1、風險和機遇控制程序姓名職位簽名日期制訂審核批準變更履歷版本修改摘要修改日期修改人DCNI 號A新建1 目的為積極應對公司未來可能面臨的風險和機遇，進行有效的風險管理，從而抓住機遇，規避或降低風險, 確保管理體系預期結果的實現，并找到改進機會。2 范圍本程序適用于公司運營整個生命周期及不同層面的風險和機遇管理，包括產品和服務層面、管理體系過程層面、公司戰略和系統層面。3 術語和定義3.1 風險 risk不確定性對目標的影響。注：影響可能偏離預期正面的和 / 或負面的，正面的為機會，負面的為威脅；風險常具有潛在事件、后果或二者結合的特征。3.2 風險管理risk management一個組織針對風

2、險所采取的指揮和控制的協調活動。3.3 風險源 risk source單獨地或以結合的形式具有產生風險的內在可能性的因素。注：一個風險源可以是有形的或者無形的。3.4 后果 consequence事件對目標的影響結果。3.5 可能性likelihood某事發生的可能程度。3.6 風險等級level of risk一個風險或組合風險的大小，以后果和可能性的二者結合來表示。3.7 風險偏好risk appetite組織愿意承受風險的大小。3.8 組織環境context of the organization對組織建立和實現目標的方法有影響的內部和外部因素的組合。（內部環境、外部環境）3.9 利益相

3、關方stakeholder可能影響、被影響或意識到其自身可能被一項決定或活動所影響的個人或組織。示例：股東、董事會成員、管理層、員工、顧客、供應商、銷售商、分包商、債權人、機構投資者、政府部門、社區等。3.10 風險評估risk assessment風險識別、風險分析和風險評價的全過程。3.11 風險識別risk identification發現、認識、描述風險的過程。注：風險識別會涉及歷史數據、技術分析、有事實依據的和專家的觀點、以及利益相關方的需求。3.12 風險分析risk analysis理解風險的性質和確定風險程度的過程。3.13 風險準則risk criteria評價風險重要性的參

4、照依據。3.14 風險評價risk evaluation將風險分析的結果與風險準則進行比較，以確定風險和（或）其量是否可接受或可容許。3.15 風險應對risk treatment改變風險的過程。3.16 殘留風險residual risk風險應對后余留下的風險。3.17 監測monitoring不斷檢查、監督、嚴格觀察或確定狀態，以識別所要求或期待的績效水平的變化。3.18 評審review為實現所建立的目標而進行的決定適宜性、充分性、有效性的活動。4 職責4.1 最高管理者/管理者代表4.1.1 組織高級管理層代表股東或投資者對組織進行風險管理。可能參與的活動包括不限于：4.1.1.1 戰

5、略風險的評估和管理。4.1.1.2 組織風險偏好的表述。4.1.1.3 在較高層級上制定風險管理政策。4.1.2 建立風險管理方針，清楚闡明組織風險管理的目標和承諾，并進行適當的溝通與評審。4.1.3 確定各風險控制部門對于風險管理的權力和義務，支持其他管理者履行其相關領域的職責， 并適當授權；確保根據組織目標、政策和風險偏好實施風險管理程序，對風險管理的有效性 承擔責任。4.1.4 確保風險管理所需資源的提供，包括人員資格、必要的培訓、信息獲取等。4.2 風險控制部：4.2.1 負責風險和機遇控制程序的建立和維護，確保相關要求在相應的層次和階段得到溝通和協商。4.2.2 負責收集、匯總各個層

6、面的風險和機遇資料，進行風險評估，以及風險和機遇清單等相 關資料的更新。4.2.3 確認基于風險和機遇清單的風險應對措施在相關部門得以制定和執行。4.2.4 對風險管理整個過程進行監測、評審，確認實施風險和機遇措施的有效性。4.3 質量部體系：4.3.1 負責將體系層面的風險和機遇相關標準的變更信息及時通知給風險控制部。4.3.2 配合風險控制部進行必要的審核應對。4.4 風險措施執行部門：4.4.1 負責本部門風險和機遇的應對措施的制定，并落實執行。4.4.2 根據體系組監測和評審的結果，對風險管理采取糾正措施。4.4.3 加強本部門風險意識的宣傳和培訓，從員工、其他利益相關者、更廣泛的環境

