Управление рисками и возможностями в испытательной лаборатории.

texadmin, поделитесь формами табличек: Риски, оценка, управление, мониторинг. Спасибо

Shalinia писал(а): ↑11 окт 2019 14:22 texadmin, поделитесь формами табличек: Риски, оценка, управление, мониторинг. Спасибо

Целую программу разработал наш Админ. На форуме выложил. Попробуйте.

Я там названия полей переделываю.

Я написал для нашей лаборатории процедуру по управлению рисками (прописал идентификацию, анализ, оценку, обработку, снижение и мониторинг рисков).

А как быть с возможностями? пока ничего толкового не придумал. По идее иногда риск может предоставить возможность и можно целенаправленно не минимизировать его, чтобы эту возможность реализовать. И вообще, насколько много надо про возможности написать?

Я все эти разделы написала через "И". Идентификация рисков и возможностей, оценка рисков и возможностей, мероприятия по рискам и возможностям и т.д.
Вы правы, последствия риска могут быть не только отрицательными, но и положительными, а это уже возможность. Получается управляя риском надо стараться минимизовать риск и максимизировать возможность.
Так же, для возможностей надо тоже рассматривать риски. Например, вы хотите расширить область аккредитации, это ваша возможность, но есть риск что не пройдете процедуру расширения. Или вы по итогам года, поняли что у вас в штате не хватает людей, и вы планируете расширение штата, это получается возможность. Но есть риск что вы не сможете найти квалифицированный персонал.

Скажем так, возможности надо рассматривать и идентифицировать в процессе планирования улучшений (минимизации риска) и планирования расширения деятельности.
Если вы не планируете расширяться и каких-то серьёзных рисков (кроме риска нарушения беспристрастности и риска нарушения Достоверности) вы не идентифицируете, то и возможности вам рассматривать не надо, поскольку лаборатория работает, а значит возможности совпадают с потребностями.

cordek писал(а): ↑19 окт 2019 09:35 возможности вам рассматривать не надо

Я считаю что в РК слово возможность нужно указывать, так как требование ГОСТ 17025 Введение Согласно требованиям настоящего стандарта лаборатория должна планировать и осуществлять действия по управлению рисками и возможностями.
Я прописал, рисками и возможностями, далее рисками, дал определение возможность.
Если есть какое то развитие можно отнести к возможности. Приём персонала, обучение, покупка нового оборудования. (Для отчётности так сказать)

Я тоже в итоге описал управление рисками и возможностями. Причем возможности связал с рисками: иногда при реализации события риска можно воспользоваться возможностью и улучшить что-то в деятельности лаборатории. Например, если уволился или умер сотрудник (это риск), то у нас появляется возможность нанять на его место более квалифицированного и компетентного.
И таким образом мы идентифицировали и описали несколько возможностей, связанных с рисками.

И даже расчет небольшой сделали для рисков (ранг приоритетности RPN для каждого риска), для возможностей (вероятность реализации возможности ВРВ), и отношение RPN/ВРВ - чем оно меньше, тем лучше. И всегда оно должно быть менее 100, если превышает, то надо предупреждающие мероприятия внедрять.

Игорь писал(а): ↑19 окт 2019 16:10 Например, если уволился или умер сотрудник

А Вы оптимист, с смерти возможности увидели.

Увольнение персонала нельзя воспринимать как возможность по ряду причин. Лучше обучение, как приобретении новых навыков.

texadmin писал(а): ↑20 окт 2019 20:26 Увольнение персонала нельзя воспринимать как возможность по ряду причин.

Можно так посмотреть: "принятие рисков с целью реализации возможности".

Если вы воспринимаете увольнение как возможность, то стоит уволить как минимум побольше сотрудников, что бы возможность была побольше.
Если Вы рассчитываете найти более квалифицированный персонал, то у Вас персонал не очень, а должны все уметь делать всё в рамках своей компетенции, если не умеют то нарушение критериев.

По поводу квалификации соглашусь с вами, но есть еще ряд причин, устранение которых, может рассматриваться как возможность.
Например, некоторые крайние проявления особенностей конкретного работника: забывчивость, рассеянность, большое количество ошибок, нарушение трудовой дисциплины, неумение работать с клиентами, несдержанность и т.д и т.п.
Всё это напрямую или косвенно может влиять на "достоверность результатов деятельности испытательной лаборатории", не так ли?

Тогда и возможность будет называться "Увольнение нерадивого сотрудника"

Взято в группе ВК https://vk.com/club187724024

Добрый день!
Подскажите, пожалуйста, что именно нужно написать в Руководстве по качеству по п.4.1.5 ГОСТ 17025-20197?
В п.4.1.4 мы указали, что ГОСТ ISO/IEC17021-1 выделяет 4 группы рисков для беспристрастности:
a) собственная выгода: угроза возникает в случае, когда человек или организация действуют в личных интересах;
b) анализ собственной деятельности: угроза возникает при анализе человеком или организацией собственной работы;
c) близкие отношения (или доверие): угроза возникает при слишком близких отношениях с лицом или организацией или в том случае, когда аудитор слишком доверяет другому лицу вместо того, чтобы искать свидетельства аудита;
d) запугивание: угроза возникает, когда у человека или органа возникает ощущение, что им открыто или скрытым образом угрожают, например, заменой или сообщением руководству.
Т.е. на основании 4.1.4 нужно расписать пункт 4.1.5. Правильно? А в п.4.1.5 указано, что лаборатория должна продемонстрировать устранение вышеуказанных рисков. Каким образом? Посоветуйте, пожалуйста.
Спасибо!

Как-то со многй поделились такой табличкой по беспристрастности. Можете воспользоваться как отправной точкой, для описания мер по обеспечению беспристрастности в лаборатории.

