风险管理早在上世纪九十年代就是不少MBA的必修课程,风险管理理论也比较成熟,但基于风险的思维直到ISO9001:2015才被正式提出来并作为质量管理的三项原则之一,在质量管理领域也一直未见过比较好的案例,最近看到杨晓波的《航天发射风险管理模式研究》一文,颇受启发,与大家分享。
启发一:关于风险准则
根据笔者经历(经历较少),很多企业的风险准则是粗线条的,只是简单地把风险分为重大风险、较大风险、一般风险、可忽略风险等几类,但针对每一类风险没有明确的应对策略,甚至未明确哪种风险需要制定应对措施,为后续的风险评估和应对埋下隐患;结果就可想而知了,很多企业为了不必要的麻烦,在风险评估时把所有风险都作为低等级风险处理,哪怕在明明知道大部分合同都不能按期完成的情况下也是如此,造成了非常典型的两张皮。
而《航天发射风险管理模式研究》的做法值得借鉴,文中的风险准则包括可容忍、可接受、可忽略三条分界线,通过这三条分界线把风险分为四类:特大风险、重大风险、较大风险/一般风险和可忽略风险。
1)特大风险:处于可容忍分界线之上的为不可容忍风险,也称为特大风险,针对这一类风险,应对策略为不计成本,必须降低风险。
2)重大风险:处于可容忍与可接受分界线之间的为可容忍风险,也称为重大风险,针对这一类风险,应对策略为考虑成本效益,尽可能降低风险。
3)较大风险、一般风险:处于可容忍和可忽略分界线之间为可接受风险,并根据严重程度分为较大风险和一般风险,针对较大风险应对策略为可制定措施应对风险,针对一般风险应对策略为无需进一步降低风险,但这两类风险必须纳入风险监控。
4)可忽略风险:可忽略分界线以下为可忽略风险,应对策略为可不纳入风险监控。
注意:本文的风险准则包括两层涵义,一是针对各类风险明确了管控要求:针对特大风险、重大风险必须制定应对措施,尽可能降低风险,并且必须纳入风险监控;针对较大风险可制定应对措施(也可以不制定)、一般风险可无需制定应对措施,但需要纳入风险监控;针对可忽略风险不纳入风险监控,直接忽略即可。二是应该扭转传统“有风险为什么签合同、有风险为什么做项目” 的一刀切思维,树立任何事情都是有风险的,只要控制得当完全可以签合同、做项目,这才是基于风险的思维核心。
启发二:关于管理对象
根据笔者经历,很多企业的风险管理还处于比较原始的阶段,管理对象模糊不清,风险管理初期识别出几项风险并制定应对措施后,下阶段风险分析就比较凌乱了,有重新识别新风险的、有和上阶段风险一模一样的,通病都是未对上阶段的剩余风险进行评估(也存在简单评估一下就说没有了)。
《航天发射风险管理模式研究》提出了“固有风险”和“剩余风险”的概念,“固有风险”是在未采取任何措施来改变风险的可能性或影响的情况下所面临的风险,“剩余风险”是风险应对后所残余的风险。严格来说,风险评估主要是对剩余风险进行评估,因为任何组织的管理或多或少都有风险应对措施,这些措施有些可能达到了预期效果,有些可能没有达到预期效果。相应的,有些风险可能得到了有效控制,有些风险可能没有得到有效控制,形成剩余风险。
所以,“固有风险”通常是静态的、固定的,而“剩余风险”是动态的,而风险管理的对象是“剩余风险”,文章提出了基于剩余风险的风险分析流程,如下图,可以分为四个步骤:
第一步,分析风险源可能的失控环节,得出其固有的发生概率;
第二步,分析风险源的影响域,得出其固有的后果等级;
第三步,分析现有的控制措施的有效性,必须是经实践证明能有效落实的措施方可作为现有措施;
第四步,预估现有措施对风险的影响,调整其可能性或严重性,分析得出剩余风险值,即能体现组织的真实管理水平和能力的风险值,从而找到真正有效的风险控制重点。
注意:风险管理是一个动态过程,管理对象主要是“剩余风险”,基于“剩余风险”的风险分析流程才是工作中的真实流程。
虽然ISO9001:2015已发布多年,但很多企业的风险管理还处于仅解决有无的“两张皮”状态,不能起到预防和解决风险的作用,有效性需要进一步提升,而提升有效性的前提就是必须把风险管理与项目实际相结合,实事求是地进行风险管理,才能把风险管理落到实处。
网友评论