Риск-менеджмент на производстве: почему «всё под контролем» — это самая дорогая иллюзия

Мне не раз приходилось наблюдать одну и ту же сцену в заводских кабинетах. Стоит затронуть тему производственных рисков, как руководитель с абсолютной уверенностью заявляет: «Мы их и так все понимаем, чего тут управлять». В этом моменте и кроется главная ловушка. Управление — это вовсе не интуитивное ощущение контроля. Это совершенно конкретная цепочка действий: задокументированная угроза, назначенный ответственный, просчитанный срок нейтрализации и обязательная точка проверки. Стоит мне попросить выписать риски хотя бы одного цеха, оценив их вероятность и потенциальный ущерб в деньгах, как от былой уверенности не остается и следа. Оказывается, «понятно» было ровно до того момента, пока не потребовалась предметная конкретика.

Ирония в том, что риск-ориентированное мышление — это не прихоть аудиторов, а жесткое требование стандарта ISO 9001:2015. За каждой строчкой этого документа стоит спрессованный горький опыт тысяч компаний по всему миру, оплаченный реальными авариями, многомиллионными исками и отозванными партиями товара. Когда стандарт предписывает думать о рисках заранее, он фактически говорит голосом тех, кто однажды не подумал и жестоко поплатился. Однако между формальным требованием сертификата и живой практикой зияет огромная пропасть. В большинстве компаний есть так называемая «матрица рисков» — красиво раскрашенная таблица, которую раз в год извлекают из шкафа к приезду проверяющих и тут же убирают обратно. Я называю это ритуалом поклонения аудитору, но никак не управлением.

Цена этого разрыва между ритуалом и реальностью легко измерима. Согласно исследованиям McKinsey & Company, до 70% программ трансформаций не достигают заявленных целей, и одной из ключевых причин провала становятся именно неучтённые риски исполнения и нереалистичная оценка обстановки. На производственном языке это конвертируется в часы незапланированных простоев, срывы контрактов, штрафные санкции и, что самое страшное, потерю доверия ключевых клиентов. Отдельная головная боль — так называемый bus factor, фактор критической зависимости системы от одного человека. Практически на каждом заводе есть уникальный технолог, наладчик редкой линии или главный энергетик, который тянет на себе критически важный участок. Это нераспределенный риск в чистом виде. Пока человек на месте, жизнь кажется безоблачной. Но стоит ему уволиться, заболеть или уйти к конкуренту, как производство встает намертво. И это не форс-мажор, это годами видимый, но игнорируемый фактор уязвимости.

1. Искусство маскировки некомпетентности

Самое дорогостоящее в этой истории то, что некомпетентность здесь маскируется виртуозно. Типичный менеджер-симулянт говорит о «комплексном управлении неопределенностью» настолько гладко и уверенно, что собственник, который редко бывает в цехах, просто не в силах разглядеть за красивыми словами отсутствие хотя бы одного посчитанного риска. А цена такой ошибки найма ТОПа, по разным оценкам, достигает нескольких годовых окладов с учетом упущенной выгоды и разрушительных последствий его решений. Я убеждена, что управление рисками — это измеримое поведение. Если руководитель не может предъявить реестр, где у каждой угрозы есть владелец, просчитанная вероятность, оценка ущерба и факт проверки, то никакой компетенции нет. Есть только разговоры о ней.

Если же копнуть глубже и обратиться к стандарту ISO 31000:2018, то мы увидим четкое определение: риск — это влияние неопределенности на достижение целей, а управление им — скоординированные действия по руководству организацией. Ключевое слово здесь — «действия», а не ощущения, интуиция или пресловутая «чуйка». Действия, которые можно увидеть, проверить и повторить. Компетенция живет не в самооценке, а в реестре, в принятых решениях и в том, что в итоге произошло или, наоборот, не произошло благодаря вовремя принятым мерам.

2. Из чего на самом деле состоит компетенция

Фундамент этой компетенции — это, конечно, знания. Нужно четко понимать, что такое риск-ориентированное мышление по ISO 9001 и ISO 31000, разбираться в видах производственных угроз: технологических, кадровых, логистических, связанных с качеством, охраной труда, экологией или регуляторными изменениями. Необходимо владеть методами оценки — как качественными (матрица «вероятность × ущерб»), так и количественными, а также базово понимать FMEA (анализ видов и последствий отказов) для критичных линий. Но знания без навыков мертвы. Настоящий профессионал умеет идентифицировать риски не абстрактно, а по конкретным процессам, оценивать ущерб в рублях и днях простоя, а не в размытых формулировках «высокий/низкий». Он назначает владельца, осознанно выбирает стратегию — избегать, снижать, передавать или принимать, — и закрывает корневую причину, а не бесконечно борется с симптомами.

