风险与机遇管理程序文件

风险与机遇管理程序

修改记录

修改号描述修改页码修改人生效日期

.WORD专业.

目录

1.目的

2.合用围

3.定义和缩写

4.职责

5.实施

6.保管

7.发放

8.生效

9.相关实施文件

10.记录

.WORD专业.

1目的

为建立风险和机遇的应对措施，明确包括风险应对措施风险规避、风险降低和风险接

受在的操作要求，建立全面的风险和机遇管理措施和部控制的建设，增强抗风险能力，并

为在管理体系中纳入和应用这些措施及评价这些措施的有效性提供操作指导。

2围

本程序合用于在公司管理体系活动中开展风险管理，并为应对风险和机遇的控制提

供方法及要求，不断推进公司防风险的能力和水平。

3名词术语

3.1风险：在一定环境下和一定限期客观存在的、影响企业目标实现的各种不确定性事件。

3.2机遇：对企业有正面影响的条件和事件，包括某些突发事件等。3.4风险规避:

风险规避是风险应对的一种方法，是指通过有计划的变更来消除风险或者风险发生的条件,

保护目标免受风险的影响。风险规避并不意味着彻底消除风险，我们所要规避的是风险可

能给我们造成的损失。一是要降低损失发生的机率，这主要是采取事先控制措施；二是

要降低损失程度，这主要包括事先控制、事后补救两个方面。3.5风险降低：通过

采取措施以达到降低风险的效果。普通情况下，若采取的措施能够有效的降低所遭受的风

险，应将采取措施的记录进行保留或者写入文件进行归档，以便后期重复发生时作为改

善的依据。3.6风险接受：是指企业承担风险造成的损失。

风险接受普通合用于那些造成损失较小、重复性较高的风险、最适合于自留的风险事件。

3.7部风险：企业部形成的风险，例如战略决策风险、环境风险、财务风险、管理风险、经

营风险等。

3.8外部风险：由外部影响因素导致的风险，例如政策风险、市场需求风险和业务风险等。

3.9重大风险：是指具有一定发生可能性且一旦发生将给企业生产经营或者生存发展带来严

重影响的风险。

4职责

.WORD专业.

4.1综合管理部：负责公司风险管理的归口管理，并组织资源的提供，包括人员资格、必要

的培训、信息获取等。负责风险可接受准则方针的确定，井按制定的评审周期保持对风险

和机遇管理的评审。负责定期向公司管理者代表汇报风险及应对措施情况。4.2各部

门：负责本部门的风险和机遇识别与评估，并制定相应的措施以规避或者降低风险并落实

执行。

5管理要求

5.1风险评估的时机5.1.1在公司建立管理体系时，综合

管理部组织实施运营风险的初始评估，形成各部门“风险信息登记表”。

5.1.2公司建立管理体系后，各部门每年组织一次定期风险评估，形成新的“风险信息登记

表”.每年12月底之前报综合管理部°

5.1.3下列情况下，有关部门应组织进行不定期评估，更新本部门“风险信息登记表”报综合

管理部：

1）公司经营目标及其各级支持目标变更时；

2）业务/工作流程变化（包括增加、减少或者变更）时；

3）组织机构变化等而可能影响到经营目标/指标的实现时；

4）其它认为必要时。

5.2风险识别

5.2.1常用的风险识别方法有（但不限于）：

1）访谈；

2）小组集中讨论；

3）头脑风暴法；

4）调查问卷；

5）流程图分析；

6）历史数据分析；

7）行业调研；

8）重大事件备查簿；

9）故障模式与影响分析；

10）计算机摹拟（如蒙特卡罗分析法）；

11）事件树分析等。

5.2.2在初次识别时，“访谈”、“小组集中讨论”、“头脑风暴法”、“调查问卷”、“流程图分

析”等定性方法较合用，业务部门宜采用“流程图分析”方法。“历史数据分

析“、”事件树分析”等定量分析方法较合用于后续的风险识别。

523风险识别的容主要包括：风险的来源、受影响的活动或者区域、时间的起因及其可

能产生的后果。

5.2.4风险识别考虑的外部因素可包括（但不限于）：

1）国际、国地区或者当地的文化、政治、法律法规、金融、技术、经济、自然和竞争

环境；

2）对公司的目标有影响的关键驱动因素以及趋势；

3）外部利益相关者的观念和价值观。

5.2.5风险识别考虑的部因素包括（但不限于）：

.WORD专业.

