管理體系的各個過程在組織實現其目標方面的風險水平並非是一致的,風險管理就是要找出真正影響目標實現關鍵過程、活動,採取有針對性的措施,去保證目標實現,做到有的放矢,實現資源的最優配置,提高管理體系的有效性和效率。運用適當的風險管理方法確定和應對風險,顯得尤為重要。通常,風險管理包括風險識別、風險分析、風險評價、風險處理、監視、改進、變更等環節。
工具/原料
管理體系
審核
方法/步驟
風險識別。風險識別是發現、列舉、描述風險要素的過程。當確定了管理體系所需的過程,應對每一過程進行風險識別,確定風險源,影響區域、事件的原因及潛在的後果。在管理體系過程中的風險識別應圍繞著產品(環境、安全)的符合性及客戶滿意、預期目標的實現,以產品實現過程為主線,從人、機、料、法、環、測等過程控制因素入手,考慮以往的歷史數據和信息,識別人員應包括各方面專業人員,進行全面深入的識別。
風險分析。風險分析是對風險的進一步的理解並確定風險等級的過程,風險分析的結果是風險評估及確定風險是否需要應對的輸入。風險分析包括了對風險源、導致風險的原因、正面或負面的後果、後果的可能性的分析,最終確定潛在的後果範圍、可能性及其他相關的風險特性。由於通常一個事件具有多種不同的後果,在風險分析時,需關注不同後果對不同預期結果實現的影響,風險分析也需要考慮現有控制措施的有效性和效率。
風險評價和應對措施(處理)。風險評價的目的是基於風險分析輸出,對哪些風險需要處理或優先處理做出決定。風險評價的過程是將風險分析過程中發現的風險水平與已確立的風險準則相比較,確定風險的可容許程度,對未來的行動做出決策。風險準則是評價風險的依據,該準則體現了價值觀、目標和資源狀態。風險準則的確立是基於組織確定的目標,內外部環境分析結果,風險準則也可以源自標準、法律、方針和其他要求,風險準則同時也反映了管理者的風險偏好及容忍程度。當內外環境變化時也可以對現有風險準則進行評審必要時作出調整。
監視和改進。應對風險的識別、風險控制措施的制定、實施及有效性進行監視以改進風險管理。在風險管理中需要監視內容可以包括:1、通過對內外相關事務信息的動態更新,檢查是否對風險識別的輸入進行更新,保持輸入信息的完整性、有效性;2、通過日常的工作檢查、內審等對應對風險的措施的實施情況進行跟蹤;3、在管理評審對應對風險的措施的有效性按策劃的方式進行評價,應對風險的措施有效性評價可以從產品(環境、安全)的符合性情況,增進顧客(用戶、員工、周邊居民)滿意度方面,目標的實現情況,過程目標----指標的實現情況,風險是否得到控制等方面進行。對上述過程及活動的監視結果進行分析,必要時改進風險管理機制。
變更。當內外部環境發生變化,如:使用新材料、新工藝、新設備,組織職能的變化,國家法律標準的變化,顧客要求變化等等,應及時組織對這些變化導致的風險情況進行再識別、分析及評價,決定是否採取相應的控制措施以確保變化的風險可控。
注意事項
風險是不確定性對某一預期結果的影響, 基於風險的考量也一直暗含在質量、環境、安全標準中,標準中的 “預防措施”的概念主要通過使用基於風險的方法去建立和實施管理體系來體現。