7、中收集、反饋、 更新有關危險、風險信息。4.5 其他部門4.5.1 在適當時，協助風險措施執行部門做好風險管理。4.5.2 發現本部門或周邊的重大風險或機遇信息，應及時予以匯報。5 程序5.1 總則5.1.1 風險管理的過程包含：溝通與協商、建立環境、風險評估、風險應對、監測與評審，如下圖 所示：風險管理過程X25 1商協與通溝05 1審評與測監5.2 溝通和協商風險評估工作的成功依賴于與利益相關方進行的有效溝通與協商，讓利益相關者參與到風險管 理過程中是有必要的。與內、外部利益相關方的溝通和協商宜在風險管理過程的所有階段進行。溝通和協商的內容包括不限于： 適當地幫助明確風險和機遇的狀況，如：

8、風險本身、風險成因、風險后果（如果掌握）以 及處理風險措施相關的問題； 確保利益相關方的利益被理解和考慮； 幫助確保風險充分地被識別； 將不同領域的專業知識一并用于分析風險； 確保在界定風險準則和評定風險時，不同的觀點被恰當地考慮； 確保認同和支持處理計劃； 對風險管理過程中發生的變更進行有效管控。5.3 建立環境5.3.1 總則通過建立環境，清楚地表達組織的目標，確定與管理體系相關的內部和外部因素、利益相關方的需求和期望，為風險管理提供依據。5.3.2 組織環境確定與組織目標和戰略方向相關，并影響管理體系預期結果實現的各種外部和內部環境因素。使用PESTT法和SWO昉法分析組織的內外部環境因

9、素，并登記在PEST分析報告和SWO杳析報告上；適當時對這些外部和內部因素的相關信息進行監視和評審。5.3.2.1 外部環境為了確保在建立風險準則時，目標和外部利益相關方的關注點被予以考慮，需明確外部環境。外部環境可以包括但不限于： 社會、文化、政治、法律法規、金融、技術、經濟、自然環境、競爭環境，無論國際的、國內的、區域的或局部的； 對組織的目標有影響的關鍵驅動者和趨勢； 與外部利益相關方的關系，他們的觀點和價值觀。5.3.2.2 內部環境風險管理過程宜與組織的文化、過程、結構和戰略相一致。內部環境是組織內能夠影響管理風險方法的方面。內部環境可以包括但不僅限于： 治理、組織結構、角色與責任；

10、（注：治理 一系列活動領域里的管理機制） 方針、目標，以及實現它們的戰略； 能力、對資源和知識的理解（如：資本、時間、人員、過程、系統和技術） 信息系統、信息流和決策過程（正式的或非正式的）； 與內部利益相關方的關系，他們的觀點和價值觀； 組織的文化； 組織所采用的標準、指南和模型； 合同關系的種類與程度。5.3.2.3 建立風險管理過程的環境積極應對組織的風險和機遇，保存組織的生存能力，把握機遇，以持續提供滿足法律法規要求和顧客需求的產品和服務。風險和機遇應對措施有效率：90%。適用時，宜逐級完成以下事項，以確保風險管理目標的實現和持續改進：a）組織在面臨風險和意外事故的情況下能夠維持生存。

11、b）當風險來臨時，保證組織的各項經營活動能夠迅速恢復正常運轉。c）實現組織穩定的收益。借助風險和機遇的應對措施，一方面使生產經營得以及時恢復；另一方面，尋求并把握機遇，逐步實現組織穩定的收益。d）通過風險成本最小化實現企業價值最大化。由于風險的存在導致企業價值的減少，構成了風險成本，通過全面系統的風險管理，可以減少企業的風險成本，進而減少災害損失和現金流出，最終實現企業價值最大化。5.3.2.3.2 資源組織應為風險管理配置適當的資源。可從以下方面予以考慮： 人員、技能、經驗和能力； 對于風險管理過程的每一步驟所需的資源； 用于管理風險的過程、方法和工具； 形成文件的過程和程序； 信息和知識的

