对于企业来说,如果不能识别风险,就不能控制风险。如果风险不受控,那么事故的发生就会表现出非常强的随机性和必然性,而不是带有偶然性。风险管理是安全管理的基础工作,如果我们在这一方面存在欠缺的话,就不可能系统的分析出企业到底存在哪些风险。有做过Hazop项目的人应当很清楚,如果我们没有运用Hazop分析工具,凭借隐患排查是很难排查出工艺、系统中的缺陷的,如果我们不清楚系统的缺陷,不能采取有效的控制措施的话,是难以预防工艺安全事故的。此外,我们还知道工作安全分析方法(JHA)能够分析出作业活动中存在的风险。通过对作业活动的合理拆分,找出作业过程中可能出现的伤害,进而采取措施来控制伤害事故的发生。但是,有多少人参与了Hazop分析项目,Hazop主席是否能够引领分析团队找出系统中的问题。我们在做JHA分析,是否识别出了企业现实、可能涉及到的各种作业活动,作业步骤。如果回答是否定的或者不确定的话,那么,至少我们在风险识别、分析上还是存在差距或者可改善空间的。
风险识别是指依据公司目标,搜集公司内、外部导致风险产生的原因,明确风险类别、涉及的归属部门,将风险进行描述,并预评估。风险识别是企业内部控制的延伸,它既是风险管理过程的起点,同时又为评估风险发生后可能造成的影响、制定应对措施等提供必要的指导。
二、风险分类
风险分类是识别风险的依据,也是明确风险归属、评价风险的基础。企业的日常业务种类繁多,与此相关的风险因素也难以全面界定与识别,但不同种类的业务,其风险产生的原因是相似的,可以将其归类。企业在进行风险分类时,应结合内、外部信息,从两个角度结合进行:(1)经营活动的重要性(2)风险自身的性质。
根据经营活动的重要性,国内主要采用国资委的分类方法,即将风险分为:运营风险、法律风险、财务风险、市场风险、战略风险五类。
根据风险自身的性质,可以将其分为固有风险、剩余风险和识别风险三类。固有风险是假设企业未进行管控情况下的风险,它体现了风险的重要性;剩余风险是结合目前的管控措施之后,企业剩余的风险,它体现了企业目前的管理现状以及需要后续强化的环节;识别风险是指在风险识别过程中采取了有效的识别工具,但仍识别不出而造成的风险。
由标准(1)得到的分类结果虽然有助于完善风险识别过程,但它实际上体现了目前或未来企业某项风险管理工作的朝向,并引导企业内部资源在各部门的配置;标准(2)则明确了企业风险识别的重点。其中“识别风险”虽然本身并不属于企业,但它从侧面体现了内部控制环节的优劣与“剩余风险”的大小。因为如果某项重大风险已经存在却不能识别,则说明企业的内部控制存在较大缺陷,从而剩余风险较高。当然,对于已经识别出的风险,只需关注“固有风险”与“剩余风险”即可。
在风险识别中,企业应重点关注剩余风险较高的风险。这是因为:一方面,剩余风险较高说明管控措施需进一步强化,体现了内部控制环节的薄弱。另一方面,剩余风险较大时,可能企业的管控比较有效,但是风险的累积效应较大,如果不进一步加强内部控制,未来风险发生时会带来严重的后果。总之,内部控制措施的健全与否决定了剩余风险的大小,剩余风险高则体现了内部控制措施的次优化。
三、风险识别的方法
风险识别过程实际是降低“识别风险”的过程,但由于风险的多样性,企业不能穷尽所有风险,而且风险识别在很大程度上是一种主观判断,所以,为使重要的风险不被遗漏,并将“识别风险”将至最低,需要采用适当的方法,在充分梳理企业重要风险的同时,尽可能多地挖掘潜在风险。由于企业的员工对企业的运营等情况最为熟悉,所以让他们作为主要的风险识别人员参与到风险识别的工作中。在识别风险时,主要运用以下几种实际工作中常用的方法:
1、问询法
主要包括调查问卷法、专家访谈法等。前者主要取决于被询问者的知识水平、接受能力以及对该项工作的态度,因为这会直接影响问卷填写的效果与有效问卷的数量。后者则主要取决于咨询专家对内控的了解以及与被访谈人员的互动。
