《企业风险管理》

企业风险管理

1我们都知道存在风险，为什么不加以管理呢?风险管理是一个多阶段的过程风险战略确定边界，明确风险的重要因素风险评估对风险的接受程度做出有价值的判断风险识别来自于多种渠道和影响风险分析估计风险的的性质和概率风险处理确定躲避或降低风险的措施保密2当风险成为现实时，会发生什么?

发生严重的、不可防止的风险，即为灾难灾害管理是在严重与不可防止的风险发生之前，对其发生进行评估通过适当评价进行的风险评估，可提高这些最可能和最严重事件的优先级珍贵的时间就可花在管理和减轻影响的方案上业务连续性，是在严重与不可防止的风险发生之后，降低其影响连续性方案确保在现实生活中实现最正确的预期结果。保密3风险战略考虑因素增加对各种风险的认识根据概率和影响对活动进行平衡指定灾害与业务连续性组织开展培训增加了解提高技能并改善结果的实践可测量的结果直接引导做出重大改进Tecan为降低您的风险提供支持确定符合组织需要的风险战略的支持确定风险接受准那么的帮助帮助您识别所在组织相关风险的洞察力制定灾害管理和业务连续性方案以及相关程序的指导风险降低=更好地保证医院血液的平安供给，从而保障中国社会的健康Tecan依托在企业风险管理领域的丰富经验，可以为您提供:业务连续性=风险与灾害管理保密6业务连续性（全球过程）业务风险管理（全球SOP）风险意识风险评估风险识别风险降低风险评价风险估计风险控制灾害管理（全球SOP）业务恢复应急程序危机沟通应急控制应急培训“企业风险管理〞如何运行?确定风险

战略风险

估计风险减缓风险

处理灾害管理业务连续性风险

识别不可控

风险

可控风险123456风险战略

什么–风险战略涉及：

确定公司能够和希望承担风险的水平

进而确定清晰的风险准那么表

什么人–风险管理团队负责制定框架，以此衡量和估计风险；并建立业务管理，以确定所管理风险的战略边界目标

什么时候–这通常为年度过程。初步确定需要经历屡次工作会议和最终批准，公司在该时期的变化会影响年度更新和评审。确定风险

战略风险

估计

风险

减缓风险

处理灾害管理业务连续性风险

识别123456目标区域业务中断一天频率业务中断多日灾难损失业务中断<1天风险根据过程识别确定风险

战略风险

估计

风险

减缓风险

处理灾害管理业务连续性风险

识别123456收到系统血袋进入标签离心提取储存废物处置批准分发运输图2：血液成分与血浆衍生物的生产教育招募选择捐献血小板分离测试：HIV乙肝丙肝HTLV梅毒ABO+RhD其他表现型红细胞抗体（CMV、HBs、疟疾）红细胞筛选/血小板新鲜/冷冻血浆加工成血液成分过滤清除白细胞确认匹配性患者血浆衍生物，如血蛋白、免疫球蛋白分馏35天5天24个月风险识别

什么–风险识别涉及：

考虑与您的业务有关的所有风险，包括危险、财务和战略风险

什么人–风险管理团队负责建立潜在来源，识别风险；进而根据事先规定的准那么对概率或频率及严重度评分。

什么时候–这通常属于年度过程。初步确定需要通过跨职能渠道收集和公布内部报告。如果出现新的趋势，此后的更新和评审将受公司在该时期变化的影响。确定风险

战略风险

估计

风险

减缓风险

处理灾害管理业务连续性风险

识别123456评估结果索赔报告近期遗失不良事件报告与趋势不平安条件医疗报告患者投诉与调查风险备注1自然灾害破坏损失记录/资产2传染病伤亡3医疗记录丢失缺乏可追溯性4认证缺乏合理的识别5财务损失经济挑战6丢失隐私识别错误7计费故障会计错误、报告错误8培训缺陷人才错误、事故9监管合规性NC报告责任10危险溢出健康或环境问题11患者投诉/报告患者责任、损害12召回计划问题伤亡13记录保存问题数据损失、错误14供应链问题故障或供应质量通过多种渠道识别风险确定风险

