进入21世纪，新技术、新工艺、新产业、新业态蓬勃发展，伴随其中的安全风险也呈多样化的发展态势。安全生产管理已不再仅仅满足于合规管理，而逐步转向以识别、评估、控制和监控风险为主要内容的风险管理。

从合规管理转向风险管理是一个现代安全管理的核心演进过程，标志着安全管理从“被动应对”到“主动防控”的根本性转变。它要求我们在思维上从守住底线变为创造价值，在方法上从经验主义变为系统科学，在行为上从安全部门单打独斗变为全员主动参与，在目标上从不出事变为预测预警和预防。

最终，我们要建立的不是一个仅仅符合法规的企业，而是一个本质安全、具有韧性的组织，能够自信地在复杂的运营环境中驾驭风险，实现可持续发展。

一、从合规转向风险管理的必然性

合规管理的核心是“符合法规和标准”。管理活动的出发点和落脚点是确保符合国家、行业及地方颁布的法律、法规、标准和规范的要求。

其特征：一是被动性。政府、标准制定机构推动，企业被动执行，具体工作模式就是政府“检查什么，我就做什么”；二是滞后性。法规标准往往源于已发生的事故教训，一般都具有“亡羊补牢”的性质；三是底线思维。合规管理追求的目标就是达到法律要求的“最低标准”，具有明显低限要求的特点；四是一刀切。法规标准通常是普适性的，可能无法完全契合每个企业独特的风险状况。合规管理的典型做法就是对照检查表逐项排查，以确保各项安全要求符合规定。

风险管理的核心是“识别、评估和控制风险”。管理活动的主要内容是动态识别生产经营中所有潜在的危险源，科学评估其导致事故的可能性和后果的严重性，并采取有效措施将风险控制在“可接受”的水平。

其特征：一是具有主动性。企业自发地、前瞻性地去寻找和消灭隐患，无论法规有无明确规定；二是具有前瞻性。在事故尚未发生前就预判风险，是“未雨绸缪”式的；三是具有动态性。风险是变化的（如新工艺、新设备、新员工），管理也是一个持续循环的过程；四是具有个性化。是基于自身实际情况，管控对自己威胁最大的风险。风险管理的典型做法是进行作业安全分析、危险与可操作性分析、建立风险分级管控与隐患排查治理双重预防机制。

从合规转向风险管理的必要性体现在：

1.合规是底线，风险是天花板。合规是强制性的最低要求，是法律的底线，但仅仅合规不足以防止所有事故，尤其是复杂系统下的新型风险，风险管理则追求更高的安全水平；

2.法规永远滞后于新风险。新技术、新工艺、新材料带来的新风险，可能没有现成的法规标准可循，企业必须靠自己的风险管理能力来应对；

3.有利于资源优化配置。企业资源有限，风险管理可以通过风险分级（如红、橙、黄、蓝），将有限的人力、物力、财力优先投入到重大风险（红色、橙色）的管控上，实现安全投入效益最大化；

4.促进构建长效安全机制。合规管理容易导致“应付检查”的形式主义，风险管理则内生于企业业务流程，促使全员参与，形成自我驱动、持续改进的安全文化；

5.企业主体责任的体现。《中华人民共和国安全生产法》多次修订，核心思想就是强化和落实生产经营单位的主体责任，风险管理要求企业主动识别和控制风险，正是履行主体责任的最高表现形式。

二、风险管理的历史背景

风险管理并非凭空出现，它是工业发展、事故教训和管理理论演进共同作用的产物。工业革命后进入20世纪的早期阶段，大量事故发生，工人运动风起云涌。各国政府开始制定严格的、强制性的安全健康法律法规。企业管理安全的唯一目标就是“符合法律规定”。这是一种被动的、底线式的思维和工作模式。

20世纪中期以后，特别是二战期间及之后，复杂军事系统的安全可靠性问题凸显，石油、化工、核电等高风险行业如雨后春笋般地快速兴起，潜在的巨大事故隐患迫使人们不得不去思考如何降低风险。这一潜在的巨大需求催生了系统性的安全工程方法的诞生。其里程碑事件是：海因里希法则（Heinrich，sLaw）、博德事故连锁理论（Bird，sDominoTheory），揭示了事故发生的深层规律，让人们认识到了事故是可预防的。在航空航天和核工业领域，出现了故障模式与影响分析（FMEA）、危险与可操作性分析（HAZOP）等系统性的风险分析技术，其核心思想就是在设计阶段就识别和消除风险。安全管理的焦点从“合规”转向“技术”和“工程”手段，但这更多依赖于专家和工程师，尚未进入全员化和系统化治理。

