Введение к рассмотрению риска
EUROLAB “Cook Book” – Doc No. 18
Translated into Russian by LLC “Profilab” (with the permission of EUROLAB)
“Поваренная книга” EUROLAB – Документ No. 18
Переведено на русский язык ООО “Профилаб” (с разрешения EUROLAB)
Введение
Настоящая «Поваренная книга» призвана напомнить основные понятия и предоставить простые инструменты и возможности применения «рассмотрения рисков и возможностей» в рамках ISO/IEC 17025:2017.
В новой версии стандарта внимание акцентировано на риск ориентированном подходе и осознании рисков, а также поощряется подход риск ориентированного мышления и разработки схем процессов в лаборатории, хотя ISO 9001:2015 и ISO/IEC 17025:2017 не предусматривают разработку полной системы управления рисками (RMS), соответствующей, например, требованиям ISO 31000.
Рассмотрение рисков и возможностей в лаборатории не новшество. В предыдущей версии ISO/IEC 17025 термин «риск» уже использовался в некоторых разделах, в частности в контексте корректирующих и предупреждающих действий, а также в связи с валидацией методов и введением в концепцию неопределенности измерений. Если лаборатория знает свои риски, она имеет возможность оценить/определить их приоритетность, а также проинформирована о последствиях. Будет легче планировать, как обращаться с рисками и их последствиями. Выявление ошибок или несоответствий на ранней стадии дает лаборатории возможность своевременного реагирования. Могут быть предотвращены финансовые штрафы или другие большие убытки. Основная цель заключается не в минимизации каких-либо рисков, а в фактической оптимизации лабораторией профиля рисков и возможностей, определенных в стратегии лаборатории.
Требования ISO/IEC 17025:2017
Международный стандарт ISO/IEC 17025:2017 в своем введении устанавливает:
Согласно требованиям настоящего стандарта, лаборатория должна планировать и осуществлять действия по управлению рисками и возможностями. Управление рисками и возможностями создает основу для повышения результативности системы менеджмента, достижения лучших результатов и предотвращения негативных последствий. Лаборатория несет ответственность за принятие решения о том, какие риски и возможности необходимо рассматривать.
Лаборатория несет ответственность за принятие решения о том, какие риски и возможности необходимо рассматривать. Однако орган по аккредитации при аккредитации лабораторий оценивает, установила ли лаборатория соответствующие действия в отношении рисков и возможностей |
Стандарт явно ссылается на понятие риска в следующих разделах:
- Предисловие,
- Введение,
- Раздел 4.1.4 и 4.1.5 о беспристрастности,
- Раздел 7.8.6.1 рассматривает риски, связанные с правилами принятия решений, которые используются в отчетах,
- Раздел 7.10.1 в отношении управления несоответствующей работой,
- Раздел 8.5 о мерах, которые необходимо предпринять в отношении рисков и возможностей,
- Раздел 8.6 об улучшениях,
- Раздел 8.7 о корректирующих действиях,
- Раздел 8.9 об анализе со стороны руководства.
Раздел 8.5 «Действия, связанные с рисками и возможностями» устанавливает минимальные требования к лабораториям, которые должны быть приняты во внимание. Использовать возможности для улучшения всегда следует в соответствии с целями и задачами деятельности лаборатории.
Обратите внимание на примечание к разделу 8.5.2:
«Хотя в настоящем стандарте указывается, что лаборатория планирует действия в отношении рисков, нет требования к формальным методам управления рисками или документированному процессу управления рисками. Лаборатории могут решить, следует ли разрабатывать более обширную методологию управления рисками, чем это требуется в настоящем стандарте, например, посредством применения других руководств или стандартов» |
И наоборот, минимум формализма позволяет лаборатории извлечь выгоду из этого подхода и более эффективно мотивировать применение положений документа, иногда воспринимаемых только как ограничения.
Некоторые слова могут способствовать в рассмотрении соответствующих рисков, чтобы помочь в выполнении требований.
Примеры:
- достаточный («sufficient» разделы 7.2.1.2, 7.5.1),
- подходящий («suitable» разделы 6.3.1, 8.3.2),
- предотвращение («prevent» разделы 5.6.c, 6.3.4, 6.4.3, 6.4.9, 6.4.12, 7.7.3, 8.3.2, 8.5.1.c),
- обеспечение («ensure» раздел 5.5.c),
- критический («critical» разделы 7.6.3, 7.8.2.1).
Термины и определения, связанные с понятием риск
В нормативных документах можно найти различные определения термина «риск». Из них свободно выводятся следующие определения.
