7.1.3 风险管理
7.1.3.1 SMS应包括一个管理过程,用以识别、评估和缓解组织、人员和技术风险。
7.1.3.1.1 SMS应展示整体风险管理过程、缓解措施和由此产生的运行风险之间的联系。
7.1.3.2 制造商应记录其风险管理过程和活动,并考虑相关标准和最佳实践,包括:
(a) 风险识别(例如,ISO 31000第6.2条);
(b) 风险分析(例如,ISO 31000第6.3条);
(c) 风险评估(例如,ISO 31000第6.4条);
(d) 风险应对(例如,ISO 31000第6.5条);
(e) 保持风险评估最新的过程;以及
(f) 对组织安全绩效和安全风险控制有效性的评审。
ISO 31000《风险管理-指南》
6.2 沟通和咨询
沟通和咨询的目的是协助利益相关方理解风险、明确作出决策的依据以及需要采取特定行动的原因。沟通旨在促进对风险的认识和理解,而咨询涉及获取反馈和信息以支持决策。两者之间的密切协调应该促进真实、及时、相关、准确和可理解的信息交换,同时需要考虑信息的保密性和完整性,以及个人的隐私权。
与适当的内外部利益相关方进行沟通和咨询,应在风险管理流程的所有步骤内和整个流程中进行。
沟通和咨询的目的是:
- 为风险管理流程的每一步带来不同领域的专业知识;
- 在确定风险准则和评估风险时,确保适当考虑不同的观点;
- 提供足够的信息来促进风险监督和决策; - 在受风险影响的相关方中建立包容性和责任感。
6.3 范围、环境和准则
6.3.1 概述
确定范围、环境和准则的目的是针对性的设置风险管理流程,实现有效的风险评估和恰当的风险应对。范围、环境和准则涉及界定流程的范围并理解内外部环境。
6.3.2 定义范围
组织应该确定其风险管理活动的范围。
由于风险管理流程可能适用于不同的层面(例如战略、运营、计划、项目或其他活动),因此重要的是明确所考虑的范围、相关目标以及与组织目标的一致性。
在规划时,考虑事项包括:
- 目标和需要作的决策;
- 预期在每一步流程中取得的成果;
- 时间、地点、具体包含和除外的内容;
- 适当的风险评估工具和技术;
- 需要的资源、责任和记录;
- 与其它项目、流程和活动的关系。
6.3.3 外部和内部环境
外部和内部环境是组织制定和实现其目标的土壤。
风险管理流程的环境应根据对组织运行的外部和内部情况的理解来确定,并反映适用风险管理流程的具体活动情况。
了解环境很重要,因为:
- 风险管理是在组织目标和各项活动的环境下进行的;
- 组织本身的因素可能是风险的来源;
- 风险管理流程的目的和范围可能与整个组织的目标相互关联。
组织应考虑5.4.1中提到的因素,建立风险管理流程的外部和内部环境。
6.3.4 定义风险准则
相对于目标而言,组织应该明确承担风险的数量和类型。还应该定义评估风险重要性水平和支持决策过程的准则。风险准则应与风险管理框架相一致,并根据具体活动的目的和范围进行针对性设计。风险准则还应反映组织的价值观、目标和资源,并与风险管理的政策和声明保持一致。根据组织的义务和利益相关方的考虑来定义准则。
尽管应在风险评估流程开始时制定风险准则,但它们是动态的,必要时应不断审查和修订。
要设定风险准则,应考虑以下内容:
- 可能影响结果和目标(包括有形和无形)的不确定性的性质和类型;
- 如何定义和衡量结果(包括正面和负面)和可能性;
- 时间相关因素;
- 衡量准则使用的一致性;
- 风险水平如何确定;
- 如何考虑多种风险的组合和序列;
- 组织的风险容量。
6.4 风险评估
6.4.1 概述
风险评估是风险识别、风险分析和风险评价的整个过程。
风险评估应该借助利益相关方的知识和观点,系统的、反复优化并协作的开展。风险评估应该使用最好的可用信息,并在必要时辅以进一步的调查。
6.4.2 风险识别
风险识别的目的是发现、识别和描述可能有助于或妨碍组织实现目标的风险。相关的、适当的和最新的信息对于识别风险很重要。
组织可以使用一系列技术来识别可能影响一个或多个目标的不确定性。应考虑以下因素以及这些因素之间的关系:
- 有形和无形的风险;
- 原因和事件;
- 威胁和机会;
- 短板和长板;
- 外部和内部环境的变化;
- 新出现的风险征兆;
- 资产和资源的性质和价值;
- 后果及其对目标的影响;
