- Шаблон реестра рисков ИСО 9001 (ISO 9001:2015) — скачать бесплатно
- Что требует п. 6.1 ИСО 9001 к управлению рисками
- Структура реестра рисков: что должно быть в документе
- Методы оценки рисков: FMEA, матрица 5×5 и SWOT
- Заполненный пример: 10 типовых рисков производственной компании
- Как аудитор проверяет реестр рисков при сертификации
- Связь реестра рисков с корректирующими действиями (п. 10.2)
- Пошаговая инструкция по заполнению шаблона
- Что включено в шаблон для скачивания
- Часто задаваемые вопросы
- Итог
- Читайте также
Шаблон реестра рисков ИСО 9001 (ISO 9001:2015) — скачать бесплатно
Реестр рисков и возможностей — один из ключевых документов системы менеджмента качества по ИСО 9001 (ISO 9001:2015). Пункт 6.1 стандарта требует, чтобы организация определяла риски и возможности, которые необходимо учитывать для обеспечения результативности СМК. При сертификационном аудите аудитор обязательно запросит этот документ и проверит, как организация идентифицирует, оценивает и управляет рисками. Ниже — готовый шаблон реестра рисков в формате XLSX с матрицей оценки 5×5, заполненным примером для производственной компании и пошаговой инструкцией по заполнению. Шаблон разработан практикующими консультантами с учётом требований ГОСТ Р ИСО 9001-2015 и рекомендаций стандарта ИСО 31000 (ISO 31000:2018).
Что требует п. 6.1 ИСО 9001 к управлению рисками
Раздел 6.1 стандарта ИСО 9001 (ISO 9001:2015) «Действия в отношении рисков и возможностей» устанавливает три базовых требования:
- Определить риски и возможности с учётом контекста организации (п. 4.1) и потребностей заинтересованных сторон (п. 4.2)
- Спланировать действия по обработке рисков и использованию возможностей
- Интегрировать эти действия в процессы СМК и оценивать их результативность
Стандарт не предписывает конкретную методологию — организация сама выбирает подход. Однако аудиторы ожидают системный метод: идентификация → оценка → план действий → мониторинг. Реестр рисков — наиболее распространённый инструмент, который закрывает все эти этапы в одном документе.
Типичные несоответствия, которые фиксируют аудиторы по п. 6.1:
- Риски определены формально, без привязки к реальным процессам
- Отсутствует оценка вероятности и последствий (просто список без приоритизации)
- Нет запланированных действий по высоким рискам
- Реестр заполнен один раз при внедрении и не актуализируется
- Нет связи с корректирующими действиями по п. 10.2
Структура реестра рисков: что должно быть в документе
Грамотный реестр рисков содержит несколько обязательных блоков. Наш шаблон включает три листа: основной реестр, матрицу оценки и инструкцию по заполнению.
Лист 1: Реестр рисков и возможностей
| Колонка | Описание | Пример заполнения |
|---|---|---|
| ID | Уникальный номер риска | R-001 |
| Процесс СМК | К какому процессу относится (п. 4.4) | Закупки |
| Источник риска | Контекст (п. 4.1) или заинтересованная сторона (п. 4.2) | Зависимость от единственного поставщика |
| Описание риска | Что может произойти | Срыв поставки комплектующих на 2+ недели |
| Категория | Тип: стратегический, операционный, финансовый, комплаенс | Операционный |
| Вероятность (В) | Оценка 1–5 | 3 (возможно) |
| Последствия (П) | Оценка 1–5 | 4 (значительные) |
| Уровень риска (В×П) | Автоматический расчёт | 12 (высокий) |
| Текущие меры управления | Что уже делается | Резервный поставщик в базе |
| Запланированные действия | Что нужно сделать дополнительно | Заключить рамочный договор с 2-м поставщиком до 30.06 |
| Ответственный | Кто отвечает за выполнение | Начальник отдела закупок |
| Срок | Дата завершения действий | 30.06.2026 |
| Статус | Открыт / В работе / Закрыт | В работе |
| Дата пересмотра | Когда актуализировать | 01.09.2026 |
Лист 2: Матрица оценки рисков 5×5
Матрица объединяет вероятность и последствия в единый показатель уровня риска:
| Вероятность \ Последствия | 1 (минимальные) | 2 (незначительные) | 3 (умеренные) | 4 (значительные) | 5 (критические) |
|---|---|---|---|---|---|
| 5 (почти наверняка) | 5 — средний | 10 — средний | 15 — высокий | 20 — критический | 25 — критический |
| 4 (вероятно) | 4 — низкий | 8 — средний | 12 — высокий | 16 — высокий | 20 — критический |
| 3 (возможно) | 3 — низкий | 6 — средний | 9 — средний | 12 — высокий | 15 — высокий |
| 2 (маловероятно) | 2 — низкий | 4 — низкий | 6 — средний | 8 — средний | 10 — средний |
| 1 (редко) | 1 — низкий | 2 — низкий | 3 — низкий | 4 — низкий | 5 — средний |
Зоны реагирования:
- 1–4 (низкий) — принять риск, мониторинг раз в год
- 5–10 (средний) — разработать план действий, мониторинг раз в квартал
- 12–16 (высокий) — приоритетные действия, мониторинг ежемесячно
- 20–25 (критический) — немедленные действия, мониторинг еженедельно
Лист 3: Инструкция по заполнению
Третий лист содержит пошаговую инструкцию с пояснениями к каждой колонке, критериями оценки вероятности и последствий, примерами формулировок рисков по каждому процессу СМК.
