Ризик-орієнтоване мислення стало необхідністю

однією мовою

Про те, як ризик-орієнтований підхід у роботі наглядових органів впливає на роботу бізнесу, розповіла директор юридичного департаменту та департаменту управління ризиками L’Occitane Rus Світлана Мочаліна.

В Останніми рокамипідхід державних органів до таких перевірок змінився. Тепер вони оцінюють порушення, зважаючи на такі критерії, як рівень ризику для бізнесу; використання превентивних заходів; порядок проведення оцінки ризиків; заходи, спрямовані на зниження суб'єктом господарювання ризиків і здійснення ним контролю.

- Оскільки ми працюємо і на роздрібному ринку, і у нас, крім оптового сегменту, франчайзингу, ліцензованого SPA бізнесу та інтернет-магазинів, в активі більше ста власних роздрібних магазинів, Так званих «відкритих» точок прямого продажу, ми повинні бути готові, що в будь-яку точку без попереднього повідомлення (і з ним) можуть прийти з перевіркою різні державні органита їх територіальні підрозділи по всій країні: ФАС РФ, ІФНС РФ, МНС РФ, Росспоживнагляд РФ, Росздравнагляд, ОАТІ, Департамент економіки та політики міста Москви. У зв’язку з цим ми задумалися, як забезпечити ефективний захист бізнесу та стійку комунікацію з держорганами, – коментує Світлана Мочаліна. – Одним із інструментів попередження та зниження ризиків у цілому є впровадження превентивної системи комплаєнсу в самому широкому значенніцього слова. Тут важливо, з одного боку, чути законодавця, реалізовувати та виконувати його волю; з іншого – впроваджуючи законодавчі вимоги, спиратися на конкретні завдання бізнесу, страхуючи його на кожному кроці до досягнення поставленої мети; прокладати гнучкий, але стійкий міст між жорсткими опорами закону і тендітними реаліями опортуністичного характеру російського бізнесу, покликаного існувати в навколишньому середовищі, що стрімко змінюється.

Мета впровадження будь-якого комплаєнсу, включаючи антимонопольний, полягає у зниженні ймовірності ризику порушення та, як наслідок, ризику санкцій. Однак основними завданнями впровадження ефективної комплаєнс-системи є не тільки мінімізація ризиків бізнесу та підвищення його ролі в системі роботи держорганів, а й управління бізнес-процесами загалом, а також підвищення рівня ефективності персоналу.

- Найважливішим і важкодосяжним, а головне - самим успішним інструментоммайбутнього і сьогодення є бездоганна репутація бізнесу/компанії, її становлення, робота над нею протягом кожного дня. Якщо компанія впроваджує превентивні комплаєнс-заходи, дорожить своєю репутацією, навіть за наявності можливого правопорушення, вона може розраховувати на пом'якшення відповідальності, а іноді взагалі її уникнути. Цю аксіому активно підтримують численні держоргани, згадані вище, отже, ми говоримо однією мовою, – резюмувала Світлана Мочаліна.

Фокус – на можливості

Досвідом інтеграції ризик-менеджменту у ключові процеси прийняття рішень поділилася керівник відділу якості ланцюга постачання FM Logistic Ірина Вальтер.

– Оскільки ми є мультиклієнтською компанією, то зобов'язані не тільки оцінювати ризики та керувати ними з точки зору внутрішнього комплаєнсу, але й повинні орієнтуватися на численних клієнтів, чиї вимоги до зберігання та транспортування можуть кардинально відрізнятися. Таким чином, ми постійно взаємодіємо з клієнтами, привносячи отриману від них інформацію до нашого підходу управління ризиками, – уточнює спікер.

