DOCUMENTNO.風險和機遇的應對控制程序REVISIONPAGE因Internaluseonly 口Confidential 口TopconfidentialREIIIIONIISTORYREV.DATEDESCRIPTIONORIGINATOR文件評審記錄部門評審人意見說明部門評審人意見說明GMMFGHRQHQFINQRESCMWHTEBPPEADMIT制作：審核： 標準化審核：批準：DOCUMENTNO.風險和機遇的應對控制程序REVISIONPAGE因Internaluseonly 口Confidential 口Topconfidential目的建立風險和機遇的應對措施，明確包括風險應對措施風險規避、風險降低和風險接受在內的操作要求，建立全面的風險和機遇管理措施和內部控制的建設，增強抗風險能力，并為在質量、環境管理體系中納入和應用這些措施及評價這些措施的有效性提供操作指導。范圍本程序適用于在公司體系活動中應對風險和機遇的方法及要求的控制提供操作依據。定義3.1風險：在一定環境下和一定限期內客觀存在的、影響企業目標實現及發展的各種不確定性事件。3.2機遇：可能導致采用新的實踐、開辟新市場、贏得新顧客、建立新的合作伙伴關系，利用新技術以及能夠解決組織或其顧客及相關方需求的機會。3.3風險評估：在風險事件發生之前或之后（但還沒有結束），該事件給各個方面造成的影響和損失的可能性進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。風險規避：風險規避是風險應對的一種方法，是指通過有計劃的變更來消除風險或風險發生的條件，保護目標免受風險的影響。風險規避并不意味著完全消除風險，我們所要規避的是風險可能給我們造成的損失。一是要降低損失發生的機率，這主要是采取事先控制措施；二是要降低損失程度，這主要包括事先控制、事后補救兩個方面。風險降低：通過采取措施以達到降低風險的效果。一般情況下，若采取的措施能夠有效的降低所遭受的風險，應將采取措施的記錄進行保留或者寫入文件進行歸檔，以便后期重復發生時作為改善的依據。風險接受：是指企業承擔風險造成的損失。風險接受一般適用于那些造成損失較小、重復性較高的風險、最適合于自留的風險事件。3.7內部風險：企業內部形成的風險,例如戰略決策風險、環境風險、財務風險、管理風險、經營風險等。外部風險：由外部影響因素導致的風險，例如政策風險、市場需求風險和業務風險等。風險嚴重度：風險發生后其所產生的影響的嚴重程度。風險發生頻度：風險出現的頻率或者概率。風險系數：風險系數用于評定是否對已識別的風險采取措施，風險系數=風險嚴重度x風險發生頻度。環境因素：是指一個組織的活動、產品或服務中能與環境發生相互作用的要素。突發環境事件：突發環境事件是指由于污染物排放或自然災害、生產安全事故等因素，導致污染物或放射性物質等有毒有害物質進入大氣、水體、土壤等環境介質，突然造成或可能造成環境質量下降，危及公眾身體健康和財產安全，或造成生態環境破壞，或造成重大社會影響，需要采取緊急措施予以應對的事件，主要包括大氣污染、水體污染、土壤污染等突發性環境污染事件和輻射污染事件。相關文件DOCUMENTNO.風險和機遇的應對控制程序REVISIONPAGE因Internaluseonly 口Confidential 口Topconfidential責任總經理：負責風險管理所需資源的提供，包括人員資格、必要的培訓、信息獲取等。負責風險可接受準則方針的確定，并按制定的評審周期保持對風險和機遇管理的評審。質量總部：負責建立風險和機遇應對控制程序，并進行維護；負責按本文件所要求的周期組織風險和機遇的評估、評審和更新；落實跟進風險和機遇評估中所采取措施的完成情況并跟進落實措施的有效性，并編寫《風險和機遇評估分析表》，負責本部門的風險評估及應對風險的策劃和應對風險措施的執行和監督。客戶服務：負責收集產品售后的風險信息及本部門的風險識別，負責制定相應的措施以規避或者降低風險并落實執行。各部門：負責本部門的風險和機遇評估，并制定相應的措施以規避或者降低風險并落實執行。