Разработка, внедрение и последующая сертификация системы менеджмента качества (СМК) предприятия по ISO 9001:2015 обязательно включает процесс документирования информации. При этом СМК должна содержать задокументированную документацию, требуемую непосредственно стандартом ISO 9001, и документацию, необходимую для поддержания результативности и эффективности системы управления качеством. Все это непосредственно относится к документации информации относительно обнаружения, идентификации, анализа, оценки, управления и контроля рисков предприятия в соответствии со стандартом IEC 31010:2019.

Документирования информации о рисках для сертификации СМК, а также подготовке к внутреннему или внешнему аудиту осуществляется с целью:

1) передача этой информации лицам, принимающим решения относительно рисков, а также другим заинтересованным сторонам, в том числе и регулирующим органам;

2) предоставления документальных свидетельств о принятых решениях и их обосновании;

3) сохранения результатов оценки рисков для последующего использования и ссылок на них;

4) отслеживания динамики эффективности и тенденций СМК;

5) обеспечения возможности проверки осуществленной оценки рисков;

6) оставить аудиторский след.

Следовательно, организация должна позаботиться о том, чтобы документация и записи были представлены в форме, понятной заинтересованными сторонами, и при этом содержать необходимую техническую глубину для аудита и достаточную детализацию для применения результатов оценки в будущем.

Предоставляемая информация должна быть достаточной для анализа и подтверждения и процесса оценки, и его результатов при сертификации системы управления качеством по ISO 9001. Все предположения, допуски и ограничения, связанные с исходными данными или применяемыми методами, как и причины всех сделанных рекомендаций необходимо четко описывать.

В документации СМК риск должен быть выражен в понятных терминах, а единицы, в которых выполняется количественная оценка, должны быть соответствовать законодательству Украины, включая технические регламенты на продукцию. Полученные результаты должны подкрепляться оценкой их точности и достоверности с необходимой степенью раскрытия неопределенности.

Чаще всего при отчетности и документировании информации системы управления качеством о рисках необходимо ввести основную информацию о каждом риске в реестр рисков, например, в виде электронной таблицы или базы данных. При этом некоторые риски могут потребовать более сложного описания, например, включения нескольких источников риска, приводящих к одному событию, нескольких возможных результатов от одного события или источника, срабатывания эффектов и потенциальных сбоев управления системы менеджмента качества. Для организации и передачи такой информации может использоваться диаграмма галстук-бабочка.

Информация о величине риска также может быть представлена несколькими различными способами.

Наиболее распространенный способ предполагает применение матрицы последствий/вероятности. В ней, помимо вероятности, последствий и уровня риска, обозначенных позицией в матрице, также может быть представлена дополнительная информация: характер контролей, степень выполнения мероприятий по обработке риска и другая. Такая методика требует представления риска одной комбинацией последствий и вероятности. Риски, к которым данный подход неприменим, иногда могут быть представлены функцией распределения вероятности или плотности распределения вероятностей.

Грамотное и объективное предоставление информации СМК предприятия является залогом успешного прохождения сертификации на соответствие требованиям ISO 9001, а также подготовке к аудиту СМК предприятия.