- Риск-ориентированное мышление в ИСО 9001:2015
- Что требует раздел 6.1 ИСО 9001
- Методы идентификации рисков
- Пошаговый алгоритм работы с рисками
- Реестр рисков: структура и примеры
- Возможности: не только риски
- Практические примеры по отраслям
- Интеграция управления рисками в процессы
- Типичные ошибки при управлении рисками
- Связь с ГОСТ Р ИСО 31000 и другими стандартами
- Часто задаваемые вопросы
Риск-ориентированное мышление в ИСО 9001:2015
Стандарт ИСО 9001:2015 (ISO 9001:2015) ввёл концепцию риск-ориентированного мышления (risk-based thinking) как фундаментальный принцип системы менеджмента качества. Раздел 6.1 требует от организации определить риски и возможности, которые нужно учитывать для обеспечения результативности СМК. Это не означает обязательного внедрения формализованного риск-менеджмента по ИСО 31000 (ISO 31000), но требует системного подхода к идентификации и управлению рисками.
Риск-ориентированное мышление подразумевает: прежде чем принимать решение или планировать процесс, оцените, что может пойти не так (риски) и какие благоприятные обстоятельства можно использовать (возможности). Это замена прежнего подхода «предупреждающих действий» из ИСО 9001:2008, который был более реактивным.
ГОСТ Р ИСО 9001-2015, идентичный международному ISO 9001:2015, содержит те же требования ИСО 9001:2015 к управлению рисками. Российские организации применяют его наравне с международной версией стандарта.
Что требует раздел 6.1 ИСО 9001
Раздел 6.1 «Действия в отношении рисков и возможностей» устанавливает:
- Организация должна рассмотреть вопросы контекста (п. 4.1) и требования заинтересованных сторон (п. 4.2)
- Определить риски и возможности, которые нужно учитывать для:
- обеспечения достижения целей СМК
- усиления желательных результатов
- предупреждения нежелательных результатов
- достижения улучшения
- Спланировать действия по обработке рисков и использованию возможностей
- Интегрировать эти действия в процессы СМК
- Оценивать результативность предпринятых действий
ИСО 9001 не требует формализованного управления рисками, специальной методологии или документированной процедуры. Однако на практике аудиторы ожидают наличие реестра рисков и доказательств, что риски учитываются при принятии решений.
Методы идентификации рисков
Для идентификации рисков качества по ИСО 9001 (ISO 9001) применимы различные методы:
| Метод | Описание | Когда применять |
|---|---|---|
| SWOT-анализ | Анализ сильных/слабых сторон, возможностей/угроз | Стратегический уровень, анализ контекста |
| FMEA | Анализ видов и последствий отказов | Производственные процессы, проектирование |
| Мозговой штурм | Групповое обсуждение рисков | Начальный этап идентификации |
| Анализ данных | Статистика брака, рекламаций, аудитов | Операционный уровень |
| Чеклисты | Стандартные перечни рисков для отрасли | Систематическая проверка |
| Матрица рисков | Оценка вероятности и последствий | Приоритизация рисков |
Пошаговый алгоритм работы с рисками
Для организации, внедряющей ИСО 9001 или готовящейся к аудиту, рекомендуем следующий алгоритм из 6 шагов:
Шаг 1. Определение контекста. Проанализируйте внешние факторы (экономика, законодательство, конкуренция, технологии) и внутренние факторы (ресурсы, компетенции, процессы, культура). Результат -- перечень факторов, влияющих на способность достигать целей СМК.
Шаг 2. Идентификация рисков по процессам. Для каждого ключевого процесса СМК задайте вопрос: «Что может помешать достижению цели этого процесса?» Привлеките владельцев процессов -- они лучше знают реальные угрозы. Параллельно фиксируйте возможности: «Что может улучшить результат?»
Шаг 3. Оценка рисков. Для каждого риска определите вероятность (1--5) и тяжесть последствий (1--5). Перемножьте -- получится уровень риска (1--25). Распределите по зонам: низкий (1--6), средний (7--12), высокий (13--25).