程序內容風險和機遇識別時機:質量管理體系策劃、企業宗旨變化、戰略變化、內外部環境變化、法律法規變化、組織及其背景、相關方的需求和期望變化等情況發生時，需要識別可能存在的風險和機遇。風險和機遇的識別:風險和機遇可包括但不限于以下方面：＞風險：戰略風險、市場風險、法律風險、財務稅務風險、運營風險、供方風險、生產過程質量風險、產品設計開發風險、設備風險、安全風險、環境風險等。＞機遇：法律法規變化、政策變化、產品技術發展、管理技術變化、營銷手段等方面。為全面識別和應對各部門在生產和管理活動中存在的風險和機遇，各部門應建立識別和應對的方法，確認本部門存在的風險，并將評估的結果記錄在《風險和機遇評估分析表》。識別以上方面可能存在的風險和機遇，識別時應考慮公司背景環境分析和相關方需求期望分析的結果,詳見《組織環境分析管制程序》《對相關方施加影響控制程序》。在風險和機遇的識別和應對過程中，責任部門應對可能存在風險的部門、生產過程和人員存在的風險進行逐一的篩選識別，風險識別過程中應識別包括但不限于以下方面的風險：＞產品適用的法律法規、客戶要求的變更造成的風險＞業務開發、市場調查及客戶滿意度測評過程的風險；＞供應商評審和采購控制過程的風險；＞過程運行環境的管理過程的風險；＞新產品導入控制的風險；＞客戶與外部供應商財產管理的風險；＞生產測試過程的風險；＞過程失效的風險＞過程檢驗和監視測量設備的管理過程的風險；＞設備和配件的維護和保養管理過程的風險；＞倉儲的標識、安全庫存極其物流的管理過程的風險；ThisdocumentandtheinformationincludedinthisdocumentarethesoleandexclusivepropertyofAcetecSemiconductorCo.,Ltd.Anyunauthorizeduse,reproductionordistributionofthiscopyrightedmaterialisstrictlyprohibited.DOCUMENTNO.風險和機遇的應對控制程序REVISIONPAGE因Internaluseonly 口Confidential 口Topconfidential>不合格品的處置及糾正預防措施的執行和驗證過程的風險；>持續改進過程的風險；環境因素識別、評價的風險；>相關方的需求和期望的風險；風險和機遇識別的方法：從標準的4.1組織背景環境分析和4.2相關方需求分析的結果作為風險和機遇識別的輸入進行分析的方法，包括4.1和4.2的分析結果確定風險和機遇，詳見《組織環境分析管制程序》《對相關方施加影響控制程序》。根據一體化管理手冊中所識別確定的體系過程，識別每個過程的風險，識別時從過程的控制因素（人機料法環測）等方面進行分析，如：人：人員資質、能力、意識、培訓；機：設備、設施、配件等；料：材料及采購，外包過程，供應商管理；>法：作業指導書、流程；>環：工作環境的因素；測：驗證、測試、測量設備的管理。6.3.3產品測試過程有關的風險分析，是采用PFMEA的方法實施。詳見《過程FMEA管制程序》。風險評估對已識別的風險的嚴重度和發生頻度進行評價，其評價的要求應依據本程序所規定的評價準則進行評價確認，風險的嚴重度和發生頻度的確認用以確定風險系數，之后根據風險系數確定對風險應采取的措施。風險的嚴重程度評價準則：風險嚴重度用于評價潛在風險可能造成的損害程度，根據對潛在風險的評估量化,若潛在風險發生后，其會導致的各方面的影響以及危害程度，以下包括但不限于風險產生后會導致的危害：法律法規、產品及客戶要求；風險發生時導致的人身傷害；財產損失的多少;是否會導致停工/停產；對企業形象的損害程度。注：在對風險進行嚴重程度判定時，推薦擴大分析風險所帶來的危害層面，以便于更有效的對潛在的風險采取措施，以達到減少或部分消除風險乃至完全消除的目的。為便于識別風險所帶來的危害程度，對風險的嚴重程度進行區分，風險嚴重度分為以下五類：a.非常嚴重b嚴重

