風險和機遇的控制程序

XX有限公司版本文件編號生效日期A0XXXX風險和機遇的控制程序版本更改類型生效日期更改內(nèi)容會簽部門：品質(zhì)： 工程：米購： 業(yè)務：研發(fā)： DCC：生產(chǎn)： PMC：行政： 財務：制作： 審核： 批準：XX有限公司版本文件編號生效日期AOXXXX1目的為建立風險和機遇的應對措施，明確包括風險應對措施風險規(guī)避、風險降低和風險接受在內(nèi)的操作要求，建立全面的風險和機遇管理措施和內(nèi)部控制的建設，增強抗風險能力，并為在質(zhì)量環(huán)境安全管理體系中納入和應用這些措施及評價這些措施的有效性提供操作指導。2適用范圍本程序適用于在公司質(zhì)量/環(huán)境/職業(yè)健康安全管理體系活動中應對風險和機遇的方法及要求的控制。3術語/定義3.1風險指未來的不確定性對公司實現(xiàn)其經(jīng)營目標的影響。3.2機遇對企業(yè)有正面影響的條件和事件，包括某些突發(fā)事件等。3.3風險管理本程序所稱風險管理，指圍繞公司總體經(jīng)營目標，通過在管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全風險管理體系，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。3.4內(nèi)部風險企業(yè)內(nèi)部形成的風險，例如戰(zhàn)略決策風險、環(huán)境風險、財務風險、管理風險、經(jīng)營風險等。3.5外部風險由外部影響因素導致的風險，例如政策風險、市場需求風險和業(yè)務風險等。3.6戰(zhàn)略風險指不確定因素對企業(yè)實現(xiàn)規(guī)劃目標的影響。3.7財務風險指融資安排、會計核算與管理，以及會計或財務報告失誤，而對企業(yè)造成損失的風險。3.8市場風險指因市場等外界條件變化而使企業(yè)產(chǎn)生經(jīng)濟損失的風險。3.9運營風險指企業(yè)內(nèi)部流程和系統(tǒng)、人為或外部因素而給企業(yè)造成經(jīng)濟損失的風險。3.10法律風險指因違反法律、法規(guī)或規(guī)定而導致企業(yè)遭受經(jīng)濟或聲譽損失的風險。3.11風險辨識指查找公司各項重要經(jīng)營活動及業(yè)務流程中有無風險，有哪些風險。3.12風險分析指對辨識出的風險及其特征進行明確的定義描述，分析風險發(fā)生的條件或原因以及風險發(fā)生可能性的高低。3.13風險評估在風險事件發(fā)生之前或之后（但還沒有結束），該事件給各個方面造成的影響和損失的可能性進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。3.14風險管理策略生效日期生效日期生效日期文件編號XX有限公司 上AOIXX XX生效日期文件編號指企業(yè)根據(jù)自身條件和外部環(huán)境，圍繞企業(yè)發(fā)展戰(zhàn)略，確定風險偏好、風險承受度，選擇風險承擔、規(guī)避、轉移、轉換、對沖、補償、控制等適合的風險管理工具的總體策略。3.15風險應對指公司根據(jù)風險管理策略，針對各類風險或每一項重大風險制定風險應對方案。3.16重大風險指經(jīng)過風險評估所確定的，在公司當前所有風險中風險水平為高的風險，包括不限于規(guī)劃制定、重大項目投資、國際合作、重大合同履行、并購等。3.17重大風險管理指對重大風險的辨識和評估、風險管理策略和應對方案的制定以及持續(xù)進行風險監(jiān)控和管理改進的過程。3.18風險規(guī)避風險規(guī)避是風險應對的一種方法，是指通過有計劃的變更來消除風險或風險發(fā)生的條件，保護目標免受風險的影響。風險規(guī)避并不意味著完全消除風險，我們所要規(guī)避的是風險可能給我們造成的損失。一是要降低損失發(fā)生的機率，這主要是采取事先控制措施，二是要降低損失程度，這主要包括事先控制、事后補救兩個方面。3.19風險降低通過采取措施以達到降低風險的效果。一般情況下，若采取的措施能夠有效的降低所遭受的風險，應將采取措施的記錄進行保留或者寫入文件進行歸擋，以便后期重復發(fā)生時作為改善的依據(jù)。3.20風險轉移通過采取措施以達到將風險轉移的效果。如將風險轉移給相關方或者風險共同承擔。3.21風險接受是指企業(yè)承擔風險造成的損失。風險接受一般適用于那些造成損失較小、重復性較高的風險、最適合于自留的風險事件。3.22風險嚴重度風險發(fā)生后其所嚴生的影響的嚴重程度。3.23風險發(fā)生頻度風險出現(xiàn)的頻率或者概率。