Шаг 4. Планирование мер управления. Для высоких рисков -- обязательные меры. Для средних -- рекомендуемые. Для низких -- принятие (мониторинг без активных действий). Меры: устранение источника, снижение вероятности, снижение последствий, передача (страхование), принятие.
Шаг 5. Внедрение мер в процессы. Каждая мера должна быть назначена ответственному, иметь срок и интегрироваться в рабочие процессы. Мера «обучить контролёров» -- это не пункт в реестре, а конкретное действие с датой, бюджетом и результатом.
Шаг 6. Мониторинг и пересмотр. Ежеквартально проверяйте результативность мер управления. Ежегодно -- полный пересмотр реестра. Результаты выносите на анализ руководства (п. 9.3 ИСО 9001).
Реестр рисков: структура и примеры
Типичная структура реестра рисков для ИСО 9001:
| Процесс | Риск | Вероятность (1--5) | Последствия (1--5) | Уровень риска | Мера управления | Ответственный |
|---|---|---|---|---|---|---|
| Закупки | Задержка поставки сырья | 3 | 4 | 12 (Высокий) | Резервный поставщик, страховой запас | Начальник снабжения |
| Производство | Отказ ключевого оборудования | 2 | 5 | 10 (Средний) | Плановое ТО, запасные части на складе | Главный инженер |
| Контроль | Пропуск дефекта при контроле | 3 | 4 | 12 (Высокий) | Двойной контроль, обучение контролёров | Начальник ОТК |
| Кадры | Уход ключевого специалиста | 2 | 3 | 6 (Низкий) | Дублирование компетенций, документирование | HR-менеджер |
| Продажи | Потеря крупного клиента | 2 | 5 | 10 (Средний) | Диверсификация клиентской базы | Коммерческий директор |
| IT | Потеря данных СМК | 1 | 5 | 5 (Низкий) | Резервное копирование, облачное хранение | IT-менеджер |
Возможности: не только риски
ИСО 9001 (ISO 9001) требует определять не только риски, но и возможности. Примеры возможностей для системы качества:
- Автоматизация процессов контроля -- снижение человеческого фактора
- Внедрение нового оборудования -- повышение точности и производительности
- Обучение персонала новым технологиям -- расширение компетенций
- Выход на новые рынки -- рост объёмов и диверсификация
- Сертификация по дополнительным стандартам -- расширение клиентской базы
Возможности оформляются аналогично рискам: описание, оценка потенциала, план реализации, ответственный, срок.
Практические примеры по отраслям
Риски существенно различаются в зависимости от отрасли. Приведём примеры для наиболее распространённых секторов:
| Отрасль | Ключевые риски | Ключевые возможности |
|---|---|---|
| Производство | Брак сырья, отказ оборудования, текучка кадров | Автоматизация, бережливое производство, цифровизация |
| IT-компания | Потеря данных, срыв сроков, кибератаки | Облачные технологии, AI-инструменты, удалённые команды |
| Строительство | Срыв сроков, травматизм, погодные условия | BIM-технологии, новые материалы, типовые решения |
| Пищевая промышленность | Контаминация, нарушение холодовой цепи, отзыв продукции | ХАССП-интеграция, прослеживаемость, экомаркировка |
| Медицина | Ошибки диагностики, отказ оборудования, инфекции | Телемедицина, AI-диагностика, цифровая карта пациента |
Интеграция управления рисками в процессы
Риски не должны оставаться только в реестре. ИСО 9001 требует интеграции управления рисками в процессы СМК:
- При планировании процессов -- учитывать выявленные риски
- При анализе руководства -- рассматривать результативность действий по рискам
- При внутреннем аудите -- проверять, что меры управления рисками работают
- При управлении изменениями -- оценивать риски каждого изменения
- При работе с поставщиками -- учитывать риски поставок
Типичные ошибки при управлении рисками
При аудитах ИСО 9001 (ISO 9001) аудиторы регулярно выявляют следующие проблемы:
| Ошибка | Почему это проблема | Как исправить |
|---|---|---|
| Формальный реестр «для галочки» | Риски не отражают реальные угрозы | Привлечь владельцев процессов к идентификации |
| Нет мер управления для высоких рисков | Риск остаётся без контроля | Назначить ответственного и конкретные действия |
| Реестр не пересматривается | Устаревшие данные, новые риски не учтены | Ежеквартальный мониторинг, ежегодный пересмотр |
| Только негативные риски | Упущенные возможности для роста | Добавить раздел «Возможности» в реестр |
| Нет связи между рисками и целями | Цели оторваны от реальных угроз | Каждый высокий риск -- соответствующая цель |
Связь с ГОСТ Р ИСО 31000 и другими стандартами
Для организаций, которым нужен более глубокий подход к управлению рисками, стандарт ИСО 31000 (ISO 31000:2018, ГОСТ Р ИСО 31000-2019) предоставляет полную методологию. Однако для целей ИСО 9001 достаточно простого подхода.
