Управління ризиками при побудові процесів системи управління якістю

Калита Тарас Петрович, директор ЦСЯ “ПРИРІСТ-Система”  

Як правило, найбільшою частиною робіт, які організація повинна виконати, будуючи систему управління якістю, є розробка документованих описів процесів. Саме ця складова вимагає максимального залучення усього персоналу та глибокого аналізу діяльності організації. Тому особливо важливо, щоб виконуючи ці роботи організація дала собі чітку відповідь на запитання: для чого потрібні документовані описи процесів? Адже від відповіді на нього залежить і відповідь на наступне запитання: якими вони повинні бути?

На перше з цих запитань існує багато відповідей: щоб забезпечити спільне розуміння порядку виконання процесу, щоб удосконалити обмін досвідом та навчання виконавців, щоб полегшити контроль виконання процесу, тощо. Я пропоную сформулювати відповідь на це питання таким чином: документовані процеси розробляються для того, щоб зменшити ризики виникнення помилок (дефектів, невідповідностей, неефективних дій) при їх виконанні. Дійсно, розробка документу повинна запобігти помилкам при виконанні процесів або зменшити можливість їх виникнення. А якщо при виконанні процесу не існує суттєвих ризиків (наприклад, процес є дуже простим, а виконавці – достатньо кваліфіковані), то немає сенсу його документувати – наявність такого документу нічого не змінить в реальній роботі.

Якщо подивитися на процеси з цієї точки зору, стає зрозумілим, що розробка ефективних документованих описів неможлива без чіткого визначення: які саме ризики ми прагнемо зменшити та усунути таким шляхом. Тільки після цього стає зрозумілим, на що саме ми повинні робити акцент, розробляючи документ, які етапи або варіанти виконання процесу повинні бути особливо детально пропрацьовані. 

Які ж ризики можуть розглядатися при побудові процесів? В першу чергу треба чітко розділити ризики – причини (ризики того, що в рамках процесу певні дії будуть зроблені неналежним чином) та ризики – наслідки (ризики зменшення ефективності та результативності процесу внаслідок виникнення ризиків-причин). До числа ризиків – причин можуть відноситися, зокрема, такі категорії:

  • ризики помилки виконавця;
  • ризики недостатньої кваліфікації виконавця;
  • ризики відсутності у виконавця достатньої інформації;
  • ризики відсутності у виконавця достатнього часу для виконання роботи;
  • ризики відсутності або невідповідності входів процесу;
  • ризики неузгодженості дій різних виконавців.

Звичайно, при розробці процесів в конкретних організаціях усі ці категорії ризиків повинні бути уточнені (наприклад, щодо ризику відсутності достатнього часу – одночасне отримання кількох заявок на виконання робіт).

Що стосується ризиків – наслідків, їх прикладами можуть бути:

  • невчасне отримання виходу процесу (виконання замовлення, закупівлі сировини, розробки бюджету, заповнення вакансії, тощо);
  • невідповідність виходу процесу;
  • незаплановані витрати різних видів ресурсів, пов’язаних з функціонуванням процесу.

При цьому доцільно розглядати ризики не тільки для організації, але і для інших зацікавлених сторін: в першу чергу – для споживачів, можливо також – для персоналу, постачальників, суспільства (зокрема, це стосується ризиків, пов’язаних з охороною праці та впливами на навколишнє середовище).

Традиційно спершу для кожного з процесів визначаються ризики – причини, а потім для кожного з них: відповідні наслідки, які він може викликати. Але можливий і зворотній варіант: визначення небажаних наслідків і визначення причин, які повинні до них призвести.

Безумовно, кількість ризиків, пов’язаних з певним процесом може бути дуже великою, тому вони повинні бути оцінені та проранжовані і основна увага при розробці документа повинна приділятися ключовим ризикам. 

При цьому головним є принцип: документований опис процесу повинен включати дії, спрямовані на усунення, зменшення суттєвих ризиків, пов’язаних з його виконанням, або на їх виявлення та реагування на них. Може здатися, що цей принцип є очевидним і про нього не варто багато говорити. Але аналіз реальних описів процесів на вітчизняних підприємствах свідчить, що його дотримуються далеко не завжди. 

Наприклад, аналізуючи процес „Закупівлі сировини” на підприємствах переробної промисловості (зокрема, з переробки молока та м’яса) виявляється, що головним ризиком є відсутність необхідної кількості сировини, втрата постачальників. Справді, в умовах дефіциту сировини, підприємства часто змушені шукати ефективних постачальників, приваблювати їх кращими умовами закупівлі, боротися за них з конкурентами. Втрата великого постачальника якісної сировини може бути критичною для підприємства. Що ж, як правило, пропонується в алгоритмах СУЯ для розв’язання цих проблем? Вибирати постачальників з реєстру за визначеними критеріями, маючи на увазі, що підприємство завжди має можливість такого вибору. І нічого не говориться про дії в ситуації, коли нам не вистачає наявних постачальників, або вони відмовляються співпрацювати з нами.

