Внедрение риск-менеджмента в систему управления качеством предприятия Текст научной статьи по специальности «Экономика и бизнес»

Lola Faritovna Popova, Лола Фаритовна Попова,

PhD in Economics, кандидат экономических наук,

associate professor of the department of management, доцент кафедры менеджмента,

Saratov socio-economic institute (branch) Саратовский социально-экономический институт (филиал)

of Plekhanov Russian University of Economics РЭУ им. Г.В.Плеханова

УДК 338.24 lolafarit@rambler.ru

ВНЕДРЕНИЕ РИСК-МЕНЕДЖМЕНТА В СИСТЕМУ УПРАВЛЕНИЯ КАЧЕСТВОМ ПРЕДПРИЯТИЯ*

В статье рассматривается вопрос внедрения риск-менеджмента в систему менеджмента качества предприятия. Выделена роль управления рисками в процессном подходе управления. Представлены рекомендации по реализации концепции риск-менеджмента в системе менеджмента качества предприятия, основанные на изучении стандартов ИСО, документов американского Института управления проектами и министерства государственной торговли Великобритании. Подчеркивается роль управления возможностями в риск-менеджменте, уточняется определение возможностей системы менеджмента качества. Представлены инструменты анализа, используемые на разных стадиях реализации риск-менеджмента. Выделены основные положения реестра рисков, необходимые при регламентации процесса риск-менеджмента. Рассмотрено применение базового инструмента риск-менеджмента - матрицы вероятности возникновения и масштабов воздействия рисков. Приведены примеры критериев оценки вероятности возникновения риска. Представленный в статье материал может использоваться специалистами в области управления качеством и риск-менеджмента.

Ключевые слова: риски, риск-менеджмент, управление рисками, риск-ориентированное мышление, система менеджмента качества, СМК, процессы.

INTRODUCTION OF RISK MANAGEMENT INTO THE QUALITY MANAGEMENT SYSTEM OF ENTERPRISES

The article considers the challenges of introducing risk management into the quality management system. The role of risk management in the process approach to management is identified. The author presents recommendations on the implementation of the concept of risk management in the quality management system based on the study of ISO standards, documents of the American Academy of Project Management and the Minister of the State for Trade of the UK. The role of opportunity management in risk management is emphasized; opportunities provided by the quality management system are specified. The author discusses analytical tools used at different stages of risk management, identifies main provisions of the risk register necessary for the regulation of the risk management process, and considers the importance of the basic tool of risk management that is probability of occurrence matrix and impact matrix. Examples of criteria for assessing the probability of risk occurrence are given. The research presented in the article can be used by experts in the field of quality management and risk management.

Keywords: risks, risk management, risk control, risk-oriented thinking, quality management system, QMS, processes.

Современные предприятия функционируют в среде высокой неопределенности. Успех организации все больше зависит от ее способностей обеспечивать превентивное управление. Неопределенность всегда окружает предприятие. Ее источником является как внутренняя, так и внешняя среда. Неопределенность порождает события, наступление которых может иметь как негативное, так и позитивное влияние на предприятие. Задача менеджеров заключается в устранении или минимизации угроз для достижения целей, а также в распознании и использовании возможностей, приносящих потенциальную выгоду для предприятия.

Повышая требования к применению процессного управления в системе менеджмента качества (СМК) предприятий [9, с. 453], стандарт ИСО 9001-2015 фокусирует внимание менеджеров на необходимости развития риск-ориентированного мышления. Риск-менеджмент становится частью системы управления

процессами основанного на цикле непрерывного совершенствования РОСА (рис. 1).

Управление рисками способствует достижению запланированных результатов и предотвращению не-желаемых. Стандарт ИСО 9001-2015 не определяет конкретные требования к организации риск-менеджмента на предприятиях. Для многих отечественных предприятий такие расплывчатые формулировки создают сложности для полноценного внедрения концепции.

Как показал наш опыт, большие трудности реализации риск-ориентированного мышления возникают у предприятий оборонно-промышленного комплекса (ОПК). Большинство предприятий ОПК Саратовской области ранее не формализовывали процесс управления рисками. На данных предприятиях уделяется внимание только финансовым рискам. Предстоящие изменения военного стандарта ГОСТ РВ 0015-0022012 в соответствии с новыми положениями ИСО 9001

* Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 17-32-01018.

