《风险和机遇应对程序.doc》由会员分享,可在线阅读,更多相关《风险和机遇应对程序.doc(12页珍藏版)》请在三一办公上搜索。
1、风险和机遇控制程序姓名职位签名日期制订审核批准变更履历版本修改摘要修改日期修改人DCN编号A新建 1 目的为积极应对公司未来可能面临的风险和机遇,进行有效的风险管理,从而抓住机遇,规避或降低风险,确保管理体系预期结果的实现,并找到改进机会。2 范围 本程序适用于公司运营整个生命周期及不同层面的风险和机遇管理,包括产品和服务层面、管理体系过程层面、公司战略和系统层面。3 术语和定义3.1 风险 risk不确定性对目标的影响。注:影响可能偏离预期正面的和/或负面的,正面的为机会,负面的为威胁; 风险常具有潜在事件、后果或二者结合的特征。3.2 风险管理 risk management一个组织针对风
2、险所采取的指挥和控制的协调活动。3.3 风险源 risk source单独地或以结合的形式具有产生风险的内在可能性的因素。注:一个风险源可以是有形的或者无形的。3.4 后果 consequence事件对目标的影响结果。3.5 可能性 likelihood某事发生的可能程度。3.6 风险等级 level of risk 一个风险或组合风险的大小,以后果和可能性的二者结合来表示。3.7 风险偏好 risk appetite 组织愿意承受风险的大小。3.8 组织环境 context of the organization对组织建立和实现目标的方法有影响的内部和外部因素的组合。(内部环境、外部环境)3
3、.9 利益相关方 stakeholder可能影响、被影响或意识到其自身可能被一项决定或活动所影响的个人或组织。 示例:股东、董事会成员、管理层、员工、顾客、供应商、销售商、分包商、债权人、机构投资者、政府部门、社区等。3.10 风险评估 risk assessment风险识别、风险分析和风险评价的全过程。 3.11 风险识别 risk identification发现、认识、描述风险的过程。 注:风险识别会涉及历史数据、技术分析、有事实依据的和专家的观点、以及利益相关方的需求。3.12 风险分析 risk analysis理解风险的性质和确定风险程度的过程。3.13 风险准则 risk cri
4、teria评价风险重要性的参照依据。3.14 风险评价 risk evaluation将风险分析的结果与风险准则进行比较,以确定风险和(或)其量是否可接受或可容许。3.15 风险应对 risk treatment改变风险的过程。3.16 残留风险 residual risk风险应对后余留下的风险。3.17 监测 monitoring不断检查、监督、严格观察或确定状态,以识别所要求或期待的绩效水平的变化。3.18 评审 review为实现所建立的目标而进行的决定适宜性、充分性、有效性的活动。 4 职责4.1 最高管理者/管理者代表4.1.1 组织高级管理层代表股东或投资者对组织进行风险管理。可能
5、参与的活动包括不限于:4.1.1.1 战略风险的评估和管理。4.1.1.2 组织风险偏好的表述。4.1.1.3 在较高层级上制定风险管理政策。4.1.2 建立风险管理方针,清楚阐明组织风险管理的目标和承诺,并进行适当的沟通与评审。4.1.3 确定各风险控制部门对于风险管理的权力和义务,支持其他管理者履行其相关领域的职责,并适当授权;确保根据组织目标、政策和风险偏好实施风险管理程序,对风险管理的有效性承担责任。4.1.4 确保风险管理所需资源的提供,包括人员资格、必要的培训、信息获取等。4.2 风险控制部:4.2.1 负责风险和机遇控制程序的建立和维护,确保相关要求在相应的层次和阶段得到沟通和协
6、商。4.2.2 负责收集、汇总各个层面的风险和机遇资料,进行风险评估,以及风险和机遇清单等相关资料的更新。4.2.3 确认基于风险和机遇清单的风险应对措施在相关部门得以制定和执行。4.2.4 对风险管理整个过程进行监测、评审,确认实施风险和机遇措施的有效性。4.3 质量部体系:4.3.1 负责将体系层面的风险和机遇相关标准的变更信息及时通知给风险控制部。4.3.2 配合风险控制部进行必要的审核应对。4.4 风险措施执行部门:4.4.1 负责本部门风险和机遇的应对措施的制定,并落实执行。4.4.2 根据体系组监测和评审的结果,对风险管理采取纠正措施。4.4.3 加强本部门风险意识的宣传和培训,从