战略风险

估计

风险

减缓风险

处理灾害管理业务连续性风险

识别123456风险估计

什么–风险估计涉及：

考虑与您的业务有关的所有风险，包括危险、财务和战略风险

什么人–风险管理团队负责建立潜在来源，识别风险；进而根据事先规定的准那么对概率或频率及严重度评分

什么时候–这通常属于年度过程。初步确定需要通过跨职能渠道收集和公布内部报告。如果出现新的趋势，此后的更新和评审将受公司在该时期变化的影响。

严重度

(S)1轻度该故障不会造成系统的更大恶化，也不会造成功能性损害或伤害。在内部和外部系统不会出现可衡量的伤害或损害。造成轻微的不满或不便2中度该故障不会使系统恶化，也不会造成更大的损害，可轻易控制。仅具有影响内部的可能性3重度该故障可能使系统恶化，可能导致更大的损害或伤害。不易控制，与内部和外部群体均有关系4严重该故障将使系统恶化，导致巨大损害。其结果不可接受，需要立即采取整改措施。人员和设备切实面对导致可治疗伤害的污染和传染

5危重该故障将造成系统极其严重的恶化，导致其全部损失并可能出现死亡。损害不可扭转，包括所有区域的泄露、传染。该故障将造成伤害和损害，治疗的可能性极低或不存在，或治愈需要很长的恢复

概率(P)1极少该故障有可能但非常少，只有发生在有限的活动和情况下

2非常少该故障有可能但不经常，发生在数个情况和情况组合之下3很少该故障在一般和常规的经营情况下不大可能发生，通常出现在更加特殊的经营环境下

4有时可预知在经营或过程中会发生，普遍知悉和可以预期5经常可预知在通常的经营和过程中多次发生，最普遍知悉和可以预期风险备注P(初期)S(初期)1自然灾害破坏损失记录/资产252传染病伤亡353医疗记录丢失缺乏可追溯性424认证缺乏合理的识别535财务损失经济挑战436丢失隐私识别错误227计费故障会计错误、报告错误548培训缺陷人才错误、事故539监管合规性NC报告责任4210危险溢出健康或环境问题2311患者投诉/报告患者责任、损害4212召回计划问题伤亡3213记录保存问题数据损失、错误3214供应链问题故障或供应质量53确定风险

战略风险

估计

风险

减缓风险

处理灾害管理业务连续性风险

识别123456风险减缓

什么–风险减缓涉及：

确定降低黄色和红色区域内所有风险的措施

什么人

–风险管理团队负责确定措施，将风险降低到可接受的水平。在风险降低措施得以实施和验证之后，应对剩余风险再次估计。

什么时候–只要风险超过可接受区域，本风险降低周期一直持续

。.风险备注P(初期)S(初期)减缓1自然灾害破坏损失记录/资产25资产保护，前瞻性设计2传染病伤亡35测试与关键筛选3医疗记录丢失缺乏可追溯性424认证缺乏合理的识别535财务损失经济挑战436丢失隐私识别错误227计费故障会计错误、报告错误548培训缺陷人才错误、事故539监管合规性NC报告责任42确定

风险战略风险

估计

风险减缓风险处理灾害管理业务连续性风险

识别123456灾害管理

什么–灾害管理涉及：

制定所有可能情况的程序

确定事件沟通战略，以用于内外部沟通

针对所有可能事件制定恢复计划(风险矩阵中的红色风险)

什么人–风险管理团队负责制定纲要，将运营和部门纳入紧急行动计划。所有领域均须考虑。

什么时候–这通常属于年度过程。初步确定需要通过跨职能渠道收集和公布内部报告。如果出现新的趋势，此后的更新和评审将受公司在该时期变化的影响。为准备工作和具体实践进行测试和训练确定

风险

战略风险

估计

风险

减缓风险

处理灾害管理业务连续性风险

识别123456业务连续性

什么–业务连续性涉及：

在严重和不可防止的风险发生之后，降低其影响连续性方案确保在现实生活中产生最正确的预期结果。

什么人–风险管理团队负责确定发生的预计结果和对整个系统的影响

什么时候–这通常属于年度过程。初步确定需要通过跨职能渠道收集和公布内部报告。如果出现新的趋势，此后的更新和评审将受公司在该时期变化的影响。业务连续性方案只有在风险发生之前完成才有价值保密15编辑ppt1.过去几年重大事件的例子福岛核灾害(日本)猪流感(疫情)火灾2021年3月份，在接近缅甸边界的中国西南地区发生地震禽流感(疫情)保密16编辑ppt2.中国供血的形势非常严峻…..

