風險和機遇的應對控制程式

1、 目的：

為建立風險和機遇的應對措施，明確包括風險應對措施風險規避、風險降低和風險接受在內的操作要求，建立全面的風險和機遇管理措施和內部控制的建設，增強抗風險能力，併為在質量管理體系中納入和應用這些措施及評價這些措施的有效性提供操作指導。

2、 範圍：

本程式適用於在公司質量管理體系活動中應對風險和機遇的方法及要求的控制提供操作依據，這些活動包括：

2。1 業務開發、市場調查及客戶滿意度測評過程的風險和機遇管理。

2。2 產品的變更控制過程的風險和機遇管理。

2。3 供應商評審和採購控制過程的風險和機遇管理。

2。4 來料檢驗和監視測量裝置的管理過程的風險和機遇管理。

2。5裝置的維護和保養管理過程的風險和機遇管理。

2。6不合格品的處置及糾正預防措施的執行和驗證過程的風險和機遇管理。

2。7持續改進過程的風險和機遇管理。

2。8當適用時，也可適用於對公司管理過程中應對風險和機遇的控制提供操作指南。

3、 定義：

3。1 風險：在一定環境下和一定限期內客觀存在的、影響企業目標實現的各種不確定性事件。

3。2 機遇：對企業有正面影響的條件和事件，包括某些突發事件等。

3。3 風險評估：在風險事件發生之前或之後（但還沒有結束），該事件給各個方面造成的影響和損失的可能性進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。

3。4 風險規避：風險規避是風險應對的一種方法，是指透過有計劃的變更來消除風險或風險發生的條件，保護目標免受風險的影響。風險規避並不意味著完全消除風險，我們所要規避的是風險可能給我們造成的損失。一是要降低損失發生的機率，這主要是採取事先控制措施。二是要降低損失程度，這主要包括事先控制、事後補救兩個方面。

3。5 風險降低：透過採取措施以達到降低風險的效果。一般情況下，若採取的措施能夠有效的降低所遭受的風險，應將採取措施的記錄進行保留或者寫入檔案進行歸檔，以便後期重複發生時作為改善的依據。

3。6 風險接受：是指企業承擔風險造成的損失。風險接受一般適用於那些造成損失較小、重複性較高的風險、最適合於自留的風險事件。

3。7 內部風險：企業內部形成的風險，例如戰略決策風險、環境風險、財務風險、管理風險、經營風險等。

3。8 外部風險：由外部影響因素導致的風險，例如政策風險、市場需求風險和業務風險等。

3。9 風險嚴重度：風險發生後其所產生的影響的嚴重程度。

3。10 風險發生頻率：風險出現的頻率或者機率。

3。11 風險係數：風險係數用於評定是否對已識別的風險採取措施，風險係數=風險嚴重程度 x 風險發生頻率。

4、 權責：

4。1 管理者代表

4。1。1 負責風險管理所需資源的提供，包括人員資格、必要的培訓、資訊獲取等。

4。1。2 負責風險可接受準則方針的確定，並按制定的評審週期保持對風險和機遇管理的評審。

4。1。3 負責按所要求的週期組織實施風險和機遇的評審，落實跟進風險和機遇評估中所採取措施的完成情況並跟進落實措施的有效性，並編寫《風險和機遇分析和評估表》

4。1。4 負責本部門的風險評估及應對風險的策劃和應對風險措施的執行和監督。

4。2 各部門：負責本部門的風險和機遇評估，並制定相應的措施以規避或者降低風險並落實執行。

4。3 業務部：負責收集產品售後的風險資訊及本部門的風險識別，負責制定相應的措施以規避或者降低風險並落實執行。

5、 工作程式：

5。1 應對風險和機遇的策劃

5。1。1 為全面識別和應對各部門在生產和管理活動中存在的風險和機遇，各部門應建立識別和應對的方法，確認本部門存在的風險，並將評估的結果記錄在《風險和機遇分析和評估表》。

5。1。2 在風險和機遇的識別和應對過程中，責任部門應對可能存在風險的車間、生產過程和人員存在的風險進行逐一的篩選識別，風險識別過程中應識別包括但不限於以下方面的風險：

a。對產品適用的法律法規、客戶要求的變更造成的風險。

b。工作過程中的安全風險。

c。產品售後的風險。

d。產品設計開發階段的設計失效風險。

e。過程失效的風險。

注：設計失效和過程失效可參考失效模式分析中 DFMEA 設計失效模式分析和 PFMEA 過程失效模式分析的方法對設計和生產過程存在的風險進行評估，若選用其結果應按要求得到控制。

