質(zhì)量與合規(guī)管理中的風險管理

編者按

格倫·弗雷澤（Glen Fraser）是威思解決方案公司的高級產(chǎn)品經(jīng)理，擁有30多年的IT行業(yè)從業(yè)經(jīng)驗以及超過15年的合規(guī)管理經(jīng)驗。他致力于提供風險和合規(guī)產(chǎn)品解決方案，同時提供運營流程自動化的整體戰(zhàn)略管理。本文于2014年10月發(fā)表在《質(zhì)量文摘》，介紹了廣泛存在于質(zhì)量管理與合規(guī)管理中的風險管理，并詳細描述了風險管理的五個步驟，以及量化和評估風險的三種方法。

無論身處何種行業(yè)，風險管理都是難以回避的話題。風險管理無處不在，它廣泛存在于合規(guī)、公司治理和質(zhì)量管理中。在質(zhì)量和合規(guī)管理中，我們把風險視為運營的功能之一，需要管理自己的風險，并采取措施控制風險。

但是，應該如何應對風險呢？我們在質(zhì)量和合規(guī)運營中實施了基于風險的策略嗎？很多公司都在全力以赴地保持在各自領域內(nèi)的卓越運營，因此很多公司將風險管理當作未來的項目，將其放在了當前合規(guī)流程之后。

是不是風險管理工作非常繁瑣，必須作為一個整體項目？或者，我們可以有效地將風險動力學納入日常運營工作？從事質(zhì)量管理的人很快將發(fā)現(xiàn)自己別無選擇：定于2015年推出的ISO 9001修訂版會將風險管理作為質(zhì)量管理體系（QMS）的一個要素，對很多人來說，風險管理的概念已經(jīng)變?yōu)楝F(xiàn)實。然而，風險管理這個概念未必令人望而生畏，尤其是在質(zhì)量和合規(guī)管理的范疇內(nèi)。

讓我們把概念分解，對風險管理進行破解。通過以下幾種簡單方法，企業(yè)不需要徹底重新設計，就可以把風險管理納入現(xiàn)有流程。

風險管理即流程

風險管理本身就可以成為一個獨立的流程。ISO 31000是專門針對風險管理的標準。實際上，這個標準為打造風險管理體系提供了一個流程框架。這個標準并不復雜，和其他標準一樣，它也包括所需的投入、方針政策和對風險管理策略的評審。流程本身可以分為以下五步：

第1步：確定風險。從本質(zhì)上講，一旦你認為公司需要制定風險計劃，首要任務就是確定公司的風險。目標是找到各個流程中存在的威脅。要完成這項工作，可以通過與公司領導和管理人員等交流，也可以通過找出現(xiàn)有的負面事件來實施。很多公司的第一步工作就是研究公司的運營，將可能存在的風險進行“風險分類”，也就是將組織內(nèi)部的風險整理成一份風險分組清單。也有一些組織會回顧過去的事件，找出問題最多的領域，再確定具體風險是什么。第一次掃描不會識別出全部的風險，因此，風險管理被設計成為一個持續(xù)的流程。

第2步：分析風險。確定了風險清單之后，下一步工作就是對清單進行分析，確定風險的嚴重程度。大多數(shù)公司會使用一套通用的工具來完成這項工作，一般情況下是根據(jù)事件的嚴重程度和頻繁程度進行歸類。嚴重程度就是“這種風險對公司的負面影響有多大？”，頻繁程度就是“這種事件經(jīng)常發(fā)生的可能性有多大？”你可以使用這兩個維度來大致了解哪些風險比較嚴重或比較頻繁（如表1所示）。

第3步：評估風險。在對風險進行整理和分級后，你應該根據(jù)結果做出決策。這一步工作對很多公司都是挑戰(zhàn)。如何量化風險？組織會給以上分級賦予一個數(shù)值，其中1代表最低，4代表最高?？梢赃\用一個簡單的乘法規(guī)則來計算風險，并針對每個結果做出決策。下面是一個簡單的多因子例子，使用的是表1的分級（見表2）。

第4步：控制風險，實施解決方案。針對每一個潛在的風險采取措施，盡可能合理地降低風險。這就需要采取控制措施?？刂拼胧┲傅氖墙鉀Q風險、降低風險的活動、行為或流程。一個風險會對應多種結果：你可以接受風險（如果程度較低）、將風險降至可接受的程度、用其他流程彌補風險的損失或?qū)L險轉(zhuǎn)移到其他方面，如果風險太大，可以將其完全回避。

第5步：監(jiān)控和審查風險。簡單地說，風險進程不會因為一次評估而終止。組織需要不斷監(jiān)督風險和采取應對辦法。要做到這一點，就要進行定期的監(jiān)測、審計和審查?？傮w目標就是保證公司時刻關注情況是否發(fā)生變化。今天的低風險可能成為明天的高風險，公司要確?？梢园殡S著時間的推移不斷提高風險監(jiān)控水平。