Риск: то, что делает достижение цели неопределенным.
Уровень риска: выражение важности риска, принимая во внимание последствия ситуаций и их вероятность.
Оценивание риска: сравнение уровня риска с критерием приемлемости.
Обработка риска: возможны многие варианты, которые могут быть объединены: избегание риска, принятие риска с целью воспользоваться возможностью, устранение источника риска, изменение вероятности возникновения или последствий, разделение риска или принятие риска как он есть и информирование о нем.
Остаточный риск: риск, остающийся после обработки риска.
Возможность: событие с потенциальными положительными последствиями для организации.
Как оценить риски в лаборатории?
С целью идентификации рисков полезно рассматривать как внутренний, так и внешний контекст организации (риски, связанные с заказчиками лаборатории, ее поставщиками, а также с конечным заказчиком и другими заинтересованными сторонами).
Методы идентификации рисков варьируются от здравого смысла и мозгового штурма, с использованием предварительно составленных списков для профессионального сектора, до использования стандартов, устанавливающих передовой опыт.
Пример:
SWOT-анализ – это процесс, который выявляет сильные и слабые стороны, возможности и угрозы организации. Его можно использовать для мозгового штурма.
Перечень Сильных сторон (внутренние положительные факторы) | Перечень Слабых сторон (внутренние негативные факторы) |
Перечень Возможностей (внешние положительные факторы) | Перечень Угроз (внешние негативные факторы) |
4 поля заполняются соответствующей информацией по степени убывания важности.
Пример:
Руководства по управлению рисками приводят различные подходы.
Ссылаясь на ранее упомянутые разделы ISO 17025, к оценке риска можно подойти, ответив на следующие вопросы:
- Что может случиться и почему (идентификация рисков)?
- Какие будут последствия?
- Какова вероятность возникновения в будущем?
- Существуют ли какие-либо факторы, которые смягчают последствия риска или уменьшают вероятность риска?
Для правильного обращения с рисками в лаборатории необходимо начать с тщательного анализа рисков, с которыми может столкнуться лаборатория. Цель должна заключаться в предотвращении слабых сторон (недостатков) в деятельности лаборатории.
Влияния и причины анализируются на основе сценария риска. Такая оценка может привести либо к принятию мер, либо к принятию риска как такового. Если принимаются меры, то их эффективность также должна проверяться. Возможно, что риск будет считаться приемлемым без какого-либо смягчения, главным образом, для реализации возможности.
Сценарий риска часто легко определить. Рассмотрение аналогично случаю «предупреждающих мер».
Кроме того, лаборатория может принять решение о внедрении комплексной системы менеджмента рисками и возможностями, как определено в ISO 31000. Для получения более подробной информации см. приложение A.
Когда проводится оценка рисков?
Ответ: всякий раз, когда это необходимо (например, требования заказчика или ISO/IEC 17025) или если это помогает достичь целей системы менеджмента. Оценка может выполняться регулярно или иногда в случае нарушений или изменений в процедурах лаборатории.
В действительности, лаборатории следует «смело смотреть в лицо» рискам (например, риски ее существования, ее беспристрастности, достоверности ее результатов и т. д.), которые могут привести к сбоям, потерям, повреждениям или иным последствиям, и противодействовать им соответствующим образом либо путем создания RMS, либо другими мерами (см. Приложение A для примеров «Кто что делает», «Категории рисков» и «Формы регистрации рисков». Эти меры сверх требований ISO/IEC 17025, но могут быть полезны при создании комплексной системы управления рисками).
Раздел 4.1.4 ISO/IEC 17025 требует идентификации рисков для беспристрастности на постоянной основе. Например, для некоторых сотрудников постоянное управление рисками может быть обеспечено путем самостоятельного декларирования о конфликте интересов. Оно пересматривается раз в год с обязательством обновления при возникновении новой ситуации, влияющей на беспристрастность.
При анализе риска беспристрастности предлагается рассматривать весь процесс, включающий как выполнение операционной деятельности, так и систему менеджмента вместе с организационным контекстом.
Такой анализ должен постоянно обновляться через изучение контекста, заинтересованных сторон и всех организационных и операционных элементов лаборатории с целью идентификации как факторов риска (потенциальных или существующих), так и внутренней и/или внешней деятельности, в которые она непосредственно вовлечена.
Необходимо проверить следующие аспекты:
- собственность и управление
- вид предлагаемых услуг и совместно используемые ресурсы
- наличие и использование финансовых ресурсов
- управление внешними и внутренними человеческими ресурсами
- договора
- ответственность и методы выполнения работ по оформлению, контролю, пересмотру, утверждению и подписанию протоколов испытаний.
