一、        新版管理体系标准对风险控制的要求

国际标准化组织（ISO）于2015年9月23日发布了ISO9001:2015《质量管理体系  要求》。标准最主要变化之一是引入了“基于风险的思维”理论，要求组织在建立、实施和保持管理体系的过程中，将过程方法、基于风险的思维和PDCA循环融为一体，将基于战略和风险管理的管理体系融入组织的业务活动。标准在4.4.1f)、5.1.1d)、5.1.2b)、6.1.1、6.1.2、8.1、8.2.1、8.3.3e)、8.3.6d)、9.2.2d)、9.1.3e)、9.3.2e)均提出了与风险控制有关的要求。如：

——4.4.1f）：与6.1条款要求相一致的风险和机遇，并策划和实施相应措施予以应对；

——5.1.1d)：推进过程方法及基于风险的思维的应用；

——5.1.2b)：确定并应对可能对产品和服务的符合性以及增强顾客满意能力带来影响的风险和机遇；

——6.1.1：策划质量管理体系时，组织应考虑4.1条款提到的问题和4.2条款的要求，确定需要应对的风险和机遇；

——6.1.2：组织应策划：a)应对风险和机遇的措施；

——9.1.3e）：应对风险和机遇所采取措施的有效性；

——9.3.2e)：应对风险和机遇会所采取措施的有效性。

标准要求组织的最高管理者“推进过程方法及基于风险的思维的应用”；要求组织“确定需要应对的风险和机遇”、“确定并应对可能对产品和服务的符合性以及增强顾客满意能力带来影响的风险和机遇”；“策划对这些风险和机遇的控制措施”且“所采取的应对风险和机遇的措施都应与其对产品和服务符合性的潜在影响相适应”；分析评价“针对风险和机遇所采取措施的有效性”；评审“应对风险和机遇所采取措施的有效性”。

二、        正确理解风险及风险控制

1、什么是风险

风险指对预期结果的不确定性的影响。影响是指偏离预期，可能是正面的或负面的。不确定性是一种对某个事件、甚至是局部的结果或可能缺乏理解或知识的信息的状态。通常风险表现为参考潜在事件和后果或两者的组合。风险以某个事件的后果组合（包括情况的变化）及其发生的可能性的词语来表述。

2、组织面临风险的分类

1）按风险的层次分：

——组织风险：发生在组织实体及活动层面，实体层面可以是外来的，也可以是内部存在的；活动层面对个人和部门发生影响，如输入信息和材料时的疏漏，收发货记录遗失，

    ——战略风险：指因执行一项不成功的商业计划或战略而发生的损失。其原因可能是做了错误的决策或执行决定不力；

——合规风险：与法律法规要求有关的风险。

——运营风险，包括：

    a)管理体系风险；比如一个重度依赖外包的供应链；违反安全和环保法规；

    b)顾客满意风险：顾客沟通、送货、产品本身、设计、维修以及对顾客反馈的回应方式；

    c)供应链风险：独家供应商、送货时间、库存管理；

    d)收入确认风险对利润的影响：收入确认受到诸如应付款、应收款、交货前货值记录、现金报价错误、计算表错误以及价格信息不完整的影响；

    e)信息安全风险：病毒、未加防范的文件、信息检索错误；

    f)物流风险：运输中的货损失、途中延误造成的无法交货；

g)自然灾害风险；

h)质量风险：质量方面的风险来源于产品/服务过程中影响这些特性的人、机、料、法、环，当这些因素不能控制时，必然影响产品/服务的特性，也就不能达到组织经营预期的增值目的，这就是风险。也是质量管理体系各条款描述的管控要求。

