Ризик-орієнтований підхід у системі управління випробувальної лабораторії Державного науково-дослідного інституту МВС України

The purpose of risk management is to create and retain value that enhances productivity, encourages innovation, and achieves goals. Principles: give an understanding of the characteristics of effective and efficient risk management, explanation of its value, intentions and goals; is the basis for risk management and should be taken into account when developing the organization's risk management structure and processes; should allow an organization to manage the effects of uncertainty on its objectives.

The risk management process involves the systematic application of policies, procedures and methods to communications and consulting activities, contextualization and assessment, processing, monitoring, analysis, documentation and risk reporting.

The risk management process must also be an integral part of management and decision making, embedded in the organization's structure, operations and processes, and can be applied at strategic, operational, program or project levels. An organization's risk management process may have different implementation options, tailored to meet the objectives and relevance of the external and internal factors of the context within which they are applied.

The purpose of monitoring and analysis is to ensure and improve the quality and effectiveness of the design and implementation of the process, its results. Regular monitoring and periodic analysis of the risk management process and its results should be a planned part of the risk management process with clearly defined responsibilities. Monitoring and analysis should be carried out at all stages of the process. Monitoring and analysis include planning, gathering and analisis of information, recording results, and provision of feedback. The results of monitoring and analysis should be taken into account in managing the organization's activities, as well as in measuring and reporting. Keywords: risk-oriented approach, standard, testing laboratory.

Історія стандартів якості ISO розпочинає відлік від британських стандартів BSI 5750, які розробив і прийняв Британський інститут стандартів (British Standard Institute - BSI) у 1979 році. Своєю чергою, вважається, що ці стандарти походять від американських військових стандартів MIL-Q9858, прийнятих наприкінці 50-х років у США. Сьогодні розробленням стандартів серії ISO керує Міжнародна організація зі стандартизації (ISO). Стандарти ISO переглядають кожні п'ять років із унесенням змін у них за необхідності. Це допомагає переконатися, що вони залишаються дієвим інструментом на торговельному ринку [1].

Сутність ризик-менеджменту та його місце в діяльності підприємств розкрито у працях Н.М. Внукової, М.В. Голованенко, Т.В. Головач, Л.І. Донця, О.С. Дубрової, І.Ю. Івченка, О.Є. Кузьміна, В.А. Кравченко, В.В. Лук'янової, Є.Н. Станіславчик, А.О. Старостіної, Д.А. Штефанича та ін.

Метою цієї статті є висвітлення особливостей застосування ризик-орієнтованого підходу у випробувальній лабораторії.

Запровадити систему управління якістю - стратегічне рішення організації, яке може допомогти поліпшити її загальну дієвість та забезпечити міцну основу для ініціатив щодо сталого розвитку.

Потенційні вигоди для організації від запровадження системи управління якістю на основі цього стандарту такі:

- здатність постійно постачати продукцію та послуги, які задовольняють вимоги замовників, а також застосовувати законодавчі та регламентуючі вимоги;

- створення можливостей для підвищення задоволеності замовників;

- урахування ризиків і можливостей, пов'язаних із середовищем і цілями організації;

- здатність демонструвати відповідність установленим вимогам до системи управління якістю [2].

Щоб забезпечити відповідність вимогам стандарту ДСТУ ISO 9001:2015, організація має планувати та виконувати дії щодо розглядання ризиків і можливостей. Розглядання як ризиків, так і можливостей становить основу для підвищення результативності системи управління якістю, досягання поліпшених результатів і запобігання негативним впливам.

Можливості можуть утворюватися як наслідок ситуації, сприятливої для досягнення запланованого результату, наприклад, сукупність обставин, які дають змогу організації приваблювати замовників, розробляти нову продукцію та послуги, зменшувати відходи чи поліпшувати продуктивність. Дії стосовно можливостей можуть також охоплювати розглядання пов'язаних ризиків. Ризик - це вплив невизначеності, а будь-яка невизначеність може мати позитивний чи негативний впливи. Позитивний відхил, зумовлений ризиком, може забезпечувати певну можливість, але не всі позитивні впливи ризику призводять до можливостей [2].

У тих випадках, коли діяльність здійснюється в умовах ризику, необхідно цей ризик ідентифікувати, оцінити його можливі наслідки і контролювати. Процес ідентифікації виміру й оцінки складає зміст аналізу ризику.

Ризик - це вплив невизначеності на реалізацію запланованої діяльності, мету, результат роботи. Скоординовану діяльність для управління ризиками зазвичай називають ризик-менеджментом.

З метою ідентифікації ризику необхідно:

- скласти вичерпний список ризиків (ризик, не включений до списку, не буде надалі оброблятися);

- застосовувати інструменти й техніки ідентифікації - включити в роботу з ідентифікації ризиків максимальну кількість персоналу (робочі групи);

- включати до списку, навіть якщо причина ризику незрозуміла.

Головне в аналізі - зрозуміти причини та джерела ризиків (наслідки та вірогідності).

Сьогодні концепція аналізування ризиків, покладена в основу ISO 9000:2015 [3], частково знайшла своє відображення і в вимогах Стандарту ISO / IEC 17025:2017 [4].

Лабораторія повинна брати до уваги ризики та можливості, пов'язані з лабораторною діяльністю, для того, щоб:

а) упевнитися, що система менеджменту здатна досягти своїх запланованих результатів;

б) розширювати (збільшувати) можливості для досягнення мети та цілей лабораторії;

в) попереджувати або зменшувати небажані наслідки та можливі збої в лабораторній діяльності;

г) досягти вдосконалення.

