您現在的位置是在:首頁 >> 行業動態
IATF 16949中提到風險管理的要求,更多的是風險思維。今天帶大家全面了解一下風險管理體系!
引 言
所有類型和規模的組織都面臨內部和外部的、使組織不能確定是否及何時實現其目標的因素和影響。這種不確定性所具有的對組織目標的影響就是“風險”。
組織的所有活動都涉及風險。組織通過識別、分析和評定是否運用風險處理修正風險以滿足它們的風險準則,來管理風險。通過這個過程,它們與利益相關方進行溝通和協商,監測和評審風險,以及為確保不再進一步需求風險處理而修正風險的控制措施。本國際標準詳細描述了這一系統的和邏輯的過程。
盡管所有的組織在某種程度上都在管理風險,本國際標準建立了一些為使風險管理變得有效而需要滿足的原則。本國際標準建議,組織制定、實施和持續改進一個框架,其目的是將風險管理過程整合到組織的整體治理、戰略和規劃、管理、報告過程、方針、價值觀和文化中。
風險管理可以在組織多個領域和層次、任何時間,應用到整個組織,以及具體職能、項目和活動。盡管在過去一段時間在許多行業,為滿足不同的需要,已經開展了風險管理實踐,但在一個綜合框架內采用一致性過程有助于確保在組織內有效、有效率和結合性地管理風險。本國際標準中所描述的通用方法提供了在任何范圍和狀況下,以系統、清晰、可靠的方式管理風險的原則和指南。
每一個具體行業或風險管理的應用都產生了各自的需求、受眾、觀念和準則。因此,本國際標準的主要特點是將所包含“確定狀況”作為通用風險管理過程開始的活動。確定狀況將捕獲組織的目標,組織所追求目標的環境,組織的利益相關方和風險準則的多樣性,所有這些都將幫助揭示和評價風險的性質和復雜性。
本國際標準描述的風險管理原則、框架和風險管理過程之間的關系,如圖1所示。
當依據本國際標準實施和保持風險管理時,能夠使組織,例如:
—— 提高實現目標的可能性;
—— 鼓勵主動性管理;
—— 在整個組織意識到識別和處理風險的需求;
—— 改進機會和威脅的識別能力;
—— 符合相關法律法規要求和國際規范;
—— 改進強制性和自愿性報告;
—— 改善治理;
—— 提高利益相關方的信心和信任;
—— 為決策和規劃建立可靠的根基;
—— 加強控制;
—— 有效地分配和利用風險處理的資源;
—— 提高運營的效果和效率;
—— 增強健康安全績效,以及環境保護;
—— 改善損失預防和事件管理;
—— 減少損失;
—— 提高組織的學習能力
—— 提高組織的應變能力
本國際標準旨在滿足眾多利益相關方的需求,包括:
a)負責制定組織風險管理方針的人員;
b)負責確保在組織整體、或者某一特定區域、項目或者活動內有效開展風險管理的人員;
c)需要評定組織風險管理有效性的人員;
d)整體或部分地實施風險管理的標準、指南、程序和操作規范的開發者。
目前許多組織的管理實踐和過程包含了風險管理的要素,許多組織針對特定類型的風險或環境下已經采用了正式的風險管理過程。在這種情況下,組織可以決定對照本國際標準對其現有的實踐和過程開展嚴格的評審。
在本國際標準中,“風險管理(risk management)”和“管理風險(managing risk)”都在使用。在通常的術語意義上,“風險管理(risk management)”涉及的有效管理風險的構架(原則,框架和過程),而“管理風險(managing risk)”指的是運用該架構管理特定風險。
圖表1 風險管理原則、框架、過程之間的關系
風險管理-原則和指南
1 范圍
本國際標準提供了風險管理的原則和通用性指南。
本國際標準可用于任何公共、私有或公有企業、協會,團體或個體。因此,本國際標準不針對任何特定行業或部門。
注:為方便起見,本國際標準涉及的所有不同的用戶以通用術語“組織”稱謂。本國際標準可用于整個組織的生命周期及廣泛的活動,包括戰略和決策、運營、過程、職能、項目、產品、服務和資產。
本國際標準可以應用于任何類型的風險,無論其性質及是否有積極或消極的后果。
盡管本國際標準提供了風險管理的通用性指南,但不意針對組織促進風險管理的統一性。風險管理計劃和框架的設計和實施需要考慮到特定組織的不同需求、特定目標,狀況、結構、運營、過程、職能、項目、產品、服務、或資產以及展開的具體實踐。