Различия между подходами:
- ИСО 9001 -- «рассмотреть риски», без обязательной формализации
- ИСО 31000 -- полный цикл: установление контекста, идентификация, анализ, оценивание, обработка, мониторинг
- ИСО 27001 -- формализованное управление рисками информационной безопасности с обязательным Statement of Applicability
Часто задаваемые вопросы
Обязательно ли вести реестр рисков по ИСО 9001?
ИСО 9001:2015 не требует формализованного реестра рисков. Однако аудиторы проверяют, что организация определила риски и возможности (п. 6.1) и предприняла действия по их обработке. Реестр -- самый удобный способ продемонстрировать это аудитору и систематизировать работу. Рекомендуется для любой организации.
Нужно ли использовать методологию ИСО 31000?
Нет. ИСО 9001 (ISO 9001) не требует применения ИСО 31000 или любой другой конкретной методологии. Организация сама выбирает подход -- от простой матрицы вероятность/последствия до полноценного FMEA. Для малого предприятия матрица 5x5 полностью достаточна.
Сколько рисков нужно идентифицировать?
Количество зависит от сложности организации. Для малого предприятия (до 50 человек) достаточно 15--30 рисков. Для среднего (50--250 человек) -- 30--60. Для крупного -- 50--100+. Главное -- охватить все ключевые процессы и не превращать реестр в формальность.
Как часто нужно пересматривать риски?
Рекомендуется: полный пересмотр -- ежегодно (при анализе руководства, п. 9.3). Обновление при существенных изменениях: новые процессы, новые продукты, изменение рынка, инциденты. Мониторинг мер управления -- ежеквартально. Внеплановый пересмотр -- после серьёзных инцидентов или изменений в законодательстве.
Что проверяет аудитор в области рисков?
Аудитор проверяет: определены ли риски и возможности, запланированы ли действия, интегрированы ли действия в процессы, оценивается ли результативность. Аудитор не оценивает «правильность» выбранных рисков, а проверяет системность подхода. Типичные вопросы: «Покажите ваш реестр», «Какие меры приняли для высоких рисков?», «Как отслеживаете результативность?»
Можно ли использовать простую матрицу рисков?
Да. Матрица вероятность (1--5) x последствия (1--5) -- самый распространённый и достаточный инструмент для ИСО 9001. Не нужно усложнять: аудитор ценит работающую простую систему больше, чем сложную формальную. Главное -- чтобы оценки были обоснованы, а не выставлены произвольно.
Чем отличается управление рисками в ИСО 9001 и ИСО 27001?
В ИСО 9001 управление рисками менее формализовано -- стандарт требует «рассмотреть риски», но не предписывает конкретную методологию. В ИСО 27001 управление рисками ИБ строго формализовано: обязательна методология оценки, реестр рисков, план обработки, Statement of Applicability (SoA) с 93 мерами из Приложения А.
Как связаны риски и цели качества?
Прямая связь: цели качества (п. 6.2) должны учитывать выявленные риски (п. 6.1). Если выявлен риск «задержка поставок» -- цель может быть «обеспечить 95% поставок в срок». Если выявлена возможность «автоматизация контроля» -- цель может быть «внедрить автоматический контроль к Q3». Аудитор проверяет эту связь.