安全管理管什么���?管的當然是風險!以下的概念需要搞清楚����!
風險��、風險分析、風險評價��、風險評估�����、風險管理傻傻分不清楚�,看完這篇文章就會了~
1、風險定義
就像1000個讀者就有1000個哈姆萊特�。問10個人關于風險的理解����,就可能得到10種不同的答案��。只要我們隨便一翻有關風險評估的教科書、期刊�����、論文�����、標準和指南��,就會發現風險評估專家對于最基本的風險概念實際上也是各執一詞。
根據Timmerman在1986年的描述�����,風險(risk)一詞是在17世紀60年代從意大利語中的riscare一詞演化成英語的�。它的意大利語本意是在充滿危險的礁石之間航行。只有在描述未來某些事件是否發生的時候才使用風險這個詞,而過去發生的危險并不稱作風險�。另外�,雖然經濟學理論中風險同時涵蓋損失和利益���,但是在安全領域�����,這個詞匯涉及的都是負面后果���。
風險并不存在統一的定義����。1996年��,著名風險研究專家Stan Kaplan就曾說過:“風險分析這個詞曾經是�����、現在是���、未來還會是一個問題���。風險分析協會成立之初就企圖定義風險這個概念����,但整整四年之后還是決定放棄。最好的方法也許就是不對風險下定義�。讓每一個作者按照自己的方式去定義�,只要他們能解釋清自己定義的方式”����。
風險的各種定義
1、某一危險事件發生的頻率或者概率與事件后果的組合���。在這個定義中,風險與某一特定的危險事件有關。比如某種氣體泄漏或者與塔吊墜物有關的風險���。但在多種危險事件并存的情況下并不適用。
2、人類活動或者事件造成的后果對現有價值造成傷害的概率。
3�、造成資產(包括人員本身)處于危險的情況或者事件��,而結果是不確定的。
4、與資產相關行為的不確定性以及后果(結果)的嚴重程度���。
5、在特定的時間段內,或者由于某種困難情況導致某一負面事件發生的概率。
6、風險是指未來事件和結果的不確定性���。它描述了該事件對于完成組織目標產生影響的可能性。
等等
Kaplan及Garrick1991年將風險定義為:關于下列三個問題的綜合答案:(1)什么會發生問題���?(2)發生問題的可能性有多大���?(3)后果是什么?
要回答上面三個問題�,必須進行分解:
問題1:會發生什么問題����?
為了回答這個問題��,就必須識別出可能會對我們希望保護的資產造成傷害的潛在“危險事件”��。保護的資產可能是人、動物�����、環境����、建筑、技術裝備、基礎設施����、文化遺產等 ��,也可能是我們的聲譽、信息�����、數據等��。
問題2:產生問題的可能性有多大����?
這個問題的答案可能是定性的描述����,也可能是概率或頻率�����。需要逐個考慮問題1中的危險事件的可能性�����,這就要進行因果分析,識別出可能導致危險事件的根本原因(也就是危險源)。
問題3:后果是什么�����?
對于每一個危險事件��,必須識別出潛在的傷害及對問題1所提的資產的負面影響���。絕大多數系統都會設置安全棧以防止或緩解傷害�����。資產是否受損取決于這些安全棧在危險事件發生時是否起到應有的作用
概念模型
在回答了第1個問題之后,就能識別出所有危險事件�,而回答問題2跟問題3則需進一步分析�。下圖是一種可以很好理解風險的概念模型�。圖中不同的危險源可能導致危險事件的產生,這些危險事件又可能導致不同的后果�����。在危險源跟危險事件之間可以部署各種安全棧�����,也可在危險事件與后果之間部署安全棧�。該圖因形似男士西裝的領結形狀而被稱作領結圖�。
領結圖已被證明是培訓操作人員識別風險�����、采取合理行動避免事故的有效工具����。領結圖通過一系列事件線將危險和后果連接起來,并指出事故的“路徑”�����。圖中可以列出系統中已經安裝或者計劃安裝的安全棧�����,并跟與之相關的事件序列相連��。還可以分析工程、維護和運營活動對不同危險和防護安全棧的影響����。
注意��,必須要為每一個危險事件建立單獨的領結圖。
2、風險分析
風險分析最常見的定義為:系統地使用既有信息,識別出危險,并預測其對于人員����、財產和環境的風險���。
從某種意義上說�,風險分析是一種主動的方法�����,目的是避免可能發生的事故。事故調查則與之相反��,是一種被動的方法����,目的是尋找已經發生的事故原因和情況。
風險分析主要按照三個步驟執行,三個步驟分別對應前面那三個問題的答案:
1�、危險源辨識����。
識別潛在的危險事件��,以及與系統相關的危險源���。同時��,也需要識別出可能受損的資產。
2�����、可能性分析����。
在這一步中需要進行演繹分析,識別每一危險事件的成因���。同時根據危險數據和專家判斷預測危險事件的頻率。
3�����、后果分析���。
這個環節需要進行歸納分析����,識別所有由危險事件引起的潛在后果�����。歸納分析的目的通常是找出所有可能的最終結果����,以及它們發生的概率。
風險分析的方法包括定性分析及定量分析�,具體采用哪種方法需要取決于分析的目標��。
定性風險分析:以完全定性的方法確定概率和后果。
定量風險分析:對概率及后果進行數學估算�����,有時還需考慮相關的不確定因素���。
定量分析適合對那些概率較低�、影響較大的事件的風險進行量化,也可進行專門的概率評估和大規模分析�����。
而半定量風險分析一詞�����,有時候指在一定范圍內對概率和后果進行近似量化的風險分析�。