20世纪70-90年代，一系列重大灾难性事故，如印度博帕尔化工厂泄漏、切尔诺贝利核事故等震惊世界。人们意识到，80%以上的事故根源在于管理缺陷，而非单纯的技术问题。这种情况下，戴明的PDCA（计划-实施-检查-处置）循环等质量管理理念被引入安全管理，强调过程的持续改进。英国于1991年颁布了BS8800职业健康安全管理体系指南。后来发展为国际通用的OHSAS18001，以及现在的ISO45001，强调安全管理不再是零散的活动，而是被整合成一个系统化、结构化、文件化的完整体系。

进入21世纪，经济全球化使企业运营更加复杂，新兴风险（如纳米材料、网络安全）层出不穷。一些头部企业意识到，即使拥有完美的体系，若没有良好的安全文化和全员的风险意识，事故仍会发生。在这种情况下，风险管理的理念应运而生。国际标准化组织颁布的ISO45001等标准，已明确将“基于风险的思维”作为核心原则。

中国的双重预防机制更是将风险管控提升到国家政策层面。对“安全文化”和“心理安全”的研究逐渐成为热点，强调领导力、员工参与和沟通在风险管理中的关键作用。风险管理实现了从“技术工具”到“管理体系”再到“文化基因”的升华，成为组织核心竞争力的重要组成部分。

三、风险管理的核心步骤

从合规管理转向风险管理不是一个一蹴而就的动作，而是一个系统性的管理体系建设过程。其核心是构建“风险分级管控和隐患排查治理”双重预防机制。

第一步：全面风险识别（Identify）。动员全体员工，采用各种方法（如安全检查表、JSA、HAZOP、头脑风暴、现场观察等），全方位、全过程地识别生产工艺、设备设施、作业环境、人员行为和管理体系等方面存在的所有潜在的危险源。识别风险的过程不再局限于法规条款，而是以法律法规为底线，基于技术、工艺、经验、事故教训等“翻箱倒柜”地找问题。

第二步：科学风险评估（Assess）。对识别出的风险进行评价和分级。通常采用风险矩阵(RiskMatrix)法，从事故发生的可能性(Likelihood)和后果的严重性(Severity)两个维度进行评估，计算出风险等级（R=L×S）。再根据风险等级的高低，形成企业的风险四色分布图（红、橙、黄、蓝），实现风险可视化、一目了然。

第三步：有效风险管控（Control）。根据风险分级结果，采取相应的控制措施。遵循“层级控制”的原则，分别是：消除、替代、工程控制、管理控制和个体防护。消除是从根本上消除危险源；替代是用低风险物质或工艺替代高风险；工程控制是通过物理隔离、安全装置等工程手段控制；管理控制是制定安全管理措施控制；个体防护，是提供和佩戴劳动防护用品。风险管控的措施不再千篇一律，而是根据风险大小“量身定制”，重点管控重大风险。

第四步：持续隐患排查（Check）。风险管控措施是否有效？是否失效？隐患排查就是针对风险管控措施失效环节的检查。将各级风险的控制措施转化为隐患排查清单，定期进行排查。隐患排查是“有的放矢”，查的是“控制措施”，而不是漫无目的地瞎查。

第五步：闭环治理与持续改进（Act&Improve）。对排查出的隐患进行记录、评估、整改、验收，实现闭环管理。同时，定期回顾风险评估结果，尤其是当工艺、设备、人员等发生变化时，需要重新进行风险评估，实现动态管理和持续改进。

合规管理转向风险管理能否取得成功，领导层的重视是关键因素。各级领导层在推行风险管理的过程中，须扮演一个十分重要的角色：要成为资源支持者，为风险管理活动提供一切必要资源；要成为表率示范者，亲自参与安全观察、风险评审会议，言行一致；要成为责任落实者，将安全绩效，特别是先行指标，纳入各级管理者的考核内容；要成为文化塑造者，积极倡导“坦诚报告风险不受罚”的公正文化，鼓励员工叫停有风险的操作。

