《质量管理体系文件》QP-21风险管理程序 (2)

1、编制审核批准日期日期日期文 件 使 用 部 门部 门签 收部 门签 收总经办财务部采购生产部品质部研发部仓库人力资源部销售部文 件 修 订 记 录日期修改类型版本修改原因修改内容修改人批准人1 目的 识别本公司的组织、过程、产品等活动的风险，评价其风险程度及级别，并对其进行有效控制。2 适用范围 适用于公司组织、过程、产品等活动的风险、风险评价更新与管理。3 职责3.1各部门负责本部门风险的识别和损失的金额初步统计，编制本部门的风险评价表。3.2 各部门按照风险等级情况进行建立应对的基本措施。3.3总经理负责领导工作和资金的批准。3.4 财务负责损失的金额的核算和支付。4 定义4.1 风险：某

2、一特定风险情况发生的可能性和后果的组合。4.2 风险评价：评估风险大小以及确定风险是否可容许的全过程。5 控制程序5.1.1 风险识别与评价的主要内容有： (1)相关法律、法规、市场环境及其他要求的规定；(2)识别公司活动、产品、服务或运行条件中的风险；（3）组织的内外部环境分析要求；（4）相关方的期望和要求；(5)其它影响公司运行等风险方面。5.1.2风险类别：（1）政治法规风险；（2）经济风险（利率、汇率的变化）；（3）商业风险（如合同关系发生变更）；（4）决策风险；（5）生产经营风险；（6）科技技术风险；（7）管理风险；（8）质量风险；（9）环境风险；（10）财务风险、审计风险；（11）

3、安全生产事故风险；（12）自然灾害；（13）公共责任风险；（14）保安（15）其他：党风廉政风险5.2 风险识别与评价的时机5.2.1 以公司的全部部门和活动为对象，每年年初在设定目标、指标、制定措施前进行。5.2.2 公司的整合型管理体系建立之初进行初始状态评审。5.2.3 在相关及其他要求变更或公司的活动、产品、服务或运行条件以及相关方的要求等情况发生变化时，应适时进行风险的评审。5.3 风险辨识5.3.1 风险识别时，体系部将风险识别及分析和控制措施列表发给相关部门，各部门从组织、过程、产品中找出风险，填写风险识别及分析和控制措施列表并反馈到体系部。5.4 风险评价：各部门进行风险识别后

4、，体系部按下述方法进行风险评价。5.4.1 对于已选择确定的风险，按照风险发生可能性（频率）和损失（影响）程度进行评分，按风险等级进行管理。5.4.4 风险评分规则 a) o风险发生可能性（频率）估计一年内发生的次数情况严重度评分规则参考定性极低低一般高很高定量（发生概率）1年小于1次1年1-10次每月均有发生每星期至少一次每天发生评分246810b)s风险损失（影响）程度：每次发生的直接和间接损失的金额可能性评分规则参考定性极低低一般高很高定量（经济损失）1000以下0.1-1万元1-10万元10-50万元50万元以上评分246810c )so（s×o）风险等级分值分数值危险程度风

5、险等级1001008080505030 030极其危险，不能继续运行高度危险，要立即整改显著危险，需要整改一般危险，需要注意稍有危险，可以接受 5 4 3 2 15.5 风险控制5.5.1 风险的分级控制 (1)1级：无须采取措施且不必保留文件记录。 (2)2级：是指风险减低到合理可行的、最低水平而不需要另外的控制措施，应考虑投资效果更佳的解决方案或不增加额外成本的改进措施，需要监测来确保控制措施得以维持。 (3)3级：应努力降低风险，但应仔细测定并限定预防成本，在规章制度内进行预防和控制。 (4)4级：直至风险降低后才能开始工作。为降低风险有时必须配给一定的资源。当风险涉及正在进行的工作时，

6、就应采取应急措施，应在方案和规章制度中予以制定控制办法，并对其实施监控。 (5)5级：作为重点的控制对象，制定方案实施控制。5.5.2 重大风险评价依据 (1)对违反相关法律、法规及其他要求的直接判定为重大风险。 (2)1级的全部和2级的部分风险判定为重大风险。5.5.3 风险评价后应制定措施，其要求为： a)对于已确定的风险首先考虑消除风险； b)对于因资金、技术等原因一时难以消除的风险，应考虑采取措施降低风险到可接受的程度；c)应对的基本措施包括：1）回避：风险程度公司不能承受，或者风控成本大于预期收益。2）降低：可以通过控制措施降低风险频率或者损失程度。3）分担：通过保险或外包业务等方式

7、，公司承担部分成本。4）承受：损失程度不大，而控制措施的成本较高。5.5.4 风险控制可通过实施相应方案进行，也可通过运行来控制。5.5.5 各部门依据项目的风险提出具体控制措施，并需评审及措施的有效性。5.5.6 对风险控制方案适时评审，评审及方案的有效性。5.6 风险的更新和持续改进5.6.1 在相关法律、法规、市场环境变更或公司的活动、产品、服务或运行条件，以及相关方的要求等发生变化时，要及时进行风险评估，重新识别、评价风险。5.6.2 公司有新项目时应将项目可能存在的或潜在的风险进行辨识，并确定风险的级别，上报体系部。5.6.3 风险辨识与风险评价有新要求或新方法时，对方案进行更新。5.6.4 当项目情况发生变化