Александр Шмакалов писал(а): Ну и в дополнении к этому, хочу привести мнение одного из коллег, так как часто сталкиваешься и на аудитах, и на обучении с мнением о том, что управлять рисками в рамках данного стандарта необходимо с использованием стандарта ИСО 31000
В течение прошедших три месяца я прочитал несколько курсов по управлению рисками. Понятия не имею, кто воздвиг меня на уровень эксперта в той области, но позиция удобная, поддерживает мое самолюбие и наполняет карман, поэтому не жалуюсь. Я в основном работаю с медицинскими организациями, рисков там полным-полно, и медицинских, и организационных, и репутационных, и прочих. Поскольку я не обманываю своих клиентов, я стараюсь давать четкие и практические указания как уменьшить уровень риска по какому-то направлению, как организовать работу команд в организации, какие бланки использовать. Вероятно это народу нравится, поскольку я не описываю, как важно управлять рисками, я показываю, как это делается. (саморекламы вероятно достаточно)
Но, что интересно: за два полных дня курса я вообще не использую стандарт ИСО 31000, я только вскользь упоминаю о нем, поскольку не понимаю, кому он предназначен, кто должен "выучить" этот стандарт, кто должен овладеть методами, описанными в ИСО 31010, кто эти методы должен внедрить в практику организации. Если кто-нибудь это понимает, буду благодарен за подсказку. Риск-ориентированное мышление, это да; стандарт ИСО 31000, скорее всего, нет.
Почему у меня такая неприязнь к промоутерам ИСО 31000? Потому что управление рисками старо, как Троя. Это дисциплина, которую применяли испокон веков, причем все элементы, заложенные в ИСО 31000, использовались еще при построении пирамиды Хеопса.(Правда, при Азенкурской битве Французы забыли про управление рисками, с печальными последствиями. Они, вообще склоны к тому, чтобы про риски забывать, как доказал Наполеон в 1812).. Сам стандарт ИСО 31000 появился в 2009, как ОПИСАНИЕ надлежащей практики управления рисками, но никак нет как ИНСТРУКЦИЯ для построения системы (управления рисками). Для меня, это равносильно географии (которую, кстати, никогда не любил): дескрипция того, что есть, без даже попытки указать, как надо. И чем организация, которая рисками управляет на основании стандарта ИСО 31000, отличается от организации, которая рисками управляет на основании здравого смысла?
В итоге, что мы имеем (как мне кажется): есть надлежащая практика, которая в один момент плавно перетекает в стандарт, который потом можно использовать для улучшения собственной практики, так как в стандарте даны указания, как это делается (примеры: ИСО 15189, ИСО 17025, ИСО 21500). И есть документ, который нацелен только на описание какого-то явления, который обобщает наблюдение, но не дает никаких инструкций к действию (примеры: ИСО 31000, ИСО 9001, ИСО 22301, учебник по истории, географии, истории искусства, музыке). Как связать эти группы между собой? Я не знаю, а история умалчивает.
В последнее время замечаю, что коммуникация с приверженцами сертификации по ИСО 9001, у меня разладилась полностью. Она и раньше была плохая, но сейчас непонимание достигло максимума. Зачем связывать ИСО 9001 и ИСО 31000? Как это сделать на практике? И зачем вообще ИСО 9001? Или сертификация?
Вопросов больше, чем ответов.
Связь с названием поста в следующем: что первично, практика управления рисками, или стандарт ИСО 31000? Если ИСО 31000, как построить систему управления рисками на основании этого стандарта, но так, чтобы эта система приносила реальную пользу организации? Или все-таки первичная система, которую организация создает на основании здравого смысла? В таком случае, организации не надо доказывать, что при внедрении ИСО 9001 использовались принципы ИСО 31000. Наоборот, орган по сертификации должен доказать, что эти принципы не использовались.
Эссе как эссе, может быть полезным. А может быть и нет.