Рис. 1. Процессный подход управления на основе цикла РРСД и риск-ориентированного мышления

делают проблему внедрения риск-ориентированного мышления на предприятиях ОПК крайне актуальной. Многие специалисты в области качества, а также руководители подразделений предприятий уже озадачены внедрением риск-менеджмента.

Сама формулировка «риск-ориентированное мышление» и отсутствие описания методологии его внедрения в стандарте ИСО 9001 вызывает множество спорных вопросов. Новые требования стандарта ИСО 9001 могут быть реализованы на практике только при использовании комплексного подхода к управлению рисками.

В данной статье представлены рекомендации по внедрению риск-менеджмента в СМК предприятий в соответствии с требованиями ИСО 9001-2015 на основе таких международных документов, как:

- Управление рисками: руководство для практиков (печатное издание Министерства государственной торговли (OGC) Великобритании, 2010 год) [13];

- Практический стандарт управления рисками проектов (стандарт Института управления проектами(РМ1), США, 2009) [14];

- ISO 31000 - 2009. Риск-менеджмент - Принципы и руководство;

- ISO 31010:2009. Менеджмент риска. Методы оценки риска.

Выделенные стандарты ISO дают краткое представление о всех аспектах риск-менеджмента. Наиболее полно отражают методологию управления рисками Руководство по рискам OGC и Стандарт управления рисками PMI.

Основными требованиями стандарта ИСО 90012015 по внедрению риск-ориентированного мышления являются:

1. Риски следует рассматривать с двух позиций: угрозы и возможности.

2. Необходимо идентифицировать риски, касающиеся:

- внешних и внутренних факторов (ИСО 9001-2015, п.4.1);

- внешних и внутренних заинтересованных сторон (ИСО 9001-2015, п. 4.2);

- соответствия продукции и услуг и способности повышать удовлетворенность потребителей (ИСО 9001-2015, п. 5.1.2);

- планирования (ИСО 9001-2015, п. 6.1.2).

3. Организация должна планировать действия по рассмотрению рисков и возможностей, интегрируя и внедряя их в процессы СМК ( ИСО 9001-2015, п. 6.1.2).

4. Организация должна актуализировать риски и возможности, определенные в ходе планирования, при необходимости при появлении несоответствий, в том числе связанных с претензиями (ИСО 9001-2015, п.10.2.1).

5. Организация должна анализировать и оценивать результативность действий, предпринятых в отношении рисков и возможностей (ИСО 9001-2015, 9.1.3).

6. Анализ со стороны руководства должен включать в себя рассмотрение результативности действий, предпринятых в отношении рисков и возможностей (ИСО 9001-2015, 9.3.2).

Внедрение риск-менеджмента в системе менеджмента качества предприятия позволит удовлетворить данные требования стандарта.

Рассмотрим содержание термина «риск». Риск представляет неопределенное событие или несколько событий, которое в случае наступления может повлиять на достижение целей. Стандартом PMI уточняется, что риск - это неопределенное событие или условие, которое в случае наступления может иметь позитивное или негативное влияние на цели.

На практике предприятия, в частности оборонной отрасли, почти не уделяют внимания риск-событиям позитивного влияния, не проводят анализ результативности предпринятых ответных действий по отношению к ним. Управление негативными риск-событиями в большинстве случаев отражает борьбу предприятия с имеющимися проблемами. С позиции риск-менеджмента важны способности предприятии в распознавании вероятностных событий, влияющих на качество работы и достижение поставленных целей. Руководство по рискам OGC и Стандарт управления рисками PMI делают акцент на управление обоими видами рисков, как с позитивным, так и негативным влиянием. Такой подход отражает комплексность управления рисками. Предприятия смогут обеспечивать устойчивое развитие , одновременно управляя возможностями и угрозами [8, с. 89].

Стандарт ISO 9001-2015 крайне расплывчато дает представление об управлении возможностями. В нем отсутствует определение термина «возможность».

