Управление рисками лаборатории в соответствии с требованиями ГОСТ ISO/IEC 17025-2019

С введением в 2019 году пересмотренной версии ГОСТ ISO/IEC 17025-2019, которая стремится к большей согласованности с ISO 9001, лабораториям необходимо внедрять мышление в отношении своей деятельности, основанное на оценке рисков. В какой-то степени лаборатории встречались с похожим подходом и в предыдущей версии стандарта СТБ ИСО/МЭК 17025-2007 при реализации требований по разработке предупреждающих действий, однако внедрение мышления, основанного на оценке риска, требует от лаборатории формального и стратегического взгляда на конкретные риски и возможности, с которыми она сталкивается.

Т.к. рассмотрение рисков и возможностей это новое требование и стандарт не предписывает, как это должно быть сделано, многие лаборатории могут быть не уверены относительно шагов, которые необходимо предпринять для выявления, оценки и обработки рисков и возможностей. Эта статья предназначена оказать помощь лабораториям в отношении управления рисками с целью обеспечения выполнения требований ГОСТ ISO/IEC 17025.

Процесс управления рисками в лаборатории

Что такое риск? Используя термины и определения СТБ ISO 31000-2015 риск можно определить как неопределенность лаборатории для достижения ее целей (например, удовлетворенность потребителя). Стоит отметить что неопределенность может быть отрицательной (риск) или положительной (возможность).

Давайте рассмотрим основные этапы процесса управления рисками в лаборатории.

Шаг 1: Определите риски и возможности

Процесс управления рисками ГОСТ ISO/IEC 17025 следует рассматривать как совместную работу команды: высшего руководства, персонала ответственного за систему менеджмента и технического персонала. На этом этапе должны быть перечислены все потенциальные риски и возможности, которые могут возникнуть в результате лабораторной деятельности. На этом этапе могут использоваться по отдельности или в комбинации следующие методы:

Мозговой штурм.
Этот метод позволяет собирать мнения обо всех источниках риска (внутренних и внешних). Сотрудники различных уровней должны участвовать в мозговом штурме, поскольку это обеспечивает наиболее полную и реалистичную оценку рисков. Любые идеи приветствуются, и ни одна из них не отбрасывается на этой стадии процесса.

Процессный подход.
Он учитывает как внутренние, так и внешние воздействия. Источники рассматриваются путем анализа входных и выходных данных процесса/деятельности, включая управление, методы, рабочую силу, материалы, оборудование и окружающую среду.

Будущие сценарии / анализ сценариев.
Он включает в себя создание различных сценариев-ситуаций (позитивные сценарии / лучшие случаи и негативные сценарии / худшие случаи), которые формируют основу для развития образа действий. Основой для прогнозирования должны быть данные, например, из отчетов аудита или отзывов клиентов и жалоб. В качестве примера, возможность расширить области деятельности лаборатории может быть идентифицирована с помощью отзывов клиентов, которые запрашивающих дополнительные испытания.

SWOT-анализ (сильные и слабые стороны, возможности, угрозы).
В нем рассматриваются внешние факторы, такие как рыночные силы и положение, а также внутренние факторы, такие как уникальность услуг, которые предлагает лаборатория.

Шаг 2: Оцените риск

В зависимости от сложности ваших операций, вы можете провести качественную или количественную оценку ваших рисков и возможностей. Для качественных оценок команда назначит значение низкого, среднего или высокого для каждого идентифицированного риска. Уровень риска будет зависеть от таких факторов, как вероятность того, что событие произойдет, и серьезность последствий этого события (например, если лаборатория может пострадать в финансовом отношении или ее репутация может пострадать). 
Для количественной оценки определите, насколько важен каждый риск или возможность, назначив значение вероятности возникновения и серьезности события (т.е. меру отрицательного или положительного воздействия). Существуют матрицы риска 3 × 3 или 5 × 5, которые могут помочь в расчете и определении уровня риска. Лаборатории могут присваивать баллы от 1 до 3 для каждого фактора, что при умножении приведет к значениям риска от 1 до 9. Для лаборатории с более сложными операциями баллы от 1 до 5 могут присваиваться каждому фактору, что приводит к риску значения между 1 и 25. Результирующее значение риска (или возможности) указывается в матрице как низкий, средний или высокий.

Шаг 3: Ранжируйте риски и возможности

На этом этапе все стороны должны договориться о том, какой рейтинг рисков является наилучшим, чтобы определить, какие из них следует рассмотреть в первую очередь, а какие во вторую и т.д. Рейтинги могут основываться не только на расчетной или присвоенной величине риска, но также и на наличии ресурсов и затрат на его устранение.

Шаг 4: Определите действия, которые необходимо предпринять

Команда должна будет рекомендовать и принять решение о действиях, которые необходимо предпринять для устранения выявленных рисков и возможностей. Действия могут варьироваться от принятия мер по снижению или устранению рисков до бездействия, потому что вероятность возникновения риска очень мала. Не весь анализ риска должен приводить к действиям по снижению риска. Команда может сначала решить более простые проблемы, чтобы вычеркнуть их из списка, однако проблемы, которые могут привести к критическому риску для лаборатории, не следует откладывать на задний план.
Рекомендуется назначить лиц, ответственных за действия, и сроки их выполнения.

Шаг 5: Внедрение, мониторинг и контроль

Выбранные действия должны быть реализованы в лаборатории. Руководство лаборатории должно нести ответственность за предоставление ресурсов, выполнение предлагаемых действий и обеспечение их желаемого эффекта.

Документация

Стандарт не требует документирования процесса управления рисками. Для обеспечения согласованности операций рекомендуется документировать процесс и сохранять записи в качестве доказательства того, что он был реализован. Процедура может представлять простую блок-схему, в то время как фактическая оценка риска может быть задокументирована в форме, которая перечисляет каждый риск или возможность, потенциальные последствия, уровень риска или значение риска и действия, которые необходимо предпринять. Команда должна подписать и поставить дату в данной форме.

Стоит отметить, что управление рисками – итеративный процесс, и что список рисков и возможностей должен периодически пересматриваться по мере изменения условий и ресурсов в лаборатории или в направлении деятельности, в которой работает лаборатория. Прежде всего, анализ рисков и возможностей способствует постоянному улучшению и принесет пользу лаборатории с точки зрения качества и даже прибыли.

Полезным стандартом, предоставляющим руководство по управлению рисками, которым может руководствоваться лаборатория является СТБ ISO 31000-2015 (мы рекомендуем по возможности использовать новую версию, пока еще не внедренную в качестве государственного стандарта Республики Беларусь, ISO 31000:2018).

Если у Вас остались вопросы о выявлении, оценке и обработке рисков и возможностей — Вы можете задать их нам.