Компанія FM Logistic вважає одним з основних пріоритетів у розвитку справедливого та прибуткового бізнесудотримання законів та чесної конкуренції як надання послуг. При цьому ризик хабарництва та корупції на рівні постачальників виключається за допомогою внутрішнього та зовнішнього аудиту, перевірки проводяться на плановій та позаплановій основі. Крім того, материнська компанія постійно проводить комплаєнс-аудит у всіх країнах присутності FM Logistic. Велика роль та служби безпеки, яка перевіряє кожного контрагента до початку роботи з ним для повної відповідності законодавству РФ.

Ірина наголосила на стратегіях реагування на ризики. Зокрема, замість ухилятися від ризиків, вона порадила використовувати їх на користь компанії. Припустимо, план проекту можна змінити так, щоб унеможливити загрозу або захистити цілі проекту від наслідків ризику шляхом залучення більш кваліфікованого персоналу та забезпечення більш високої якостіпроти планом. Такий підхід ефективніший, ніж категорична відмова від ризикованих проектів та ненадійних партнерів.

– Ми застосовуємо ризик-орієнтований підхід до бізнесу, фокусуючись не лише на ризиках як загрозах для бізнесу, але й на можливостях, що сприяють його розвитку. У нашій компанії застосовується ризик-орієнтоване стратегічне планування, що є основою поступового впровадження процесу управління змінами. Інструменти для мінімізації існуючих ризиків різноманітні: це і внутрішня аналітика, внутрішні аудити процесів, фокус на розвиток постійного поліпшення, а також аудити підрядників – транспортних компаній, з якими ми працюємо. Мінімізувати ризик нам означає довести його до керованого рівня, знайти оптимальну міру управління. Ризик-орієнтований підхід впроваджений у FM Logistic на корпоративному рівні та вбудований у глобальний процес«Compliance», що дає можливість здійснювати оцінку ризиків на систематичній основі з погляду ризик-апетиту власників ризиків, проводити їх моніторинг, оцінку результативності відпрацьованих ризиків та бачити ефект на бізнес від реалізованих зусиль нашої команди, – пояснила Ірина Вальтер.

"Маяк" для проектного управління

Одним із ключових пунктів програми став виступ керівника напряму апарату віце-президента з управління ризиками ПАТ «НЛМК» Сергія Саламатова, який розповів про особливості інтеграції ризик-менеджменту до системи управління проектами.

Спікер навів дані дослідження PMI's Capturing the Value of Project Management, проведеного у 2015 році, в рамках якого проаналізовано діяльність трьох тисяч компаній. Дослідження показує, що в середньому лише 64% проектів досягають своїх цілей. Представники Інституту управління проектами спробували розібратися, чому компанії-лідери краще досягають поставлених цілей. В результаті сформульовані ключові фактори успіху, наявність кожного з яких підвищує рівень досягнення мети.

Найбільший ефект на успішність у реалізації проектів, згідно з дослідженням PMI, мають найпростіші фактори: відповідальність топ-менеджменту за проект; чітке розуміння обсягу та ймовірності досягнення вигод від реалізації проекту протягом його життєвого циклу; розуміння, що результат проекту відповідає стратегії компанії; організація обміну знаннями між менеджерами проектів

Успішна реалізація даних факторів досягається за рахунок інтеграції ризик-менеджменту із системою управління проектами. Роль ризик-менеджменту в інвестиційній діяльності складно переоцінити, а дослідження PMI ілюструє, що комплексне та систематичне застосування кількісної оцінки інвестиційних ризиків дозволить підвищити ймовірність досягнення цілей проектів на 15–20% і не лише принесе фінансові вигоди, а й дозволить підвищити ефективність.