♦

♦

Таблица 1

Этапы реализации риск-менеджмента

Стандарт/ руководство Этапы риск-менеджмента

ГОСТ Р ИСО 31000-2010 / ISO 31000-2009 «Риск-менеджмент - Принципы и руководство» 1. Определение ситуации (контекста) 2. Идентификации риска 3. Анализ риска 4. Оценивание риска 5. Воздействие на риск 6. Мониторинг и пересмотр 7. Обмен информацией и консультирование

Управление рисками: руководство для практиков, Министерство государственной торговли (OGC), Великобритания, 2010 г. 1. Идентификация 1.1. Идентификация контекста 1.2. Идентификация рисков 2. Оценка рисков 2.1. Анализ рисков 2.2. Оценка воздействия рисков 3. Планирование действий в ответ на выявленные угрозы и возможности 4. Осуществление действий

Практический стандарт управления рисками проектов, Институт управления проектами (PMI), США, 2009 г. 1. Планирование риск-менеджмента 2. Идентификация рисков 3. Количественный анализ рисков 4. Качественный анализ рисков 5. Планирование ответных действий по отношению к риску 6. Мониторинг и контроль рисков

В документе ISO TC/176/SC2 «Риск-ориентированное мышление» отмечено, что возможность - это не риск с положительными последствиями, комплекс обстоятельств, которые делают что-то возможным. В свою очередь, в Руководстве по рискам OGC и Стандарте PMI выделяют возможности с позиции рисков с позитивным влиянием. Неточные формулировки стандарта ИСО 9001-2015 не дают полного представления о содержании категория «возможность».

Мы считаем, что возможности системы менеджмента качества следует рассматривать как благоприятные условия, отражающие позитивные обстоятельства и события, для реализации целей в области качества. Возможности СМК - это риски, которые в случае их наступления будут иметь позитивное влияние на цели системы менеджмента качества. В условиях неопределенности успех предприятия зависит от его способности своевременно распознавать и использовать возможности окружающей среды [12, с. 126]. Риски с негативным влиянием представляют угрозы, а с позитивным - возможности. По нашему мнению, восприятие менеджерами рисков с такой позиции обеспечит комплексный подход к управлению ими.

Риск-менеджмент заключается в идентификации, анализе рисков, выработке ответных действий, их мониторинге и контроле. Главная задача управления рисками состоит в увеличении вероятности и влиянии позитивных событий, а также уменьшении вероятности и влияния событий, негативно влияющих на цели [14, с. 41].

Процесс управления рисками представляет собой последовательность конкретных действий ( этапов), их содержание практически не отличается в разных подходах. В табл. 1 выделены подходы к идентификации этапов управления рисками.

Одним из первых этапов риск-менеджмента является изучение контекста и идентификация рисков.

Управление процессами СМК включает изучение факторов, оказывающих на него воздействие и являющихся источником возникновения рисков [3, с. 90]. Внедрение риск-менеджмента позволит добиваться желаемых результатов процессов, снижая вероятность получения нежелаемых итогов, обеспечивая стабильность процессов [7, с. 118].

При выявлении рисков процессов СМК важно изучить все возможные источники их возникновения [2, с. 111]. На рис. 2 выделены основные компоненты среды процесса СМК, которые могут быть источниками рисков и оказывать влияние на достижение целей процесса.

Рис. 2. Среда процесса СМК как источник возникновения рисков

При анализе факторов внешней среды предприятия, представляющих угрозу или возможности для достижения целей в области качества и предприятия в целом, следует использовать такие методы исследования, как анализ стейкхолдеров, РЕЭТ1_Е-анализ, SWOT-анализ, изучение перспектив [11, с. 117].

Идентификация рисков потребует применения контрольных списков, причинно-следственных диаграмм, групповых методы обсуждения, анкетирования, анализа допущений и ограничений и других методов.

При анализе рисков следует определить их категории и подкатегории. Иерархическая структура рисков

позволит провести их обобщенный анализ. Также классификатор направит специалистов на анализ различных источников возникновения рисков. Результатом идентификации рисков является их регистрация в соответствующем реестре.

Следующим этапом является оценка рисков, которая включает количественный и качественный их анализ. Имеют высокое значение такие факторы, как вероятность возникновения рисков, их влияние, приближенность и ожидаемая цена наступления риск-события. Для анализа рисков существует множество методов, многие из которых рассмотрены в стандарте ISO 31010:2009.

Риски можно измерить комбинацией двух переменных: 1) вероятность возникновения событий, которые могут оказать негативное или положительное воздействие на предприятие; 2) величина последствий

(масштабы влияния) возможных событий. В большинстве методик по анализу рисков используются количественные оценки этих двух переменных. Присваиваемые баллы вероятности возникновения и масштабов влияния рисков размещаются на соответствующей матрице (рис. 3).

