Библиотека управления

Управление рисками при построении процессов СМК

Тарас КалитаДиректор Центра систем качества «Прирост-Система»
Украинская ассоциация качества

Как правило, самой большой частью работ, которые организация должна выполнить, строя систему управления качеством, является разработка документированных описаний порядка выполнения процессов. Именно эта составляющая требует максимального привлечения всего персонала и глубокого анализа деятельности организации. Поэтому особенно важно, чтобы выполняя эти работы, организация дала себе четкий ответ на вопрос: для чего нужны документированные описания процессов? Ведь от ответа на него зависит и ответ на следующий вопрос: какими они должны быть?

На первый из этих вопросов существует много ответов: документированные описания разрабатываются, чтобы обеспечить общее понимание порядка выполнения процесса, чтобы облегчить обмен опытом и обучение исполнителей, чтобы упростить контроль выполнения процесса и т.п. Предлагается сформулировать ответ на этот вопрос таким образом: документированные описания процессов разрабатываются для того, чтобы уменьшить риски возникновения ошибок (дефектов, несоответствий, неэффективных действий) при их выполнении. Действительно, разработка документа должна предотвратить ошибки при выполнении процессов, снизить риски их возникновения или смягчить их следствия. А если при выполнении процесса нет существенных рисков (например, процесс является очень простым, а исполнители — достаточно квалифицированными), то нет смысла его детально документировать — наличие такого документа ничего не изменит в реальной работе.

Если посмотреть на процессы с этой точки зрения, становится понятным, что разработка их эффективных документированных описаний невозможна без четкого определения: какие именно риски организация хочет уменьшить или устранить таким путем. Только после этого станет понятным, на что именно надо делать ударение, разрабатывая документ, какие этапы или варианты выполнения процесса должны быть особенно придирчиво спроектированы и детально описаны.

Какие же риски могут рассматриваться при построении процессов? В первую очередь надо четко разделить два разных понятия, которые часто путают: собственно риски и следствия рисков. Под рисками можно понимать возможность ненадлежащего выполнения определенных действий в рамках процесса, а также возможность получения ненадлежащих входов в процесс. Главной характеристикой рисков является вероятность их возникновение. Следствия рисков — это уменьшения эффективности и результативности процесса вследствие реализации рисков. Для них главной характеристикой является их серьезность. Понятно, что сами риски и их следствия — это разные явления, связанные причинно-следственной связью, поэтому они не могут стоять в одном перечне «через запятую». Но иногда их путают, и тогда в перечень рисков попадают как «нарушение сроков предоставления заявки», так и «нарушение сроков выполнения заявки», хотя первое может быть причиной второго.

К числу рисков могут относиться, в частности, такие категории:

  • риски случайных ошибок исполнителя;
  • риски недостаточной квалификации исполнителя;
  • риски отсутствия у исполнителя достаточной информации;
  • риск отсутствия у исполнителя необходимых ресурсов (или их ненадлежащее состояние);
  • риски отсутствия у исполнителя достаточного времени для выполнения работы;
  • риски отсутствия входов процесса, их несоответствия или несвоевременного получения;
  • риски несогласования действий разных исполнителей.

Конечно, это только ориентировочный перечень основных категорий рисков, и при анализе в конкретных организациях для конкретных процессов все они должны быть уточнены и детализированы (например, относительно риска отсутствия достаточного времени — одновременное получение нескольких заявок на исполнение работ, получение заявки в конце рабочего дня, отсутствие исполнителя на месте из-за болезни или командировки и т.п.).

Что касается рисков — следствий, их примерами могут быть:

  • несвоевременное получение выхода процесса (выполнение заказа, закупки сырья, разработки бюджета, заполнения вакансии и т.п.);
  • несоответствие выхода процесса установленным требованиям;
  • несоответствие выхода процесса ожиданиям заинтересованных сторон (при их соответствии определенным требованиям);
  • незапланированные расходы разных видов ресурсов, связанных с функционированием процесса;
  • чрезмерная загрузка исполнителей процесса (например, необходимость работы в выходные).

При этом целесообразно рассматривать следствия рисков не только для организации, но и для других заинтересованных сторон: в первую очередь — для потребителей, возможно также — для персонала, поставщиков, общества (в частности, это касается рисков, связанных с профессиональной безопасностью и влиянием на окружающую среду).

Традиционно сначала для каждого из процессов определяются риски, связанные с их выполнением, а потом для каждого из этих рисков: соответствующие следствия, которые они могут вызвать. Но возможен и обратный вариант: сначала определение нежелательных следствий, а потом — причин, которые могут к ним привести.