12、管理系統； 培訓計劃。5.3.3 利益相關方的需求和期望分析5.3.3.1 識別出與管理體系有關，且對組織持續提供符合顧客要求和適用法律法規要求的產品和服務的能力產生影響或潛在影響的利益相關方，并對其需求和期望進行分析，登記在 相關方及其需求和期望清單上。5.3.3.2 適當時對這些相關方及其要求的相關信息進行評審和更新。5.3.4 確定風險準則組織宜確定用于評定風險重要性的準則。該準則宜反映組織的價值觀、目標和資源。一些準則可以服從或引用法律法規要求或組織簽署的其他要求。風險準則宜在風險管理過程開始時予以確定，并予以持續評審。在某些情況下，對不同時間、地點、類別或情況，需要使用多于一個的數值

13、或描述指標，以具體說明后果和可能性，確定風險準則。確定風險準則時，考慮的因素宜包括如下方面： 風險的特性和原因的種類，可能出現的后果以及如何對其進行測量； 如何確定風險發生的可能性； 可能性和（或）后果的時間范圍； 如何確定風險等級； 利益相關方的觀點； 風險可接受或可容許的程度； 考慮是否需要組合多個風險，如需要，應考慮如何組合和哪些組合方式。5.3.4.1對“可能性” （L）的評分準則：發生頻度風險準則：“可能性”內容描述分值極少發生行業內從未發生過1較少發生行業中發生過，但在本集團中從未發生過2偶爾發生在本集團中發生過，但在本業務部門中從未發生過3有時發生在本業務部門中偶爾發生過4經常發

14、生在本業務部門中經常發生55.3.4.2對“后果” （S）的評分準則:嚴重程度風險準則：“后果”內容描述分值法律法規 及其他要求人身傷害財產損失 （萬元）停工/停產企業形象微小不違反無傷亡無損失沒有停工不影響1企業標準輕微受傷 包扎即可財產損失V 10可短時恢復企業及周邊 范圍的影響2較嚴重地區標準受傷需要停工 療養，且停工 時間v 3個月10W財產損失v 50間歇性恢復地區性影響3嚴重省內標準、 行業標準受傷需要停工 療養，且停工 時間3個月50W財產損失 V 100需較長時間 調整后才可 恢復省內、行業 影響4很嚴重違反法律法規、 國際/國家標準、客戶強制標 準或要求死亡、截肢、 骨折、聽

15、力喪 失、慢性病等財產損失>100/、可恢復重大國內、 國際影響55.3.4.3根據組織的風險偏好，確定風險等級的判定標準和可接受程度如下:風險等級（R）=可能性（L） X后果（S）風險等級風險的 可接受程度風險措施檢查頻次風險值w 6低風險（可接受風險）風險等級微不足道，或者風險很小，無需采取風險應對 措施艾更時8W風險值w 12中風險應審視現有的控制措施，并且可能需要執行額外的控制措 施，以降低風險。在降低風險和其實現之間應什-個平衡， 可以利用成本收益分析對此進行評估。可考慮建立操作規程、作業指導書，定期檢查每年14W風險值w 20“后果”值=4tWj風險應檢查現有的控制措施，并進

16、行減輕風險的規劃。可能需 要將問題提交到更高的層級或風險委員會。每季度風險值21“后果”值=5重大風險（/、可接受 風險）應優先進行較高層級的風險減輕和避免的規劃。每天/ 不間斷5.4 風險評估5.4.1 風險識別5.4.1.1 根據明確的組織環境信息，包括組織內外部環境和相關方的需求，確定可能影響管理體 系的預期結果或組織目標得以實現的風險和機遇，同時要識別這些風險和機遇的現有控制措施（諸如設計特征、人員、過程和系統等 ）。5.4.1.2 風險識別的重點內容：風險源、影響的范圍、相關事件、風險原因以及潛在的后果。當風險源或風險原因不易識別，但風險本身可以識別時，如風險源不在組織控制之下的 風