Методы оценки рисков: FMEA, матрица 5×5 и SWOT
Стандарт ИСО 9001 (ISO 9001:2015) не требует конкретного метода оценки. На практике используют три основных подхода, каждый из которых подходит для разных ситуаций.
Матрица 5×5 (базовый метод)
Применяется в нашем шаблоне. Два параметра — вероятность и последствия — оцениваются по шкале от 1 до 5. Произведение даёт уровень риска от 1 до 25. Метод прост, нагляден и достаточен для большинства организаций при сертификации ИСО 9001.
Когда использовать: для общей оценки рисков СМК, при первичном внедрении, для организаций с числом процессов до 15.
FMEA (анализ видов и последствий отказов)
Метод из автомобильной отрасли (ИСО/ТО 16949, сейчас IATF 16949). Оценивает три параметра: серьёзность (S), вероятность возникновения (O) и обнаружимость (D). Приоритетное число рисков RPN = S × O × D (от 1 до 1000).
Когда использовать: для производственных процессов, где критична обнаружимость дефектов. Обязателен в автомобильной отрасли.
| Критерий | Матрица 5×5 | FMEA |
|---|---|---|
| Параметры оценки | 2 (вероятность, последствия) | 3 (серьёзность, возникновение, обнаружимость) |
| Шкала | 1–25 | 1–1000 (RPN) |
| Сложность | Низкая | Средняя-высокая |
| Применимость | Универсальная | Производство, техпроцессы |
| Требования ИСО 9001 | Достаточно | Избыточно (но не запрещено) |
SWOT-анализ в контексте ИСО 9001
SWOT помогает идентифицировать риски на этапе анализа контекста (п. 4.1). Сильные и слабые стороны — внутренние факторы, возможности и угрозы — внешние. Результаты SWOT переносятся в реестр рисков как источники рисков.
Практический подход: провести SWOT-анализ с руководством → перевести «угрозы» и «слабые стороны» в конкретные риски → внести в реестр с оценкой → отработать через матрицу 5×5.
Заполненный пример: 10 типовых рисков производственной компании
Ниже — фрагмент заполненного реестра для условного ООО «ТехноПром» (производство металлоконструкций, 80 сотрудников). Этот пример включён в шаблон на отдельном листе.
| ID | Процесс | Описание риска | В | П | Уровень | Действия |
|---|---|---|---|---|---|---|
| R-001 | Закупки | Срыв поставки стали от единственного поставщика | 3 | 4 | 12 (высокий) | Договор с 2-м поставщиком |
| R-002 | Производство | Выход из строя сварочного оборудования | 2 | 5 | 10 (средний) | Регламент ТО, запас расходников |
| R-003 | Контроль качества | Некалиброванные средства измерения | 2 | 4 | 8 (средний) | График поверки, реестр СИ |
| R-004 | Управление персоналом | Увольнение ключевого технолога | 3 | 4 | 12 (высокий) | Матрица компетенций, наставничество |
| R-005 | Проектирование | Ошибки в КД из-за отсутствия проверки | 2 | 5 | 10 (средний) | Чек-лист проверки КД, двойной контроль |
| R-006 | Удовлетворённость потребителей | Рост рекламаций выше 3% | 3 | 3 | 9 (средний) | Анализ причин, корректирующие действия |
| R-007 | Инфраструктура | Отключение электроэнергии в цеху | 2 | 4 | 8 (средний) | Резервный генератор, ИБП для серверов |
| R-008 | Нормативные требования | Изменение ГОСТов на продукцию | 2 | 3 | 6 (средний) | Мониторинг НПА, подписка на рассылку |
| R-009 | Логистика | Повреждение продукции при транспортировке | 3 | 3 | 9 (средний) | Инструкция по упаковке, фотофиксация |
| R-010 | Стратегические | Потеря ключевого заказчика (>30% выручки) | 2 | 5 | 10 (средний) | Диверсификация клиентской базы |
Обратите внимание: для каждого риска указан конкретный процесс СМК по п. 4.4. Это требование аудиторов — риски не должны «висеть в воздухе», они привязаны к процессной модели организации.