Крайне важны и внутренние установки. Продуктивная позиция звучит так: «Лучше неприятная правда сейчас, чем авария потом» или «Если у риска нет владельца, значит, он мой». Вредные же установки — это классическое «У нас всё под контролем» или «Это маловероятно, не будем тратить время». Поведение зрелого руководителя выдает его с головой: он оперирует цифрами ущерба, мгновенно спрашивает «А кто за это отвечает?» и реагирует на плохую новость глубоким разбором, а не поиском виноватого. Управленческими артефактами такой компетенции становятся живой реестр рисков, протоколы разборов реализовавшихся инцидентов, карты ответственности RACI, планы митигации с конкретными сроками и результаты FMEA по критичным узлам. И, конечно, план снижения того самого bus factor, который подразумевает резервирование компетенций. Закономерный итог — снижение незапланированных простоев, сокращение брака и устойчивость производства даже при уходе ключевых людей.

3. Уровни зрелости: от героизма до культуры

Наблюдая за разными предприятиями, я выделяю для себя несколько уровней зрелости. На слабом уровне рисками не занимаются вовсе, реагируя лишь по факту аварии. Производство держится исключительно на героизме отдельных сотрудников, артефактов нет, а девиз такого руководителя — «у нас всё нормально». Базовый уровень чуть лучше: матрица рисков существует, но она формальна и живет только в преддверии аудита. Риски названы общими словами, ущерб не посчитан, владельцев нет. Реакция всё еще происходит в режиме тушения пожаров, хотя и более осмысленно. Уверенный уровень — это уже совсем другая картина. Реестр живой, с назначенными ответственными и цифрами. Риски пересматриваются ритмично, причины закрываются, а плохие новости доходят до верха быстро. Руководитель знает свой bus factor и планомерно работает над ним.

Экспертный же уровень означает, что управление рисками встроено в корпоративную культуру. О них думают начальники цехов, а не только директор по качеству. Решения принимаются с учетом риск-фактора как нормы жизни. Система становится устойчивой к уходу людей, а риски увязываются со стратегией: директор видит не только угрозу поломки станка, но и риск потери целого рынка. Исследования Gallup подтверждают, что команды с сильными руководителями значительно устойчивее к стрессовым событиям, а качество менеджмента напрямую связано с вовлеченностью персонала.

4. Инструменты, которые работают уже завтра

Я часто сталкиваюсь с вопросом: «С чего начать прямо сейчас?». Инструментарий на самом деле отлажен десятилетиями. Цикл PDCA (Plan–Do–Check–Act) — это основа основ. Уже завтра для каждой меры минимизации ущерба можно завести точку Check: кто и когда проверит, что мера действительно сработала. Без этой проверки у вас не цикл, а список благих намерений. Матрица «вероятность × ущерб» позволяет быстро расставить приоритеты: возьмите десять рисков цеха, проставьте по шкале от одного до пяти вероятность и ущерб в рублях, перемножьте, и топ-3 по произведению автоматически станут вашим фокусом на ближайший месяц.

FMEA, или анализ видов и последствий отказов, незаменим на критичных линиях. Достаточно взять одну проблемную зону и детально разобрать, что может отказать, к чему это приведет и насколько быстро вы сможете это обнаружить. Методология RACI наводит порядок в ответственности: напротив каждого риска должна стоять буква «А» — тот, кто отвечает головой. Если буквы нет, риск ничей, а значит, он ваш. И, наконец, bus factor: просто отметьте процессы, где всё держится на одном человеке. Это риски, которые пока даже не имеют строки в реестре. Кстати, для тех, кто хочет глубже разобраться в оптимизации пространства и процессов, может быть полезна информация о грамотной организации пространства, ведь системный подход работает в любой сфере.

5. Как отличить реальный опыт от симуляции

Когда я оцениваю кандидата или действующего руководителя, я смотрю не на дипломы, а на стиль мышления. Реальная компетенция всегда говорит причинно-следственно, считает в деньгах, способна признать прозёванное и не прячется за обезличенным «мы». Такой человек объясняет сложное простыми словами и не раздражается на уточняющие вопросы. Симуляция же выдает себя с головой: обилие терминов и ISO-аббревиатур при остром дефиците фактов, драматизация в духе «рынок непредсказуем, что тут спланируешь», подмена результата активностью вроде «провели двадцать совещаний по рискам». Верный признак пустышки — раздражение на просьбу перевести риск в рубли.

