風險和機遇應(yīng)對程序

風險和機遇控制程序姓名職位簽名日期制訂審核批準變更履歷目的為積極應(yīng)對公司未來可能面臨的風險和機遇，進行有效的風險管理，從而抓住機遇，規(guī)避或降低風險確保管理體系預期結(jié)果的實現(xiàn)，并找到改進機會。范圍本程序適用于公司運營整個生命周期及不同層面的風險和機遇管理，包括產(chǎn)品和服務(wù)層面、管理體系過程層面、公司戰(zhàn)略和系統(tǒng)層面。術(shù)語和定義風險risk不確定性對目標的影響。注：影響可能偏離預期——正面的和/或負面的，正面的為機會，負面的為威脅；風險常具有潛在事件、后果或二者結(jié)合的特征。風險管理riskmanagement一個組織針對風險所采取的指揮和控制的協(xié)調(diào)活動。風險源risksource單獨地或以結(jié)合的形式具有產(chǎn)生風險的內(nèi)在可能性的因素。注：一個風險源可以是有形的或者無形的。后果consequence事件對目標的影響結(jié)果?？赡苄詌ikelihood某事發(fā)生的可能程度。風險等級levelofrisk一個風險或組合風險的大小，以后果和可能性的二者結(jié)合來表示。風險偏好riskappetite組織愿意承受風險的大小。組織環(huán)境contextoftheorganization對組織建立和實現(xiàn)目標的方法有影響的內(nèi)部和外部因素的組合。（內(nèi)部環(huán)境、外部環(huán)境）利益相關(guān)方stakeholder可能影響、被影響或意識到其自身可能被一項決定或活動所影響的個人或組織。示例：股東、董事會成員、管理層、員工、顧客、供應(yīng)商、銷售商、分包商、債權(quán)人、機構(gòu)投資者、政府部門社區(qū)等。風險評估riskassessment風險識別、風險分析和風險評價的全過程。風險識別riskidentification發(fā)現(xiàn)、認識、描述風險的過程。注：風險識別會涉及歷史數(shù)據(jù)、技術(shù)分析、有事實依據(jù)的和專家的觀點、以及利益相關(guān)方的需求。風險分析riskanalysis理解風險的性質(zhì)和確定風險程度的過程。風險準則riskcriteria評價風險重要性的參照依據(jù)。風險評價riskevaluation將風險分析的結(jié)果與風險準則進行比較，以確定風險和（或）其量是否可接受或可容許。風險應(yīng)對risktreatment改變風險的過程。殘留風險residualrisk風險應(yīng)對后余留下的風險。監(jiān)測monitoring不斷檢查、監(jiān)督、嚴格觀察或確定狀態(tài)，以識別所要求或期待的績效水平的變化。評審review為實現(xiàn)所建立的目標而進行的決定適宜性、充分性、有效性的活動。4職責最高管理者/管理者代表組織高級管理層代表股東或投資者對組織進行風險管理?？赡軈⑴c的活動包括不限于4.1.1.1戰(zhàn)略風險的評估和管理。組織風險偏好的表述。在較高層級上制定風險管理政策。建立風險管理方針，清楚闡明組織風險管理的目標和承諾，并進行適當?shù)臏贤ㄅc評審。確定各風險控制部門對于風險管理的權(quán)力和義務(wù)，支持其他管理者履行其相關(guān)領(lǐng)域的職責，并適當授權(quán)；確保根據(jù)組織目標、政策和風險偏好實施風險管理程序，對風險管理的有效性承擔責任。確保風險管理所需資源的提供，包括人員資格、必要的培訓、信息獲取等。4.2風險控制部：負責風險和機遇控制程序的建立和維護，確保相關(guān)要求在相應(yīng)的層次和階段得到溝通和協(xié)商。

負責收集、匯總各個層面的風險和機遇資料，進行風險評估，以及《風險和機遇清單》等相關(guān)資料的更新。確認基于《風險和機遇清單》的風險應(yīng)對措施在相關(guān)部門得以制定和執(zhí)行。對風險管理整個過程進行監(jiān)測、評審，確認實施風險和機遇措施的有效性。4.3質(zhì)量部體系：負責將體系層面的風險和機遇相關(guān)標準的變更信息及時通知給風險控制部。配合風險控制部進行必要的審核應(yīng)對。風險措施執(zhí)行部門：負責本部門風險和機遇的應(yīng)對措施的制定，并落實執(zhí)行。根據(jù)體系組監(jiān)測和評審的結(jié)果，對風險管理采取糾正措施。