基于ISO/TS22163國際標準的風險管理體系淺析

陳青斌

摘 要：ISO/TS22163鐵路國際標準強調風險管理的思維，基本覆蓋組織經營管理的各項活動。本文主要研究和對標ISO/TS22163標準風險要求，按照風險策劃、評估、應對和監視等規范過程，論述一套適用鐵路行業的風險管理方法，以協調和整合標準提及的風險管理要求，提高組織的風險預判和管控的能力。

關鍵詞：ISO/TS22163標準;對標;風險管理過程;風險管理體系

中圖分類號：F406.2 文獻標識碼：A

隨著軌道交通行業發展越來越快和競爭愈加激烈，客戶對產品質量的要求和期望不斷提高，基于風險管理的理念和思維愈加重要。如何在ISO/TS22163國際標準要求的風險管理框架下，全面對標和總結涉及的風險要素，總結和形成一套適用ISO/TS22163標準管理的風險管控體系，實現對組織風險系統和全面的管理，從而為企業持續有序經營、客戶滿意和產品質量提升提供有利的環境。

1 ISO/TS22163標準風險管理要求分析

ISO/TS22163標準提出了全面的風險管理要求，覆蓋了從“組織環境、領導、風險、經營、資源提供、運行、績效和改進”等管理過程。通過對照標準的評估檢查表，經統計共有53個問題項共65處提及了風險管理的要求，其中涉及2分項要求32處、3分項要求17處和4分項要求16處。為了更好地分析和概括有關風險的要求，現對標準檢查表全文涉及的風險問題項、管理實施要點及評估得分進行分析，具體如表1-1所示。

2 ISO/TS22163標準風險管理體系構建

ISO/TS22163標準要求的風險管理過程基本是貫穿組織經營管理的各層次及活動之中。通過第一章節總結提煉的整個標準關于風險管理的要求，基本上是圍繞“策劃和建立文件化風險管理過程、確定風險評估準則、識別和分析需應對的風險、評價風險、應對風險、風險監測、風險評審及更新”提出的風險管理要求。如圖2-1所示，通過明確風險管理的主要路線和活動，并采用PDCA循環的方式持續改進風險管理過程，構建一個適用于ISO/TS22163標準框架下的風險管理體系。

2.1 風險策劃

在ISO/TS22163標準的實施要求下，組織應規劃全面風險管理的范圍，覆蓋組織環境管理、領導、策劃、資源提供、運行等所有相關過程的管理。通過確立組織的“風險管理方針、程序、風險績效指標、資源分配、溝通機制和相關的風險技術手段和方法”等，形成一個規范的全面風險管理體系，以有效管理和應對組織的風險過程。結合ISO/TS22163標準的實施要求，圖2-2通過運用過程龜形圖的方法系統策劃了全面風險管理要素。

2.2 風險評估

深灰色部分的風險系數值為15～25，風險等級為A級，優先級高;

淺灰色部分的風險系數值為8～12，風險等級為B級，優先級中;

白色部分的風險系數值為1～6，風險等級為C級，優先級底。

風險一般可以在組織層面、部門層面、單個活動或特定風險中進行評估，以對組織風險全貌進行總體評價并判斷出當前的重大風險和管理上需要重點改進的風險。風險評估的步驟包括風險的識別、風險的分析和風險的評價。具體工作和要求如下：

第一，風險識別。圍繞組織的ISO/TS22163標準要求、主要的業務流程和關鍵活動，搜集、辨識出組織當前各個層面、各項重要經營活動及其重要業務流程中存在的內外部風險，并對其進行管理。

第二，風險分析。通過對ISO/TS22163標準要求的各類風險，根據風險辨識出的各項風險的屬性特征進行定性、定量的分析，包括影響程度、發生可能性等，整理、分析、判斷各類風險的管理現狀，為風險的評價和應對提供支持。一般有定性、定量或混合的風險分析方法，如常用的有FMAE分析法、矩陣圖法、風險圖法、數值評分法、混合型方法等。

