作为高技术服务业,检验检测服务行业具有技术含量和附加值高、创新性强、发展潜力大、辐射带动作用突出等特点,是现代服务业的重要内容和高端环节。
当前,国民经济和社会活动对检验检测服务的需求日益增长,已成为我国快速增长的服务业之一。然而,蓬勃兴起的背后风险难掩。作为受政策影响程度较高的行业,检验检测服务行业无可避免面临着政策风险;作为技术密集型行业,检验检测服务行业毋庸置疑存在着技术风险;作为市场经济催生的行业,检验检测服务行业毫无疑问面对着财务风险等等。
本文是拟制定相关标准的基本内容,旨在介绍检验检测机构风险管理的理念和方法,以为从业机构应对风险、有效配置和使用风险管理资源,实现有效管理风险提供参考,并希望得到读者的批评和建议,以便我们研制出更适宜于我国检验检测机构使用的风险管理标准。
机构存在的意义在于为其利益相关者提供价值。机构的活动可以创造、保持或破坏价值。通过把人力、物力、资金、技术、品牌等资源配置到能够产生比过去更多利益之处,会创造价值;通过更高的产品质量、服务质量、生产能力和顾客满意度以及其它方式可以保持价值;当战略失误、执行不力或不可预见的因素导致目标不能实现时,就会破坏价值。
机构的活动和目标有不确定性,面临来源于内外部的因素的影响,管理层需要确定机构可以承受多大的不确定性。现代的管理学认为,不确定性既代表风险,也代表机会。风险管理使机构能够有效地应对不确定性以及由此带来的风险和机会,增进创造价值的能力。通过优化内部环境,制定合理的目标和战略,追求利益和风险之间的最佳平衡,并且在实现机构目标的过程中高效率和有效地配置资源,可以实现价值最大化。
通常将风险管理涉及的构成要素分为八项,包括内部环境、目标设定、事项识别、风险评估、风险对策、控制活动、信息沟通、监督和检查。风险管理是组织管理的有机组成部分,融入组织的文化和行为,贯穿于组织运营的全过程。典型的风险管理过程(见图1)包括:明确环境信息,确定风险管理的目标、范围和管理准则;进行风险识别,风险分析,风险评价,提出风险评估报告;选择、确定风险应对措施并按计划实施;对实施政策、程序和效果进行监督和检查,不断完善和改进风险管理体系。
图1 风险管理过程
3.1概述
内部环境因素包括机构的风险管理理念、风险容量、监督、诚信、价值观、胜任能力,以及机构分配权力和职责、组织实施活动、促进员工发展的方式。机构的管理基础是人的认知、素质、诚信、道德、能力水平等,管理效率取决于组织结构、流程设计、职责分配、资源、文化氛围等。因此,识别内部环境存在的风险、优化内部环境是风险管理的基础。内部环境是其它风险管理构成要素的基础,为其它要素提供约束和架构,其影响机构的目标和战略如何制定,运营活动如何组织,风险如何识别和评估,以及控制活动、信息与沟通体系和监控体系如何设计与实施。
3.2组织与管理
组织结构是机构计划、执行、检查和改进其活动的框架,包括确定权力与责任的范围、相互关系和报告途径等。组织结构的设置应适宜于其规模、所从事活动的性质。权力与职责的分配涉及到个人和团队发挥主动性去识别问题、指出问题和解决问题的程度,以及对他们权力的限制。确立报告关系和授权程序、明确方针政策和目标、保证关键人员的胜任能力、保证为履行职责提供资源是组织管理的关键要素。
组织风险管理体系的作用是既要保证目标、决策应基于合理的风险评估而作出,也要保证风险评估和风险应对的过程应合理、规范,以降低、控制不确定性。同是,要确保所有的人员都了解机构的目标,每个人均清楚他们的行为在彼此之间有什么关联和对实现目标有什么作用。
3.3 人员能力
内部环境极大地受个人对他们所承担责任的认识程度、行为方式和能力的影响。管理层应明确所有岗位的胜任能力水平,即明确实现规定任务所需要的知识和技能。需注意,对人员能力需进行持续培训、教育和评估,仅雇用胜任的人员和提供岗前培训是不够的。对管理层而言,强调岗位胜任能力,表明了机构对胜任和可信任人员的承诺,应有奖惩政策。
3.4诚信和职业道德
风险管理的有效性不可能脱离人的诚信和职业道德。诚信和职业道德是关键要素,它影响机构风险管理其它构成要素的设计、管理和监控。利益之间多是互相矛盾的,人员的价值观决定了利益的取舍偏好。因为利益关系的复杂性,树立诚信、良好职业道德和价值观通常很困难,需要平衡多方面的利益。管理层的诚信和职业道德是机构建立诚信和职业道德的先决条件。如果不能通过管理层的行为和表率作用提供更有效的保证,仅有书面的行为规则、员工接受和理解的文件和适当的沟通渠道,不能确保规则被遵守。奖惩机制对于保证员工遵守规则也很重要,比如处罚违反规则的员工、鼓励员工主动识别和报告所怀疑事项的员工、惩戒知情不报的员工等措施。
3.5 企业文化
企业文化是组织在经营活动中形成的经营理念、方针、目的、行为、形象,以及价值观、社会责任等的总和。企业文化具有个性化特征,是组织生存、竞争、发展的灵魂。企业文化最本质的内容是强调人的理想、道德、价值观、行为规范在管理中的核心作用,强调在管理中通过理解人,尊重人,关心人而达到“从要我做到我要做”的自觉意识。企业文化建立与传承的关键是管理层对文化的认识和表率作用。
