Применение ISO 31000 в СМК


Те, кто впервые приступает к работе с рисками или имеет недостаточно знаний и опыта этой области, могут иметь немало вопросов относительно нового требования в ISO 9001:2015 по применению риск ориентированного мышления. Многие признаются, что даже не имеют понятия, с чего начать для реализации данного требования.

В этом случае хорошим решением является использовать принципы и общие указания по управлению рисками, изложенные в стандарте ISO 31000, на который ссылается ISO 9001:2015. 

Предназначение стандарта ISO 31000

В стандарте ISO 31000 изложен общий подход к управлению любой формой риска на систематической, прозрачной и надежной основе для любой области деятельности и любого контекста. Этот стандарт подходит каждой организации, независимо от ее размера и формы собственности.

Стандарт ISO 31000 может применяться на протяжении всего периода деятельности организации, а также к различным видам ее деятельности. Его можно применять ко всем рискам, независимо от их характера, происхождения и последствий (позитивных или негативных).

Несмотря на то, что ISO 31000 предлагает общий подход к управлению рисками, целью стандарта не является приведение к единообразию риск-менеджмента во всех организациях. Каждая организация должна учитывать свои потребности, цели, контекст, структуру, процессы, проекты, продукцию, услуги и активы, а также сложившуюся практику.

Одно из предназначений ISO 31000 - обеспечение согласованности процессов управления рисками в существующих и будущих стандартах. Он может применяться наряду с другими стандартами, в которых говорится о специфичных рисках или рисковых сферах, в качестве вспомогательного средства при разработке процесса управления рисками, не заменяя данные стандарты.

Стандарт ISO 31000 не предназначен для целей сертификации.

Различие подходов к управлению рисками в ISO 31000 и ISO 9001:2015

Применяя наряду с ISO 9001:2015 стандарт ISO 31000:2009, организациям следует учитывать небольшое различие в их видении управления рисками. Данное различие обусловлено, в первую очередь, основными целями этих стандартов. Стандарт ISO 9001:2015 устанавливает требования к системам менеджмента качества (СМК), а ISO 31000:2009 - принципы и общие руководства по управлению рисками (RM).

Международный стандарт ISO 9001:2015 говорит о рисках и возможностях, связанных с контекстом и целями организации, имеющими отношение к СМК. Стандарт ISO 31000:2009 направлен на управление любыми рисками и предполагает выполнение оценки риска, которая состоит из определения рисков, анализа и оценки рисков.

В ISO 9001:2015 предлагается следующий подход к управлению рисками:

  • Пункт 4 «Контекст организации» - Организация должна определить свои процессы СМК и принимать решения в отношении рисков и возможностей.
  • Пункте 5 «Лидерство» – От топ менеджмента требуется:
    1. Содействие осведомленности о риск ориентированном мышлении;
    2. Определить риски и возможности, которые могут влиять на соответствие продукции/услуг.
  • Пункт 6 «Планирование» - Организация обязана определять риски и возможности, связанные с осуществлением СМК, и принять соответствующие меры в отношении возможностей и устранения рисков. 
  • Пункт 7 «Поддержка» - Организация должна определить и обеспечить необходимые ресурсы.
  • Пункт 8 «Деятельность» - Организация обязана управлять своими оперативными процессами.
  • Пункт 9 «Оценка показателей деятельности» - Организации обязаны отслеживать, измерять, анализировать и оценивать эффективность мер, принятых в отношении возможностей и устранения рисков.
  • Пункт 10 «Улучшение» - Организация обязана исправить, предотвратить или уменьшить негативные последствия, улучшить СМК и обновить риски и возможности.

Стандарт ISO 31000 имеет немного другой, более подробный, подход к управлению рисками. Он описывает процесс управления рисками в деталях и устанавливает некоторые принципы, позволяющие повысить эффективность управления рисками.

Также ISO 31000 предлагает организациям общую концепцию управления рисками, описывает необходимые компоненты концепции и их взаимодействие. Цель этой концепции – не предписание разрабатывать систему менеджмента, а помощь организациям в процессе интеграции управления рисками в общую систему менеджмента. Поэтому организации должны адаптировать компоненты концепции с учетом своих потребностей.

Сходства в подходах ISO 31000 и ISO 9001:2015 к управлению рисками

Главное сходство в подходе обоих стандартов к управлению рисками заключается в том, что в каждом из них риск определяется как "эффект неопределенности (положительный или отрицательный)". При этом неопределенностью считается состояние даже частичного недостатка информации, связанной с пониманием или знанием о события, его последствий и/или вероятности.

Кроме того, оба стандарта говорят о том, что задачи по управлению рисками, должны устанавливаться и выполняться на различных уровнях организации.

Несмотря на небольшие различия в подходах ISO 31000 и ISO 9001:2015, для реализации возможностей и предотвращения или минимизации рисков с негативными последствиями в организациях лучше использовать оба этих стандарта.