|
Investigation of the organization's risk and its control
摘要:本文探讨了组织所面临的风险及其控制。讨论了在建立实施保持和改进管理体系过程中,对危险源辨识,风险评估及其风险控制措施来降低组织经营风险及其损害和增强相关方满意。
Abstract: The risks faced by the organization and its control were discussed. In the process of establishing, implementing, maintaining and continually improving a quality management system, the control measures were recommended to identify hazards, to reduce business risk and damage tissues and to enhance interested parties satisfaction.
关键词:管理体系;组织环境;成本;风险; 风险评估,危险源,事件;相关方满意。
Keywords: Management system; Context of the Organization; Costs; Risk; Risk Assessment; Hazard; Incident; Interested Parties Satisfaction
“风险”一词由来多种:在远古时期,以打鱼捕捞为生的渔民们,深深地被“风”给他们带来的无法预测无法确定的危险所困扰,“风”即意味着“险”亦即 “风险”;另一种说法风险(RISK)来自阿拉伯语、也有人认为来源于西班牙语或拉丁语,但比较权威的说法是来源于意大利语和或法语的“RISQUE”一词。也是被理解为客观的危险;现代意义上的风险一词,越来越被概念化,并随着人类活动的复杂性和深刻性而逐步深化,并被赋予了从哲学、经济学、社会学、统计学甚至文化艺术领域的更广泛更深层次的含义,且与人类的决策和行为及其后果密切相关,风险也成为人们生活工作中不得不思考的关键词。
ISO/TC 176/SC于2014年下半年推出的国际标准草案 ISO/DIS 9001:2014中 3.09定义风险( risk)为对预期结果不确定性的影响(Effect of uncertainty on an expected result). 当然,这种偏离预期的影响可能是正面(Positive )或者能够给组织带来意想不到的收益;也有可能是负面(Negative)或者给组织带来人员伤亡和或财产损失;也可能是二者的结合。亦即标准草案条款6.1提及的风险和机遇(risks and opportunities)。为此,基于风险的审慎考量(Risk-based thinking),标准草案明确要求将组织风险考量融入质量管理体系的建立、实施、维护和持续改进的要求中。条款6.1特别强调当策划质量管理体系时,组织应考虑组织环境(4 Context of the organization)所涉及的风险内容及其控制要求,并确定需应对的风险和机遇,确保质量管理体系可以实现其预期的结果;预防或减少非预期的影响;实现持续改进(条款6.1.1)。标准草案明确要求组织应策划:a)风险和机遇的应对措施;b) 如何在其质量管理体系过程中整合和实施这些措施以及评价这些措施的有效性并对风险和机遇所采取的措施应与其对产品和服务的符合性的潜在影响相适应(条款6.1.2),在产品防护(条款8.5.4)及其交付后的活动(条款8.5.5),任何变更控制(条款8.5.6)等都应当考虑与产品和服务相关的风险。
因此,组织在建立实施保持和改进管理体系,如何辨识风险、分析风险、评价风险、预防规避风险以及其事件(incident)发生以后应急准备和响应措施以及如何运用风险,在风险中寻求机会创造价值或者提高效率和效益,意义非常深远而重大。
本文对组织在建立实施保持和改进管理体系过程中,所面临的风险及其评价进行了探讨!