Безусловно, количество рисков, связанных с определенным процессом может быть очень большим, поэтому целесообразно их оценить и проранжировать. Основное внимание при разработке документированного описания процесса должно отводиться наиболее существенным рискам.

Главная идея учета рисков при проектировании документированных описаний процессов проста: это описание должно давать ответ на вопрос, как мы можем устранить существенные риски, связанные с выполнением процесса, уменьшить вероятность их возникновения или их следствия, или, по крайней мере, оперативно выявлять их реализацию и реагировать на нее. В другом случае, если в документе описывается только ситуация «когда все складывается хорошо и не возникает никаких проблем», польза от такого документа минимальна. Ведь исполнители чаще всего могут заглядывать в документ именно при возникновении проблем, при реализации рисков — для того, чтобы понять, как действовать в нестандартной ситуации.

Может показаться, что эта идея очевидна и о ней не следует много говорить. Но изучение реальных описаний процессов в отечественных организациях свидетельствует, что ее соблюдают далеко не всегда. Часто разработчики этих описаний действуют простейшим образом: описывают стандартную схему действий «когда все хорошо» (наиболее отработанную и понятную, когда надо описывать известный алгоритм, а не проектировать новый) и игнорируют любые ее ответвления, связанные с реализацией рисков и необходимостью реагирования на них.

Например, рассматривая процесс «Закупки сырья» можно выделить наиболее существенный риск, общий для большинства организаций — дефицит средств, необходимых для закупки. Но в описаниях процессов чаще всего все ограничивается тем, что после заключения договора на закупку заявка на оплату передается в бухгалтерию, а оттуда приходит информация о выполненной оплате. Почти никогда эти описания не предусматривают «наиболее интересный» вариант — когда из бухгалтерии приходит информация, о том, что оплата может быть выполнена только через несколько недель (или вообще — в неопределенной перспективе). Кто какие решения должен принимать в этом случае, как могут вестись переговоры с поставщиком, корректироваться производственная программа и т.п. — на эти вопросы документ ответов не дает. Так же он, как правило, не дает ответов на еще более важный вопрос: как снизить вероятность такой ситуации (через управление бюджетами, прогнозирование денежных потоков и т.п.). Конечно, стандарт ISO 9001 не содержит требований к финансовому менеджменту и эти вопросы не будут рассматриваться внешними аудиторами, но их игнорирование приведет к тому, что в сложнейших ситуациях (при отсутствии средств) сотрудники просто не будут иметь возможности действовать по алгоритму, изложенному в описании процесса.

Другим существенным риском процесса закупок является нарушение сроков снабжения, которое может привести к срыву производственного графика. И снова — в большинстве организаций в описаниях процессов детально указано, что делать, если поставщик передал некачественное сырье или комплектующие (ведь этого требует стандарт как одну из обязательных документированных процедур), но ничего не сказано о действиях, когда поставщик не передал в установленные сроки никакого сырья.

Еще одним примером является ситуация, характерная для многих предприятий пищевой промышленности (в первую очередь — по переработке молока и мяса), когда главным риском является невозможность найти на рынке необходимое количество качественного сырья. В самом деле, в условиях дефицита сырья, предприятия часто вынуждены активно искать надежных поставщиков, привлекать их лучшими условиями закупки, бороться за них с конкурентами. Потеря большого поставщика качественного сырья может быть критической для предприятия. Что же, как правило, предлагается в описании процесса закупок для решения этих проблем? Ответ традиционный: предлагается алгоритм оценивания и выбора поставщиков из реестра по определенным критериям; при этом считается, что у предприятия всегда есть возможность такого выбора. И отсутствуют какие-либо требования, советы, подсказки для персонала о том, что же делать в реальной жизни с реальными проблемами на рынке сырья, когда не хватает имеющихся поставщиков, или они отказываются сотрудничать с предприятием.

Конечно, процесс, который игнорирует указанные риски, может отвечать букве стандарта, быть нормально воспринят аудиторами и пройти сертификацию. Но трудно ожидать, что директор по закупкам будет серьезно относиться к такому процессу и использовать его как рабочий инструмент в своей деятельности. Скорее он будет воспринимать его как дополнительную формальность, необходимую для получения сертификата.

Этот пример, как и много других, демонстрирует общий принцип — отдельные процессы и СМК в целом, построенные исключительно на основе положений стандарта ISO 9001 и других системных стандартов, а не на анализе деятельности организации, ее стратегии и проблем, едва ли станут по-настоящему действенными инструментами для высшего руководства. И анализ рисков, связанных с процессом, может быть эффективным средством для того, чтобы отобразить в документированном описании этого процесса специфику организации.

