风险评估的构成、作用及识别方法：多学科综合应用

通过风险评估，决策者和相关方可以更深入地了解可能影响组织目标实现的风险以及现有风险控制措施的充分性和有效性，为确定最合适的风险应对方法奠定基础。风险评估的结果可以作为组织决策过程的输入。 #

风险评估是一个完整的过程，由风险识别、风险分析和风险评价组成（见图1）。这个过程的开展方式不仅取决于风险管理过程的背景，还取决于开展风险评估工作所采用的方法和技术。

#

由于各类风险的原因和后果差异很大，风险评估通常涉及多学科方法的综合应用。 #

1.2 风险识别

#

风险识别是发现、认识和记录风险的过程。风险识别的目的是识别可能影响系统或组织目标实现的事件或情况。一旦识别出风险，组织应识别现有的控制措施（如设计特征、人员、流程和系统）。风险识别过程包括识别风险源、影响区域、事件及其原因以及可能对目标产生重大影响的潜在后果。风险识别方法包括：●基于证据的方法，如检查表和历史数据审查；●系统团队方法，如专家团队可以借助一组结构化的提示或问题系统地识别风险；●归纳推理技术，如危险和可操作性分析（HAZOP）。组织可以使用各种支持技术来提高风险识别的准确性和完整性，包括头脑风暴和德尔菲技术。无论实际使用哪种技术，关键是要认识到整个风险识别过程中人为因素和组织因素的重要性。因此，偏离预期的人为因素和组织因素也应包括在风险识别过程中。

1.3 风险分析

#

1.3.1 概述

#

风险分析可以加深对风险的理解。它为风险评估提供输入，以确定是否需要解决风险以及解决风险的最适当策略和方法。风险分析应考虑风险的原因和来源、风险的后果及其可能性，确定影响后果和可能性的因素，并考虑现有的风险控制措施及其有效性。然后根据风险的可能性和后果确定风险水平。一个风险事件可能有多种后果，这些后果可能会影响多个目标。附录B提供了一些常见的风险分析方法。对于复杂的应用，可能需要同时使用多种方法。风险分析通常涉及估计风险事件的潜在后果及其相关概率，以确定风险水平。在某些情况下，例如当后果微不足道或概率极低时，单一估计可能足以进行决策。在某些情况下，风险可能是一系列事件的结果或由一些难以识别的特定事件触发。在这种情况下，风险评估的重点是分析系统每个组件的重要性和脆弱性，以确定适当的保护和补救措施。 根据风险分析的目的、可获得的可靠数据以及组织的决策需求，风险分析可以是定性的、半定量的、定量的，或者是这些方法的组合。定性评估可以使用“高、中、低”等术语来定义风险事件的后果、可能性和风险等级。如果将后果和可能性结合起来并与定性风险标准进行比较，则可以评估最终的风险等级。半定量方法可以使用数值分级量表来衡量风险的可能性和后果，并使用公式将两者结合起来以获得风险等级。定量分析可以估计风险后果及其可能性的实际值，并根据具体情况得出风险等级的数值。由于相关信息不足、数据不足、人为因素，或者定量分析无法保证或没有必要，全面的定量分析可能并不总是可行或值得的。在这种情况下，由经验丰富的专家对风险进行半定量或定性分析可能就足够了。 如果采用定性分析，应明确说明所用术语，并记录设定风险准则的依据。即使已经实现了全面的定量分析，也应注意此时获得的风险水平值是估计值，应注意确保其准确性不偏离所用原始数据和分析方法的准确性。风险水平应以最符合风险类型的术语来表示，以方便进一步的风险评估。在某些情况下，风险水平可以用风险后果的概率分布来表示。 #