2）按风险性质分：

——纯粹风险：只有损失机会而无获利的风险。如运输过程中面临的车祸碰撞风险。

——投机风险：既有损失可能又有获利机会的风险。如投资过程中的投机风险有三种，一是没有损失，二是有损失和损害、三是盈利。

3）按风险属性分：

——财产风险：导致一切有形财产损毁、灭失或贬值的风险以及经济和金钱上的损失的风险；如设备（产品）运输过程中由于发生交通事故导致的损失。

——人身风险：由于职业健康安全风险导致的员工和相关方人员的伤亡和健康损害。

——责任风险：由于决策人、责任人、组织或相关方的疏忽或过失导致的作他人财产损失和人员伤亡。如由于安全责任履行不到位导致安全事故。

——信用风险：指在供应链或价值链体系，相关方交往过程中，供方与组织之间，由于一方违约或违法或怠慢导致的对方遭受经济损失的风险。

4）按行为分：

——特定风险：与特定的人有因果关系、且损失仅涉及特定的个人的风险；如本单位发生火灾导致他人财产损失或人身伤害所负的法律责任。

——基本风险：其损害涉及社会的风险，如与自然灾害有关的风险。

5）按产生环境分：

——静态风险：在社会经济正常情况下，由自然力的不规则变化或人们的过失行为所导致的损失和损害的风险。如洪水导致的现场道路和平台的损坏。

——动态风险：由于社会经济、政治、技术以及组织等方面发生变动所导致的损失和损害的风险，如技术进步导致原产品淘汰、提前报废的损失。

6）按产生原因分：

——自然风险：由于自然力的不规则变化导致的社会生产和生活等遭受损失的风险。异常天气导致线路结冰而发生倒塔所造成的设备损坏及电量损失。

——社会风险：由个人和团体的行为（包括过失、不当或故意）使社会生产和生活遭受损失的风险。如玩忽职守及故意破坏造成他人或集体财产损失和人身伤害的行为。

——政治风险：由于政策、制度变化或利益集团之间的冲突造成的风险。如风电和火电利益集团冲突导致风电停电率高，设备不能正常投产出力给公司造成的投资损失。

——经济风险：在产品和服务提供过程中，由于受市场供求关系、经济贸易等外部条件造成的影响，或者由于组织经营决策失误，对前期预期出现了偏差导致的经营损失。如对地区限电预估不足导致发电设备不能按计划发电导致的损失。

——技术风险：伴随着科学技术的发展、生产方式的改变而产生的威胁人们生产与生活的风险。

——质量风险：在产品生命周期或服务过程中由产品质量问题导致的财产损失。如风机质量在质保期出现批量问题导致的延长质保或配件设备更换给公司造成的经济损失。

3、组织风险的特性

风险具有以下特性：

1）客观性：即一些风险是超出人们主观意识存在的客观规律所决定的不以人的意志为转移的。

2）损坏性：风险发生后给组织或他人造成的经济损失和人身伤害，且一些损失的发生组织无法预料和确定。

3）不确定性：风险发生的时间具有不确定性。

4）普遍性：风险在人类社会生产和生活中无处不在。

5）社会性：风险与人类社会利益密切相关。

6）可测性：单一风险的发生具有不确定性，但对总体风险而言，风险事故的发生是可测的。

6）可变性：风险的变化有量变和质变。有原有风险的消失和新风险的产生。

4、风险控制

风险控制就是采取措施把握其不确定性。通过规避风险、为寻求机遇而承担风险、消除风险源、改变风险发生的可能性及结果、分担风险、通过明智决策后延缓风险等措施把风险发生的可能的不利结果控制在最小，或从中抓住机遇。

ISO31000《风险管理原则和指南》、ISO/TR31004:2013《ISO31000风险管理实施指南》、ISO31010:2010《风险管理   风险评估技术》提出了一些可选择的方法。

三、        风险控制的步骤与方法

1、风险控制的步骤

通常情况下，风险控制的步骤（流程）是：

确定组织目标——明确风险和类型——识别与组织目标的实现相关的风险（风险识别）——判断哪些是关键风险（或确定不可接受的风险）——制定并实施控制措施（采取风险管理工具来控制风险）