Матрица вероятности возникновения и масштабов воздействия рисков отражает уровень приемлемости рисков. Каждая компания должна определить допустимый уровень рисков, отражающий ее риск-аппетит. Допустимый риск предполагает приемлемый уровень отклонения от поставленной цели в случае возникновения события.

Каждое предприятие самостоятельно выбирает критерии оценки риска. В качестве примера представлены варианты числовых эквивалентов оценки вероятности возникновения риска (табл. 2).

Таблица 2

Примеры оценки вероятности возникновения риска

Шкала оценки вероятности возникновения риска / баллы Числовой эквивалент вероятности возникновения риска Описание

Пример 1 Пример 2

Очень высокая 5 Меньше одного шанса из 100 >75% Почти наверняка произойдет

Высокая 4 Меньше одного шанса из 1000 51-75% Скорее произойдет, чем нет

Умеренная 3 Меньше одного шанса из 10 000 26-50% Весьма вероятно, что произойдет

Относительно низкая 2 Меньше одного шанса из 100 000 6-25% Скорее не произойдет

Низкая 1 Меньше одного шанса из 1 000 000 0-5% Чрезвычайно маловероятно или практически невозможно

Незначительное Значительное Критическое Катастрофическое

(2) (3) (4) (5)

Масштабы воздействия Рис. 3. Матрица вероятности возникновения и масштабов воздействия

Отметим существующие позитивные изменения в СМК отечественных промышленных предприятий, в частности ОПК. Многие из них стали применять методы: ПМЕА (анализ видов и последствий отказов) и РСМ (техническое обслуживание, направленное на обеспечение надежности). РМЕД является эффективным инструментом анализа рисков конструкции и процессов. Благодаря несложности его применения многие отечественные предприятия стали использовать РМЕД-анализ в своей практике.

После изучения отдельных рисков на предприятии следует провести их обобщенную оценку на основе суммарного профиля рисков. На данном этапе могут быть определены связи и взаимозависимости выявленных рисков.

После оценки рисков прорабатывается план ответных действий по отношению к ним. Возможны следующие стратегии реагирования на риски:

1. Уклонение от угроз / Использование возможностей.

2. Снижение угрозы / Увеличение возможностей.

3. Передача.

4. Разделение.

5. Принятие.

После осуществления ответных действия проводится оценка их результативности. Анализируется вероятность и влияние остаточного риска, его цена, а также стоимость ответных действий.

Если риск-событие произошло и оказало негативное влияние на предприятие, то оно получает статус проблемы. Учет таких проблем осуществляется в специальном реестре. Многие отечественные предприятия используют наглядные доски с информацией об управлении проблемой. Как правило, реестры проблем и доски визуализации содержат краткое описание проблемы, владельца проблемы, место и время ее возникновения, серьезность проблемы, необходимые действия и сроки для ее решения, статус действий и статус проблемы [6, с. 87].

Общий отчет о реализации риск-менеджмента содержит информацию о подверженности предприятия рискам и его уязвимости, анализ численности рисков и тенденций возникновения в зависимости от источника, описание ожидаемых новых рисков, которым требуется в будущем уделять внимание.

Все действия по анализу и управлению рисками фиксируются в реестре риска, форма которого должна быть утверждена на предприятии. Выделяют разные образцы реестров риска, основными компонентами которых являются:

1. Индивидуальный идентификатор риска.

2. Категория риска.

3. Дата обнаружения риска.

4. Лицо, обнаружившее риск.

5. Описание риска (причина, событие, воздействие).

6. Вероятность возникновения риска.

7. Воздействие риска.

8. Ожидаемая цена наступления риск-события.

9. Приближенность события (когда ожидается материализация угрозы или возможности).

10. Варианты ответных действий.

11. Ответное действие (выбранное).

12. Вероятность и влияние остаточного риска (сохраняющийся после воздействия на риск).

13. Остаточная приближенность (изменение времени потенциального воздействия риск-события).

14. Вторичный риск (о последующем подлежит регистрации как новый риск).

15. Статус выполнения действий.

16. Статус риска.

17. Владелец риска.

18. Исполнитель.

Мы считаем, что реестр риска для процесса СМК должен содержать как минимум следующую информацию:

- процесс, на деятельность которого влияет риск;

- название риск-события;

- дата обнаружения;

- вероятность возникновения риска;

- масштабы воздействия риска;

- количественная оценка риска;

- действия предпринятые по отношению к риску;

- оценка вероятности возникновения риска после предпринятых действий (вторичного риска);

- оценка масштаба воздействия риска после предпринятых действий (вторичного риска);

- количественная оценка риска после предпринятых действий (вторичного риска).