- Оцінка ризиків, так чи інакше, застосовується всіма, проте занадто велика різницяміж варіантами реалізації. В окремих випадкахце може бути типова карта ризиків з якісною оцінкою ряду ризиків по «системі світлофор» – червоний/жовтий/зелений. Але що на підставі цієї оцінки робити менеджерам проекту? Яку інформацію це їм надає? – пояснює Сергій Саламатов. – Зовсім інша ситуація, коли вплив ризиків на цільові показники проекту оцінюється кількісно з використанням таких інструментів як скорингові моделі або імітаційне моделювання. Такий підхід дозволяє аналізувати чутливість цільових показників проекту до різних ризик-факторів, оцінювати ймовірність досягнення результатів, враховувати взаємний впливфакторів та спільний ефект від реалізації ризиків. На підставі таких даних стає можливим прийняття ризик-орієнтованих рішень щодо реалізації проектів. Так, оцінка цільових показників проекту під ризиком (IRR, NPV) допоможе пріоритезувати проекти з урахуванням ризику та оптимізувати сукупний ефект від реалізації стратегії.

Говорячи про систему управління проектами, доповідач наголосив, що при реалізації інвестиційних проектів можна виділити три групи цільових показників: бюджет проекту, термін реалізації та ефективність. Відповідно, існує ризик зростання витрат, порушення термінів та зниження прибутковості. Важливо розуміти, що управління проектами має на увазі постійне управління змінами: зрозуміло, що не вдасться захистити проект від усіх несприятливих подій, але є можливість приймати рішення з урахуванням їхнього потенційного впливу на проект. Від точності цієї оцінки залежатиме якість прийнятих рішень.

- Частина ризиків типові, вони притаманні бізнес-процесам, що входять в периметр реалізації проекту. Їх можна і потрібно оцінювати шляхом інтеграції ризик-менеджменту із системою внутрішнього контролю компанії. Управління даними ризиками пов'язані з підвищенням якості покриття ризиків внутрішніми контролюми. В інвестиційній діяльності, таким чином, можна оцінювати збільшення витрат на реалізацію проекту внаслідок неефективної реалізації процесів проектування, вибору постачальника, будівельно-монтажних робіт та інших, –
коментує експерт. – Крім того, у кожному проекті існують специфічні ризики, спричинені унікальністю предметної областіпроекту. Вони супроводжуються високою невизначеністю – неможливо однозначно оцінити очікувані втрати. Цю невизначеність не можна забувати: вона може привести проект до діаметрально протилежних результатів, і тут не обійтися без імітаційного моделювання. Ризики усунення термінів можна оцінювати за допомогою інструментів моделювання методом Монте-Карло. Така оцінка дозволяє керівнику проекту встановити підвищений контроль за виконанням критичних робіт та найбільш ефективно розподіляти ресурси на управління ризиками проекту в рамках встановлених термінівта бюджету.

Title="(!LANG:Галина
Шаклеїна (ЄвроХім)">Количественная оценка рисков инвестиционных проектов с использованием инструментов имитационного моделирования признана востребованной среди мировых лидеров и применяется в разных отраслях экономики. Допустим, Лондонский метрополитен использует этот метод для оценки рисков инвестиционных проектов и безопасности пассажиров, а мировые лидеры в сфере поставки потребительских товаров – компании Unilever и Procter&Gamble – для оценки рисков в отношении разработки и применения !} новітніх технологій, реалізації інноваційних проектів. У Росії її значно менше нефінансових компаній застосовують кількісну оцінку інвестиційних ризиків на регулярній основі. Що характерно, у дослідженні PMI також брали участь лише європейські та американські респонденти.

- Варто припустити, що ефективна інтеграція ризик-менеджменту з системою управління проектами - це той «маяк», до якого рухатиметься проектне управління в Росії в найближчі роки, повторюючи загальносвітові тенденції. Тому що цей «маяк» забезпечує отримання інформації, необхідної для ухвалення менеджментом ризик-орієнтованих рішень, що сприяють підвищенню ефективності реалізації стратегічних ініціатив та досягненню необхідного фінансового результату, – резюмував спікер.

Не конкурувати, а доповнювати

Плюси та мінуси інтеграції функцій ризик-менеджменту та ризик-орієнтованого внутрішнього аудитуокреслив ризик-менеджер ДК «НафтаТрансСервіс» Ігор Вінніков.