- 知识和信息可靠性的局限;
- 时间相关因素;
- 参与者的偏见、假设和个人价值取向。
组织应识别风险,不管其来源是否在其控制之下。应该考虑到可能有不止一种类型的表现形式,这可能会导致各种有形或无形的后果。
6.4.3 风险分析
风险分析的目的是理解包括风险水平在内的风险性质和特征。风险分析涉及对不确定性、风险源、后果、可能性、事件、情景、控制及其有效性的详细考虑。事件可能有多种原因和后果,并可能影响多个目标。
根据分析目的、信息的可用性和可靠性以及资源的可用性,风险分析可以进行粗细程度、复杂程度不等的分析。分析技术可以是定性或定量的,也可以是定性和定量相结合的方式,这取决于环境和预期用途。
风险分析应考虑以下因素:
- 事件和后果的可能性;
- 后果的特征和强度;
- 复杂性和关联性;
- 时间因素和波动性;
- 现有控制的有效性;
- 敏感性和置信水平。
风险分析可能会受到意见分歧、偏见、风险认知和判断的影响。其他影响因素还包括所用信息的质量、所做的假设和除外条件、对技术的任何限制以及执行情况等。应该考虑、记录这些影响因素并传达给决策者。
高度不确定的事件可能难以量化,这在分析具有严重后果的事件时,可能是一个问题。在这种情况下,使用各种技术的组合通常可以提供更多的参考意见。
风险分析的结果是风险评价的基础,来决定风险是否需要应对,以及如何使用最适合的风险应对策略和方法。这些结果为未来进行决策提供了依据和参考,并且涉及不同类型和水平的风险。
6.4.4 风险评价
风险评价的目的是支持决策。风险评价涉及将风险分析的结果与既定的风险准则进行比较,以确定需要采取何种应对措施。这可能会决定:
- 不需要做任何事情;
- 考虑风险应对的不同选项;
- 进一步分析以更好地理解风险;
- 保持现有的控制;
- 重新考虑目标。
决策应考虑到更广泛的环境和背景情况,以及当前和未来对内外部利益相关方的影响。
风险评价的结果应该在组织的适当层面进行记录、传达和验证。
6.5 风险应对
6.5.1 概述
风险应对的目的是选择和实施应对风险的方式。
风险应对涉及以下反复优化过程:
- 制定和选择风险应对方案;
- 计划和实施风险应对方案;
- 评估应对的有效性;
- 确定剩余风险是否可接受;
- 如果不能接受,采取进一步应对。
6.5.2 选择风险应对备选方案
选择最合适的风险应对方案,涉及到为实现目标实施此方案带来的潜在收益,与实施成本或由此带来的不利因素之间的权衡。
在所有情况下,风险应对选项不一定是相互排斥或完全适合的。应对风险的方案可能涉及以下一项或多项:
- 决定不启动或停止实施有风险的活动来避免风险;
- 承担或增加风险以追求机会;
- 消除风险源;
- 改变可能性;
- 改变后果;
- 分担风险(例如通过合同,购买保险);
- 通过明智的决策保留风险。
选择风险应对的理由,不仅要单纯的考虑成本,应该考虑到组织的所有义务,自愿承诺和利益相关方的观点。风险应对备选方案的选择应根据组织的目标、风险准则和可用资源来进行。
在选择风险应对备选方案时,组织应考虑价值观、认知和潜在涉及的利益相关方,以及与他们沟通和咨询的最佳方式。尽管效果相同的方案,利益相关方也可能有所偏好。
即使经过精心设计和实施,风险应对方案可能达不到预期的效果,而且可能产生预料之外的后果。监督和审查需要成为风险应对方案实施的一个组成部分,以保证不同形式的应对方案持续有效。
风险应对还可能引入需要管理的新风险。
如果没有合适的应对方案或应对方案没有充分改变风险,则应记录风险并持续进行评估。
决策者和其他利益相关方应了解风险应对后剩余风险的特征和水平。剩余风险应形成记录文件并进行监测、审查、并酌情进一步处理。
6.5.3 准备和实施风险应对计划
风险应对计划的目的是明确选择如何实施应对方案,从而让相关人员了解安排情况,并对照计划进行监测。应对计划应明确确定实施风险应对方案的顺序。
应对计划应与适当的利益相关方咨询,并纳入组织的管理计划和流程。
应对计划中提供的信息应包括:
- 选择应对方案的理由,包括获得的预期效益;
- 负责批准和实施计划的人员;
- 建议的行动;
- 所需资源,包括意外事件;
- 绩效评估;
- 约束;
- 所需的报告和监测;
- 何时开始和结束。
10个月宝宝每天需要喝多少奶粉?