Інший ризик, пов’язаний з закупівлями, спільний для організацій усіх галузей – відсутність коштів, необхідних для закупівлі. Але знову ж таки, в алгоритмах СУЯ найчастіше все обмежується тим, що заявка передається в бухгалтерію, а звідти приходить інформація про оплату. Але майже ніколи ці алгоритми не передбачають „найцікавіший” варіант – коли з бухгалтерії приходить інформація, про те, що оплата може бути виконана тільки через кілька тижнів. Хто які рішення повинен приймати у цьому випадку, як можуть вестися переговори з постачальником, коригуватися виробнича програма, тощо – на ці питання СУЯ відповідей не дає.

Наступним суттєвим ризиком цього процесу є порушення термінів постачання, яке може призвести до зриву виробничого графіка. І знову – у більшості випадків в процесах детально описано, що робити якщо постачальник передав підприємству неякісну сировину або комплектуючі (адже цього вимагає стандарт як одну з обов’язкових документованих процедур), але нічого не сказано про дії, коли постачальник не передав жодної сировини.

Звичайно, процес, що ігнорує зазначені ризики, може відповідати букві стандарту, бути нормально сприйнятий аудиторами та пройти сертифікацію. Але важко чекати, що директор з закупівель буде серйозно ставитися до такого процесу і використовувати його як робочий інструмент в поточній роботі. Швидше він сприйматиме його як додаткову формальність, необхідну для отримання сертифікату. 

Цей приклад, як і багато інших, демонструють загальний принцип – окремі процеси та СУЯ в цілому, побудовані на основі вимог стандарту, а не аналізу діяльності організації та її специфіки, навряд чи стануть по-справжньому дієвими інструментами для вищого керівництва. Зокрема це стосується і аналізу ризиків організації. 

Яким же чином можна забезпечити спрямованість процесу на зменшення та запобігання ризикам? Нижче наведені певні рекомендації з цього приводу. Ці рекомендації можуть застосовуватися як при розробці документованих описів процесів (при створенні СУЯ), так і при їх регулярному аналізі та перегляді. 

Найпростішим варіантом, який не вимагає помітних витрат часу, є просте складання перелік суттєвих ризиків перед розробкою або переглядом документованого опису. Бажано, щоб цей перелік складався міжфункціональною групою, до складу якої входять представники усіх структурних підрозділів, задіяних у процесі. Також корисно включити до складу групи представників підрозділів – споживачів цього процесу (а якщо процес має зовнішніх споживачів – представників маркетингової служби). Адже саме вони можуть оцінити суттєвість різних ризиків, пов’язаних з виходами процесу. Для кращого розуміння структури ризиків треба розділяти ризики-причини та ризики-наслідки і визначати причинно-наслідкові зв’язки між ними. При складанні переліку ризиків можуть використовуватися методи мозкового штурму та інші. У найпростішому варіанті вибір суттєвих ризиків здійснюються групою без застосування спеціальних методів на підставі загального розуміння процесу. 

Якщо група визначила, що певний ризик є суттєвим для процесу, вона може приймати рішення про необхідність таких дій:

  • вибір варіанту реалізації процесу, що дозволить виключити або зменшити ризик (при цьому в документованому процесі повинен бути описаний такий варіант);
  • моніторинг настання такого ризику та оперативне реагування на нього (при цьому в документованому процесі описуються дії з моніторингу та рішення за їх наслідками).

Наприклад, якщо суттєвим ризиком для процесу управління персоналу визначено невідповідність прийнятого персоналу корпоративній культурі, процес повинен передбачати або тестування, співбесіди, тощо для кандидатів для перевірки їх відповідності, або подальший моніторинг „вживання” нових співробітників у колектив (або обидва варіанти). У будь-якому випадку, процес повинен передбачати дії, якщо виявилося, що новий співробітник не відповідає корпоративній культурі. 

Якщо для опису процесів застосовуються блок-схеми, зручно для кожного з ризиків визначити ті блоки, які забезпечують управління ними. При цьому стає зрозумілим, яким блокам треба приділити більшу увагу (наприклад, дати детальніший опис відповідних дій). З іншого боку, варто виділити блоки, які не впливають на жоден з суттєвих ризиків. Для них може бути доцільним зменшити рівень деталізації опису, скоротивши і спростивши таким чином документ. Адже інколи в документованих процесах дуже детально розписується рутинна робота (передача документів між підрозділами , їх реєстрація, візування, тощо), яка нормально виконується без будь-яких інструкцій. При цьому непропорційно мало описується головна діяльність, яка створює цінність в рамках процесу (наприклад, прийняття рішень). 

Доцільним може бути включення до документованого опису процесу окремим розділом переліку визначених суттєвих ризиків (можливо, з зазначенням кроків процесу, спрямованих на управлінням кожним з ризиків). Це допоможе у подальшому виконавцям процесу краще розуміти, що є головним в їх діяльності, на що вони повинні звертати особливу увагу. 