3.24風險系數(shù)風險系數(shù)用于評定是否對已識別的風險采取措施，風險系數(shù)=風險嚴重度X風險發(fā)生頻度。4職責4.1綜合管理部負責風險和機遇管理過程的歸口部門；負責建立風險和機遇應對控制程序，并進行維護。組織、協(xié)調(diào)和指導各單位開展風險管理工作。負責按本文件所要求的周期組織實施風險和機遇的評審，落實跟進風險和機遇評估中所采取措施的完成情況并跟進落實措施的有效性。并定期和不定期向公司領導提交全面風險管理（評估）報告。4.2公司內(nèi)體系覆蓋各單位負責收集與本部門負責的過程有關的風險和機遇信息及本部門的風險和機遇識別；負責所屬部門的風險和機遇評估，并制定相應的措施以規(guī)避或者降低風險并落實執(zhí)行。負責監(jiān)控風險事件的變化狀態(tài)，實時向綜合管理部報告突發(fā)風險事件，并聯(lián)合綜合管理部制定和啟動應急預案。5工作程序風險和機遇管理策劃XX有限公司版本文件編號生效日期A0XXXX風險和機遇識別與評審應在編制每年度經(jīng)營計劃之前進行，當出現(xiàn)以下情況是，應當適當增加風險和機遇識別的頻次：a.與質(zhì)量管理體系有關的法律、法規(guī)、標準及其他要求有變化時；b.組織機構、產(chǎn)品范圍、資源配置發(fā)生重大調(diào)整時；c.發(fā)生重大品質(zhì)事故或相關方投訴連續(xù)發(fā)生時；d.第三方認證審核前或其他認為有管理評審需要時；e.其他情況需要時。1.1綜合管理部在每年底組織相關部門識別公司內(nèi)外部環(huán)境因素（外部：法律法規(guī)要求/技術/競爭/市場、原材料供應、文化、社會、經(jīng)濟；內(nèi)部：戰(zhàn)略風險、運營、財務、人力、資源風險）及相關方（客戶、股東、員工、供應商、審核機構、政府/工商/稅務/銀行/環(huán)保等機構）的要求和期望的同時進行對公司的風險和機遇識別進行整體策劃；由綜合管理部牽頭組建一個“風險和機遇評估小組”，小組成員來自于各部門的負責人或者其指定的人選，賦予小組以下的職責：a.組織實施風險和機遇分析和評估；b.制定風險和機遇應對措施，將其量化分解到相關部門，落實執(zhí)行；c.編制風險管理計劃；d.組織實施風險應對措施的實施效果驗證。在〃風險和機遇評估小組〃中，應指派一名人員作為該小組的組長，負責規(guī)劃和安排風險和機遇的識別和應對的控制，策劃并實施風險和機遇的管理。參與風險和機遇識別和評估的人員，其人員資質(zhì)符合要求，能夠勝任并且參與本部門的風險和機遇的識別和制定應對相應的應對措施，風險和機遇評估小組人員應具備以下的能力：a.熟悉其所在部門的所有流程；b.有一定的組織協(xié)調(diào)能力，c.熟悉本標準的要求，并依據(jù)本標準內(nèi)容策劃風險分析和評估。5.2風險識別5.2.1每年底由各職能部門對其所分管的過程（管理體系已識別的一級過程）進行風險及機遇的識別或修訂完成《風險和機遇評估分析表》后，提交給綜合管理部，由綜合管理部組織〃風險和機遇評估小組〃進行評審，定稿；5.2.2每年底由綜合管理部組織〃風險和機遇評估小組〃負責完成識別公司內(nèi)外部環(huán)境因素（外部：法律法規(guī)要求/技術/競爭/市場、原材料供應、文化、社會、經(jīng)濟；內(nèi)部：戰(zhàn)略風險、運營、財務、人力、資源風險）及相關方（客戶、股東、員工、供應商、審核機構、政府/工商/稅務/銀行等機構）的要求和期望的同時一，進行對公司的風險和機遇識別形成《風險和機遇評估分析表》，評審定稿后與各部門識別的過程風險再進行匯總，形成年度公司級的《風險和機遇評估分析表》。3風險評估對已識別的風險的嚴重度和發(fā)生頻度進行評價，其評價的要求應依據(jù)本程序所規(guī)定的評價準則進行評價確認，風險的嚴重度和發(fā)生頻度的確認用以確定風險系數(shù)，之后根據(jù)風險系數(shù)確定對風險應采取的措施。3.1風險的嚴重程度評價準則XX有限公司版本文件編號生效日期A0XXXX風險嚴重度用于評價潛在風險可能造成的損害程度，根據(jù)對潛在風險的評估量化，若潛在風險發(fā)生后，其會導致的各方面的影響以及危害程度。為便于識別風險所帶來的危害程度，對風險的嚴重程度進行區(qū)分，風險嚴重度分為以下五級：.輕微.一般.較嚴重.嚴重.非常嚴重嚴重度判定過程中，當多個因素的判定其嚴重程度不一致時，應遵循從嚴原則進行判定，即當多個因素中僅其中一個或部分因素其嚴重度級別更高時，依據(jù)嚴重級別高的因素作為風險嚴重度進行判定。根據(jù)上表內(nèi)容確定風險的嚴重度后，將嚴重等級數(shù)字填入《風險和機遇評估分析表》中。