Затем проводится оценка критичности выделенных рисков и определяются меры, которые необходимо принять для предотвращения, устранения или сведения к минимуму их последствий.
Применение в более общем контексте
Организация в соответствии со своими потребностями может иметь более или менее подробную политику в отношении рисков. Это может включать управление деятельностью, финансовый менеджмент, безопасность и т. д. Механизмы обновления информации могут быть более или менее проработаны, начиная от управления рисками и заканчивая простой реакцией на сбои.
В следующем примере показан механизм построения предупреждающих мер на основе анализа рисков. Возможны и многие другие подходы.
ПРИЛОЖЕНИЕ А – ПРИМЕР КОМПЛЕКСНОЙ СИСТЕМЫ МЕНЕДЖМЕНТА РИСКА
Чтобы иметь возможность выполнить оценку, следует оценить влияние, вероятность возникновения и вероятность быстрого обнаружения риска (способность к обнаружению).
Будет полезным создать шкалу значений в рамках организации, независимо от ее представления: количественная или качественная, представленная в виде таблицы, графика и т.д.
Оценка риска может проводиться на примере четырехступенчатой системы.
В таблице ниже приведены указания по присвоению уровней вероятности событию, вызывающему риск, и его влиянию на бизнес-программы:
КАЧЕСТВЕННЫЕ МЕРЫ ВЕРОЯТНОСТИ РИСКА (Р)
УРОВЕНЬ | ||
1 | НИЗКИЙ | Крайне, маловероятно, событие может произойти, но только в исключительных обстоятельствах. Событие никогда ранее не случалось. |
2 | ВЫШЕ НИЗКОГО | Событие маловероятно, но возможно, что оно произойдет или произойдет повторно. Однако раньше событие происходило редко. |
3 | НИЖЕ ВЫСОКОГО | Событие скорее всего произойдет или произойдет повторно. Раньше это событие уже происходило. |
4 | ВЫСОКИЙ | Постоянная подверженность риску. Раньше событие всегда происходило часто и регулярно. |
КАЧЕСТВЕННЫЕ МЕРЫ ВЛИЯНИЯ РИСКА (I)
УРОВЕНЬ | ||
1 | НИЗКИЙ | Никакого влияния или только минимальное влияние на цели и сроки запланированной деятельности. |
2 | ВЫШЕ НИЗКОГО | Приемлемые затраты. Ограниченное влияние на цели и сроки запланированной деятельности. |
3 | НИЖЕ ВЫСОКОГО | Значимые финансовые потери. Скорее всего событие повлияет на достижение какой-либо цели программы. |
4 | ВЫСОКИЙ | Критические финансовые потери. Скорее всего событие повлияет на достижение многих целей программы, если не на успех самой программы. |
С (критический коэффициент) = Р × I
Руководство лаборатории должно провести оценку уровня риска и, если риск приемлем, принять решение без проведения каких-либо дальнейших действий.
Самый низкий уровень риска, выделенный зеленым цветом, может быть классифицирован как приемлемый риск, а самый высокий уровень риск, выделенный красным цветом, может потребовать немедленных действий. Желтый цвет будет иметь промежуточные оценки. Риски с низкими оценками из-за низкой вероятности, но с высоким уровнем влияния могут потребовать дополнительного рассмотрения.
КТО ЧТО ДЕЛАЕТ?
