the permission of EUROLAB)

“Поваренная книга” EUROLAB – Документ No. 18
Переведено на русский язык ООО “Профилаб” (с разрешения EUROLAB)


Введение
Настоящая «Поваренная книга» призвана напомнить основные понятия и предоставить простые инструменты и возможности применения «рассмотрения рисков и возможностей» в рамках ISO/IEC 17025:2017.

В новой версии стандарта внимание акцентировано на риск ориентированном подходе и осознании рисков, а также поощряется подход риск ориентированного мышления и разработки схем процессов в лаборатории, хотя ISO 9001:2015 и ISO/IEC 17025:2017 не предусматривают разработку полной системы управления рисками (RMS), соответствующей, например, требованиям ISO 31000.

Рассмотрение рисков и возможностей в лаборатории не новшество. В предыдущей версии ISO/IEC 17025 термин «риск» уже использовался в некоторых разделах, в частности в контексте корректирующих и предупреждающих действий, а также в связи с валидацией методов и введением в концепцию неопределенности измерений. Если лаборатория знает свои риски, она имеет возможность оценить/определить их приоритетность, а также проинформирована о последствиях. Будет легче планировать, как обращаться с рисками и их последствиями. Выявление ошибок или несоответствий на ранней стадии дает лаборатории возможность своевременного реагирования. Могут быть предотвращены финансовые штрафы или другие большие убытки. Основная цель заключается не в минимизации каких-либо рисков, а в фактической оптимизации лабораторией профиля рисков и возможностей, определенных в стратегии лаборатории.

Требования ISO/IEC 17025:2017
Международный стандарт ISO/IEC 17025:2017 в своем введении устанавливает:
Согласно требованиям настоящего стандарта, лаборатория должна планировать и осуществлять действия по управлению рисками и возможностями. Управление рисками и возможностями создает основу для повышения результативности системы менеджмента, достижения лучших результатов и предотвращения негативных последствий. Лаборатория несет ответственность за принятие решения о том, какие риски и возможности необходимо рассматривать.

Лаборатория несет ответственность за принятие решения о том, какие риски и возможности необходимо рассматривать. Однако орган по аккредитации при аккредитации лабораторий оценивает, установила ли лаборатория соответствующие действия в отношении рисков и возможностей

Стандарт явно ссылается на понятие риска в следующих разделах:

  • Предисловие,
  • Введение,
  • Раздел 4.1.4 и 4.1.5 о беспристрастности,
  • Раздел 7.8.6.1 рассматривает риски, связанные с правилами принятия решений, которые используются в отчетах,
  • Раздел 7.10.1 в отношении управления несоответствующей работой,
  • Раздел 8.5 о мерах, которые необходимо предпринять в отношении рисков и возможностей,
  • Раздел 8.6 об улучшениях,
  • Раздел 8.7 о корректирующих действиях,
  • Раздел 8.9 об анализе со стороны руководства.

Раздел 8.5 «Действия, связанные с рисками и возможностями» устанавливает минимальные требования к лабораториям, которые должны быть приняты во внимание. Использовать возможности для улучшения всегда следует в соответствии с целями и задачами деятельности лаборатории.

Обратите внимание на примечание к разделу 8.5.2:

«Хотя в настоящем стандарте указывается, что лаборатория планирует действия в отношении рисков, нет требования к формальным методам управления рисками или документированному процессу управления рисками. Лаборатории могут решить, следует ли разрабатывать более обширную методологию управления рисками, чем это требуется в настоящем стандарте, например, посредством применения других руководств или стандартов»

И наоборот, минимум формализма позволяет лаборатории извлечь выгоду из этого подхода и более эффективно мотивировать применение положений документа, иногда воспринимаемых только как ограничения.

Некоторые слова могут способствовать в рассмотрении соответствующих рисков, чтобы помочь в выполнении требований.

Примеры:

  • достаточный («sufficient» разделы 7.2.1.2, 7.5.1),
  • подходящий («suitable» разделы 6.3.1, 8.3.2),
  • предотвращение («prevent» разделы 5.6.c, 6.3.4, 6.4.3, 6.4.9, 6.4.12, 7.7.3, 8.3.2, 8.5.1.c),
  • обеспечение («ensure» раздел 5.5.c),
  • критический («critical» разделы 7.6.3, 7.8.2.1).

Термины и определения, связанные с понятием риск
В нормативных документах можно найти различные определения термина «риск». Из них свободно выводятся следующие определения.