Как аудитор проверяет реестр рисков при сертификации
Сертификационный аудитор оценивает не только наличие реестра, но и его качество. Проверка по п. 6.1 ИСО 9001 обычно занимает 30–60 минут и включает несколько направлений.
Что смотрит аудитор:
-
Полнота идентификации. Все ключевые процессы СМК (п. 4.4) должны быть представлены в реестре. Если у организации 10 процессов, а рисков записано 3 — это вызовет вопросы.
-
Обоснованность оценки. Аудитор может спросить: «Почему вероятность оценена в 2, а не в 4?» Ответственные сотрудники должны уметь обосновать свои оценки.
-
Связь с контекстом. Риски должны вытекать из анализа контекста (п. 4.1) и потребностей заинтересованных сторон (п. 4.2). Если в SWOT-анализе указана «зависимость от одного поставщика», в реестре должен быть соответствующий риск.
-
Адекватность действий. Для рисков с высоким и критическим уровнем должны быть запланированы конкретные действия с ответственными и сроками. Формулировка «усилить контроль» — неприемлема.
-
Актуальность. Аудитор проверит дату последнего пересмотра. Реестр, составленный 2 года назад без обновлений, свидетельствует о формальном подходе.
-
Результативность. Были ли предпринятые действия эффективны? Снизился ли уровень риска после реализации мер? Это связь с п. 9.1 (мониторинг, измерение, анализ, оценка).
Типичные замечания аудиторов:
- «Реестр содержит только негативные риски, возможности (п. 6.1.1 d) не определены»
- «Отсутствует переоценка рисков после внедрения корректирующих действий»
- «Оценка рисков проведена только высшим руководством без участия владельцев процессов»
Связь реестра рисков с корректирующими действиями (п. 10.2)
Реестр рисков не существует изолированно — он тесно связан с процедурой корректирующих действий по п. 10.2 ИСО 9001.
Как это работает на практике:
- При возникновении несоответствия (рекламация, брак, результат аудита) анализируется, был ли этот риск в реестре
- Если риск был идентифицирован, но действия не были приняты — это системное несоответствие по п. 6.1
- Если риск не был идентифицирован — реестр актуализируется, добавляется новый риск
- После выполнения корректирующего действия проводится переоценка риска в реестре
Этот цикл (риск → событие → коррекция → обновление реестра) — то, что аудиторы называют «живым документом». Организации, которые ведут реестр формально, не обновляя его после инцидентов, получают замечания на каждом инспекционном аудите.
Пошаговая инструкция по заполнению шаблона
Заполнение реестра рисков по нашему шаблону занимает 4–8 часов для организации среднего размера. Рекомендуется проводить рабочую сессию с участием владельцев процессов.
Шаг 1. Определите перечень процессов СМК. Используйте карту процессов вашей организации (п. 4.4). Типичный набор: управление организацией, закупки, производство, контроль качества, управление персоналом, инфраструктура, проектирование (если применимо).
Шаг 2. Проведите мозговой штурм по каждому процессу. Задайте вопросы: «Что может пойти не так?» и «Какие возможности мы упускаем?» Привлеките владельцев процессов — они знают реальные проблемы лучше менеджера по качеству.
Шаг 3. Запишите риски в формате «событие + последствие». Не «проблемы с поставщиками», а «срыв поставки критичных комплектующих на срок более 2 недель, ведущий к нарушению сроков выполнения заказа». Конкретная формулировка позволяет точнее оценить последствия.
Шаг 4. Оцените вероятность и последствия. Используйте критерии с листа «Инструкция» в шаблоне. Оценивайте коллегиально — индивидуальные оценки субъективны, групповые ближе к реальности.
Шаг 5. Определите действия для высоких и критических рисков. Для каждого риска с уровнем 12 и выше укажите конкретное действие, ответственного и срок. Для средних рисков — хотя бы текущие меры управления.
