周毅

摘 要：從企業(yè)風險管理角度，闡明企業(yè)風險管理與質(zhì)量管理相互之間的關(guān)系，以及對企業(yè)來講其間管理的重要性和企業(yè)未來的發(fā)展。

關(guān)鍵詞：風險；質(zhì)量；控制

中圖分類號：F23

文獻標識碼：A

doi：10.19311/j.cnki.16723198.2017.02.049

利用ERM或ISO 31000中的準則，標準和方法作為質(zhì)量安全基礎(chǔ)，以整體解決企業(yè)在當今社會中所面臨風險、威脅和危機，也是企業(yè)至關(guān)重要的未來。展望未來，這里將提供一些洞察企業(yè)風險管理的概念，以及為什么風險管理是企業(yè)質(zhì)量安全的重要基礎(chǔ)。

美國COSO委員會將企業(yè)風險管理建立為一個對影響企業(yè)價值的風險和機遇處理過程，ERM定義如下：“企業(yè)風險管理是一個過程，由公司董事，管理層和董事會主導，制訂戰(zhàn)略并應用于整個企業(yè)，旨在識別可能會影響企業(yè)經(jīng)營的潛在事件，在企業(yè)風險偏好范圍內(nèi)管理風險，并提供實現(xiàn)企業(yè)目標的合理保證”。

建立企業(yè)風險管理，ISO 31000的主要驅(qū)動力是來源于Enrun和Worldcom高級管理人員的欺詐行為。ERM和ISO 31000的目標是，加強內(nèi)部控制和流程，確保從董事會向下所有組織人員，理解如何識別，分析和管理組織的風險，以及該過程中建立可接受風險范圍。

COSO框架結(jié)構(gòu)建立風險四個關(guān)鍵領(lǐng)域：戰(zhàn)略、經(jīng)營、報告和合規(guī)性。大多數(shù)組織已經(jīng)覆蓋“信譽”作為自己的企業(yè)風險管理計劃的總體核心要素。

戰(zhàn)略-建立企業(yè)中更高層次目標，并確保其與組織的使命，目標相一致。

運營-建立企業(yè)的持續(xù)管理流程（以及有效和高效地利用其資源）。

報告-設(shè)立企業(yè)報告可靠性和準確性（企業(yè)風險管理的這一部分主要集中在財務(wù)報告和大多數(shù)企業(yè)現(xiàn)在稱這個區(qū)域是金融而不是報告）。

合規(guī)性-服從企業(yè)的適用法律和法規(guī)。

聲譽-在企業(yè)利益相關(guān)者，如客戶，渠道合作伙伴，供應鏈合作伙伴，員工，股東和金融市場中建立企業(yè)信譽，聲望。此外，監(jiān)管機構(gòu)和其他監(jiān)督機構(gòu)對企業(yè)看法是至關(guān)重要的，尤其是在出現(xiàn)問題時。

ISO30001體系中指出企業(yè)對于風險管控對于加強企業(yè)控制，起到提高企業(yè)績效的同時保證利益相關(guān)方的信任度的至關(guān)作用，企業(yè)在辨識內(nèi)部與外部風險的同時，加強企業(yè)內(nèi)部控制，對企業(yè)內(nèi)部關(guān)鍵節(jié)點進行監(jiān)控與調(diào)整，而企業(yè)內(nèi)部產(chǎn)品風險可包含由人為及客觀因素所造成產(chǎn)品質(zhì)量及安全問題，企業(yè)在生產(chǎn)過程中可結(jié)合ISO 9000和30001系列，進行質(zhì)量和風險管控應用雙層管控，在此基礎(chǔ)上減少對于質(zhì)量安全性事件發(fā)生的幾率，對于出現(xiàn)的問題，也能夠進行早期預防性措施，從而進行更良好的生產(chǎn)運作，保證產(chǎn)品質(zhì)量安全。在美國進行的研究表明：高質(zhì)量的控制體系，如應用ISO 9001提高企業(yè)管理和生產(chǎn)過程，將質(zhì)量改進轉(zhuǎn)化為增加銷售和就業(yè)機會，在企業(yè)內(nèi)部制定和實施其管理程序，提高員工的技能和培訓，在某種程度上也可將此視作為高品質(zhì)的產(chǎn)品或服務(wù)的信號，此類企業(yè)也在就業(yè)機會、工資總額、平均年收入和工作場所的健康和安全上遠勝過其他同類企業(yè)。

在ISO 9001：2105中基于風險的思考使得預防性行為成為企業(yè)戰(zhàn)略和運營規(guī)劃的一部分，而純“預防性行為”已被應對風險和機遇的行為所替代。公司在現(xiàn)在環(huán)境下應識別并預估風險和機遇價值，采取相對應的措施，從而達到質(zhì)量目標并應對風險。企業(yè)在面對風險時更加積極主動，而不是被動采取彌補性措施，形成有效，完整的系統(tǒng)性流程?；趦?nèi)部控制的全面風險管理實際上是對內(nèi)部控制的研究擴展。企業(yè)在考慮到全面風險管理情形下對原有的內(nèi)部控制模型擴大，并由此建立了一系列基于全面風險管理的內(nèi)部控制模式。由此跳出框架，對內(nèi)部控制和風險管理之間的關(guān)鍵關(guān)系和元素進行討論，并在此基礎(chǔ)上設(shè)定組織目標關(guān)系。內(nèi)部控制和風險管理之間的關(guān)系和區(qū)別基本上由內(nèi)部控制和風險管理的目標之間差異造成的，討論風險管理，這是縮小企業(yè)價值意義的目標，拓寬了企業(yè)價值的意義。