加強本部門風險意識的宣傳和培訓，從員工、其他利益相關(guān)者、更廣泛的環(huán)境中收集、反饋更新有關(guān)危險、風險信息。4.5其他部門在適當時，協(xié)助風險措施執(zhí)行部門做好風險管理。發(fā)現(xiàn)本部門或周邊的重大風險或機遇信息，應(yīng)及時予以匯報5.1總則5.1.1所示：5程序5.1總則5.1.1所示：溝通和協(xié)商風險評估工作的成功依賴于與利益相關(guān)方進行的有效溝通與協(xié)商，讓利益相關(guān)者參與到風險管理過程中是有必要的。與內(nèi)、外部利益相關(guān)方的溝通和協(xié)商宜在風險管理過程的所有階段進行。溝通和協(xié)商的內(nèi)容包括不限于：——適當?shù)貛椭鞔_風險和機遇的狀況，如：風險本身、風險成因、風險后果（如果掌握）以及處理風險措施相關(guān)的問題；——確保利益相關(guān)方的利益被理解和考慮；——幫助確保風險充分地被識別；——將不同領(lǐng)域的專業(yè)知識一并用于分析風險；——確保在界定風險準則和評定風險時，不同的觀點被恰當?shù)乜紤]；——確保認同和支持處理計劃；——對風險管理過程中發(fā)生的變更進行有效管控。建立環(huán)境5.3.1總則通過建立環(huán)境，清楚地表達組織的目標，確定與管理體系相關(guān)的內(nèi)部和外部因素、利益相關(guān)方的需求和期望，為風險管理提供依據(jù)。5.3.2組織環(huán)境確定與組織目標和戰(zhàn)略方向相關(guān)，并影響管理體系預期結(jié)果實現(xiàn)的各種外部和內(nèi)部環(huán)境因素。使用PEST方法和SWOT方法分析組織的內(nèi)外部環(huán)境因素，并登記在PEST分析報告和SWOT分析報告上；適當時對這些外部和內(nèi)部因素的相關(guān)信息進行監(jiān)視和評審。5.3.2.1外部環(huán)境為了確保在建立風險準則時，目標和外部利益相關(guān)方的關(guān)注點被予以考慮，需明確外部環(huán)境。外部環(huán)境可以包括但不限于：——社會、文化、政治、法律法規(guī)、金融、技術(shù)、經(jīng)濟、自然環(huán)境、競爭環(huán)境，無論國際的、國內(nèi)的、區(qū)域的或局部的；——對組織的目標有影響的關(guān)鍵驅(qū)動者和趨勢；與外部利益相關(guān)方的關(guān)系，他們的觀點和價值觀。5.3.2.2內(nèi)部環(huán)境風險管理過程宜與組織的文化、過程、結(jié)構(gòu)和戰(zhàn)略相一致。內(nèi)部環(huán)境是組織內(nèi)能夠影響管理風險方法的方面。內(nèi)部環(huán)境可以包括但不僅限于：——治理、組織結(jié)構(gòu)、角色與責任；（注：治理——一系列活動領(lǐng)域里的管理機制）——方針、目標，以及實現(xiàn)它們的戰(zhàn)略；——能力、對資源和知識的理解（如：資本、時間、人員、過程、系統(tǒng)和技術(shù)）——信息系統(tǒng)、信息流和決策過程（正式的或非正式的）；——與內(nèi)部利益相關(guān)方的關(guān)系，他們的觀點和價值觀；——組織的文化；——組織所采用的標準、指南和模型；——合同關(guān)系的種類與程度。5.3.2.3建立風險管理過程的環(huán)境5.3.2.3.1建立風險管理目標積極應(yīng)對組織的風險和機遇，保存組織的生存能力，把握機遇，以持續(xù)提供滿足法律法規(guī)要求和顧客需求的產(chǎn)品和服務(wù)。風險和機遇應(yīng)對措施有效率：90%。適用時，宜逐級完成以下事項，以確保風險管理目標的實現(xiàn)和持續(xù)改進：a） 組織在面臨風險和意外事故的情況下能夠維持生存。b） 當風險來臨時，保證組織的各項經(jīng)營活動能夠迅速恢復正常運專。c） 實現(xiàn)組織穩(wěn)定的收益。借助風險和機遇的應(yīng)對措施，一方面使生產(chǎn)經(jīng)營得以及時恢復；另一方面，尋求并把握機遇，逐步實現(xiàn)組織穩(wěn)定的收益。d） 通過風險成本最小化實現(xiàn)企業(yè)價值最大化。由于風險的存在導致企業(yè)價值的減少，構(gòu)成了風險成本，通過全面系統(tǒng)的風險管理，可以減少企業(yè)的風險成本，進而減少災害損失和現(xiàn)金流出，最終實現(xiàn)企業(yè)價值最大化。5.3.2.3.2資源組織應(yīng)為風險管理配置適當?shù)馁Y源。