意在運用本國際標準來協調現有和將來標準的風險管理過程。本標準提供了一個支持其他標準處理特定風險和行業風險的通用方法,而不是取代這些標準。
本國際標準不意針對認證意圖。
2 術語和定義
下列術語和定義適用本標準。
2.1 風險 risk
不確定性對目標的影響
注1:影響是與期待的偏差——積極和/或消極
注2:目標可以有不同方面(如財務、健康安全、以及環境目標),可以體現在不同的層次(如戰略、組織范圍、項目、產品和過程)。
注3:風險通常以潛在事件(2.19)和后果(2.20),或它們的組合來描述。
注4:風險通常以事件(包括環境的變化)后果和發生可能性(2.21)的組合來表達。
注5:不確定性是指,與事件和其后果或可能性的理解或知識相關的信息的缺陷的狀態,或不完整。
[ISO導則 73:2009, 定義1.1]
2.2 風險管理 risk management
針對風險指揮和控制組織的協調活動。
[ISO 導則 73:2009, 定義 2.1]
2.3 風險管理框架 risk management framework
提供在組織內設計、實施、監測(2.28)、評審和持續改進風險管理(2.2)的基本原則和組織安排的要素集合。
注1:基本原則包括管理風險的方針、目標、指令和承諾。
注2:組織安排包括計劃、關系、責任、資源、過程和活動。
注3:風險管理框架被嵌入到組織的整個戰略和運營的方針和實踐中
[ISO 導則 73:2009, 定義 2.1.1]
2.4 風險管理方針 risk management policy
一個組織對風險管理的意圖和方向的陳述。
[ISO 導則73:2009, 定義 2.1.2]
2.5 風險態度 risk attitude
組織評價、最終追蹤、保留、消除或規避風險的方法。
[ISO 導則 73:2009, 定義 3.7.1.1]
2.6 風險管理計劃 risk management plan
在風險管理框架內規定用于風險管理的方法、管理要素、資源的方案。
注1:管理要素一般包括程序、慣例、職責分配、活動順序和時間安排。
注2:風險管理計劃可應用于特定的產品、過程和項目、組織的部分或整體。
[ISO 導則 73:2009, 定義2.1.3]
2.7 風險所有者 risk owner
具有風險管理權限和責任的個人或實體。
[ISO 導則 73:2009, 定義 3.5.1.4]
2.8 風險管理過程 risk management process
管理方針、程序和慣例對溝通、協商、確定狀況、以及識別、分析、評價、處理、監測和評審風險活動的系統應用。
[ISO 導則 73:2009, 定義 3.1]
2.9 確定狀況 establishing the context
界定外部和內部參數,以便在管理風險和設置風險管理方針的范圍及風險準則時,予以考慮。
[ISO 導則 73:2009, 定義 3.3.1]
2.10 外部狀況 external context
組織尋求實現其目標的外部環境。
注:外部環境可包括:
—— 文化、社會、政治、法律法規、財政金融、技術、經濟、自然和競爭環境,無論國際、國家、區域或地方
—— 對組織目標具有影響的主要驅動和趨勢。
—— 與外部利益相關方的關系和其感受和價值觀。
[ISO 導則 73:2009,定義 3.3.1.1]
2.11 內部狀況 internal context
組織尋求實現其目標的外部環境。
注:內部狀況可包括:
—— 治理、組織結構、作用和責任;
—— 方針、目標、以及實現它們的戰略;
—— 以資源和知識來理解的能力(如資本、時間、人員、過程、系統和技術);
—— 信息系統、信息流和決策過程(正式和非正式的);
—— 與內部利益相關方的關系、以及他們的感受和價值觀;
—— 組織的文化;
—— 標準、指南和組織采用的模式;
—— 合同關系的形式和范圍
[ISO 導則 73:2009,定義 3.3.1.2]
2.12 溝通和協商 communication and consultation
