关于ISO9001:2015标准版本中风险术语的理解
李弓会老师供稿
ISO9001:2015标准从2015年9月15日发布至今,已将近9个月,目前有些企业在初审和复评时机转换新标准。本人从目前所接触新版体系审核,企业提供有关风险资料,在识别组织有关的内外部风险,识别不是很全面,经常出现缺漏。风险识别不全会影响整个风险管理过程(分析,评价和处理),本人认为应针对公司实际内外部环境情况对风险识别。
查阅相关文件,风险从来源上可分为内部风险(经营风险、资产风险、财务风险和行为风险)和外部风险(行业风险,市场风险,项目风险,政策风险和股市风险等)。从性质上来讲,分为组织所处的环境风险,过程风险(包括营运风险,授权风险,信息处理/技术风险,诚信风险,金融风险(信誉风险和流动性风险)以及决策风险(包括经营性决策风险,财务性决策风险和战略性风险)。
如管理层的风险:有企业缺乏整体战略规划和目标,或战略在分支机构和部门层面未有效分解、达成一致,导致企业整体经营缺乏明确方向;行业政策、市场环境等发生重大变化(例如:金融危机,新行业政策颁布,重大的技术革新/商业创新,竞争对手的重大举措),企业未能及时识别并采取应对措施,导致企业遭受重大损失。企业的组织架构、人员结构等不能适应企业战略的需要,影响企业经营发展。例如业务转型后,缺少精通新业务的专业人员。企业的组织架构、人员结构等不能适应企业战略的需要,影响企业经营发展。例如,业务转型后,缺少精通新业务的专业人员。采购成本、维护成本、管理费用等过高,影响企业经营效益。
生产风险:因设备质量问题、设备老化、维护或使用不当等原因,造成设备设施故障,导致业务中断或影响业务效率。比如车辆故障,造成送货延迟。在仓储、包装、搬运、运输过程中管理和操作不当,导致货物出现损坏、变质、遗失。设备设施、信息系统等技术过时,不能适应业务发展需要。例如,车辆老化,油耗水平高;未使用电子标签技术,人工管理标签成本高、效率低。
运营风险:客户订单或其它需求处理不及时,或在服务过程中缺乏及时有效的跟进管理,影响服务质量和客户满意度。例如:订单录入不及时,未及时发货;未与客户确认并处理特殊需求;发错货物;单据丢;退货/投诉处理不当。服务质量和服务水平低下,客户满意度降低,影响经营业绩。
特殊事件风险:季节性特殊事件---例如春运影响交通运力、春节返乡造成员工不足,社会公共事件(例如举办重大会议造成交通限行)、自然灾害(例如雪灾影响交通运力等,对企业运营管理、服务能力、服务质量造成不利影响。
人员健康安全:因培训不足、管理失误、人员违规操作或工作条件不当,影响员工健康,或造成人员死亡或其他伤害。
资产安全风险:保管或操作不当等,导致货物、设备丢失、受损。
信息系统运营维护风险:信息系统硬件损坏(例如:服务器宕机;硬盘损坏)造成数据丢失、业务中断;或因电力、网络服务问题导致信息系统 无法运作,造成业务中断。
人员风险:招聘不当或企业内部员工培养发展不力,造成企业在关键岗位缺乏足以胜任的员工,影响企业经营;人员流失风险:因用工环境、薪酬水平或其它原因(例如春节返乡),大量人员或重要岗位/核心人员流失,影响企业正常经营。
激励机制不当风险:绩效考核的合理性、公平性不足,或缺乏有效的配套薪酬体系、晋升机制,影响员工工作积极性,导致核心人员流失。
职业道德风险:分支机构负责人、财务负责人、资金出纳、采购、工程、销售、仓管等关键岗位管控不到位,导致管理人员利用职务 便利损害企业利益。例如:1)采购中存在吃回扣、串标、 围标、向关系户高价采购等舞弊或利益输送行为,导致企业损失;2)销售人员与内、外部人员勾结,将客户需求交给竞争对手,或利用企业资源开展私人业务,侵占企业利益;3)财务人员盗用、挪用公司资金;4)仓库管理员监守自盗等。
合同管理风险:1)未经适当授权对外签订合同,给企业造成损失。例如:未经授权签订对外担保合同。2)合同拟订、审核、签订把关不严,造成企业损失。例如:合同条款显失公平;签订合同的目的、主体资格、内容不符合法律和政策的要求。
合规应对风险:没有通过工商、税务、消防、环保、交通、车辆管理等管理机构的检查,导致企业遭受经济处罚、经营中断。
信息泄露风险:企业重要商业信息、客户资料或技术机密外泄,给企业带来损失。例如,客户快递信息被盗卖,导致客户遭受欺诈。信息系统硬件损坏(例如:服务器宕机;硬盘损坏)造成数据丢失、业务中断;或因电力、网络服务问题导致信息系统无法运作,造成业务中断。
控制环境不足:企业内部风险管理意识欠缺,存在领导“一言堂”,特权文化、裙带关系、领导违规操作和越权管理等现象普遍,缺乏适当的内部管理环境和企业文化。
企业应结合各自的行业特点与产品和服务特性选择合适方式来识别,是否存在相关风险和影响程度,只有这样企业才能进一步制定有效的应对措施。