分析風險發生可能性和風險影響程度時，可以分成兩個維度進行評估。橫向維度分別就“可能性的高低、影響的大小”從低到高劃分5個等級，分別賦予1-5分;縱向維度可以采用定性或定量的方法確定評估標準。

風險評價。根據風險分析評估的結果，對各項風險進行比較，確定出各項風險的風險等級和管理優先順序，以對組織的重大風險和管理上需要重點改進的風險進行應對。一般可以采用如表2-1所示的評估標準進行風險等級評價。

2.3 風險應對

針對已評估出的重大風險和其他需要重點改進的風險，組織需編制風險管理工作計劃和風險應對方案。確定統一的風險應對方案模板進行規范管理，如建立風險登記冊/風險管理表等，對風險事件、風險策略、應對措施及其負責單位、人員、應對時間和所需資源成本等進行明確，以便后期對風險應對的有效性進行監督檢查。風險的應對策略通常包括規避、轉移、減輕和接受。

2.4 風險監督和檢查

風險監督和檢查是對風險管理信息收集、風險評估、風險策略、關鍵控制活動及風險管理解決方案的實施情況進行檢查，評價風險管理工作的有效性，并根據變化情況和存在的缺陷及時加以改進的過程。監督和檢查可以是“風險管理監督部門、部門自我監督、內部審計部門監督和外部機構監督”等，檢查的項點維度可以是“制度體系建設、基本流程執行、重大風險管理、風險文化建設和風險事件整改情況”等。監督檢查完成后，各職能部門和歸口管理部門編制自我檢查情況表和組織風險管理監督檢查情況報告，并向組織領導和相關方進行溝通，必要時采取風險應對策略。

2.5 風險知識管理

圍繞風險管理過程，對組織在經營管理活動、ISO/TS22163標準要求的風險管理活動中總結、提煉一些好的經驗和做法，并應用和固化到管理當中，以起到助推管理流程優化，持續提高組織的風險應對能力和管理效率的作用。

3 ISO/TS22163標準風險管理應用

圍繞本文第二章提出的全面風險管理體系，根據ISO/TS22163標準提及的風險管理要求進行應用解析，如表3-1所示。在全面風險管理體系和程序要求下，建立統一的風險評估準則和補充專項的風險管理辦法，統一風險識別、分析、評價過程，并通過一致的管理模板規范應用到具體的管理過程當中。需要注意的是“風險的監督和檢查以及溝通和記錄”是伴隨風險管理全過程的，以不斷地促進和提升風險管理的有效性。

4 結語

任何組織都是一個開放的系統，時刻都會面臨很多不確定的因素和負面影響，日常的管理需要越來越重視風險控制意識和不斷應對各種風險及挑戰。本文在ISO/TS22163：2017標準倡導的風險思維、過程方法及PDCA循環之下，結合風險管理的規范要求，提出了一套基于ISO/TS22163：2017國際鐵路標準要求的風險管理體系和應用案例，期望能為鐵路行業制造性組織的風險管理體系構建和對標該標準起到一定的指導意義。

參考文獻：

[1]郭成恒，黃昌富，丁雪峰.制造型企業生產運作系統的風險管理方法研究與實踐[J].企業科技與發展，2012，28（15）：1-3.

[2]陸林軍，陸鍵.大型交通基礎設施風險管理方法概述[J].交通與港航，2015，2（01）：42-47+72.

[3]王穩，王東.企業風險管理理論的演進與展望[J].審計研究，2010，26（04）：96-100.

[4]趙文麗，建立內部控制風險管理體系的幾個關鍵環節[J].煤炭工程，2012，59（11）：134-135.

[5]GB/T 23694-2013，風險管理術語[S].

[6]GB/T 24353-2009，風險管理.原則與實施指南[S].

[7]GB/T 16856-2015，機械安全 風險評估 實施指南和方法舉例[S].

[8]ISO/TS 22163-2017，鐵路行業管理體系[S].