一、组织面临的风险
风险无处不在。从投资,经营,存储,运输,交付,服务等相关各个过程,乃至整个产品生命周期,组织在建立实施保持和改进管理体系过程中肯定面临各种风险,也就必须关注基于风险的审慎考量(Risk-based thinking)。
按照性质,组织所面临的风险分为:
1、纯粹风险。纯粹风险是指只有损失机会而无获利可能的风险。比如的组织基础设施(7.1.3 Infrastructure)所面临的地震等自然灾害风险、火灾风险、化学品爆炸、运输交付过程中面临的车祸碰撞风险等,当这些事故发生时,组织便会遭受经济利益上的损失和人员伤害。
2、投机风险。组织投资决策过程中,投机风险是相对于纯粹风险而言的,是指既有损失机会又有获利可能的风险。投资过程中投机风险的后果一般有三种:一是没有损失;二是有损失或损害;三是盈利。就像在资本市场上买卖股票,就存在赚钱、赔钱、不赔不赚三种后果,因而属于投机风险。
按照属性风险分为:
1.财产风险。财产风险是指导致一切有形财产的损毁、灭失或贬值的风险以及经济或金钱上的损失的风险。如前面所说的基础设施包括办公场所、厂房、机器仪器设备、原材料,产品、办公设备设施家具等会遭受火灾、地震、爆炸等风险;运输设备在行进中,可能会遭受船舶沉没、搁浅,车辆碰撞,飞机坠毁等财产损失风险。而且财产损失通常包括财产的直接损失和间接损失两方面考虑。
2.人身风险。是指职业健康安全环境导致人的伤,残,死亡,丧失劳动能力以及增加费用支出的风险。人身风险包括生命风险和健康程度的风险。特别地,死亡是人的生命中的必然发生的事,并无不确定可言,但死亡发生的时间确是不确定的,而健康风险则具有明显的不确定性,如伤残是否发生,疾病是否发生,其损害健康的程度大小等,均是不确定的。人身风险所致的损失一般有两种:一种是人的生命或身体遭受各种形式的损害,造成人的经济生产能力降低或丧失的风险,包括死亡、残疾、疾病、生育、年老等损失形态以及收入能力损失,另一种是额外费用,如事故发生后救护医疗,赔付及其家属接待安抚开支损失。
3.责任风险。责任风险是指由于决策人,责任人,组织或相关方的疏忽或过失行为,造成他人财产损失或人身伤亡,甚至依照法规要求应承担的民事法律责任的风险。
4.信用风险。信用风险是指在供应链或价值链体系,相关方交往过程中,供方与组织之间,由于一方违约或违法或怠慢致使对方遭受经济损失的风险。如采购过程中,组织会因供方不履约而遭受经济损失;组织环境变化,行政主管部门出现某些不作为,消极怠工等而导致经济损失等。
按照行为风险分为:
1.特定风险。与特定的人有因果关系的风险,即由特定的人所引起的,而且损失仅涉及特定个人的风险。如火灾、爆炸、盗窃以及对他人财产损失或人身伤害所负的法律责任均属此类。
2.基本风险。其损害波及社会的风险。基本风险的起因及影响都不与特定的人有关,至少是个人所不能阻止的风险。与社会或政治有关的风险,与自然灾害有关的风险都属于基本风险。如地震、洪水、海啸、经济衰退等均属此类。
按照产生环境风险分为:
1.静态风险。静态风险是指在社会经济正常情况下,由自然力的不规则变化或人们的过失行为所致损失或损害的风险。如雷电、地震、霜害、暴风雨等自然原因所致的损失或损害;火灾、爆炸、意外伤害事故所致的损失或损害等。
2.动态风险。动态风险是指由于社会经济、政治、技术以及组织等方面发生变动所致损失或损害的风险。如人口增长、资本增加、生产技术改进、消费者爱好的变化等。
按照产生原因风险分为:
1.自然风险。自然风险是指因自然力的不规则变化使社会生产和社会生活等遭受威胁的风险。如地震、风灾、火灾以及各种瘟疫等自然现象是经常的、大量发生的。自然风险的特征有:不可控性;周期性以及自然风险事故引起后果的共沾性,即自然风险事故一旦发生,其涉及的对象往往很广。
2.社会风险。社会风险是指由于个人或团体的行为(包括过失行为、不当行为以及故意行为)或不行为使社会生产以及人们生活遭受损失的风险。如盗窃、抢劫、玩忽职守及故意破坏等行为将可能对他人财产造成损失或人身造成伤害。
3.政治风险。是指因政治博弈,种族,宗教,利益集团和国家之间的冲突,或因政策,制度的变革与权利的交替造成损失的风险.如在对外投资和贸易过程中,因政治原因或订立双方所不能控制的原因,可能使组织遭受损失的风险。如因贸易制裁,进口国发生战争、内乱而中止货物进口;因进口国实施进口或外汇管制等等,就像最近斯里兰卡新政府近日叫停中资港口城项目建设;