Риск: то, что делает достижение цели неопределенным.

Уровень риска: выражение важности риска, принимая во внимание последствия ситуаций и их вероятность.

Оценивание риска: сравнение уровня риска с критерием приемлемости.

Обработка риска: возможны многие варианты, которые могут быть объединены: избегание риска, принятие риска с целью воспользоваться возможностью, устранение источника риска, изменение вероятности возникновения или последствий, разделение риска или принятие риска как он есть и информирование о нем.

Остаточный риск: риск, остающийся после обработки риска.

Возможность: событие с потенциальными положительными последствиями для организации.

Как оценить риски в лаборатории?
С целью идентификации рисков полезно рассматривать как внутренний, так и внешний контекст организации (риски, связанные с заказчиками лаборатории, ее поставщиками, а также с конечным заказчиком и другими заинтересованными сторонами).

Методы идентификации рисков варьируются от здравого смысла и мозгового штурма, с использованием предварительно составленных списков для профессионального сектора, до использования стандартов, устанавливающих передовой опыт.

Пример:
SWOT-анализ – это процесс, который выявляет сильные и слабые стороны, возможности и угрозы организации. Его можно использовать для мозгового штурма.

Перечень Сильных сторон
(внутренние положительные факторы)
Перечень Слабых сторон
(внутренние негативные факторы)
Перечень Возможностей
(внешние положительные факторы)
Перечень Угроз
(внешние негативные факторы)

4 поля заполняются соответствующей информацией по степени убывания важности.

Пример:
Руководства по управлению рисками приводят различные подходы.

Ссылаясь на ранее упомянутые разделы ISO 17025, к оценке риска можно подойти, ответив на следующие вопросы:

  • Что может случиться и почему (идентификация рисков)?
  • Какие будут последствия?
  • Какова вероятность возникновения в будущем?
  • Существуют ли какие-либо факторы, которые смягчают последствия риска или уменьшают вероятность риска?

Для правильного обращения с рисками в лаборатории необходимо начать с тщательного анализа рисков, с которыми может столкнуться лаборатория. Цель должна заключаться в предотвращении слабых сторон (недостатков) в деятельности лаборатории.

Влияния и причины анализируются на основе сценария риска. Такая оценка может привести либо к принятию мер, либо к принятию риска как такового. Если принимаются меры, то их эффективность также должна проверяться. Возможно, что риск будет считаться приемлемым без какого-либо смягчения, главным образом, для реализации возможности.

Сценарий риска часто легко определить. Рассмотрение аналогично случаю «предупреждающих мер».

Кроме того, лаборатория может принять решение о внедрении комплексной системы менеджмента рисками и возможностями, как определено в ISO 31000. Для получения более подробной информации см. приложение A.

Когда проводится оценка рисков?
Ответ: всякий раз, когда это необходимо (например, требования заказчика или ISO/IEC 17025) или если это помогает достичь целей системы менеджмента. Оценка может выполняться регулярно или иногда в случае нарушений или изменений в процедурах лаборатории.

В действительности, лаборатории следует «смело смотреть в лицо» рискам (например, риски ее существования, ее беспристрастности, достоверности ее результатов и т. д.), которые могут привести к сбоям, потерям, повреждениям или иным последствиям, и противодействовать им соответствующим образом либо путем создания RMS, либо другими мерами (см. Приложение A для примеров «Кто что делает», «Категории рисков» и «Формы регистрации рисков». Эти меры сверх требований ISO/IEC 17025, но могут быть полезны при создании комплексной системы управления рисками).

Раздел 4.1.4 ISO/IEC 17025 требует идентификации рисков для беспристрастности на постоянной основе. Например, для некоторых сотрудников постоянное управление рисками может быть обеспечено путем самостоятельного декларирования о конфликте интересов. Оно пересматривается раз в год с обязательством обновления при возникновении новой ситуации, влияющей на беспристрастность.

При анализе риска беспристрастности предлагается рассматривать весь процесс, включающий как выполнение операционной деятельности, так и систему менеджмента вместе с организационным контекстом.

Такой анализ должен постоянно обновляться через изучение контекста, заинтересованных сторон и всех организационных и операционных элементов лаборатории с целью идентификации как факторов риска (потенциальных или существующих), так и внутренней и/или внешней деятельности, в которые она непосредственно вовлечена.