組織針對風險管理,提供、共享或獲取信息,與利益相關方進行對話的持續和反復的過程。
注1:信息涉及風險管理的存在、性質、形式、可能性、嚴重程度、評定、可接受性、處理。
注2:協商是組織與它的利益相關方,在做出決策或確定某一問題的方向前,針對問題雙向有事實依據的溝通的過程。協商是:
—— 通過影響力而非權力對決策施加影響;
—— 作為決策的輸入,而非加入決策。
[ISO 導則 73:2009, 定義 3.2.1]
2.13 利益相關方 stakeholder
可以影響、被影響、或者覺得自己會被決策或活動影響的個人或組織。
注:決策者可以是利益相關者。
[ISO 導則 73:2009, 定義 3.2.1.1]
2.14 風險評價 risk assessment
風險識別(2.15)、風險分析(2.21)和風險評定(2.24)的整個過程。
[ISO 導則 73:2009, 定義 3.4.1]
2.15 風險識別 risk identification
發現、認識、描述風險的過程。
注1:風險識別包括風險源(2.16)、事件(2.17)、它們的起因及潛在后果的確定。
注2:風險識別會涉及歷史數據、技術分析、有事實依據的和專家的觀點、以及利益相關方的需求。
[ISO 導則 73:2009, 定義 3.5.1]
2.16 風險源 risk source
單獨地或以結合的形式具有產生風險的內在可能性的因素。
注:一個風險源可以是有形的或者無形的。
[ISO 導則 73:2009,定義 3.5.1.1]
2.17 事件 event
特殊系列環境的產生或變化。
注1:.一個事件可以是一個或多個事變,會有多種原因。
注2:事件可以由一些不發生的事情構成。
注3:事件有時被稱作“事件(incident)”或“事故(accident)”。
注4:.沒有后果的事件可以被稱作“near miss”、“incident”、“near hit” 、 “close call”。
[ISO 導則 73:2009, 定義 3.5.1.2]
2.18 后果 consequence
事件對目標的影響結果。
注1:一個事件可以產生一系列的后果。
注2:后果可以是確定或不確定的,以及對目標具有積極或消極的影響。
注3:后果可以被定性或定量地表述。
注4:初步的后果通過連鎖效應可以逐步升級。
[ISO 導則 73:2009, 定義 3.6.1.3]
2.19 可能性 likelihood
某事發生的機會。
注1:在風險管理術語學中,“可能性”是指事情發生的機會,不論是明確的、測量的,還是客觀或主觀地、定性或定量地確定的,以及一般性或精確地描述(如在一定時段內的可能性和頻率)。
注2:英文“likelihood”在一些語言中沒有直接對應的等同詞,而同義詞“probability”經常被使用。然而,在英文中,“probability”通常被狹義地理解為數學術語。因此,在風險管理術語學中,“likelihood”以它在許多非英語國家語言中的“probability”所具有的同樣的廣泛理解來使用。
[ISO 導則 73:2009, 定義 3.6.1.1]
2.20 風險狀況 risk profile
任何系列風險(2.1)的描述。
注:該系列風險可包含與整個組織、組織的部分或者其他特定部分相關聯的風險。
[ISO Guide 73:2009, definition 3.8.2.5]
2.21 風險分析 risk analysis
理解風險(2.1)的性質和確定風險程度(2.23)的過程。
注1:風險分析為風險評定和風險處理決策提供了基礎。
注2:風險分析包括風險估測。
[ISO 導則 73:2009, 定義 3.6.1]
2.22 風險準則 risk criteria
評價風險重要性的依據。
注1:.風險準則基于組織的目標和內外部狀況。
注2:風險準則可出自于標準、法律、方針和其他要求。
[ISO 導則 73:2009, 定義 3.3.1.3]
2.23 風險程度 risk level
以后果和可能性的組合表達的風險的量或組合結果。
[ISO 導則 73:2009, 定義 3.6.1.8]
