ISO31000将风险定义为“不确定性对目标的影响”。这些风险以风险源、潜在事件、相关后果以及发生的可能性的形式来表达。自然,企业的领导和员工都希望流程尽可能完整、顺利地运行。这意味着在加工时间内没有缺陷、没有伤害、没有设备停机。然而,如果没有正确的策略,预测这些风险可能会非常困难。 除了ISO31000就如何运行此类程序提供的出色指导之外,本文还将讨论遵循风险管理最佳实践方法的重要性。 什么是ISO31000? 管理企业内部的风险对于做出正确决策、实现任何目标和提高生产力至关重要。无论企业是否意识到,内部和外部风险总是会给企业带来压力。正是由于这种困难,ISO31000应运而生。 ISO31000旨在提供包容性,它包含实施、维护和改进企业风险管理策略的框架。该标准适用于各级企业、个人,甚至是希望创建自己的风险管理计划的小团体。 ISO31000提供指导的三个不同部分包括风险管理、领导与员工之间的关系以及风险管理方面应遵循的总体方向。这些特征由以下主要概念驱动: ●.当公司开始规划其个性化框架和独特流程时,必须考虑风险管理原则。风险管理原则的存在是为了为管理不确定性提供指导。 ●.该框架旨在帮助设施将自己的风险管理计划落实到日常活动中。成功实施风险管理战略的这一部分在很大程度上取决于高层管理人员的认可以及利益相关者的参与。 ●.流程是细节发生的地方。它是公司政策和程序的应用,用于监控和报告风险。它可以应用于业务结构的任何级别,并且严重依赖于决策。 如果没有这三个概念及其各自的重点,风险管理就不可能实现。话虽如此,本文将更深入地介绍这三个核心概念。 风险管理原则 管理不确定性对于成功承担适当数量的风险以及利用正确类型的风险至关重要。为此,熟悉ISO31000的八项原则必须是第一步。风险管理的八项原则以价值创造和价值保护为核心。这些原则包括: ●.整合——要取得成功,风险管理必须融入所有现有业务运营。没有风险就没有行动。 ●.结构化——采用结构化和全面的风险管理方法意味着制定计划并准备好所有信息。 ●.定制化——ISO31000框架以及公司采用的流程必须根据其需求进行定制。风险管理没有万能的解决方案。办公室工作的风险管理计划与汽车制造厂的风险管理计划大不相同。 ●.包容性——不仅仅是公司本身负责风险管理计划,所有利益相关者也必须参与。这是一项团队努力! ●.动态——这意味着积极主动并对变化做出响应,在问题达到灾难性的故障率之前首先检测或预测问题。 ●.负责——了解由于缺乏可用信息而可能遇到的任何限制对于风险管理计划来说非常重要。 ●.体贴周到——在风险管理计划的所有阶段中,以人为本是最重要的。您的员工、利益相关者和客户都依赖于能够带来价值的最终产品。控制这些风险是交付优质产品的主要原因之一。 ●.持续改进–通过学习和体验当前的风险管理策略,您将始终发现需要改进的地方。根据改进采取行动完成风险管理周期,使您的公司更接近更安全、更完美的流程。 在起草公司的风险管理框架之前,必须首先考虑上述原则。 了解ISO31000框架 ISO31000框架的目的是帮助公司将风险管理融入日常活动中。必须记住,ISO31000风险管理框架的每个部分都构成了一个粗略的指导方针。这是因为风险管理没有一刀切的方案,每个公司都是不同的。风险管理框架的组成部分如下: ●.领导力与承诺——确保风险管理融入所有活动。领导者可以通过定制独特的框架、使用适当的资源管理风险工作以及让所有参与者承担责任来展示他们的承诺。 ●.整合——努力了解组织的风险管理结构和背景。在整合方面,风险管理必须是组织宗旨、治理、领导、承诺、战略、目标和运营的一部分。