На собеседовании я всегда прошу назвать три реально реализовавшихся риска за последние два года и честно сказать, что видели заранее, а что прозевали. Сильный кандидат выдает конкретику и признает ошибки. Слабый продолжает твердить про «всё было под контролем». Я прошу посчитать ущерб от суток простоя ключевой линии прямо в уме. Если человек начинает юлить и говорить «это сложно посчитать», передо мной точно не тот, кто управлял рисками. Вопрос о незаменимых людях и плане их резервирования также мгновенно отделяет зрелого управленца от имитатора. Для собственника и HR-специалиста главный фильтр — это запрос реестра рисков, протоколов разборов и плана резервирования компетенций. Если документов нет, а простои при этом регулярны, расхождение между словами и реальностью налицо.

6. План действий для руководителя: 30/60/90

Мой личный план внедрения всегда укладывается в три этапа. Первые 30 дней — это создание честной картины. Нужно выписать 15–20 событий, после которых производство встанет или потеряет деньги, и обязательно поговорить с мастерами и наладчиками, потому что они знают реальное положение дел гораздо лучше отчетов. Смотрим статистику простоев за год, отмечаем процессы с критическим bus factor и задаем себе неудобный вопрос: «Какой риск я знаю, но не управляю им, потому что это неудобно?». Следующие 60 дней — смена практик. Заводится живой реестр, вводится еженедельный ритуал: 15 минут на оперативке на статус топ-5 рисков. По одной критичной линии проводится FMEA, и убирается привычка обсуждать угрозы без назначения ответственного.

К 90-му дню должны появиться осязаемые результаты: рабочий реестр, минимум две-три закрытые корневые причины, а не залатанные симптомы, и план резервирования по ключевым людям. Признак прогресса — не возросшее количество совещаний, а снижение незапланированных простоев и тот факт, что плохие новости стали доходить до вас быстрее. Я всегда спрашиваю команду: «Стало ли понятнее, кто за что отвечает при сбое?». И самый важный чек-лист для самодиагностики: если у ваших рисков нет владельцев, ущерб оценивается словами, а не рублями, а реестр пересматривается только перед аудитом — у вас не управление рисками, а их коллекционирование.

7. Цена ошибки и право на устойчивость

Вспоминается классический кейс с производством пластиковых изделий, где новый директор блестяще говорил про ISO и FMEA, но через семь месяцев встала единственная линия термоформовки из-за отсутствия запчастей. Двенадцать дней простоя, сорванный контракт с федеральным ритейлером и огромные штрафы. Выяснилось, что риск отсутствия резервных узлов был очевиден всем мастерам, но в «реестре» директора красовалась безликая строка «риск отказа оборудования — средний», без владельца, оценки ущерба и меры реагирования. Сигналы можно было увидеть еще на собеседовании: он не назвал ни одного посчитанного риска, а его реестр был просто презентацией.

Типичных ошибок, которые я вижу повсеместно, несколько. Первая — путать понимание концепции с реальным умением. Прочитал про FMEA, рассказал на совещании и считает, что внедрил. Это создает ложное чувство контроля. Вторая — превращение матрицы в икону для аудита, а не в рабочий инструмент. Третья и самая страшная — наказание за честность. Если руководитель спрашивает о прозёванных рисках и тут же устраивает разгром, плохие новости перестают доходить до него вовсе, и риски уходят в тень. Альтернатива — разбор без поиска виноватого и поощрение раннего предупреждения. Еще одна ловушка — игнорирование катастрофичных рисков только потому, что они маловероятны. Для редких, но смертельных угроз должна быть отдельная стратегия резервирования или страхования.

Я глубоко убеждена, что управление рисками — это та редкая компетенция, где симуляцию можно вскрыть одним вопросом: «А сколько это в рублях и кто за это отвечает?». За уверенным «у нас всё под контролем» либо стоит живой реестр с владельцами и цифрами, либо не стоит ничего, кроме надежды на авось. Собственнику и HR не нужно покупать гладкий рассказ про «комплексное управление неопределенностью». Покупать нужно реестр, протоколы разборов и снижение простоев. А руководителю важно перестать продавать самому себе иллюзию, будто понимание рисков и управление ими — одно и то же. Между ними лежит пропасть в виде владельца, цифры и проверки. ГОСТы серии 9000 сделали риск-ориентированное мышление обязательным не из любви к бюрократии, а потому что десятилетия чужих аварий неопровержимо доказали: то, чем не управляют, рано или поздно начинает управлять вами. Риск, который вы знаете, но не записали, — это не управляемый риск. Это просто авария, которая еще не нашла свободного окна в вашем календаре.

8. Обсуждение «Риск-менеджмент на производстве: почему «всё под контролем» — это самая дорогая иллюзия»

?
12 + 1 = ?