预测未知：如何管理风险驱动?

全文4400字，阅读时间为14分钟。

Maersk是一个建立在丹麦的货运公司。目前在120个国家开展业务，已有100多年的历史，至今仍是家族所有，拥有近8万名员工。Maersk通过海路和陆路运输集装箱，管理物流，并在港口拥有和经营码头。它是世界上最大的全球运输公司，在上世纪80年代甚至拥有自己的专用通信网络来传输数据。很长一段时间以来，Maersk一直是一个全面的行业领导者。

2017年的一个星期二，Maersk一处办事处的电脑突然泵机。服务台很快就人满为患，人们惊慌失措。虽然许多雇员不清楚发生了什么事，但同样的情况在每一个Maersk办事处都在上演。在短短几个小时内，Maersk几百个办事处的电脑统统停止工作。在此之后不久，平日有序的运输网络开始变得混乱不堪，由于接受不到系统的指令，部分港口只能停止货物的装卸工作，已经到达港口的卡车开始在港口倒车，沿着道路从大门返回。当港口关闭时，愤怒的司机被困住了，没有任何选择可以掉头或转向其他的港口。在不到24小时内，这一事故造成了一场损失惨重的全球性混乱，每分钟造成的经济损失高达一百多万美元。

这正是风险管理设计的目的所在。当然，任何人都不愿意自己的企业发生事故，但如果它不幸发生了，此时应该做的就只有将损失降到最低，并确保最快的响应时间。

ISO31000将风险定义为不确定性对结果的影响。根据Kendall(2017)的说法，风险是“任何能够阻止一个企业实现其目标的东西”，比如NotPetya网络攻击，使Maersk的全球业务陷于停顿。

危险和威胁都是风险的来源，这也是为什么在运营和项目规划的背景下对风险进行预防措施和管控措施的制定是如此重要的原因。

不确定性影响执行过程、行动和决策，因此了解如何识别和处理风险是几乎每一项业务行动的一部分。

危险是威胁吗？为了找出答案，可以查找类似的危险，看看风险有多大可能出现。查看历史行为，找出类似的场景和类似的情况。想想看，是否有领先的指标可以告诉你什么时候一种危险正在成为一种重大威胁。

为什么风险管理是必要的？确定风险并确定应对这些风险的方式：

•帮助您了解您的业务流程、您的企业、您所处的竞争环境以及您的合作伙伴和供应商的生态系统。

•提高你对这些事情未来可能发生的变化的认识，

•帮助您快速应对自然灾害、供应链中断和网络攻击等负面事件，并从这些事件中恢复过来。

风险是相对的，并取决于当危险在成为重大威胁时，谁和什么在这条路径上，受影响的系统的脆弱程度，以及系统的复原力程度。企业可以建立防范风险的能力，其中可能包括经济缓冲、政治或监管保护，或者是保护企业在事故发生时作出反应的应急能力。

风险管理还可以帮助您的企业发现新的机会，如果风险是根据您的企业的实力和能力来考虑的。类似地，通过检查对企业的威胁，以及审视企业的弱点，您可以发现利用优势来弥补可能出现的潜在问题的方法。

但让我们面对它，风险管理可能是困难的和时间密集型的，它没有直观的投资的回报。当人们忙碌，预算紧张时，采取一种基于风险的方法会让人心烦意乱。“遵从性自满”并不少见，有时只有很少的努力才能满足治理或文档需求。

然而，有效的风险管理可以预防灾难。

回到Maersk，NotPetya网络攻击--几个小时内--摧毁了整个公司的基础设施。虽然他们还没有找到问题的源头，但几个月前，有人在敖德萨事务处的一台机器上安装了会计软件。该软件帮助该公司解决了乌克兰的会计要求，它被Ransomware感染，该病毒被人为设置成睡眠状态，直到收到订单时才会爆发。在这个命中注定的周二，订单是以电子方式默默发布的。