1.3.2 控制措施评估

风险的高低不仅取决于风险本身，还取决于现有风险控制措施的充分性和有效性。在评估控制措施时，需要回答以下问题：针对某一特定风险，现有的控制措施有哪些？这些控制措施是否足以应对该风险，能否将风险控制在可接受的水平？在实践中，控制措施是否按预期的方式正常运行，在需要时能否证明其有效？某一特定控制措施或一组相关控制措施的有效性水平可以定性、半定量或定量地表达，但在大多数情况下，很难保证较高的准确性。然而，表达和记录风险控制效果的测量值却是很有价值的，因为这些信息有助于决策者在改进现有控制措施、实施不同的风险应对措施时进行比较和判断。 #

1.3.3 后果分析

#

后果分析通过假设发生了特定的事件、情况或环境来确定风险影响的性质和类型。一个事件可能具有一系列严重程度不一的影响，并可能影响一系列目标和利益相关者。在确定了背景之后，就应该确定要分析的后果类型和受影响的利益相关者。后果分析的范围可以从简单的后果描述到详细的定量模型的开发。影响可能是概率很高的较小影响风险评估程序，也可能是概率很低的较大影响，或者介于两者之间。在某些情况下，重要的是要关注可能产生重大后果的风险，因为这些风险往往是管理者最关心的。在其他情况下，分析具有重大和较小后果的风险可能都很重要。例如，频繁但较小的问题可能会产生很大的累积效应。此外，对这两种截然不同的风险类型的反应往往非常不同，因此有必要分别分析这两种风险。后果分析应包括：考虑现有的后果控制并关注可能影响后果的相关因素；将风险后果与原始目标联系起来； 同等重视直接后果和可能随时间推移而发生的后果；不要忽视次要后果，例如影响相关系统、活动、设备或组织的后果 #

1.3.4 可能性分析与概率估计 #

常用估计可能性的方法主要有三种风险评估程序，这些方法可以单独使用，也可以组合使用。1）利用相关历史数据识别过去发生过的事件或情况，并推断它们在未来发生的可能性。所用的数据应与所分析的系统、设备、组织或活动类型相关。如果某些事件在历史上很少发生，则无法估计其可能性。对于从未发生过的事件、情况或环境尤其如此，人们无法推测它们是否会在未来发生。2）利用故障树、事件树等技术预测可能性。当历史数据不可得或不足时，需要通过分析系统、活动、设备或组织及其相关的失败或成功条件来推断风险发生的可能性。3）以系统化和结构化的方式利用专家意见来估计可能性。专家判断应利用所有可用的相关信息，包括历史、特定系统、特定组织、实验和设计的信息。获取专家判断的正式方法有很多，现有常用的方法包括德尔菲法和层次分析法。 1.3.5 初步分析应对风险事件进行全面扫描，以识别最重要的风险或将不太重要和次要的风险排除在进一步分析之外，从而确保组织资源能够集中用于解决最严重的风险。筛选时，应注意不要遗漏那些发生频率较低但具有显著累积效应的风险。上述筛选活动应根据澄清环境信息时确定的标准进行。根据初步分析的结果，组织可采取下列行动计划之一：

#

● 无需评估，立即应对风险； #

● 暂时搁置那些不需要处理的次要风险； #

● 继续进行更详细的风险评估。

#

应该记录初步假设和结果。 #

1.3.6 不确定性和敏感性因素

风险分析过程中往往涉及相当多的不确定性因素，认识到这些不确定性对于有效理解和解释风险分析的结果很有必要。例如，对于风险识别和风险分析所用的数据、方法和模型，应注意分析其中存在的不确定性。不确定性分析涉及明确风险分析结果的方差或偏差。与不确定性分析密切相关的是敏感性分析。敏感性分析是确定某个参数输入的变化对风险水平影响的程度和显著性。这种分析可用于识别哪些数据对结果影响较大，从而应确保其准确性。应尽可能充分地说明风险分析的完整性和准确性。如可能，应找出造成不确定性的原因。应说明敏感参数及其敏感性。 #

1.4 风险评估 #

风险评估包括将风险分析的结果与预先设定的风险标准进行比较，或比较各种风险分析的结果以确定风险水平。风险评估利用风险分析过程中获得的风险知识来对未来行动做出决策。道德、法律、财务和其他因素（包括风险偏好）也是决策的参考信息。决策包括：

