基于风险的思维：从战略见解中创造机会

全文2866字，阅读时间为9分钟。

如何培养与风险管理相关的基本思维习惯，并将其落实到企业的各个层面？如何利用质量管理系统(QualityManagementSystem，QMS)软件来帮助实现这一目标？ 

危险和威胁是风险的来源。危险是有可能造成伤害、损害或伤害的情况，可以是物理的、化学的、生物的、人体工学的、心理的、政治的或社会的。如果危险被激活，危险就会变成威胁。例如，病毒可能是一种危险，但只有当您可能受到它的影响时，病毒才会成为威胁。这种影响对特定的人、地方或事物的影响程度和严重程度决定了风险的大小。

因此，风险应该是相对于受影响的人或相关的事件。因此，在开始之前，您应该先创建一个企业简介(在ISO9001：2015中称为“企业环境”)。对您的企业的这种描述应该包括企业特性(包括远景、使命和主要产品)、能力(资产和员工简介)及其环境(包括监管要求、供应商和合作伙伴关系以及市场条件)。企业简介还应涉及战略背景，例如竞争环境、当前的挑战以及可能影响成功因素的利弊。

最重要的是，企业简介必须描述利益相关者及其需求。每个利益相关者群体可能有不同的风险简介，而一些股东对公司成功的影响可能比其他人更大。在ISO9001：2015中被称为“利益团体”的群体可以是客户、供应商、雇员、企业所在社区或地区的成员，也可以是整个社会。政府也是利益相关方，特别是对受到高度监管的企业而言。

企业可以以不同的形式识别、评估和处理风险，并可以将范围限制在单个部门或设施上，或者将其扩大到企业级别。系统风险管理遵循数据驱动的“检查计划”(PDCA)方法(IOSHUK，2017)，其特点是开展以下活动：

l   制定质量、环境管理和/或健康与安全政策

l   确定程序、作用和责任

l   进行风险评估和建立控制措施

l   持续监测业绩并进行定期审查

l   不断改进政策、程序、作用、责任和控制，以提高整个系统的绩效

当质量、环境、健康和安全系统得到独立管理时，这些步骤可以被视为并行过程，也可以将这些步骤合并到具有集成管理系统(IMS)的企业中。

简单来说，企业采用基于风险的思维可以做出更好的决策，尤其是当处在一个充满挑战、节奏快或变数多的环境中时。尽管基于风险的思维的投资回报(ROI)很难描述，但在大多数企业身上都或多或少发生过这样的情况：对企业自身的失败案例或低效熟视无睹，认为这一切都是外界因素导致或自然发生的，而不会去考虑企业自身是否存在问题，或是根本没有投入必要的时间或资源来应对意想不到的事情。改进后的决策可以产生许多好处，其中包括：

l   减少损失频率

l   减少损失的可能性

l   减少损失费用

l   提高对意外事件的响应时间

l   减应力

l   改善沟通

l   加强企业学习

l   抓住增长和改进的新机会

风险评估和风险管理确实需要时间、精力和金钱。因此，一些企业只口头上说风险--例如，在年度战略规划期间建立风险管理清单--然后让风险管理在今年剩下的时间里落实。

不过，应对风险远不止是一项评估或管理的工作，而是一项需要长期建设的过程，花在思考、发现和处理风险上的时间同时帮助您与同事一起了解您的企业的情况。这种共享的学习过程有助于建立和加强关系，同时能够改善内部的沟通交流，更好地了解企业及其过程会带来更好的业务结果。

风险管理是一套“企业考量决策方案利弊的系统方法”，一般包括以下步骤：

（1）建立背景 定义企业风险管理活动的目的、目标和标准。

（2）风险评估

a ）风险辨识 辨识可能影响企业的情况或事件(包括危险、风险和机会)。

b ）风险分析 系统地调查这些可能发生的事件的原因和后果。

c ）风险评估 评估风险的可能性、后果和严重性。

（3）风险管控措施 处理风险并监管措施的有效性。

图1. ISO 31000：2018年第6条中的风险管理流程

风险管控步骤要求的不仅仅是确定一个管控措施并将其放在适当的位置，因为一个企业应对风险的措施是可以多种多样的。风险管控措施(在设计、生产过程或售后)有助于降低风险，有时甚至消除风险。企业可以与合作伙伴或客户分担风险(例如，通过合作开发新产品)，也可以将风险转移给其他各方（如保险公司）。最后，企业可以通过调整其业务模式、影响竞争环境或通过改变业务来改变风险的性质来规避风险。处理步骤不限于管控措施。

Baldrige管理体系(一个质量体系，融合ISO9001：2015的基本概念，但以更全面和更灵活的方式应用这些概念)提出了一些如何利用企业概况来探索风险的想法。Baldrige提倡明智的冒险行为，以找到提升管理的途径：

• 企业领导层如何创造一个创新和良好的环境来承担风险？

• 如何判断哪些战略机会是明智的风险追求？

• 如何加强风险承担能力，以实现创新，并提高您的行动计划的效益？

• 如何追求您认为是可控风险所带来的战略机遇？

基于风险的思考可能不会解决您所有的问题，但它会让你更有策略地思考如何应对突发事件。

ISO9001的最新修订的条款将基于风险的思维作为于最重要的核心内容。这一在变化鼓励企业采取更加具有预防意识的思维方式。

风险内容出现在ISO9001：2015的主要条款中(Hoyle，2017)：

第4条-确定风险简介，其中包括对企业及其利益相关者的风险，并确定可接受的风险水平

第5条-传达管理层对基于风险的思考的承诺，并通过企业管理来提高风险意识

第6条-识别和主动管理质量管理系统的风险

第7条-提供资源以支持风险评估和管理工作

第8条-建立和遵循风险管理体系和利用风险创造机遇的管理程序

第9条-监测风险并对风险信号和结果作出反应

“PDCA”方法被保留下来，但风险现在在定义企业环境、建立管理质量的结构以及针对客户满意和其他业务结果来评估质量管理系统的绩效方面发挥着核心作用。

也许您的企业正处于流程成熟的早期阶段，而且您还没有花太多时间处理风险。或者，你可能是在一个风险评估和管理是成熟和系统化的大型企业，你如何将基于风险的思维融入你的文化？

1.了解你的流程 在对业务流程充分理解之前，很难探讨不确定性事件对结果的影响。首先应该明确定义流程，许多风险仅仅可以通过人们建立一个精确描述工作流程的概念模型来降低的。

2.保证产品和工艺的质量和可靠 一种积极主动的质量规划方法可能包括制造和装配设计(DFMA)、六西格玛设计(DFSS)、生命科学中的质量设计(QbD)或汽车或航空航天领域的先进产品质量计划(APQP)。

3.抓住改进机会(OFI) 纠正措施可以将流程恢复到期望的性能水平，而预防性措施和改进项目将预见未来需要恢复和转换性能的问题。

4.增加交流沟通 密切的交流沟通有助于降低风险。例如，设计人员、开发人员和客户之间密切、持续的交流减少了开发或交付错误东西的可能性。

让每个人都参与进来 当每个人都参与到风险管理建设中来时，很大程度上可以避免由于没有正确的信息而产生的错误。为员工提供共享信息系统，使他们能够得到最新的数据、文档，为他们提供最新的有关风险的知识、观察和见解。