7、员工、其他利益相关者、更广泛的环境中收集、反馈、更新有关危险、风险信息。4.5 其他部门4.5.1 在适当时,协助风险措施执行部门做好风险管理。4.5.2 发现本部门或周边的重大风险或机遇信息,应及时予以汇报。5 程序5.1 总则5.1.1 风险管理的过程包含:沟通与协商、建立环境、风险评估、风险应对、监测与评审,如下图所示:风险评估(5.4)风险管理过程建立环境(5.3)风险识别(5.4.1)风险分析(5.4.2)风险评价(5.4.3)风险应对(5.5)沟通与协商(5.2)监测与评审(5.6)5.2 沟通和协商风险评估工作的成功依赖于与利益相关方进行的有效沟通与协商,让利益相关者参与到风险管
8、理过程中是有必要的。与内、外部利益相关方的沟通和协商宜在风险管理过程的所有阶段进行。 沟通和协商的内容包括不限于: 适当地帮助明确风险和机遇的状况,如:风险本身、风险成因、风险后果(如果掌握)以及处理风险措施相关的问题; 确保利益相关方的利益被理解和考虑; 帮助确保风险充分地被识别; 将不同领域的专业知识一并用于分析风险; 确保在界定风险准则和评定风险时,不同的观点被恰当地考虑; 确保认同和支持处理计划; 对风险管理过程中发生的变更进行有效管控。5.3 建立环境5.3.1 总则通过建立环境,清楚地表达组织的目标,确定与管理体系相关的内部和外部因素、利益相关方的需求和期望,为风险管理提供依据。5
9、.3.2 组织环境确定与组织目标和战略方向相关,并影响管理体系预期结果实现的各种外部和内部环境因素。使用PEST方法和SWOT方法分析组织的内外部环境因素,并登记在PEST分析报告和SWOT分析报告上;适当时对这些外部和内部因素的相关信息进行监视和评审。5.3.2.1 外部环境为了确保在建立风险准则时,目标和外部利益相关方的关注点被予以考虑,需明确外部环境。外部环境可以包括但不限于: 社会、文化、政治、法律法规、金融、技术、经济、自然环境、竞争环境,无论国际的、国内的、区域的或局部的; 对组织的目标有影响的关键驱动者和趋势; 与外部利益相关方的关系,他们的观点和价值观。5.3.2.2 内部环境
10、 风险管理过程宜与组织的文化、过程、结构和战略相一致。内部环境是组织内能够影响管理风 险方法的方面。内部环境可以包括但不仅限于: 治理、组织结构、角色与责任;(注:治理 一系列活动领域里的管理机制) 方针、目标,以及实现它们的战略; 能力、对资源和知识的理解(如:资本、时间、人员、过程、系统和技术) 信息系统、信息流和决策过程(正式的或非正式的); 与内部利益相关方的关系,他们的观点和价值观; 组织的文化; 组织所采用的标准、指南和模型; 合同关系的种类与程度。 5.3.2.3 建立风险管理过程的环境5.3.2.3.1 建立风险管理目标积极应对组织的风险和机遇,保存组织的生存能力,把握机遇,以
11、持续提供满足法律法规要求和顾客需求的产品和服务。风险和机遇应对措施有效率:90%。适用时,宜逐级完成以下事项,以确保风险管理目标的实现和持续改进:a)组织在面临风险和意外事故的情况下能够维持生存。b)当风险来临时,保证组织的各项经营活动能够迅速恢复正常运转。c)实现组织稳定的收益。借助风险和机遇的应对措施,一方面使生产经营得以及时恢复;另一方面,寻求并把握机遇,逐步实现组织稳定的收益。d)通过风险成本最小化实现企业价值最大化。由于风险的存在导致企业价值的减少,构成了风险成本,通过全面系统的风险管理,可以减少企业的风险成本,进而减少灾害损失和现金流出,最终实现企业价值最大化。5.3.2.3.2
