一、企业安全认证的发展
2006年,世界客户组织(World Customs Organization,WCO)以WCOSAFF(Framework of Standards to Security and Facilitate Global,SAFE)标准架构实行优质企业(Authorized Economic Operator,AEO)安全认证,以提供更加安全的供应链管理系统,针对国际贸易交易上的所有参与者,通过各国海关设定准则的AEO安全认证资格,以确保货物从原产地至目的地的全球供应链安全。在这种背景下,国际间各国已陆续实行“优质企业安全认证”计划,国际贸易是我国经济发展的重要组成部分,应配合国际贸易安全发展趋势,以提升我国经济贸易的竞争力。
我国的AEO优质企业安全认证制度对申请的企业有基本的门槛要求。对于进口业、出口业、制造业、仓储业、运输业、货运承揽业、港口经营业等十大行业,各有其应符合的项目。想要取得AEO认证的企业,必须建立一套安全管理的制度,对于曾经通过国际标准化组织(International Organizationfor Standardization,SO)认证的企业,会相对容易的将AEO要求转换为企业内要求。其中,优质企业安全审查项目及验证基准共包括十四大项审查,具体内容包括200余项的验证基准。天水星火机床有限责任公司走上国际化经营的道路,先后收购法国索玛公司、意大利高嘉公司、参股德国亨利安公司等,在欧洲建立了销售、研发中心,产品也销往全球,那企业风险管理与安全控制就很重要,为此企业从销售,技术,生产,服务各环节加强控制,确保企业高效运行。
二、风险管理的需求及步骤
(一)风险管理
WCOSA规范内容中的主要精神就是要求各国海关以风险管理为基础展开各项导入工作的建议,以确实维护货物全程供应链的安全。风险被定义是某项足以影响目标达成的事件发生的可能,以影响程度及发生机几率加以衡量。风险不完全有害,因为风险往往伴随着机会。但风险容易或影响阻碍管理者和组织实现其经营目标,在极端情况下甚至能够摧毁组织。然而,货物在供应链的移动过程中,安全管理环节众多,相关业者所提供的服务及人员复杂,货物在不同界面中移转,若仅依靠法令规范或待由执法单位稽查,难以全面性的防止货物于供应链上遭到非法活动介入或破坏。
风险也不仅是“发生坏事",有的风险是失去了的潜在的业务机会,对组织来说,不仅代价昂贵,也是致命的。实质上,成功的经营需要把组织的资产和资源与风险结合起来,以实现组织策略和经营目标。因此,有效的风险管理是帮助组织理解和提前对经营风险做出响应,以便更好地实现目标。
(二)步骤
一般来说风险管理的实施,主要分为五大步骤:
(1)建立风险管理执行背景体系。此步骤主要为建立企业策略及组织的关联性,包含:建立环境要素、建立机会要素、建立风险管理架构、发展风险评量标准、定义风险分析对象。
(2)风险辨识。辨识风险方面,1932年美国政治学家加拉斯维尔最早提出的一套传播模式,经过人们不断应用逐步形成一套成熟的"5W+1H"模式,亦称六何分析法,是一种思考方法,也可以说是一种创造技术,都要以原因、对象、地点、时间、人员、方法等六个方面提出问题进行思考。例如,风险为何发生、何种风险会发生、何处发生、何时发生、谁造成的及如何发生的,以作为更进一步的分析。
(3)风险分析。首先确认既有的风险控管机制,并计算出风险发生的几率及评估风险等级后,即可评量事件发生所产生的影响。
(4)风险评量。风险层级可以最普遍的高、中、低三种层面显示,在比较复杂的环境可以1~100显示其层级的高低。
(5)风险处理。列出、评估及选择风险对策,接受并监督不须优先处理的较低风险,对于须优先处理的高风险则衡量人力、财力及技术资源订定管理计划,并据以执行实施。
三、风险评估
风险评估是指在风险事件发生之后,对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。从我国情况来看,自2009年底起开始导入实施AEO以来,已构建起“须就其营业事项涉及的供应链安全”、“定期从事风险评估”、“建立适当机制,以减少风险发生的几率”等规定,实行国际通用供应链安全风险评估工具,并且搭配供应链商业伙伴管理机制,建构起了一套完整的风险评估作业方式。
虽然风险评估的精确性很重要,但对风险作精密、详尽的量化也可能是不利的,因为这样的风险衡量过程,容易使评估工作变得复杂并延迟了评估进程。所以,以“风险对实现组织目标影响”和“风险发生的可能性”作为基础,对风险进行量化和分级将是较有助益的方式。安全风险评估的五大因子包括:资产价值(Asset)、威胁等级(Threat)、弱点(Vulnerability)、后果(Consequence)和可能性(Likelihood)。评分标准设定依据五项风险评估因素进行评分标准设定,将等级划分为5个等级,即极低度风险、低度风险、中度风险、高度风险与极高度风险,最低等级1分至最高等级5分。
对于其它的风险,可用复杂的财务或日常的方法来为组织衡量风险。风险的量化在风险管理过程中,可能也是非常重要的。极高度风险应该放在被关注的首位,并需要立即采取行动;当风险被定位成低度风险时,就可以很少提交给有关人员进行检查,控制也可能会由此减少。按照这样一个简单的风险优先排列顺序,企业在风险管理上就可充分的利用时间、资金和资源,完成更好的风险管理的目标。
四、结语
从实务的角度来看,企业在建立风险情境时,建议须以集体会议意见法,先针对企业的资产检视并做分类,接着分清楚外部或内部的风险因子,再依据各部门对风险辨识所产生的后果做说明,最后针对资产价值、威胁等级、弱点、后果和可能性作等级评量,得出正确的分数,以建立过合企业自身的风险评估鉴别表。最后,列出、评估及选择风险对策,接受并监督不须优先处理的较低风险,以执行完成风险管理目标。在风险管理实施的流程中,不断地与供应链利益相关者进行协商与沟通,如员工、客户、商业伙伴等,以持续改进风险辨识、风险分析、风险评量等有关风险评估的工作,并应监督及检讨风险管理系统的效能,借助由美国学者爱德华兹?戴明提出“戴明环”模式来规划(Plan)、实施与运作(Do)、检查与矫正(Check)、审查与改进(Act),进行持续改善控制,最终实现实施成效,并使其成为下一个风险管理循环流程的基础。
(作者单位为天水星火机床有限责任公司)
