iso9001-2015风险和机遇管理程序

风险和机遇管理程序

1. 目的purpose

建立规范、有效的风险控制体系，识别风险、评价风险并采取应对措施，提高风险防范能力，寻找发展机会，促进公司长期可持续发展。

2. 范围scope

适用于公司的风险识别、分析、评价、应对，包括正面风险（机遇）的评估和应对。

3. 术语 term

3.1风险：不确定性的影响。包括正面风险和负面风险，其中正面风险也称机遇。

风险表达通常有两种，一以潜在事件和后果，或它们组合来描述；二以事件（包括环境的变化）后果和发生可能性的组合来表达。

3.2风险管理：针对风险指挥和控制组织的协调活动。

3.3机遇：有利的时机、境遇、条件和环境。

3.4战略：实现长期或总目标的计划。

4. 职责responsibility

4.1 管理者代表负责组织风险的识别、风险分析、风险评价、风险应对全过程的管理。

4.2 各部门负责对本部门涉及的风险进行风险识别、分析、评价和应对，并将风险管理结果向管理者代表反馈。

4.3 总经理负责审批《风险评估与应对措施表》、《机遇评估与应对措施表》、《相关方需求与期望对应表表》。

5. 工作程序procedure

5.1 风险的识别

5.1.1风险识别的时机

在体系建立初进行组织环境理解和分析之后及年度管理评审或年度质量目标设定之前进行定期识别。当组织环境信息出现更新时进行识别。

5.1.2风险识别的信息来源

管理者代表按公司内外部环境理解和分析输出的《组织环境外部因素分析表》《组织环境内部因素分析表》中能够影响产品和服务的符合性以及增强顾客满意能力的相关内容，以及相关方的需求和期望等内容作为风险识别的信息输入，同时管理者代表还须收集如下风险信息：?国内外战略风险失控导致企业蒙受损失的案例；

?国内外财务风险失控导致危机的案例；

?国内外忽视市场风险、缺乏应对措施导致企业蒙受损失的案例；

?国内外忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例；

?收集与公司经营生产、竞争对手、主要客户和外部供方等方面有关的重要信息；

?收集与公司相关的所有法律法规纠纷方面的信息。

5.1.3风险识别方法

管理者代表将收集整理的上述相关风险的信息发给小组成员，由各成员结合本部门收集的风险信息和实际情况采用《风险评估与应对措施表》进行风险识别，可以采取问卷调查、小组讨论、专家咨询、情景分析、政策分析、行业标杆比较、访谈法等方法识别风险。

5.1.4风险类别

公司风险分为：战略和市场风险、财务风险、法律风险、运营风险。

5.1.4.1战略和市场风险：由于没有制定或制定的战略决策不正确，影响战略目标实现等负面因素；由于未能及时应对（产品更新换代，替代品出现，消费需求变化，产品和供应链价格变化，国内外现有和潜在竞争者的策略变化等）影响市场目标实现的负面因素。

5.1.4.2财务风险：包括财务报告失真风险、资产安全受到威胁风险和舞弊等负面因素。

5.1.4.3法律因素：由于没有全面、认真执行国家相关法律、法规和政策规定，影响合规性目标实现等负面因素。

5.1.4.4营运风险：由于营运策略和运行控制的不当，妨碍或影响目标实现等负面因素。一般包括管理体系风险、客户合作风险、外部供方经营风险、生产过程质量风险、收入和利润风险、安全风险、自然灾害风险，以及其他（包括诚信风险、股东风险、行业协会监管风险、物流风险等）营运风险。

