Prepared by: (Name &Signature) Reviewed by: (Name &Signature) Approved By: (Name &Signature) Doc. Owner: M.R.: G.M.: Revision History / Distribution Record Date of Change Rev Reason of Change Date of Issuance Distributed to Copy No. 18 Nov’16 00 First Issue 18 Nov’16 01-11 Note: 01-Director; 02-GM; 03-PM; 04- HR; 05- QMR; 06- EG; 07-MC; 08-PD; 09- AS; 10- QA; 11- SM; 12-TR; 13 -Others: ___________________. 1. 目的 PURPOSE 为规范本公司各项经营管理,确保整合管理体系能够实现其预期结果,预防或减少不期望的影响的同时,抓住机会,提升公司经营绩效,实现持续改进,建立全面的风险和机遇管理措施,并为在整合管理体系中纳入、应用及评价这些措施的有效性提供操作指导。 2. 范围 SCOPE 本程序适用于在质量和环境管理体系活动中应对风险和机遇的措施的策划、实施和评价。 3. 参考文件 REFERENCES 3.1《整合管理手册》 <Integrated Management Manual> 3.2 MI.QP.S01.02《记录控制程序》 <Control of Record> 4. 记录 RECORDS 4.1风险和机遇识别、评价、应对策划表 5. 定义 DEFINITIONS 5.1风险:在一定环境下和一定限期内客观存在的、影响企业目标实现的各种不确定性事件。 5.2机遇:对企业有正面影响的条件和事件,包括某些突发事件等。 5.3风险评估:在风险事件发生之前或之后(但还没有结束),该事件给各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
5.4风险规避:风险规避是风险应对的一种方法,是指通过有计划的变更来消除风险或风险发生的条件,保护目标免受风险的影响。风险规避并不意味着完全消除风险,我们所要规避的是风险可能给我们造成的损失。一是要降低损失发生的机率,这主要是采取事先控制措施;
二是要降低损失程度,这主要包括事先控制、事后补救两个方面。
5.5风险降低:通过采取措施以达到降低风险的效果。一般情况下,若采取的措施能够有效的降低所遭受的风险,应将采取措施的记录进行保留或者写入文件进行归档,以便后期重复发生时作为改善的依据。 5.6风险接受:是指企业承担风险造成的损失。风险接受一般适用于那些造成损失较小、重复性较高的风险、最适合于自留的风险事件。 5.7内部风险:企业内部形成的风险,例如战略决策风险、环境风险、财务风险、管理风险、经营风险等。 5.8外部风险:由外部影响因素导致的风险,例如政策风险、市场需求风险和业务风险等。 5.9风险严重度:风险发生后其所产生的影响的严重程度。 5.10风险发生频度:风险出现的频率或者概率。 5.11风险系数:风险系数用于评定是否对已识别的风险采取措施,风险系数=风险严重度评分*风险频度评分*风险可探测性评分。
6. 职责 RESPONSIBILITIES 6.1 管理者代表:负责风险和机遇管理所需资源的提供,包括人员资格、必要的培训、信息获取等。负责风险可接受准则方针的确定,并按制定的评审周期保持对风险和机遇管理的评审。 6.2 品质部:负责建立风险和机遇应对控制程序,并进行维护;
落实跟进风险和机遇评估中所采取措施的完成情况并跟进落实措施的有效性,并编写《风险和机遇识别、评价、应对策划表》。
7. 程序 PROCEDURE 7.1风险和机遇的识别 7.1.1为全面识别和应对各部门在生产和管理活动中存在的风险和机遇,各部门应建立识别和应对的方法,确认本部门存在的风险,并将评估的结果记录在《风险和机遇识别、评价、应对策划表》。