3.2風險的發(fā)生頻率評價準則風險的發(fā)生頻率是指潛在風險出現(xiàn)的頻率，為便于識別和定義，將風險頻率定義為5級，如下所示：.基本不發(fā)生.極少發(fā)生.偶爾發(fā)生.有時發(fā)生.頻繁發(fā)生通過對上述的不確定因素進行評價風險發(fā)生的頻度，風險的發(fā)生頻率的評價以其可能發(fā)生的頻率進行量化確認作為風險的發(fā)生頻率的評價準則：發(fā)生頻率定義等級基本不發(fā)生發(fā)生概率W0.0011極少發(fā)生0.001（發(fā)生概率W0.022偶爾發(fā)生0.02（發(fā)生概率W0.13有時發(fā)生0.1＜發(fā)生概率W0.54頻繁發(fā)生發(fā)生概率三0.55發(fā)生頻度判定過程中，當一個或多個因素在判定過程中其發(fā)生頻度不一致時，應遵循從嚴原則進行判定，即當多個因素中僅其中一個或部分因素其發(fā)生較為頻繁時，依據(jù)發(fā)生頻率較高的因素作為風險發(fā)生度進行判定。根據(jù)上表內(nèi)容確定風險的發(fā)生頻度后，將發(fā)生頻度等級數(shù)字填入《風險和機遇評估分析表》中。3.3風險的可接受準則風險可接受準則是通過計算得出的風險系數(shù)來判定風險是否可接受，通過對風險的嚴重度和風險的發(fā)生頻率評價后，通過計算風險系數(shù)確定是否對風險采取措施。風險系數(shù)的計算如下公式：今風險系數(shù)=風險嚴重度等級*風險頻度等級令風險系數(shù)的大小決定是否對風險應采取的措施，如下表要求使用風險系數(shù)作為參考值，下表為風險系數(shù)的范圍及當風險系數(shù)達到一定值時應對風險采取的措施：XX有限公司版本文件編號生效日期A0XXXX嚴重度系數(shù)S嚴重度風險層次5非常嚴重R2-可容忍R3-不希望有R3-不希望有R4-不可容忍R4-不可容忍4嚴重R1-可忽略R2-可容忍R3-不希望有R4-不可容忍R4-不可容忍3較嚴重R1-可忽略R2-可容忍R2-可容忍R3-不希望有R3-不希望有2一般R1-可忽略R1-可忽略R2-可容忍R2-可容忍R3-不希望有1輕微R1-可忽略R1-可忽略R1-可忽略R1-可忽略R2-可容忍頻度基本不發(fā)生極少發(fā)生偶爾發(fā)生有時發(fā)生頻繁發(fā)生頻度系數(shù)012345風險矩陣評估法（頻度和嚴重度組合）風險等級處理原則R416W5不可容忍必須采取措施予以降低/轉移/規(guī)避風險R310WR<16不希望有應該采取措施消除，若是風險不能降低，應經(jīng)業(yè)務主管部門同意，才能接受R25WRV10可容忍當采取措施消除風險引起的其他方面影響比風險本身引起的影響更大，接受風險R1<5可忽略可接受風險，不需采取措施在進行風險分析和風險應對過程中，應保持風險措施的方案和實施結果的跟進記錄，風險分析和風險應對措施的詳細內(nèi)容應記錄在《風險和機遇評估分析表》中，便于后續(xù)的查閱和跟進。5.4風險應對各實施部門應對所識到的風險進行評估，根據(jù)評估的結果對風險采取措施，從而達到降低或消除風險的目的，風險應對的方法包括：1）降低風險2）轉移風險3）規(guī)避風險4）接受風險對風險所采取的措施應考慮盡可能的消除風險，在無法消除或暫無有效的方法或者采取消除風險的方法的成本高出風險存在時造成損失時，再選擇采取降低風險或者風險接受的風險應對方法。4.1接受風險是指企業(yè)本身承擔風險造成的損失。風險接受一般適用于那些造成損失較小、重復性較高的風險，當出現(xiàn)以下情況時可采取接受風險的方法：a.采取風險規(guī)避措施所帶來的成本遠超出潛在風險所造成的損失時；b.造成的損失較小且重復性較高的風險；XX有限公司版本文件編號生效日期A0XXXXC.既無有效的風險降低的措施，又無有效的規(guī)避風險的方法時；d.按本文件要求的風險評估準則中計算得出風險系數(shù)低于5的低風險。5.4.2風險降低/轉移風險降低即采取措施降低/轉移潛在風險所帶來的損壞或損失，風險評估實施單位應制定詳細的風險降低措施降低/轉移風險，當出現(xiàn)以下情況時，可采取風險降低/轉移方法：a.采取風險規(guī)避措施所帶來的成本遠超出潛在風險所造成的損失時；b.無法消除風險或暫無有效的規(guī)避措施規(guī)避風險時；5.4.3風險規(guī)避風險規(guī)避是指通過有計劃的變更來消除風險或風險發(fā)生的條件，保護目標免受風險的影響。風險規(guī)避并不意味著完全消除風險，我們所要規(guī)避的是風險可能給我們造成的損失。一是要降低損失發(fā)生的機率，這主要是采取事先控制措施;二是要降低損失程度，這主要包括事先控制、事后補救兩個