“基于风险的思维”是GJB9001C-2017《质量管理体系要求》的三大核心概念之一,贯穿于质量管理体系全过程,同样适用于装备全寿命周期。但在装备研制过程中,经常出现风险识别不全,风险分析与项目情况不符,各研制阶段的风险和应对措施完全一样等等问题,风险管理演变成了一个只应对审核的形式化工作,让很多质量人一筹莫展。
为什么会出现这种情况,该如何解决这些问题呢?
一切还需要从装备研制风险管理的内涵说起。
一、装备研制风险管理
根据GB/T23694-2013《风险管理术语》的定义,风险是不确定对目标的影响,包括三方面的内涵,一是不确定性,风险是未来可能发生,也可能不发生的事件(如果肯定发生的事就不是风险了);二是对目标有影响,如果事情发生了对你的目标没有任何影响,也不属于风险的范畴;三是影响,包括正面的(基于)和负面的(风险),风险管理的对象一般都是针对负面的风险而言。
依据GJB/Z
171-2013《武器装备研制项目风险管理指南》,风险管理的过程一般由风险规划、风险评估、风险应对和风险监控等活动组成;其中,风险评估包括风险识别、风险分析和风险评价等步骤。
1)风险规划
风险规划通过建立风险管理框架,定义风险管理各项活动过程,为风险管理提供基础和安排,一般包括:明确项目内外部环境信息、确定风险管理角色和职责、定义风险准则、规划风险管理资源、制定并维护风险管理计划。大部分内容一目了然,就其中的“风险准则”做一说明。
风险准则为项目判定风险等级或评价风险应对效果提供衡量基准,一般包括可能性等级判定准则、后果等级判定准则、风险接受准则或风险评审准则,下面给出了判定准则的一些示例(不是要求,各企业可结合自身特点定义自己的风险准则)。
图1是基于风险发生的可能性和后果严重性绘制的矩阵图谱,在矩阵中,风险分为高(I)、中(II)、低(III)三个等级。其中高风险(I)需要制定风险应对措施,编写详尽的风险应对方案,集中项目资源进行应对;中风险(II)需要制定风险应对措施,在综合考虑应对措施的成本与收益后应对;低风险(III)可以不制定应对措施,不采用专门的应对活动,定期监控即可。
2)风险评估
风险评估包括风险识别、风险分析和风险评价三个步骤。
风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果等,生成一个风险列表,一般包括:选择风险识别方法、动态识别风险事件、记录风险识别过程与结果。应根据项目目标、环境信息、掌握的数据、理论与方法及专家意见选择适宜的风险识别方法,常用的方法包括:头脑风暴法、德尔菲法、情景分析法、检查表法等(详细可参照GJB/Z 171的附录D)。动态识别风险事件重点在“动态”,指每一个研制阶段,需要先进行上一阶段“剩余风险”的评估,再识别本阶段新产生风险,最后一并进行风险分析和评价工作,只有动态识别风险,才能保证风险的全面性和科学性。
风险分析是根据风险类型、获得的信息和风险评估结果的使用目的,对识别出的风险进行定性和定量的分析,为风险评价和风险应对提供支持,生成风险发生的可能性、后果严重性的分析记录,一般包括:选择分析方法(详细可参照GJB/Z 171的附录D)、后果分析、可能性分析、不确定性及敏感性分析、记录风险分析过程与结果等。
风险评价是将风险分析的结果与风险准则比较,或者在各种风险的分析结果之间比较,确定风险等级,以便做出风险应对的决策,形成风险排序清单,一般包括确定风险等级、风险排序、记录风险评价过程与结果。
风险评估的最终目的是为风险应对提供输入,所以,风险评估一定要客观、真实,并且满足风险应对的需要,否则,则应该做进一步分析。
3)风险应对
风险应对是通过选择并实施适当的风险应对措施,将风险控制在业务相关方可接受的范围内,一般包括:选择风险应对措施、制定风险应对方案、实施已获批准的风险应对措施或方案、记录风险应对过程与结果。