7.1.2在风险和机遇的识别和应对过程中,责任部门应对可能存在风险的车间、生产过程和人员存在的风险和机遇进行逐一的筛选识别,风险和机遇识别过程中应识别包括但不限于以下方面的风险和機遇:
7.1.2.1业务开发、市场调查及客户满意度测评过程的风险和机遇. 7.1.2.2产品的设计开发、设计开发的变更控制过程的风险和机遇. 7.1.2.3外部供方评审和外部提供过程、产品、服务控制过程的风险和机遇. 7.1.2.4生产过程的风险和机遇. 7.1.2.5过程检验和监视测量设备的管理过程的风险和机遇. 7.1.2.6设备和工装夹具的维护和保养管理过程的风险和机遇. 7.1.2.7不合格品的处置及纠正预防措施的执行和验证过程的风险和机遇. 7.1.2.8持续改进过程的风险和机遇. 7.1.2.9环境因素的风险和机遇. 7.1.2.10合规性义务的风险和机遇. 7.2风险评估 风险对严重度、发生频度以及可探测度进行评价,其评价的要求应依据本程序所规定的评价准则进行。
7.2.1 风险的严重程度评价准则 7.2.1.1风险严重度用于评价潜在风险可能造成的损害程度。对潜在风险评估进行量化。若潜在风险发生后,其会产生的各方面的影响以及可能的危害程度,以下包括但不限于风险产生后会导致的危害: a. 法律法规、产品及客户要求;
b. 风险发生时导致的人身伤害;
c. 财产损失的多少;
d. 是否会导致停工/停产;
e. 对企业形象的损害程度。 注:在对风险进行严重程度判定时,推荐扩大分析风险所带来的危害层面,以便于更有效的对潜在的风险采取措施,以达到减少或部分消除风险乃至完全消除的目的。 7.2.1.2为便于识别风险所带来的危害程度,对风险的严重程度进行区分,风险严重度分为以下五类: a. 非常严重 b. 严重 c. 较严重 d. 一般 e. 轻微 下表为依据定义的风险影响和影响程度的多少进行量化,在对风险的严重程度进行评价时,下表作为评价风险严重度的准则:
严重程度 描述 法律法规、产品及其 他要求 人身伤害 财产损失 (万元) 停工/停产 企业形象 严重 等级 非常严重 违反法律法规国际/国家标准、客户标准 死亡、截肢、骨折、 听力丧失、慢性病等 财产损失≥10 不可恢复 重大国际、国内影响 5 严重 省内标准、行业标准 受伤需要停工疗养, 且停工时间≥3个月 10<财产损失≥5 需较长时间调整后才可恢复 省内、行业影响 4 较严重 地区标准 受伤需要停工疗养, 且停工时间<3个月 5<财产损失≥0.5 间歇性恢复 地区性影响 3 一般 企业标准 轻微受伤,包扎即可 财产损失<0.5 可短时恢复 企业及周边影响 2 轻微 不违反 无伤亡 无损失 没有停工 不影响 1 严重度判定过程中,当多个因素的判定其严重程度不一致时,应遵循从严原则进行判定,即当多个因素中仅其中一个或部分因素其严重度级别更高时,依据严重级别高的因素作为风险严重度进行判定。根据上表内容确定风险的严重度后,将严重等级数字填入《风险和机遇识别、评价、应对策划表》中。 7.2.2风险的发生频率评价准则 风险的发生频率是指潜在风险出现的频率, 为便于识别和定义,将风险频度定义为5级,如下所示:
a. 极少发生;
b. 很少发生;
c. 偶尔发生; d. 有时发生;
e. 经常发生;
通过对上述的不确定因素进行评价风险发生的频度,风险的发生频率的评价以其可能发生的频率进行量化确认,作为风险的发生频率的评价准则: 发生频度 定义 等级 极少发生 发生概率≤0.001% 1 很少发生 0.001%<发生概率≤0.1% 2 偶尔发生 0.1%<发生概率≤1% 3 有时发生 1%<发生概率≤10% 4 经常发生 发生概率≥10% 5 发生频度判定过程中,当一个或多个因素在判定过程中其发生频度不一致时,应遵循从严原则进行判定,即当多个因素中仅其中一个或部分因素其发生较为频繁时,依据发生频率较高的因素作为风险发生度进行判定。根据上表内容确定风险的发生频率后,将发生频率等级数字填入《风险和机遇识别、评价、应对策划表》中。