Лабораторія повинна планувати:

а) дії, орієнтовані на ризики та можливості;

б) спосіб, у який:

- включити та впровадити ці дії у свою систему менеджменту;

- оцінювати результативність цих дій [4].

Підкреслимо, що впровадження системи ризик-орієнтованого менеджменту в повній відповідності до ISO 31000 в лабораторну практику Стандартом не вимагається. Лабораторія сама визначає ризики щодо компетентності, неупередженості та порядку функціонування (лабораторної діяльності) та можливості щодо подальшого вдосконалення. З огляду на наявні ресурси та значимості ризиків, розробляє “плани дій” щодо ліквідації, мінімізації або уникнення ризиків та реалізації можливостей і відслідковує (проводить моніторинг) їх виконання [5].

Одна з моделей управління ризиками, що заснована на відомому циклі Демінга, описана в Стандарті ISO 31000 [6]. Згідно з цим документом, ризик - це вплив невідповідності на результат і ризик буває як негативним, так і позитивним. Відповідно до цієї моделі загальна процедура (процес) управління ризиками може мати такий вигляд.

Спочатку вивчаємо внутрішнє і зовнішнє оточення, тобто чинники, що можуть призвести до ризиків (впливати на результат діяльності). Внутрішнє середовище - це внутрішнє оточення, у якому організація прагне досягти своїх цілей. До поняття внутрішнього контексту організації належать питання, пов'язані з її цінностями, культурою, знаннями, а також із продуктивністю. Зовнішнє середовище організації - це зовнішнє оточення, у якому організація прагне досягти своїх цілей. До поняття зовнішнього середовища можна зарахувати питання, пов'язані із законодавством, конкуренцією, культурою, соціальними аспектами й економічними умовами як на міжнародному, національному, регіональному, так і на місцевому рівні. Далі ідентифікуємо ризики, потім оцінюємо їх вірогідність виникнення.

На основі такого аналізу обираємо ризики (які ми вважаємо суттєвими, що впливають на результат, і вірогідність їх значна) і ідентифікуємо (реєструємо їх).

Потім розробляємо за аналогією планів запобіжних дій та планів дій із удосконалення планів дій із їх усунення або мінімізації.

Виконання дій надалі контролюємо згідно зі Стандартом (проводимо моніторинг ступеня виконання цих дій).

Оскільки вимоги Стандарту сьогодні розповсюджуються не тільки на компетентність, але ще й на неупередженість та порядок функціонування, то документ стосовно ідентифікації ризиків (який містить докази ідентифікації ризиків) може містити три частини - ризики неупередженості, ризики компетентності, ризики порядку функціонування. Цей документ можна назвати “Протокол ідентифікації ризиків” [5, с. 122].

Відділ випробувань ДНДІ МВС України акредитований Національним агентством з акредитації України на компетентність та незалежність, відповідно до вимог ДСТУ ISO/IEC 17025:2006 (ISO/IEC 17025:2005, IDT), органу з оцінки відповідності (далі - ООВ “випробувальна лабораторія”), про що свідчить Атестат, зареєстрований у Реєстрі 07 серпня 2017 р. № 2Н055, дійсний до 06 серпня 2022 року (дата первинної акредитації 07 серпня 2009 року).

Випробувальна лабораторія ДНДІ МВС України постійно визначає ризики щодо своєї неупередженості, охоплюючи й такі, що виникають внаслідок основної діяльності. При виявленні ризику щодо неупередженості випробувальна лабораторія продемонструє, яким чином вона усуває чи мінімізує ризик.

Це здійснюється для того, щоб:

- бути впевненим, що система менеджменту здатна досягти своїх запланованих результатів;

- розширювати можливості для досягнення мети та цілей;

- попереджувати або зменшувати небажані наслідки та можливі збої в діяльності;

- досягти вдосконалення.

Слід зауважити, що ризик - це вплив невизначеності, а будь-яка невизначеність може мати позитивний чи негативний вплив. Позитивний відхил, зумовлений ризиком, може забезпечувати певну можливість, але не всі позитивні впливи ризику призводять до можливостей [2].

З метою технічного забезпечення виконання вимог п. 8.5 ДСТУ ISO/IEC 17025:2017 у випробувальній лабораторії розроблено процедуру щодо управління ризиками: планування та здійснення дій щодо управління ризиками та можливостями, що створить основу для підвищення результативності системи управління відділу випробувань, вдосконалення та запобігання негативним впливам.

Політика випробувальної лабораторії щодо ризиків та можливостей полягає в тому, що на регулярній основі (не рідше одного разу на рік) виявляються ризики неупередженості, компетентності та порядку діяльності.

Виявлені ризики (та можливості) документуються, аналізуються на предмет їх значимості та подальших дій.

Технічне керівництво відповідає за обробку ризиків за затвердженими вищим керівництвом планами (програмами) дій з обробки ризиків та реалізації можливостей подальшого вдосконалення.

Моніторинг ступеня виконання та результативності дій проводиться щорічно при аналізуванні керівництвом.

Цілі ризик-менеджменту випробувальної лабораторії:

- упровадження ризик-орієнтованого мислення в систему менеджменту лабораторії;

- аналізування ризиків із метою запобігання порушенню неупередженості та відхиленням від системи менеджменту лабораторії;

- аналіз можливості для подальшого вдосконалення;

- після аналізування впливу внутрішніх і зовнішніх чинників та визначення рівня ризику в випробувальній лабораторії складається протокол ідентифікації ризиків, у якому перелічуються можливі ризики та здійснюється експертне оцінювання ризиків. Слід зауважити, що в протоколі ідентифікації ризики поділяються на такі категорії: ризики неупередженості, ризики компетентності, ризики функціонування.

ризик управління якість