1）公司资源和知识等方面的能力（即：资金、时间、人材、程序、系统和技术）；

2）信息系统、信息流、决策程序；

3）部利益相关者；

4）现有方针、目标及其战略；

5）观念、价值观及其文化；

6）采用的标准和参考模型；

7）管理机构和制度。

5.2.6综合管理部牵头各相关部门，根据确定的风险识别工具和方法，组织对各部门业务/

工作流程涉及的风险事件进行识别、讨论和归类，初步形成各部门“风险信息登记表''（见附

录1）。

5.2.7各部门根据主管业务的特点和围，梳理业务活动/流程所包含的风险类别、风险事件。对

所涉及的各种外部和部诱发风险的因素进行全面、系统的识别。

5.2.7为确保风险识别的完整性和海确性，综合管理部应对初步识别出的“风险信息登记表”进

行复核。并着重考虑以下几个方面的问题：

1）采集信息的可靠性；

2）风险识别的完整性；

3）确定的目标和围的充分性；

4）风险识别对象的全面性；

5）风险管理的最佳实践典；

6）需要研究的其他风险。

5.2.8综合管理部对各部门复核的风险信息登记表进行汇总、归类，形成公司总的“风险信

息登记表“风险信息登记表”至少应该包括各部门的主要风险以及公司层面的风险。

5.2.9在风险识别过程中，综合管理部负责为各相关部门提供必要的协助和支持，如必要

的培训、识别方法的选择及风险类别的确定等。

5.3风险评估分析

5.3.1各部门对“风险信息登记表”中已识别的风险，针对现有控制措施或者措施的有效性，

对所有风险进行逐一分析，综合管理部进行复核。

5.3.2在进行风险分析时，应考虑风险的来源，分析风险发生的可能性以及正面和负面的影

响，明确那些导致风险后果和发生概率的各种因素。分析过程中应考虑风险识别的可信

度和灵敏度，必要时可与决策者和利益相关者沟通

533在风险分析时，可根据具体情况，采用“4x5风险矩阵”（半定量分析方法）来进行。

“4x5风险矩阵”将风险发生的后果分为四个等级，分别是：非常严重、严重、重要和轻微；

将风险发生的可能性（频率）分为5个等级分别为：极高、高、中等、低、极低。见下表：

风险矩阵—后果（严重程度）

分对目标

后

值

果法规运营/体系声誉安全环境/KPI结果

的影响

非

4起诉1,泛伤害，业务媒体持续关死亡反复的超标没有完成

常

中断多于天/注，与业务排放/溢出，的目标

严2

高额修复成指标

重导致流程功能火伴间的信/KPI

彻底失效任受损，股本，严重的环>10%

东信任受损境破坏

.WORD专业.

3严公开严重伤害，业务引起公众关长期、永反复的次要没有完成

重警告，中断少于2天/注/评论，社久伤害的超标排放的目标

罚款导致流程的主会形象受损或者溢出/KPI指标

要功能失效5%<10%

重

被

政轻微伤害，业务媒体负面报短期损没有产生永没有完成

2要

府

机

延误/导致流程告害久的环境影的目标

关

构

的次要功能失响指标

质/KPI

效

调W/

查2%<5%

告

警

轻微

1轻没有或者轻微损没有影啊,没有影系统危害没有元成

符

微不害，对运营没有或者影响很响，或者的目标

个

合显著影响/对流对健康/KPI指标

条

别程的运转没有影响很<2%

要

款显著影响

求

风险矩阵——频率

分值频率描述

a）时常会发生

5极高

b）数月可能会发生多次

a）较多情况下会发生

4高

b）数月可能会发生一次

a）某些情况下会发生

3中等

b）一年可能会发生一次

a）极少情况下会发生

2低

b）2到3年可能会发生

a）普通情况下不会发生

1极低

b）超过三年以上才有可能发生

注：a）指一定业务量中事故/事件发生的相对频数

b）指一定时间段中事故/事件发生的绝对次数

5.3.4如有可能，在风险分析时，还可进行更具针对性的定性或者定量分析。

535经过风险分析确定的风险源、风险事件发生的可能性、后果及风险级别应记录在“风险

信息登记表”中。

5.3.6综合管理部组织各部门在风险分析的基础上，对识别的风险进行评价，进一步找出

公司需要面对的关键风险。

5.3.7风险评价利用4x5风险分析矩阵计算风险等级，将风险发生的可能性与该风险发生

的影响程度（后果）相乘，得出的乘积将风险分为高、中、低三个等级，即：

风险等级（结果）R=DxP

其中，R-为风险等级；

D—为风险事件发生后可能的后果；

P——为风险事件发生的可能性（或者机率）。

.WORD专业.

风险矩阵——风险等级

4低中高高高

3低中中高高

2低低中中中

1低低低低中

后果

12345

风险等级说明:

1）高风险（红色区域）：管理优先级为高的风险。公司需要重点关注，优先调配资源

以进行管理，以把风险排序