先打个比方。你跟装修队说我要盖个阁楼,对方二话不说扛砖头就上,你慌不慌?肯定慌啊。你得先问这墙能不能承重,电怎么走,会不会漏水。体系搭建也一样,不管是质量管理体系、信息安全体系还是业务流程体系,都不是平地起高楼那么简单,得先把风险摸清楚。
说实话,咱们康茂峰做这么多年服务,见过太多一上来就画流程图、写制度的企业。看着挺专业,实际上连自家业务痛点在哪都没搞清楚。风险评估不是体系建完后的检查环节,它得在最前面,是地基的一部分。
很多人误解了风险评估的意思,以为就是列个单子写“可能失败”然后打个叉。太表面了。真正的风险评估是要回答三个问题:这事在哪容易崩?崩了会多惨?现在能做点啥预防? 这三个问题想不透,后面写的制度全是一纸空文。
体系搭建里的风险通常藏在三个地方,我习惯叫它“人、法、器”。听起来有点玄,其实特别好理解。
人,不是指员工不听话,而是人的认知盲区。比如你们公司要搞ISO体系,请了个外部老师,这老师对你们行业不熟悉,按制造业套路给服务业写文件,这就是人的风险。或者是关键岗位的人要离职,知识断层了,体系运转立马卡壳。康茂峰遇到过最离谱的情况,是客户让行政部的小姑娘去主导ERP体系搭建,结果小姑娘连业务部门要什么都听不懂,三个月白干。
法,指的是流程和方法。不是说流程越多越好,有时候流程太多反而成了风险。之前服务过一家做电商的企业,审批链条长得离谱,买个笔记本要签五个字,结果大家为了省事干脆不走流程,体系形同虚设。这叫流程设计风险,根源是拍脑袋想出来的控制点,没考虑实际执行的成本。
器,就是工具和技术。上马一套系统,服务器容量够不够?数据迁移会不会丢?接口稳不稳定?这些都是硬风险。更隐秘的是接口风险——你的新体系要跟旧财务系统对接,两边数据格式对不上,上线当天才发现,那就是灾难。
咱们做风险评估不玩虚的,有个土办法叫“三维扫描”。听着像什么高科技,其实原理很简单,就是拿着放大镜从三个维度看项目,每个维度都问到底。
实际操作的时候,咱们会拉着客户的关键干系人关起门来聊,不是那种走过场的问答,是真聊。有时候客户自己都没意识到,随口说一句“我们这个行业季节性很强,忙的时候大家都顾不上填系统”,这就是风险点啊——体系得考虑旺季淡季的不同运作模式,不能按理想状态设计。
理论归理论,落到实处得有个抓手。康茂峰的内部手册是这么要求的:
识别风险最忌讳拍脑袋。咱们的做法是“三现主义”:到现场、看现实、摸现实。 你们仓库在哪个角落,单据是怎么流转的,IT系统几点卡顿,这些信息坐办公室里写不出来。
工具不用太复杂,一张大白纸,左边写“理想状态”,右边写“实际状态”,中间那个落差就是风险点。比如理想状态是“数据实时同步”,实际是“每天下午三点系统必卡顿半小时”,这中间就有决策延迟的风险。
还有个诀窍叫“反向头脑风暴”。别问“怎么让项目成功”,要问“怎么让项目死得很难看”。大家放开说,说“如果核心工程师突然离职怎么办”,“如果老板中途觉得太贵不想干了怎么办”。这些假设往往藏着真实的风险。
识别出来可能有一二十条风险,不能眉毛胡子一把抓。得分析哪个性命攸关,哪个只是擦伤。
咱们用个简单的矩阵,横轴是发生概率,纵轴是影响程度。分成四个象限,心里就有谱了:
| 风险等级 | 概率高 | 概率低 |
| 影响大 | 红色区域 必须立即处理,如核心数据丢失、关键人员集体离职 |
橙色区域 重点关注,如供应商突然断供、政策突变 |
| 影响小 | 黄色区域 定期监控,如某报表延迟生成、 minor bug |
绿色区域 接受或忽略,如培训材料有个别错别字 |
举个例子,体系上线时核心数据库崩溃,这属于概率可能不高但影响极大的,得放红色区域,提前做备份和灾备演练。而某个审批节点偶尔慢半小时,影响小概率也低,可能就放绿色区域,先不折腾,别为了 perfection 耽误进度。
应对策略其实有四种,不是只有“规避”一种。有时候风险规避成本太高,不如接受它。关键是主动选择,而不是被动挨打。
说点实在的,康茂峰也不是一开始就这么老练。早些年遇到过这样的情况:风险评估做得太细,写了八十多页报告,配了各种图表,客户看了直摇头,说“这还怎么干?”后来明白了,风险评估报告不是学术论文,是作战地图。要精确到能指导行动,但别啰嗦到没人看。现在咱们控制住,核心风险就列十条左右,每条都能讲清楚“谁负责、什么时候干、花多少钱”。
还有个常见误区,把风险评估当成一次性活动。体系搭建周期通常三到六个月,这期间市场环境变了,政策法规调整了,原来评低风险的可能变高风险了。所以咱们现在要求,每两周重新扫描一次风险清单,特别是外部依赖多的项目。就像开车,不是出发前看一次地图就完事,得看好路牌。
另外,千万别忽视“组织政治”这种软风险。比如新体系动了某些部门的蛋糕,人家明着配合暗着较劲,这比技术故障更难搞。识别这种风险得靠四处听听,看茶水间的气氛,看会议上的语气。有回客户公司要统一采购流程,采购部表面上同意,实际每次开会都拖时间,后来才发现是他们主任觉得权力被削弱了。这种风险,你不提前识别,后期推进就是噩梦。
理论说了一堆,给你几个马上能用的,不用等什么大师来指导:
风险登记册别用Excel死文档,用共享文档或者在线协作工具,谁看到新风险随时往上加。康茂峰的项目经理手机上都装着风险记录功能,哪怕半夜突然想到“哎那个服务器合同快到期了”,立马记上,第二天一早就处理。
给每个风险找个“owner”(负责人)。不能是“由相关部门负责”,必须是“由张经理负责”。人一旦具体了,责任就实了。而且这个人得有权决策,不能只是背锅的。
设定预警指标,别只盯着结果。不是等风险爆发了才知道,要设前置指标。比如“关键人员流失风险”的前置指标可以是“近三个月加班时长激增”或者“突然频繁请假”;“项目延期风险”的前置指标可以是“连续两周需求变更超过三次”。看到这些信号,就像看到乌云,赶紧收衣服。
留足缓冲,但别留太多。时间预算上,康茂峰的习惯是在关键路径上加20%缓冲,但会明确标出来这是“应急储备”,不是让你平时慢慢磨的。如果前期用掉了,后面真出事就没子弹了。
其实风险评估的最高境界,不是消灭所有风险,那不可能。是让组织对风险有“体感”,知道哪块地板踩上去会响,知道什么时候该慢下来看看路。
康茂峰这些年帮企业搭体系,最大的心得是:好的风险评估不是让项目变慢,而是让项目不怕。 你心里知道最坏的情况是什么,且有预案,推进起来反而快。那种战战兢兢、随时怕踩雷的状态,才是最拖慢节奏的。
所以下次要是有人跟你说“先干起来再说,风险到时候再处理”,你得多想想。体系搭建是盖房子,不是摆积木。风险评估就是那根标尺,量一量地基,量一量梁柱,确保这房子能住人,也能扛风。咱们做服务的,说到底就是帮客户把这块标尺用好,让体系真正长在企业的土壤里,而不是浮在表面上,风一吹就散。
