质量与合规管理中的风险管理

编者按

格伦·弗雷泽（Glen Fraser）是威思解决方案公司的高级产品经理，拥有30多年的IT行业从业经验以及超过15年的合规管理经验。他致力于提供风险和合规产品解决方案，同时提供运营流程自动化的整体战略管理。本文于2014年10月发表在《质量文摘》，介绍了广泛存在于质量管理与合规管理中的风险管理，并详细描述了风险管理的五个步骤，以及量化和评估风险的三种方法。

无论身处何种行业，风险管理都是难以回避的话题。风险管理无处不在，它广泛存在于合规、公司治理和质量管理中。在质量和合规管理中，我们把风险视为运营的功能之一，需要管理自己的风险，并采取措施控制风险。

但是，应该如何应对风险呢？我们在质量和合规运营中实施了基于风险的策略吗？很多公司都在全力以赴地保持在各自领域内的卓越运营，因此很多公司将风险管理当作未来的项目，将其放在了当前合规流程之后。

是不是风险管理工作非常繁琐，必须作为一个整体项目？或者，我们可以有效地将风险动力学纳入日常运营工作？从事质量管理的人很快将发现自己别无选择：定于2015年推出的ISO 9001修订版会将风险管理作为质量管理体系（QMS）的一个要素，对很多人来说，风险管理的概念已经变为现实。然而，风险管理这个概念未必令人望而生畏，尤其是在质量和合规管理的范畴内。

让我们把概念分解，对风险管理进行破解。通过以下几种简单方法，企业不需要彻底重新设计，就可以把风险管理纳入现有流程。

风险管理即流程

风险管理本身就可以成为一个独立的流程。ISO 31000是专门针对风险管理的标准。实际上，这个标准为打造风险管理体系提供了一个流程框架。这个标准并不复杂，和其他标准一样，它也包括所需的投入、方针政策和对风险管理策略的评审。流程本身可以分为以下五步：

第1步：确定风险。从本质上讲，一旦你认为公司需要制定风险计划，首要任务就是确定公司的风险。目标是找到各个流程中存在的威胁。要完成这项工作，可以通过与公司领导和管理人员等交流，也可以通过找出现有的负面事件来实施。很多公司的第一步工作就是研究公司的运营，将可能存在的风险进行“风险分类”，也就是将组织内部的风险整理成一份风险分组清单。也有一些组织会回顾过去的事件，找出问题最多的领域，再确定具体风险是什么。第一次扫描不会识别出全部的风险，因此，风险管理被设计成为一个持续的流程。

第2步：分析风险。确定了风险清单之后，下一步工作就是对清单进行分析，确定风险的严重程度。大多数公司会使用一套通用的工具来完成这项工作，一般情况下是根据事件的严重程度和频繁程度进行归类。严重程度就是“这种风险对公司的负面影响有多大？”，频繁程度就是“这种事件经常发生的可能性有多大？”你可以使用这两个维度来大致了解哪些风险比较严重或比较频繁（如表1所示）。

第3步：评估风险。在对风险进行整理和分级后，你应该根据结果做出决策。这一步工作对很多公司都是挑战。如何量化风险？组织会给以上分级赋予一个数值，其中1代表最低，4代表最高。可以运用一个简单的乘法规则来计算风险，并针对每个结果做出决策。下面是一个简单的多因子例子，使用的是表1的分级（见表2）。

第4步：控制风险，实施解决方案。针对每一个潜在的风险采取措施，尽可能合理地降低风险。这就需要采取控制措施。控制措施指的是解决风险、降低风险的活动、行为或流程。一个风险会对应多种结果：你可以接受风险（如果程度较低）、将风险降至可接受的程度、用其他流程弥补风险的损失或将风险转移到其他方面，如果风险太大，可以将其完全回避。

第5步：监控和审查风险。简单地说，风险进程不会因为一次评估而终止。组织需要不断监督风险和采取应对办法。要做到这一点，就要进行定期的监测、审计和审查。总体目标就是保证公司时刻关注情况是否发生变化。今天的低风险可能成为明天的高风险，公司要确保可以伴随着时间的推移不断提高风险监控水平。

