z质量风险管理课件

风险管理介绍风险管理系统要求和指南的来源背景GSK/GSKBio风险内部控制和框架GSKBS风险管理方法概况目的英国Turnbull指南公司丑闻Enron,WorldCom,Parmalat,etc.美国塞班斯法案风险管理的历史background在应该对公司的监管，通过一系列的委员会审核和报告，变得愈来愈严格:-1992Cadburyreport（建立公司财务监管标准）UseofboardcommitteesSeparaterolesofChairmanandChiefExecutive2019Greenburyreport（对高管薪酬进行管理）Disclosureofdirectorsremunerationandcompensationincompanyreports2019Hampelcommitteeandreport（要求公司制定内部控制体系保障股东利益）ReviewedtheCadburyCodeanditsimplementation,followeduponmattersarisingfromGreenburyreportAddressedtheroleofshareholdersandauditorsincorporategovernanceissues2019UKListingAuthorityCombinedCode14CodePrinciplesand45CodeprovisionsKeyprinciplerelatestoboard’smaintenanceofasoundsystemofinternalcontrolCodeprovisionreferencesriskmanagement2019TurnbullreportProvidesguidanceontheinternalcontrolandinternalauditprovisionsofthe2019CombinedCodeRiskbasedapproach一些英国的历史….backgroundCompany’sinternalcontrolsystemshould:beembeddedwithinitsoperationsandnotbetreatedasaseparateexercisebeabletorespondtochangingriskswithinandoutsidethecompanyenableeachcompanytoapplyitinanappropriatemannerrelatedtoitskeyrisksRequirescompaniestoidentify,evaluateandmanagetheirsignificantrisksandtoassesstheeffectivenessoftherelatedinternalcontrolsystemBoarddirectorsaretoregularlyreviewandannuallyassessoninternalcontrols.TurnbullRequirementsbackgroundMay2019GSKBSCorporateMisstepsbackgroundMay2019GSKBSTheSarbanes-OxleyActprovidesacomparableruleintheUSManagementmustassessannuallytheinternalcontrolsandproceduresforfinancialreportingCEOmustcertifyquarterlyandannuallythatfinancialstatementsarefairlypresentedIndependentauditorsmustattesttoandreportonmanagement’sassessmentofinternalcontrols.塞班斯法案-Y2019

关于公司管理的汇报要求backgroundMay2019GSKBS公司的响应:内部的控制模式GSKRMoverviewMay2019GSKBS内部控制的要素控制的氛围风险管理政策和规程信息和沟通监控FiveinterrelatedcomponentsMay2019GSKBS控制的氛围风险管理政策和规程信息和沟通监控控制的氛围人

正直诚信

职业道德

能力运营环境内部控制的要素May2019GSKBS控制的氛围风险管理政策和规程信息和沟通监控政策、规程和标准公司

法律合规ITGMPGSKRMoverview内部控制的要素May2019GSKBS控制的氛围风险管理政策和规程信息和沟通监控信息和沟通运营、财务和合规报告沟通流程教育和培训内部控制的要素May2019GSKBS控制的氛围风险管理政策和规程信息和沟通监控监控管理者审核审计内部控制的要素May2019GSKBSControlEnvironmentRiskManagementPoliciesandProceduresInformationandCommunicationMonitoring风险管理组织框架内部控制的要素May2019GSKBSPolicyExcerpts:PolicyHighlightsGSKPolicyPOL-GSK-500RiskManagementandLegalComplianceApprovedin2019GSKRMoverviewMay2019GSKBSPolicyExcerpts:PolicyHighlightsGSKPolicyPOL-GSK-500RiskManagementandLegalComplianceApprovedin2019GSKRMoverviewMay2019GSKBSPolicyExcerpts:PolicyHighlightsGSKPolicyPOL-GSK-500RiskManagementandLegalComplianceApprovedin2019GSKRMoverviewMay2019GSKBS风险管理的层次董事会审计委员会风险监管和合规委员会商业风险管理和合规组合规和风险管理团队运营团队监控和审核内部控制体系的有效性和充分性。包括合规控制和风险管理。汇报给董事识别所有重大风险.监控实施风险控制的有效性.确保为管理层的年度审核提供信息和报告

建立和实施重大风险审核流程，以及确保风险控制管理的有效性建立内部控制系统：

标准,政策,规章

流程.

提供建议和实施审计和调查识别评估潜在风险.消除、监控和报告风险确保重大风险通过内部管理框架被迅速沟通May2019GSKBS鼓励新技术的应用资源和优化管理理解流程，例如验证…建立面对审计的信心但不是为了帮偏离和缺陷找理由风险管理的好处May2019GSKBSMay2019GSKBS我们说了很多风险的背景来源、管理框架…..