Він звернув увагу колег на відмінності ризик-менеджменту від внутрішнього аудиту, зауваживши, що перший пов'язаний з аналізом та оцінкою зовнішніх альтернатив, загроз та можливостей для стратегічного та тактичного розвитку бізнесу, а другий здебільшого спрямований на оцінку ефективності бізнес-процесів компанії, в тому числі ризик-менеджменту. Нерідко на практиці функції ризик-менеджменту та внутрішнього аудиту перетинаються в рамках одного підрозділу, що не дозволяє отримувати синергетичний ефект та незалежну інформацію, наскільки ефективно насправді працює ризик-менеджмент.

До того ж, враховуючи, що ризик-орієнтований аудит часто використовує такі ж механізми та інструменти, що й ризик-менеджмент (наприклад, карти та реєстри ризиків), у менеджменту компанії може виникати плутанина та нерозуміння призначення двох цих функцій та виправдано виникає питання – Чим відрізняються ці служби?

- Ризик-менеджмент і внутрішній аудит можуть ефективно доповнювати один одного: обмін інформацією між цими підрозділами дозволить виявити той чи інший ризик на ранній стадії, – коментує Ігор Вінніков. - На етапі оцінки ризику ризик-менеджмент прораховує, яким може бути результат у цілому для компанії у разі його реалізації; ризик-орієнтований аудит фокусується на незалежній, як правило, ретроспективній оцінці бізнес-процесу, що аудується. Для впливу на ризик ризик-менеджмент виробляє відповідні заходи, а в разі потреби коригування бізнес-процесу відповідає за своєчасну зміну. Функція ризик-орієнтованого аудиту на цих етапах полягає у розробці рекомендацій та контролі їх виконання.

Для вдосконалення подібної взаємодії необхідно уніфікувати термінологію та підходи, що використовується; планувати аудиторські перевірки з урахуванням сигналів зовнішнього середовища; інформувати та залучати ризик-менеджера у розробку та реалізацію плану коригувальних заходів за наявності зовнішніх факторів; посилювати роль внутрішнього аудиту як фактора розвитку ризик-менеджменту та навпаки.

Краще попередити, аніж ліквідувати наслідки

Керівник відділу екології та охорони довкілляАТ «Руспетро» Надія Шевельова говорила про значущість управління екологічними ризиками у діяльності промислових підприємств. Зокрема, Надія докладно розповіла про складові екологічного ризику та особливості його виявлення у нафтогазовій галузі. Вона також згадала про стратегію управління екологічними ризиками при розробці нафтових і газових родовищта навела приклади виявлення причин настання екологічних ризиків.

В даний час робота з екологічними ризиками ведеться в умовах неоднозначності трактувань нормативних актів, стрімкої зміни законодавчої бази, що ускладнює ведення виробничої діяльності

За словами доповідача, управління екологічними ризиками у рамках виробничої діяльності підприємства – процес непростий та багатоетапний. Так, необхідно проаналізувати вимоги законодавства щодо зобов'язань з охорони навколишнього середовища; оцінити ймовірність виникнення екологічних ризиків за поточної системи управління; визначити можливі наслідкинастання цих ризиків, у тому числі екологічних збитків; визначити методику оцінки можливих наслідків у грошовому вираженні (відшкодування екологічних збитків, штрафи порушення вимог природоохоронного законодавства). Крім того, доведеться оцінити можливі наслідки у вартісному вираженні та зробити їх ранжування; визначити заходи щодо зниження та запобігання збиткам від ідентифікованих ризиків; оцінити ефективність необхідних вкладень для зниження та запобігання ризикам; прийняти рішення щодо запровадження конкретних заходів щодо управління ризиками. Тільки після цього проводиться актуалізація системи управління екологічними ризиками та призначаються відповідальні особи з управління ними.