風險分析的類型可以按照不同的方法進行劃分����。下表列出了其中一種劃分方法�。它以3x3的矩陣展現了3種類別的危險和3種類別的資產。
3��、風險評價
風險評價是在風險分析的基礎上����,考慮社會、經濟�����、環境等方面的因素���,對風險的容忍度作出判斷的過程�。
風險矩陣
風險矩陣譯自Risk Matrix, 是一種有效的風險評級工具��。可應用于分析項目的潛在風險���,也可以分析采取某種方法的潛在風險�����。它是一種標準化的被用于對照參考的矩陣����。
風險矩陣的基本思想是將風險(Risk)分解為嚴重程度(Severity)和可能性(Likelihood)兩個可度量的量�����。其中嚴重程度(S)與經濟損失����、人員傷害���、環境污染��、法律法規觸犯、聲譽損失等因素相關。由于不同的主體對風險的承受能力不同�,不同類型的后果或事件的特征也有很大不同����,例如同樣100萬元等級的經濟損失�,小型私企可能將其嚴重性歸于不可接受,而大型國企可能將其歸于可以容忍,所以不同的主體應該定義自己的風險矩陣。其中嚴重程度的分級�����,可能性的分級,及風險的分級標準都可以使用自己的標準。
關于風險矩陣尺寸���、行列標簽這些參數的標準并無定論。大多數風險矩陣中可能性及嚴重性都分為3-6級。
風險由嚴重性和可能性共同決定�����,例如:發生概率是百年一遇����,每次發生損失100萬元的事件,與每年發生一次,每次損失1萬元的事件����,其風險可能相近�����。而一般情況下,危害事件的嚴重程度是固定不可控制的�,例如火災風險,無論有什么防護措施,一旦防護失效火災發生,則最終的損失和危害基本是固定的��。而危害事件的可能性是可以控制的����,例如增加保護措施、增加人員維護等�����,一般可以降低危害發生的可能性����,從而降低最終的風險。
風險接受準則
風險評價的工作���,有時候會根據某些風險接受準則對風險分析的結果進行比較。
風險接受準則是用來表示某一風險水平對于所研究系統或者活動是否可以容忍的準則��。研究人員已經開發出很多不同的方法來確定與某個系統或者行為相關的風險是否可以接受��。最常用的當屬ALARP原則����。
ALARP是英語“在合理可行的范圍內盡量低(as low as reasonably practicable)”的縮寫��。
在使用ALARP原則時��,風險被劃分為三個等級:
1、不可接受區域,這里除特殊情況之外����,風險都是無法容忍的����,必須采取降低風險的措施����。
2�����、中間區域���,也就是ALARP區域�����,在這里最好采取進一步降低風險的措施,但是如果成本和收益比例失衡的話�,可以不采取行動����。
3�、廣泛可接受區域,在這里不需要采取進一步降低風險的措施,當風險處于這個水平的時候�,進一步降低風險從經濟上考慮是不劃算的���,與其在這里花費大量資金����,不如考慮降低別處的風險。
4���、風險評估
如果把風險分析和風險評價連接起來,這個整體就叫做風險評估�。
英國健康與安全執行委員會曾發布過一份風險評估的簡要介紹《風險評估的五個步驟》����,這五個步驟分別是:
1����、識別危險
2�、確定誰會受到傷害以及如何受到傷害
3、風險評價并確定預防措施
4�����、記錄結果并實施
5�����、檢查評估情況��,并在必要時進行更新。
注意一些書籍及指南沒有區分風險分析和風險評估,有些不包含風險評價的工作也試圖使用風險評估這個詞。還有些將風險評估定義為風險評價的補充���,如美國聯邦航空管理局將風險評估定義為“使用風險評價的結果進行決策的過程”。
5、風險管理
在識別風險然后采取降低風險的措施之后���,調查風險如何隨時間變化,就是在進行風險管理�����。
風險管理的目標
風險管理的目標是識別���、分析�、評價系統當中或者與某項行為相關的潛在危險的持續管理過程,尋找并引入風險控制手段����,消除或者至少減輕這些危險對人員����、環境或者其他資產的損害�����。
連續風險管理
風險管理是一個連續的管理過程,通常包含下圖的六大要素��。
識別
在管理風險之前��,必須識別出危險和潛在的危險事件�。所謂識別過程就是在問題出現之前發現它們���,并從是什么����、何時、何地、如何發生��、為什么發生等多方面進行描述�。
分析
在這里,分析意味著將數據轉化為與風險相關的決策支持信息。這些數據可能是危險事件的概率,或者事件發生造成的后果的嚴重程度���。這些分析是企業為關鍵風險元素進行排序的基礎。
計劃
在此步驟中,風險信息被轉化為決策和行動�。計劃包括確定處理每一個危險的方案���,為風險降低工作排序�����,以及制定完整的風險管理計劃��。風險行動計劃的關鍵是要考慮現在的決策對未來的影響。
跟蹤
跟蹤包括監控風險級別和降低風險的行動。需要找出合適的風險降低方法并進行監控����,保證可以對風險狀態進行評價����。
控制
在這一步當中��,需要執行先前提出來的風險降低措施,并進行控制�。該步驟可以集成到日常的管理活動過程中��,根據管理流程控制風險行動計劃,修正計劃與實踐之間的偏差����,對做出反饋并改進風險管理過程��。
溝通與建檔
上述幾項工作都需要建檔,并在各個部門之間溝通和交流。將溝通放在上圖中心的位置就是為了凸顯其重要性及無處不在性�����。如果沒有有效的溝通���,任何風險管理方法都是沒用的�����。必須建立檔案管理系統��,并對風險決策進行溝通。
