1、XXXXXX 有限公司QMS EMS OHSASCCSD/CX-00 2-2017依據GB/T19001-20、16GB/T24001-201和6 GB/T28001-201編制1受控狀態：發放編號：編制：貫 標 小組審核：批準：2017年 02 月 18日發布實施風險和機遇應對控制程序1 目的 ：為建立風險和機遇的應對措施，明確包括風險應對措施、風險規避、風險降低和風險接受在內的操作要求，建立全面的風險和機遇管理措施和內部控制的建設，增強抗風險能力，并為在一體化管理體系中納入和應用這些措施及評價這些措施的有效性提供操作指導。2 適用范圍:適用于對公司一體化管理體系過程中應對風險和機遇的措施的

2、策劃、評審和實施的管理。3 職責：4.1 總經理：負責風險管理所需資源的提供，包括人員資格、必要的培訓、信息獲取等。負責風險可接受準則方針的確定，并按制定的評審周期保持對風險和機遇管理的評審。4.2 綜合部負責應對風險和機遇的措施的策劃、評審的日常管理。4.3 各部門負責本部門相關的風險和機遇的排查，并制定相應的措施以規避或者降低風險并落實執行。4. 工作程序4.1 風險和機遇管理策劃為全面識別和應對各部門在生產和管理活動中存在的風險和機遇，各部門應建立識別和應對的方法，確認本部門存在的風險，并將評估的結果記錄在風險和機遇評估分析表。在風險和機遇的識別和應對過程中，責任部門應對可能存在風險的場

3、所、過程和人員存在的風險進行逐一的篩選識別，風險識別過程中應識別包括但不限于以下方面的風險：a. 對工程適用的法律法規、客戶要求的變更造成的風險；b. 工程施工過程中的安全風險；c. 圖紙、設備、工器具對工程質量造成的風險；d. 工程交付后的風險；e. 過程失效的風險。4.2 建立風險/機遇管理團隊4.2.1 建立分風險和機遇評估小組風險識別活動的開展應是一次團體的活動，各部門在進行風險識別和評估過程中應通過集思廣益和有效的分析判斷下進行的，在此之前應建立一個“風險和機遇評估小組”，總經理應通過授權，賦予該“風險和機遇評估小組”以下的職責：a. 組織實施風險和機遇分析和評估；b. 制定風險和機

4、遇應對措施并落實執行；c. 編制風險管理計劃；d. 組織實施風險應對措施的實施效果驗證。在“風險和機遇評估小組”中，總經理應指派一名人員作為該小組的組長，負責規劃和安排風險和機遇的識別和應對的控制，并賦予評估小組組長以下職責：a. 策劃并實施風險和機遇的管理，并編制風險和機遇應對計劃表。b. 評審及監督執行風險和機遇有關方案及措施；c. 審批風險評估報告并向總經理提出關于風險與機遇的評估報告及建議方案等D.加強公司內部各層階風險及機遇意識的宣導、培訓及相關方的理解與溝通等。4.2.2 風險管理團隊人員的任職要求為確保參與風險和機遇識別和評估的人員，其人員資質符合要求，能夠勝任并且參與本部門的風

5、險和機遇的識別和制定應對相應的應對措施，風險和機遇評估小組人員應具備以下的能力：a. 熟悉其所在部門的所有流程；b. 有一定的組織協調能力；c. 熟悉本標準的要求，并依據本標準內容策劃風險分析和評估。4.3 風險管理計劃評估小組組長應組織策劃風險管理計劃并編制風險管理計劃表，指導操作風險識別和風險評估，以及對風險的可接受性準則規定，編制風險管理計劃時，應包含但不限于以下內容：a. 計劃的范圍，判定和描述適用于計劃的公司產品和壽命周期階段；b. 職責和權限的分配；c. 風險管理活動的評審要求；d. 風險的可接受性準則，包括危害概率不能估計時的可接受風險準則；e. 驗證活動；f. 有關生產和生產后

6、信息收集和評審的活動。4.4 風險評估對已識別的風險的嚴重度和發生頻度進行評價，其評價的要求應依據本程序所規定的評價準則進行評價確認，風險的嚴重度和發生頻度的確認用以確定風險系數，之后根據風險系數確定對風險應采取的措施。4.4.1 風險的嚴重程度評價準則風險嚴重度用于評價潛在風險可能造成的損害程度，根據對潛在風險的評估量化, 若潛在風險發生后，其會導致的各方面的影響以及危害程度，以下包括但不限于風險產生后會導致的危害：a. 環境法律法規、工程及客戶要求；b. 環境問題導致（噪音 廢氣 廢水等 ）的環境污染, 周邊環境影響c. 環境風險發生時導致的人身傷害；d. 資源的浪費，企業財產的損失.e.