Як випливає з практики, сукупні витрати на заходи щодо запобігання ризику та реалізації природоохоронних заходів будуть значно нижчими, ніж на ліквідацію наслідків їх реалізації, з урахуванням обов'язковості своєчасного дотримання вимог законодавства у галузі охорони навколишнього середовища. Надія Шевельова рекомендувала приймати даний фактдо уваги при плануванні управлінської діяльностіу частині екологічного менеджменту.

Ніхто не застрахований від фрода

У будь-якій компанії періодично реалізуються ризики, пов'язані з неетичною поведінкою та шахрайством з боку персоналу. В результаті компанія може зазнати не лише фінансових збитків, а й зіткнутися з репутаційними ризиками. Цю важливу темупідняла керуючий директор із фінансових аудитів АФК «Система» Марина Бугорська.

За офіційною статистикою, найбільшу шкоду компанії зазнають в результаті шахрайських дій з фінансовою звітністю. Йдеться про штучне завищення активів, недооцінка зобов'язань, заниження собівартості. Вважається, що свідоме спотворення звітності або creative accounting зустрічається рідше, ніж інші види шахрайських схем. На практиці найчастішими є шахрайські дії, спрямовані на крадіжку активів, корупцію та виведення коштів із компанії.

Після публікації нової версіїстандартуISO 9001 :2015, мабуть, найбільше питань та дискусій виникає щодо однієї з нових вимог – застосування ризику орієнтованого мислення(в англ. "risk-based thinking"). Рекомендую подивитися відео "Основні відмінності між ISO 9001:2015 та ISO 9001:2008".

На моєму блозі я написала кілька статей на тему управління ризиками (див. статті: «Управління ризиками замість запобіжних дій»; «Управління ризиками - основні кроки»; «Ризик менеджмент у бізнесі» та ін.). Протягом теми я вирішила написати про те, що ж таке «ризик орієнтоване мислення» по ISO 9001:2015 та як його застосовувати.

Ризик орієнтоване мислення, насамперед, має на увазіреалізацію організацією комплексу узгоджених заходів та методів для управління та контролю численними ризиками (позитивними та негативними), що впливають на її здатність досягати запланованих цілей. Ризик орієнтоване мислення фактично замінює вимогу щодо виконання попереджувальних дій з попередньої версії стандарту.

Не можна сказати, що ризик орієнтоване мислення- Це абсолютно нова вимога. У неявному вигляді воно завжди було в ISO 9001. У попередніх версіях стандарту, включаючиISO 9001 :2008, була вимога прогнозування та запобігання помилкам, невідповідностям (здійснення запобіжних дій), що теж відноситься до ризику орієнтованого мислення. Організації навчали людей, планували роботу, розподіляли обов'язки та повноваження, перевіряли результати, проводили аудити та перевірки, здійснювали моніторинг та вимірювання процесів.Всі ці дії були спрямовані на те, щоб уникнути помилок та досягти успіху.

Таким чином, організації намагалися керувати своїми ризиками та можливостями. Тому можна сказати, що завжди було частиною ISO 9001 та Систем менеджменту якості організацій. Просто раніше це було неявно, а тепер явно.То чому ж розробники ISO 9001:2015 вирішили зробити застосування ризику орієнтованого мислення більш явним і фактично замінили їм попереджувальні дії? Що нового організації мають робити, чого не робили раніше?

Справа в тому, що попереджувальні дії в більшості організацій часто виконувалися «для галочки», з необхідності виконати вимогуISO 9001 , а не як реальний інструмент просування вперед, безперервного поліпшення. Нерідко попереджувальні дії виконувались на неналежному рівні табезсистемно . Крім того, у багатьох організаціях відповідальність за призначення та реалізацію запобіжних дій покладалася на будь-кого з членів групи за якістю, які були не в змозі охопити всі питання, які дійсно впливають на організацію на верхньому рівні та сприяють постійному покращенню.