Анализ результативности действий по отношению к риску следует проводить, сопоставляя оценки первоначального выявленного риска с оценками остаточного риска после реализации ответных действий [5, с. 15-21].

Для эффективного и результативного внедрения рассматриваемой концепции в СМК предприятий менеджерам следует обеспечить поддержку реализации подхода на корпоративном уровне путем разработки общей политики в области риск-менеджмента [11, с. 125]. Успех реализации риск-менеджмента также зависит от участия и взаимодействия всех сотрудников предприятия, что требует наличия высокого уровня развития коммуникаций на предприятии и соответствующей организационной культуры [4, с. 147].

В зависимости от интенсивности происходящих изменений и масштабов влияния рисков предприятия должно проводить мониторинг и пересмотр рисков [9, с. 143]. Менеджмент риска следует реализовывать на предприятии на всех уровнях его деятельности: стратегическом, тактическом и оперативном.

Риск-менеджмент должен стать неотъемлемой частью системы менеджмента качества современных предприятий, способствующим их непрерывному совершенствованию и динамичному развитию.

1. Андреева Т.А. Инновационный подход к стратегическому управлению // Инновационная деятельность. 2014. № 2 (29). С. 5-13.

2. Гордашникова О.Ю. Инновационное изменение в результате внедрения системы менеджмента качества // Гете-ромагнитная микроэлектроника. Саратов: Изд-во СГУ, 2012. Вып. 12. С. 111.

3. Гримашевич О.Н. Оценка качества системы управления рисками промышленных предприятий // Современный взгляд на проблемы качества и управления конкурентоспособностью в условиях внешних вызовов: материалы Междунар. (очно-

заочной) науч.-практ. конф. / ред. кол.: А.В. Гугелев, Н.С. Яшин, И.П. Степанова, П.В. Старцев. Саратов, 2015. С. 89-92.

4. Гугелев А.В., Чистякова С.В. Исследование организационной культуры Саратовского социально-экономического института (филиала) Российского экономического университета им. Г.В. Плеханова // Современная экономика и управление: подходы, концепции, модели: материалы II Междунар. науч.-практ. конф. Саратов, 2016. С. 146-149.

5. Жданов С.А., Серов В.Ю. Управление рисками как фактор устойчивости промышленных корпораций // Вестник Саратовского государственного социально-экономического университета. 2006. № 1 (12). С. 15-22.

6. Жулина Е.Г., Гугелев А.В., Жданов С.А. Конкурентоспособность отечественных предприятий: развитие и стандартизация управления. Саратов: ССЭИ (филиал) РЭУ им. Г.В. Плеханова, 2017.

7. Махметова А.Е. Методологические аспекты реализации процессного подхода в системе менеджмента качества промышленного предприятия / А.Е. Махметова, И.М. Ку-блин, В.И. Тинякова // Экономика и предпринимательство. 2016. № 2-2 (67-2). С. 116-120.

8. Попова Л.Ф. Организационные способности как основа адаптивного управления организационной структурой

предприятия II Вестник Саратовского государственного социально-экономического университета. 2014. № б (б4). С. 88-95.

9. Попова Л.Ф. Формирование системы менеджмента качества на основе процессного подхода в управлении промышленными предприятиями II Вестник Пермского университета. Серия «Экономика». 2017. Т. 12. № 3. С. 453-466.

10. Фролова Е.А. Новое видение перспектив развития экономики России II Актуальные проблемы управления: теория и практика: материалы Междунар. (заочной) науч.-практ. конф. Саратов, 2014. С. 141-144.

11. Яшин Н.С., Андреева Т.А. Понимание контекста предприятия в рамках системы менеджмента качества II Вестник Саратовского государственного социально-экономического университета. 2017. № 3 (67). С. 115-124.

12. Яшин Н.С., Попова Л.Ф., Бочарова С.В. Анализ проблем функционирования СМК предприятий ОПК и пути их решения II Вестник Саратовского государственного социально-экономического университета. 2017. № 3 (67). С. 125-130.

13. Management of risk: guidance for practitioners. UK, Stationery Office, 2010.

14. Practice Standard for Project Risk Management. USA, Project Management Institute, 2009.