论通过有效风险管理达到内部质量控制最佳状态
2017-03-28周毅
周毅
摘 要:从企业风险管理角度,阐明企业风险管理与质量管理相互之间的关系,以及对企业来讲其间管理的重要性和企业未来的发展。
关键词:风险;质量;控制
中图分类号:F23
文献标识码:A
doi:10.19311/j.cnki.16723198.2017.02.049
利用ERM或ISO 31000中的准则,标准和方法作为质量安全基础,以整体解决企业在当今社会中所面临风险、威胁和危机,也是企业至关重要的未来。展望未来,这里将提供一些洞察企业风险管理的概念,以及为什么风险管理是企业质量安全的重要基础。
美国COSO委员会将企业风险管理建立为一个对影响企业价值的风险和机遇处理过程,ERM定义如下:“企业风险管理是一个过程,由公司董事,管理层和董事会主导,制订战略并应用于整个企业,旨在识别可能会影响企业经营的潜在事件,在企业风险偏好范围内管理风险,并提供实现企业目标的合理保证”。
建立企业风险管理,ISO 31000的主要驱动力是来源于Enrun和Worldcom高级管理人员的欺诈行为。ERM和ISO 31000的目标是,加强内部控制和流程,确保从董事会向下所有组织人员,理解如何识别,分析和管理组织的风险,以及该过程中建立可接受风险范围。
COSO框架结构建立风险四个关键领域:战略、经营、报告和合规性。大多数组织已经覆盖“信誉”作为自己的企业风险管理计划的总体核心要素。
战略-建立企业中更高层次目标,并确保其与组织的使命,目标相一致。
运营-建立企业的持续管理流程(以及有效和高效地利用其资源)。
报告-设立企业报告可靠性和准确性(企业风险管理的这一部分主要集中在财务报告和大多数企业现在称这个区域是金融而不是报告)。
合规性-服从企业的适用法律和法规。
声誉-在企业利益相关者,如客户,渠道合作伙伴,供应链合作伙伴,员工,股东和金融市场中建立企业信誉,声望。此外,监管机构和其他监督机构对企业看法是至关重要的,尤其是在出现问题时。
ISO30001体系中指出企业对于风险管控对于加强企业控制,起到提高企业绩效的同时保证利益相关方的信任度的至关作用,企业在辨识内部与外部风险的同时,加强企业内部控制,对企业内部关键节点进行监控与调整,而企业内部产品风险可包含由人为及客观因素所造成产品质量及安全问题,企业在生产过程中可结合ISO 9000和30001系列,进行质量和风险管控应用双层管控,在此基础上减少对于质量安全性事件发生的几率,对于出现的问题,也能够进行早期预防性措施,从而进行更良好的生产运作,保证产品质量安全。在美国进行的研究表明:高质量的控制体系,如应用ISO 9001提高企业管理和生产过程,将质量改进转化为增加销售和就业机会,在企业内部制定和实施其管理程序,提高员工的技能和培训,在某种程度上也可将此视作为高品质的产品或服务的信号,此类企业也在就业机会、工资总额、平均年收入和工作场所的健康和安全上远胜过其他同类企业。
在ISO 9001:2105中基于风险的思考使得预防性行为成为企业战略和运营规划的一部分,而纯“预防性行为”已被应对风险和机遇的行为所替代。公司在现在环境下应识别并预估风险和机遇价值,采取相对应的措施,从而达到质量目标并应对风险。企业在面对风险时更加积极主动,而不是被动采取弥补性措施,形成有效,完整的系统性流程。基于内部控制的全面风险管理实际上是对内部控制的研究扩展。企业在考虑到全面风险管理情形下对原有的内部控制模型扩大,并由此建立了一系列基于全面风险管理的内部控制模式。由此跳出框架,对内部控制和风险管理之间的关键关系和元素进行讨论,并在此基础上设定组织目标关系。内部控制和风险管理之间的关系和区别基本上由内部控制和风险管理的目标之间差异造成的,讨论风险管理,这是缩小企业价值意义的目标,拓宽了企业价值的意义。
企业与社会对同一风险有不同的衡量标准,而在此衡量标准下,企业很可能被短期利益最大化所影响,从而产生风险决策,在此环境下,企业决策可能对社会造成不良影响,这便是企业内部风险决策所产生的外部影响。不否认企业有价值利益最大化的目标,但是,作为社会的一部分,企业必须并承担一定的社会责任,良好的内部控制体系可以减少此类不良影响,也是对这类潜在损失“对症下药”的最佳方法。
在建立ERM/基于ISO的程序的另一个关键步骤是获得企业风险文化的清晰认识。一个组织的风险文化经常改变或随时间演变,而当新领导是从外部带来新的风险文化会产生最明显改变。