那么

风险是什么?

如何识别风险?

如何管理风险?Thisiscute,but……May2019GSKBS风险：是能通过可能性和后果衡量的，一个事件发生后的可感知的后果。可能性：暴露在危险下的可能性。后果：一个事件的结果重大风险：给公司带来重大影响的违法（规）风险，和财务、运营和合规的风险法律风险：有法规问题的风险（如：潜在的违法、违规，承担潜在法律责任）风险的定义Whatisrisk?May2019GSKBS轻视风险不能完全消除风险应该被:降低改变接受控制风险不可能被:忽略风险无处不在风险定义May2019GSKBS预算运营计划工厂战略审核评估部门风险评估工厂风险TopDown更新计划预算

实施计划BCP工厂验证主计划风险清单优先级分类STP–重大风险风险记录工厂战略ISHIKAWA外部风险输入过程输出流程清单ISHIKAWA风险台帐工厂战略部门战略STP–重大风险风险管理方式May2019GSKBS风险管理工具:工艺流程清单初步危害分析PreliminaryHazardAnalysis(PHA)HazardAnalysisofCriticalControlPoints(HACCP)HazardOperabilityAnalysis(HAZOP)Faulttreeanalysis(FTA)FailureModeEffectsandAnalysis(FMEA)FailureModeEffectsandcriticalityAnalysis(FMECA)RiskrankingandFilteringInformalriskmanagementMay2019GSKBSAreasforlikelyimpactNo.ProcessRiskNameDescriptionofPotentialRiskImpactFinanceSupplyEHSQAPeopleCICurrentControlMechanismsConsequence1-5Likelihood1-5RiskIndexValueDatelastreviewedEscalateToRiskOwnerRiskTreatmentConsequence

1-5Likelihood1-5RiskIndexValuePlannedRiskReductionACTION

STATUS/HISTORY风险管理流程图风险识别风险评估消除评估修改和制定风险消除计划实施计划触发审核和监控风险记录清单格式May2019GSKBS1-风险识别(编号+流程+风险名称+风险描述):通过鱼骨图对各个流程的风险进行系统识别:Numberingprinciple:Finance(No:startwith1,1.1,1.2,….)Supply(No:startwith2,2.1,2.2,….)QA(No:startwith3,3.1,3.2,….)EHS(No:startwith4,4.1,4.2,….)People(No:startwith5,5.1,5.2,….)CI(No:startwith6,6.1,6.2,….)Process:refertoprocesslist-level3影响可能性评估编号流程风险名称风险描述影响后果财务供应EHSQA人员持续改进当前控制措施严重性1-5可能性1-5风险系数值更新日期上报风险所有者分险处理严重性

1-5可能性1-5风险系数值计划风险系数值降到行动状态、历史风险管理流程图风险识别风险评估消除评估修改和制定风险消除计划实施计划触发审核和监控May2019GSKBS编号+流程+风险名称+风险描述失去商业利益和长期生存能力合作者

环境政治TheftEarthquakeFloodDistributorsSuppliersContractorsFireSabotage社会、经济政府机构InspectionsRegulatorsTaxesPopulationProfilePolicies,LawsPricecontrols商务

CompetitoractivityShiftincustomerPowerTechnologicalchangeAccidentalDisasteregcrash,environmental,lossofpowerlines,infrastructure….Epidemics外部风险JustforyourreferencesMay2019GSKBS编号+流程+风险名称+风险描述领导力、战略、声誉

可能影响没有增长失去声誉诉讼

亏损销售市场下降股东利益受损

无效率的管理模式业务发展无法满足发展需要无效率的文化和工作氛围失去声誉、相关人失去信心PoorPRmanagementIrregularriskmanagementUncleardecisionmakingresponsibilities

LackofopennessQuality/Riskmanagementnotconsideredimportant

InsufficientactionandResolutionfollowupNoregulargovernancemeetings/agendasNo,wrongornotcommunicatedstrategy,vision

Noorwrongvolumeforecasts

NoexternalsensingofneedsPoorShadowoftheleaderNoconsistencyofmessageMissthebigpictureNoproactiveinvolvementWithstakeholdersDon’tkeepupwithNewrequirements/policiesPooremployeerelationships

Peoplesneedsnottakeintoaccount

Highstress/accidentsBlameculture–Issueshidden

Poorcommunication

Poormoralemotivation

Lackofmarketing’intelligence’ScopeforfutureBusinessopportunitiesnotconsidered

PoorReward/recognitionIEnotembeddedDon’twalkthetalkPoorfeedbackLackofaccountabilityActionsnotfollowedupPoorprocessmeasuresUnethicalpracticesAdverseeventFailuretomeetregulatorycomplianceMay2019GSKBS可能后果资产流失公司资源被误用