风险管理文化建设应融入企业文化建设全过程。机构应高度认识培育和塑造良好风险管理文化的价值,树立正确的风险管理理念,增强员工风险管理意识,将风险管理意识转化为员工的共同认识和自觉行动,以促进机构建立系统、规范、高效的风险管理机制。在风险管理中,如果不能建立起员工的自觉意识,则难以实现管理目标。
3.6风险管理理念
风险管理理念是组织共同的信念和态度,它决定着一个组织在做任何事情(包括从战略制定、执行到日常活动)时如何考虑风险、承担哪些风险以及如何管理这些风险。风险管理理念反映了组织的价值观,影响其文化和经营风格。
当风险管理理念形成、被接受并传化为员工的自觉意识时,机构就能有效地识别和管理风险。鉴于文化的差异,机构的风险管理理念在不同部门、不同人员、不同活动之间,仍会存在风险管理应用方面的差异。
4.1概述
风险是机构实现目标的不确定性,机构需要在识别可能影响其实现目标的风险之前确定目标。机构目标的设定与风险管理密切相关,收益与风险往往成正比。机构应按适当的程序设定目标,既保证所设定的目标与机构的使命、愿景协调,也保证符合机构的风险偏好。
检验检测服务的目标可按战略目标、运营服务目标、数据可靠性目标、法规标准符合性目标进行分类和管理。目标的分类是相对的,某一类别中的一项目标可能会与另一类中的一项目标交叉或相互支持;一项目标所归属的类别也可能跨多种属性。
恰当的目标设定过程是机构风险管理的关键构成要素。机构不仅要确定目标并考虑其与机构使命、愿景的关系,而且要保证其与机构的风险容量相协调。此外,在实现目标的过程中,应设定风险容限,即可接受的偏离实现目标的程度。在确定风险容限时,应考虑相关目标的相对重要程度,并使风险容限与风险容量相协调,即只要在风险容限之内,不突破机构的风险容量应可得到保证。
4.2 战略目标
应符合机构的使命、愿景,是机构的高层次目标,是制定机构发展战略和各相关目标的依据。战略目标的确定过程应基于风险评估,应保证机构有较大的可能性实现其期望。战略目标通常是相对稳定的,它的实施战略和相关目标是动态的,会随着内部和外部条件的变化而调整。
4.3 运营服务目标
应体现机构运行和服务的质量、有效性和效率,如提交检验检测报告的期限、投诉的处理时间、环境指标、安全指标、客户满意度等,目标应明确、可评价、可考核。机构应保证运营服务目标支撑机构战略目标的需求,与机构的资源和能力相匹配,反映市场需求,具备竞争性。经营服务目标是机构配置资源的重要依据,如果其不明确或不合实际,将会严重影响机构的资源配置。
4.4 数据可靠性目标
数据可靠性不仅包括与检验检测结果相关的数据、报告的可靠性,也包括各种运行和服务质量参数、监控报告、财务报告、内部信息、报告信息、公开信息等的可靠性。数据是决策的依据,也是机构服务的输出,应准确、完整,实现数据的功能并向管理层决策提供客观依据。
4.5 法规标准符合性目标
符合相关的法律、法规和标准是对机构的最低要求,检验检测机构涉及的法规标准包括工商注册、经营、检验检测服务、资质、商务、价格、税收、合同、安全、环境、职业健康、员工福利、保险等等,是机构维持其运营资格的必要条件。机构应追踪、识别适用的法律、法规和标准,及时纳入其管理要求。在进行风险评估时,首先应评估与法规标和标准的符合性。
5.1概述
事项是源于组织内部或外部的影响目标实现的事情或事件。事项可能有负面影响,即风险,也可能有正面影响,即机会,或两者兼有。在目标或战略制定过程中,要同时考虑风险和机会,以规划行动减低或避免风险而抓住机会。
外部事项是机构所处整体环境的历史、现在和未来变化的各种事项的总和,比如法律、法规约束和变化,技术、金融和自然环境,外部利益相关者的诉求、价值观、风险承受度,利益相关方之间的关系,国际、国内、地区的政治、经济、文化等相关因素等。
内部事项是机构实现目标所面临的内在环境的历史、现在和未来变化的各种事项的总和,比如机构的方针、目标,组织结构、人员胜任能力、管理模式,机构各方面的资源配置,内部管理者和人员的诉求、价值观、组织文化和风险承受度,人员面临的利益冲突和压力,风险准则,风险评估和绩效评估等。
应意识到事项彼此之间的关系是复杂的,很少有孤立发生的事项。
5.2 事项的不确定性
事项的发生和其后果具有不确定性,通常用发生概率和严重性综合表征事项的风险。在事项识别的过程中,对发生频率高的事项,应充分评估其对风险容量的贡献,合理设置风险容限;对后果严重的事项,应谨慎设置风险容限,即使发生的可能性比较低,也不可被忽略。需注意,事项并非总能事先被识别出来。
5.3信息管理
宜建立基于数字化技术的信息管理系统,以提高工作效率。信息管理系统应涵盖风险管理基本流程和内部控制系统各环节,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。信息管理系统的功能宜实现对各种风险量化和分析,生成动态风险矩阵图和排序频谱,对重大风险和重要业务流程动态监控并对超过控制限的风险进行报警,满足内部信息报告制度和对外信息披露制度的要求。
信息可以通过多种方式获取,如:经验、反馈、观察、预测和专家判断等,利用信息时应考虑信息的来源和其代表性。实现信息在各职能部门、业务单位之间的集成与共享,既满足单项业务风险管理的要求,也满足机构整体和跨职能部门、单位的风险管理综合要求。
(未完待续)……