7、 是否會導致停工；f. 對企業形象的損害程度。注：在對風險進行嚴重程度判定時，推薦擴大分析風險所帶來的危害層面，以便于更有效的對潛在的風險采取措施，以達到減少或部分消除風險乃至完全消除的目的。為便于識別風險所帶來的危害程度，對風險的嚴重程度進行區分，風險嚴重度分為以下五類：a. 非常嚴重b. 嚴重 c. 較嚴重 d. 一般 e. 輕微下表為依據定義的風險影響和影響程度的多少進行量化，在對風險的嚴重程度進行評價時，下表作為評價風險嚴重度的準則：嚴重程度描述嚴重 等級環境法律法規、產品及其他要求環境問題導致環境污染人身傷害資源浪費，財產損失（萬元）停工 / 停 產企業形象非常嚴重違反法律法規、國際

8、/國家標準、客戶標準水土流 失，大范圍污染死亡、截肢、骨折、聽力喪失、 慢性病等財產損失10不可恢復重大國際、國內影響5嚴重省內標準、行業標準范圍內污染受傷需要停工療養，且停工時間3 個月10 財產損失5需較長時 間調整后 才可恢復省內、行業影響4較嚴重地區標準火災等受傷需要停工療養，且停工時間3 個月5財產損失 0.5間歇性恢復地區性影響3一般企業標準影響周邊輕微受傷, 包扎即可財產損失0.5可短時恢復企業及周邊范圍2輕微不違反沒有污染無傷亡無損失沒有停工不影響1嚴重度判定過程中，當多個因素的判定其嚴重程度不一致時，應遵循從嚴原則進行判定，即當多個因素中僅其中一個或部分因素其嚴重度級別更高時

9、，依據嚴重級別高的因素作為風險嚴重度進行判定。根據上表內容確定風險的嚴重度后，將嚴重等級數字填入風險和機遇評估分析表中。4.4.2 風險的發生頻率評價準則風險的發生頻率是指潛在風險出現的頻率，為便于識別和定義，將風險頻度定義為5 級，如下所示：a. 極少發生；b. 很少發生；c. 偶爾發生;d. 有時發生；e. 經常發生；通過對上述的不確定因素進行評價風險發生的頻度，風險的發生頻率的評價以其可能發生的頻率進行量化確認作為風險的發生頻率的評價準則：發生頻度定義等級極少發生發生概率0.001%1很少發生0.001%發生概率0.1%2偶爾發生0.1%發生概率1%3有時發生1%發生概率10%4經常發生

10、發生概率10%5發生頻度判定過程中，當一個或多個因素在判定過程中其發生頻度不一致時，應遵循從嚴原則進行判定，即當多個因素中僅其中一個或部分因素其發生較為頻繁時，依據發生頻率較高的因素作為風險發生度進行判定。根據上表內容確定風險的嚴重度后，將嚴重等級數字填入風險和機遇評估分析表中。4.4.3 風險的可接受準則風險可接受準則是通過計算得出的風險系數來判定風險是否可接受，通過對風險的嚴重度和風險的發生頻率評價后，通過計算風險系數確定是否對風險采取措施。風險系數的計算如下公式：風險系數=風險嚴重度等級*風險頻度等級風險系數的大小決定是否對風險應采取的措施，如下表要求:發生頻度 嚴重度非常少發生很少發生

11、偶爾發生有時發生經常發生非常嚴重510152025嚴重48121620較嚴重3691215一般246810輕微12345使用風險系數作為參考值，下表為風險風險系數的范圍及當風險系數達到一定值時應對風險采取風險 系數風險等級及應采取的措施風險等級風險措施15-25高風險應立即采取措施規避或降低風險5-15一般風險需采取措施降低風險1-5低風險風險較低, 當采取措施消除風險引起的成本比風險本身引起的損失較大時, 接受風險風險的應對方式應根據實際情況進行篩選，當潛在的風險可有效的采取規避措施進行規避風險時，應制定風險規避方案，確認風險規避措施并予以執行，直至部分消除或完全消除風險。當尚無可行方案進行