4.经济风险。经济风险是指在产品和服务实现和提供过程中由于受各种市场供求关系、经济贸易条件等外部环境因素变化的影响或者经营者决策失误,对前景预期出现偏差等导致经营失败的风险。比如企业生产规模的增减、国际资源(如石油,矿产)价格的涨落和经营的盈亏等。
5.技术风险。技术风险是指伴随着科学技术的发展、生产方式的改变而产生的威胁人们生产与生活的风险。如核辐射、空气污染和噪音等。
6、质量风险。用通俗的话来说就是产品和服务合格与否或者是否满足顾客要求。质量风险就是在服务过程中或者产品的生命周期中存在的不确定性,也就是发生的损害的可能性及可能造成的危害。影响产品和服务质量的因素很多,所导致质量风险的危险源也是很多等。
美国风险管理学者克罗曼在《风险管理报告》一书中把企业风险分为环境风险、过程风险和决策风险。其中环境风险主要是组织外部由于竞争厂商、股东关系、资本来源、灾难性损失、政治法律、行业管制、产品和金融市场等因素引起的风险。过程风险是指组织经营过程中面临的风险,包括经营风险、授权风险、信息风险、忠诚风险、财务风险等。决策风险是指组织各种类型的决策可能失误导致的风险。包括经营决策风险、财务决策风险和战略决策风险等。
日本学者按照风险与组织相关活动的关联性把风险分为与发展机会有关的风险和与发展活动运行有关的风险。与发展机会有关的风险是指经营和战略决策的不确定性带来的风险,包括新开拓领域的进入风险、商品开发风险、筹资风险、投资失败风险等。与发展活动运行有关的风险是指由于业务活动的操作方式是否正确和有效而产生的风险,包括违法风险、粉饰财务报告的风险、产品和服务质量风险、信息安全保密风险、业务操作程序风险、业务过于集中导致的风险、产品设计风险、定价风险、产品供应是否稳定的风险、社会评价风险等。覆盖组织产品和服务及其发展的前瞻性,颠覆性,刚需性,兼容性,长久性,竞争性,成本考量,性价比,市场份额,易复制等
按照标准草案要求及组织环境(4 Context of the organization)的定义,我们也可以将组织所面临的风险,大致分为内部环境风险和外部环境风险。组织内部风险包括:人员或者人力资源或人才经营(7.1.2 People 人员,7.3 Awareness 意识, 8.1 Operational planning and control运行的策划与控制, 8.3 Design and development of products and services产品和服务的设计和开发等)风险;基础设施(7.1.3 Infrastructure 基础设施等)风险;供应链或价值链风险;技术(7.1.6 Organizational knowledge组织知识等)风险;监视和和测量及其设备设施(7.1.5 Monitoring and measuring resources监视和测量资源等)风险;过程环境(7.1.4 Environment for the operation of processes过程运行环境等)风险;物质流信息流(7.4 Communication 沟通, 7.5 Documented information 记录信息等)风险等;组织外部(8.4 Control of externally provided products and services产品和服务提供的外部控制等)风险包括:宏观经济环境;法规要求(8.2 Determination of requirements for products and services产品和服务的要求的确定等);利益相关方监管;自然灾害;汇率变化;政治动荡,恐怖袭击战争阴霾等等这里不再一一赘述。
二、组织风险发生具有以下主要特征:
1、客观性。组织环境变化是客观存在的,无论是自然界的物质运动,还是社会发展的规律,都由事物的外部因素影响,内部因素所决定,由超过人们主观意识所存在的客观规律所决定,是不以人的意志为转移的。虽然可以采取预防措施防止其发生或降低风险事故发生的概率,减少损害的程度,而不能彻底消除风险。
2、损害性。风险发生后必然会给组织造成一些损失和或人员伤害,然而对于损害的发生组织却无法预料和确定。组织只能在认识和了解风险的基础上严防风险的发生和减少风险所造成的损害,损害是风险的必然结果。