● 是否需要解决某个风险； #

● 风险应对优先事项； #

● 是否应采取应对活动； #

● 应采取哪种方法。 #

当环境信息明确之后，所要作出的决策的性质以及决策所依据的准则已经确定。然而，在风险评估阶段，需要对上述问题进行更深入的分析。毕竟此时对已识别出的具体风险已经有了更全面的了解。如果该风险是新识别的风险，则应建立相应的风险准则来评估该风险。最简单的风险评估结果仅将风险分为两类：需要解决的风险和不需要解决的风险。这种方法无疑是简单易行的，但其结果通常不能反映风险评估中的不确定因素，也不容易准确界定两类风险之间的界限。一种常见的做法是将风险分为三个等级。安全工程领域的“尽可能低”原则（ALARP）适用于这种方法。

● 上段意思是，不管该活动能带来什么好处，其风险程度都是无法容忍的，必须不惜一切代价解决该风险； #

● 中间阶段是考虑实施风险应对措施的成本和收益，并权衡机会和潜在结果； #

● 较低段表示风险等级不显著，或者风险太小，不需要采取风险应对措施。

风险评估结果应满足风险应对的需要，否则应做进一步分析。 #

1.5 文件归档

#

风险评估过程应与评估结果一起记录。风险应以易懂的术语表达，并应明确说明风险等级单位。风险评估文件的内容取决于评估的目标和范围。除非评估非常简单，否则文件应包括以下内容： #

● 目标和范围；

#

● 系统相关部分及其功能的描述；

#

● 对组织内外部环境以及被评估实体与内外部环境的关系的描述；

● 所采用的风险标准及其原理；

#

● 假设和推测的合理性；

● 评估方法；

● 风险识别结果；

● 数据来源及验证； #

● 风险分析结果及评估； #

● 敏感性和不确定性分析；

● 关键假设和其他需要监控的因素；

#

● 结果讨论； #

● 结论和建议； #

● 参考文献。

如果需要风险评估来支持持续的风险管理过程，则风险评估的记录应持续保存在系统、组织、设备或活动的整个生命周期中。如果有重要的新信息可用并且情况发生变化，风险评估应根据管理层的要求进行更新。 #

1.6 风险评估的监测与审查

风险评估过程涉及环境因素和其他预计会随时间变化并可能改变或使风险评估无效的因素。应确定这些因素以进行持续监测和审查，以便根据需要更新风险评估信息。应确定和收集为改进风险评估而需要监测的数据。还应监测和记录风险控制措施的有效性，以提供风险分析数据。应明确规定建立证据、记录和审查的责任。 #

3月21日至23日，范老师带你进行为期3天的环球之旅，实战训练营让你有不一样的收获。

#

范学军老师 #

国家注册咨询师、企业管理培训师，多家认证、培训公司汽车行业专业讲师，拥有丰富的企业管理经验，14年汽车行业咨询、辅导经验，熟悉汽车及轨道交通管理体系标准，了解各大汽车厂商的体系要求，培训/辅导汽车供应链客户300余家，涉及国有、民营、美资、台资、日资、韩资等客户，开设汽车及轨道交通行业相关公开课100余场。 #

l 理论知识和实践辅导经验丰富，组织沟通能力强，授课风格由浅入深，理论联系实际，深受学生好评。

50余家企业接受IATF新版培训，20余家企业通过新版认证 #

近期课程 #

3月17-18日 9001/14001 双证书班 苏州

3月31日-4月1日 内部审核员培训 苏州

4月19-20日 内部校准员（仪表及仪器校准）培训 苏州 #

4月18日-.3+VDA6.5内审员培训 苏州 #

4月23日-授权VDA6.3审核员培训 苏州

#

报名咨询： #

春怡老师（同微信号）

#

刘老师（同微信号） #

王老师（同微信号） #

邓老师（同微信号） #