内外部环境和相关方要求识别及风险管理程序

1、内外部环境和相关方要求识别及风险管理程序内外部环境和相关方要求识别及风险管理程序（ ISO9001：2015）1 目的1.1 识别公司质量管理体系存在的，会影响到体系管理内外部环境因素和相关方要求，并判定内外部环境因素和相关方要求给公司带来的机会和风险。1.2 评价风险和机会， 并根据评价结果采取应对措施，以确保质量体系的有效运行。2 范围本程序适用于在公司质量 管理体系活动中 ，识别内外部存在的机会和风险，及应对措施的建立和评价过程。3 职责3.1 总经理：负责内外部环境和相关方要求及对应风险管理所需资源的提供。3.2 管理者代表：负责组织落实内外部环境和相关方要求的定期识别和评审，组织风险

2、和机会的评价和措施建立。3.3 各部门：负责参与内外部环境和相关方要求识别和评审；负责本部门的风险和机会评估，并制定相应的措施以规避或者降低风险并落实执行。4定义4.1 风险：在一定环境下和一定限期内客观存在的、影响企业目标实现的各种不确定性事件。内外部环境和相关方要求识别及风险管理程序4.2 机会：对企业有正面影响的条件和事件, 包括某些突发事件等。4.3 风险评估：在风险事件发生之前或之后（但还没有结束），该事件给各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。4.4 内部环境：企业内部环境, 例如组织使命、资源、内部管

3、理、内部绩效等。4.5 外部环境：例如 法律、技术、竞争、市场、文化、社会和经济环境有关的因素等。4.6 相关方：人或组织。他能影响组织的某个决策或活动，或被其影响，及认为自身会被其影响。如：客户、外部供方、行业组织等。4.7 风险严重度：风险发生后其所产生的影响的严重程度。4.8 风险发生概率：风险出现的频率或者概率。4.9 风险系数：风险系数用于评定是否对已识别的风险采取措施，风险系数 =风险严重度 x 风险发生频度。5程序5.1 公司内外部环境因素和相关方要求的识别对象在分析外部环境因素对公司质量体系的影响时：可考虑a.宏观经济因素：如汇率、国家经济、CPI 指数、信贷b. 市场竞争因素

4、：如市场占有率、可替代产品、行业标杆企业状况、顾客趋势等内外部环境和相关方要求识别及风险管理程序c. 社会因素：如本地就业数据、教育水平、工作时间、假期等d. 政治因素：如政治稳定性、本地基础设施、政府公共服务等e. 法规因素：如产品法规、有害物质法规、劳工法规等f. 技术因素：如新科技、新技术、新材料、专利有效期等在分析内部环境因素对公司质量体系的影响时：可考虑a. 公司使命：如愿景、目标、义务b. 公司资源：如：财务、人力、环境、基础设施、知识储备c. 公司管理：如组织架构、决策过程、d. 公司运营绩效：产品先进性、生产交付能力、体系能力、客户评价、质量管理绩效、合规性等。在分析相关方要求

5、是，可考虑a. 顾客； b. 外部供方； c. 内部员工； d. 最终消费者； e. 监管机构； f. 社会团体； g. 行业机构； 等。5.2 公司内外部环境因素和相关方要求的识别过程在建立质量管理体系时，管理者代表要组织各部门负责人进行一次涉及公司的识别过程，总经理应参与识别。以后每年应进行一次例行的识别和评审，以监视和评审这些因素和要求的适用性、公司对应措施的有效性及变化。内外部环境因素的识别结果记录在公司内外环境识别一览表中。内外部环境和相关方要求识别及风险管理程序相关方要求的识别结果记录在公司相关方要求识别一览表中。5.3 内外部环境因素和相关方要求的识别结果的运用在确定公司质量管理

6、体系过程及范围时，应考虑识别的结果的运用。可采取 SWOT分析的方法来分析和运用识别的结果，并将其纳入质量管理体系中，具体参见公司内外环境识别一览表。通过 5.4 章节的风险与机会管理要求在控制。5.4 风险和机会管理策划本公司的风险和机会的管理是基于内外部环境因素和相关方要求的识别结果。管理者代表负责组建风险识别小组， 根据公司内外环境识别一览表 、公司相关方要求识别一览表 ，来编制风险识别清单和预防措施 。注：公司也可以采取其它风险管理方法，如FMEA分析。风险分析人员的任职要求a.熟悉公司的质量管理现状；b. 有一定的组织协调能力；c. 熟悉质量 相关法规和标准。风险评估为便于对风险评估

7、量化，通过风险严重度、发生概率、风险系数进行评价，其评价的要求应依据本程序所规定的评价准则进行评价确认，之后根据风险系数确定对风险应采取的措施。内外部环境和相关方要求识别及风险管理程序风险的严重程度评价准则为便于识别风险所带来的危害程度，对风险的严重程度进行区分，风险严重度分为以下五类：a. 严重b. 一般c. 轻微下表为依据定义的风险影响和影响程度的多少进行量化，在对风险的严重程度进行评价时，下表作为评价风险严重度的准则：描述严重法律法规、停工 /程度对体系的财产损失企业形产品及其影响（万元）停产象他要求违反法律造成体系法规、国际短期基本没有财产损失重大影严重/ 国家标10无法按照标准响准、

8、客户标恢复执行准0.5 财可短企业及造成体系一般企业标准产损失时恢周边范运行较差10复围严重等级32内外部环境和相关方要求识别及风险管理程序造成体系财产损失没有1轻微不违反出现个别不影响0.5停工不符合严重度判定过程中， 当多个因素的判定其严重程度不一致时， 应遵循从严原则进行判定，即当多个因素中仅其中一个或部分因素其严重度级别更高时，依据严重级别高的因素作为风险严重度进行判定。根据上表内容确定风险的严重度后，将严重等级数字填入风险识别清单和预防措施中。风险的发生概率评价准则风险的发生概率是指潜在风险出现的频率， 为便于识别和定义， 将风险频度定义为 3 级，如下所示：a. 极少发生；b. 偶

9、尔发生 ;c. 经常发生；通过对上述的不确定因素进行评价风险发生的频度，风险的发生频率的评价以其可能发生的频率进行量化确认作为风险的发生频率的评价准则：发生频度定义等级极少发生发生的可能性很小，基本不会发生1有发生的可能性， 但不是很高，以前曾有类偶尔发生2似情况经常发生比较容易发生，3内外部环境和相关方要求识别及风险管理程序根据上表内容确定风险的严重度后，将严重等级数字填入风险识别清单和预防措施中。风险系数准则风险系数 =风险严重度等级 * 风险发生概率等级风险系数的大小决定是否对风险应采取的措施，如下表要求:发生概率极少发生偶尔发生经常发生严重度严重369一般246轻微123使用风险系数作为参考值，下表为风险风险系数的范围及当风险系数达到一定值时应对风险采取的措施：风险风险等级及应采取的措施系数风险等级风险措施6-9较高风险应立即采取措施规避或降低风险4-6一般风险需采取措施降低风险3 分以下可接受风险可不采取措施风险系数应记录在风险识别清单和预防措施。内外部环境和相关方要求识别及风险管理程序5.5 风险应对风险识别小组应该根据风险分析的结果，参照风险系数，来确定应对措施，并将应对措施记录在风险识别清单和预防措施中。5.6 风险应对措施的监督与改进各部门应根据风险识别清单和预防措施中的要求，落实措施并