理解|基于风险的思维

        2021年2月9日，美国国家运输安全委员会公布了科比在坠机事故的调查结果，飞行员阿拉·佐巴扬（Ara Zobayan）在坠机前做了一个飞入云层的错误决定，造成“空间定向障碍”（spatial disorientation），并在迷雾中迷失方向。调查员称，佐巴扬本应意识到天气情况可能会带来危险，然后掉头降落在距离坠机地点不远的范奈斯机场，但他却飞入云层，导致了一代巨星的陨落，多少球迷为之心碎……

       如果飞机上的人员充分意识到风险后果的严重性，阻止飞行员飞入云层，或者有充分的应急措施，也许悲剧就不会上演，但无知无畏和侥幸心理却占了上风。

       GJB9001C-2017有三个核心概念：过程方法、PDCA循环和基于风险的思维，而基于风险的思维正是用来解决这些问题的，那什么是“基于风险的思维”呢？

                                                   一、风险的内涵

       关于风险的定义，GB/T23694《风险管理术语》、GB/T19000《质量管理体系 基础和术语》、GJB5852《装备研制风险分析要求》等标准都做出了界定，其定义大同小异，这里我们采用GB/T23694《风险管理术语》的概念：

      风险：不确定对目标的影响 。

      注1：影响是指偏离预期，可以是正面的和/或负面的。

      注2：目标可以是不同方面（如财务、健康与安全、环境等）和层面（如战略、组织、项目、产品和过程等）的目标。

      注3：通常用潜在事件、后果或者两者的组合来区分风险。

      注4：通常用事件后果（包括情形的变化）和事件发生可能性的组合来表示风险。

      注5：不确定性是指对事件及其后果或可能性的信息缺乏或了解片面的状态。

从这个定义中，我们可以看出风险具有以下几方面的内涵：

      1 ）风险的不确定性 ，未来可能发生、也可能不发生的事件才构成风险。如果事件一定会发生，就不是风险了；如果一定不发生，也就不用考虑了。

      2 ）风险的目标性 ，只有事件会对预期目标产生影响时，才构成风险，如果与预期目标没有关系，也不在考虑范围之内。

      3 ）风险的两面性 ，既可以是正面的（机遇），也可以是负面的（风险），更多时候指负面的风险。

      4 ）风险的多样性 ，基于目标的不同，风险可以是财务、健康与安全、环境等方面的；基于管理层级的不同，风险可以是公司层面、部门层面、项目层面的等等。

      5 ）风险的相对性 ，风险是指对事件及其后果或可能性的信息缺乏或片面了解的状态，但不同的人对事件的了解程度不同，所以对A来讲风险很大，对B来讲风险可能就很小，具有相对性。

      6 ）风险的衡量 ，通过事件发生的可能性和后果的组合来衡量，但如何组合也可以有不同方式。

                                                       二、风险的管理

      根据GB/T24353《风险管理 原则与实施指南》，风险管理包括四部分：明确环境信息、风险评估、风险应对、监督和检查。

1 ）明确环境信息

      环境信息包括外部环境信息、内部环境信息和风险管理准则。 外部环境信息 包括但不限于：来自于国际、国内、地区和当地的各种法律法规、技术、竞争、市场、文化、社会和经济环境的因素；外部利益相关方及其诉求、价值观和风险承受度。 内部环境信息 包括但不限于：组织的价值观、文化、只是和绩效等因素；内部利益相关方及其诉求、价值观和风险承受度。 风险管理的准则 包括风险评价方法、风险判定准则、风险接受和应对准则；其中，风险评价方法包括：头脑风暴法、结构化/半结构化访谈、流程图法、情景分析法、FMECA、风险矩阵、类比法等，每一种方法都有适用情景，相关内容都很容易搜索到，不再赘述；风险判定的准则包括风险发生可能性的准则、风险影响后果的准则以及两者的组合方式，是后续风险分析的前提；风险接受和应对准则是根据风险可能性和后果的组合结果，确定什么样的风险可以接受，什么样的风险不能接受，对于不能接受的风险采取什么样的应对措施，这是后续风险评价的前提。

2 ）风险评估

       风险评估包括风险识别、风险分析和风险评价。 风险识别 是通过识别风险源、影响范围、事件及其原因和潜在的后果等，生成一个全面的风险列表。 风险分析 是根据风险类型、获得的信息和风险评估结果的使用目的，对识别出的风险进行定性和定量的分析，为风险评价和风险应对提供支持，生成风险发生的可能性、后果严重性的分析记录。 风险评价 是将风险分析的结果与风险准则比较，或者在各种风险的分析结果之间比较，确定风险等级，以便做出风险应对的决策，形成风险排序清单。风险评估的最终目的是为风险应对提供输入，所以，风险评估一定要客观、真实，并且满足风险应对的需要，否则，则应该做进一步分析。

3 ）风险应对

       风险应对是选择并执行一种或多种改变风险的措施，包括改变风险事件发生的可能性或后果的措施。风险应对措施包括规避风险、为寻求机遇承担风险、消除风险源、改变风险可能性或后果、分担风险、或通过信息充分的决策而保留风险等。风险应对决策应当考虑各种环境信息，包括内部和外部利益相关者的风险承受度，以及法律、法规和其他方面的要求等。