Каким же образом можно обеспечить направленность процесса на уменьшение и предотвращение рисков? Ниже приведены определенные рекомендации по этому поводу. Эти рекомендации могут применяться как при начальной разработке документированных описаний процессов (при создании СМК), так и при их дальнейшем анализе и пересмотре.

Простейшим вариантом, который не требует существенной траты времени, является простое составление перечня существенных рисков и их следствий перед разработкой или пересмотром документированного описания. Желательно, чтобы этот перечень составлялся межфункциональной группой, в состав которой входят представители всех структурных подразделений, задействованных в процессе. Также полезно включить в состав группы представителей подразделений — потребителей этого процесса (а если процесс имеет внешних потребителей — представителей маркетинговой службы, которые будут отображать их позицию). Ведь именно они могут оценить влияние разных рисков на выходы процесса, серьезность их следствий. При составлении перечня рисков могут использоваться методы мозгового штурма и прочие. В простейшем варианте выбор существенных рисков осуществляется группой без применения специальных методов на основании общего понимания процесса.

Если группа определила, что выявленный риск является существенным для процесса, она может принимать решение о необходимости таких действий:

  • выбор варианта реализации процесса, который позволит исключить или уменьшить риск (при этом в документированном описании должен быть описан такой вариант);
  • выбор варианта реализации процесса, который позволит смягчить следствия риска при его реализации (в документированном описании должен быть описан такой вариант);
  • мониторинг реализации риска и оперативное реагирование на него, в частности, для смягчения его следствий (при этом в документированном процессе описываются действия по мониторингу и решения по их итогами).

Например, если существенным риском для процесса управления персоналом определено несоответствие принятого персонала корпоративной культуре, процесс должен предусматривать тестирование, собеседование и т.п. для кандидатов, направленные на изучение их личных ценностей, или дальнейший мониторинг «применения» новых сотрудников в коллективе (или оба варианта одновременно). В любом случае, процесс должен предусматривать действия, если оказалось, что новый сотрудник не разделяет корпоративную культуру.

Если для описания процессов применяются блок-схемы, удобно для каждого из рисков определить те блоки, которые обеспечивают управление ими. При этом становится понятным, каким блокам надо уделить большее внимание (например, привести более детальное описание соответствующих действий). С другой стороны, это позволит увидеть блоки, которые не влияют ни на один из существенных рисков. Для них можно рассмотреть целесообразность уменьшения уровня детализации описания, которое позволит сократить и упростить документ, а также — уменьшить чрезмерную регламентацию работы сотрудников. Ведь иногда в документированных процессах очень детально расписывается рутинная работа (передача документов между подразделениями, их регистрация, визирование и т.п.), которая нормально выполняется без любых инструкций. При этом непропорционально мало описывается главная деятельность, которая создает ценность в рамках процесса (например, принятие решений).

Целесообразным может быть включение в документированное описание процесса отдельным разделом перечня определенных существенных рисков и их следствий (возможно, с указанием шагов процесса, направленных на управление каждым из рисков). Это поможет исполнителям процесса в дальнейшем лучше понимать, что является главным в их деятельности, на что они должны обращать особое внимание.

Дальнейшее развитие описанных подходов связан с разными методами оценки и ранжирования рисков. При этом могут применяться классические методики управления рисками, такие как FMEA (анализ типов и следствий ошибок).

Основной идеей является оценивание каждого из рисков по нескольким количественными параметрам. В первую очередь, такими параметрами является вероятность реализации риска и серьезность его следствий; в некоторых случаях может оцениваться также вероятность выявления риска на ранней стадии (когда на него еще можно оперативно отреагировать без существенных следствий для выхода процесса).

Для каждого из параметров должна быть определена шкала оценивания (примеры таких шкал приведены на рисунках). Для более легкого применения может понадобиться интерпретация типичных шкал для отдельных процессов.

Следует заметить, что на раннем этапе применения методов управления рисками, не имея достаточного опыта, организациям лучше использовать простые шкалы. С обретением опыта они могут усложняться и детализироваться.

