|
风险管理的起源和定义
风险管理(Risk Management)是指如何在项目或者企业一个肯定有风险的环境里把风险减至最低的管理过程。风险管理是指通过对风险的认识、衡量和分析,选择最有效的方式,主动地、有目的地、有计划地处理风险,以最小成本争取获得最大安全保证的管理方法。当企业面临市场开放、法规解禁、产品创新,均使变化波动程度提高,连带增加经营的风险性。良好的风险管理有助于降低决策错误之几率、避免损失之可能、相对提高企业本身之附加价值。 风险管理作为企业的一种管理活动,起源于20世纪50年代的美国。当时美国一些大公司发生了重大损失使公司高层决策者开始认识到风险管理的重要性。其中一次是1953年8月12日通用汽车公司在密执安州的一个汽车变速箱厂因火灾损失了5000万美元,成为美国历史上损失最为严重的15起重大火灾之一。这场大火与50年代其它一些偶发事件一起,推动了美国风险管理活动的兴起。后来,随着经济、社会和技术的迅速发展,人类开始面临越来越多、越来越严重的风险。科学技术的进步在给人类带来巨大利益的同时,也给社会带来了前所未有的风险。1979年3月美国三里岛核电站的爆炸事故,1984年12月3日美国联合碳化物公司在印度的一家农药厂发生了毒气泄漏事故,1986前苏联乌克兰切尔诺贝利核电站发生的核事故等一系列事件,大大推动了风险管理在世界范围内的发展,同时,在美国的商学院里首先出现了一门涉及如何对企业的人员、财产、责任、财务资源等进行保护的新型管理学科,这就是风险管理。目前,风险管理已经发展成企业管理中一个具有相对独立职能的管理领域,在围绕企业的经营和发展目标方面,风险管理和企业的经营管理、战略管理一样具有十分重要的意义。
风险管理过程
风险识别 风险识别过程的活动是将不确定性转变为明确的风险陈述。包括下面几项,他们在执行时可能是重复,也可能是同时进行的: 1、进行风险识别。在项目的初期,以及主要的转折点或重要的项目变更发生时进行。这些变更通常指成本、进度、范围或人员等方面的变更。 2、系统地识别风险。采用下列三种简单的方法识别风险:风险检查表,定期会议(周例会上),日常输入(每天晨会上)。 3、将已知风险编写为文档。通过编写风险陈述和详细说明相关的风险背景来记录已知风险,相应的风险背景包括风险问题的何事、何时、何地、如何及原因。 4、交流已知风险。同时以口头和书面方式交流已知风险。在大家都参加的会议上交流已知风险,同时将识别出来的风险详细记录到文档中,以便他人查阅。
风险分析 风险分析过程的活动是将风险陈述转变为按优先顺序排列的风险列表。包括以下活动: 1、确定风险的驱动因素。为了很好地消除软件风险,项目管理者需要标识影响软件风险因素的风险驱动因子,这些因素包括性能、成本、支持和进度。 2、分析风险来源。风险来源是引起风险的根本原因。 3、预测风险影响。如果风险发生,就将可能性和后果来评估风险影响。可能性被定义为大于0而小于100,分为5个等级(1、2、3、4、5)。将后果分为4个等级(低,中等,高,关键的)。采用风险可能性和后果对风险进行分组。具体组别如下表所示: 4、对风险按照风险影响进行优先排序,优先级别最高的风险,其风险严重程度等于1,优先级别最低的风险,其风险严重程度等于20。对级别高的风险优先处理。
风险计划 风险计划过程的活动是将按优先级排列的风险列表转变为风险应对计划。包括以下内容: 1、制定风险应对策略。风险应对策略有接受、避免、保护、减少、研究、储备和转移几种方式。 2、制定风险行动步骤。风险行动步骤详细说明了所选择的风险应对途径。它将详细描述处理风险的步骤。