在企业内部建立一个频繁而有效的沟通机制是生成风险偏好记录文件的重要步骤,文件中描述企业可承担的风险水平,同时建立企业内风险应对审批程序和准则,确立风险责任人,从而做出最终决策,这一部分也定义了企业基于风险和/或对潜在影响发生时应急处理程序。对企业风险偏好陈述彻底理解和遵守是确保成功至关重要的一步。
Deming博士曾经说,你无法检测产品质量,因为它已经存在。這句话在制造行业引起专业人士的共鸣。而风险管理则是与质量管理方法相结合形成新的智慧管理方案。在20世纪中叶,质量革命席卷美国和日本,他注意到公司只检查工作的最终产品却从未考虑改善导致缺陷生产步骤。最终产物并不能提供解决生产线上根本问题的方法,一个木桶盛水的容量是取决于最短的那块木板,而找到生产过程中的短板才能解决最根本的问题。
20世纪的质量运动成为实现卓越运营的追求,在80年代和90年代初,摩托罗拉,通用电气,等一些公司被相对复杂的方法所吸引,如六西格玛,许诺在削减成本的同时达到提高效率的突破性成果。然而,六西格玛成为不仅仅是一个实现更高工艺质量的办法,它被称为完美的代名词,定义了每100万产品中产生缺陷少于或等于3.4的质量等级。
在风险管理中,完美计划不能像六西格玛一样被定义为一个明确的和可量化的数字。健全和完善风险管理应被理解为在企业内部识别风险同时,找出可能产生风险的机会点,并减少这些可能性量化的几率。由于企业风险管理不只是减轻风险所造成的损失,更重要的是通过质量风险管理最大限度地提高企业创造价值的能力。而六西格玛在制造业上受到很大的程度欢迎,它仍然与企业风险管理密切相关。
DMAIC是指導六西格玛项目进行的全面框架。这就是俗称的定义—测量—分析—改进—控制。根据六西格玛权威Thomas Pyzdek,这种模式是用来改善现有产品,过程或服务。风险管理可以使用此模式改进现有流程。对于DMAIC,改进阶段中将实施通过分析阶段所认可的改进措施,控制阶段则是确保改进是有效可行。在控制阶段中,则由以下系列措施跟踪监控:(1)建立一个审计计划;(2)记录流程和过程控制;(3)实施控制;(4)确定数据和绩效措施的有效性性;(5)过渡过程或业务单位回到所有人。
任何企业风险管理程序的有效性可以通过产生的利益相关者价值的活动得到加强,并通过企业目标所驱动在抓住机遇的同时有条不紊地主动管理风险。风险管理的重点是预防,内部质量控制的重点是执行,因此,内部控制强度促进风险管理水平,风险的一部分可以通过提高内部控制将风险减少。内部控制体系的恒久保证是为企业发展和适应社会的长久需要的基础,因此企业在自身不断发展的同时,也应对内部控制体系增加安全性保障。
参考文献
[1]Killackey, Henry.Building the Quality-Centered Enterprise Risk Program[J].The RMA,2007,89(8).
[2]Patrizia Garengo and Stefano Biazzo.From ISO quality standards to an integrated management system: an implementation process in SME[J].Department of Industrial Engineering, University of Padua, Via Venezia 1, 2013,35131 Padua,Italy.
[3]Risk and the ISO 9001 revision risk is given a front-and-center presence in section 6 of the standard[J].Speaking of quality,Oct.2015.
[4]Ryan Baxter,Jean c.Bedard,Rani Hoitash and Ari Yezegel,Enterprise Risk Management Program Quality:Determinants, Value Relevance, and the Financial Crisis[J].Contemporary Accounting Research Vol. 30 No. 4 (Winter 2013) pp. 12641295 ? CAAAdoi:10.1111/j.1911-3846.2012.01194.x.
[5]Jerry Brennan, Lynn Mattice.Enterprise Risk Management as a Foundation[J].Leadership & Management March 2013 Security Magazine.com.