坏帐1.3公司资产没有很好管理1.1信息慢，不准1.2不合规PoorcreditcontrolchangesinbusinesslawchangesintaxlawAssetregister/managementLowliquidityDebtcollectionCorruptionFraudNonexistentemployees,suppliers.Deliveries,customers,expensesCustoms&exciseLongcashtocashcycleDataandinformationmaintenanceInaccurateprojectcostingPoorprojectcostcontrolBudgetprocess/controlForecastaccuracyLostsales-tendersCostsofmaterialsnotunderstoodbyusersPayroll/Pensions-contractorsSupportofbusinessDecisionmakingDivisionofdutiesUnderinsuredTheftorassetsusedfornonbusinessuse财务MonthlyclosingStocktakingaccuracy编号+流程+风险名称+风险描述ShareserviceInventorycontrolShareserviceShareserviceMay2019供应－计划CriticalParametersnotunderstood可能后果供应能力不能满足需求物料、人无法完成生产计划由于加班造成成本增加外包服务造成成本增加2.3供应、订单能力没有平衡，或不能满足成本、服务要求2.1客户要求没有转为生产指令2.2不清楚供应能力DemandnotlevelledBottlenecksnotidentified,managedLongleadtimesPlansnotbasedondemonstratedcapacitymaterialsHigh/lowinventoryForecastdemandnotVisible/highlyvariableLongleadtimesPatient,DoctorHospitalLogistics,Wholesaler,RetailerBrandstrategyPromotionsCSAsServicelevelsNotagreedDisruptive/UnsuccessfultendersInflexiblesupplyToohigh/lowContingencystocks/safetystocklevelsHighovertimeInaccurateBoMFinishedgoods,WIPWriteoffsStockoutsUnsupportedplansBOMrationalisationNoscenarioplanningSourcechanges(SUPPLIER)IncreasingcomplexityProductmixInsufficientcapacityHighutilisation编号+流程+风险名称+风险描述可能后果

产品质量差造成返工、召回不合规造成不好的政府关系：产品收回、推迟批准.改进措施没有效果造成成本提高.3.1产品质量和服务差

3.2不合规

PoorvalidationLowquality/highvariability ofmaterialDeviationfromSOPRework

Insufficientknowledge

Poorqualityculture/leadershipdoesnotputqualityfirstCriticaltoqualityparametersnotunderstoodEquipmentfailurePoormaterialsTrainingSOPnot‘inuse’

SOPsSpecs,MethodsToomanyOutofdatepoorInadequateresource

Specificationfailure3.3质量基础流程SloworincorrectBatchreleaseSloworpoorCAPAsPoordocumentcontrolNonapprovalofnewproductAdverseauditsorinspectionsComplaintsRecallsFailedorwrongmaterialusedPPRs–poorqualitydoesnotimproveprocesscapabilityValidation-highcost/statusnotmaintainedUncontrolledchangestomaterial,process,equipmentProductnotmadeinlinewithfilingDeviationsnotrootcausedQMSinplace–notinuseSlowfeedbackwhenprocessMovingoutofcontrollimits质量编号+流程+风险名称+风险描述May2019GSKBS环境EnergyusageUseofnon-sustainableresourcesNewlegislationegcarbontaxWastemanagementReduce,Reuse,recycle,WaterusageEmissionsAirWaterHazardousmaterialsinformationContaminationGroundwaterLandAsbestosPCBsRadiationOdoursNoiseFirewater….EnvironmentalaccidentsBiodiversityLandusageErosion,infringementofhistoricareas,WildlifeSafety

Accidents:-atwork,travellingAlcohol/drugabuse4.2&4.3健康安全Stress/PoorworklifebalanceHighAbsenceAbsenceprocessProtectiveclothingPoorErgonomicsandJobdesignEquipmentnotused/PoorPoorsafetyAuditprocessPoor5S/housekeepingHighSoundlevelsPoorLightingAirqualityInfectiousdiseaseFlu

Insufficientknowledge

PoorEHSculture/leadershipdoesnotputEHSaspriority

SOPsSpecs,MethodsInadequateresourceAdverseauditsorinspectionsToomanyOutofdatepoor4.1不合规EHS可能后果

工伤事故不合规造成不好的政府关系编号+流程+风险名称+风险描述May2019GSKBS为了进行风险识别，应有风险台帐来更好帮助风险记录清单的更新流程其中所有可能导致潜在细微风险的危害都应记录.May2019GSKBS风险评估:收集相关历史数据＋当前控制评估可能后果和可能的发生频率评估风险重要性和优先性风险管理流程图风险识别风险评估消除评估修改和制定风险消除计划实施计划触发审核和监控影响可能性评估编号流程风险名称风险描述影响后果财务供应EHSQA人员持续改进当前控制措施严重性1-5可能性1-5风险系数值更新日期上报风险所有者分险处理严重性