3、不确定性。风险是客观的、普遍的,发生时间的不确定性。从总体上看,有些风险是必然要发生的,但何时发生确是不确定性的。例如,生命风险中,死亡是必然发生的,这是人生的必然现象,但是具体到某一个人何时死亡,在其健康时却是不可能确定的。
4、普遍性。风险在人类生产生活中无处不在、无时不有,并威胁着人类的生命和财产的安全,如地震灾害、洪水、火灾、意外事故的发生等。随着人类社会的不断前进和发展,人类将面临更多新的风险,风险事故给组织造成的损失也可能越来越大。
5、社会性。没有人和人类社会,就谈不上风险。风险与人类社会的利益密切相关,风险的后果与人类社会的相关性决定了风险的社会性,具有很大的社会影响。随着风险的发生,人们在日常经济和生活中将遭受经济上的损失或身体上的伤害,组织将面临生产经营和经济上的损失。
6、可测性。单一风险的发生虽然具有不确定性,但对总体风险而言,风险事故的发生是可测的,即运用概率论和大数法则对总体风险事故的发生是可以进行统计分析的,以研究风险的规律性。风险事故的可测性为保险费率的厘定提供了科学依据。
7、可变性。变是绝对的,不变是相对的,风险也是如此。风险的变化,有量变,有质的改变,还有旧风险的消失和新风险的产生。风险的产生及其变化主要是由科技进步、经济体制与结构的转变、政治与社会结构的改变等方面的变化引起的。
每个组织都是在风险中经营成长,随着市场经济的发展和经济全球化的推进,组织面临的市场环境越来越复杂,存在的风险较以往更加严峻,更具隐秘性和摧毁力。组织应当正确认识和了解风险,提高对风险的防范,才能未雨绸缪,防患于未然。
三、组织风险的评价方法
学术界有许多关于组织风险的评价方法。关键是充分性,有效性和适用性。
在GB/T 28001-2011标准中,将风险产生的根源称谓危险源(hazard),定义为:可能导致人身伤害和或健康损害的根源、状态、或其组合存在差异。这里对于组织所面临风险,亦即风险产生所涉及的危险源,其确切的定义应当是:可能导致财产损失、人身伤害和或健康损害的根源、状态、或其组合。笔者认为这一概念及其控制方法可以引入建立实施保持和改进管理体系过程既可方便对组织风险及其评价的研究,又能方便与职业健康安全管理体系一体化整合。
十分明显,全面识别,正确评价,跟踪不断变化的组织环境所面临风险产生的根源——危险源是一项简洁而又繁复的系统工作。组织建立实施保持和改进管理体系过程中,如何定性定量评价组织所面临风险,过去发生,现在存在和未来可能出现的危险源及其正常、异常和紧急情况下所造成的损害影响应当是首先探讨的课题。
通常组织环境所涉及危险源常见辨识和评价方法:
1、专家判定法:组织利用专家的知识和过去历史经验,甚至采用员工头脑风暴法,在产品,活动和服务设计过程中,从源头开始要求明确相应的危险源和重大危险源及其控制措施,在产品和服务实现和提供过程中,针对不断变化的组织环境,定期和不定期地对所涉及的危险源进行跟踪评价或者分析判断其危害性及其变化,确认重大危险源,跟踪其相应的控制措施有效性及其改进措施;
2、是非判断法:即对可用是非做直接判断的问题,如国家或者行业已经明确相关危险源,如GB 18218-2009所确认的重大危险源项目,如曾经发生过事件(incident)的危险源,特别是有违或者潜在违反适用法规要求的即可直接列为危险源以及评价为重大危险源,并采取相应的应对控制措施;
3、跟踪组织所面临风险影响方法:在产品,活动和服务过程中,过程环境在不断地发生变化,组织应当及时辨识,跟踪,评价,确认危险源的变化,调整相应的控制措施策划与实施有效性跟踪(6.3 Planning of changes),即对发现的组织所面临风险影响变化的危险源及发展态势或趋势跟踪评价控制重大危险源;
4、对比法:对不同区域的投资,经营,存储,运输,交付,服务过程中组织所面临风险及其所涉及的危险源进行跟踪评价对比;
5、等效危害负荷法:适用于对同一类危险源中不同因子对组织所面临风险影响之间的比较。
7、打分计算法:即把各项(类)危害分类判定量化标准,把各个危险源的危害程度按照此标准要求打分,最后进行综合加权计算,按计算的结果将得分较高的评为重大危险源等。常用风险评估指标,包括风险率,人员伤亡率,FAFR值事故死亡率指标(Fatal Accident Frequency Rale缩写为:FAFR)等