此时风险管理协议启动，一队IT人员飞到伦敦办公室，试图通过备份的数据重建中央计算机系统，这需要恢复域控制器。但在他们早期的风险规划中，他们忘了说明一种可能性很低的情况：如果公司的150个左右的域控制器一次全部被消灭了怎么办？他们假设，如果一个域控制器失败，它可以从另一个活着的域控制器中恢复。但现在，没有活下来的域控制器。

对Maersk来说，风险管理计划中缺乏“最坏情况”可能导致公司死亡。但今天对他们来说是非常幸运的一天。在加纳阿克拉的办事处会经常性的无征兆停电。当网络攻击达到顶峰时，阿克拉的电源就断了，只保留了一个单独的域控制器。不久，IT能够通过这个域控制器在整个公司传播未受影响的代码，将操作系统恢复到正常状态。

如此看来，全面的风险管理可能是你做过的最好的投资。

“大多数企业在没有意识到的情况下就已经产生了基于风险的思想。当做出影响企业的决定时，会对风险与机会进行正式或非正式的评估。”

使风险管理成为企业DNA的一部分，可以同时帮助企业在战略上建立风险应对能力和复原力。

采用基于风险的思维的企业有系统的方法来评估威胁和机会。它们可以识别和减轻可能导致损失的风险。

Raimond Laqua将基于风险的思维定义为“积极提高利用考虑威胁和机会的方法，实现结果确定性的心态”。在他的《揭开风险》一书中他解释说“风险可以是积极的，也可以是消极的。它们可以隐藏在我们的过程中，可以潜伏在过程之外，也可以由于环境条件的变化而出现。为了使事情更具挑战性，风险隐藏在我们的认知偏见中”，他解释说“风险心理学与工程方面一样重要。”

基于风险的思考可以帮助人们在不确定的环境中为他们的企业做出更好的决策。他们可以利用基于风险的思考来帮助：

•减少损失频率

•减少损失的可能性

•减少损失费用

•改善响应时间

•增加沟通

•加强学习

•抓住改进的机会。

你应该怎么做才能开始采用基于风险的思维方式？

•首先，认识到并非所有的风险都需要识别或管理。从最关键的过程开始，不要感到压力，来想象你可能遇到的不确定性的每一种表现形式。

•接下来，在你的优势和能力的背景下审视风险，这些风险可以用来将威胁转化为机遇。

基于风险的思考是2015年修订的核心变革之一。ISO9001质量管理体系标准，其他重大变化包括增加了一个企业背景和利益攸关方分析条款，允许在文件方面具有更大的灵活性(包括放松对书面质量政策的要求)，以及与其他新的ISO标准(附件SL)保持一致的结构，以便更容易地整合质量、环境、健康和安全方面的管理系统。

在ISO9001：2015中，这种向基于风险的思维转变的结果之一是，“预防行动”已经从第4条到第10条被删除，这标志着与该标准早期版本的概念背离。这是否意味着您不再需要采取预防措施，或者您可以不用制定纠正行为/预防预防行为？当然不是!

这一变化背后的理念是，健全的质量管理体系本身可以防止不符合规定。每次您重新查看风险登记册中的信息或进行调整以持续改进质量管理系统时，您都在采取预防措施。虽然条款8.5.3 从ISO9001：2008间接提到风险，它不是确定和执行预防行为的驱动因素。此外，审计员报告说，大多数企业都采取了大量纠正行为，而预防行为则少得多，因为采取这些行动只是为了应对审计。

但这只是个开始。在您的企业中，有许多不同的方法可以启动基于风险的思维，包括敏捷方法领域的一些方法。基于风险的思考可以使小企业和大企业受益。

无论您使用ISO9001：2015、Baldrige业绩卓越标准、EFQM卓越模型还是其他质量管理方法，这些技术都适用于企业。

你从哪里开始？你能用什么工具？以下两节将回答这些问题。

也许您的企业正处于流程成熟的早期阶段，而且您还没有花太多时间处理风险。或者，你可能在一家大型企业，其风险评估和管理是成熟和系统的，但不是人们在持续、积极的基础上所做的事情。你如何将基于风险的思维融入你的企业文化？