1-5可能性1-5风险系数值计划风险系数值降到行动状态、历史May2019GSKBS后果严重性评估-财务:potentialconsequences当同一风险造成不同的后果，选高分May2019GSKBSpotentialconsequencesWhenoneriskhasdifferentlevelsconsequences,goforthehigherone后果严重性评估-供应:May2019GSKBSpotentialconsequencesWhenoneriskhasdifferentlevelsconsequences,goforthehigherone后果严重性评估-质量:May2019GSKBSpotentialconsequencesWhenoneriskhasdifferentlevelsconsequences,goforthehigherone后果严重性评估-人员May2019GSKBSprobabilityofoccurrence可能性评估May2019GSKBSRiskindexvalue风险系数值优先性高(Red):riskindexvalueinrange10-25+catastrophicrisks中度优先(Amber):riskindexvalueinrange5-9低优先(Green):riskindexvalueinrange1-4

后果严重性风险系数值= x

发生后果可能性Escalation向上汇报:2级-工厂级别和工厂以上级别渠道:从部门向工厂汇报：每月管理会从工厂向总部汇报：月报和风险报告风险汇报消除评估+修改和制定风险消除计划:影响可能性评估编号流程风险名称风险描述影响后果财务供应EHSQA人员持续改进当前控制措施严重性1-5可能性1-5风险系数值更新日期上报风险所有者分险处理严重性

1-5可能性1-5风险系数值计划风险系数值降到行动状态、历史风险管理流程图风险识别风险评估消除评估修改和制定风险消除计划实施计划触发审核和监控红色风险必须有风险消除计划，目的至少是将风险由红色降为黄色黄色风险必须有风险消除计划，目的至少是将风险由黄色降为绿色绿色风险不用有进一步的整改行动，但必须记录，并且下一轮风险评估时重新评估到.

如何风险后果达到严重程度（5分），尽管可能性为罕见，必要在《持续运营计划》中考虑消除评估+修改和制定风险消除计划:May2019GSKBS指定专人负责(accountable)重要风险(redandamber)必须是部门负责人重大风险必须准备STP-每月在部门会议上评估然后，重新评估风险系数值(Consequence,Likelihood,RiskIndexValue)日期题目形势目标建议状态GivereasonforescalationEnsureSTPisstandalone(i.e.itmakessenseonitsown)Specifywhattheissue/opportunityisSpecifytheriskofdoingnothingSpecifywhatyouwanttoachieveSpecifyhowyouwillmeasurethatyouhaveachieveditEstimateanticipatedbenefitsDefinewhatwillbedone,bywhom,andbywhenEstimatecostsandresourcesrequiredSpecifythescopeoftheproposalandimpactSpecifywhatagreement/supportfromimpactedgroupsisneededorobtained原因Reason:问题Issue/可能性Opportunity:如果什么都不做风险是什么Riskofdoingnothing:目的Toachieve:衡量Measure:利益Benefits:什么What:谁Who:何时When:成本资源Costsandresources:范围和影响Scopeandimpact:Agreement/supportfromimpactedgroups:消除评估+修改和制定风险消除计划:实施计划通过项目管理的方式对风险消除行动计划进行管理依据计划对进展进行监控和审核CAPA监控系统风险管理流程图风险识别风险评估消除评估修改和制定风险消除计划实施计划触发审核和监控内部触发外部触发公司内部审计发现的不符合项新法规、新药典来自产品事故审核委员会的要求来自于供应商、分销商的变更（组织结果，所有者，财务，质量法规）新产品，包括：新文号的申请政府检查的重要不符合项技术转移公众观念的变化组织结构变更新技术出现定期产品回顾中的重大发现召回和重大产品事故的原因分析重大投资新厂房、扩建供应链变更，分销商、供应商风险管理流程图风险识别风险评估消除评估修改和制定风险消除计划实施计划触发审核和监控当任何触发点出现，必须马上更新风险记录清单(riskregister)触发点-重要变更May2019GSKBS组织/人员Organization/People流程Process流程描述ProcessDescription

ProcessSOPTrainingKPIRiskRespMaterial职责描述JobDescriptions人员目标PeopleObjectives变更Change[QA027]原因Trigger

(项目Project,偏差Deviation,

审计发现Auditfinding,市场需求MarketRequest,数据分析KPIAnalysis,新机器Newmachine,…)分类Classification(R1,R2,Eng,Doc…)做Go/不做NoGo展开Roll-out结束Closure变更Change[没有SOPnoSOP]原因Trigger

重组Re-organization