Менеджмент рисков. Часть 1

Автор: Эмануэль Артем Владимирович
Источник: http://subscribe.ru/archive/business.school.qmsandiso/201103/21090626.html

Часть 1. Вступление.

Все, сказанное ниже - лишь частное мнение наших специалистов. Мы не претендуем, что подходы, описанные здесь, применимы во всех организациях. Более того, менеджмент рисков мы рассмотрим достаточно узко. Мы будем рассматривать его как методологию, применяющуюся для планирования улучшений. Это лишь один из вариантов использования инструментов по работе с рисками.

1. Постоянные улучшения

Требование по постоянному улучшению является обязательным для систем менеджмента качества (СМК), построенных на основе стандартов ИСО 9001 и 15189.

Для СМК на базе ИСО 13485 формально это требование исключено. Хотя если подходить к этому вопросу неформально, это не совсем так.

Для СМК, построенной на базе ИСО 13485 обязательным для внедрения является менеджмент рисков на основе ИСО 14971.

Рекомендациями по внедрению СМК на базе ИСО 15189 является ИСО 22869. ИСО 22869 рекомендует пользоваться ИСО 14971, то есть проводить менеджмент рисков в медицинских лабораториях. Причем внедрение менеджмента рисков рекомендуется именно для организации процесса постоянного улучшения.

То есть, менеджмент рисков - это в том числе подход по планированию и реализации процесса постоянного улучшения. Поэтому, на наш взгляд, ИСО 13485 через менеджмент рисков также требует работы по постоянным улучшениям.

2. Планирование улучшений

При внедрении СМК на базе ИСО 9001 очень часто возникает вопрос -  как на практике реализовать требования к постоянному улучшению? Зачастую никто специально не занимается планированием улучшений, а при подготовке к аудитам просто анализируют, что было улучшено  за год в компании и делают сводный отчет. Это не совсем правильно, так как планирование улучшений позволит сконцентрировать усилия именно на тех процессах/операциях/продукции/услугах, которые критичны для внешних или внутренних потребителей и требуют улучшений в первую очередь.

Стандарт ИСО 14971 предлагает инструменты, с помощью которых можно:

1. Идентифицировать те области, в которых наиболее вероятно возникновение проблем
2. Оценить, насколько возможные проблемы критичны для тех процессов, в которых они могут возникнуть
   Рассмотрим пример. Процесс регистрации и разбора поступившего биоматериала в лаборатории организован следующим образом: помещение, где сидят девушки за столами. Столы не отгорожены друг от друга. Столы не зонированы. Девушки могут беспрепятственно общаться между собой, звонить по личным сотовым телефонам.
   В данном случае риски ошибки при внесении данных в ЛИС, риски перепутать к какому пациенту относится данная пробирка, очень велики.
   И эти риски критичны, так как если будет допущена подобная ошибка, то очень велика вероятность неверного диагноза, лечения и т.д. (Не потому, что будет допущена ошибка на аналитическом этапе, а лишь из-за ошибок на преаналитическом).
   Этими рисками стоит заниматься - вводить правила и процедуры, зонировать помещения и столы, вводить внутренние правила по не использованию сотовых телефонов во время работы и т.п. Это будут настоящие, приносящие пользу улучшения.
   Рассмотрим другой пример. В этой же лаборатории система закупки и хранения реагентов организована так, что существует достаточно большая вероятность того, что в холодильниках останутся просроченные реагенты. С финансовой точки зрения это существенный риск. Но при этом в лаборатории используются только так называемые «закрытые» системы и все реагенты имеют штрих код. В лаборатории НЕ применяются никакие способы обхода систем внутренней защиты оборудования. Соответственно, риск использования просроченного реагента практически нулевой.
   Если ресурсы лаборатории таковы, что заниматься сразу двумя группами рисков невозможно, то в первую очередь надо работать с рисками преаналитики, а риски, связанные с просроченными реагентами внести в план по улучшениям, но уже после решения вопросов с преаналитикой.
   Часто же бывает так, что в организациях в первую очередь начинают заниматься теми проблемами, которые проще решить. Но с точки зрения безопасности пациентов и удовлетворенности потребителей в целом, это не совсем адекватный подход.
   Необходимо всегда оценивать, какие риски  наиболее критичны, и заниматься в первую очередь именно ими.
3. Оценить, насколько эти процессы критичны для продукции/услуг организации, то есть насколько вероятные проблемы могут отрицательно отразиться на клиентах организации.