Необходимо проверить следующие аспекты:

  • собственность и управление
  • вид предлагаемых услуг и совместно используемые ресурсы
  • наличие и использование финансовых ресурсов
  • управление внешними и внутренними человеческими ресурсами
  • договора
  • ответственность и методы выполнения работ по оформлению, контролю, пересмотру, утверждению и подписанию протоколов испытаний.

Затем проводится оценка критичности выделенных рисков и определяются меры, которые необходимо принять для предотвращения, устранения или сведения к минимуму их последствий.

Применение в более общем контексте

Организация в соответствии со своими потребностями может иметь более или менее подробную политику в отношении рисков. Это может включать управление деятельностью, финансовый менеджмент, безопасность и т. д. Механизмы обновления информации могут быть более или менее проработаны, начиная от управления рисками и заканчивая простой реакцией на сбои.

В следующем примере показан механизм построения предупреждающих мер на основе анализа рисков. Возможны и многие другие подходы.

ПРИЛОЖЕНИЕ А – ПРИМЕР КОМПЛЕКСНОЙ СИСТЕМЫ МЕНЕДЖМЕНТА РИСКА

Чтобы иметь возможность выполнить оценку, следует оценить влияние, вероятность возникновения и вероятность быстрого обнаружения риска (способность к обнаружению).

Будет полезным создать шкалу значений в рамках организации, независимо от ее представления: количественная или качественная, представленная в виде таблицы, графика и т.д.

Оценка риска может проводиться на примере четырехступенчатой системы.

В таблице ниже приведены указания по присвоению уровней вероятности событию, вызывающему риск, и его влиянию на бизнес-программы:

КАЧЕСТВЕННЫЕ МЕРЫ ВЕРОЯТНОСТИ РИСКА (Р)

УРОВЕНЬ
1НИЗКИЙКрайне, маловероятно, событие может произойти, но только в исключительных обстоятельствах. Событие никогда ранее не случалось.
2ВЫШЕ НИЗКОГОСобытие маловероятно, но возможно, что оно произойдет или произойдет повторно. Однако раньше событие происходило редко.
3НИЖЕ ВЫСОКОГОСобытие скорее всего произойдет или произойдет повторно. Раньше это событие уже происходило.
4ВЫСОКИЙПостоянная подверженность риску. Раньше событие всегда происходило часто и регулярно.

КАЧЕСТВЕННЫЕ МЕРЫ ВЛИЯНИЯ РИСКА (I)

УРОВЕНЬ
1НИЗКИЙНикакого влияния или только минимальное влияние на цели и сроки запланированной деятельности.
2ВЫШЕ НИЗКОГОПриемлемые затраты. Ограниченное влияние на цели и сроки запланированной деятельности.
3НИЖЕ ВЫСОКОГОЗначимые финансовые потери. Скорее всего событие повлияет на достижение какой-либо цели программы.
4ВЫСОКИЙКритические финансовые потери. Скорее всего событие повлияет на достижение многих целей программы, если не на успех самой программы.

С (критический коэффициент) = Р × I

Руководство лаборатории должно провести оценку уровня риска и, если риск приемлем, принять решение без проведения каких-либо дальнейших действий.

Самый низкий уровень риска, выделенный зеленым цветом, может быть классифицирован как приемлемый риск, а самый высокий уровень риск, выделенный красным цветом, может потребовать немедленных действий. Желтый цвет будет иметь промежуточные оценки. Риски с низкими оценками из-за низкой вероятности, но с высоким уровнем влияния могут потребовать дополнительного рассмотрения.

КТО ЧТО ДЕЛАЕТ?

КАТЕГОРИИ РИСКА

ECРИСКОПИСАНИЕ
ФИНАНСОВЫЙ Риски, связанные с продолжением бизнеса, вызванные отсутствием финансовой стабильности, которая включает в себя финансовое положение, банковский кредит, возможности взыскания дебета и эффективность торговой деятельности, а также способность поддерживать конкурентоспособные цены на продукцию
PIБЮДЖЕТНаличие и распределение ресурсов.
PIКАПИТАЛОВЛОЖЕНИЯПринятие подходящих инвестиционных решений.
PIМОШЕННИЧЕСТВО ИЛИ КРАЖАНепроизводительные потери ресурсов.
СТРАТЕГИЧЕСКИЙРиски, связанные с выполнением обязательств перед Заказчиком и доминированием на рынке через цепочку поставок, политику снабжения, открытость программ и связанных с ними проблем, реагирование на меняющиеся потребности заказчиков, общие производственные мощности и технологии (плюс потенциал для развития), тип/количество заказчиков, совместные предприятия, распределение доходов и т. д.
Также должны учитываться готовность и способность к выполнению и поддержанию политики безопасности и конфиденциальности.
BEРЫНОККонкуренты и исследования рынка.
BIКОММЕРЧЕСКАЯ РЕКЛАМАМаркетинг и коммуникации, торговая политика, использование возможностей для получения прибыли.
BIИНФРАСТРУКТУРАТранспортные системы, системы энергоснабжения, поставщики, деловые отношения с партнерами, зависимость от интернета и электронной почты и т. д.
BEТЕХНОЛОГИИИспользование технологий для достижения целей.
ПОЛИТИЧЕСКИЙ/ ЭКОНОМИЧЕСКИЙРиски, возникающие в результате национальной/международной торговли, на которые могут повлиять различия в государственной политике и государственной собственности и субсидировании, культурном, языковом и трудовом законодательстве и т. д.
BEЭКОНОМИКАЭкономические факторы, такие как процентные ставки, обменные курсы, инфляция.
BEИМПОРТ/ЭКСПОРТКонтроль импорта и экспорта, пошлины.
ЭТИЧЕСКИЙ/ПРАВОВОЙРиски, связанные с неприменением добросовестной/надлежащей деловой практики, мошенничеством, несоблюдением требований о равных возможностях при трудоустройстве и Законов о детском труде, ответственность перед заказчиками/заинтересованными сторонами/ пользователями, поставщиками/подчиненными и сотрудниками.
Здесь учитываются риски, связанные с тем, как компания воспринимается заказчиками, сотрудниками и широкой общественностью.
BEЗАКОНЫ И НОРМАТИВНЫЕ ДОКУМЕНТЫЗаконы и нормативные документы, соблюдение которых может привести к снижению опасностей.
BIПРЕДСТАВЛЕНИЯОбщественная репутация организации и последствия.
ОКРУЖАЮЩАЯ СРЕДА И ЛЮДИРиски, связанные с разработкой продукта, производством, материалами и технической поддержкой, которые могут неблагоприятно повлиять на окружающую среду и людей.
PIОКРУЖАЮЩАЯ СРЕДАРасход топлива, загрязнение и т.д.
PIЗДОРОВЬЕ И БЕЗОПАСНОСТЬОтносительно благополучия людей, условия труда.
ЧЕЛОВЕЧЕСКИЙ ФАКТОРРиски, связанные с текучестью кадров, имеющимися в распоряжении навыками и обучением, уровнем занятости, взаимоотношениями персонала и опытом управления; желания и отношения между работодателем и работником, а также способность эффективно общаться с поставщиками и заказчиками.
Здесь учитываются человеческие потребности, ожидания, отношения, мотивация, а также антропометрические факторы (физические размеры человека).
PIПЕРСОНАЛНаличие и способность удержать подходящий персонал.
ТЕХНИЧЕСКИЙ/ УПРАВЛЕНЧЕСКИЙРиски, связанные с возможностью доставки в срок, качеством и стоимостью, а также с возможностью увеличения доли рынка, уменьшения сроков выполнения заказов, стоимости, улучшения качества и т. д., а также улучшения/поддержания обслуживания заказчиков.
Способность реагировать на изменения программы и потребностей заказчиков (модификации, графики сборки, поставки и т.д.).
PIПРОЕКТПроцедура планирования и управления проектом.
PIСРОКИСроки выполнения, календарный план работ.
PIЗАКАЗЧИКИПотребности и требования заказчиков.
TIСПЕЦИФИКАЦИИ И ТРЕБОВАНИЯПонимание требований спецификации и верификации, системной спецификации (технического описания системы).
TIТЕХНИКАСложность проекта, управление интерфейсами, оборудование, новые технологии и т. д.
ПЛАНИРОВАНИЕ Включая физические/экологические риски для цепочки поставок как последствия потенциального бедствия, основанного на географическом местоположении, например, потенциальное наводнение, землетрясение, экстремальные изменения климатических условий, на технологиях производства/материалах или последствиях узких мест производства, логистике, средствах обслуживания, ресурсах, доступности первичных материалов, пожаре/взрыве, мятеже и т. д. – все это необходимо учитывать с точки зрения защиты и планирования на случай непредвиденных обстоятельств для цепочки поставок.
Также должны быть рассмотрены вопросы рисков, связанных с планированием производства/логистики поставляемых материалов, включая деятельность по планированию поставщиков на различных уровнях.
PEСТИХИЙНЫЕ БЕДСТВИЯПожар, наводнение, землетрясение.
PIЛОГИСТИКАПланирование производства/логистики поставляемых материалов, включая деятельность по планированию поставщиков на различных уровнях.

ФОРМА РЕГИСТРАЦИИ РИСКОВ

НОМЕР ФОРМЫБуквенно-цифровой код (присваивается карте менеджером по рискам) в следующем виде: RF 000, где «000» — порядковый номер уникального идентификатора формы.
ФОРМА ЗАГОЛОВКАУказывается бизнес-подразделение, выпустившее форму, дату выпуска формы и сторону или стороны бизнеса, к которым относится риск.
ФОРМА УТВЕРЖДЕНИЯПодпись Председателя Совета директоров или его представителя об утверждении.
СОБЫТИЕОписание события, которое может вызвать риск.
ВИД РИСКАУказывается тип заявленного риска в соответствии с процедурами или другими справочными документами.
ЭТАП ПРОЦЕССАУказывается этап процесса, на который влияет заявленный риск, в соответствии с процедурами или другими справочными документами.
ОПИСАНИЕ РИСКАПодробное описание выделенного риска, с указанием как причины, так и влияния на возможность реализации программы/проекта.
НАЧАЛЬНАЯ ВЕРОЯТНОСТЬ (РА)Оценивается вероятность возникновения риска в ситуации и при условиях, существующих на дату выпуска формы, путем присвоения балла от 1 до 5, который увеличивается с увеличением вероятности.
НАЧАЛЬНОЕ ВЛИЯНИЕ (IA)Оценивается влияние, которое риск потенциально может оказать на возможность реализации программы или проекта, с точки зрения затрат, планирования и/или выполнения, в ситуации и при условиях, существующих на дату выпуска формы, путем присвоения балла от 1 до 5, который увеличивается с увеличением степени влияния.
НАЧАЛЬНЫЙ КРИТИЧЕСКИЙ КОЭФФИЦИЕНТ (СА)Начальный показатель критичности риска, основание для определения степени приоритетности риска и как следствие безотлагательности действий по обращению с риском. Определяется путем умножения показателей влияния и вероятности, описанных выше.
ИМЕЮЩИЙСЯ В НАЛИЧИИ КОНТРОЛЬОписание любых процедур и мероприятий, уже имеющихся в наличии в компании на дату выпуска формы, полезных/пригодных для целей контроля рисков, которые могут быть интегрированы и/или пересмотрены и улучшены в плане мероприятий, который предложен в форме.
МЕРЫ ПО УМЕНЬШЕНИЮ РИСКАКраткое описание программы мероприятий, необходимых для устранения риска или его снижения до приемлемого уровня.
Исходя из количества необходимых мероприятий и сложности программы (затраты, вовлеченный персонал, продолжительность и т. д.) план мероприятий может быть оформлен в виде отдельного документа. В этом случае в форме будет указываться только ссылка на номер документа.
ОСТАТОЧНАЯ ВЕРОЯТНОСТЬ (РА)Оценивается вероятность того, что риск возникнет снова после реализации плана мероприятий, путем присвоения балла от 1 до 5, который увеличивается с увеличением вероятности.
ОСТАТОЧНОЕ ВЛИЯНИЕ (IA)Оценивается влияние, которое риск потенциально все еще может оказать на возможность реализации программы или проекта, с точки зрения затрат, планирования и/или выполнения после реализации плана мероприятий, путем присвоения балла от 1 до 5, который увеличивается с увеличением степени влияния.
ОСТАТОЧНЫЙ КРИТИЧЕСКИЙ КОЭФФИЦИЕНТ (СА)Показатель критичности остаточного риска, основание для определения предполагаемой эффективности плана действий.
Определяется путем умножения показателей влияния и вероятности, описанных выше.
ДАТА ВВЕДЕНИЯ В ДЕЙСТВИЕУказываются предполагаемые сроки реализации плана и снижения/устранения рисков.
ДАТА ОБНОВЛЕНИЯУказывается дата, когда риск будет пересмотрен с учетом развития сценария.
МЕНЕДЖЕР ПО РИСКАМЛицо компании, ответственное за разработку и управление планом действий по обращению с риском (менеджер, на которого возложены данные функции, или его/ее представитель).