昆明–在中国西南省份云南省会的医院由于前所未有的血荒被迫推迟90%的外科手术。该城市的卫生部门于周一指出。截至目前，昆明的血液库存量为20,000毫升，远远低于该市400,000ml的最低库存要求。昆明市人口高达600多万人城市献血的缺乏导致政府部门采取措施吸引人们鲜血。北京血液中心指出供血量比需求要低20%，这促使医院为经常献血者提供时机，允许其免费在线预约，并可阅读近1,000种网络杂志。中国报刊上的文章：北京—由于紧急血荒造成外科手术的的推迟，中国红十字会于周五要求全国各地的群众踊跃鲜血。该部门网站上的紧急通知指出，今年血荒极为严重，呼吁北京、云南、山东、吉林、湖北和广东等地采取紧急措施献血保密17编辑ppt3.影响健康与平安的可能事件(3)可能的情况3：暴雨、洪水根底设施受损严重所有设备受损储存的所有血样均无法使用后果：由于员工感染，日常业务难以为继可以供给医院的血样数量大大减少由于人员短缺无法开展献血活动由于血样短缺，医院无法进行紧急手术对社会的健康产生严重影响在中国的大型血液中心，每天需要处理成千上万份血样并供给医院用于紧急手术保密18编辑ppt3.影响健康与平安的可能事件(1)可能的情况1：昆明血液中心发生火灾设施受损所有设备被毁储存的所有血样均无法使用后果：无法为医院提供血样无法对捐献的血液进处理和测试医院无法进行紧急手术对中国社会健康产生严重影响多人失去工作员工可能在火灾中受伤在中国的大型血液中心，每天需要处理成千上万份血样并供给医院用于紧急手术保密19编辑ppt3.影响健康与平安的可能事件〔2〕可能的情况2：疫情〔猪流感、禽流感〕昆明血液中心多名员工受传染病毒在组织内迅速传播只有30%的员工继续工作后果:由于多名员工传染，日常业务难以为继可以供给医院的血样数量大大减少由于人员短缺无法开展献血活动由于血样短缺，医院无法进行紧急手术对中国社会的健康产生严重影响在中国的大型血液中心，每天需要处理成千上万份血样并供给医院用于紧急手术保密20编辑ppt6.与风险管理的区别…….火灾风险已经在企业风险评估中得以识别风险估计将此风险分级为“高〞需要的风险减缓为“R01〞案例1：昆明血液中心火灾R01确定风险

战略风险

估计风险

减缓风险

处理灾害管理业务连续性风险

识别123456风险识别与估计活动的案例：保密21编辑ppt6.与风险管理的区别…….制定应急程序(消防)并进行培训培训所处场地的昆明消防队：所处地点的关键设备谨慎选择灭火剂了解场地情况安装火灾报警系统和喷淋设备指定应急团队建立实验室备用空间(与物业公司签约)与仪器供给商执行合同，获得实时仪器供给将血样存放在不同地点(新血液以及处理的血液)案例1：昆明血液中心火灾确定风险战略风险

估计风险减缓风险处理灾害管理业务连续性风险

识别123456风险减缓措施的案例：保密22编辑ppt6.与风险管理的区别…….在应急团队领导下遵循应急程序遵循自己的沟通方案进行内外部沟通使备用实验室投入运行立即与承包商联系，在备用实验室安装IT设备立即联系承包商进行场地翻修使自己的移动实验室运行包括通过认证对人员进行培训对恢复时间进行评估，以使全部生产能力恢复与客户围绕过渡生产能力进行沟通案例1：昆明血液中心火灾确定风险

战略风险

估计风险

减缓风险

处理灾害管理业务连续性风险

识别123456灾害管理和业务连续性的案例:保密23编辑ppt7.风险管理有什么作用……

无风险管理：设施受损所有设备被毁所有库存血样无法使用有风险管理：场地没有或局部受损消防系统到位火灾报警系统安装消防程序已制定应急团队消防队经过特殊培训设备没有或者局部被毁火灾保护系统到位备用实验室具备设备与仪器供给商签约3.血样没有或局部受影响储存地点不同火灾保护系统到位高风险

低风险保密24编辑ppt7.风险管理有什么作用……

无风险管理：无血样供给医院捐献的血液无法处理和测试医院无法进行紧急手术对社会健康产生重大影响有风险管理：血样可以供给但能力下降火灾保护系统到位储存地点不同储存地点火灾保护捐献的血液可以处理备用实验室可用最终移动实验室到位可以进行紧急手术血样可供7.对中国社会健康的影响有限血液中心的运行能力下降(备用实验室)高风险

低风险保密25编辑ppt谢谢大家工作表与备份保密27编辑ppt5.“企业风险管理〞如何运行?(1)确定风险战略风险

估计风险

减缓风险

处理灾害管理业务连续性风险

识别不可控

风险

可控风险1234565.“企业风险管理〞如何运行?(2)确定风险

战略1方法：明确公司能够承担、希望承担的风险水平相应建立清晰的风险准那么表风险可接受性概率严重度风险可接受矩阵5.“企业风险管理〞如何运行?(3)方法：考虑与您的业务有关的有可能的风险包括危险、财务与战略风险