四、借鉴国际上的典型做法

欧共体《框架指令》89/391/EEC，全称为《关于实施促进工人安全与健康改进措施的命令》，是国际上风险管理的典范，我们可以加以借鉴。

该指令的核心目的是：通过规定普遍的预防原则、雇主责任和工人权利与义务，在整个欧盟范围内建立一个高水平的、统一的工人安全与健康保护标准。这是一份当时的欧洲共同体在职业健康与安全领域最根本、最重要的法律文件。它被誉为欧盟职业安全健康体系的基石。

它之所以被称为“框架指令”，是因为它确立了一系列基本原则，后续更多针对特定风险（如化学品、人工搬运、显示屏设备等）的“个体指令”都是在这个框架下制定和实施的。

该指令涵盖了以下几个关键方面：

在适用范围上，指令适用于所有公共和私营部门的员工，除一些特定的海上和空中运输活动外，涵盖了所有工作领域；

在核心目标上，主要是预防职业风险，保护工人的安全与健康，消除风险因素和事故诱因，告知、咨询、培训工人及其代表；

在雇主的义务上，雇主有法律义务确保员工在工作中的健康与安全，必须系统地、持续地进行工作场所风险评估，在采取预防措施时必须遵循规定的原则；

在工人的权利方面，主要有被告知工作场所的风险和防护措施，接受咨询和参与关于健康安全事务的讨论，接受充分培训，在有合理理由认为工作对其生命或健康构成严重且紧迫危险的情况下撤离危险区域，而不会因此受到不利对待，选举工人代表来参与健康安全事务；

在工人的义务方面，有责任按照所受的培训来照顾自己和他人的安全，必须正确使用机器、工具、危险物质和个人防护装备，必须立即向雇主报告任何他们认为可能危险的情况；承认工人代表在职业健康与安全方面的重要作用，并赋予他们诸如咨询权、参与权、获取信息权等权利。

在此框架下，欧盟陆续出台了20多项具体指令，涵盖了工作设备、个人防护装备、化学品、人工操作、显示屏设备、工地等特定领域，形成了一个全面而立体的法律体系。

该指令及其衍生指令的实施，显著降低了欧盟范围内的工伤事故和职业病的发生率。

虽然这是欧盟的法律，但其核心原则——特别是雇主的主要责任、系统性的风险评估、层级化的风险控制措施，以及强调员工参与和培训等，已被全球公认为现代职业健康安全管理的最佳实践。中国的《中华人民共和国安全生产法》《中华人民共和国职业病防治法》等法律法规也在很大程度上体现了类似的原则和精神。

五、推进风险管理的挑战应对

中国安全生产管理经过二十多年强有力的政府安全监管，许多企业已经习惯于被动式的应对，安全管理仍停留在“合规管理”阶段，缺少风险管理的思想与理念。因此，推进风险管理将会遇到各种困难，在推进的过程中要有充分的思想准备，以采取必要的应对之策。

1.对思维惯性的应对。针对员工和管理层习惯于被动合规的思维惯性，领导要率先垂范，最高管理者必须率先转变观念，提供资源和支持。加强全面培训，让所有人理解风险管理的价值和方法；

2.对能力不足的应对。针对安全管理人员缺乏风险识别与评估的专业知识和技能，可以引入简单的风险评估工具和模板，培养一批懂风险管理的内部专家，必要时可寻求外援借助第三方专业机构的力量；

3.对体系脱节的应对。可以将风险管理流程嵌入现有的ISO45001、安全生产标准化等体系中，使其成为日常工作的有机组成部分；

4.对数据缺乏的应对。可以从定性评估开始，逐步收集数据，向半定量、定量评估过渡，同时可参考行业数据；

5.对文化阻力的应对。鼓励员工主动报告隐患和未遂事件，建立非惩罚性报告，通过宣传和奖励，强化风险意识。可以在全国范围内中小企业、大型企业的车间班组全面推广国际劳工组织倡导在全球推行的SCORE（企业可持续发展）项目。