Методы оценки риска:
– Мозговой штурм;
– Структурированные или частично структурированные интервью;
– Метод Дельфи;
– Контрольные листы;
– Предварительный анализ опасностей (PHA);
– Исследование опасности и работоспособности (HAZOP);
– Анализ опасности и критических контрольных точек (HACCP);
– Оценка токсикологического риска;
– Структурированный анализ сценариев методом «что, если?» (SWIFT);
– Анализ сценариев;
– Анализ воздействия на бизнес (BIA);
– Анализ первопричины (RCA);
– Анализ видов и последствий отказов (FMEA);
– Анализ дерева неисправностей (FTA);
– Анализ дерева событий (ETA);
– Анализ причин и последствий;
– Причинно-следственный анализ;
– Анализ уровней защиты (LOPA);
– Анализ дерева решений;
– Анализ влияния человеческого фактора (HRA);
– Анализ «галстук-бабочка»;
– Техническое обслуживание, направленное на обеспечение надежности;
– Анализ скрытых дефектов (SA);
– Марковский анализ;
– Моделирование методом Монте-Карло;
– Байесовский анализ и сети Байеса;
– Кривые FN;
– Индексы риска;
– Матрица последствий и вероятностей;
– Анализ эффективности затрат (CBA);
– Мультикритериальный анализ решений (MCDA);

– Анализ видов и последствий отказов (FMEA) показался наиболее удобен для испытательных лабораторий. Мы его применили

Самые простые методики из наиболее подходящих для лаборатории (то есть без статистики типа Баеса или Марковских цепей) это Структурированный анализ сценариев методом «что, если?» (SWIFT) и Анализ дерева событий (ETA). В остальных надо еще разбираться.

Я вот начала описывать процедуру по рискам для поверочной лаборатории, и пока она у меня получается какая то слишком сырая, ну я пока не представляю как ее можно будет реализовать на практике...
Может есть какие то примеры реализации требований госта 17025 при написании такой процедуры? Хотелось бы просто увидеть какие аспекты нужно отразить и в каком виде это нужно подать

Protege_ писал(а): ↑08 ноя 2019 11:25 по рискам для поверочной лаборатории,

Зачем? 17025 на поверку не распространяется. Для ПЛ критерии аккредитации, а там по-моему, все по-старому.

scbist писал(а): ↑08 ноя 2019 13:31 Зачем? 17025 на поверку не распространяется. Для ПЛ критерии аккредитации, а там по-моему, все по-старому.

не вводите в заблуждение, в критерии уже добавили про риски пункт.

С форума метрологов
"Наша ПЛ проходила ПК на прошлой неделе. Управление рисками и возможностями должно быть прописано в соответствии с Критериями, должен быть разработан перечень рисков, упоминания ГОСТа 17025 в СМК быть не должно. как и плана перехода на него"

От меня: Интересное замечание - новые знаки для служб видели (применение знака РА)? Там метрологические службы без ссылки на ГОСТ

scbist писал(а): ↑08 ноя 2019 13:31 Для ПЛ критерии аккредитации, а там по-моему, все по-старому

редакция приказа от 19.08.2019 № 506 гласит что необходимо установить в руководстве по качеству правила управления рисками и возможностями, а все в рк вместить трудно, поэтому хочу сослаться там на отдельный документ (в данном случае на ДП)

По моему суть вопроса потеряли
Индетефицируете => Оцениваете, присваиваете уровень(Оценка упомянута в 17025), => План мероприятий (например в течении года) для снижения или предотвращения риска => Записываете произошедшие события, новые риски, пересчитываете уровень.

Контролируете план выполнения мероприятий.

Доброго времени суток, уважаемые форумчане!
Подумалось вдруг сейчас - а почему бы для идентификации неприемлемых рисков не использовать формулировки Приказа Минэкономразвития России от 18.01.2019 № 14 - основания для приостановки деятельности лаборатории?
Всё остальное - приемлемо, как не приводящее к приостановке деятельности.
Далее, если целью создания лаборатории является извлечение прибыли - то рассматриваем исключительно возможности, приводящие к этой цели (закупка нового оборудования, увеличение штата квалифицированных работников и т.п.).
И не городим огород, тем более, что конкретных требований к управлению рисками ГОСТом 17025-2019 не установлено.
Что можете сказать по поводу такого подхода к организации риск-менеджмента?

Лаборатория несет ответственность за принятие решения о том, какие риски и возможности необходимо рассматривать. (то есть вы сами выбираете какими рисками управляете)
4.1.4 Лаборатория должна идентифицировать риски для своей беспристрастности на постоянной основе. (это обязательно)

Лаборатория должна рассматривать риски и возможности, связанные с лабораторной деятельностью, (то есть риски рассматриваем все)
Предпринимаемые действия, связанные с рисками и возможностями, должны быть соразмерны их потенциальному влиянию (значит влияние необходимо оценить, оцениваем по любой методике, можете разработать сами, требования нет, согласно вашей методике соразмерные действия).

