ПРИКЛАД ОЦІНКИ РИЗИКІВ ДЛЯ ВИЗНАЧЕННЯ ОБСЯГУ І ЧАСТОТИ ВНУТРІШНІХ АУДИТІВ

У стандарті IFS Food (в частині його вимог – Part 2) близько 60 разів лунає слово РИЗИК і понад 30 разів акцентується словосполучення ОЦІНКА РИЗИКУ. Це не випадково у цьому стандарті, як і в будь-якому іншому сучасному стандарті, що поширюється на систему якості або систему харчової безпечності. Річ у тому, що за останні десятиліття як у сфері фінансів, так і загалом у сфері будь-якого бізнесу поширилась модель прийняття рішень, заснована на управлінні ризиками. Підтвердженням того, що ризик-орієнтована модель управління дійсно має право на існування, є те, що створено навіть декілька міжнародних стандартів, які встановлюють принципи та загальне керівництво з ризик-менеджменту. Серед них серія стандартів з ризик-менеджменту - ISO 31000. Щоб детальніше розібратися в темі оцінки ризиків, пропонуємо читачеві самостійно звернути увагу на стандарт ISO 31010 «Методи оцінки ризиків», в якому викладені сучасні методики вибирання та застосування методів загального оцінювання ризику. Він може бути застосованим до будь-якого типу ризику незалежно від його характеру. Ризик-орієнтоване мислення повинно бути залучено при створенні систем якості та безпечності харчової продукції, тому що дає змогу організації визначати чинники, які можуть спричиняти відхилення процесів цих систем. Сучасні стандарти за допомогою ризик-орієнтованих підходів встановлюють запобіжні заходи контролю для мінімізації негативних впливів і якнайбільшого використання можливостей у міру виникнення таких відхилень.

У цій статті ми спробуємо на конкретному прикладі застосувати рекомендації, надані стандартом ISO 31010. Візьмемо таку вимогу IFS food:
5.1.1 KO N° 8: The company shall have an effective internal audit program in place which shall cover at least all the requirements of the IFS Standard. / Компанія повинна мати ефективну програму внутрішнього аудиту, яка повинна охоплювати принаймні всі вимоги стандарту IFS. Scope and frequency of internal audits shall be determined and justified by risk assessment. / Обсяг і частота внутрішніх аудитів визначаються та обґрунтовуються оцінкою ризиків.

Перш за все ми повинні зрозуміти й сформулювати головний об’єкт, відносно якого існують різні невизначеності, а відтак потребують оцінки ризиків, за яких можуть утворитися відхилення. В нашому випадку мова йде про програму внутрішнього аудиту. Яка мета такої програми аудитів? Зрозуміло, що для того, щоб перевіряти відповідність процесів (а загалом всієї системи) підприємства тим вимогам, що встановлює стандарт IFS food. Отже, головним об’єктом того, заради чого ми збираємось оцінювати ті чи інші ризики, є ВІДПОВІДНІСТЬ СИСТЕМИ БЕЗПЕЧНОСТІ І ЯКОСТІ ХАРЧОВОЇ ПРОДУКЦІЇ ВИМОГАМ СТАНДАРТУ IFS FOOD. Тому далі ми будемо намагатися відповісти на такі питання:
1. що може трапитися й чому (через ідентифікування ризику), що призведе до порушення відповідності нашої системи безпечності харчової продукції (тобто нашого об'єкту)?
2. якими можуть бути наслідки такого порушення відповідності?
3. якою є ймовірність виникнення того, що може трапитись у майбутньому?
4. чи є якісь чинники, що пом’якшують наслідок ризику або знижують імовірність ризику?
5. чи є рівень ризику допустимим або прийнятним, і чи треба буде його корегувати у подальшому?

Надання відповідей на перелічені вище питання і створює послідовність висновків групи експертів, що ми називаємо процесом оцінки ризиків. Отримання відповідей на ці питання відбувається різними шляхами із застосуванням різних методів. Стандарт ISO 31010 згадує дуже багато методів такої оцінки. Це і мозкова атака, і метод Делфі, і контрольні картки, і багато інших методів. Для кожного етапу процесу оцінки ризику можливість застосування того чи іншого методу оцінки ризику визначається за шкалою: «завжди застосовний», «застосовний» чи «незастосовний». Тобто, наприклад, мозковий штурм завжди можна застосувати до першого етапу аналізу ризиків – визначення (ідентифікування) ризиків, але для подальших етапів 2-5 цей метод не може бути застосованим. А ось структурований метод «Що — якщо» (SWIFT) та метод FMEA - "аналізування видів і наслідків відмов" - завжди можуть бути застосованими на будь-якому з перелічених етапів.

Для потреб оцінки ризиків, що розглядаються у межах стандарту IFS food, визначимо достатнім застосування методу FMEA. З чинниками, що впливають на вибирання методів загального оцінювання ризику, можна також познайомитись в стандарті ISO 31010. На практиці застосування цього методу, команді HACCP дуже важливо врахувати всі відомі їм проблеми, що стосуються їх конкретного підприємства. Під час спільного аналізу складається перелік можливих відхилень (ризикових подій). Враховуються відхилення і ті, які вже були зафіксовані раніше, і ті, які потенційно можуть виникнути. Для нашого прикладу ці відхилення будемо виписувати навпроти того блоку, що стосуються конкретної теми внутрішніх аудитів (дивіться Форму проведення оцінки). Наступні стовпчики цієї форми будуть задіяні для експертної оцінки ймовірності виникнення ідентифікованих ризиків та експертної оцінки наслідків таких відхилень. Множенням вибраних оцінок для ймовірності виникнення та оцінкою наслідків ми можемо отримати чисельну оцінку рівня ризику. І в залежності від величини цього рівня визначати заходи управління тим чи іншим ризиком. В нашому прикладі від отриманих величин зафіксованих потенційних відхилень буде залежити об’єм та частота проведення конкретного внутрішнього аудиту. Заповнену форму проведеної оцінки і вибраних заходів керування можете подивитись за таким посиланням (Проведена оцінка).

Задля оформлення подібної оцінки для будь-яких ризиків рекомендовано оформлювати Протокол засідання групи HACCP. В ньому необхідно вказати тему та учасників, сформулювати та описати об’єкт дослідження. Застосовуючи наведену форму проведення оцінки ризиків, отримати виражений числом рівень ризику. Протокол також повинен мати опис (або посилання на опис) заходів керування ризиками, що мають високі рівні. В нашій оцінці ризиків стосовно відповідності системи менеджменту якості (СМЯ) і безпечності харчової продукції (БХП), яка контролюється за допомогою внутрішніх аудитів, ці рівні позначені кольором. Треба мати на увазі одну дуже важливу річ - результати будь-якої оцінки будуть залежати від кількості та компетентності залучених експертів.