17、險，這種風險也應該被識別出來。5.4.1.3 風險識別方法包括但不限于：非常適用：頭腦風暴法、結構化/半結構化訪談、德爾菲法、情景分析、檢查表、失效模式和效應分析（FMEA、危險分析與關鍵控制點（HACCP、風險矩陣等；適用：業務影響分析、根原因分析、故障樹分析等。風險識別方法可參考 ISO/IEC 31010 : 2009風險管理風險評估技術標準。5.4.2 風險分析5.4.2.1 針對一個特定風險進行分析，結合考慮其可能性和后果，得到風險等級。5.4.2.2 運用半定量法進行風險分析，利用數字分級尺度來確定風險的“可能性”及“后果”。 一個風險事件可能產生多個后果，從而可能影響多重目標。5

18、.4.2.3 對已識別的風險的可能性（發生頻度）和后果（嚴重度）進行評價，并依據本程序所規定的風險準則進行評定，根據風險的“可能性”和“后果”分值的乘積計算出風險值，確定風險等級。5.4.2.4 根據風險等級確定風險的可接受程度，劃分為以下四種程度：重大風險（不可接受風險）：無論活動能帶來什么利益，風險等級都是無法容忍的，必須不惜代價進行風險應對；高風險：在現有的控制措施的基礎上，還需執行額外的控制措施，并報高層中風險：是指要考慮實施風險應對的成本與收益，并權衡機遇與潛在結果；低風險 （ 可接受風險） ： 是指風險等級微不足道，或者風險很小，無需采取風險應對措施。風險評估的結果應滿足風險應對的

19、需要，否則，應做進一步分析。5.4.2.5 風險分析方法包括但不限于：對“可能性”的適用分析方法：風險矩陣、結構化假設分析（SWIFT） 、根原因分析、風險指數、事件樹分析、決策樹分析等；對“后果”的適用分析方法：業務影響分析、危險與可操作性分析（HAZOP） 、危險分析與關鍵控制點（HACCP、風險矩陣、人因可靠性分析等；對“風險等級”的適用分析方法：風險矩陣、結構化假設分析（SWIFT） 、人因可靠性分析、根原因分析等。對不同種類、不同程度的風險，應選擇針對性強、適用的風險分析方法。風險分析方法可參考ISO/IEC 31010 ： 2009風險管理風險評估技術標準。5.4.3 風險評價5.

20、4.3.1 將已識別和分析的眾多風險進行等級確定，將風險等級與風險準則進行比較，以進行風險的重要性劃分。5.4.3.2 確認風險是否需要處理，以及處理實施優先的決策。5.4.3.3 風險評價方法包括但不限于：危險與可操作性分析（ HAZOP） 、 危險分析與關鍵控制點（ HACCP） 、 結構化假設分析（ SWIFT） 、以可靠性為中心的維修、根原因分析、風險指數等。風險評價方法可參考ISO/IEC 31010 ： 2009風險管理風險評估技術標準。以上風險評估的結果將記入風險和機遇清單，并適時進行更新。5.5 風險應對5.5.1 完成風險評估之后，應在考慮已有的應對措施有效性的基礎上，確定應對以上風險和機遇的措施； 必要時，改變組織現有的應對方式，提出新的應對措施。5.5.2 選擇風險應對方式，應考慮成本與收益的平衡，以及法律、法規和其他要求，如社會責任和 自然環境保護。5.5.3 組織應根據自身的情況，選擇一種、多種或組織使用風險的應對方式；相關部門應執行其責 任范圍內的風險和機遇應對措施。5.5.4 風險應對是一個遞進的循環過程，實施風險應對措施后，應考慮殘留風險，并重新評估新的 風險水平是否可以承受，從而確定是否需要進一步采取應對措施。5