4.1.5 При обнаружении риска для беспристрастности лаборатория должна быть в состоянии продемонстрировать то, как она устраняет или минимизирует такой риск. (это я никак, не пойму)

Беспристрастность означает наличие объективности. Объективность означает, что отсутствуют конфликты интересов или они разрешаются таким образом, что не оказывают негативного влияния на последующую деятельность лаборатории.
Возможный пример:
Лаборатория идентифицирует на постоянной основе следующие риски для своей беспристрастности:
а) личная выгода: риск возникает в случае, когда сотрудник действует в личных интересах (финансовый интерес является угрозой беспристрастности и независимости при проведении измерений);
б) близкие отношения (доверительность, фамильярность): риск возникает в случае, если сотрудник и представитель заказчика находятся в близких (родственных, приятельских и т.п.) отношениях;
в) запугивание: риск возникает, когда у сотрудника возникает ощущение, что ему открыто или скрытым образом угрожают;
г) давление со стороны руководства: риск возникает, когда руководство лаборатории или организации имеют выгоду от результатов измерений и оказывают давление на персонал лаборатории с целью получения желаемых результатов, используя свое служебное положение.
В лаборатории приняты (демонстрируются - прим.) следующие меры предотвращения и разрешения конфликта интересов:
а) определены Положением о лаборатории допустимые формы взаимодействия лаборатории с другими подразделениями организации, что позволяет управлять рисками возникновения конфликтов интересов с этими подразделениями;
б) для каждой должности разработаны и утверждены должностные инструкции, подписанные сотрудниками и разграничивающие их права, обязанности и ответственность, что позволяет управлять возможными конфликтами интересов при взаимосвязях внутри лаборатории;
в) ограничен доступ к оборудованию лаборатории лиц, не входящих в состав ЛРК;
г) ограничен доступ к документам лаборатории, включая документы в электронном виде;
д) лаборатория заявляет, что не оказывает услуги, которые могут скомпрометировать объективность результата измерений.

Отправлено спустя 21 час 14 минут:

texadmin писал(а): ↑18 ноя 2019 17:44 это я никак, не пойму

Демонстрация минимизации риска для беспристрастности возможна включением специальных оговорок в договорные обязательства.
Пример формулировки оговорки (без претензий на юридическую корректность):
"Исполнитель выполняет взятые на себя обязательства беспристрастно. Стороны пришли к соглашению, что в случае возникновения рисков для беспристрастности (включая, но не ограничиваясь - возникновением условий для получения личной выгоды, чрезмерно доверительных или фамильярных отношений, давления в целях получения определенных результатов измерений), исполнитель обязуется приостановить работы на срок вплоть до устранения таких рисков совместными с заказчиком усилиями".

Выявлено несоответствие и несогласованность в части пп. в) п.23.18 Критериев аккредитации.

пп. 2) п.1 Изменений в Критерии аккредитации, утвержденных приказом Минэкономразвития России от 19.08.2019 № 506, указано:
2) в подпункте 23.18:
слова "(далее - предупреждающие мероприятия)" заменить словами "(далее - управление рисками)";
подпункт "б" изложить в следующей редакции:
"б) правила управления рисками и возможностями, связанными с лабораторной деятельностью, направленные на предотвращение повторения работ, выполненных с нарушением установленных требований, а также описания (фиксацию) их результатов;";

Из этого НЕ следует, что в пп "в" п.23.18 Критериев аккредитации нужно заменить слова "предупреждающие мероприятия" словами " управление рисками".

У меня вопрос: так что же подразумевал Законодатель? Все же внести изменения в пп "в" п.23.18 Критериев аккредитации и полностью исключить понятие "предупреждающие действия и мероприятия" из системы менеджмента качества, заменив их на "управление рисками и возможностями"? И тогда действительно в тексте Критериев аккредитации разработчиком допущена ошибка.
Или же СМК ИЛ (ИЦ) должна сохранять предупреждающие мероприятия и описывать правила их управления?

Alex писал(а): ↑20 ноя 2019 09:59 что же подразумевал Законодатель?

Это не имеет совершенно никакого значения, так как взаимодействовать вам придется с конкретным экспертом, а не с законодателем.
Поскольку формулировка, как вы заметили, не отличается однозначностью - каждый эксперт волен понимать ее по-своему вплоть до публикации Росаккредитацией специального разъяснения.
Отсюда мне видится два гарантированных пути нивелирования проблемы:
1. Обратиться за официальным разъяснением в ФСА (если вопросы будут массовыми - есть шанс что разъяснение опубликуют на fsa.gov);
2. Включить подпроцедуру предупреждающих действий (выделив ее отдельным блоком) в состав процедуры управления рисками.

Существует распространенное мнение, что, управляя рисками, нужно создавать множество документов, описывать все варианты событий и возможные решения, утверждать их у всех заинтересованных сторон. Однако этот путь может привести к потере эффективности компании и недовольству персонала. Разбираемся, как этого не допустить.

Самый обсуждаемый пункт стандарта ИСО 9001-2015 — риск-ориентированное мышление. Он вызывает много споров как со стороны предприятий, так и со стороны экспертного сообщества. Однако все достаточно просто. Риск-ориентированное мышление и управление рисками — это два разных понятия, каждое из которых обладает своей спецификой в работе с рисками и возможностями. Разберемся подробнее.

Для начала нужно вспомнить текст стандарта.
Справка:
6.1.1 При планировании в системе менеджмента качества организация должна учесть факторы (см. 4.1) и требования (см. 4.2) и определить риски и возможности, подлежащие рассмотрению для:
a) обеспечения уверенности в том, что система менеджмента качества может достичь своих намеченных результатов^;
b) увеличения их желаемого влияния^;
c) предотвращения или уменьшения их нежелательного влияния^;
d) достижения улучшения.
6.1.2 Организация должна планировать:
а) действия по рассмотрению этих рисков и возможностей^;
b) то, каким образом:
1) интегрировать и внедрить эти действия в процессы системы менеджмента качества (см. 4.4)^;
2) оценивать результативность этих действий.
Меры, принимаемые в отношении рисков и возможностей, должны быть пропорциональны их возможному влиянию на соответствие продукции и услуг.

В первую очередь следует обратить внимание на два важных фактора, указанных в стандарте:

Отсутствуют требования по документированию.
Работать с рисками стандарт просит только в рамках пунктов 4.1 и 4.2 ИСО 9001-2015. Это исключительно контекст организации, то есть риски, возникающие относительно внешних и внутренних заинтересованных сторон.

