ISO-9001質量管理體系-風險和機遇控制程序

1、XXXXXXXXXXXX有限責任公司企業(yè)標準XXXXXX風險和機遇控制程序2016-08-15 實施2016-08-10 發(fā)布 根據(jù)質量、環(huán)境、職業(yè)健康安全管理體系要求，結合公司標準體系管理要求，制定本標準。XXXXXX有限責任公司發(fā)布本標準由XXXXXX 有限責任公司技術質量部提出。本標準由xxxxxXt限責任公司風險管理部歸口。本標準由xxxxxXt限責任公司技術質量部起草。本標準主要起草人：XXX本標準審核人：XXX本標準批準人： XXXX本標準于2016年8月首次發(fā)布。XXXXXX風險和機遇控制程序1 范圍1.1本標準適用于xxxxxX限責任公司質量、環(huán)境、職業(yè)健康安全管理體系活動中應

2、對風險和機遇的方法及要求的控制提供操作依據(jù)，這些活動包括：a）業(yè)務開發(fā)、市場調(diào)查及客戶滿意度測評過程的風險和機遇管理；b）供應商評審和采購控制過程的風險和機遇管理；c）服務過程的風險和機遇管理；d）過程檢驗和監(jiān)視測量設備的管理過程的風險和機遇管理；e）設備的維護和保養(yǎng)管理過程的風險和機遇管理；f ）不合格品的處置及糾正預防措施的執(zhí)行和驗證過程的風險和機遇管理；g）與公司目標和戰(zhàn)略方向相關并影響實現(xiàn)質量管理體系預期結果的各種內(nèi)部和外部因素的風險和 機遇管理；h）持續(xù)改進過程的風險和機遇管理。2 規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。 凡是注日期的引用文件， 其隨后所有

3、的修改單 （不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而， 鼓勵根據(jù)本標準達成協(xié)議的各方研究 是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。無3 術語3.1 風險：在一定環(huán)境下和一定限期內(nèi)客觀存在的、影響企業(yè)目標實現(xiàn)的各種不確定性事件。3.2 機遇：對企業(yè)有正面影響的條件和事件 , 包括某些突發(fā)事件等。3.3 風險評估： 在風險事件發(fā)生之前或之后（但還沒有結束） ，該事件給各個方面造成的影響和損失的可能性進行量化評估的工作。 即， 風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。3.4 風險規(guī)避： 風險規(guī)避是風險應對的一種方法， 是指通過有計劃

4、的變更來消除風險或風險發(fā)生的條件，保護目標免受風險的影響。 風險規(guī)避并不意味著完全消除風險， 我們所要規(guī)避的是風險可能給我們造成的損失。一是要降低損失發(fā)生的機率，這主要是采取事先控制措施；二是要降低損失程度， 這主要包括事先控制、事后補救兩個方面。3.5 風險降低： 通過采取措施以達到降低風險的效果。 一般情況下， 若采取的措施能夠有效的降低所遭受的風險， 應將采取措施的記錄進行保留或者寫入文件進行歸檔， 以便后期重復發(fā)生時作為改善的依據(jù)。3.6 風險接受： 是指企業(yè)承擔風險造成的損失。 風險接受一般適用于那些造成損失較小、 重復性較高的風險、最適合于自留的風險事件。3.7 內(nèi)部風險：企業(yè)內(nèi)部

5、形成的風險, 例如戰(zhàn)略決策風險、環(huán)境風險、財務風險、管理風險、經(jīng)營風險等。3.8 外部風險：由外部影響因素導致的風險，例如政策風險、市場需求風險和業(yè)務風險等。3.9 風險嚴重度：風險發(fā)生后其所產(chǎn)生的影響的嚴重程度。3.10 風險發(fā)生頻度：風險出現(xiàn)的頻率或者概率。3.11 風險系數(shù)： 風險系數(shù)用于評定是否對已識別的風險采取措施， 風險系數(shù)=風險嚴重度x 風險發(fā)生頻- 1 -XXXXXX度。4管理職責4.1 管理者代表負責組織各部門實施風險和機遇的評審，按制定的評審周期保持對風險和機遇管理的評審。4.2 風險管理部負責建立風險和機遇應對控制程序，并進行維護；組織評價和匯總各部門的風險和機遇，形成公