5。2 建立風險和機遇管理團隊

5。2。1 建立分風險和機遇評估小組

5。2。1。1 風險識別活動的開展應是一次團體的活動，各部門在進行風險識別和評估過程中應透過集思廣益和有效的分析判斷下進行的，在此之前應建立一個“風險和機遇評估小組”，管理者代表應透過授權，賦予該“風險和機遇評估小組”以下的職責：

a。組織實施風險和機遇分析和評估。

b。制定風險和機遇應對措施並落實執行。

c。編制風險管理計劃。

d。組織實施風險應對措施的實施效果驗證。

5。2。1。2 在“風險和機遇評估小組”中，管理者代表應指派一名人員作為該小組的組長，負責規劃和安排風險和機遇的識別和應對的控制。

5。2。2 風險管理團隊人員的任職要求：為確保參與風險和機遇識別和評估的人員，其人員資質符合要求，能夠勝任並且參與本部門的風險和機遇的識別和制定應對相應的應對措施，風險和機遇評估小組人員應具備以下能力：

a。熟悉其所在部門的所有流程。

b。有一定的組織協調能力。

c。熟悉本標準的要求，並依據本標準內容策劃風險分析和評估。

5。3 風險評估：對已識別的風險的嚴重度和發生頻率進行評價，其評價的要求應依據本程式所規定的評價準則進行評價確認，風險的嚴重度和發生頻率的確認用以確定風險係數，之後根據風險係數確定對風險應採取的措施。

5。3。1 風險的嚴重程度評價準則

5。3。1。1 風險嚴重度用於評價潛在風險可能造成的損害程度，根據對潛在風險的評估量化，若潛在風險發生後，其會導致的各方面的影響以及危害程度，以下包括但不限於風險產生後會導致的危害：

a。法律法規、產品及客戶要求。

b。風險發生時導致的人身傷害。

c。財產損失的多少；

d。是否會導致停工/停產。

e。對企業形象的損害程度。

注：在對風險進行嚴重程度判定時，推薦擴大分析風險所帶來的危害層面，以便於更有效的對潛在的風險採取措施，以達到減少或部分消除風險乃至完全消除的目的。

5。3。1。2 為便於識別風險所帶來的危害程度，對風險的嚴重程度進行區分，風險嚴重度分為以下五類：

a。非常嚴重

b。嚴重

c。較嚴重

d。一般

e。輕微

5。3。1。3 依據定義的風險影響和影響程度的多少進行量化，在對風險的嚴重程度進行評價時，下表作為評價風險嚴重度的準則：

5。3。1。4 嚴重度判定過程中，當多個因素的判定其嚴重程度不一致時，應遵循從嚴原則進行判定，即當多個因素中僅其中一個或部分因素其嚴重度級別更高時，依據嚴重級別高的因素作為風險嚴重度進行判定。根據上表內容確定風險的嚴重度後，將嚴重程度等級數字填入《風險和機遇分析和評估表》中。

5。3。2 風險的發生頻率評價準則

5。3。2。1 風險的發生頻率是指潛在風險出現的頻率， 為便於識別和定義，將風險頻度定義為 5 級，如下所示：

a。極少發生。

b。很少發生。

c。偶爾發生。

d。有時發生。

e。經常發生。

5。3。2。2透過對上述的不確定因素進行評價風險發生的頻度，風險的發生頻率的評價以其可能發生的頻率進行量化確認作為風險的發生頻率的評價準則：

5。3。2。3 發生頻率判定過程中，當一個或多個因素在判定過程中其發生頻率不一致時，應遵循從嚴原則進行判定，即當多個因素中僅其中一個或部分因素其發生較為頻繁時，依據發生頻率較高的因素作為風險發生頻率進行判定。根據上表內容確定風險的發生頻率後，將發生頻率等級數字填入《風險和機遇分析和評估表》中。

5。3。3 風險的可接受準則

5。3。3。1 風險可接受準則是透過計算得出的風險係數來判定風險是否可接受，透過對風險的嚴重度和風險的發生頻率評價後，透過計算風險係數確定是否對風險採取措施。風險係數的計算如下公式：風險係數=風險嚴重度等級*風險頻度等級

5。3。3。2 風險係數的大小決定是否對風險應採取的措施，如下表要求：

5。3。3。3 使用風險係數作為參考值，下表為風險風險係數的範圍及當風險係數達到一定值時應對風險採取的措施：

5。3。3。4 風險的應對方式應根據實際情況進行篩選，當潛在的風險可有效的採取規避措施進行規避風險時，應制定風險規避方案，確認風險規避措施並予以執行，直至部分消除或完全消除風險。當尚無可行方案進行規避風險時，應採取有效的風險降低措施，降低潛在風險所帶來的影響。下表為識別風險係數後，對風險等級的判定應急應採取的風險應對措施對照表：

