ВВЕДЕНИЕ К РАССМОТРЕНИЮ РИСКА

23.06.2020

Введение

     Целью настоящей «Поваренной книги» является предоставление основных понятий и простых инструментов, а также возможностей применения «учета рисков и возможностей» в рамках ISO/IEC 17025:2017.

В новой версии стандарта внимание акцентировано на риск ориентированном подходе и осознании рисков, а также поощряется подход риск ориентированного мышления и разработки схем процессов в лаборатории, хотя ISO 9001:2015 и ISO/IEC 17025:2017 не содержат требования к   разработке   полной    системы   управления   рисками   (RMS),   соответствующей,   например, требованиям ISO 31000.

     Рассмотрение рисков и возможностей в лаборатории не новшество. В предыдущей версии ISO/IEC 17025 термин «риск» уже использовался в некоторых разделах, в частности в контексте корректирующих и предупреждающих действий, а также в связи с валидацией методов и введением в концепцию неопределенности измерений. Если лаборатория знает свои риски, она имеет возможность оценить/определить их приоритетность, а также осознает их последствия. Будет легче планировать, как обращаться с рисками и их последствиями. Ошибки или несоответствия, обнаруженные на ранней стадии, позволяют лаборатории раньше на них отреагировать. Могут быть предотвращены финансовые штрафы или другие большие убытки. Основная цель заключается не в минимизации рисков, а в фактической оптимизации профилей риска и возможностей, определенных в стратегии лаборатории.

Требования ISO/IEC 17025:2017

     Международный стандарт ISO/IEC 17025:2017 в своем введении устанавливает:

Согласно требованиям настоящего стандарта, лаборатория должна планировать и осуществлять действия по управлению рисками и возможностями. Управление рисками и возможностями создает основу для повышения результативности системы менеджмента, достижения лучших результатов и предотвращения негативных последствий. Лаборатория несет ответственность за принятие решения о том, какие риски и возможности необходимо рассматривать.

Лаборатория несет ответственность за принятие решения о том, какие риски и возможности необходимо рассматривать. Однако орган по аккредитации оценивает, установила ли лаборатория соответствующие действия в отношении рисков и возможностей


Стандарт явно ссылается на понятие риска в следующих разделах:
  • Предисловие, 
  • Введение, 
  • Раздел 4.1.4 и 4.1.5 о беспристрастности, 
  • Раздел 7.8.6.1 рассматривает риски, связанные с правилами принятия решений, которые используются в отчетах, 
  • Раздел 7.10.1 в отношении несоответствующей работы, 
  • Раздел 8.5 о мерах, которые необходимо предпринять в отношении рисков и возможностей,
  • Раздел 8.6 об улучшениях, 
  • Раздел 8.7 о корректирующих действиях, 
  • Раздел 8.9 об анализе со стороны руководства.
     Раздел 8.5 «Действия, связанные с рисками и возможностями» устанавливает минимальные требования к лабораториям, которые следует принять во внимание. Использовать возможности для улучшения всегда следует в соответствии с целями и задачами деятельности лаборатории.

Обратите внимание на примечание к разделу 8.5.2:

«Хотя в настоящем стандарте указывается, что лаборатория планирует действия в отношении рисков, нет требования к формальным методам управления рисками или документированному процессу управления рисками. Лаборатории могут решить, следует ли разрабатывать более обширную методологию управления рисками,  чем это требуется в настоящем стандарте, например, посредством применения других руководств или стандартов»
И наоборот, минимум формализма позволяет лаборатории извлечь выгоду из этого подхода и более эффективно мотивировать применение положений документа, иногда воспринимаемых только как ограничения. 

Некоторые слова могут способствовать в рассмотрении соответствующих рисков, тем самым поддерживая выполнение требований.

Примеры:

  • достаточный («sufficient» разделы 7.2.1.2, 7.5.1),
  • подходящий («suitable» разделы 6.3.1, 8.3.2),
  • предотвращение («prevent» разделы 5.6.c, 6.3.4, 6.4.3, 6.4.9, 6.4.12, 7.7.3, 8.3.2, 8.5.1.c),
  • обеспечение («ensure» раздел 5.5.c),
  • критический («critical» разделы 7.6.3, 7.8.2.1).

Термины и определения, связанные с понятием риск

В нормативных документах можно найти различные определения термина «риск». Из них свободно выводятся следующие определения.

Риск: то, что делает достижение цели неопределенным.

Уровень риска: выражение важности риска, принимая во внимание последствия ситуаций и их вероятность.

Оценивание риска: сравнение уровня риска с критерием приемлемости.