Щоб відповідати вимогам нової версії стандарту, організаціям необхідно планувати та здійснювати дії у відповідь на ризики та можливості.

Новий стандарт очікує, що організації будуть систематично виявляти та ефективно усувати ризики, які можуть вплинути на їхню здатність постачати відповідні вимогам продукцію та послуги та задовольняти потреби клієнтів. Він також очікує, що організації визначатимуть свої можливості, які можуть підвищити їхню здатність постачати відповідні вимогам продукцію та послуги, щоб задовольняти своїх клієнтів.

Новий стандарт також очікує, що організації ідентифікуватимуть ризики та можливості, які можуть вплинути на результативність їх Системи управління якістюабо порушити роботу, а потім визначать дії для вирішення цих ризиків та можливостей. Також організації повинні визначити, як вони збираються зробити ці дії частиною своїх процесів Системи менеджменту якості, і як вони здійснюватимуть контроль, оцінку та аналіз ефективності цих дій та процесів.

Відповідно до вимог нової версії стандарту, керівники верхнього рівня мають бути залучені до процесу виявлення, реєстрації, усунення та зниження ризиків. Враховуючи це, вже з самого початку застосування ризик орієнтованого мислення в організації можна буде побачити, що воно ефективніше за попередні попереджувальні дії.

Дуже важливо, щоб питання виявлення ризиків та вибору відповідних заходів управління ризиками виносилися на порядок регулярних нарад керівництва. Не менш важливим є забезпечення того, щоб в організації були налагоджені канали, якими всі співробітники на нижчому рівні могли б передавати свою думку нагору - на розгляд управлінської команди.

Тоді організації матимуть ризик орієнтоване мислення, очолюване командою топ менеджерів, що володіє ключовими стратегічними знаннями про загрози та можливості для бізнесу та одночасно підтримується інформацією з усіх рівнів організації (частина з якої раніше була не відома і, відповідно, не розглядалася).

Таким чином, замість попереджувальних дій, які раніше в основному проводилися на нижчому рівні, тепер організаціям пропонується ризик орієнтоване мислення, очолюване командою топ-менеджерів, яка володіє повною та всебічною інформацією. Природно, що управлінські рішення, отримані в результаті такого підходу, і наступні дії будуть більш ефективними на основі участі всієї компанії, ніж процес попереджувальних дій, що існував раніше.

В той час як ризик орієнтоване мисленняє тепер частиною нового стандарту, проте стандарт не вимагає спеціального документа, що описує ризик орієнтований підхід організації. Однак, виходячи з мого досвіду, краще, якщо він буде описаний у документі, щоб забезпечити системність та одноманітність застосування у всій організації.

Рекомендую також мою статтю ще про одну нову вимогу в ISO 9001:2015 - розуміння контексту організації. Тут можна скачати безкоштовно електронну книгу " ".

А.2 Продукція та послуги

Стандарт ISO 9001:2008 використовував термін «продукція» для охоплення всіх категорій «виходів». У цій редакції цього міжнародного стандарту використовується обіг «продукція та послуги». Він також включає всі категорії «виходів» (технічні пристрої, послуги, програмні засоби і перероблювані матеріали). Введення в обіг терміну «послуги» спричинене необхідністю підкреслити різницю між продукцією та послугами в контексті застосування до них деяких вимог. Особливістю послуг і те, що, як мінімум, частина одержуваних результатів досягається за безпосередньої взаємодії зі споживачем. Це, наприклад, означає, що відповідність вимогам не завжди може бути підтверджена до того, як послуга повністю надана.

Найчастіше «продукція» і «послуги» використовуються разом. Більшість «виходів», які споживачам постачає організація або зовнішні постачальники, включають як продукцію, так і послуги. Наприклад, матеріальна чи нематеріальна продукція може супроводжуватись деякими відповідними послугами або послуги можуть супроводжуватись якоюсь матеріальною чи нематеріальною продукцією.