Из-за непонимания этих факторов мы видим тенденцию, когда срабатывает главный риск при внедрении требований стандарта ИСО 9001-2015, а именно — риск переборщить с рисками.

Главная проблема: людям непонятно, что принцип риск-ориентированного подхода — это философия. Именно принцип, а не процесс

В качестве доказательства рассмотрим текст, взятый из приложения А стандарта ИСО 9001-2015, в котором указано:
Приложение А стандарта ИСО 9001-2015
А.4 Риск-ориентированное мышление
«Одна из ключевых целей системы менеджмента качества состоит в том, чтобы она действовала как инструмент предупреждения. Поэтому настоящий стандарт не имеет отдельного раздела или пункта по предупреждающим действиям. Понятие предупреждающего действия выражено через использование риск-ориентированного мышления при формулировке требований к системе менеджмента качества.
…
Несмотря на то, что 6.1 указывает, что организация должна планировать действия в отношении рисков, стандарт не требует формализованных методов менеджмента рисков или документированного процесса менеджмента рисков. Организации сами вправе решать, следует ли разрабатывать более обширную методологию менеджмента риска, чем требуется настоящим стандартом, например, за счет применения других руководящих указаний или стандартов».

В версии стандарта ИСО 9001-2008 требовалась документированная процедура — «предупреждающие действия», которая устанавливала порядок работы с потенциальными несоответствиями, а это и есть риски. Однако в ней не было требования, чтобы процедуру «предупреждающие действия» разрабатывали на основе каких-либо стандартов, например ИСО 31000.

Авторы стандарта подсказывают нам, что подходы к рискам и работа с ними могут быть заложены в самих процедурах и процессах организации. Грубо говоря, инструкция нужна, если риск невыполнения работы или высокой вариативности процесса при его выполнении разными людьми превышает разумные границы.

Возможность перегрузить компанию излишними инструкциями и ненужными процедурами — это тоже значительный риск!

Стоит заметить, что нигде в стандарте ИСО 9001-2015 вы не найдете ссылку на ИСО 31000, например, как на рекомендацию или обязательное требование при внедрении риск-ориентированного подхода.

Как не перегибать с рисками?

Для того чтобы понять, что именно требует стандарт ИСО 9001-2015 от предприятия, проведем аналогию между компанией и человеком.

Существует пословица: «Семь раз отмерь, один раз отрежь». Если сильно упрощать, то стандарт требует от организаций использовать эту пословицу в своей работе.

Риски и возможности всегда появляются из поставленных целей и задач. Например, человеку надо перейти на другую сторону дороги, это цель. Есть пешеходный переход. Но чтобы до него добраться и перейти по нему дорогу, потребуется полчаса. А можно перебежать, это займет пять минут

В этот момент появляются риск и возможность. Можно использовать возможность перебежать дорогу, сэкономив двадцать пять минут. Однако есть риск не добежать вообще. А можно пойти по переходу, но возможности за пять минут оказаться на другой стороне уже не будет. Появляется риск опоздания. Решение в этом случае принимает мозг человека.

Так же и с риск-ориентированным подходом в компании. Сотрудники сообщают генеральному директору о всех рисках и возможностях, которые появляются на пути исполнения поставленной задачи или цели. А он на основе полученных данных принимает взвешенное решение.

В повседневной жизни любой человек постоянно анализирует риски при принятии практических всех решений, даже простейших. Например, нужно пойти поставить чайник во время просмотра фильма. Возникает риск — пропустить фрагмент кино, но возможность попить чай тоже упускать не хочется. Человек принимает решение минимизировать риск: дождаться рекламы.

Стоит заметить, что в этом случае он не берет бумагу и не переписывает на лист все «за» и «против», не документирует принятые решения и не записывает результат. Анализ ситуации, решение задачи и оценка последствий в этом случае не требуют документации.

Так же и в компаниях: подумали, взвесили все «за» и «против» и только после этого начали работать. Как оценить результативность работы с рисками? Работа выполнена, претензий нет.

Реальная ситуация

На сегодняшний день можно утверждать, что из 100 предприятий, внедряющих у себя стандарт ИСО 9001-2015, 80 прибегают к инструменту ИСО 31000 при внедрении риск-ориентированного подхода. Этот подход обоснован далеко не всегда. Компании внедряют его под давлением аудиторов или заказчиков.

В результате люди на предприятиях не понимают, как, а главное — зачем они записывают все возможные риски, вплоть до тех, которыми они вообще не управляют, например, метеориты, периодически падающие с неба, или глобальные катаклизмы. После этого они оценивают эти риски по непонятным для них методикам, которые на самом деле методиками и не являются. Далее оформляют огромное количество бумаг, тратят на это уйму времени, а результата, в том числе финансового, как не было, так и нет.

Эта ситуация в обычной жизни человека выглядела бы очень странно. При переходе дороги нужно было бы выполнить огромное количество действий:

Записать количество машин, проезжающих мимо в определенный интервал времени.
Проанализировать всю статистику сбитых пешеходов за последние пять лет.
Спрогнозировать возможные последствия, если человека собьет автомобиль при переходе дороги.
Занести все данные в математическую модель.
Утвердить полученные результаты у жены или тещи.
Разработать план мероприятий по переходу дороги.
Придумать план действия по минимизации рисков, связанных с этим переходом.
Утвердить эти планы у жены или тещи.
Внедрить эти мероприятия.
Наконец-то перейти дорогу.

И так на каждый риск, с которым мы сталкиваемся в повседневной жизни. Любой человек сойдет от этого с ума.