Управление рисками:

    Возможны многие варианты, которые могут быть объединены: избегание риска, принятие риска с целью достижения возможностей, устранение источника риска, изменение вероятности возникновения риска или последствий, распределение риска или принятие риска и информирование о риске.

Остаточный риск: риск, остающийся после управления (обработки) риска.

Возможность: событие с потенциальными положительными последствиями для организации.

Как оценить риски в лаборатории?

     С целью идентификации рисков полезно рассматривать как внутренний, так и внешний контекст организации (риски, связанные с заказчиком, поставщиком, а также заказчиками заказчика и другими заинтересованными сторонами).

Методы идентификации рисков варьируются от здравого смысла и мозгового штурма, с использованием заранее составленных списков по каждой предметной области, до использования стандартов, устанавливающих передовой опыт.

Пример:

SWOT-анализ – это процесс, который выявляет сильные и слабые стороны, возможности  и угрозы организации. Его можно использовать для мозгового штурма.

Перечень Сильных сторон (внутренние положительные факторы) Перечень Слабых сторон (внутренние негативные факторы)
Перечень Возможностей
(внешние положительные факторы)
Перечень Угроз
(внешние негативные факторы)

 4 поля заполняются соответствующей информацией по степени убывания важности.

Пример:

Руководства по управлению рисками приводят различные подходы.

Оценку рисков можно выполнить, ответив на следующие вопросы:

  • Что может случиться и почему (идентификация рисков)?
  • Какие будут последствия?
  • Какова вероятность возникновения в будущем?
  • Существуют ли какие-либо факторы, которые смягчают последствия риска или уменьшают вероятность риска?

Для адекватного управления рисками в лаборатории следует начать тщательный анализ рисков, которым подвергается лаборатория. Цель должна заключаться в выявлении определенных недостатков в деятельности лаборатории.

Влияния и причины анализируются на основе сценария риска. Кроме того, следует выполнить классификацию и оценивание рисков. Такая оценка может привести либо к принятию мер, либо к принятию риска как такового. Если принимаются меры, то их эффективность также следует проверить. Возможно, что риск является приемлемым.

Сценарий риска часто легко определить. Здесь можно сделать аналогичные размышления, как и  в случае «предупреждающих мер». Однако классификация и оценивание рисков являются более сложными. Для того чтобы иметь возможность проводить оценку, следует оценить влияние, вероятность возникновения и вероятность быстрого обнаружения риска.

Будет полезным создать шкалу значений в рамках организации, независимо от ее представления: количественная или качественная, представленная в виде таблицы, графика и т.д.

Например, оценка риска может проводиться на примере трехступенчатой системы: Влияние:

  • низкий (1) – легко исправить – низкое влияние
  • умеренный (2) – ошибки возникают, но они очевидны (например, потеря доверия)
  • высокий (3) – серьезные ошибки с возможными непоправимыми последствиями (вплоть до опасности для жизни и здоровья)
Вероятность появление: очень редко (1), редко (2) или часто (3). Трехступенчатая система приводит к пятиступенчатой оценке риска.

Когда проводят оценку рисков?

     Ответ: при необходимости (например, по требованию заказчика или в соответствии с требованиями ISO/IEC 17025) или если это помогает достичь целей системы менеджмента. Это может выполняться регулярно или иногда в случае нарушений или изменений в процедурах лаборатории.

В действительности, лаборатории следует «смело смотреть в лицо» рискам (например, риски ее существования, ее беспристрастности, достоверность ее результатов и т. д.), которые могут привести к сбоям, потерям, повреждениям или иным последствиям, и которым можно противодействовать подходящим образом либо путем создания RMS, либо другими мерами.

Раздел 4.1.4 ISO/IEC 17025 требует идентификации рисков на постоянной основе. Например, для некоторых сотрудников постоянное управление рисками может быть обеспечено путем самостоятельного декларирования конфликта интересов. Оно пересматривается раз в год и требует обновления при возникновении новой ситуации, влияющей на беспристрастность.

Применение в более общем контексте

     При необходимости организация может следовать более или менее подробной политике рисков. Это может включать управление деятельностью, финансовый менеджмент, безопасность и т. д. Механизмы обновления информации могут быть более или менее проработаны, начиная от управления рисками и заканчивая простой реакцией на сбои.

В следующем примере показан механизм настройки предупреждающих мер на основе анализа рисков. Возможны и многие другие подходы.


Для дополнительной информации:

ISO 31000:2018 Менеджмент риска – Руководящие указания 
ISO/IEC 31010:2009 Менеджмент риска – Методы оценки риска

Комментарии

Добавить комментарий

Подтверждаю согласие с политикой конфиденциальности в отношении обработки персональных данных и даю согласие на обработку персональных данных