2、实地考察法
该方法是指通过对厂房等实物资产的实地观察,根据资产的表面现象、运行等情况发现存在问题的环节。通过该方法了解的企业信息比较直观,但不深入,难以有效的挖掘风险。
3、数据/经验分析法
是指通过企业累积的经营活动的相关经验、对企业财务报表、档案、文书等书面材料以相关数据的分析,来发现企业目前存在的问题,将其列示为风险。该方法可以保证风险识别工作结果的客观性,但由于主要是利用历史的数据进行分析,而企业面临的经营环境是不断变化的,风险产生的条件也会与以往有较大差别,所以用该方法得出的结论难以保证较高的时效性。
4、流程分析法(DMAIC)
该方法是指在与企业充分沟通的基础上,充分了解企业的业务流程,并将流程逐层分解为若干环节,发现存在不足的环节以及造成不足的因素,将该因素作为风险。
作为流程分析法的一种,DMAIC 分为Define(界定)、Measure(量测)、Analyze(分析)、Improve(改进)、Control(控制)五个步骤,它是以6σ为标准,用闭循环的形式对已有流程进行质量改善。通过对目标及影响目标因素的界定、量测现有内控措施的完备性、分析影响问题的负面因素、分析问题与影响因素的关系、确定改进的出发点,企业便可以明确目前管理措施与6σ标准之间的差距,确定风险的性质及其存在的源头,识别出有效的风险点。
四、结论
内部控制与风险管理有着密切的关系,控制是管理的环节之一,风险管理也应建立在企业内部控制的基础上。风险管理的本质是规避风险或者将企业潜在的价值损失转化为现实的价值增值,企业为了实现这一过程,首先应识别出导致价值减损的潜在风险点。而只有在理解对风险分类的基础上,结合管理现状发现内部控制的盲点判断剩余风险的程度,才会在识别的过程中不致于遗漏重要的风险,所以,风险的识别过程也就是将“识别风险”降低至最低的过程。
在当今数字化时代,随着企业信息化程度的不断提升,网络安全问题变得越发突出。对于集团公司而言,保护其重要数据和系统安全至关重要。为了解决这一问题,很多集团公司会选择寻求专业的安全技术咨询服务。那么,如何选择适合集团公司需求的安全技术咨询服务呢?以下是一些建议:
2024-04-28安全管理与生产管理是企业管理中两个重要且密切相关的概念。虽然它们都旨在确保企业的运营效率和员工的安全,但在实践中却有着明显的区别。本文将从多个角度对安全管理和生产管理进行比较,以帮助读者更好地理解二者之间的不同之处。
2024-03-01在当今竞争激烈的商业环境中,企业不仅需要追求经济效益,还必须注重环境、健康和安全(EHS)方面的管理。在这种背景下,构建EHS文化和推进QHSE(Quality, Health, Safety, Environment)管理体系成为企业不可或缺的工作。本文将探讨这两个重要主题,并介绍如何在企业中实施和推动它们。
2023-12-20员工是企业最宝贵的资源,他们的健康和安全对于企业的发展至关重要。为了保障员工的身体健康和工作安全,企业需要建立健全的员工健康与安全管理机制。本文将探讨员工健康与安全管理的重要性,并提出相关的措施和建议。
2023-12-12在现代工作环境中,安全意识的重要性愈发凸显。尤其是在高风险行业中,如化工、石油等领域,防火防爆安全知识的掌握和应用更是至关重要。为了保障员工的安全与健康,我们致力于建立一套完善的HSE(Health, Safety and Environment)培训矩阵,旨在提升员工的安全意识和技能,共同打造和谐的工作环境。
2023-12-11在现代商业环境中,企业面临着各种不同类型的安全风险。这些风险可能来自外部威胁,也可能源于内部问题。了解并识别这些风险对于保护企业数据、资产和声誉至关重要。以下是企业主要的安全风险类型:
2023-12-07