5.1.5风险识别的分工

管理者代表中的财务负责人侧重于财务风险的识别，管理部负责人侧重战略风险、法律法规的识别，业务部负责人侧重市场风险的识别。各相关部门侧重运营风险的识别。

5.2风险分析与评价

5.2.1管理者代表负责从风险发生的可能性与风险后果（影响实现管理体系预期结果的程度）两个方面进行风险分析和评价，并填写《风险评估与应对措施表》。

5.2.2风险评价法

公司风险评价采用定性分析法，分为A级风险也称高关注风险；B级风险也称一般关注风险。其对应表如下：

5.2.3管理者代表组织相关人员，必要时邀请专业人员对各部门风险识别、分析、评价结果进行评审确认。

5.3风险应对

管理者代表根据风险识别、分析、评价的结果确定风险对策和应对（应急）措施，填写《风险评估与对应措施表》。

5.3.1风险对策分类

公司风险对策分为规避风险、接受风险、减少风险、分担风险。

5.3.1.1规避风险：超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动，

或者需立即采取应对（应急）措施以避免和减轻损失的对策。

5.3.1.2接受风险:公司对在风险承受度之内的风险，在权衡成本效益之后，不准备采取控制

措施降低风险或者减轻损失的对策。

5.3.1.3减少风险：公司在权衡成本效益后，准备采取适当的控制措施降低风险或者减轻损

失，将风险控制在风险承受度之内的对策。

5.3.1.4 分担风险：采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险

承受度之内的对策。

5.3.2 风险对策的选择

管理者代表根据公司风险管理理念，风险特点与评价结果和公司实际情况等充分信息确定风险对策。对于A级风险且会给公司带来重大经济损失、导致经营危机、停产、关闭、监管部门重大经济处罚、人员伤亡、群体受伤、火灾爆炸、公司声誉和名誉受损等严重后果的风险必须选择“规避风险”。对于B级风险，公司没能力解决或没必要解决，且不会给公司带来重大经济损失、导致经营危机、集体罢工、停产、关闭、监管部门重大经济处罚、人员伤亡、群体受伤、火灾爆炸、公司声誉和名誉受损等严重后果的风险可采取“接受风险”。

不属于上述情况的风险，由管理者代表结合公司实际选择减少风险或分担风险的对策。

5.3.3 制定应对（应急）措施，以往实施优先顺序

管理者代表针对每个风险制定应对（应急）措施。应对（应急）措施可结合公司的实际情况和以往的经验教训以及获得的知识进行制定，并与该风险对产品和服务符合性的潜在影响相适应。一般可采用制定目标及其管理方案、建立和实施运行控制文件、进行培训和宣贯、投入资源、监督检查、应急预案等措施。

对于风险对策为“规避风险”的A级风险，应对（应急）措施必须立即实施。

其他A级风险，应对（应急）措施必须优先实施，由管理者代表专题讨论确定。

其他风险，对应对（应急）措施应保持关注。

管理者代表负责将《风险评估与应对措施表》提交总经理审批后发放到相关部门。

5.4机遇评估与应对

对于正面风险，也称机遇，管理者代表采用《机遇评估与应对措施表》进行分析评估应对，机遇评估输入应包括能够影响产品和服务的符合性以及增强顾客满意能力的机遇。制定机遇应对措施应考虑相关的风险并与该机遇对产品和符合性的潜在影响相适应，机遇可能导致采用新实践，推出新产品，开辟新市场，赢得新客户，建立合作伙伴关系，利用新技术以及能够解决公司或其顾客需求的其他有利可能性，从而促进公司质量管理体系预期结果得以实现。

5.5与相关方需求和期望有关的风险和机遇

由管理者代表组织对其进行评估、策划应对措施，并填写《相关方需求与期望对应表》。

5.6监督检查和评价

管理者代表根据《风险评估与对应措施表》和《机遇评估与应对措施表》定期监督检查风险（应急）措施的执行情况，评价措施的有效性，并将检查结果填写在《风险评估与应对措施表》和《机遇评估与应对措施表》中，检查发现的问题应采取纠正措施，以保证风险管理的有效性、连续性、充分性，监督检查和评价结果应作为管理评审的输入。

5.7沟通和记录

风险管理过程中，应做好内外部沟通，沟通的内容包括：风险信息的收集、风险识别分析评价与应对措施、机遇评估应对措施、风险管理的实施情况等。各部门负责相关的风险管理形成文件信息的保存，管理者代表负责公司风险管理形成文件信息的保存和管理。

5.8在风险识别和评价的过程中，所识别出来的风险可能会存在内容交叉和重复的情况，战

略小组负责确保应对措施的一致性和完整性。

6. 引用文件 reference file

组织环境理解和分析管理程序

7. 相关记录related documents

7.1 《风险评估与应对措施表》

7.2 《机遇评估与应对措施表》

7.3 《相关方需求与期望应对表》