2.24 風險評定 risk evaluation
將風險分析的結果與風險準則進行比較,以確定風險和(或)其量是否可接受或可容許。
注:風險評定有助于有關風險處理的決策。
[ISO 導則 73:2009, 定義 3.7.1]
2.25 風險處理 risk treatment
修正風險的過程。
注1:風險處理可包括:
—— 通過決定不啟動或停止產生風險的活動而避免風險。
—— 為了追求機會采取或增加風險。
—— 消除風險源。
—— 改變可能性。
—— 改變后果。
—— 與其他方面共同分擔風險(包括合同、風險融資)。
—— 通過有事實依據的決策保留風險。
注2:對消極后果的風險處理有時可以稱為“風險減緩(risk mitigation)”、“風險消除(risk eliminate)”、“風險預防(risk prevention)”和“風險減小(risk reduction)”。
注3:風險處理可以產生新的風險或修正已存在的風險。
[ISO 導則 73:2009, 定義 3.8.1]
2.26 控制措施 control
修正風險的措施。
注1:控制措施包括任何過程、方針、手段、慣例或其他修正風險的措施。
注2:控制措施可能不總是產生預期或設想的修正效果。
[ISO 導則 73:2009, 定義 3.8.1.1]
2.27 殘留風險 residual risk
風險處理后余留下的風險。
注1:殘留風險可包括未識別的風險。
注2:殘留風險也可被認作“保留的風險(retain risk)。
[ISO 導則 73:2009,定義3.8.1.6]
2.28 監測 monitoring
不斷檢查、監督、嚴格觀察或確定狀態,以識別所要求或期待的績效水平的變化。
注:監測可應用于風險管理框架、風險管理過程、風險或控制措施。
[ISO 導則 73:2009, 定義 3.8.2.1]
2.29 評審 review
為達到所建立的目標,確定有關事務的適宜性、充分性和有效性所采取的活動。
注:評審可應用于風險管理框架、風險管理過程、風險或控制措施。
[ISO 導則73:2009, 定義3.8.2.2]
3 原則
為了風險管理有效,組織宜在各個層次遵循以下原則。
a)風險管理創造和保護價值
風險管理有助于目標明確的實現和績效的改進,例如,在人員的健康安全、治安、法律法符合性、公眾接受性、環境保護、產品質量、項目管理、運營效率、治理和聲譽方面。
b)風險管理是整合在所有組織過程中的部分
風險管理不是與組織的主要活動和過程分開的孤立活動。風險管理是管理職責的部分和整合在所有組織過程中的部分,包括戰略規劃、所有項目、變更管理過程。
c)風險管理支持決策
風險管理可以幫助決策者做出明智的選擇、優先的措施和辨別行動方向。
d)風險管理明晰解決不確定問題
風險管理明確地闡述不確定性、不確定性的性質、以及如何加以解決。
e)風險管理具備系統、結構化和及時性
系統、及時和結構化的風險管理方法有助于提高效率和取得一致、可衡量和可靠的結果。
f)風險管理基于最可用的信息
風險管理過程的輸入基于信息源,如歷史數據、經驗、利益相關方的反饋、觀察、預測和專家判斷。然而,決策者宜告誡自身和考慮,數據或所使用模型的局限性,或者專家之間分歧的可能性。
g)風險管理是量體裁衣的
風險管理是與組織的外部和內部狀況及風險狀況相匹配的。
h)風險管理考慮人文因素
風險管理認識到可以促進或阻礙組織目標實現的內部和外部人員的能力、觀念和意圖。
i)風險管理是透明和包容的
利益相關方、尤其是組織各層面的決策者適當、及時的參與,確保了風險管理保持相關和先進性。參與過程也允許利益相關方適當地發表意見,并將其觀點考慮到風險準則的確定中。
j)風險管理是動態、迭代和應對變化的
風險管理持續察覺和響應變化。由于外部和內部事件發生,狀況和知識在改變,風險的監測和評審在進行,新的風險出現,一些風險在改變,而另一些風險消失了。
k)風險管理實現組織的持續改進
組織宜制定和實施戰略,協同組織的其他方面共同改進風險管理的成熟度。
附件A為希望更有效地實施管理風險的組織提供了進一步的建議。
2017年第2期在線課程已開始接受報名,課程如下:
