如果飛機上的人充分意識到風險後果的嚴重性,阻止飛行員飛入雲端,或者有充分的應急措施,也許悲劇就不會上演,只是無知、無畏和僥幸心理占了上風。
GJB9001C-2017有三個核心概念:過程方法、PDCA循環和基於風險的思維,而基於風險的思維就是用來解決這些問題的。什麽是“基於風險的思維”?
壹、風險的內涵
關於風險的定義,GB/T23694《風險管理術語》、GB/T19000《質量管理體系基礎和術語》、GJB5852《設備研制風險分析要求》等標準都做了定義,定義也大同小異。這裏我們采用GB/T23694風險管理術語的概念:
?風險:不確定性對目標的影響。
?註1:影響是指與預期的偏離,可以是正面的和/或負面的。
?註2:目標可以是不同方面的目標(如財務、健康安全、環境等。)和層次(如戰略、組織、項目、產品和過程等。).
?註3:風險通常由潛在事件、後果或兩者的結合來區分。
?註4:風險通常用事件後果(包括情況變化)和事件發生概率的組合來表示。
?註5:不確定性是指對事件及其後果或可能性缺乏信息或片面理解。
從這個定義中,我們可以看出風險有以下內涵:
?1)風險的不確定性,未來可能發生也可能不發生的事件構成風險。如果事件註定要發生,那就不是風險;如果沒有發生,就不用考慮了。
?2)目標風險,只有當事件會對預期目標產生影響時,才會構成風險。如果與預期目標無關,則不予考慮。
?3)風險具有兩面性,既可以是積極的(機會),也可以是消極的(風險),更多時候是指消極的風險。
?4)風險的多樣性,基於不同的目標,風險可以是財務、健康安全、環境等方面;基於不同的管理層次,風險可以是公司級、部門級、項目級等。
?5)風險的相對性。風險是指對事件及其後果或可能性缺乏信息或片面了解的狀態,但不同的人對事件的了解程度不同,所以對A來說風險很大,對B來說可能很小,這是相對的。
?6)風險是用事件發生的可能性和後果的組合來衡量的,但是有不同的組合方式。
第二,風險管理
?根據GB/T24353《風險管理原則和實施指南》,風險管理包括四個部分:定義環境信息、風險評估、風險應對、監督檢查。
1)清晰的環境信息
?環境信息包括外部環境信息、內部環境信息和風險管理準則。外部環境信息包括但不限於來自國際、國內、地區和地方法律法規、技術、競爭、市場、文化、社會和經濟環境的因素;外部利益相關者及其需求、價值觀和風險承受能力。內部環境信息包括但不限於:組織價值觀、文化、績效等因素;內部利益相關者及其需求、價值觀和風險承受能力。風險管理的標準包括風險評估方法、風險判斷標準、風險接受和應對標準;其中,風險評估方法包括:頭腦風暴、結構化/半結構化訪談、流程圖、情景分析、FMECA、風險矩陣、類比等。每種方法都有適用的場景,相關內容也很容易搜索,我就不贅述了。風險判定的標準包括風險發生可能性的標準、風險對後果影響的標準以及兩者的結合,是後續風險分析的前提;風險接受和響應標準是根據風險可能性和後果的綜合結果,確定什麽風險是可接受的和不可接受的,以及對不可接受的風險采取什麽措施,這是後續風險評估的前提。
2)風險評估
風險評估包括風險識別、風險分析和風險評價。風險識別是通過識別風險源、影響範圍、事件、其原因和潛在後果,生成壹份全面的風險清單。風險分析是根據風險的類型、獲取的信息和風險評估結果的使用目的,對已識別的風險進行定性和定量分析,為風險評估和風險應對提供支持,並生成風險發生的可能性和後果嚴重程度的分析記錄。風險評估是將風險分析的結果與風險標準進行比較,或者將各種風險的結果進行比較,確定風險等級,從而對風險應對進行決策,形成風險排序列表。風險評估的最終目的是為風險應對提供輸入,因此風險評估必須客觀真實,滿足風險應對的需要,否則要做進壹步的分析。
3)風險應對
風險應對是選擇並實施壹種或多種改變風險的措施,包括改變風險事件發生的可能性或後果的措施。風險應對措施包括規避風險、為尋求機會而承擔風險、消除風險源、改變風險的可能性或後果、分擔風險或通過充分知情的決策保留風險。風險應對決策應考慮各種環境信息,包括內外部利益相關者的風險承受能力,以及法律法規等方面的要求。
風險應對措施選定後,需要制定詳細的風險應對方案,應包括績效指標及其考核方法、人員安排、措施安排、監督、檢查和報告、資源、時間安排、溝通等,此處不再贅述。需要強調的是,風險應對措施不應從零開始,而應與其他管理流程整合,以提高管理效率。
4)監督檢查
監督檢查是風險管理最重要的部分,包括兩個方面:壹是過程監督,二是績效評估和總結。過程監管是對風險應對過程中事件、環境和風險的變化進行監控,從而修正應對措施,確保風險管理的有效性。績效評估和總結是指風險管理完成後,重復整個過程,保持經驗,改進教訓,不斷提高風險管控能力。更高明的做法是將經驗教訓升華固化為“原則”,用以指導後續行動。布裏奇沃特的達裏奧就是壹個典型。
第三,誤解的風險
GJB9001C-2017正式提出“基於風險的思維”,並將風險管理要求納入正文。其目的是使企業重視風險管理,以控制損失,創造價值。重點是將風險管理融入企業的各種管理流程。但在實踐中,很多企業並不了解標準制定的“初心”,存在很多誤區,不僅無法有效控制風險,還增加了很多額外的工作量。下面簡單解釋壹下,供大家關註。
1)半步環境分析
內外部環境分析是識別風險的前提。很多企業用SWOT和PEST模型分析內外部環境,編制內外部環境分析報告,然後用它來應付各種檢查,或者幹脆擱置。那麽我們分析內外部環境的目的是什麽呢?應付檢查?