Подальший розвиток підходів пов’язаний з удосконаленням системи оцінки та ранжування ризиків. При цьому можуть застосовуватися класичні методики управління ризиками, такі як FMEA (аналіз типів та наслідків помилок), HAZOP, тощо.

Основною ідеєю є оцінка для кожного з ризиків за кількома параметрами. В першу чергу, це ймовірність виникнення ризику та наслідки ризику; у деяких випадках може оцінюватися також ймовірність виявлення ризику на ранній стадії (коли йому ще можна легко запобігти без суттєвих наслідків для виходу процесу).

Для кожного з параметрів повинна бути визначена шкала оцінювання (приклади таких шкал наведені на малюнках). Для легшого застосування може знадобитися інтерпретація типових шкал для окремих процесів. Варто зауважити, що на ранньому етапі застосування методів управління ризиками, не маючи достатнього досвіду, підприємствам краще використовувати прості шкали. З набуттям досвіду вони можуть ускладнюватися та деталізуватися. 

Зразок шкали для оцінки ймовірності виникнення ризику

1 Малоймовірно, проблема може виникати приблизно раз на рік
2 Ймовірно, проблема може виникати приблизно раз на місяць
3 Складова нормальної практики, проблема виникає постійно
 

Зразок шкали для оцінки наслідків виникнення ризику

1 Знижує ефективність процесу, але суттєво не впливає на його вихід
2 Помітно погіршує характеристики виходу процесу
3 Робить нормальне функціонування процесу та створення виходу неможливим
 

Після оцінювання кожного з виявлених ризиків за окремими параметрами визначається загальна оцінка його важливості. Вона може визначатися шляхом множення оцінок за окремими параметрами (як правило, цей метод застосовується, коли шкала для оцінки параметрів є досить великою). Якщо шкала є невеликою, оцінювання важливості ризика може здійснюватися за допомогою спеціальної таблиці (її зразок наведено на малюнку). 

Ймовірність виникнення

Наслідки

Низька Середня Висока
Малі      
Середні      
Великі      
 
  Процес повинен бути змінений таким чином, щоб усунути цей ризик
  В процес провинні бути включені дії з контролю цього ризику
  Ризик не потребує відображення в процесі
 

Безумовно, подібні таблиці можуть бути різними для окремих процесів в залежності від їх важливості і вимог до їх надійності (наприклад, рівень ризику, звичайний для процесу маркетингових досліджень, може бути неприпустимим для процесу виробництва). Також, по мірі удосконалення організації, ці таблиці можуть переглядатися, передбачаючи все вище надійність процесів і все жорсткіші вимоги до управління ризиками.

Звичайно, кожна організація, в залежності від своєї готовності, може вибирати складнішу або простішу процедуру для оцінювання ризиків. Але у будь-якому випадку важливо, щоб результатом цієї процедури були не просто кількісні оцінки ризиків, але вимоги до документованого опису процесу. 

Прикладом кращої практики використання описаних підходів є система управління підприємства Siemens Netherland (призер Європейської нагороди з якості). Усі документовані описи процесів цього підприємства розміщені у внутрішній комп’ютерній мережі і представлені у вигляді „дерева дій”. На першому рівні кожен з процесів представлений як певна послідовність дій (як правило, до десяти дій). Для кожної з дій визначено відповідального виконавця і пов’язані з нею суттєві ризики. Якщо такі ризики є, одним натисканням комп’ютерної мишки можна перейти до детальнішого опису цієї дії, побудованого за тим же принципом. Якщо для певних дій другого порядку так само визначені суттєві ризики, вони будуть детальніше описані на нижчих рівнях і т.д. Процес припиняється, коли ми доходимо до рівня „елементарних” дій, які можуть виконуватися без ризиків і не потребують подальших уточнень. В залежності від складності і важливості процесу кількість рівнів такого дерева може варіюватися від двох до п’яти і більше. 

Приклад оцінювання ризиків для процесу „Маркетингові дослідження” (фрагмент) 

Ризик – причина Ризик – наслідок Ймовірність виникнення Наслідки Важливість ризику Вимоги до процесу
Використана нерепрезентативна вибірка Недостовірні результати, помилкові управлінські рішення Висока Великі Високий Окремі кроки блок-схеми – визначення генеральної сукупності, важливих характеристик та вибірки за цими характеристиками
Нечітко сформульовані запитання в анкеті Недостовірні результати, помилкові управлінські рішення Середня Великі Високий Окремі кроки в блок-схемі – апробація анкети, розгляд результатів апробації та коригування анкети
Не визначена мета маркетингових досліджень Непотрібна інформація, зайві витрати ресурсів Висока Малі Середній В формі завдання на проведення дослідження – визначення його мети, в формі аналізу дослідження – досягнення мети
Недостатній бюджет на маркетингові дослідження Не проведено потрібні дослідження Середня Великі Високий Передбачити визначення орієнтовних бюджетів для кожного з досліджень і їх обговорення з вищим керівництвом – визначення пріоритетних досліджень
Результати маркетингових досліджень не розглянуті керівництвом Зайві витрати ресурсів, неточні управлінські рішення Низька Середні Низький -