關於危險源辨識與風險評估
針對危險源辨識與風險評估這一問題,行業內通常將這類問題要分成三個討論方向:ISO 45001與ISO 31000中風險的關聯性;ISO 45001中的危險源與ISO 31000中的風險評估的差別;ISO 45001中的危險源辨識與職業健康安全的風險評估如何去操作。
一、ISO 45001與ISO 31000中風險的關聯性
基於ISO(國際標準化組織)幾乎是同時發佈了ISO 45001:2018 和ISO 31000:2017,這是出於偶然還是必然,眾說紛紜。主要分為以下三種說法:偶然事件、必然事件、需求導致。
本文先不做必然性評價,基於現今社會發展考量,風險的預防性管理概念已經被社會各界和社會各層級所認同,形成了非常明顯的針對從風險管理概念到基礎技術應用的需求,從這點出發,ISO同時推出這兩個與風險關聯的標準是需求導致的結果。
眾所周知,對任何事物的判定,需要在一定時間的週期裡進行驗證,時間週期跨度越長,判定的正確性就越高。基於此觀點,可以將時間週期調整為三年的週期,即2015~2018年,在這個時間週期裡看一下在這個時間段推出的ISO標準,ISO 9001:2015質量管理體系和ISO 14001:2015環境管理體系。這兩個標準裡面分別講述了對質量風險和環境風險的控制要求,而且這四個標準都明確提出了高階段架構要求。綜上所述,在擴展了的時間週期的維度上,可以判定應是必然事件。
這四個標準無一例外涉及兩個核心點,即因素辨識和風險評估,下面從定義、差別、目的與相關性四個維度進行分析。
二、ISO 45001中的危險源與ISO 31000中的風險評估的差別
首先,在探討危險源辨識與風險評估之前,必須先明確幾個定義,藉此作為後面討論及分享的基礎。
1. 危險源
可能導致傷害和健康損害的根源或狀態。
2.風險
不確定性對目標的影響。
【注1:影響是與預期的偏差——積極和/或消極。
注2:目標可以有不同方面(如財務、健康和安全,以及環境目標),可以體現在不同的層次(如戰略、組織範圍、項目、產品和流程)。
注3:風險通常被描述為潛在事件(2.19)和後果(2.20),或它們的組合。
注4:風險往往表達了對事件後果(包括環境的變化)和相關的可能性概率(2.21)。】
3.兩者的關係
從兩者的定義上可以看出來,風險的範圍相比危險源更廣。根據風險的定義,在附註2中明確表明,風險中的目標“目標可以有不同方面(如財務、健康和安全,以及環境目標),可以體現在不同的層次(如戰略、組織範圍、項目、產品和流程)”。其中涉及健康和安全,但是並不代表風險ISO 31000:2017的標準等級比ISO 45001:2018的高,業內經常會將ISO 45001:2018這類標準稱之為專業標準,而將ISO 31000:2017稱之為綜合標準。
4.風險評估
ISO 31000中針對風險評估的定義是:風險識別、風險分析和風險評價的整個過程。因此基於此維度,可以明確知道,風險評估的三個對應綜合活動,而不是簡單的評估或評價。
5.危險源辨識與風險評估差別
危險源辨識從內容上看,更趨向於對活動所產生的風險,從可能性及影響兩個維度實施辨識。評價的方法有定量和定性兩種,如LECD就是屬於定量的分析方法,而定性的方法更趨向於專家、頭腦風暴等經驗性分析方法。風險評估分為三個部分實施,即風險辨識、風險分析、風險評價者三個活動。組織在建立職業健康安全管理體系時,通常簡稱為危險源辨識,但實質隱含涉及了危險源辨識、分析及評估,這兩種活動的差別主要體現在如下方面。
(1)內涵差別
ISO 45001涉及的危險源辨識更傾向於職業健康安全方面的風險;ISO 31000涉及的風險辨識則更全面。
(2)側重點不同
ISO 45001涉及的是職業健康安全方面;ISO 31000涉及的是組織的全面風險管理。
(3)輸出不同