На самом деле риск-ориентированный подход в этом случае выражается очень просто: переходя проезжую часть, каждый человек сначала смотрит налево, потом направо. Он делает это потому, что знает о риске попасть под машину. В своей жизни человек использует простой инструмент, чтобы обезопасить себя от всевозможных рисков, — здравый смысл и инстинкт самосохранения.

Так вот, риск-ориентированный подход — это инстинкт самосохранения компании. Его надо продемонстрировать делом, показав результат, а не огромным количеством бумаг, якобы доказывающих применение менеджмента риска в компании.

АВТОР: Александр Юхов финансовый директор ООО «Русский Эксперт»
АВТОР: Екатерина Блинкова ведущий эксперт ООО «Русский Эксперт»
https://kachestvo.pro

"В своей жизни человек использует простой инструмент, чтобы обезопасить себя от всевозможных рисков, — здравый смысл и инстинкт самосохранения.
Так вот, риск-ориентированный подход — это инстинкт самосохранения компании. Его надо продемонстрировать делом, показав результат, а не огромным количеством бумаг, якобы доказывающих применение менеджмента риска в компании".
Золотые слова! Именно так обстоит дело с СМК, СМР и др. системами менеджмента в реальной жизни физ. или юр. лица.
Результат / удовлетворенность потребителя, к сожалению не всегда исключают "давление аудиторов или заказчиков". Отсутствие соответствующего документа (описание процедуры, процесса, системы в виде ДП, СТО, СТБ, СМБ...; Сертификата соответствия; Аттестата …) зачастую приводит к удивительным выводам "горе-экспертов / специалистов" об "отсутствие" соответствующей СМ, в т.ч. управления рисками ("риск-ориентированного мышления") в организации!?
Управление одним и тем же риском в разных организациях реального сектора экономики (в финансовом секторе это не так), как правило, приведёт к различным результатам, начиная от квалификации риска до его принятия!?-))
ИМХО. Наша СМК (формализованные нами требования), особенно с учётом новой версии ГОСТ ИСО 9001-2015, в которой исключили понятие обязательной документированной процедуры, - наш защита от "давления...". Внешние регламенты, согласен с авторами статьи, сегодня не требуют от нас "кучи бумаг" по рискам, тем более во всех организациях рисками управляли успешно со дня создания!-)) Основание данного утверждения!? Мы /Вы - существуем-)))
Коллеги! Для сокращения "горы.." и облегчения своего труда предлагаю использовать отдельные основополагающие понятия СМР, а именно: "управлять всеми рисками не возможно и не эффективно"; решение об управлении идентифицированными рисками принимает руководитель -лидер организации, на основе, в т.ч. своего "риск-аппетита"; "необходимо управлять только ключевыми рисками". Алгоритм следующий - первый этап: идентифицируем десятки рисков по основным процессам СМК - оцениваем все - управляем на порядок меньшим количеством рисков, единицами. Причём, для достижения конечной цели в этом алгоритме, надо на первых этапах "правильно" квалифицировать и оценивать риски. Практика показывает, что в разных структурных подразделениях организации при этом подходе всегда можно выделить всего несколько ключевых рисков, которые имеют одинаковое название и, соответственно, требуют одинакового управления!-))) "Овцы целы и волки сыты", однако-))).
В противном случае, рискну предположить, с СМР будет в РФ как с СМК - куча бумаги в виде десятков СТО/СТП, которые написаны для внешних проверяющих и минимум действующих, эффективных СМК (по данным тех же проверяющих).

Так и не кто не заставляет управлять всеми, там беспристрастность вроде обязательна. Я б такую формулу вывел
Затраты на управление риском меньше равны нереализовавшихся потерь (в результате управления) + 0,5% потенциальных потерь.
Траты на управление порциональны, начиная с самых необходимых пунктов.

Для маленьких организаций самый оптимальный вариант нейтрализовать самые негативные, а для всякой мелочи можно резерв создать, покупка больших по объёму запасов(которые точно расходуются), расширение спектра услуг, кубышка опять же.

Будем честны, какой риск? некоторые от месяца к месяцу перебиваются, другие работой завалены, день прошёл и ладно. Тушим где горит.
Или у кого то не так?

По "Так и не кто не заставляет управлять всеми, там беспристрастность вроде обязательна" позволю уточнить.
"Беспристрастность" - термин наш, ИСО 17025, не встречается в ИСО 9000 и 31000. Используя его сократить количество рисков в управлении?!
"Человеческий фактор" - этот термин в СМК и, особенно в СМР, на первых ролях (см. инфу о катастрофах - "человек - исполнитель" рулит-))) Для нас этот фактор в лице проверяющего - в первые с СМР столкнувшегося в реале, Риск! Дело новое и, зная опыт внедрения 9001-2015 с 2015 года в РФ (мы тут с Вами идём по проторенное другими тропе-))), рискну предположить, что здесь будет много чего любопытного от проверяющих-)))
Формула понятная и, наверное, её можно применить для "демонстрации риск-ориентированного...", но, в реале посчитать "затраты на управление риском" (случайное событие, которое может, а если СМР эффективно, то и не произойдёт никогда - цель нашей СМ!!!) и сравнить с потерями (не дай бог, если это будет реализация ключевого риска с катастрофическими последствиями) возможно, но крайне редко!-)))
Сори-))) "нейтрализовать самые негативные" - риск безусловно, в основном, рассматривается как "негативное случайное событие", но, как правило, он имеет и обратную сторону медали - "возможности". Пример каскадного "негативного" риска, для мифической ИЛ №1 " ошибка персонала …" - "непрохождение МСИ..." - "приостановление действия аттестата аккр…" - "срыв ответ. заказа в конце фин. года"- "невыполнение фин. обязательств перед кредиторами, налоговыми, заказчиками… " - "наложение ареста на счета по решению суда" - и дальше по Вашему усмотрению-))) Но, смотрим "среду" и "миссию" ИЛ №2 (в нашем регионе много заказчиков и всего две ИЛ -вводная) - для неё это "ВОЗМОЖНОСТЬ" стать лидером, единственной и "неповторимой" ИЛ в регионе + получить резкое увеличение объёмов ...! "Цель", прописанная во всех "политиках" ИЛ №2 достигнута!-)))
Поэтому, как правило, в СМР в Вашем / нашем случае РМ употребляют термины "ключевые" / "катастрофические" риски.
Цель, согласен, ИМХО, про это статья и мой спитч, Вами определена для ИЛ: "Для маленьких организаций самый оптимальный вариант нейтрализовать самые негативные".
Не размениваться по "мелочам"(основная цель СМР - идентифицировать "ключевые" и "мелочи", дать лидеру информацию корректную, ресурсы у него не безграничны, на "мелочи" можно забить-))) Если ИЛ работает, то "мелочами" мы худо-бедно уже управляем успешно годами! Тем более, даже если они реализуются, то их последствия для нас не критичны! "Риск -аппетит", однако-)))
"Тушим где горит"! ИМХО, очень наглядный пример Вы привели в этом случае!-))) Именно, регулярные пожары лесов (США -Калифорния, РФ -Сибирь) - благодатная почва для выращивания "риск-ориентированного мышления" в ИЛ-)))