风险跟踪 风险跟踪过程的活动包括监视风险状态以及发出通知启动风险应对行动。包括以下内容: 1、比较阈值和状态。通过项目控制面板来获取。如果指标的值在可接受标准之外,则表明出现了不可接受的情况。 2、对启动风险进行及时通告。对要启动的风险,在每天的晨会上通报给全组人员,并安排负责人进行处理。 3、定期通报风险的情况。在定期的会议上通告相关人员目前的主要风险以及他们的状态。
风险应对 风险应对过程的活动是执行风险行动计划,以求将风险降至可接受程度。包括以下内容: 1、对触发事件的通知作出反应。得到授权的个人必须对触发事件作出反应。适当的反应包括回顾当前现实以及更新行动时间框架,并分派风险行动计划。 2、执行风险行动计划。应对风险应该按照书面的风险行动计划进行。 3、对照计划,报告进展。确定和交流对照原计划所取得的进展。定期报告风险状态,加强小组内部交流。小组必须定期回顾风险状态。 4、校正偏离计划的情况。有时结果不能令人满意,就必须换用其他途径。将校正的相关内容记录下来。
常用风险管理工具的比较 常用风险管理工具的比较 | 工具 | 故障树(FTA) | 预危害分析(PHA) | FMEA/FMECA | HACCP | HAZOP | 定义 | 定性地识别发生的故障的所有可能发生途径,再确定如何预防这些途径以防止其发生。 | 根据以往经验或知识,预先识别风险并进行排序。 | 评估失效模式,再决定是否可以检测、预防,检测和响应控制是否充分。 | 识别并实施过程控制措施,始终如一并有效地避免发生危害情况。 | 识别所有可能过程或设计偏差,评估控制措施是否充分。 | 方法 | 自上而下的方法,考虑什么导致了故障。也可用演绎、逻辑方法和输出作为偏差分析的工具。 | 前瞻性自下而上的方法,考虑可能导致潜在产品质量和/或患者安全伤害的危害、危害状况和事件。此方法可考虑用来识别潜在不良事件以及补救措施。 | 自下而上的方法,考虑什么可能出错以及相关风险是什么。可将复杂过程系统地分解以便进行评估。尽管基本与FMEA相同,FMECA还有额外的功能,即对失效模式的关键性进行排序。 | 自下而上的方法,考虑如何防止危害发生和/或扩散。最好作为预防性应用而不是被动性应用。重点在于预防性控制而不是在于检测能力。 | 自下而上的方法,考虑什么可能出错,可能的原因以及相关风险是什么或后果是什么? | 风险关注点 | 过程故障(如:偏差情况通常包括术语如“不”、“没有”、“不得”、“将不能”等) | 负面事件-危害、故障、故障模式、偏差等任意组合。 | 失效模式(类似故障) | 危害(污染物、外来试剂、危险状况等) | 与标准的偏离(设计、标准、程序等) | 相似工具或方法 | 鱼骨图/石川图/因果图 | FMEA | PHA,HAZOP |
| FMEA | 单独使用VS与其他工具联用 | 通常与其他工具联用,因为FTA不能用来评估风险控制措施的有效性。 | 在对风险有更好的理解,即采用其他工具(如FMEA)进行更详细的分析 | 通常单独使用,尽管FMEA/FMECA 的输入也可采用其他工具如FTA 或PHA 识别。 | 通常单独使用,尽管HACCP的输入可采用其他工具如FTA识别。 | 通常单独使用,尽管HAZOP的输入可用FTA 等其他工具识别。 | 定量或定性 | 通常为定性(如果很清楚故障发生频次,也可定量) | 半定量,通常定性风险排序使RPN 计算更简单。 | 定性或定量,取决于具体应用。定量方法更利于RPN 计算。 | 定性或定量,取决于具体应用。关键控制点通常具有定量的控制限。 | 定性或定量,取决于具体应用。尽管大多应用都是定性的。 | 关键假设 | 假设采用一些其他工具或过程来确定风险控制措施的有效性,这些风险控制措施是为了应对FTA中识别的故障状态。 | 假设SME专家的意见和/或经验足以帮助成功地进行评估。 | 失效模式是直观的、熟知的或已经识别过的。 | 假设对过程和过程控制措施有全面了解。 | 假设风险事件由偏离设计或操作目的造成。 | 主要优点 | 能够有效地显示多个因素如何导致一个特定的故障状况。处理涉及人员要素(如不符合SOP,培训等)的最佳工具。确定大型风险评估的范围的极好工具。可有效地确定故障或所观察的风险状况的根本原因。 | 当信息有限时可以使用。允许在生命周期很早期就考虑风险。可用于确定一个很复杂的系统或工艺的范围和对危害进行优先排序。 | 能够对风险进行排序并指定评估程度。被工业界广泛接受存在非常多的案例研究。最好的风险排序和筛选的方法。可有效地汇总失效模式、引起失效的因素及其影响。 | 可确保过程的关键点被识别并得到充分控制的工具。对工艺验证是很好的前期工作或补充。 | 有FMEA 的大量的功能的系统和灵活的工具但不会严重依赖评价检测能力(一个常常在复杂工艺和当处理认为因素时被挑战的风险要素)。风险识别的头脑风暴法建立在HAZOP方法中。 | 主要缺点 | 无法评估风险降低措施的有效性。大型评估很难采用这种格式并很难有效交流。FTA 的定性本质常常需要和其他具有定量分析能力的工具配合使用。无风险排序或确定优先级的能力。 | 通常需要额外的跟踪分析。结果的质量可能高度取决于SME专家而不是数据。 | 强制要求对风险分级,即使没有很好的理解(如,人为因素或过程异常情况很难对发生可能性或检测能力分级)。对于有很多部件的复杂系统分析可能是非常详细和冗长的。 | 如果评估过程和相关控制没有很好的理解和定义分析会无效或不可行。很难在新工艺或快速变化/发展中的工艺上应用。 | 因为通常不考虑危害发生的可能性,故无法进行风险排序或确定优先级。无法评价系统或过程的不同部分相互之间的危害。 | 范围管理 | 必须积极控制范围-团队必须建立范围管理的假设和/或限制,以避免过于详细。 | 必须积极地控制范围-团队必须建立范围管理的假设和/或限制,以避免过于详细或宽泛。 | 必须积极地控制范围-团队必须建立范围管理的假设和/或限制,以避免过于详细。 | 易于管理-范围可根据评估过程确定。 | 必须积极地控制范围-团队必须建立范围管理的假设和/或限制,以避免过于详细。 | 风险排序能力 | 无,如果工具用来定性使用,故障都会被平等对待。对于定量排序,需要所有故障的可能性等级数据。 | 有-通常用风险优先数(RPN)确定是否需要采取后续控制措施及进一步的风险评估。 | 有-通常用风险优先数(RPN)将风险等级和所需风险降低效果关联起来。 | 部分有-将危害分为重要和非重要。控制措施分为关键和非关键。 | 可选的。需要时,可应用一种类似RPN方法。 | 考虑发生可能性? | 可选择 | 考虑 | 考虑 | 考虑 | 部分考虑-需要确定偏差的可靠性 | 考虑检测能力? | 可选择 | 通常不,但也可以作为选择项 | 考虑 | 不考虑-重点在与防止产生危害,不在于检测和纠正 | 是的,但不明确-如果检测用在工艺控制计划中,那么它就可以降低风险可能性和/或严重性。可检测性也常常归入HAZOP的“防护措施”中。 | 考虑严重性? | 不考虑 | 考虑 | 考虑 | 考虑 | 考虑 | 能够处理多种故障模式之间的相互关系 | 能(通过设计) | 不能,否则将特别复杂 | 不能,否则将特别复杂 | 不能 | 不能,否则将特别复杂 | 能够处理人员因素/动力 | 较能够 | 较能够 | 很少能够 | 很少能够 | 较能够 | 输出格式 | 图形描述 | 表格 | 表格 | 表格 | 表格 |
|