Образец шкалы для оценки вероятности возникновения риска

1

Низкая вероятность, проблема может возникать приблизительно раз в год

2

Средняя вероятность, проблема может возникать приблизительно раз в месяц

3

Высокая вероятность, проблема может возникать приблизительно раз в неделю

4

Составляющая нормальной практики, проблема возникает постоянно

Образец шкалы для оценки следствий возникновения риска

1

В определенной мере увеличивает расходы ресурсов на исполнение процесса, но не влияет на его выход

2

Существенно увеличивает расходы ресурсов на исполнение процесса или как-то ухудшает характеристики выхода процесса

3

Заметно ухудшает характеристики выхода процесса

4

Делает нормальное функционирование процесса и создание выхода невозможным

После оценивания каждого из выявленных рисков по отдельным параметрам определяется общая оценка его важности. Она может определяться как произведение оценок по отдельным параметрам (как правило, этот метод применяется, когда шкала для оценки параметров является довольно большой). Если шкала невелика, оценивание важности риска может осуществляться с помощью специальной таблицы (ее образец приведен на рисунке).

Вероятность возникновения

Следствия

Низкая

Средняя

Высокая

Очень высокая

Малые

 

 

 

 

Заметные

 

 

 

 

Существенные

 

 

 

 

Большие

 

 

 

 

 

По возможности, процесс должен быть изменен таким образом, чтобы устранить или уменьшить этот риск

 

В процесс должны быть включены действия по мониторингу реализации этого риска и реагирования на него

 

Риск не нуждается в отображении в процессе

Безусловно, подобные таблицы могут быть разными для отдельных процессов в зависимости от их важности и требований к их надежности (например, уровень риска, обычный для процесса маркетинговых исследований, может быть недопустимым для процесса производства). Также, по мере усовершенствования организации, эти таблицы могут пересматриваться, предусматривая более высокую надежность процессов и все более жесткие требования к управлению рисками.

Конечно, каждая организация, в зависимости от своей готовности, может выбирать более сложную или более простую процедуру для оценивания рисков. Но в любом случае важно, чтобы результатом этой процедуры были не просто количественные оценки рисков, но их надлежащее отражение в документированном описании процесса.

Примером хорошей практики использования описанных подходов является система управления предприятия Siemens Netherland (призер Европейской награды по качеству). Все документированные описания процессов этого предприятия размещены во внутренней компьютерной сети и представлены в виде «дерева действий». На первом уровне каждый из процессов представлен в виде очень упрощенного описания как определенная последовательность действий (как правило, до десяти действий). Для каждого из действий определен ответственный исполнитель и связанные с ним существенные риски. Если такие риски есть, одним нажатием компьютерной мышки можно перейти к более детальному описанию этого действия, построенного по тому же принципу. Если для определенных действий второго порядка так же определены существенные риски, они будут детальнее описаны на низших уровнях и т.д. Процесс прекращается, когда мы доходим до уровня «элементарных» действий, которые могут выполняться без существенных рисков и, как следствие, не нуждаются в дальнейшем уточнении. В зависимости от сложности и важности процесса количество уровней такого дерева может варьироваться от двух до пяти и более.

Такой подход обеспечивает гибкое нахождение оптимального уровня детализации описаний процессов. С одной стороны, документы могут быть очень детальными там, где их отсутствие может привести к негативным последствиям — реализации существенных рисков. С другой стороны, этот подход предотвращает избыточную детализацию документов там, где она не нужна. А главное — каждый раз речь идет не просто о том, что надо разработать документ, который описывает порядок выполнения определенных действий (без четкого понимания цели этого документа), а о необходимости спроектировать и задокументировать порядок такого выполнения этих действий, который защитит организацию от определенных рисков. При этом значение документов становится понятным как их разработчикам, так и пользователям.

Пример оценивания рисков для процесса «Маркетинговые исследования» (фрагмент)

Риск

Вероятность возникновения

Следствие риска

Серьезность следствия

Важность риска

Требования к процессу

Использована нерепрезентативная выборка

Высокая

Недостоверные результаты, ошибочные управленческие решения

Большие

Высокий

Отдельные шаги блок-схемы — определение генеральной совокупности, важных характеристик и выборки по этим характеристиками

Нечетко сформулирован вопрос в анкете

Средняя

Недостоверные результаты, ошибочные управленческие решения

Большие

Высокий

Отдельные шаги в блок-схеме — апробация анкеты, рассмотрение результатов апробации и корректирование анкеты

Не определена цель маркетинговых исследований

Высокая

Ненужная информация, лишние расходы ресурсов

Малые

Средний

В форме задачи на проведение исследования — определение его цели, в форме анализа исследования — достижение цели

Недостаточный бюджет на маркетинговые исследования

Средняя

Не проведены нужные исследования

Большие

Высокий

Предусмотреть определение ориентировочных бюджетов для каждого из исследований и их обсуждение с высшим руководством — определение приоритетных исследований

Результаты маркетинговых исследований не рассмотрены руководством

Низкая

Лишние расходы ресурсов, неточные управленческие решения

Средние

Низкий