В отличие от ИСО 9001 ИСО МЭК 17025 предписывает вести документацию по рискам. Поэтому и будем вести. Риски беспристрастности точно должны быть идентифицированы и оценены, то есть уже некоторое количество записей будет сделано,чтобы показывать их аудиторам.

cordek писал(а): ↑10 дек 2019 05:43 В отличие от ИСО 9001 ИСО МЭК 17025 предписывает вести документацию по рискам. Поэтому и будем вести. Риски беспристрастности точно должны быть идентифицированы и оценены

Пожалуй, в отношении "предписывает" различия между ГОСТами не столь существенные.
Так в п.6.1.1 ГОСТ ИСО 9001-2015, фундаментального для СМ и др. регламентов ИСО, написано: "...организация должна … определить риски ..., подлежащие рассмотрению …", - а в п 6.1.2 "Организация должна планировать:a) действия по рассмотрению этих рисков и возможностей...оценивать результативность этих действий". Выполнение этих требований приведёт к появлению "документации по рискам"!?
Конечно, в тексте более позднего регламента, созданного на основе "фундаментального" ИСО, ГОСТ ИСО МЭК 17025-2019, есть аналогичное требование, предписывающее "ведение документации", в п 4.1.4 "Лаборатория должна идентифицировать риски для своей беспристрастности на постоянной основе. Это должно включать риски, которые возникают в процессе ее деятельности, в результате ее отношений или отношений ее персонала. Вместе с тем такие отношения не обязательно представляют собой риск для беспристрастности лаборатории".
Последняя строчка текста п.4.1.4 ясно говорит о том, что риска может здесь и не быть! Что и подтверждается в тексте п. 4.1.5 "При обнаружении риска для беспристрастности лаборатория должна быть в состоянии продемонстрировать то, как она устраняет или минимизирует такой риск". Вероятность реализации события "Риски для беспристрастности ... обнаружены" не равна 100% (1). Риски для беспристрастности могут и не быть обнаружены!
ГОСТ Р 51897 "МР. Термины и определения" в п. 3.3.3 трактует термин "идентификация риска" как: "Процесс нахождения, составления перечня и описания элементов риска". Значит, допускается / возможен вариант реализации "процесса нахождения..." при котором, в организации "не найдут"... !? Понятно, что "оценивать" то, что не найдено крайне затруднительно-)))
На практике, как правило, целью процесса идентификация рисков является составление первичного перечня рисков для процессов СМК, где без "ведения документации" не обойтись (перечень - документ).
Дальнейшие действия в отношении рисков подробно описаны автором начальной статьи и нами в этой ветке / теме. Эти действия могут иметь продолжение в виде "документации" в т.ч. и в отношении "рисков для беспристрастности", а могут и не иметь!
Не требуют указанные выше регламенты от нас обязательного ведения "документации" по рискам!
Мы должна продемонстрировать риск-ориентированное мышление, а не расходовать свои ресурсы на дополнительную "документацию".
Как крайнюю ситуацию, для понимания, приведу гипотетический пример для ИЛ: в рамках реализации Плана перехода на … провели идентификацию рисков основных процессов СМК / деятельности ИЛ, оценили, передали созданную "документацию" лидеру, ГД -владельцу ИЛ, а тот возьми и, на основании прошлого опыта, планов развития ИЛ и не маленького риск- аппетита, принимает решение на этом прекратить расходование ресурсов ИЛ по управлению (РМ) идентифицированных рисков ИЛ?! Год прошёл - подвели итоги - оценили СМК - а наш начальник молодец! Не ошибся! Нет случаев реализации рисков, нет потерь /ущерба!
ИМХО! Высший пилотаж РМ данной ИЛ в разрезе года! Так бы все работали-)))
Коллеги! ИМХО! Главное отличие новой версии ИСО 9001 для СМК и других СМ в РФ (для ЕС не так!) - это отсутствие требования ведения "документированных процедур" / многочисленной документации по процессам. Безусловно, для 600 сертификационных организаций РФ и других многочисленных "проверяющих" / надзорных органов привыкших работать / начинать и заканчивать проверку СМК с "чтения" десятков СТО / СТП / ДП … - это не есть хорошо и они обязательно будут пытаться толковать требования новых версий регламентов ИСО по своему-)))

При всем уважении, вы пишите много, но не всё о том. Документация по управлению рисками должна быть, потому что лаборатория должна продемонстрировать по крайней мере идентификацию и оценку рисков беспристрастности. Значит две бумажки надо будет заполнить.
Первой назначить ответственных за идентификацию и оценку.
Во второй написать, что рисков не обнаружено.