       选择风险应对措施之后，还需要制定详细的风险应对计划，风险应对计划应包括绩效指标及其考核方法、人员安排、措施安排、监督检查和报告、资源、时间安排、沟通交流等等内容，这里不再详细赘述。需要强调的一点是，风险应对措施不应该另起炉灶，而应该将风险应对计划与其他管理过程相融合，从而提高管理效率。

4 ）监督和检查

       监督和检查是风险管理中最重要的部分，包括两方面：一是过程监督，二是绩效评估和总结。 过程监督 是在风险应对过程中，监督事件、环境、风险的变化情况，以便有针对性地修订应对措施，确保风险管理的有效性。 绩效评估和总结 是在风险管理完成后，对整个过程进行复盘，经验继续保持，教训加以改进，持续提升风险管控能力。而更为高明的做法，则是把经验教训升华固化为“原则”，用以指导后续的行动，桥水基金的达里奥就是一个典范。

                                                        三、风险的误区

       GJB9001C-2017正式提出“基于风险的思维”，并将风险管理要求纳入正文中，其目的是让企业重视风险管理，以控制损失并创造价值，关键点在于将风险管理融入企业的各项管理过程中。但在实际操作中，很多企业不理解标准设置的“初心”，出现了很多误区，不仅未能有效控制风险，还增加了很多额外的工作负担，简单说明如下，供大家引以为戒。

1 ）半步环境分析

       内外部环境分析是识别风险的前提，很多企业采用SWOT、PEST模型分析内外部环境，编写内外部环境分析报告，然后就用来应付各种检查，或者干脆束之高阁了，那么我们分析内外部环境的目的是什么呢？应付检查吗？

       GJB9001C-2017的4.1条款说的很清楚：“组织应确定与其宗旨和战略方向相关并影响其实现质量管理体系预期结果的能力的各种外部和内部因素”，企业分析内外部环境是为了支撑其宗旨和战略，所以不能支撑战略的内外部环境分析只能称为“半步环境分析”，那么什么样的内外部环境分析才能支撑战略呢？

       我们以SWOT分析为例，前面的SWOT分析部分比较简单（略去不说），当采用二维四象限法明确了企业外部的OT，内部的SW后，继续分析如下： 外部机遇下的内部优势（SO） ，企业应思考如何通过自身优势进行外部机遇探索并从中获利？ 外部机遇下的内部劣势（WO） ，企业需认真权衡，是通过一些手段克服劣势，还是风险过大而不适合抓住机遇呢？ 威胁环境下的内部优势（ST） ，企业需要改变，当威胁能被优势解决时，是否要调整资源配置把威胁变成机遇？还是进行防守再需求其他机会呢？ 威胁环境下的内部劣势（WT） ，当外部威胁内部无法抵抗，企业需要思考如何应对劣势，才能避免或者克服威胁。通过这样的详细分析，才能为企业战略提供有效的输入，同时完成风险识别和评估，才是真正有效的环境分析。

2 ）独立的风险管理

       在质量体系审核时经常发现这样的情况，一方面，项目的风险分析报告中识别了技术、经费、人力等等很多风险，均进行了分析，制定了应对措施，形成完美的闭环；另一方面，项目负责人因为交付进度紧张进行了大量的沟通协调工作，但风险分析报告中却没有提及。这种误区把风险管理与实际工作割裂开，姑且称之为“独立的风险管理”，不但对项目的风险管理起不到任何作用，还增加了项目负责人的负担，从而给质量管理工作人为的设置了障碍。这里需要澄清一下，质量管理从来都不是一项独立的工作，它需要与具体业务和管理工作结合起来，“写所做，做所写”，千万不能为了应付检查做一些表面文章，有百害而无一利。

3 ）一套风险走到底

       项目的风险管理还有一个典型问题，就是在方案、技术设计、生产阶段都编制风险分析报告，但仔细看来，各阶段识别的风险都一样，更有甚者，风险分析的结果也无差异，姑且称之为“一套风险走到底”吧。

       分析问题背后的原因，是大家对风险管理的学习和理解不够，认为风险管理要求很高，目前不具备做出符合要求的工作，先解决“有无问题”吧。我想多说一句，“先解决有无问题”的思想是要不得的，要知道，实施（或改进）一种新的管理方法需要付出巨大的教育成本，“先解决有无问题”的思路是把实施一种新的管理方法分为两步，需要进行两次教育，会大大提升管理的难度。当确实需要实施一种新的管理方法时，建议借用“零缺陷”的思维，一次做对，这是效果最好、也是效率最高的做法。

       总结一下，基于风险的思维是一个方法论，是从内外部环境出发，识别、分析和评估未来的风险和机遇，制定和实施应对措施，并不断监测、持续改进的一种思维方式。这种方法论不仅仅适用于质量管理领域，而是一种通用的思维模式，适用于工作生活的方方面面，但需要结合具体的工作生活去实践，去总结，持续改进，才能逐步获取这种思维能力。最后，把风险相关的标准罗列如下，供大家参考。

1）GB/T23694-2013《风险管理术语》

2）《中央企业全面风险指引》（国资委）

3）GB/T24353-2009《风险管理  原则与实施指南》

4）GB/T20032-2005《项目风险管理应用指南》

5）GJB 5852-2006《装备研制风险分析要求》

6）GJB/Z171-2013《武器装备研制项目风险管理指南》

7）ISO/DIS 31000，Risk management-Principles and guidelines on implementation