风险

识别2危险PS火灾其他财产损失风暴冰雹洪水/海啸土地沉积地震内部传染病内部危险材料泄露/污染外部危险材料泄露(火车/卡车)高层管理人员受伤、患病工作场所事故/污染导致的死亡责任索赔破坏、抢劫、盗窃炸弹威胁/绑架核电站事故坠机财务风险PS价格(资产价值、利率、外汇、商品等)流动性(现金流、赎回风险、机会成本等)信用(违约、降级等)通货膨胀/购买力对冲/基础风险经营风险PS生产/储存损失供应短缺服务故障断电、断水人力资源授权(领导变化、准备情况)环境污染战略风险PS信誉损害(品牌侵蚀、欺诈、不利消息)竞争客户希望、技术革新人口和社会/文化趋势资本可供性监管与政治趋势行业间谍侵犯专利/知识产权5.„企业风险管理“如何运行?(4)方法:建立事件发生的概率和严重度的风险估计准那么风险

估计32.6.2风险估计利用以下表格对每种风险发生的概率(P)和最大严重度(S)进行分类:概率（P）1千年一遇2百年一遇3十年一遇4一年一遇5一月一遇2.6.3风险估计所有估计的风险转入以下风险可接受性矩阵，根据概率和严重度的数字输入风险编号。该矩阵说明了风险可接受的准那么：PXS给出风险水平编号可接受风险(风险水平<10):

无需采取进一步的风险降低行动。风险增加(风险水平10-12):

建议采取进一步的风险降低行动。如不采取进一步的行动，需要提供理由并获得CFO的批准。风险不可接受(风险水平>12):

强烈建议采取进一步的风险降低措施。如不采取进一步的行动，需要提供理由并获得董事会的批准。所有估计的风险转入以下风险可接受性矩阵，根据概率和严重度的数字输入风险编号。该矩阵说明了风险可接受的准那么：PXS给出风险水平编号所有估计的风险转入以下风险可接受性矩阵，根据概率和严重度的数字输入风险编号。该矩阵说明了风险可接受的准那么：PXS给出风险水平编号严重度(S)1损失10,000CNF或业务中断1天或1人受伤2损失100,000CNF或业务中断数天或多人受伤3损失1,000,000CNF或业务中断多天或一人死亡4损失10,000,000CNF或业务中断几周或几人死亡5损失100,000,000CNF或业务中断数月或多人死亡5.“企业风险管理〞如何运行?(5)方法：对于黄色或红色区域的所有风险，确定足够的风险降低措施风险

减缓风险

处理4风险降低对于处在风险矩阵黄色和红色区域的风险，应详细确定和说明将这些风险降到可接受水平的措施。

在风险降低措施事实和验证后，应再次对剩余风险进行估计。只要风险超出可接受区域，风险降低周期就会一直持续。5.“企业风险管理〞如何运行?(6)方法：针对所有可能情况制定程序制定出现事件时对内、外进行沟通的战略指定在所有情况下的恢复方案〔风险矩阵中的红色风险〕灾害管理5应急程序危机沟通业务恢复5.„企业风险管理“如何运行?(7)风险数量:……影响低中高情况:概率高…..中

低

可能对业务产生的影响:(定量与定性):什么人什么时候文件主动性行动:(风险减缓)反应行动:事故管理阶段0h–24h

业务连续性行动:经营恢复1天–24+月业务连续性6BCP〔业务连续性方案〕保密35“降低风险和确保平安，要求对预防和减缓错误的系统予以高度关注〞风险意识–风险管理的动机保密法规要求财务规定与客户的供给协议与供给商的采购合同产品质量/形象损失客户与政府部门要求36业务连续性=风险与灾难管理保密37业务连续性（全球程序）业务风险管理（全球SOP）风险意识风险评估风险识别风险降低风险评价风险估计风险控制灾害管理（全球SOP）业务恢复应急程序危机沟通应急控制应急培训风险评估由以下环节构成：风险识别风险估计风险评价风险降低保密38风险管理程序步骤保密39明确风险的可接受程度输入：概率与严重度表格输入：填入风险可接受矩阵程序说明输入：概率与严重度表格风险识别明确风险评估团队开始输出：RA团队清单输出：发布风险可接受矩阵输出：所有可能风险的清单输出：填入风险可接受矩阵输出：风险降低措施的清单风险处理/风险降低情况说明结束输出：灾难情况危险财务风险经营风险战略风险绿色：可接受黄色：需要证明红色：不可接受决定Tecan希望承担的风险水平对每一个风险制定一个或多个方案首先从高风险开始风险估计与评估风险可接受？风险评估团队保密风险评估要求各个知识领域的代表,例如:财务供给链销售场所管理40通过多种渠道识别风险保密评估结果索赔报告近期损失副作用报告与趋势不平安条件医疗记录患者投诉与调查患者平安提醒41风险分类–一般与特殊保密42危险火灾其他财产损失风暴冰雹洪水/海啸土地沉积地震内部传染病内部危险材料泄露/污染外部危险材料泄露(火车/卡车)高层管理人员受伤、患病工作场所事故/污染导致的死亡责任索赔破坏、抢劫、盗窃炸弹威胁/绑架核电站事故坠机财务风险价格(资产价值、利率、外汇、商品等)流动性(现金流、赎回