Отправлено спустя 3 минуты:
Риск менеджмент строится на основании опыта.
ИСО 9001 не даёт чётких требований, потому что у всех по разному строится процесс и есть разный опыт.
ИСО мэк 17025 основан на опыте лабораторной деятельности, и опытные люди знают какие есть риски в лаборатории постоянно.

Продемонстрировать риск-ориентированный подход без наличия соответствующих документов трудно. Документация должна быть. Кто против?! Вопрос - сколько? Один, два или десятки?! В моём примере - всего два!
Её объём / перечень - не регламентируется и может значительно отличаться, в т.ч. в зависимости от "опыта" конкретной ИЛ .
В случае, если практика /опыт лабораторной деятельности конкретной ИЛ не имеет информации о реализации "рисков беспристрастности", то их вообще может не быть в перечни рисков ИЛ, утверждённых руководством. Значит "не должна" лаборатория их оценивать. Регламенты это не запрещают.
Вы пишите - "должна"?!
Тема - Как управлять рисками без бюрократии, т.е. без излишнего документооборота.
Находясь уже 12 лет в этой теме (6 ЕС + 6 РФ) рискнул поделиться с коллегами своим видением...
Усложнять легко -упрощать сложно-)))

Сталевар писал(а): ↑11 дек 2019 16:48 случае, если практика /опыт лабораторной деятельности конкретной ИЛ не имеет информации о реализации "рисков беспристрастности", то их вообще может не быть в перечни рисков ИЛ, утверждённых руководством

Только если лаборатория не имеет опыта вообще.

Но инструкцию и пару рисков в паспорт написать все равно надо

texadmin писал(а): ↑18 ноя 2019 17:44 4.1.5 При обнаружении риска для беспристрастности лаборатория должна быть в состоянии продемонстрировать то, как она устраняет или минимизирует такой риск. (это я никак, не пойму)

Для соблюдения требования раздела 4, т.е. конфиденциальности, беспристрастности лаборатория может показать следующее в качестве доказательства в ходе оценки.
1. Заявление от персонала лаборатории о беспристрастности, конфиденциальности и операционной целостности.
2. Обязательство за беспристрастность и конфиденциальность в отношении всей лабораторной деятельности.
3.Юридическое соглашение с заказчиком о конфиденциальности всей информации, полученной или созданной в ходе лабораторных работ.
4. Юридическое соглашение со всеми членами лаборатории для сохранения конфиденциальности информации о клиентах и лабораторной деятельности.
5. Документированная информация об одобрении клиента для обнародования информации.
6. Документированная информация об общении с клиентом.
7. Заявление от персонала лаборатории о беспристрастности, конфиденциальности и операционной целостности. Установление политики конфиденциальности. Контроль передачи данных в лаборатории.

Муртаз писал(а): ↑12 дек 2019 14:49 Но инструкцию и пару рисков в паспорт написать все равно надо

Именно так коллега! Спасибо за понимание.
Завершив идентификацию рисков с привлечением более десятка исполнителей - экспертов с многолетним стажем работы и успешным неоднократным прохождением различных проверок, вижу, что по хорошему все риски, которыми следует управлять, можно свести / квалифицировать как Вы сказали : "парой рисков".
Учитывая то, что коллеги по ИЛ, да и сами эксперты - проверяющие "новички" в РМ, рискну отойти от канонов РМ и каскадные риски не буду сводить /квалифицировать к одному.
ИМХО. 3-5 рисков в реестре и других документах будет достаточно на первое время для вхождения в тему / создания "наглядных форм" по РМ, типа Карта / Матрица / Паспорт / План управления рисков и т.д.-)))
Для понимания, в реальном секторе, на предприятиях с тысячами сотрудников и десятками структурных подразделений, где несколько лабораторий с общим персоналом под сотню..., список основных рисков вполне может содержать те же 5 рисков!-)))

Сталевар писал(а): ↑16 дек 2019 11:18 Для понимания, в реальном секторе, на предприятиях с тысячами сотрудников и десятками структурных подразделений, где несколько лабораторий с общим персоналом под сотню..., список основных рисков вполне может содержать те же 5 рисков!-)))

количество рисков не должно коррелировать с количеством сотрудников это по определению понятно. Другое дело, что если в группе сотрудников, которые идентифицируют и оценивают риски, много людей с большим опытом, то они смогут описать больше рисков. Менее опытные ограничатся двумя-тремя.

Ну это я утрировано написал 2-3 риска, у самого в паспорте без двух четыре десятка... проблема в том, что если они не записаны то их и анализировать не надо, если они не возникли... а так мне придется при анализе СМК только про риски поэму написать... Вот и стоит дилемма то ли все идентифицировать, то ли на 2-3 остановиться...

https://youtu.be/ZiLXjM9CRTY?list=PL2rb ... HQoJqARUaz
"Управление рисками в испытательной лаборатории. Идентификация, анализ и оценивание рисков. Воздействие на риски".
Видео-запись вебинара Учебного центра ЭкоСфера в рамках раздела "Переход испытательной лаборатории на новый ГОСТ ISO/IEC 17025-2019"
В этом видео мы рассмотрим основные термины и определения, а также основные этапы процедуры управления рисками, рассмотрим всю схему процесса.

Муртаз писал(а): ↑16 дек 2019 14:39 проблема в том, что если они не записаны то их и анализировать не надо, если они не возникли

Вы наверно какую-то сложную процедуру анализа прописали. Просто составляете ресстр рисков, прописывается вероятность (условно) и величина последствия (условно), потом значимость риска. Если риск незначителен, то вы к нему возвращаетесь раз в год только при обновлении реестра рисков. Никаких действий по этому риску осуществлять не надо.

