企业内部运营过程的风险与管理

我们要管理企业内部运营过程中的风险，首先需要认识和理解运营过程中存在的风险及其表现形式。什么是运作风险，一般而言，是指这样一些风险，它们一旦兑现，不仅造成现有财产的损失、人员伤亡，而且造成企业正常营业的中断，产生经营收益的减少；还造成相关利益者如社区、环境、政府等的连带损失。如何理解企业运作风险？

发生风险兑现的原因，不外乎组织、人员、管理流程、技术等方面的因素。而这些因素都是企业经营过程中可以管理的。

所以，结合国际上一些行业组织对其行业风险的分类和定义，可以认为，那些由于企业不当或失败的内部流程、员工的人为错误或、管理不当（组织结构设计不完善、职责与权限的配置不合理等）、外部事件等导致损失的风险称之为企业运作风险。企业运作风险包含四个基本因素，即人员、流程、系统和外部事件，它们构成了企业运作风险管理的重点。运作风险管理的重要内容是规范、监视和分析组织内部的各种流程，同时将人和系统的因素考虑到流程之中。

基于上述定义，企业运作风险大致可分为组织、流程、技术、员工、外部风险五类。

²组织风险源于企业管理层的更迭、企业文化与沟通、组织结构与责权配置、企业持续发展计划。

²流程风险源于企业业务和管理流程中的薄弱环节。如案例一中的工艺参数控制不严，后文案例二中的不按安全规程使用设备和设备维护的不善等。

²技术风险源于企业运营过程中技术上的不完善或技术失败、管理软硬件上的欠缺。

²人员风险源于员工的素质和能力的不佳、员工与雇主之间的利益冲突等。如案例一中操作层面的员工由于素质问题，缺乏应对异常工况的必备知识。技术人员不能对异常现象做出正确判断并采取措施；员工违规操作等。

²外部风险源于企业外部环境。如自然灾害、政府监管政策法规的变化、外部欺诈等。

[管理运作风险的关键是正确认识风险产生的根本原因。]

从风险引发源头控制风险

管理运作风险的关键是正确认识风险产生的根本原因，通过控制引发风险事件的关键因素（KRI）达到控制风险的目的。分析引发风险事件关键因素（KRI）的方法主要有：

多米罗骨牌KRI分析技术

该分析技术认为风险事件的发生与人的因素（Human Factor）相关。每个风险事件，始于先天个性与社会环境，终于损失（如图1所示）。风险事件源于先天个性和社会环境、个人的失败、机械设备的缺陷或者人的危险操作；风险事件造成人身损害或/和财产损失。三个风险源和风险事件中的任何一个因素不兑现，均可防止损失发生。

消除机械设备缺陷、防止人的危险动作，是防止损失产生的最佳方法。而且人的危险动作在事故产生的原因上比危险的物质条件更重要。因此，教导人们正确地使用物质条件进行工作比改善物质条件能更加有效地防止损失的产生。

作业评估KRI分析技术（TOR）

该技术的基本观点是，组织管理方面的失误是导致风险事件发生的原因，造成风险事件主要有7个方面的管理失误：（1）不适当的培训和训练；（2）责任的不明确；（3）权责配置不当；（4）监督控制不周；（5）不适当的计划；（6）个人的失误；（7）不当的组织结构和设计。

基于上述风险发生的原因和案例，我们可以认为，风险管理与控制的基本原则是：（1）危险动作、危险条件和风险事件是组织管理系统存在缺陷的征兆；（2）应当彻底辨识和控制会产生严重损害的情况；（3）风险管理应设定明确的目标，并通过计划、组织、领导和控制来达到目标；（4）有效的风险管理在于赋予管理人员责任；（5）通过了解意外事故发生的根本原因并寻求有效地控制措施来规范操作失误导致意外事故发生可容许的范围。

能量释放分析方法

该方法体系把人与财产均可看成结构物，在结构物解体之前有一个能量承受的极限。一旦能量积聚失去控制并超过此极限，风险事件就会发生。所以，通过控制能量的积聚，或者改变能量作用的人或财产的结构，风险事件即可预防。基于此，我们可以采取以下措施控制风险：

²控制能量的产生和建立，包括阻止能量的集中、降低能量集中的数量。

²控制伤害性能量的释放，即阻止能量的释放、调整能量释放的速度和空间分布。

²在时间或/和空间上隔离能量的释放，或者在能量与实物之间设置隔离物。

²创造可以降低伤害性能量的环境与条件，改变会受到能量冲击的物体的基本特性；或者加强结构物对危险因素损害的抵御力。

²控制能量伤害的效果，快速评估已发生的损害，以控制其扩散或持续发生；并实施长期救护，降低损害程度。

[企业运作风险的关键因素是员工、流程、结构和外部事件。]

构建企业运作风险管理框架

从上述企业运作风险的案例和关键风险因素（KRI）分析可以看出，企业运作风险的关键因素是员工、流程、结构和外部事件，它们构成了企业运作风险管理的重点。基于此，我们可以构建如下企业运作风险管理框架（见图2）

首先，在企业发展战略的指导下，确立企业的运作风险管理策略和目标体系，包括运作风险偏好、运作风险承受能力、风险管理关键绩效指标（KPI）体系。

然后，在企业风险管理战略的指导下，建立和完善风险管理流程。企业运作风险管理的核心流程（见图3）包括：识别运作风险、评估运作风险、度量运作风险、管理和控制运作风险、运作风险管理报告。整个流程形成一个螺旋式的运作风险管理的循环。

第三，在明晰运作风险管理流程的基础上，设计和建立相应的风险管理组织结构。在设计风险管理组织结构时，关键在于明确和有效配置组织相应的风险管理职责、权限。公司治理结构（董事会、管理层）的风险管理职责的有效配置是企业运作风险管理的关键，因为只有董事会才能有效确定企业的风险偏好和风险承受能力；企业经营管理层是风险管理策略的核心执行者，他们是否能够高效执行企业的风险管理策略，是风险管理目标能否实现的关键因素。

第四，运作风险管理它并不是游离于企业的经营活动之外的管理与控制活动。相反，运作风险管理贯穿于企业运营活动的全过程。因此，企业经营管理活动的过程就是企业运作风险管理的过程。

最后，企业文化即企业的共同价值观和行为准则是企业风险管理的核心问题。企业风险文化是风险管理成功的重要因素，甚至比那些复杂的风险量化模型更为重要。因为它决定了企业各层次员工对风险的认识态度、防范意识、行为准则等。制定对应的考核与奖励处罚机制，对于系统性管理实施推进，催化企业进程。