GJB9001C-2017第4.1條明確規定:“組織應當確定與其宗旨和戰略方向有關的、影響其實現質量管理體系預期結果的能力的各種外部和內部因素。”壹個企業分析自己的內外部環境,是為了支持自己的目的和戰略,所以不能支持自己戰略的內外部環境分析只能稱為“半步環境分析”。那麽什麽樣的內外部環境分析呢?
我們以SWOT分析為例。前面的SWOT分析部分比較簡單(略)。當用二維四象限法定義企業的外部OT和內部SW時,分析繼續如下:外部機會(SO)下的內部優勢,企業要思考如何通過自身優勢發掘外部機會,並從中獲利。外部機遇下的內部劣勢(WO)需要企業仔細權衡。抓住機會風險太大嗎?威脅環境中的內部優勢(ST)需要改變。當威脅可以由優勢解決時,是否應該調整資源配置,將威脅轉化為機遇?還是需要其他機會防守?威脅環境中的內部劣勢。當內部無法抵禦外部威脅時,企業需要思考如何應對不利因素,以避免或克服威脅。只有通過這樣細致的分析,才能為企業戰略提供有效的輸入,同時完成風險識別和評估,這才是真正有效的環境分析。
2)獨立的風險管理
這種情況在質量體系審核中經常出現。壹方面,在項目風險分析報告中識別出技術、資金、人力等諸多風險,全部進行分析,並制定對策,形成完善的閉環;另壹方面,項目負責人因為交付進度緊張,做了大量的溝通協調工作,但在風險分析報告中沒有提及。這種誤解將風險管理與實際工作割裂開來,稱之為“獨立風險管理”,不僅對項目的風險管理沒有作用,還增加了項目負責人的負擔,從而人為地給質量管理人員設置了障礙。這裏需要澄清的是,質量管理從來都不是壹項獨立的工作。需要結合具體的業務和管理工作,“寫妳做的,做妳寫的”。千萬不要做壹些表面文章來應付檢查,那是弊大於利的。
3)壹組風險走到盡頭
壹個項目的風險管理還有壹個典型問題,就是在方案、技術設計、生產階段都要編制風險分析報告。但是仔細看,每個階段識別的風險都是壹樣的,更何況風險分析的結果也沒有什麽區別。姑且稱之為“壹套風險到底”。
分析問題背後的原因是人們對風險管理沒有足夠的學習和了解。他們認為風險管理要求很高,目前沒有滿足要求的工作。先解決問題吧。我想再說壹件事。“先解決問題”的想法是不可接受的。要知道,實施(或改進)壹種新的管理方法,需要巨大的教育成本。“先解決問題”的思路是把壹個新的管理方法的實施分成兩步,需要兩次教育,這樣會大大增強管理的難度。當確實需要實施壹種新的管理方法時,建議借用“零缺陷”的思維,壹次做對,這是最好最高效的方式。
綜上所述,風險導向思維是壹種方法論,是壹種從內外部環境中識別、分析和評估未來風險和機會,制定和實施對策,並不斷監控和持續改進的思維方式。這種方法論不僅適用於質量管理領域,也是壹種普遍的思維方式,適用於工作和生活的方方面面。但需要結合具體的工作生活進行實踐、總結、不斷提高,才能逐漸獲得這種思維能力。最後,風險相關標準列舉如下,供大家參考。
1)GB/T23694-2013風險管理術語
2)中央企業綜合風險指引(SASAC)
3)GB/T24353-2009風險管理?原則和實施指南”
4)GB/T20032-2005項目風險管理應用指南
5)GJB 5852-2006設備開發風險分析要求
6)GJB/Z 171-2013武器裝備研制項目風險管理指南。
7)ISO/DIS 31000,風險管理-實施原則和指南