如何将ISO管理体系标准有效应用到企业风险管理 (转)
几十年来,ISO管理体系标准在全球各个领域都在寻求改进措施,如ISO9001:2000,ISO/IEC27001:2005,ISO14001:2004等等。这些领域相应的标准都相当具体,都可以帮助不同类型的企业来系统地管理风险。但问题的关键是如何使得企业的稳定性、盈利性和安全性得以统一?
管理不同类型的风险
所有企业都面临着不同程度的风险,这些风险包括市场风险,信用风险,经营风险和法律风险。这些风险影响了组织绩效,往往阻碍其发展,并在许多情况下影响了业务伙伴和消费者的利益。处理这些问题的专业性降低了对组织稳定性的威胁,提升了整体经济效益。持续而有效的风险管理将能成功应对不确定因素。采用适当的风险管理方法和工具,企业的管理体系就会变得更加可预测,更加稳定和安全。 另一个重要的因素是企业的风险可能暴露在其合作伙伴和客户身上。因此,风险管理制度的建立不仅可以维护企业的营利性和安全性,也可以维系稳定的国际贸易关系。
企业风险管理
风险管理可以被广泛地应用到商业活动,公共服务,非政府部门甚至个人的决定中。无论是大灾害,还是小车祸,抑或是某个产品不符合质量要求都会导致不好的结果。这可能是简单的人为错误,缺乏训练或不充分的商业准备所导致的。我们必须承认,对于许多风险我们无能为力,但仍有很多风险是可以通过管理得以控制的。简单来说,风险管理是通过提供技术手段来帮助企业防止不好的事情发生。企业要想持续地避免风险就必须采用高效的企业风险管理系统来系统地管理风险。而这一企业风险管理系统正是基于现有的ISO 标准。企业风险管理系统的目的就是:⑴使企业盈利,并保证所有的企业相关方都能安全有效地运作。⑵可盈利性直接关系到服务和商品的质量,以及这些产品的市场需求。生产的保护性措施直接影响到安全性。然而,保护性措施却往往影响到产出。为保持盈利,企业需要高速运作,但为了安全性,企业需考虑每个环节,从而减缓速度。一个企业的风险管理系统正是在持续风险管理的基础上有效地结合了企业效率与安全。
ISO标准在风险管理中的应用
ISO管理体系标准为各种企业处理风险提供了宝贵的工具———质量,信息安全,职业卫生和安全,环境管理体系等等。一个企业的风险管理系统可整合这些单一的体系为一个公司的大体系。持续的风险管理包含以下几个步骤:■风险识别。识别风险是管理风险的第一步。举例来说,企业能够识别掌握特殊技能的工人有跳槽的风险。 ■量化。其次,风险应该被量化、评估,从而决定是否采取特殊措施来处理特殊风险。假设上述风险为严重风险,共有四个方案可供选择:■接受风险。明知风险存在,却不采取任何措施。当工人提出辞职时再来解决问题。■减轻风险。减少事件发生的可能性或降低其影响。企业可能会采用记录工人的知识,从而减少对其的依赖性,或者采用激励机制,来鼓励工人继续留在其岗位上。■转移风险。将处于风险的流程外包,来保证业务的持续运作。■规避风险。终止可能导致风险的活动。改变企业经营策略,使企业不至于依赖该工人的能力。■执行。采取减轻风险的策略,并予以落实。■项目分析。企业应分析风险管理策略执行的进度,以确保措施得以按计划完成。■残余风险评估。在一切实施之后,残余风险将得以评估,从而保证企业的持续性经营。减轻风险并不能100%地保证风险不再发生,企业还需提出一个应对员工离职的计划。如果我们将ISO 9001:2000作为管理体系的核心标准,就意味着一切活动都是在管理体系范围内实施的。该标准第8部分的一切过程都适用于风险管理,包括内部审核,纠正及预防措施,客户反馈,战略规划和管理评审以及不合格品的管理。为此,我们可以得出这样的结论:不符合项相当于已识别的风险,应对其采取降低风险的措施,而潜在的不符合项即为风险,纠正预防过程就相当于是对风险的识别、量化和管理。 ISO 管理体系标准中的风险管理工具ISO管理体系标准包含了一些用来管理经营风险的工具。通常我们把风险分为三类:市场,信用风险和经营风险。而经营风险是最常见的风险。对于这些风险,ISO标准都提出了相应的解决对策。企业可以运用各种ISO管理体系标准的观念和技术来管理所有类型的风险:■ISO 9001提供了管理经营风险的工具和框架。 ■ISO 14001,OHSAS 18001 ,ISO/IEC 27001和其它标准为解决特定的风险提供了特殊工具。 一个企业的风险管理系统可基于上述标准建立。企业风险管理体系的建立有助于世界各地的企业有效地管理风险,为企业提供盈利机会与安全性,确保股东的安全以及世界经济的可持续发展。企业风险管理系统标准和指南可以基于现有的管理体系标准,使已经实施ISO标准的企业能更容易将风险管理的理念融入到其工序中,从而实现盈利和安全双赢。