當然，這是一個非常簡單的描述，很多組織的情況更為復雜，但這種描述是風險管理流程的核心。很多組織已經(jīng)把這項工作納入現(xiàn)有的業(yè)務流程。他們尋求風險控制的方法，并對這些控制方法加以審核和監(jiān)控。對于這些公司來說，風險管理的重點就是把風險量化。

量化和評估風險的三種方法

如何在不干擾當前運營的情況下，使用簡單的方法量化和評估風險呢？將風險管理納入企業(yè)經(jīng)營的動態(tài)過程可以有很多方法，而且并非所有方法都很復雜。很多組織可能已經(jīng)使用了某種形式的風險評估方法，這些方法符合風險管理的所有標準，只是組織沒有稱其為風險評估方法而已。下面我們來分析一下風險評估的三種方法。

表1

表2

1.決策樹

許多公司會使用決策樹來決定是否采取某項行動。決策樹就是一種風險評估方法。決策樹的原理是提供一個輸入項（即負面事件），使用決策樹找出事件的后果。決策樹可以幫助公司找到正確的決策，并為決策提供指導。這是進行風險評估的一個有效方法，尤其決策樹允許使用者遵循一個路徑，通常是通過類似問答樹的形式（參見圖1）。

決策樹之所以有效，是因為它可以直接嵌入運營流程。在變革管理的前提下，尤其有助于評估流程變化的影響，可以幫助公司決定是否要向監(jiān)管機構匯報，或者決定是否要通過采取糾正措施來應對負面事件。

2.風險矩陣

風險矩陣也許是很多行業(yè)中最常用的工具。這個網(wǎng)格高效簡單、色彩豐富，目的是向每一位流程人員展示不同的風險水平。風險矩陣在一個圖形上設定兩個（或三個）指標。通常會包括嚴重程度和頻繁程度。每一個風險程度都有一個數(shù)值，在兩個數(shù)值相交的地方使用公式計算（一般是相乘）。然后為風險程度指定一種顏色——就是簡單的紅色、黃色或綠色（有些公司會根據(jù)結果的復雜程度使用更多的顏色）。下面是一個風險矩陣的例子（見圖2）。

矩陣的目標是使用兩個維度確定風險的水平，并根據(jù)計算結果提供指導意見，幫助使用者決策。不過，使用風險矩陣的時候要多加小心，因為有時得出的結論只是在數(shù)據(jù)上合理，卻并不符合公司的業(yè)務情況。為了應對這一問題，在使用矩陣的時候必須用真實的例子（如歷史數(shù)據(jù)）進行驗證，以確保最終結果的正確性。調(diào)整可能是必需的，但一旦你對圖表進行了驗證，那么風險矩陣就會成為一個強大的風險評估工具。

圖1

3.風險報告和趨勢分析

風險管理和評估的目的是衡量決策、保證決策的合規(guī)性。但是，當你衡量風險并采取行動的時候，你其實是在構建組織內(nèi)部的風險歷史。這些有價值的信息可以幫助你對企業(yè)運營進行微調(diào)。建議創(chuàng)建一個風險數(shù)據(jù)庫或風險登記冊，集中登記所有事件的風險數(shù)據(jù)，包括來自質(zhì)量、合規(guī)、具體的流程或任何負面事件的風險。風險登記冊作為集中的信息庫，可以讓你了解所有業(yè)務的風險。

風險趨勢分析是風險管理的重要組成部分，分析的基礎是歷史數(shù)據(jù)。如果你構建了不同業(yè)務領域的風險歷史，你就能說出某一領域的風險趨勢。不同業(yè)務領域的風險評估方法是不一樣的，但是風險登記冊可以集中存儲所有的運營數(shù)據(jù)。你可以通過登記冊了解風險管理是如何伴隨時間不斷發(fā)展的；分析高風險可能出現(xiàn)的領域；確定哪些領域需要加強監(jiān)管；評估如何將風險作為整體合規(guī)情況的基準，進而改善經(jīng)營狀況。

風險管理概念幾乎貫穿在所有的業(yè)務討論中。然而，很多組織都還處于嘗試建立風險管理框架的階段。他們還沒有準備好討論風險管理，他們希望可以“應對風險”，卻沒有時間，或根本不知道從何入手。其實，大部分的組織已經(jīng)開始“應對風險”了，他們只是需要獲得支持，從基礎做起，思考如何將風險納入流程，并記錄他們的風險，以便學習和提高。

與其等到最完美的時刻才開始執(zhí)行基于風險的策略，不如使用簡單而有效的方法進行風險管理，這些方法非但不會替代或重新設計你的流程，反而會加強流程。這樣一來，你就可以在對風險進行管理的同時，保持卓越的運營。

（趙 燦 編譯）

圖 2