7.2.3风险可探测性评价准则 风险的可探测性是指风险发生前,根据现有控制措施,能控制或减少风险出现的概率。为便于识别和定义,将风险可探测性定义为 5级,如下所示:
可探测性描述 等级评分 随时能够发现 1 很快能够发现 2 加强检查就能发现 3 必须抽样检测才能发现 4 风险不易发现 5 7.2.4 分析现有的控制措施 1) 针对识别出的风险严重度、发生频率和可探测性,检查是否有对应的管理措施(如:制度、规范、操作指引等);
2) 分析控制措施是否可以降低风险的严重度、发生频率的可能性和风险带来的影响;
3) 风险系数=风险严重度评分*风险频度评分*风险可探测性评分 4) 风险等级分:
风险 系数 风险等级及应采取的管理措施 风险等级 风险措施 76-125 高 应立即采取措施规避或降低风险 26-75 中 需采取措施降低风险 1-25 低 风险较低,当采取措施消除风险引起的成本大于风险本身引起的损失时,接受风险 5) 中、高级别风险必须采取措施减少或规避风险处理,低级别风险可以不处理。 7.2.5 风险应对 7.2.5.1 各实施部门应对所识别的风险进行评估,根据评估的结果对风险采取措施,从而达到降低或消除风险的目的,风险应对的方法包括: a. 风险接受;
b. 风险降低;
c. 风险规避。 对风险所采取的措施应考虑尽可能的消除风险,在无法消除或暂无有效的方法或者采取消除风险的方法的成本高出风险存在时造成损失时,再选择采取降低风险或者风险接受的风险应对方法。
7.2.5.2风险接受是指企业本身承担风险造成的损失。风险接受一般适用于那些造成损失较小、重复性较高的风险,当出现以下情况时可采取接受风险的方法: a. 采取风险规避措施所带来的成本远超出潜在风险所造成的损失时;
b. 造成的损失较小且重复性较高的风险;
c. 既无有效的风险降低的措施,又无有效的规避风险的方法时;
d. 按本文件要求的风险评估准则中计算得出风险系数低于25的低风险。
7.2.5.3风险降低 风险降低即采取措施降低潜在风险所带来的损坏或损失,风险评估实施单位应制定的详细的风险降低措施降低风险,当出现以下情况时,可采取风险降低方法: a. 采取风险规避措施所带来的成本远超出潜在风险所造成的损失时;
b. 无法消除风险或暂无有效的规避措施规避风险时;
c. 按本文件要求的风险评估准则中计算得出风险系数为26至75之间的一般性风险。 7.2.5.4风险规避 风险规避是指通过有计划的变更来消除风险或风险发生的条件,保护目标免受风险的影响。风险规避并不意味着完全消除风险,我们所要规避的是风险可能给我们造成的损失。一是要降低损失发生的机率,这主要是采取事先控制措施;
二是要降低损失程度,这主要包括事先控制、事后补救两个方面。
7.2.6 风险管理的监督与改进 风险识别和评估活动是用于识别风险并综合考虑对风险应采取的有效措施,当风险系数过高时应采取风险进行规避或者降低风险,以减少风险所带来的危害或损失。风险评估实施部门应制定详细有效的措施并予以执行,在制定措施时,应考虑以下方面的内容: a. 制定的措施应是在现有条件下可执行和可落实的;
b. 制定的措施应落实到个人,每个人应完成的内容应得到明确;
c. 管理者代表对措施的执行进度和效果进行跟进,并对残余风险进行确认。
7.3机遇评估 机遇对重要度、发生频度以及可控度进行评价,其评价的要求应依据本程序所规定的评价准则进行。
7.3.1 机遇的重要度评价准则 7.3.1.1为便于识别机遇所带来的有利程度,对机遇的重要度进行区分为以下五类: a. 非常重要 b. 重要 c. 较重要 d. 一般重要 e. 轻微重要 下表为依据定义的机遇的有利程度进行量化,在对机遇的重要度进行评价时,下表作为机遇重要度的评价准则:
重要程度 财产利益(万元) 企业形象 重要等级 非常重要 财产利益≥10 重大国际、国内良好形象 5 重要 10<财产利益≥5 省内、行业良好形象 4 较重要 5<财产利益≥0.5 地区性良好形象 3 一般重要 财产利益<0.5 企业及周边良好形象 2 轻微重要 无利益 无影响 1 重要度判定过程中,当两个因素的判定其重要程度不一致时,应遵循从严原则进行判定,即当多个因素中仅其中一个或部分因素其重要度级别更高时,依据重要级别高的因素作为机遇重要度进行判定。根据上表内容确定机遇的重要度后,将重要度等级数字填入《风险和机遇识别、评价、应对策划表》中。 7.3.2机遇的发生频率评价准则 机遇的发生频率是指潜在机遇出现的频率,为便于识别和定义,将机遇的发生频度定义为5级,如下所示:
a. 极少发生;
b. 很少发生;
c. 偶尔发生; d. 有时发生;
e. 经常发生;
通过对上述的不确定因素进行评价机遇发生的频度,机遇的发生频率的评价以其可能发生的频率进行量化确认,作为风险的发生频率的评价准则: 发生频度 定义 等级 极少发生 发生概率≤0.001% 1 很少发生 0.001%<发生概率≤0.1% 2 偶尔发生 0.1%<发生概率≤1% 3 有时发生 1%<发生概率≤10% 4 经常发生 发生概率≥10% 5 发生频度判定过程中,当一个或多个因素在判定过程中其发生频度不一致时,应遵循从严原则进行判定,即当多个因素中仅其中一个或部分因素其发生较为频繁时,依据发生频率较高的因素作为机遇发生度进行判定。根据上表内容确定机遇的发生频率后,将发生频率等级数字填入《风险和机遇识别、评价、应对策划表》中。
7.3.3机遇可控性评价准则 机遇的可控性是指机遇发生前,根据现有管理措施,能抓住机遇,获得利益或建立良好企业形象的概率。为便于识别和定义,将风险可空性定义为5级,如下所示:
可控性描述 等级评分 风险不能被控制 1 机遇非常难被控制 2 机遇难被控制 3 机遇能被控制 4 机遇非常容易被控制 5 7.3.4 分析现有的控制措施 1) 针对识别出的机遇的重要度、发生频率和可控性,检查是否有对应的管理措施(如:制度、规范、操作指引等);
6) 分析管理措施是否可以降低风险的重要度、提高发生频率的可能性和机遇带来的利益;
7) 机遇系数=机遇重要度评分*机遇频度评分*机遇可控性评分 8) 机遇等级分:
机遇 机遇等级及应采取的管理措施 系数 机遇等级 机遇措施 76-125 高 应立即采取措施控制机遇 26-75 中 需积极行动采取措施控制机遇 1-25 低 保持关注,当采取措施控制机遇所需的成本大于比机遇本身带来的利益时,放弃机遇 9) 中、高级别机遇必须采取措施控制机遇,低级别机遇可以不处理。 7.3.5 机遇应对 7.3.5.1 各实施部门应对所识别的机遇进行评估,根据评估的结果对机遇采取措施,从而达到利用机遇的目的,机遇应对的方法包括: a. 立即行动;
b. 积极行动;
c. 保持关注。 7.3.5.2当采取立即行动和积极行动所造成的开销费用大于机遇所带来的利益时,采取保持关注的方法。
7.4 风险和机遇的评审 7.4.1 管理者代表应组织各部门每年对风险和机遇进行评审,以验证其有效性。如有更新,及时修订《风险和机遇识别、评价、应对策划表》风险和机遇的评审应包含以下方面的内容: a. 风险和机遇的识别是否有效且完善;
b. 风险和机遇应对措施的完成情况和进度;
c. 持续改进的机会;
d. 剩余风险分析及改进措施。
7.5.2 当出现以下情况时,应当适当增加风险和风险评审的次数: a. 与质量管理体系有关的法律、法规、标准及其它要求有变化时;
b. 组织机构、产品范围、资源配置发生重大调整时;
c. 发生重大品质事故或相关方投诉连续发生时;
d. 其它认为有管理评审需要时;
e. 其它情况需要时。
8. 风险和机遇识别控制流程图 Risk and opportunity identify and control flow chart 见附件一 ————————————————————— END —————————————————————