风险应对措施一般分为四类:① 风险规避:消除风险源,如更改设计方案、技术要求、规范等;② 风险降低:承认风险,并尽力减少风险发生的可能性,或后果的影响程度或范围;③ 风险转移(分担):将风险可能产生的后果全部或部分有偿地转移(分担)给其他业务相关方,如分包或保险;④ 风险承担(接受):判定风险可以容忍并予以接受。一般对于高风险(I)和中风险(II),应制定应对措施,对于低风险(III),可不制定专门的应对措施。
对于不可接受的高风险(I),针对确定的风险应对措施,应单独编制详尽的风险应对方案,并提交项目管理负责人或风险管理委员会审批,风险应对方案的内容应现实可行、可度量、可靠和,尽可能详尽到根据其描述可以采取具体应对行动的程度。对于中风险(II)或低风险(III),一般不再单独编制风险应对方案。
4)风险监控
风险监控是监测和评审风险状态,反馈并记录风险信息的过程,其目的是确保风险管理过程持续有效,一般包括:监测已识别风险及其剩余风险或次生风险、动态识别新的风险、记录与反馈风险监控信息、开展风险评审。
这部分的内容说的也比较清楚,但几个概念需要说明以下:剩余风险指风险应对之后剩余的风险。次生风险指实施风险应对措施后派生出的其他风险。风险评审是为实现既定目标,确认武器装备研制项目风险管理有关事务的适宜性、充分性和有效性所采取的活动;风险评审可单独开展,也可与其他专业评审、质量评审或技术审查等工作结合开展。
二、风险管理的问题
GJB/Z 171详细介绍了风险管理的各项工作,给出了武器装备研制项目各阶段风险管理工作,提供了风险管理计划、评估报告、登记册等模板,是不是学会了这些内容就可以做好装备研制项目的风险管理了呢?
事实绝非如此,搞清楚装备研制过程的风险管理知识并不困难,但怎么在装备研制过程中实施有效的风险管理就是另外一回事了。在基于GJB 9001C-2017标准的体系换版时,绝大部分企业都进行了风险管理的培训,但笔者在多次审核过程中还是发现了五花八门的风险管理问题,如未从技术、进度、经费、质量等角度全方位识别风险造成风险识别不全面;销售/采购合同评审时风险识别很多时候是“无风险”;项目实施过程中针对进度拖期做了大量沟通,但风险管理中却没有进度风险的典型两张皮现象;装备研制各个阶段的风险识别和应对措施完全一致等等,充分反映了装备研制风险管理只为应付审核的形式化现状,并且很多时候达不到认认真真走形式的程度。
三、问题原因分析
分析造成这些问题的原因,主要是“不愿做”、“不会做”两个方面。
1)不愿做
增加工作量看不到效果:很多军工企业工作任务本来就非常饱满,新标准要求在装备研制工作之外开展风险管理,形成一系列报告,无形中增加了工作量,但又看不到风险管理的效果,项目组就比较排斥,但是质量体系内外审又要检查,导致大部分项目组的策略就是应付,只要通过体系审核,风险管理的质量也就无足轻重了。
影响工作进程:销售合同、采购合同评审时,如果识别出太多风险,就会导致在审批时引起领导关注,为什么这么多风险,这些风险该如何应对,合同是不是能签?这些问题都会让操作者增加额外的工作量,同时让合同审签的进程大大延后,这也就直接导致了很多员工有意无意的忽略了风险,看似减小了工作量,加快了进程,但为后续合同的执行埋下了很多隐患。
不认真做影响也不大:
在装备研制过程中,风险管理好坏对最终合同的执行情况影响不大,比如进度紧张时可通过沟通协调办理纳期,真正因研制周期拖期导致严格按合同执行的情况并不多见;技术风险解决不好,通过专家研讨、评审的方式也可以得到解决;经费方面的风险在多次合作中也能得到平衡等等。但随着各项制度的逐步落实(如:装备承制单位资格审查中关注合同履约情况、装备承制资格也出了因“研制拖期”被纳入失信名单的情况),风险管理不善也可能会对企业造成非常大的影响。
2)不会做
