战略实施闭环的最后一个环节是战略监控,涉及到内部控制。 企业内部控制是企业为保证经营管理活动的正常、有序、合法运行,对人力资源、财务、资产、流程(即人事、财务、财务)进行有效监督的一系列活动。
人力资源主要通过组织人才进行监督,财务主要通过综合预算进行控制,资产主要通过资产盘点进行控制,流程主要通过风险管理进行监控。 我们熟悉人力资源、财务、资产的内部控制,今天我们就来重点谈谈流程内部控制:流程风险管理。 每个过程都有潜在的风险,可能导致意想不到的后果。 识别和分析过程中的风险因素,评估过程中风险控制的有效性,可以帮助企业有计划地更好地防范风险。 反过来,风险管理最终有助于流程的持续改进及其执行的有效性。
那么,组织应该如何管理风险呢?
风险和流程分析可以帮助组织了解哪里可能出错以及如何处理它们。 通过识别和评估可能影响战略目标实现的因素,组织可以通过设计或优化流程来管理这些风险。
风险分析通常关注两个变量:风险发生的可能性和影响程度。 一个不太可能发生或破坏性不大的项目可能不需要太多的流程优化或风险缓解策略。 精算师借鉴保险或灾难恢复行业使用的方法,权衡风险的频率、风险的可用性以及风险预警指标的变量,以评估可能性。 鉴于为了评估影响,精算师会考虑持续时间、后果、必要的冗余水平和潜在的经济损失。
这些详细信息有助于指导风险管理计划。 本文详细介绍了如何分析风险和流程;这些信息有助于降低风险和对风险应对措施做出适当反应。
风险管理过程通常包括三个主要步骤:
1. 识别风险:风险是影响流程目标实现的一个因素,包括成本、效率以及交付的特征或能力。 它可以由任何人发起,当一个过程被识别为风险,通过管理评审,并在公司的系统中注册时"还行"完成。
2. 分析风险风险分析从风险类别(例如风险分析表)和对潜在结果的评估开始。 当风险经理审查已识别的风险,评估其发生的可能性及其影响程度,并根据标准化的风险度量确定严重性时,就会承担风险"分析学"完成。
3. 应对风险:风险经理根据风险的可能性和潜在影响遵守公司治理法规。 在确定合理的风险应对策略和控制措施之前,公司可以集思广益,制定可能的风险缓解和行动计划,包括更改流程或终止。
但这些步骤说起来容易做起来难。 组织在分析流程风险方面尤其困难。 第一步是建立评估标准。
风险分析
流程风险可能来自多个来源。 政治、经济、社会、技术、立法、环境、金融、法律和物理因素都会影响组织过程。 建议公司审查外部和历史绩效数据,以识别潜在风险,从最关键的流程开始。 许多企业在审查核心流程时按类别构建风险清单以考虑。
通过潜在流程风险清单,企业可以开始衡量风险的重要性。 这是评估风险的可能性和影响的地方。 对于每种风险,企业应确定:
"频率--这种风险多久发生一次?
"可用性--当风险发生时(季节性、销售高峰等),组织可以**吗?
"预警和改变-- 问题怎么会逐渐或突然变得严重?企业能否及时做出反应?
"期间--事件将持续多长时间(有限或直到采取某些行动)?
"后果--影响的业务范围有哪些(产品质量、进度、设备安全、客户满意度等)?
"潜在的经济损失--风险造成的经济损失是什么?
风险分析表
有了这些答案,流程优化或风险管理团队(在本文中简称为风险经理)就可以开始对每个风险进行评分。 建议创建一个风险分析表来评估和审查标准,并最终分配风险评分。 图 1 提供了如何对风险进行评级的示例。
图1 风险分析表。
为了创建**,风险经理确定风险沿垂直轴发生的可能性。 可能性的程度可能需要主要业务专家和流程经理的输入。 企业可以设定标准来衡量风险水平,例如 5% 几乎不可能,10% 表示不太可能,25% 表示可能,50% 表示可能,75% 表示几乎肯定会发生。
然后,他们确定风险沿横轴的影响。 企业可能有衡量影响的术语,例如流程范围、潜在的财务损失和对进度的影响。
图 2 列出了可能的术语。 对于每个术语,公司还需要制定分类标准。 例如,在评估对进度的影响时,企业可能会认为没有额外的时间意味着可以忽略不计,一天是次要的,三天是中等的,一周是主要的,更长的时间是关键的。
图 2 潜在影响项。
最后,风险管理者根据风险地图中风险发生的可能性和影响,对地图上的风险进行颜色编码,以引起人们对最紧迫问题的关注。
分析流程的可靠性
在分析了潜在风险后,风险经理可以分析流程本身以提高其可靠性。
一个过程的活动越多,它就越脆弱。 提高流程有效性的关键是简化和消除不合理的步骤。 但是,企业如何知道什么是不合理的呢?他们如何识别冗余和/或不必要的过程变体?建议使用两种技术来分析过程可靠性:六西格玛万无一失和故障安全以及故障模式和影响分析(FMEA)。
1. Poka Yoke(万无一失和防错):
万无一失通常用于精益管理,这是一种避免接受流程中的缺陷、创建缺陷或将其传递给下一个流程的技术。 一般来说,万无一失是一种简单、成本相对较低的自动化技术,它试图确保一切都是万无一失的,并防止错误进入流程并成为缺陷。
在这种技术中,风险经理检查流程中是否存在可能的问题。 对于绘图过程中的每个元素,管理人员都会附加一个控件或警告。 警告是在流程活动超过其预定范围或阈值时引发的警报。 控制是风险经理为防止缺陷而指定的实际行动。 这种防错方法最初仅适用于制造过程,但已被证明是一种有效的管理人员方法,通过查看系统中的哪些操作可能会出错。 由此产生的流程图修订版可以指导组织对风险的响应。
2. 失效模式及影响分析(FMEA):
失效模式和影响分析(FMEA)是一种用于逐步识别设计、过程或产品服务中的故障的技术。 "故障模式"指某些东西可能因错误或缺陷而失败的方式或模式。 "影响分析"指对这些失败的后果的研究。 FMEA 的目的是消除或减少故障,从最高优先级的故障开始,然后通过流程优化来控制记录的风险。
风险管理人员根据后果的严重程度、发生的频率以及检测的难度来确定故障的优先级。 工艺技术越高,可能的故障模式就越多。 通过高级系统绘制、仿真和可视化,过程的系统视图可以帮助识别可能发生的风险。
FMEA并不适合所有过程。 它最适合产品开发和技术流程。 FMEA 通常在流程重新设计、新应用、控制计划、流程优化或定期审查故障后进行。
流程风险缓解
在分析了潜在风险和核心流程后,组织可以针对风险进行定位,通常从最关键的风险开始。 图 3 详细说明了响应措施的类别,以确保组织的响应是可接受的。
图3 应对措施类型