当然，这是一个非常简单的描述，很多组织的情况更为复杂，但这种描述是风险管理流程的核心。很多组织已经把这项工作纳入现有的业务流程。他们寻求风险控制的方法，并对这些控制方法加以审核和监控。对于这些公司来说，风险管理的重点就是把风险量化。

量化和评估风险的三种方法

如何在不干扰当前运营的情况下，使用简单的方法量化和评估风险呢？将风险管理纳入企业经营的动态过程可以有很多方法，而且并非所有方法都很复杂。很多组织可能已经使用了某种形式的风险评估方法，这些方法符合风险管理的所有标准，只是组织没有称其为风险评估方法而已。下面我们来分析一下风险评估的三种方法。

表1

表2

1.决策树

许多公司会使用决策树来决定是否采取某项行动。决策树就是一种风险评估方法。决策树的原理是提供一个输入项（即负面事件），使用决策树找出事件的后果。决策树可以帮助公司找到正确的决策，并为决策提供指导。这是进行风险评估的一个有效方法，尤其决策树允许使用者遵循一个路径，通常是通过类似问答树的形式（参见图1）。

决策树之所以有效，是因为它可以直接嵌入运营流程。在变革管理的前提下，尤其有助于评估流程变化的影响，可以帮助公司决定是否要向监管机构汇报，或者决定是否要通过采取纠正措施来应对负面事件。

2.风险矩阵

风险矩阵也许是很多行业中最常用的工具。这个网格高效简单、色彩丰富，目的是向每一位流程人员展示不同的风险水平。风险矩阵在一个图形上设定两个（或三个）指标。通常会包括严重程度和频繁程度。每一个风险程度都有一个数值，在两个数值相交的地方使用公式计算（一般是相乘）。然后为风险程度指定一种颜色——就是简单的红色、黄色或绿色（有些公司会根据结果的复杂程度使用更多的颜色）。下面是一个风险矩阵的例子（见图2）。

矩阵的目标是使用两个维度确定风险的水平，并根据计算结果提供指导意见，帮助使用者决策。不过，使用风险矩阵的时候要多加小心，因为有时得出的结论只是在数据上合理，却并不符合公司的业务情况。为了应对这一问题，在使用矩阵的时候必须用真实的例子（如历史数据）进行验证，以确保最终结果的正确性。调整可能是必需的，但一旦你对图表进行了验证，那么风险矩阵就会成为一个强大的风险评估工具。

图1

3.风险报告和趋势分析

风险管理和评估的目的是衡量决策、保证决策的合规性。但是，当你衡量风险并采取行动的时候，你其实是在构建组织内部的风险历史。这些有价值的信息可以帮助你对企业运营进行微调。建议创建一个风险数据库或风险登记册，集中登记所有事件的风险数据，包括来自质量、合规、具体的流程或任何负面事件的风险。风险登记册作为集中的信息库，可以让你了解所有业务的风险。

风险趋势分析是风险管理的重要组成部分，分析的基础是历史数据。如果你构建了不同业务领域的风险历史，你就能说出某一领域的风险趋势。不同业务领域的风险评估方法是不一样的，但是风险登记册可以集中存储所有的运营数据。你可以通过登记册了解风险管理是如何伴随时间不断发展的；分析高风险可能出现的领域；确定哪些领域需要加强监管；评估如何将风险作为整体合规情况的基准，进而改善经营状况。

风险管理概念几乎贯穿在所有的业务讨论中。然而，很多组织都还处于尝试建立风险管理框架的阶段。他们还没有准备好讨论风险管理，他们希望可以“应对风险”，却没有时间，或根本不知道从何入手。其实，大部分的组织已经开始“应对风险”了，他们只是需要获得支持，从基础做起，思考如何将风险纳入流程，并记录他们的风险，以便学习和提高。

与其等到最完美的时刻才开始执行基于风险的策略，不如使用简单而有效的方法进行风险管理，这些方法非但不会替代或重新设计你的流程，反而会加强流程。这样一来，你就可以在对风险进行管理的同时，保持卓越的运营。

（赵 灿 编译）

图 2