首先，提高您的流程成熟度，您可以通过加强您的质量管理系统(QMS)来构建这个过程：

1.了解你的流程。在基线得到充分理解之前，很难探讨不确定性对结果的影响。应该明确定义流程，为这些过程增加价值的人都应该同意，文档化的流程代表了他们所做的事情。许多风险只是通过人们共享一个精确描述他们工作的概念模型来降低的。

2.为您的产品和工艺设计良好的质量。换句话说，不要简单地检查劣质。一种积极主动的质量规划方法可能包括制造和装配设计(DFMA)、六西格玛设计(DFSS)、生命科学中的质量设计(QbD)或汽车或航空航天领域的先进产品质量计划(APQP)。跟踪这些努力如何减少不确定性，并帮助您实现预期的结果。

3.利用你的改进机会(OFI)。纠正措施可以将过程恢复到期望的性能水平，而预防性措施和改进项目则可以预见需要解决的问题。未来的恢复和转换性能。无论您是在研究产品、流程还是QMS，每个活动都应该在提高性能的同时降低风险。

4.敏捷点。采用敏捷过程有助于降低风险。例如，将设计师、开发人员和客户之间紧密、持续的沟通结合起来，减少了开发或交付错误事物的可能性。将决策推迟到最后可能的时刻，这意味着您在前进时有更多可用的信息。

5.让每个人都参与进来。当每个人都对企业有共同的看法时，由于没有正确的信息而产生的错误是很少的。为您的员工提供共享信息系统，使他们能够访问最新的数据、文档和实践。为他们提供有关事件、风险和机会的知识、观察和见解的资源。

您还可以开始采用来自精益管理的实践。韦伦森等人(2017)提出将精益思维纳入风险管理的六项原则。这些具体建议中的每一个都代表了一种将基于风险的思想集成到您的方法中的方法：

1.不断让内部客户参与风险识别和管理。

2.获取与问题和错误相关的知识，以减少解决问题的时间.

3.将风险管理集成到设计和开发中，而不是使其成为由风险管理团队单独执行的活动。

4.让设计和开发团队“拉”风险管理专家遵循公正及时的方法。

5.使风险管理和监测过程的不完善，了解风险景观方面的不完善，以及每个人都能清楚地看到缓解方面的不完善之处。让每个人都有机会为每一个人做出贡献或作出改进。

6.奖励合作发现和应对风险的人，而不是奖励“消防员”或惩罚坏消息的信使。

其他指南可从ISO31000标准中获得。每个企业为其风险管理实践确定适当的严格程度，而ISO31000可以提供一种考虑和处理风险的方法。一旦确定了企业环境，风险评估过程包括三个部分(识别、分析和评估)，然后是风险处理。如果您需要一些指导，选择特定的分析工具进行分析和评估，ISO31004将描述其中大约40个工具的优缺点。

基于风险的思维可以应用于操作中，也可以应用于产品或过程的设计，或改进产品或过程，甚至可以用于设计策略。例如，在一些自动提款机(Atm)的实践中可以看到基于风险的思想.要从自动取款机取钱，你通常会把卡放进去，输入你的个人代码，按下取款按钮，然后拿到你的现金。但有一次，我参观了一个自动取款机，我走过了所有的步骤，我的钱没有出来。我不想没有钱就离开，所以我等了又等。最后，我读到屏幕上写着：“请拿出你的卡来分发现金。”这一过程与我预期的不同，因为设计中使用了基于风险的思想。如果人们没有自动取款机卡就开车离开，可能会同时损失钱和卡，银行改变了流程设计，使得人们需要在现金发放之前提取他们的卡。通过错误地防范系统，银行降低了风险(包括消费者和银行)，同时改善了业务成果。

风险是一个丰富和多样化的概念。风险不仅仅是某些事情出错的可能性。相反，它包含了成功的可能性和增加的企业价值。最重要的是，它还时一个可以管理和减轻负面后果的领先指标。

在这个专注于风险的第一次洞察报告中，我们已经研究了什么是风险，以及如何开始将基于风险的思想融入到您的企业方法中。在我们系列的下一部分中，我们将介绍ISO9001：2015以及帮助您学习如何掌握风险的工具和技术。