6、司的風險和機遇評價一覽表，并監(jiān)督各部門風險和機遇措施的實施情況。4.3 各體系覆蓋部門負責本部門的風險和機遇評估，并制定相應的措施以規(guī)避或者降低風險并落實執(zhí)行。5工作程序5.1 風險和機遇管理策劃5.1.1 為全面識別和應對各部門在生產(chǎn)和管理活動中存在的風險和機遇，各部門應確認本部門存在的風險，并將評估的結果記錄在風險和機遇評估分析表。5.1.2 在風險和機遇的識別和應對過程中，責任部門應對可能存在風險的車間、生產(chǎn)過程和人員存在的風險進行逐一的篩選識別，風險識別過程中應識別包括但不限于以下方面的風險：a）對質量、環(huán)境、職業(yè)健康安全適用的法律法規(guī)、客戶要求的變更造成的風險；b）生產(chǎn)作業(yè)過程中的環(huán)

7、境、職業(yè)健康安全風險；c）設備、工裝夾具、刀具對產(chǎn)品質量造成的風險；d）產(chǎn)品設計開發(fā)階段以及生產(chǎn)過程的失效風險。5.2 風險評估5.2.1 對已識別的風險的嚴重度、發(fā)生頻度以及可探測性進行評價，其評價的要求應依據(jù)本程序所規(guī)定的評價準則進行評價確認，風險的嚴重度和發(fā)生頻度的確認用以確定風險系數(shù)，之后根據(jù)風險系數(shù)確定對風險應采取的措施。5.2.2 風險的嚴重程度評價準則5.2.2.1 風險嚴重度用于評價潛在風險可能造成的損害程度，根據(jù)對潛在風險的評估量化，若潛在風險發(fā)生后，其會導致的各方面的影響以及危害程度，對風險的嚴重程度進行區(qū)分，風險嚴重度分為以下五類：a）非常嚴重b）嚴重c）較嚴重d） 一般

8、e）輕微5.2.2.2 下表為依據(jù)定義的風險影響和影響程度的多少進行量化，在對風險的嚴重程度進行評價時，下表作為評價風險嚴重度的準則:嚴重度描述等級評分非常嚴重造成公司泄密；產(chǎn)品召回；自然災害；人員傷亡5嚴重公司經(jīng)濟/財產(chǎn)扣失或產(chǎn)品不符合要求4較嚴重影響產(chǎn)品質量或生產(chǎn)進度3影響日常工作與生活2輕微影響其它輔助性的工作15.2.2.3 嚴重度判定過程中，當多個因素的判定其嚴重程度不一致時，應遵循從嚴原則進行判定，即當多個因素中僅其中一個或部分因素其嚴重度級別更高時，依據(jù)嚴重級別高的因素作為風險嚴重度進行判定。根據(jù)上表內(nèi)容確定風險的嚴重度后，將嚴重等級數(shù)字填入風險和機遇評估分析表中。5.2.3 風

9、險的發(fā)生頻率評價準則-3 -XXXXXX5.2.3.1 風險的發(fā)生頻率是指潛在風險出現(xiàn)的頻率，為便于識別和定義，將風險頻度定義為 5級，如下所示：a）極少發(fā)生b）很少發(fā)生c）偶爾發(fā)生d）有時發(fā)生e）經(jīng)常發(fā)生5.2.3.2通過對上述的不確定因素進行評價風險發(fā)生的頻度，風險的發(fā)生頻率的評價以其可能發(fā)生的頻率進行量化確認作為風險的發(fā)生頻率的評價準則：發(fā)生頻率定義等級評分極少發(fā)生發(fā)生概率W 0.001%1很少發(fā)生0.001%發(fā)生概率W 0.1%2偶爾發(fā)生0.1%發(fā)生概率W 1%3有時發(fā)生1%啜:生概率W 10%4經(jīng)常發(fā)生10%餞生概率55.2.3.3 發(fā)生頻度判定過程中，當一個或多個因素在判定過程中其

10、發(fā)生頻度不一致時，應遵循從嚴原則進行判定，即當多個因素中僅其中一個或部分因素其發(fā)生較為頻繁時，依據(jù)發(fā)生頻率較高的因素作為風險發(fā)生度進行判定。根據(jù)上表內(nèi)容確定風險的嚴重度后，將嚴重等級數(shù)字填入風險和機遇評估分析表中。5.2.4風險可探測性評價準則5.2.4.1 風險的可探測性是指風險發(fā)生前，根據(jù)現(xiàn)有控制措施，能控制或減少風險出現(xiàn)的概率。為便于識別和定義，將風險可探測性定義為4級，如下所示：可探測性描述等級評分沒有控制措施，或不能探測4控制措施不能控制風險3控制措施能控制到風險可能性小且不能防止危害影響到后續(xù)流程2控制措施能相應減少風險的可能性15.2.5分析現(xiàn)有的控制措施5.2.5.1 針對識別