公司必须在整合风险管理实践方面保持活力。 ISO31000框架的以下四个组成部分通常与“计划、执行、检查、行动”循环相关。然而,ISO将其称为“计划、实施、测量、学习”系统。 ●.设计——充分了解公司目标的内部和外部背景以及涉及的风险。 ●.实施——决策在实施过程中占据重要地位。这包括制定计划、确定何时何地做出决策以及了解如何管理风险。 ●.评估——定期根据指标、行为、计划及其目的衡量风险管理框架的绩效对于涉及变更的决策是必要的。如果管理系统无法帮助公司实现其目标,则必须进行一些改变。 ●.改进——这里有两个不同的因素,适应和持续改进。适应要求风险管理框架应对流程中的外部和内部变化以提高价值。持续改进需要维持和发展整合,从而提高风险管理框架的有效性。 发现有什么相似之处吗? ISO31000框架与ISO31000原则有许多相同的描述词!虽然这看起来有些多余,但这些相似之处表明了该战略的目标(原则)与实现这些目标(框架)之间的联系有多么紧密。 风险类型 您可能会惊讶地发现,风险既可以对工作场所产生积极影响,也可以对工作场所产生消极影响。这是因为,在这种情况下,风险是通过风险来源、潜在事件、承担任何风险的后果以及这些后果实现的可能性来表达的。话虽如此,行业内的风险定义比我们通常认为的冒险行为要模糊得多。 ISO31000规定了三种不同的风险类别: √.危险风险被归类为不确定事件的负面结果。 ●.危险风险不仅仅是与工作相关的伤害和疾病。请记住,这是对公司产生负面影响的结果。这可能意味着从营销风险到财务风险的任何风险。 ●.尝试使用危险等级来减轻这些危险风险,至少对于与安全相关的风险而言。 √.控制风险的定义是其固有的不确定性。它既不确定某件事是否会发生,又不知道如果这件事真的发生,会产生什么后果。 ●.控制风险有点难以解决,因为双方都不了解。归根结底,这是项目管理和关键决策的问题。 ●.请记住,有时必须承担风险! √.最后一种风险选择被称为机会。即当不确定事件发生时,随之而来的是积极的结果。 ●.承担机会风险,虽然不确定是否会发生,但结果是可以合理知道的。然而,有些公司的风险承受能力比其他公司更高。 ●.机会风险可能表现为员工需要并希望有新的空间来容纳他们不断增长的部门。积极的结果就是员工更快乐、更健康,工作更安全,对工作更满意。 识别这些类型的风险并建立应对风险的标准容忍度对于制定健全的风险管理计划至关重要。没有这一点,风险处理和风险管理过程中的协作将缺乏对风险水平的基本了解。 风险管理流程 风险管理流程是迭代的,因为所选步骤经常重复,以产生不同的风险管理结果。风险管理流程利用与沟通、建立背景以及监控、处理、审查和记录工作场所目标和活动内的风险相关的政策和程序的系统应用。 ISO31000提供的可视化风险管理流程的图表有几个不同的部分。最中心是一切的开始。风险评估、风险处理以及企业在风险管理方面的努力的范围、背景和标准都位于此处。下一层涉及沟通和协商以及监控和审查。该图的最后一部分是记录和报告部分。 将此图视为从内向外进行,首先关注已识别的风险。此图中的层越往外,用户获得的信息就越多。所有这些最终都会引导他们为公司做出深思熟虑的决定。 工作场所安全与风险管理 工作场所安全是指员工在工作环境中所受到的安全、健康和福利水平。OSHA和其他监管机构非常重视这一问题,他们要么针对特定环境执行安全准则,要么制定新的自愿标准,这些标准已被证明可以减少工作场所事故。 话虽如此,在业务运营方面,工作场所安全和风险管理密不可分。两者缺一不可,因此,制定并遵循ISO31000提出的风险管理计划指南非常重要。 |