8、其他方法。如工作危害分析﹙JHA﹚法;风险等级LSR评价法等;
在识别评价危险源的过程中,当然应当考虑三种时态(过去,现在,未来),三种状态(正常,异常,紧急)等。无论采用什么方法,关键是充分性,适用性,有效性和可操作性。
通常常见的对组织所面临风险评估方法包括:
1、定性评估:不对危险源危险性进行量化处理,只对危险源做定性的比较。定性评估使用过程控制方法,将产品,活动和服务过程中每个过程进行分解,依靠人的观察分析能力,借助有关法规、标准、规范、经验和判断能力进行评估。包括:调查和专家打分法,层次分析法(Analytic Hierarchy Process,简称AHP)等;
2、定量评估:是在对所辨识的危险源其危险性量化的基础上进行评估,主要评估依靠历史统计数据,数学专家们运用数学方法构造数学模型进行评估。常见的定量评估法分为:①概率评估法②数学模型计算评估③相对评估法(即指数法)。其中概率评估法:是以某事件(incident)发生概率计算为基础的方法。如事件数的评估方法。数学模型计算评估:主要是应用软件来实现。相对评估法:是评估者根据经验和个人见解制定一系列评分标准,然后按危险性分数值评估危险性。
在具体操作层面上,也可以采用过程方法进行定性和定量风险评估。亦即在产品活动和服务中,对所涉及的过程,逐一对涉及到的具体过程输入(inputs)或者上一过程输出相关人、机、料、法、测、环、要求所涉及的危险源,以及转化(do-carry out the process)过程中所涉及和衍生的危险源,输出(outputs)各种产品和服务提供所涉及和衍生的的危险源进行辨识,分析,评价,确认及其控制等。
四、组织风险控制
在建立实施保持和改进管理体系过程中,组织必须正视和重视客观存在的各种风险,采取相应的防范措施。源头控制风险产生的根源亦即所谓危险源(Hazard),包括危险源辨识(Hazard Identification),危险源分析(Hazard Analysis),风险评估(Risk Assessment),重大危险源(Major Hazard)确认及其预防措施以控制危险源所引发事件(Incident)的发生以及发生后应急准备和响应措施,尽可能地降低风险所造成的损害。
1、多样化选择。组织在策划实施相关过程控制活动中,可以采取多样化的行动措施,以降低风险。如供应链管理过程中,同类的原材料可以选择多个合格供方;同类的产品,可以通过多种渠道,销售到不同顾客;
2、风险分散。将鸡蛋不放在一个篮子里。组织可以在组织环境不同的地方投资,经营,生产和提供自己的多种产品和服务,就像资本市场投资者通过投资许多项目或者持有许多公司的股票而消除风险,可以一定程度地避免持有单一资产而发生的风险。这样,组织的投资报酬就会更加确定。
3、风险控制。对于组织内部已经确认的重大危险源,必须采取切实可行的控制措施以降低风险,包括:替代;工程控制措施;标志、警告和或管理控制措施;个体防护装备等。
4、购买保险。在面临风险的情况下,组织可以使用一部分收入去购买保险。如果保险的赔付正好等于损害数额,组织可以通过购买足够的保险,以从任何可能遭受的损失中得到全额补偿。此外,组织可以进行自保,一是采取资产多元化组合,如购买共同互助基金;二是向某些基金存放资金,以抵消潜在损害等等。
五、组织风险控制的实施
毫无疑问,在投资,经营,存储,运输,交付,服务过程中组织所面临风险及其控制是决策者必须考虑的重要因素之一,亦即关乎建立实施保持和改进管理体系有效性的非常重要的影响因素之一。组织可以实施:
1、确认管理体系覆盖范围,变化的组织环境及其过程所涉及的边界;
2、明确/辨识/更新组织所面临风险所涉及危险源及其潜在影响后果
3、评价/不断地跟踪新的和所确认的危险源及其影响程度,确认或再确认重大危险源;
4、针对高风险的重大危险源制定相应的目标和方案及应急准备和响应措施
5、对员工进行相应的相关知识培训,提高相关防范意识和因应能力
6、实施及其效果监督检查以及跟踪不断变化的环境及其所衍生的危险源及其影响;
7、发现问题,甚至出现事件,采取相应的纠正措施,应急准备和响应以及持续改进。
(商榷联系:陈厚勇13602578776 邮箱sziso9000@126.com QQ:1259533307)
参考文献:
|