2、风险控制的方法

1）风险评价的方法有：专家判断法、是非判断法、对比法、等效危害负荷法、打分法、工作危害分析法、风险等级评价法等。

风险评价分为定性评价和定量评价。具体可参考ISO31010:2010《风险管理   风险评估技术》

2） 具体控制风险的方法有：

——规避风险：对已知的风险采取预防措施，防止和控制风险发生。

——为寻求机遇而承担风险：经过分析，风险与机遇并存且机遇的可能性更大时，为了抓住机遇而自愿承受风险。

——消除风险源：找出风险存在的根源（可能导致组织经济损失、财产损坏、员工和相关方人身伤害和健康损害的根源、状态或其组合），从根本上消除风险源，风险也就没有了。

——改变风险发生的可能性及结果。风险大小由其发生的可能性或造成的结果决定。通过采取措施降低发生的可能性及控制其损失大小。

——分担风险。通过保险、与相关方签订合同明确责任而转嫁风险。

——通过明智决策后延缓风险。经过分析后采取正确有措施，改变实施决策的时机，延续风险的发生，确保其在组织有能力控制时发生。

四、        我们在公司管理中采取的风险控制措施

1、 全面、充分识别组织的风险，策划并实施风险控制措施

公司结合标准转换，引入了风险控制体系，做了以下工作：

    ——分析并识别组织的风险和机遇。成立了覆盖主要业务和过程的专门临时跨部门小组，由熟悉公司内外环境、熟悉公司业务和产品相关的各专业人员组成，识别和分析各过程的风险，依据确定的规则进行评价，形成统一的《风险清单》，并对其实施动态管理。也可以按过程方法，确定各过程的相关风险，在其控制程序文件或制度中描述相关过程的风险；

    ——在日常策划、决策、运营、考核、评价、改进中关注风险，并策划风险控制的措施，针对所确定的不可接受的风险说明如何避免或消除风险？怎样规避风险？也可以在过程的相关控制文件中同时说明相关风险的控制措施，对于相对固定的业务、产品、内外环境变化频率相对小的组织，单独制定统一的《风险控制手册》，作为风险控制的依据。

    ——在实施所策划的实现目标的措施的同时，实施针对其相应风险所策划的风险措施；

     ——检查措施的有效性，评价效果，是否按策划的措施有效控制了相应风险？

     ——分析评价，吸取经验，特别是风险没有控制，依然发生了损失或伤害的失败教训，制定并实施持续改进的措施。

    2、形成公司的“风险观”，明确组织的风险偏好和风险承受能力

风险偏好是从更高角度来看一个组织所愿意承受的风险问题，即承受风险所能带来的利益与抵消风险的代价的比较。明确风险偏好有利于决定如何根据识别出来的风险进行资金分配；风险承受力与组织的特定目标有关，是一个实体愿意承受的与实现目标有关的各种变化的总和。

对于不同的风险的承受能力不同。公司每个单元的业务和产品有区别，根据实际情况和管理团队的能力和组织管理的成熟度确定公司风险管理的偏好。

2、 针对风险的层次采取与风险程度相匹配的控制措施

风险控制也有成本，也要讲究效率。如对公司层面的风险：

    针对实体层级的控制措施，通过制度建设和流程完善进行控制，如人力资源政策、员工行为准则、沟通策略、会计原则、管理层的风险评估过程、组织结构和合同评审控制风险。

针对活动层面的控制措施，通过具体的纠正措施和细化操作方式进行控制，如对财务总账与明细分类账的对账分析、各类数据的自动性验证和编辑检查、在公司内部限制保密信息的获取、在录入前对交易信息进行编号、在输入系统前对纸面信息进行审查和核对。

    天润新能去年引入风险管控，聘请专业公司分析并确定了公司全过程风险，形成了《风险清单》、《风险控制手册》、《风险管理程序和制度》，符合标准要求，关键在于落实。