一、ISO 45001与ISO 31000中风险的关联性
基于ISO(国际标准化组织)几乎是同时发布了ISO 45001:2018 和ISO 31000:2017,这是出于偶然还是必然,众说纷纭。主要分为以下三种说法:偶然事件、必然事件、需求导致。
本文先不做必然性评价,基于现今社会发展考量,风险的预防性管理概念已经被社会各界和社会各层级所认同,形成了非常明显的针对从风险管理概念到基础技术应用的需求,从这点出发,ISO同时推出这两个与风险关联的标准是需求导致的结果。
众所周知,对任何事物的判定,需要在一定时间的周期里进行验证,时间周期跨度越长,判定的正确性就越高。基于此观点,可以将时间周期调整为三年的周期,即2015~2018年,在这个时间周期里看一下在这个时间段推出的ISO标准,ISO 9001:2015质量管理体系和ISO 14001:2015环境管理体系。这两个标准里面分别讲述了对质量风险和环境风险的控制要求,而且这四个标准都明确提出了高阶段架构要求。综上所述,在扩展了的时间周期的维度上,可以判定应是必然事件。
这四个标准无一例外涉及两个核心点,即因素辨识和风险评估,下面从定义、差别、目的与相关性四个维度进行分析。
二、ISO 45001中的危险源与ISO 31000中的风险评估的差别
首先,在探讨危险源辨识与风险评估之前,必须先明确几个定义,借此作为后面讨论及分享的基础。
1. 危险源
可能导致伤害和健康损害的根源或状态。
2.风险
不确定性对目标的影响。
【注1:影响是与预期的偏差——积极和/或消极。
注2:目标可以有不同方面(如财务、健康和安全,以及环境目标),可以体现在不同的层次(如战略、组织范围、项目、产品和流程)。
注3:风险通常被描述为潜在事件(2.19)和后果(2.20),或它们的组合。
注4:风险往往表达了对事件后果(包括环境的变化)和相关的可能性概率(2.21)。】
3.两者的关系
从两者的定义上可以看出来,风险的范围相比危险源更广。根据风险的定义,在附注2中明确表明,风险中的目标“目标可以有不同方面(如财务、健康和安全,以及环境目标),可以体现在不同的层次(如战略、组织范围、项目、产品和流程)”。其中涉及健康和安全,但是并不代表风险ISO 31000:2017的标准等级比ISO 45001:2018的高,业内经常会将ISO 45001:2018这类标准称之为专业标准,而将ISO 31000:2017称之为综合标准。
4.风险评估
ISO 31000中针对风险评估的定义是:风险识别、风险分析和风险评价的整个过程。因此基于此维度,可以明确知道,风险评估的三个对应综合活动,而不是简单的评估或评价。
5.危险源辨识与风险评估差别
危险源辨识从内容上看,更趋向于对活动所产生的风险,从可能性及影响两个维度实施辨识。评价的方法有定量和定性两种,如LECD就是属于定量的分析方法,而定性的方法更趋向于专家、头脑风暴等经验性分析方法。风险评估分为三个部分实施,即风险辨识、风险分析、风险评价者三个活动。组织在建立职业健康安全管理体系时,通常简称为危险源辨识,但实质隐含涉及了危险源辨识、分析及评估,这两种活动的差别主要体现在如下方面。
(1)内涵差别
ISO 45001涉及的危险源辨识更倾向于职业健康安全方面的风险;ISO 31000涉及的风险辨识则更全面。
(2)侧重点不同
ISO 45001涉及的是职业健康安全方面;ISO 31000涉及的是组织的全面风险管理。
(3)输出不同
ISO 45001辨识的结果通常很多组织会定义为危险源或重大危险源;ISO 31000辨识的结果通常很多组织会定义为高度风险。
三、ISO 45001中的危险源辨识与职业健康安全的风险评估的操作
针对ISO 45001中的危险源辨识与职业健康安全的风险评估通常会分为如下阶段实施,因为篇幅的原因,本文将选取以下三个核心方面。
1. 辨识阶段
在危险源辨识过程中,ISO 45001标准要求应该在辨识阶段建立一个规范化的辨识过程,该过程与组织的情景紧密相连,系统化的管理辨识过程、方法及组织考量面涉及如下八个方面内容。
(1)常规和非常规的活动和情形。包括:工作场所的基础设施、设备、材料、物质和物理条件;因产品设计而产生的危险源,包括研究、开发、测试、生产、组装、施工、服务交付、维护或处置;人为因素;工作实际是如何完成的。
(2)紧急情况。
(3)人员。包括:进入工作场所的人员及其活动,包括员工、承包商人员、访问者和其他人员;在工作场所附近的可能受到组织活动影响的人员;在不受组织直接控制的地点的员工。
(4)其他问题。包括:工作区域、过程、安装、机器/设备、操作程序和工作组织的设计,包括它们对人员能力的适应性;在工作场所附近发生的由工作相关的活动造成的组织控制下的情况;在工作场所附近发生的可能对工作场所中的人员造成与工作相关的伤害和健康损害的不受组织控制的情况。
(6)危险源知识和危险源信息的变更。
(7)组织内部或外部曾经发生的事件,包括紧急情况及其原因。
(8)工作组织形式和社会因素,包括工作量、工作时间、领导作用和组织文。
在ISO 45001中更为突出的要求是在变更管理方面,更准确地说,是组织或企业针对管理或业务活动方面的变更应该考虑重新辨识危险源,在辨识过程中发散和聚焦的过程时,职业健康安全危险源辨识和风险评估的关键点,它决定了控制方向。
2. 评估阶段
在实施辨识后,针对职业健康安全风险的评估核心将考虑如下方面。
(1)法律法规的底线要求
(2)组织情景及现有的控制措施
(3)相关方的期望和需求
(4)评估的准则
(5)提倡主动性评估实施
(6)建立文件化信息
在上述6个方面,组织情景和相关方期望及主动性预防要求,而非被动式接受是评估过程中的重中之重,这里讲的被动式接受是指职业健康安全事件或事故后曝露的风险影响或结果。
【注:基于组织情景的风险控制将是组织在实施ISO 45001的一个核心难点,而此难点的有效解决需要从前端来解决问题,即如何有效将风险管理先融入组织的产品与服务的流程中,这是组织在建立、实施、维护职业健康安全管理体系过程中的关键点,也是难点。在建立职业健康安全管理体系时,需要组织进行非常清晰的界定与组织活动的情景实施对应。】
3. 控制阶段
在职业健康安全控制阶段,ISO 45001更为突出强调以下几个方面。
(1)如何将辨识出来的职业健康安全风险融入组织的管理与业务流程。
(2)法律法规底线要求可能带给组织的风险和机遇。
(3)如何基于组织情景来评价控制措施的有效性。
(4)组织如何应对这些辨识出来的风险及机遇。
(5)以应急响应方式实施预防性控制措施。
(6)控制措施能否满足预期要求及新出现的风险。
在危险源辨识之后的控制阶段,能否有效实施关键点在于职业健康安全危险源与风险辨识的全面性是否能够满足要求。有的企业在辨识过程中仅仅是由基层员工机械地实施应对辨识,这样做不仅不能够有效实施,反而很多时候还会增加组织的运行成本,增加组织的风险。基于组织情景的动态控制措施实施,将是未来对组织有益且可以最大程度降低组织运行成本、体现有效性运行的核心。这个核心将取决于辨识的全面性和聚焦是否准确,否则组织将事倍功半,与此同时值得组织关注的是,控制措施的有效实施与否直接决定了组织职业健康安全管理体系的绩效。