12、资源组织应为风险管理配置适当的资源。可从以下方面予以考虑: 人员、技能、经验和能力; 对于风险管理过程的每一步骤所需的资源; 用于管理风险的过程、方法和工具; 形成文件的过程和程序; 信息和知识的管理系统; 培训计划。5.3.3 利益相关方的需求和期望分析5.3.3.1 识别出与管理体系有关,且对组织持续提供符合顾客要求和适用法律法规要求的产品和服务的能力产生影响或潜在影响的利益相关方,并对其需求和期望进行分析,登记在相关方及其需求和期望清单上。5.3.3.2 适当时对这些相关方及其要求的相关信息进行评审和更新。5.3.4 确定风险准则组织宜确定用于评定风险重要性的准则。该准则宜反映组织的价值
13、观、目标和资源。一些准则可以服从或引用法律法规要求或组织签署的其他要求。风险准则宜在风险管理过程开始时予以确定,并予以持续评审。在某些情况下,对不同时间、地点、类别或情况,需要使用多于一个的数值或描述指标,以具体说明后果和可能性,确定风险准则。 确定风险准则时,考虑的因素宜包括如下方面: 风险的特性和原因的种类,可能出现的后果以及如何对其进行测量; 如何确定风险发生的可能性; 可能性和(或)后果的时间范围; 如何确定风险等级; 利益相关方的观点; 风险可接受或可容许的程度; 考虑是否需要组合多个风险,如需要,应考虑如何组合和哪些组合方式。5.3.4.1 对“可能性”(L)的评分准则:发生频度风
14、险准则:“可能性”内容描述分值极少发生行业内从未发生过1较少发生行业中发生过,但在本集团中从未发生过2偶尔发生在本集团中发生过,但在本业务部门中从未发生过3有时发生在本业务部门中偶尔发生过4经常发生在本业务部门中经常发生55.3.4.2 对“后果”(S)的评分准则:严重程度风险准则:“后果”内容描述分值法律法规及其他要求人身伤害财产损失(万元)停工/停产企业形象微小不违反无伤亡无损失没有停工不影响1一般企业标准轻微受伤包扎即可财产损失10可短时恢复企业及周边范围的影响2较严重地区标准受伤需要停工疗养,且停工时间3个月10财产损失50间歇性恢复地区性影响3严重省内标准、行业标准受伤需要停工疗养,
15、且停工时间3个月50财产损失100需较长时间调整后才可恢复省内、行业影响4很严重违反法律法规、国际/国家标准、客户强制标准或要求死亡、截肢、骨折、听力丧失、慢性病等财产损失100不可恢复重大国内、国际影响55.3.4.3 根据组织的风险偏好,确定风险等级的判定标准和可接受程度如下:风险等级(R)=可能性(L)后果(S)风险等级风险的可接受程度风 险 措 施检查频次风险值6低风险(可接受风险)风险等级微不足道,或者风险很小,无需采取风险应对措施变更时8风险值12中风险应审视现有的控制措施,并且可能需要执行额外的控制措施,以降低风险。在降低风险和其实现之间应有一个平衡,可以利用成本收益分析对此进行
16、评估。可考虑建立操作规程、作业指导书,定期检查每年14风险值20“后果”值=4高风险应检查现有的控制措施,并进行减轻风险的规划。可能需要将问题提交到更高的层级或风险委员会。每季度风险值21“后果”值=5重大风险(不可接受风险)应优先进行较高层级的风险减轻和避免的规划。每天/不间断5.4 风险评估5.4.1 风险识别5.4.1.1 根据明确的组织环境信息,包括组织内外部环境和相关方的需求,确定可能影响管理体系的预期结果或组织目标得以实现的风险和机遇,同时要识别这些风险和机遇的现有控制措施(诸如设计特征、人员、过程和系统等)。5.4.1.2 风险识别的重点内容:风险源、影响的范围、相关事件、风险原
17、因以及潜在的后果。当风险源或风险原因不易识别,但风险本身可以识别时,如风险源不在组织控制之下的风险,这种风险也应该被识别出来。5.4.1.3 风险识别方法包括但不限于:非常适用:头脑风暴法、结构化/半结构化访谈、德尔菲法、情景分析、检查表、失效模式和效应分析(FMEA)、危险分析与关键控制点(HACCP)、风险矩阵等;适用:业务影响分析、根原因分析、故障树分析等。风险识别方法可参考ISO/IEC 31010:2009风险管理风险评估技术标准。5.4.2 风险分析5.4.2.1 针对一个特定风险进行分析,结合考虑其可能性和后果,得到风险等级。5.4.2.2 运用半定量法进行风险分析,利用数字分级