风险、机会成本等)信用(违约、降级等)通货膨胀/购买力对冲/基础风险经营风险生产/储存损失供应短缺服务故障断电、断水人力资源授权(领导变化、准备情况)环境污染战略风险信誉损害(品牌侵蚀、欺诈、不利消息)竞争客户希望、技术革新人口和社会/文化趋势资本可供性监管与政治趋势行业间谍侵犯专利/知识产权风险分类–针对血液中心(案例)保密43连续性方案灾害恢复方案程序保密业务中断1天频率业务中断多日灾害损失业务中断<1天44风险风险估计利用以下表格，对每种风险发生的概率(P)和影响严重度(S)进行估计概率(P)1千年一遇2百年一遇3十年一遇4一年一遇5一月一遇严重度(S)1损失10,000CNY或业务中断1天或1人受伤2损失100,000CNY或业务中断数天或多人受伤3损失1,000,000CNY或业务中断多天或一人死亡4损失10,000,000CNY或业务中断几周或几人死亡5损失100,000,000CNY或业务中断数月或多人死亡保密45危险风险风险备注P(初期)S(初期)减缓P(过后)S(过后)1自然灾害破坏损失记录/资产25资产保护，前瞻性设计2传染病伤亡35测试与关键筛选3医疗记录丢失缺乏可追溯性424认证缺乏合理的识别535财务损失经济挑战436丢失隐私识别错误227计费故障会计错误、报告错误548培训缺陷人才错误、事故539监管合规性NC报告责任4210危险溢出健康或环境问题2311患者投诉/报告患者责任、损害4212召回计划问题伤亡3213记录保存问题数据损失、错误3214供应链问题故障或供应质量5315新法律财务或故障影响4216泄露秘密患者或法律责任3217设备故障错误、故障或损害4318检查缺陷质量问题、控制5419运输问题时间或供应损失、落后4220准则符合NC报告责任33保密编辑ppt风险接受性

(减缓前)(减缓后)保密可接受风险:

无需采取进一步的风险降低行动风险增加:

建议采取进一步的风险降低行动需要证明为什么无需采取进一步的措施风险不可接受:

需要采取进一步的风险降低行动可接受风险:

无需采取进一步的风险降低行动风险增加:

建议采取进一步的风险降低行动需要证明为什么无需采取进一步的措施风险不可接受:需要采取进一步的风险降低行动编辑ppt危险风险(续)ID风险备注P(初期)S(初期)减缓P(过后)S(过后)13责任索赔45保险单4214破坏、抢劫、盗窃44保险单4215炸弹威胁/绑架35应急行动计划/保险单3316坠机(个人)45保险单/交叉培训/代理4517坠机(与建筑)25保险单/灾害恢复2418冰风暴43保密编辑ppt财务风险ID风险备注P(初期)S(初期)减缓P(过后)S(过后)19价格(资产价值、利率、外汇、商品)242420流动性242421信用(违约、降级等)242422通货膨胀/采购权3534保密编辑ppt经营风险ID风险备注P(初期)S(初期)减缓P(过后)S(过后)23生产/储存损失54保险单5224供应短缺53MRP水平预警5225服务故障IT设施、Vertex,SAP等53主要系统(SAP/Mail/Vertex)现在由全球IT管理5326断电、断水4327人力资源合理的员工层次、岗位合理54填补开放职位/密切关注，获得合适的人才5228授权(领导变化)3429环境污染35BloodbornePathogen培训1600153430监管部门干预45严格监管控制/审核培训到位4431恐怖主义影响进口35目前没有完全减缓35保密编辑ppt战略风险ID风险备注P(初期)S(初期)减缓P(过后)S(过后)32信誉损害(品牌侵蚀、欺诈、不利消息)55目前无法减缓5533竞争55销售战略推进应用销售/销售人员培训5534客户希望、技术革新55建立应用科学集团，重点是应用5535监管与政治趋势44持续进行FDA法规教育3336行业间