11、出的風險嚴重度、發(fā)生頻率和可探測性，檢查是否有對應的控制措施，如：制度、規(guī) 范、操作指引等。5.2.5.2 分析控制措施是否可以降低風險的嚴重度、發(fā)生頻率的可能性和風險帶來的影響。5.2.5.4 根據(jù)風險和機遇評估分析表中的評分算出風險值。5.2.5.5 風險系數(shù)=風險嚴重度評分*風險頻度評分*風險可探測性評分。5.2.5.6 風險等級分為：低、中、高三個級別。風險值w12,風險等級為低；12風險值w 25,風險等級為中；風險值25,風險等級為高。5.2.5.7 中、高級別風險必須采取措施減少或規(guī)避風險處理，低級別風險可以不處理。5.3 風險應對5.3.1 各實施部門應對所識別的風險進行評估，

12、根據(jù)評估的結果對風險采取措施，從而達到降低或消除風險的目的，風險應對的方法包括：a）風險接受；b）風險降低；c）風險規(guī)避。5.3.2 對風險所采取的措施應考慮盡可能的消除風險，在無法消除或暫無有效的方法或者采取消除風險的方法的成本高出風險存在時造成損失時，再選擇采取降低風險或者風險接受的風險應對方法。5.3.3 風險接受是指企業(yè)本身承擔風險造成的損失。 風險接受一般適用于那些造成損失較小、 重復性較高的風險，當出現(xiàn)以下情況時可采取接受風險的方法：a）采取風險規(guī)避措施所帶來的成本遠超出潛在風險所造成的損失時；b）造成的損失較小且重復性較高的風險；c）既無有效的風險降低的措施，又無有效的規(guī)避風險的

13、方法時；d）按本文件要求的風險評估準則中計算得出風險系數(shù)不高于12的低風險。5.3.4 風險降低是指采取措施降低潛在風險所帶來的損壞或損失， 風險評估實施單位應制定詳細的風險降低措施降低風險，當出現(xiàn)以下情況時，可采取風險降低方法：a）采取風險規(guī)避措施所帶來的成本遠超出潛在風險所造成的損失時；b）無法消除風險或暫無有效的規(guī)避措施規(guī)避風險時；c）按本文件要求的風險評估準則中計算得出風險系數(shù)高于12的中、高風險。5.3.5 風險規(guī)避是指通過有計劃的變更來消除風險或風險發(fā)生的條件， 保護目標免受風險的影響。 風險規(guī)避并不意味著完全消除風險， 我們所要規(guī)避的是風險可能給我們造成的損失。 一是要降低損失發(fā)

14、生的機率，這主要是采取事先控制措施；二是要降低損失程度，這主要包括事先控制、事后補救兩個方面。5.4 風險管理的監(jiān)督與改進5.4.1 風險識別和評估活動是用于識別風險并綜合考慮對風險應采取的有效措施， 當風險系數(shù)過高時應采取措施進行規(guī)避或者降低風險， 以減少風險所帶來的危害或損失。 風險評估實施部門應制定詳細有效的措施并予以執(zhí)行，在制定措施時，應考慮以下方面的內(nèi)容：a）制定的措施應是在現(xiàn)有條件下可執(zhí)行和可落實的；b）制定的措施應落實到個人，每個人應完成的內(nèi)容應得到明確；c）管理者代表對措施的執(zhí)行進度和效果進行跟進，并對殘余風險進行確認。5.5 風險和機遇的評審5.5.1 評審的范圍管理者代表應

15、組織各部門按制定的周期對風險和機遇進行評審， 以驗證其有效性。 風險和機遇的評審應包含以下方面的內(nèi)容：a）風險和機遇的識別是否有效且完善；b）風險應對措施的完成情況和進度；c）對產(chǎn)品和服務的符合性和顧客滿意度的潛在影響。5.5.2 評審的策劃風險和機遇評審應每年度至少實施一次評審， 以驗證其有效性。 當出現(xiàn)以下情況是， 應當適當增加風險和風險評審的次數(shù)：a）與質量、環(huán)境、職業(yè)健康安全管理體系有關的法律、法規(guī)、標準及其它相關方要求有變化時；b）組織機構、產(chǎn)品范圍、資源配置發(fā)生重大調(diào)整時；c）發(fā)生重大品質事故或相關方投訴連續(xù)發(fā)生時；d）第三方認證審核前或其它認為有管理評審需要時；e）其它情況需要時。5.5.3 評審的實施5.5.3.