Идентификация и описание рисков в СМК
Основой для направления системы менеджмента качества (далее: СМК) является систематический и структурированный подход по работе с рисками.
Самым значимыми и продолжительными во времени этапами в работе с рисками являются идентификация и анализ рисков, так как те риски, которые не были идентифицированы или были неправильно проанализированы, не будут далее рассмотрены на следующих этапов.
Идентификация рисков
С целью идентификации полного списка рисков целесообразно использовать систему идентификации, каталоги рисков.
Верхний перечень областей для рисков применительно ко всей организации может охватывать:
- Стратегические риски
- Политические риски
- Правовые/ регуляторные риски
- Технические риски
- Финансовые риски
- Риски IT
- Риски в области персонала
- Риски процессов
- Инфраструктурные риски
При работе с областями верхнего уровня применяется подход Top-Down (сверху-вниз). В идентификации принимают участие руководители верхнего звена.
Области для идентификации рисков верхнего уровня не завершаются указанным списком, а продолжают дробиться/детализироваться вспомогательными областями. Так, например, риски персонала можно структурировать далее на следующие группы:
- Квалификация
- Мошенничество
- Текучесть кадров
- Повышенные нагрузки
- Мотивация/ лояльность
- Халатность
- Саботаж
- И т.д.
Подход Bottom-up (снизу-вверх) предполагает дательную проработку рисков на уровне процессов организации. Несмотря на то, что риски процесса представляют собой более узкую сферу для поиска нежелательных результатов, процесс можно также структурировать на определенные области, как это подсказывают нам требования СМК. Это означает, что мы можем «разбить» процесс на следующие области для поиска рисков, используя модель «Черепаха»:
- Риски инфраструктуры процесса
- Риски персонала процесса
- Риски входных данных
- Риски выходных данных
- Риски показателей
- Риски технологии/алгоритмов
Пример рисков процесса «Привлечение клиентов» можно посмотреть здесь.
Важным аспектом формирования команды для работы с рисками является тот факт, что в круг специалистов должны войти не только ответственные и специалисты с области риска, но и «чужие» сотрудники. Это помогает избежать ограниченного рассмотрения, сортировки рисков на этапе идентификации.
Описание рисков
Идентифицированные риски, например, как они указаны в приведенном формуляре, не позволяют начать работу по их анализу, оценке, ранжированию и т.д., так как сам риск представляет собой обозначенное в различных областях нежелательное явление. Для дальнейшей работы с риском требуется провести его описания по причинам и источникам возникновения. Факторов комбинирования источников и причин огромное множество, именно поэтому мы писали выше, что сбор информации по идентификации и анализу рисков занимает время. Точно также потребуется искать первопричины рисков для того, чтобы перейти к следующему этапу.
Пример описания рисков персонала в области перегрузок:
- Перегрузки по причине недостаточного количества персонала
- Почему недостаточно персонала?
- Отдел кадров не успевает вовремя закрывать вакансии
- Почему не успевает вовремя?
- Изменились ожидания на рынки труда, повысились ожидания к зарплате и соцпакету работодателя
Исходя из этого примера мы должны скорректировать описание риска на:
- Перегрузки персонала по причине недостаточного количества персонала в следствие изменений ожиданий к зарплате и соцпакету.
При этом данный риск в таком описании может относиться только к одному источнику, риску персонала только одного процесса/подразделения. Тогда полное описание будет выглядеть так:
- Перегрузки персонала в отделе главного механика по причине недостаточного количества персонала в отделе в следствие изменений ожиданий к зарплате и соцпакету.
Идентифицированный риск с описанием, как мы указали выше, позволяет быстрее и объективнее провести его анализ.
Подробнее о работе со сложными рисками и их анализе читайте в наших следующих рассылках.
Отдел обучения info@tms-cs.ru