12、規避風險時, 應采取有效的風險降低措施，降低潛在風險所帶來的影響。下表為識別風險系數后，對風險等級的判定應急應采取的風險應對措施對照表：發生頻度 嚴重度非常少發生很少發生偶爾發生有時發生經常發生非常嚴重一般風險一般風險高風險高風險高風險嚴重低風險一般風險一般風險高風險高風險較嚴重低風險一般風險一般風險一般風險高風險一般低風險低風險一般風險一般風險一般風險輕微低風險低風險低風險低風險一般風險在進行風險分析和風險應對過程中，應保持風險措施的方案和實施結果的跟進應記錄，記錄的保持依據記錄控制程序文件執行，風險分析和風險應對措施的詳細內容應記錄在風險和機遇評估分析表中，便于后續的查閱和跟進。4.4 風

13、險應對 各實施部門應對所識別的風險進行評估，根據評估的結果對風險采取措施，從而達到降低或消除風險的目的，風險應對的方法包括：a. 風險接受；b. 風險降低；c. 風險規避。對風險所采取的措施應考慮盡可能的消除風險，在無法消除或暫無有效的方法或者采取消除風險的方法的成本高出風險存在時造成損失時，再選擇采取降低風險或者風險接受的風險應對方法。4.4.1 風險接受是指企業本身承擔風險造成的損失。風險接受一般適用于那些造成損失較小、重復性較高的風險，當出現以下情況時可采取接受風險的方法：a. 采取風險規避措施所帶來的成本遠超出潛在風險所造成的損失時；b. 造成的損失較小且重復性較高的風險；c. 既無有

14、效的風險降低的措施，又無有效的規避風險的方法時；d. 按本文件要求的風險評估準則中計算得出風險系數低于5 的低風險。4.4.2 風險降低風險降低即采取措施降低潛在風險所帶來的損壞或損失，風險評估實施單位應制定的詳細的風險降低措施降低風險，當出現以下情況時，可采取風險降低方法：a. 采取風險規避措施所帶來的成本遠超出潛在風險所造成的損失時；b. 無法消除風險或暫無有效的規避措施規避風險時；c. 按本文件要求的風險評估準則中計算得出風險系數為5 至 15 之間的一般性風險。4.4.3 風險規避風險規避是指通過有計劃的變更來消除風險或風險發生的條件，保護目標免受風險的影響。風險規避并不意味著完全消除

15、風險，我們所要規避的是風險可能給我們造成的損失。一是要降低損失發生的機率，這主要是采取事先控制措施；二是要降低損失程度，這主要包括事先控制、事后補救兩個方面：4.4.4 風險管理的監督與改進風險識別和評估活動是用于識別風險并綜合考慮對風險應采取的有效措施，當風險系數過高時應采取風險進行規避或者降低風險，以減少風險所帶來的危害或損失。風險評估實施部門應制定詳細有效的措施并予以執行，在制定措施時，應考慮以下方面的內容：a. 制定的措施應是在現有條件下可執行和可落實的；b. 制定的措施應落實到個人，每個人應完成的內容應得到明確；c. 應指派一名負責人為措施的執行進度和效果進行跟進，確保采取的措施被有

16、效的落實。4.5 風險和機遇的評審品質部應按制定的周期組織實施對風險和機遇的評審，以驗證其有效性。風險和機遇的評審應包含以下方面的內容：a. 風險和機遇的識別是否有效且完善；b. 風險應對措施的完成情況和進度；d. 對產品和服務的符合性和顧客滿意度的潛在影響。4.5.1 風險和機遇評審的策劃風險和機遇評審應每年度至少實施一次評審，以驗證其有效性。當出現以下情況是，應當適當增加風險和風險評審的次數：a. 與質量和環境管理體系有關的法律、法規、標準及其他要求有變化時；b. 組織機構、產品范圍、資源配置發生重大調整時；c. 發生重大品質事故或相關方投訴連續發生時；d. 第三方認證審核前或其他認為有管理評審需要時；e. 其他情況需要時。4.5.2 風險和機遇評審的實施4.5.2.1 實施前的準備在風險和機遇評審會議之前, 各部門應整理本部門對風險和機遇分析的