5。3。3。5 在進行風險分析和風險應對過程中，應保持風險措施的方案和實施結果的跟進應記錄，記錄的保持依據《檔案及記錄控制程式》執行，風險分析和風險應對措施的詳細內容應記錄在《風險和機遇分析和評估表》中，便於後續的查閱和跟進。

5。4 風險應對

5。4。1 各實施部門應對所識別的風險進行評估，根據評估的結果對風險採取措施，從而達到降低或消除風險的目的，風險應對的方法包括：

5。4。1。1 風險接受。

5。4。1。2 風險降低。

5。4。1。3 風險規避。

5。4。2 對風險所採取的措施應考慮儘可能的消除風險，在無法消除或暫無有效的方法或者採取消除風險的方法的成本高出風險存在時造成損失時，再選擇採取降低風險或者風險接受的風險應對方法。

5。4。3 風險接受

是指企業本身承擔風險造成的損失。風險接受一般適用於那些造成損失較小、重複性較高的風險，當出現以下情況時可採取接受風險的方法：

5。4。3。1 採取風險規避措施所帶來的成本遠超出潛在風險所造成的損失時。

5。4。3。2 造成的損失較小且重複性較高的風險。

5。4。3。3 既無有效的風險降低的措施，又無有效的規避風險的方法時。

5。4。3。4 按本檔案要求的風險評估準則中計算得出風險係數低於 5 的低風險。

5。4。4 風險降低：風險降低即採取措施降低潛在風險所帶來的損壞或損失，風險評估實施單位應制定的詳細的風險降低措施降低風險，當出現以下情況時，可採取風險降低方法：

5。4。4。1 採取風險規避措施所帶來的成本遠超出潛在風險所造成的損失時。

5。4。4。2 無法消除風險或暫無有效的規避措施規避風險時。

5。4。4。3 按本檔案要求的風險評估準則中計算得出風險係數為 5 至 15 之間的一般性風險。

5。4。5 風險規避指透過有計劃的變更來消除風險或風險發生的條件，保護目標免受風險的影響。風險規避並不意味著完全消除風險，我們所要規避的是風險可能給我們造成的損失。一是要降低損失發生的機率，這主要是採取事先控制措施。二是要降低損失程度，這主要包括事先控制、事後補救兩個方面。

5。4。6 風險管理的監督與改進：風險識別和評估活動是用於識別風險並綜合考慮對風險應採取的有效措施，當風險係數過高時應採取風險進行規避或者降低風險，以減少風險所帶來的危害或損失。風險評估實施部門應制定詳細有效的措施並予以執行，在制定措施時，應考慮以下方面的內容：

5。4。6。1 制定的措施應是在現有條件下可執行和可落實的。

5。4。6。2 制定的措施應落實到個人，每個人應完成的內容應得到明確。6。4。6。3 應指派一名負責人為措施的執行進度和效果進行跟進，確保採取的措施被有效的落實。

5。5 風險和機遇的評審： 管理者代表應按制定的週期組織實施對風險和機遇的評審，以驗證其有效性。風險和機遇的評審應包含以下方面的內容：

a。風險和機遇的識別是否有效且完善。

b。風險應對措施的完成情況和進度。

c。對產品和服務的符合性和顧客滿意度的潛在影響。

5。5。1 風險和機遇評審的策劃：風險和機遇評審應每年度至少實施一次評審，以驗證其有效性。當出現以下情況是，應當適當增加風險和風險評審的次數：

5。5。1。1 與質量管理體系有關的法律、法規、標準及其他要求有變化時。

5。5。1。2 組織機構、產品範圍、資源配置發生重大調整時。

5。5。1。3 發生重大品質事故或相關方投訴連續發生時。

5。5。1。4 第三方認證稽核前或其他認為有管理評審需要時。

5。5。1。5 其他情況需要時。

5。5。2 風險和機遇評審的實施

5。5。2。1 實施前的準備：在風險和機遇評審會議之前，各部門應整理本部門對風險和機遇分析的資料，包括風險識別風險評估和風險應對的內容以及風險應對所採取措施的結果等記錄進行彙總分析。

5。5。2。2 應對風險和機遇措施的實施：管理者代表按策劃的要求組織個部門實施對風險和機遇的評審，管理者代表應保留評審的記錄以及評審所確定的決議，包括後續的改善機會。風險和機遇的評審應形成包含但不限於以下方面的內容：

a。風險和機遇分析和評估表。

b。持續改進的機會。

c。剩餘風險分析及改進措施。

7、 體系記錄

7。1風險和機遇評估及其應對措施表