Муртаз писал(а): ↑16 дек 2019 14:39 Ну это я утрировано написал 2-3 риска, у самого в паспорте без двух четыре десятка... проблема в том, что если они не записаны то их и анализировать не надо, если они не возникли... а так мне придется при анализе СМК только про риски поэму написать... Вот и стоит дилемма то ли все идентифицировать, то ли на 2-3 остановиться...

Коллега! Надеюсь Вам понятно, что количество рисков в реестре / перечне "не должно коррелировать с количеством сотрудников"-))), а зависит от количества основных процессов СМК, Вами выбранных (количества подразделений, реализующих эти процессы), от опыта / практик Вашей организации, от отрасли, где она "управляет рисками"-))) и т.д.
Для примера, сравните Наши с Вами реестры первичных рисков с "первыми шагами РМ" в"Научно-исследовательский центре ООО ТК «ОМЗ-Ижора» -в составе центра функционируют восемь лабораторий, механический цех и отдел качества и стандартизации!?
Количество рисков, которые Ваши ЛПР после оценки (вероятность, ущерб), ранжирования, включат в основные, "достойные управления", будет меньше количества рисков, Вами / персоналом идентифицированных.
Много на этапе идентификации зависит от риск-менеджера: как он сформулирует вопросы, как он проведёт анкетирование, какие цели поставлены ЛПР перед РМ (этот аспект самый главный!) и т.д.
Сори, если Вы провели опрос / идентификацию рисков ИЛ и на выходе у Вас 40 рисков или 400-))), свести их к 4 или "на 2-3 остановиться" не только достаточно просто, но и правильно с точки зрения СРМ, тем более, что от нас требуется не создание СМР, а только "демонстрация риск-ориентированного мышления"-))).
В основном, коллега cordek, Вам уже написал о процедурах начальных (уверен, большинство наших коллег так и сделало): составляем реестр / идентифицируем / оцениваем (вероятность, последствия) / определяем основные ...для управления / ЛПР принимает решение.../ управляем / мониторим ситуацию и т.д.
Для того, чтобы решить надо их оценить, поэтому, после того как у меня сформировался "Список первоначальных рисков ИЛ" (результат анкетирования ответ. исполнителей и ЛПР для всех процессов ИЛ), провожу оценку с ранжированием, кодированием и др. оформительными действиями. На основании этого выбираем, по своим возможностям, основные риски (должна быть прописана "планка" / величина ранга / условия выбора) и т.д.
Для себя, после одобрямс ЛПР и разговоров с экспертами, коллегами, учитывая данный сектор экономики, решил "от греха подальше" включить в список основных риски, которые упоминаются / популярны в ГОСТ 17025 (беспристрастность, конфиденциальность), но не были указаны в ответах коллег -))) Естественно, для моей ИЛ они будут иметь минимальный ранг, но, понимая уровень проверяющих в области РМ, предлагаю учесть этот фактор-))) Лучше "не рисковать" - пусть будет...
Поэтому ... по Вашему пути, добавлю к 3 ещё 2 и будет 5..., которыми будем управлять и "демонстрировать..."-)))
Сори, за прописные истины СРМ: "Действующая Организация имеет СМР, управляет рисками, даже, если это не формализовано в её документах"; "Всеми рисками управлять невозможно" и "Все риски любой организации можно свести к одному: Прекращение деятельности этой организации по причинам...и с последствиями ... для владельцев/ца этой...".
Удачи в РМ и хорошего корпоратива всем коллегам - МК - рисковикам-)))

DigitalError писал(а): ↑20 ноя 2019 10:27 Включить подпроцедуру предупреждающих действий (выделив ее отдельным блоком) в состав процедуры управления рисками.

Как Вы, коллега, написали так и сделал у себя!-))). По памяти - на форуме уже были аналогичные предложения!? Мы с Вами не первые в этом-))) Уточнение - убрал "предупреждающие..." с заголовков / название НД, чтобы не дразнить гусей-)))
Возможно, со временем риск-терминология вытеснит "предупреждающие...".
В ДП по рискам прописал / легализовал "предупреждающие действия" Так удобно персоналу - привыкли работать +за годы в ИЛ создана соответствующая документация, например по ВА.
ГОСТ 17025 и базовый, ГОСТ 9001-2015, этого не запрещает. В СМК предприятий этот вопрос с 2015 возник /решается.
Вам решать, как ...

Отправлено спустя 23 минуты:

DigitalError писал(а): ↑18 ноя 2019 14:40 Подумалось вдруг сейчас - а почему бы для идентификации неприемлемых рисков не использовать формулировки Приказа Минэкономразвития России от 18.01.2019 № 14 - основания для приостановки деятельности лаборатории?
Всё остальное - приемлемо, как не приводящее к приостановке деятельности.

Что могу сказать по этому? ИМХО! Вы выразили суть РМ! У себя так и пытаюсь сделать, настроить коллектив-)))
В результате идентификации рисков выделяют "Ключевые риски", которые обязательно должны управляться в организации. Главное отличие этих рисков от остальных, вероятность "приостановки деятельности" организации в случае их реализации!
Здравый смысл - наличие потенциального летального исхода заставляет "больного" тратить, в первую очередь, ресурсы на профилактику соответствующего возможного заболевания, не обращая внимания на менее опасные...-)))

Сталевар писал(а): ↑23 дек 2019 08:47 Как Вы, коллега, написали так и сделал у себя!-)))

Пару недель назад прошли ПК по новому ГОСТ 17025-2019. Полет нормальный, ни одного вопроса к организации риск-менеджмента не было. С наступающим НГ и удовольствия от работы!