КАТЕГОРИИ РИСКА
E | C | РИСК | ОПИСАНИЕ |
ФИНАНСОВЫЙ | Риски, связанные с продолжением бизнеса, вызванные отсутствием финансовой стабильности, которая включает в себя финансовое положение, банковский кредит, возможности взыскания дебета и эффективность торговой деятельности, а также способность поддерживать конкурентоспособные цены на продукцию | ||
P | I | БЮДЖЕТ | Наличие и распределение ресурсов. |
P | I | КАПИТАЛОВЛОЖЕНИЯ | Принятие подходящих инвестиционных решений. |
P | I | МОШЕННИЧЕСТВО ИЛИ КРАЖА | Непроизводительные потери ресурсов. |
СТРАТЕГИЧЕСКИЙ | Риски, связанные с выполнением обязательств перед Заказчиком и доминированием на рынке через цепочку поставок, политику снабжения, открытость программ и связанных с ними проблем, реагирование на меняющиеся потребности заказчиков, общие производственные мощности и технологии (плюс потенциал для развития), тип/количество заказчиков, совместные предприятия, распределение доходов и т. д. Также должны учитываться готовность и способность к выполнению и поддержанию политики безопасности и конфиденциальности. | ||
B | E | РЫНОК | Конкуренты и исследования рынка. |
B | I | КОММЕРЧЕСКАЯ РЕКЛАМА | Маркетинг и коммуникации, торговая политика, использование возможностей для получения прибыли. |
B | I | ИНФРАСТРУКТУРА | Транспортные системы, системы энергоснабжения, поставщики, деловые отношения с партнерами, зависимость от интернета и электронной почты и т. д. |
B | E | ТЕХНОЛОГИИ | Использование технологий для достижения целей. |
ПОЛИТИЧЕСКИЙ/ ЭКОНОМИЧЕСКИЙ | Риски, возникающие в результате национальной/международной торговли, на которые могут повлиять различия в государственной политике и государственной собственности и субсидировании, культурном, языковом и трудовом законодательстве и т. д. | ||
B | E | ЭКОНОМИКА | Экономические факторы, такие как процентные ставки, обменные курсы, инфляция. |
B | E | ИМПОРТ/ЭКСПОРТ | Контроль импорта и экспорта, пошлины. |
ЭТИЧЕСКИЙ/ПРАВОВОЙ | Риски, связанные с неприменением добросовестной/надлежащей деловой практики, мошенничеством, несоблюдением требований о равных возможностях при трудоустройстве и Законов о детском труде, ответственность перед заказчиками/заинтересованными сторонами/ пользователями, поставщиками/подчиненными и сотрудниками. Здесь учитываются риски, связанные с тем, как компания воспринимается заказчиками, сотрудниками и широкой общественностью. | ||
B | E | ЗАКОНЫ И НОРМАТИВНЫЕ ДОКУМЕНТЫ | Законы и нормативные документы, соблюдение которых может привести к снижению опасностей. |
B | I | ПРЕДСТАВЛЕНИЯ | Общественная репутация организации и последствия. |
ОКРУЖАЮЩАЯ СРЕДА И ЛЮДИ | Риски, связанные с разработкой продукта, производством, материалами и технической поддержкой, которые могут неблагоприятно повлиять на окружающую среду и людей. | ||
P | I | ОКРУЖАЮЩАЯ СРЕДА | Расход топлива, загрязнение и т.д. |
P | I | ЗДОРОВЬЕ И БЕЗОПАСНОСТЬ | Относительно благополучия людей, условия труда. |
ЧЕЛОВЕЧЕСКИЙ ФАКТОР | Риски, связанные с текучестью кадров, имеющимися в распоряжении навыками и обучением, уровнем занятости, взаимоотношениями персонала и опытом управления; желания и отношения между работодателем и работником, а также способность эффективно общаться с поставщиками и заказчиками. Здесь учитываются человеческие потребности, ожидания, отношения, мотивация, а также антропометрические факторы (физические размеры человека). | ||
P | I | ПЕРСОНАЛ | Наличие и способность удержать подходящий персонал. |
ТЕХНИЧЕСКИЙ/ УПРАВЛЕНЧЕСКИЙ | Риски, связанные с возможностью доставки в срок, качеством и стоимостью, а также с возможностью увеличения доли рынка, уменьшения сроков выполнения заказов, стоимости, улучшения качества и т. д., а также улучшения/поддержания обслуживания заказчиков. Способность реагировать на изменения программы и потребностей заказчиков (модификации, графики сборки, поставки и т.д.). | ||
P | I | ПРОЕКТ | Процедура планирования и управления проектом. |
P | I | СРОКИ | Сроки выполнения, календарный план работ. |
P | I | ЗАКАЗЧИКИ | Потребности и требования заказчиков. |
T | I | СПЕЦИФИКАЦИИ И ТРЕБОВАНИЯ | Понимание требований спецификации и верификации, системной спецификации (технического описания системы). |
T | I | ТЕХНИКА | Сложность проекта, управление интерфейсами, оборудование, новые технологии и т. д. |