对新事物推进的规律认识不清:任何一个新事物的出现,总要经历一段时间(这段事件可能很长)的引入、培训、推广、反复,才能最终被人们接受。管理工作更是如此,一般都要经过“建章立制->宣贯培训->试运行->检查纠正->运行->检查纠正->运行->……”的过程,需要在“运行->检查纠正”的环节来回反复,经过了2-3年(甚至更长时间)才能最终为大众所接受。而很多质量人对这个“长期过程”认识不足,在进行宣贯培训后就开始试运行,重复几次出现同样问题后就武断的认为项目负责人“质量意识薄弱”、“责任心不强”,再然后也就麻木了,对如何采取进一步措施引导或激励项目负责人落实标准要求没有了动力,装备研制的风险管理也就停滞不前了(多说一句,其实很多管理工作难以落地都与此相关)。
先解决有无的错误思维:在推进装备研制风险管理的初期,很多质量人采取了一种“先解决有无”的错误方法,先组织大家编制《风险管理计划》、《风险分析报告》等文件,满足体系要求,暂时不去关注风险管理的具体情况,也是导致风险管理落实不力的原因之一。这种方法人为的增大了管理的难度,把“风险管理”一次教育的成本,变成了“编制风险管理文件”、“实施有效风险管理”两次教育的成本,很多情况下,完成了一次教育后(编制风险管理文件),质量人、项目组也都失去了继续深耕的动力,导致了装备研制风险管理工作的现状。
宣贯培训不到位:从学习的过程来看,一个完整的培训至少应包括以下环节:培训、演示、评价、检查、纠正错误/鼓励进步,并且经过反复多次,才能起到真正的培训目的。但很多培训只是组织大家听老师讲课,按质量体系要求组织效果评价(姑且不论是否能起到评价效果)也就完了,至于演示、后续跟进的检查、纠正错误/鼓励进步根本没有。后果呢?培训组织了,大家会做吗?还是不会,所有人都在关注自己是否进行了操作,却没有人去关注操作的后果如何?
四、关于风险管理的建议
1)营造必须真正推进装备研制风险的环境
古代讨伐诸侯讲究“明正而言顺”,现代推进一个事情必须先解决“必要性”的问题。外部环境方面,《装备承制单位资格审查实施细则》的“E2合同履行”非常关注合同按时履约,装备承制单位失信名单开始把“研制拖期”纳入一般失信管理,对装备项目的进度风险提出了明确要求;高强度实战化考核需要更高质量的装备,对装备技术、质量方面的风险管控也提出了要求;常态化的审计工作对经费的管理越来越严,经费方面的风险管控也势在必行,这些内容都要求装备研制的风险管理必须有效推进。
内部环境更为关键,因为外部环境给了企业压力,企业必须把压力传导给装备研制生产一线人员,而不能成为绝缘体,导致压力的中断。所以,需要通过宣传、培训手段营造氛围,通过监督、检查监控落实情况,通过绩效考核、奖惩等手段作为保障,营造一个有利于推进装备研制风险管理的“场”,让全员意识到装备研制风险管理很重要,必须做,解决“必要性”的问题。
2)采用持续跟进的方式不断强化培训
结合前文提到的培训的几个环节,持续强化风险管理的培训。邀请行业专家、质量骨干给装备研制一线人员“培训”,强调风险管理与装备研制的融合,提升风险意识和风险管理技能;针对企业实际业务编制风险管理文件模板和作业指导书,作为“演示”的样本,为业务人员提供有效指导;针对培训效果,建议采用考核方式进行效果“评价”,确保相关人员知道怎么进行风险管理;采用体系审核、项目专项检查等方法对装备研制风险管理情况进行“检查”,对发现的问题进行“纠正”,对发现的良好行为进行表彰和“鼓励”,这种检查、纠正/鼓励的行为需要经过多次反复,在反复过程中,需要针对具体的问题采取进一步的措施(再次培训、修改模板/指导书等等),确保最终的培训成果。
3)长期坚持直至改进完成
推进一个新事物是一个长期的过程,要对此有个清醒的认识,按照“建章立制->宣贯培训->监督检查->纠正/鼓励”的模式不断重复,通过2-3年,甚至更长时间的努力,才能让全员培养出装备研制风险管理的习惯,也就彻底解决了这个问题。
五、最后的话
不单单是装备研制的项目管理领域,在企业运营、企业管理等领域形式化的风险管理也经常出现,“交作业”的管理方式都不能起到很好的效果。华为公司总结风险管理有三点经验:一是能够识别风险、二是识别风险后能够老老实实地应对风险,不投机;三是当风险真正发生后要能够快速反应,不害怕风险。
希望所有的企业都能以“务实”的态度应对风险,也祝福所有的企业都能像华为一样,能够成功应对未来面对的所有风险。
网友评论