А.3 Розуміння потреб та очікувань зацікавлених сторін

Розділ 4.2 містить вимоги до організації встановити (визначити) зацікавлені сторони, що мають відношення до системи управління якістю, та вимоги цих заінтересованих сторін. Разом з тим, розділ 4.2 не передбачає розширення вимог до системи менеджменту якості понад рамки галузі застосування цього міжнародного стандарту. Як заявлено в галузі застосування цього міжнародного стандарту, він застосовується, коли організація потребує демонстрації своєї здатності постійно постачати продукцію та послуги, що відповідають вимогам споживачів та застосовним законодавчим та нормативним правовим вимогам, та має на меті підвищення ступеня задоволеності споживачів.

У цьому міжнародному стандарті немає вимоги, щоб організація враховувала інтереси якихось сторін, якщо вона вирішує, що ці сторони не мають відношення до системи менеджменту якості. Організація сама вирішує, чи має якась конкретна вимога відповідної зацікавленої сторони відношення до її системи управління якістю.

А.4 Ризик-орієнтоване мислення

Концепція ризик-орієнтованого мислення неявно була присутня і в попередній редакції цього міжнародного стандарту, наприклад, у вимогах щодо планування, аналізу та поліпшення. Цей міжнародний стандарт визначає вимоги, щоб організація розуміла свій контекст (умови, в яких вона функціонує, див. 4.1), та встановила (визначила) ризики як основу для планування (див. 6.1). Це відображає застосування ризик-орієнтованого мислення до планування та впровадження процесів системи управління якістю (див. 4.4) і допомагатиме у визначенні обсягу документованої інформації.

Одним із ключових призначень системи менеджменту якості є її функціонування як інструмент попередження. З цієї причини у цьому міжнародному стандарті немає окремого розділу або підрозділу з питання запобіжних дій. Поняття запобіжних дій виражено за допомогою використання ризик-орієнтованого мислення при формулюванні вимог до системи управління якістю.

Ризик-орієнтоване мислення, застосоване у цьому міжнародному стандарті, створило можливості зниження безапеляційності вимог і заміні їх у вимоги, засновані на реальної практиці діяльності. Наразі є більше гнучкості у вимогах до процесів, документованої інформації та розподілу відповідальності в організації, ніж ISO 9001:2008,

Незважаючи на те, що в розділі 6.1 встановлено, що організація повинна планувати дії з реагування на ризики, не існує вимог щодо наявності офіційного методу управління ризиками або документованого процесу управління ризиками. Організація сама може вирішити, чи розробляти їй більш широкий підхід до управління ризиками, ніж це вимагається в цьому міжнародному стандарті, наприклад, на основі застосування інших посібників або стандартів.

Не всі процеси системи менеджменту якості володіють одним і тим же рівнем ризику, якщо говорити про здатність організації досягати своїх цілей, і вплив невизначеності - також не одне й теж для всіх організацій. З точки зору вимог розділу 6.1 організація відповідальна за застосування нею ризик-орієнтованого мислення та за дії, які вона здійснює як реагування на ризик, включаючи рішення про те, фіксувати та зберігати чи ні документовану інформацію як доказ визначення нею ризиків.

А.5 Застосовність

У цьому міжнародному стандарті не робиться посилання на «виключення» щодо застосування його вимог до системи менеджменту якості організації. Разом про те, організація може проаналізувати застосовність вимог з урахуванням розмірів чи складності організації, прийнятої моделі менеджменту, областей здійснюваної діяльності, і навіть характеру ризиків і можливостей, які вона враховує.

Вимога, що стосується застосовності, міститься в розділі 4.3, де визначаються умови, за яких організація може вирішити, що вимога не може бути застосована до жодного з процесів у рамках застосування її системи менеджменту якості. Організація лише тоді може вирішити, що вимога не застосовується, коли її рішення не призведе в результаті до зриву забезпечення відповідності продукції та послуг.