ПЛАНИРОВАНИЕ | Включая физические/экологические риски для цепочки поставок как последствия потенциального бедствия, основанного на географическом местоположении, например, потенциальное наводнение, землетрясение, экстремальные изменения климатических условий, на технологиях производства/материалах или последствиях узких мест производства, логистике, средствах обслуживания, ресурсах, доступности первичных материалов, пожаре/взрыве, мятеже и т. д. – все это необходимо учитывать с точки зрения защиты и планирования на случай непредвиденных обстоятельств для цепочки поставок. Также должны быть рассмотрены вопросы рисков, связанных с планированием производства/логистики поставляемых материалов, включая деятельность по планированию поставщиков на различных уровнях. | ||
P | E | СТИХИЙНЫЕ БЕДСТВИЯ | Пожар, наводнение, землетрясение. |
P | I | ЛОГИСТИКА | Планирование производства/логистики поставляемых материалов, включая деятельность по планированию поставщиков на различных уровнях. |
ФОРМА РЕГИСТРАЦИИ РИСКОВ
НОМЕР ФОРМЫ | Буквенно-цифровой код (присваивается карте менеджером по рискам) в следующем виде: RF 000, где «000» — порядковый номер уникального идентификатора формы. |
ФОРМА ЗАГОЛОВКА | Указывается бизнес-подразделение, выпустившее форму, дату выпуска формы и сторону или стороны бизнеса, к которым относится риск. |
ФОРМА УТВЕРЖДЕНИЯ | Подпись Председателя Совета директоров или его представителя об утверждении. |
СОБЫТИЕ | Описание события, которое может вызвать риск. |
ВИД РИСКА | Указывается тип заявленного риска в соответствии с процедурами или другими справочными документами. |
ЭТАП ПРОЦЕССА | Указывается этап процесса, на который влияет заявленный риск, в соответствии с процедурами или другими справочными документами. |
ОПИСАНИЕ РИСКА | Подробное описание выделенного риска, с указанием как причины, так и влияния на возможность реализации программы/проекта. |
НАЧАЛЬНАЯ ВЕРОЯТНОСТЬ (РА) | Оценивается вероятность возникновения риска в ситуации и при условиях, существующих на дату выпуска формы, путем присвоения балла от 1 до 5, который увеличивается с увеличением вероятности. |
НАЧАЛЬНОЕ ВЛИЯНИЕ (IA) | Оценивается влияние, которое риск потенциально может оказать на возможность реализации программы или проекта, с точки зрения затрат, планирования и/или выполнения, в ситуации и при условиях, существующих на дату выпуска формы, путем присвоения балла от 1 до 5, который увеличивается с увеличением степени влияния. |
НАЧАЛЬНЫЙ КРИТИЧЕСКИЙ КОЭФФИЦИЕНТ (СА) | Начальный показатель критичности риска, основание для определения степени приоритетности риска и как следствие безотлагательности действий по обращению с риском. Определяется путем умножения показателей влияния и вероятности, описанных выше. |
ИМЕЮЩИЙСЯ В НАЛИЧИИ КОНТРОЛЬ | Описание любых процедур и мероприятий, уже имеющихся в наличии в компании на дату выпуска формы, полезных/пригодных для целей контроля рисков, которые могут быть интегрированы и/или пересмотрены и улучшены в плане мероприятий, который предложен в форме. |
МЕРЫ ПО УМЕНЬШЕНИЮ РИСКА | Краткое описание программы мероприятий, необходимых для устранения риска или его снижения до приемлемого уровня. Исходя из количества необходимых мероприятий и сложности программы (затраты, вовлеченный персонал, продолжительность и т. д.) план мероприятий может быть оформлен в виде отдельного документа. В этом случае в форме будет указываться только ссылка на номер документа. |
ОСТАТОЧНАЯ ВЕРОЯТНОСТЬ (РА) | Оценивается вероятность того, что риск возникнет снова после реализации плана мероприятий, путем присвоения балла от 1 до 5, который увеличивается с увеличением вероятности. |
ОСТАТОЧНОЕ ВЛИЯНИЕ (IA) | Оценивается влияние, которое риск потенциально все еще может оказать на возможность реализации программы или проекта, с точки зрения затрат, планирования и/или выполнения после реализации плана мероприятий, путем присвоения балла от 1 до 5, который увеличивается с увеличением степени влияния. |
ОСТАТОЧНЫЙ КРИТИЧЕСКИЙ КОЭФФИЦИЕНТ (СА) | Показатель критичности остаточного риска, основание для определения предполагаемой эффективности плана действий. Определяется путем умножения показателей влияния и вероятности, описанных выше. |
ДАТА ВВЕДЕНИЯ В ДЕЙСТВИЕ | Указываются предполагаемые сроки реализации плана и снижения/устранения рисков. |
ДАТА ОБНОВЛЕНИЯ | Указывается дата, когда риск будет пересмотрен с учетом развития сценария. |
МЕНЕДЖЕР ПО РИСКАМ | Лицо компании, ответственное за разработку и управление планом действий по обращению с риском (менеджер, на которого возложены данные функции, или его/ее представитель). |