То есть, применение менеджмента рисков позволяет понять, где в организации могут возникнуть сложности, насколько вероятно их возникновение и насколько эти сложности будут пагубно сказываться на клиентах организации.

По сути это инструмент оценки того, куда нужно вкладывать ресурсы для улучшений.

Потому что без применения менеджмента рисков часто бывает так, что начинают улучшать области, которые проще всего улучшить, но улучшение которых практически не сказывается на продукции/услугах организации. А за этой имитацией бурной деятельности остаются без внимания те процессы, которые действительно нуждаются в улучшениях.

Приведем пример. ЛЮБОЙ документ системы менеджмента можно улучшать до бесконечности. Изменять и улучшать формулировки, строить поясняющие графики, от блок-схем переходить к формату описания бизнес-процессов в IDEF  и т.д. Иногда это нужно и полезно. Но зачастую такое внимание к бумагам никому не нужно и не привносит никакой добавленной ценности к продукции организации.

В следующих выпусках мы детально остановимся на требованиях стандарта ИСО 14971 по менеджменту рисков. Потом разберем, как его можно применять у производителей изделий медицинского и в медицинских лабораториях.

4. Оценка процессов/операций

В завершении этого выпуска хотим порекомендовать нашим подписчикам сделать в своих организациях следующее.

Любой процесс или операцию можно отнести к одной из трех следующих групп:

1. Данный процесс/операция нужен самой организации.
2. Нужен внешним структурам, например контролирующим.
3. Не нужен никому, то есть не привносит добавленной ценности и не является необходимым для функционирования организации.

Попробуйте оценить происходящее в организации с этих позиций. Причем не надо хвататься сразу за все процессы. Сконцентрируйтесь на той области деятельности, за которую Вы отвечаете или в которой Вы участвуете.

Детальный анализ показывает, что до 30% процессов/операций в организациях никому не нужны и не приносят никакой пользы.

При этом надо понимать, что такая оценка должна быть очень аккуратной. Например, дублирование. В условиях малой организации часто можно наблюдать следующее: записи ведутся и в электронном виде, и дублируются в журналах. Это может быть оправдано: предположим, многие годы записи велись на бумажных носителях, но с недавнего времени началось внедрение элементов электронного документооборота. В этом случае, на этапе внедрения, когда очень вероятны сбои в работе компьютерной системы, полезно оставить старый, привычный способ ведения записей одновременно с новым. Когда компьютерная программа будет валидирована и появится уверенность в ее правильной работе и сохранности данных, только тогда бумажный вариант НЕОБХОДИМО исключить. Но если бумажный вариант ведения записей сохраняется ПОСЛЕ внедрения электронного документооборота, то это как раз та операция, которая не привносит никакой реальной пользы (если наличие бумажного журнала не является законодательным требованием).

Резюмируем:

Менеджмент рисков - это системный подход к выявлению «узких» зон, оценки вероятности возникновения реальных сбоев в работе в этих «узких зонах» и оценка того, насколько эти сбои опасны для организации, ее сотрудников и клиентов.

Основа в том, что при правильном внедрении менеджмента рисков, ВЫ получаете общую карту организации, где будут указаны проблемные зоны, вероятности возникновения проблем и степень их опасности. Что позволяет создавать объективные планы по улучшениям.

То есть, если  говорить языком стандарта ИСО 14971, менеджмент рисков - это анализ всех процессов организации, а также продукции, с точки зрения вероятности возникновения различных проблем внутри организации (процессы) и у потребителей (продукция/услуги), оценка степени вреда такой проблемы для людей (сотрудники и клиенты), собственности и общества в целом.

При этом если на местах обнаружена проблемная область и для ее устранения не нужны никакие серьезные действия и много ресурсов, не нужно ждать - нужно делать. Это должен быть один из главных принципов - если выявлена проблемная область, можно принять временные меры, а уже потом заниматься детальным анализом и вырабатывать более эффективные способы устранения или предотвращения проблем.