18、尺度来确定风险的“可能性”及“后果”。一个风险事件可能产生多个后果,从而可能影响多重目标。5.4.2.3 对已识别的风险的可能性(发生频度)和后果(严重度)进行评价,并依据本程序所规定的风险准则进行评定,根据风险的“可能性”和“后果”分值的乘积计算出风险值,确定风险等级。5.4.2.4 根据风险等级确定风险的可接受程度,划分为以下四种程度:重大风险(不可接受风险):无论活动能带来什么利益,风险等级都是无法容忍的,必须不惜代价进行风险应对;高风险:在现有的控制措施的基础上,还需执行额外的控制措施,并报高层中风险:是指要考虑实施风险应对的成本与收益,并权衡机遇与潜在结果;低风险(可接受风险):是指
19、风险等级微不足道,或者风险很小,无需采取风险应对措施。风险评估的结果应满足风险应对的需要,否则,应做进一步分析。5.4.2.5 风险分析方法包括但不限于:对“可能性”的适用分析方法:风险矩阵、结构化假设分析(SWIFT)、根原因分析、风险指数、事件树分析、决策树分析等;对“后果”的适用分析方法:业务影响分析、危险与可操作性分析(HAZOP)、危险分析与关键控制点(HACCP)、风险矩阵、人因可靠性分析等;对“风险等级”的适用分析方法:风险矩阵、结构化假设分析(SWIFT)、人因可靠性分析、根原因分析等。对不同种类、不同程度的风险,应选择针对性强、适用的风险分析方法。风险分析方法可参考ISO/I
20、EC 31010:2009风险管理风险评估技术标准。5.4.3 风险评价5.4.3.1 将已识别和分析的众多风险进行等级确定,将风险等级与风险准则进行比较,以进行风险的重要性划分。5.4.3.2 确认风险是否需要处理,以及处理实施优先的决策。5.4.3.3 风险评价方法包括但不限于:危险与可操作性分析(HAZOP)、危险分析与关键控制点(HACCP)、结构化假设分析(SWIFT)、以可靠性为中心的维修、根原因分析、风险指数等。风险评价方法可参考ISO/IEC 31010:2009风险管理风险评估技术标准。 以上风险评估的结果将记入风险和机遇清单,并适时进行更新。5.5 风险应对5.5.1 完成
21、风险评估之后,应在考虑已有的应对措施有效性的基础上,确定应对以上风险和机遇的措施; 必要时,改变组织现有的应对方式,提出新的应对措施。5.5.2 选择风险应对方式,应考虑成本与收益的平衡,以及法律、法规和其他要求,如社会责任和自然环境保护。5.5.3 组织应根据自身的情况,选择一种、多种或组织使用风险的应对方式;相关部门应执行其责任范围内的风险和机遇应对措施。5.5.4 风险应对是一个递进的循环过程,实施风险应对措施后,应考虑残留风险,并重新评估新的风险水平是否可以承受,从而确定是否需要进一步采取应对措施。5.5.5 针对高概率风险,采取风险减轻计划;针对低概率、高影响的风险,采取应急计划。5
22、.5.6 应对风险和机遇的措施应与其对于产品和服务符合性的潜在影响相适应。5.5.7 风险和机遇应对措施宜以相关、有效和有效率的方式嵌入到所有组织的实践和过程中。5.5.8 风险应对的方式包括:5.5.8.1 规避风险,决定不开始、不继续导致风险的活动;5.5.8.2 为寻求机遇而承担或增大风险;5.5.8.3 消除风险源;5.5.8.4 改变可能性;5.5.8.5 改变后果;5.5.8.6 与其他团体或各方分担风险(包括合同和风险资金);5.5.8.7 以正式的决定保留风险。5.6 监测和评审确定监测和检查工作的责任,定期对风险和机遇及其应对结果进行监测和评审,以确认:有关风险的假定仍然有效
23、;风险评估所依据的假定,包括内外部环境,仍然有效;正在实现预期结果;风险评估的结果符合实际经验;风险评估技术被正确使用;风险应对有效。5.7 记录风险管理过程为确保风险管理活动的可追溯性,在其过程中应保留相应的记录。6 相关文件 6.1 应急计划管理办法 SWI-60-001 6.2 危机管理办法 SWI-92-0016.3 风险管理制度SWI-92-002 7表格和记录表格/记录名称表格/记录编号 适 用记录保存责任保存期限组织环境分析报告-PEST分析PF-70-003总经理总裁办常备/更新组织环境分析报告-SWOT分析PF-70-004总经理总裁办常备/更新相关方及其需求和期望清单PF-70-002各部门总裁办常备/更新风险和机遇清单PF-70-001各部门风险控制部常备/更新8流程图 无
