因此,所謂風險管理的「哲學」與「想法」,不外乎來:
1. 辨識風險
就能力/想像力所及,找出各種潛在危害情境
設定目標或能夠忍受的水準
用各種量性或質性的手法與工具,來表達或衡量風險的大小
2. 風險管理
不同類型的風險,看看有哪些因應對策
分工介面與權責協調
因應流程與機制確認
3. 建立組織、制度和系統
BS-25999
COSO
ISO-31000
感覺一些風險管理專家所認知的”風險”,像是一個具有”固定”形態的怪獸(不同類型的風險,可視為不同品種的怪獸),我們可以經由各種工具表單,乃至於數學統計公式,估算出不同類型風險對於特定公司企業而言,其殺傷力的絕對值大小乃至於發生可能性的機率值
特別是那些工程背景出身的專家,往往從可靠性的角度來談安全與風險,他們的觀念認為:防呆措施越多、零件單元可靠度越高(平均失效時間越長),代表最後出錯的機率越低。
以上這樣的觀點,乃至於結合失誤樹和布林代數來估計失效或然率,用在自然科學的範疇、看待工程機械設備沒有太大的問題。
而所謂的風險,特別是指人禍方面的風險,可謂是社會科學的範疇;用以上自然科學的可靠度觀念來談、來看,其實一點都不可靠!
人禍(或說是所謂的結構性問題與共犯結構)的風險,要從所謂”系統”的角度來思考,看的是在此一背景脈絡/環境下,長期運作所形成的「均衡」和「轉速/水準」
所以風險評估的重點不是去估算損失的嚴重度和發生的機率或拿著Checklist逐條確認哪些東西與機制別的(世界一流)公司有做,我們還沒有
目前(內部)運作水準/轉速,與外部環境變遷的水準/轉速 兩者之間的落差和適配性(fitness)才是評估與注意的重點,例如:
1. 新進人員對於內部運作不熟悉(水準/轉速低),期待他馬上手/承接複雜工作(要求水準/轉速高),兩者間的水準與轉速不適配(fit),當然會出事
2. 企業原先處的產業是一個寡占穩定的環境,然而隨著新技術的出現,此一產業開始萎縮或出現新的對手,所處產業環境競爭態勢(所要求的水準和轉速)出現極大變化,能否跟得上與適應成為企業存活的關鍵
3. 上有政策/下有對策與人亡政息:組織有其慣性與惰性,政策作為往往淪為一時的熱鬧,一些刺激與制度的目的在於期望能夠改變原有運作水準與運轉速度,然而以系統的角度來看,整體運作終究要回歸平衡與有其極限
從以上轉速水準適配的觀點來看,所謂的風險和安全,不存在一個絕對的標準數值=>因為系統自己與系統外部環境,兩者的水準轉速都在持續改變;要注意的是兩者間的差距的突然轉變。
這樣的風險鑑別與評估,要看組織結構面、內部資訊的流通與決策流程,要做很多”田野”實地的觀察與訪談,訪談人員要能夠察言觀色,具備高度的情境敏感度(需要人類、社會與心理學家)。
外部的環境變遷,看的則是內部企業營運模式(business model)、產業結構與產業變遷,要收集與全是解讀很多產業經濟數據的變化(所代表的意義),分析人員要對總體態勢變化有敏感度,甚至能夠建立模型來推敲未來變化的情境。(需要的是總經與產業分析的人才)
沒有留言:
張貼留言