Шаг 6. Утвердите реестр у руководства. Пункт 5.1 ИСО 9001 требует лидерства высшего руководства. Реестр рисков, утверждённый генеральным директором, имеет больший вес при аудите.
Шаг 7. Назначьте дату пересмотра. Минимум раз в год (перед анализом со стороны руководства по п. 9.3) и после каждого значимого инцидента.
Что включено в шаблон для скачивания
Шаблон реестра рисков ИСО 9001 включает:
- Лист «Реестр» — основная таблица с 14 колонками, формулами расчёта уровня риска, условным форматированием по зонам (зелёный/жёлтый/оранжевый/красный)
- Лист «Матрица 5×5» — визуальная матрица оценки с цветовой кодировкой и описанием критериев вероятности и последствий
- Лист «Пример» — заполненный реестр для ООО «ТехноПром» (10 рисков + 3 возможности) с реалистичными оценками и действиями
- Лист «Инструкция» — пошаговое руководство по заполнению, критерии оценки, примеры формулировок рисков по процессам СМК
Формат: XLSX (Microsoft Excel, LibreOffice Calc, Google Sheets). Размер: ~45 КБ.
СКАЧАТЬ ШАБЛОН РЕЕСТРА РИСКОВ (XLSX)
Часто задаваемые вопросы
Обязателен ли реестр рисков по ИСО 9001?
Стандарт ИСО 9001 (ISO 9001:2015) в п. 6.1 требует определять и обрабатывать риски, но не предписывает конкретную форму документирования. На практике реестр — самый удобный и распространённый формат, который принимают все органы по сертификации. Без реестра или аналогичного документа аудитор зафиксирует несоответствие, поскольку не сможет убедиться в систематичности управления рисками.
Сколько рисков должно быть в реестре?
Для малого предприятия (до 50 сотрудников) достаточно 10–20 рисков, для среднего (50–250) — 20–40, для крупного — 40 и более. Количество зависит от числа процессов СМК и сложности деятельности. Слишком мало рисков (3–5) вызовет сомнения аудитора в полноте анализа, слишком много (100+) затруднит управление. Оптимально — 2–4 риска на каждый ключевой процесс.
Как часто нужно актуализировать реестр рисков?
Минимальная частота — один раз в год перед анализом со стороны руководства (п. 9.3 ИСО 9001). Дополнительно реестр обновляют после значимых инцидентов, изменений в процессах, смены поставщиков, выхода на новые рынки. Лучшая практика — ежеквартальный пересмотр с участием владельцев процессов. При инспекционном аудите аудитор обязательно проверит дату последнего обновления.
Можно ли вести реестр рисков в Excel?
Excel (XLSX) — самый популярный формат для реестра рисков при сертификации ИСО 9001. Он позволяет использовать формулы для автоматического расчёта уровня риска, условное форматирование для визуализации зон и фильтры для анализа. Для организаций с простой структурой (до 100 сотрудников) Excel полностью достаточен. Крупные компании могут перейти на специализированное ПО (1С:Предприятие, SAP GRC, Intelex), но это не требование стандарта.
Чем отличается реестр рисков ИСО 9001 от ИСО 14001?
Структура реестра аналогична, но содержание рисков различается. В ИСО 9001 (качество) — риски для продукции, процессов и удовлетворённости потребителей. В ИСО 14001 (экология) — экологические аспекты: выбросы, отходы, потребление ресурсов. Если организация внедряет интегрированную систему менеджмента, можно вести единый реестр с дополнительной колонкой «Стандарт» (ИСО 9001 / ИСО 14001 / ИСО 45001).
Нужно ли включать возможности в реестр рисков?
Да. Пункт 6.1.1 d) ИСО 9001 прямо говорит о возможностях: «повышение желаемых результатов», «предотвращение или уменьшение нежелательных воздействий», «достижение улучшения». Типичные возможности: расширение ассортимента, автоматизация контроля качества, выход на экспортные рынки. Аудиторы всё чаще обращают внимание на баланс рисков и возможностей в реестре — документ, содержащий только негативные риски, считается неполным.
Итог
Реестр рисков и возможностей — рабочий инструмент управления, а не формальный документ для аудитора. Грамотно составленный реестр по п. 6.1 ИСО 9001 помогает предотвращать проблемы, снижать потери и системно улучшать процессы. Скачайте наш шаблон, адаптируйте под свою организацию и начните управлять рисками на практике.
Нужна помощь с внедрением управления рисками по ИСО 9001? Оставьте заявку — подготовим реестр рисков под вашу специфику и поможем пройти сертификацию.