可從以下方面予以考慮：重要聲明：只有蓋上受控印章文件方為有效文件，受控文件未經(jīng)許可不得私自復制、打印。LOGO風險和機遇應(yīng)對程序文件編號：****版本：A生效日期：2016/10/18第8頁，共13頁――人員、技能、經(jīng)驗和能力；——對于風險管理過程的每一步驟所需的資源；——用于管理風險的過程、方法和工具；——形成文件的過程和程序；——信息和知識的管理系統(tǒng)；——培訓計劃。利益相關(guān)方的需求和期望分析識別出與管理體系有關(guān)，且對組織持續(xù)提供符合顧客要求和適用法律法規(guī)要求的產(chǎn)品和服務(wù)的能力產(chǎn)生影響或潛在影響的利益相關(guān)方，并對其需求和期望進行分析，登記在《相關(guān)方及其需求和期望清單》上。適當時對這些相關(guān)方及其要求的相關(guān)信息進行評審和更新。5.3.4確定風險準則組織宜確定用于評定風險重要性的準則。該準則宜反映組織的價值觀、目標和資源。一些準則可以服從或引用法律法規(guī)要求或組織簽署的其他要求。風險準則宜在風險管理過程開始時予以確定，并予以持續(xù)評審。在某些情況下，對不同時間、地點、類別或情況，需要使用多于一個的數(shù)值或描述指標，以具體說明后果和可能性，確定風險準則。確定風險準則時，考慮的因素宜包括如下方面：——風險的特性和原因的種類，可能出現(xiàn)的后果以及如何對其進行測量；——如何確定風險發(fā)生的可能性；——可能性和（或）后果的時間范圍；——如何確定風險等級；——利益相關(guān)方的觀點；——風險可接受或可容許的程度；——考慮是否需要組合多個風險，如需要，應(yīng)考慮如何組合和哪些組合方式。5?3?4?1對“可能性”L）的評分準則：發(fā)生頻度風險準則：“可能性”內(nèi)容描述分值極少發(fā)生行業(yè)內(nèi)從未發(fā)生過1較少發(fā)生行業(yè)中發(fā)生過，但在本集團中從未發(fā)生過2偶爾發(fā)生在本集團中發(fā)生過，但在本業(yè)務(wù)部門中從未發(fā)生過3有時發(fā)生在本業(yè)務(wù)部門中偶爾發(fā)生過4經(jīng)常發(fā)生在本業(yè)務(wù)部門中經(jīng)常發(fā)生55?3?4?2對“后果”S）的評分準則:嚴重程度風險準則：“后果”內(nèi)容描述分值法律法規(guī)及其他要求人身傷害財產(chǎn)損失（萬元）停工/停產(chǎn)企業(yè)形象微小不違反無傷亡無損失沒有停工不影響1一般企業(yè)標準輕微受傷包扎即可財產(chǎn)損失<10可短時恢復企業(yè)及周邊范圍的影響2較嚴重地區(qū)標準受傷需要停工療養(yǎng)，且停工時間<3個月10W財產(chǎn)損失<50間歇性恢復地區(qū)性影響3嚴重省內(nèi)標準、行業(yè)標準受傷需要停工療養(yǎng)，且停工時間三3個月50W財產(chǎn)損失<100需較長時間調(diào)整后才可恢復省內(nèi)、行業(yè)影響4很嚴重違反法律法規(guī)、國際/國家標準客戶強制標準、或要求死亡、截肢、骨折、聽力喪失、慢性病等財產(chǎn)損失三100不可恢復重大國內(nèi)、國際影響55.3.4.3根據(jù)組織的風險偏好，確定風險等級的判定標準和可接受程度如下：風險等級（R）=可能性（L）X后果（S）風險等級風險的可接受程度風險措施檢查頻次風險值W6低風險（可接受風險）風險等級微不足道，或者風險很小，無需采取風險應(yīng)對措施變更時8W風險值W12中風險應(yīng)審視現(xiàn)有的控制措施，并且可能需要執(zhí)行額外的控制措施，以降低風險。在降低風險和其實現(xiàn)之間應(yīng)有一個平衡可以利用成本收益分析對此進行評估。，可考慮建立操作規(guī)程、作業(yè)指導書，定期檢查每年14W風險值W20“后果”值=4咼風險應(yīng)檢查現(xiàn)有的控制措施，并進行減輕風險的規(guī)劃?？赡苄枰獙栴}提交到更咼的層級或風險委員會。每季度版本：A版本：A生效日期：2016/10/18文件編號風險值三21“后果”值=5重大風險（不可接受風險）應(yīng)優(yōu)先進行較高層級的風險減輕和避免的規(guī)劃。