ISO 45001辨識的結果通常很多組織會定義為危險源或重大危險源;ISO 31000辨識的結果通常很多組織會定義為高度風險。
三、ISO 45001中的危險源辨識與職業健康安全的風險評估的操作
針對ISO 45001中的危險源辨識與職業健康安全的風險評估通常會分為如下階段實施,因為篇幅的原因,本文將選取以下三個核心方面。
1. 辨識階段
在危險源辨識過程中,ISO 45001標準要求應該在辨識階段建立一個規範化的辨識過程,該過程與組織的情景緊密相連,系統化的管理辨識過程、方法及組織考量面涉及如下八個方面內容。
(1)常規和非常規的活動和情形。包括:工作場所的基礎設施、設備、材料、物質和物理條件;因產品設計而產生的危險源,包括研究、開發、測試、生產、組裝、施工、服務交付、維護或處置;人為因素;工作實際是如何完成的。
(2)緊急情況。
(3)人員。包括:進入工作場所的人員及其活動,包括員工、承包商人員、訪問者和其他人員;在工作場所附近的可能受到組織活動影響的人員;在不受組織直接控制的地點的員工。
(4)其他問題。包括:工作區域、過程、安裝、機器/設備、操作程序和工作組織的設計,包括它們對人員能力的適應性;在工作場所附近發生的由工作相關的活動造成的組織控制下的情況;在工作場所附近發生的可能對工作場所中的人員造成與工作相關的傷害和健康損害的不受組織控制的情況。
(5)組織及其運行、過程、活動和職業健康安全管理體系(見8.2) 實際或有計劃的變更。
(6)危險源知識和危險源信息的變更。
(7)組織內部或外部曾經發生的事件,包括緊急情況及其原因。
(8)工作組織形式和社會因素,包括工作量、工作時間、領導作用和組織文。
在ISO 45001中更為突出的要求是在變更管理方面,更準確地說,是組織或企業針對管理或業務活動方面的變更應該考慮重新辨識危險源,在辨識過程中發散和聚焦的過程時,職業健康安全危險源辨識和風險評估的關鍵點,它決定了控制方向。
2. 評估階段
在實施辨識後,針對職業健康安全風險的評估核心將考慮如下方面。
(1)法律法規的底線要求
(2)組織情景及現有的控制措施
(3)相關方的期望和需求
(4)評估的準則
(5)提倡主動性評估實施
(6)建立文件化信息
在上述6個方面,組織情景和相關方期望及主動性預防要求,而非被動式接受是評估過程中的重中之重,這裡講的被動式接受是指職業健康安全事件或事故後曝露的風險影響或結果。
【注:基於組織情景的風險控制將是組織在實施ISO 45001的一個核心難點,而此難點的有效解決需要從前端來解決問題,即如何有效將風險管理先融入組織的產品與服務的流程中,這是組織在建立、實施、維護職業健康安全管理體系過程中的關鍵點,也是難點。在建立職業健康安全管理體系時,需要組織進行非常清晰的界定與組織活動的情景實施對應。】
3. 控制階段
在職業健康安全控制階段,ISO 45001更為突出強調以下幾個方面。
(1)如何將辨識出來的職業健康安全風險融入組織的管理與業務流程。
(2)法律法規底線要求可能帶給組織的風險和機遇。
(3)如何基於組織情景來評價控制措施的有效性。
(4)組織如何應對這些辨識出來的風險及機遇。
(5)以應急響應方式實施預防性控制措施。
(6)控制措施能否滿足預期要求及新出現的風險。
在危險源辨識之後的控制階段,能否有效實施關鍵點在於職業健康安全危險源與風險辨識的全面性是否能夠滿足要求。有的企業在辨識過程中僅僅是由基層員工機械地實施應對辨識,這樣做不僅不能夠有效實施,反而很多時候還會增加組織的運行成本,增加組織的風險。基於組織情景的動態控制措施實施,將是未來對組織有益且可以最大程度降低組織運行成本、體現有效性運行的核心。這個核心將取決於辨識的全面性和聚焦是否準確,否則組織將事倍功半,與此同時值得組織關注的是,控制措施的有效實施與否直接決定了組織職業健康安全管理體系的績效。
閱讀更多 管理體系實踐者 的文章