企業(yè)與社會對同一風險有不同的衡量標準，而在此衡量標準下，企業(yè)很可能被短期利益最大化所影響，從而產(chǎn)生風險決策，在此環(huán)境下，企業(yè)決策可能對社會造成不良影響，這便是企業(yè)內(nèi)部風險決策所產(chǎn)生的外部影響。不否認企業(yè)有價值利益最大化的目標，但是，作為社會的一部分，企業(yè)必須并承擔一定的社會責任，良好的內(nèi)部控制體系可以減少此類不良影響，也是對這類潛在損失“對癥下藥”的最佳方法。

在建立ERM/基于ISO的程序的另一個關(guān)鍵步驟是獲得企業(yè)風險文化的清晰認識。一個組織的風險文化經(jīng)常改變或隨時間演變，而當新領(lǐng)導是從外部帶來新的風險文化會產(chǎn)生最明顯改變。

在企業(yè)內(nèi)部建立一個頻繁而有效的溝通機制是生成風險偏好記錄文件的重要步驟，文件中描述企業(yè)可承擔的風險水平，同時建立企業(yè)內(nèi)風險應對審批程序和準則，確立風險責任人，從而做出最終決策，這一部分也定義了企業(yè)基于風險和/或?qū)撛谟绊懓l(fā)生時應急處理程序。對企業(yè)風險偏好陳述徹底理解和遵守是確保成功至關(guān)重要的一步。

Deming博士曾經(jīng)說，你無法檢測產(chǎn)品質(zhì)量，因為它已經(jīng)存在。這句話在制造行業(yè)引起專業(yè)人士的共鳴。而風險管理則是與質(zhì)量管理方法相結(jié)合形成新的智慧管理方案。在20世紀中葉，質(zhì)量革命席卷美國和日本，他注意到公司只檢查工作的最終產(chǎn)品卻從未考慮改善導致缺陷生產(chǎn)步驟。最終產(chǎn)物并不能提供解決生產(chǎn)線上根本問題的方法，一個木桶盛水的容量是取決于最短的那塊木板，而找到生產(chǎn)過程中的短板才能解決最根本的問題。

20世紀的質(zhì)量運動成為實現(xiàn)卓越運營的追求，在80年代和90年代初，摩托羅拉，通用電氣，等一些公司被相對復雜的方法所吸引，如六西格瑪，許諾在削減成本的同時達到提高效率的突破性成果。然而，六西格瑪成為不僅僅是一個實現(xiàn)更高工藝質(zhì)量的辦法，它被稱為完美的代名詞，定義了每100萬產(chǎn)品中產(chǎn)生缺陷少于或等于3.4的質(zhì)量等級。

在風險管理中，完美計劃不能像六西格瑪一樣被定義為一個明確的和可量化的數(shù)字。健全和完善風險管理應被理解為在企業(yè)內(nèi)部識別風險同時，找出可能產(chǎn)生風險的機會點，并減少這些可能性量化的幾率。由于企業(yè)風險管理不只是減輕風險所造成的損失，更重要的是通過質(zhì)量風險管理最大限度地提高企業(yè)創(chuàng)造價值的能力。而六西格瑪在制造業(yè)上受到很大的程度歡迎，它仍然與企業(yè)風險管理密切相關(guān)。

DMAIC是指導六西格瑪項目進行的全面框架。這就是俗稱的定義—測量—分析—改進—控制。根據(jù)六西格瑪權(quán)威Thomas Pyzdek，這種模式是用來改善現(xiàn)有產(chǎn)品，過程或服務(wù)。風險管理可以使用此模式改進現(xiàn)有流程。對于DMAIC，改進階段中將實施通過分析階段所認可的改進措施，控制階段則是確保改進是有效可行。在控制階段中，則由以下系列措施跟蹤監(jiān)控：（1）建立一個審計計劃；（2）記錄流程和過程控制；（3）實施控制；（4）確定數(shù)據(jù)和績效措施的有效性性；（5）過渡過程或業(yè)務(wù)單位回到所有人。

任何企業(yè)風險管理程序的有效性可以通過產(chǎn)生的利益相關(guān)者價值的活動得到加強，并通過企業(yè)目標所驅(qū)動在抓住機遇的同時有條不紊地主動管理風險。風險管理的重點是預防，內(nèi)部質(zhì)量控制的重點是執(zhí)行，因此，內(nèi)部控制強度促進風險管理水平，風險的一部分可以通過提高內(nèi)部控制將風險減少。內(nèi)部控制體系的恒久保證是為企業(yè)發(fā)展和適應社會的長久需要的基礎(chǔ)，因此企業(yè)在自身不斷發(fā)展的同時，也應對內(nèi)部控制體系增加安全性保障。

參考文獻

[1]Killackey， Henry.Building the Quality-Centered Enterprise Risk Program[J].The RMA，2007，89（8）.

[2]Patrizia Garengo and Stefano Biazzo.From ISO quality standards to an integrated management system： an implementation process in SME[J].Department of Industrial Engineering， University of Padua， Via Venezia 1， 2013，35131 Padua，Italy.

[3]Risk and the ISO 9001 revision risk is given a front-and-center presence in section 6 of the standard[J].Speaking of quality，Oct.2015.

[4]Ryan Baxter，Jean c.Bedard，Rani Hoitash and Ari Yezegel，Enterprise Risk Management Program Quality：Determinants， Value Relevance， and the Financial Crisis[J].Contemporary Accounting Research Vol. 30 No. 4 （Winter 2013） pp. 12641295 ？ CAAAdoi：10.1111/j.1911-3846.2012.01194.x.

[5]Jerry Brennan， Lynn Mattice.Enterprise Risk Management as a Foundation[J].Leadership & Management March 2013 Security Magazine.com.