每天/不間斷****第10頁，共13頁5.4風險評估5.4.1風險識別根據(jù)明確的組織環(huán)境信息，包括組織內(nèi)外部環(huán)境和相關(guān)方的需求，確定可能影響管理體系的預期結(jié)果或組織目標得以實現(xiàn)的風險和機遇，同時要識別這些風險和機遇的現(xiàn)有控制措施（諸如設(shè)計特征、人員、過程和系統(tǒng)等）。風險識別的重點內(nèi)容：風險源、影響的范圍、相關(guān)事件、風險原因以及潛在的后果。當風險源或風險原因不易識別，但風險本身可以識別時，如風險源不在組織控制之下的風險，這種風險也應(yīng)該被識別出來。風險識別方法包括但不限于：——非常適用：頭腦風暴法、結(jié)構(gòu)化/半結(jié)構(gòu)化訪談、德爾菲法、情景分析、檢查表、失效模式和效應(yīng)分析（FMEA）、臓分析與關(guān)鍵控制點（HACCP）、》險矩陣等；——適用：業(yè)務(wù)影響分析、根原因分析、故障樹分析等。風險識別方法可參考ISO/IEC31010：2009《風險管理——風險評估技術(shù)》標準。5.4.2風險分析針對一個特定風險進行分析，結(jié)合考慮其可能性和后果，得到風險等級。運用半定量法進行風險分析，利用數(shù)字分級尺度來確定風險的“可能性”及“后果”。一個風險事件可能產(chǎn)生多個后果，從而可能影響多重目標。對已識別的風險的可能性（發(fā)生頻度）和后果（嚴重度）進行評價，并依據(jù)本程序所規(guī)定的風險準則進行評定，根據(jù)風險的“可能性”和“后果”分值的乘積計算出風險值，確定風險等級。根據(jù)風險等級確定風險的可接受程度，劃分為以下四種程度：重大風險（不可接受風險）：無論活動能帶來什么利益，風險等級都是無法容忍的，必須不惜代價進行風險應(yīng)對；高風險：在現(xiàn)有的控制措施的基礎(chǔ)上，還需執(zhí)行額外的控制措施，并報高層中風險：是指要考慮實施風險應(yīng)對的成本與收益，并權(quán)衡機遇與潛在結(jié)果；重要聲明：只有蓋上受控印章文件方為有效文件，受控文件未經(jīng)許可不得私自復制、打印。低風險（可接受風險）：是指風險等級微不足道，或者風險很小，無需采取風險應(yīng)對措施。風險評估的結(jié)果應(yīng)滿足風險應(yīng)對的需要，否則，應(yīng)做進一步分析。5.4.2.5風險分析方法包括但不限于：――對“可能性”的適用分析方法：風險矩陣、結(jié)構(gòu)化假設(shè)分析（SWIFT）、根原因分析、風險指數(shù)、事件樹分析、決策樹分析等；――對“后果”的適用分析方法：業(yè)務(wù)影響分析、危險與可操乍性分析（HAZOP）、危險分析與關(guān)鍵控制點（HACCP）、》險矩陣、人因可靠性分析等；――對“風險等級”的適用分析方法：風險矩陣、結(jié)構(gòu)化假設(shè)分析（SWIFT）、煙可靠性分析、根原因分析等。對不同種類、不同程度的風險，應(yīng)選擇針對性強、適用的風險分析方法。風險分析方法可參考ISO/IEC31010：2009《風險管理——風險評估技術(shù)》標準。5.4.3風險評價將已識別和分析的眾多風險進行等級確定，將風險等級與風險準則進行比較，以進行風險的重要性劃分。確認風險是否需要處理，以及處理實施優(yōu)先的決策。風險評價方法包括但不限于：危險與可操作性分析（HAZOP）、危^分析與關(guān)鍵控制點（HACCP）、結(jié)^化假設(shè)分析（SWIFT）、以可靠性為中心的維修、根原因分析、風險指數(shù)等。風險評價方法可參考ISO/IEC31010：2009《風險管理——風險評估技術(shù)》標準。以上風險評估的結(jié)果將記入《風險和機遇清單》，并適時進行更新。5.5風險應(yīng)對完成風險評估之后，應(yīng)在考慮已有的應(yīng)對措施有效性的基礎(chǔ)上，確定應(yīng)對以上風險和機遇的措施；必要時，改變組織現(xiàn)有的應(yīng)對方式，提出新的應(yīng)對措施。選擇風險應(yīng)對方式，應(yīng)考慮成本與收益的平衡，以及法律、法規(guī)和其他要求，如社會責任和自然環(huán)境保護。組織應(yīng)根據(jù)自身的情況，選擇一種、多種或組織使用風險的應(yīng)對方式；相關(guān)部門應(yīng)執(zhí)行其責任范圍內(nèi)的風險和機遇應(yīng)對措施。風險應(yīng)對是一個遞進的循環(huán)過程，實施風險應(yīng)對措施后，應(yīng)考慮殘留風險，并重新評估新的風險水平是否可以承受，從而確定是否需