DOCUMENTNO.風險和機遇的應對控制程序REVISIONPAGE因Internaluseonly 口Confidential 口Topconfidentialc.較嚴重d.一般e.輕微下表為依據定義的風險影響和影響程度的多少進行量化，在對風險的嚴重程度進行評價時表作為評價風險嚴重度的準則：嚴重程度描述嚴重等級法律法規、產品及其他要求人身傷害財產損失（萬元）停工/停產企業形象非常嚴重違反法律法規、國際/國家標準、客戶標準死亡、截肢、骨折、聽力喪失、慢性病等財產損失三10不可恢復重大國際、國內影響5嚴重省內標準、行業標準受傷需要停工療養，且停工時間三3個月10V財產損失三5需較長時間調整后才可恢復省內、行業影響4較嚴重地區標準受傷需要停工療養，且停工時間＜3個月5V財產損失三0.5間歇性恢復地區性影響3一般企業標準輕微受傷，包扎即可財產損失＜0.5可短時恢復企業及周邊范圍2輕微不違反無傷亡無損失沒有停工不影響1嚴重度判定過程中，當多個因素的判定其嚴重程度不一致時，應遵循從嚴原則進行判定，即當多個因素中僅其中一個或部分因素其嚴重度級別更高時，依據嚴重級別高的因素作為風險嚴重度進行判定。根據上表內容確定風險的嚴重度后，將嚴重等級數字填入《風險和機遇評估分析表》中。風險的發生頻度評價準則風險的發生頻率是指潛在風險出現的頻率，為便于識別和定義，將風險頻度定義為5級，如下所示：a.極少發生；b.很少發生；c.偶爾發生;d.有時發生；e.經常發生；通過對上述的不確定因素進行評價風險發生的頻度，風險的發生頻率的評價以其可能發生的頻率進行量化確認作為風險的發生頻度的評價準則：發生頻度定義等級極少發生發生概率＜0.001%1很少發生0.001%V發生概率＜0.1%2偶爾發生0.1%V發生概率＜1%3有時發生1%v發生概率＜10%4

DOCUMENTNO.風險和機遇的應對控制程序REVISIONPAGE因Internaluseonly 口Confidential 口Topconfidential經常發生 發生概率210% 5發生頻度判定過程中，當一個或多個因素在判定過程中其發生頻度不一致時，應遵循從嚴原則進行判定，即當多個因素中僅其中一個或部分因素其發生較為頻繁時，依據發生頻率較高的因素作為風險發生度進行判定。根據上表內容確定風險的嚴重度后，將嚴重等級數字填入《風險和機遇評估分析表》中。風險的可接受準則風險可接受準則是通過計算得出的風險系數來判定風險是否可接受，通過對風險的嚴重度和風險的發生頻率評價后，通過計算風險系數確定是否對風險采取措施。風險系數的計算如下公式：風險系數=風險嚴重度等級*風險頻度等級風險系數的大小決定是否對風險應采取的措施，如下表要求:發生頻度嚴重度 一一極少發生很少發生偶爾發生有時發生經常發生非常嚴重510152025嚴重48121620較嚴重3691215—般246810輕微12345使用風險系數作為參考值，下表為風險風險系數的范圍及當風險系數達到一定值時應對風險采取的措施：風險系數風險等級及應采取的措施風險等級風險措施15-25咼風險應立即采取措施規避或降低風險5-15—般風險需采取措施降低風險1-5低風險風險較低，當采取措施消除風險引起的成本比風險本身引起的損失較大時接受風險風險的應對方式應根據實際情況進行篩選，當潛在的風險可有效的采取規避措施進行規避風險時，應制定風險規避方案，確認風險規避措施并予以執行，直至部分消除或完全消除風險。當尚無可行方案進行規避風險時,應采取有效的風險降低措施，降低潛在風險所帶來的影響。下表為識別風險系數后，對風險等級的判定應急應采取的風險應對措施對照表：f發生頻度嚴重度極少發生很少發生偶爾發生有時發生經常發生非常嚴重—般風險—般風險咼風險咼風險咼風險嚴重低風險—般風險—般風險咼風險咼風險較嚴重低風險—般風險—般風險—般風險咼風險—般低風險低風險—般風險—般風險—般風險輕微低風險低風險低風險低風險—般風險DOCUMENTNO.風險和機遇的應對控制程序REVISIONPAGE因Internaluseonly 口Confidential 口Topconfidential在進行風險分析和風險應對過程中，應保持風險措施的方案和實施結果的跟進應記錄，記錄的保持依據《記錄控制程序》文件執行，風險分析和風險應對措施的詳細內容應記錄在《風險和機遇評估分析表》中，便于后續的查閱和跟進。6.5風險應對各實施部門應對所識別的風險進行評估，根據評估的結果對風險采取措施，從而達到降低或消除風險的目的，風險應對的方法包括：風險接受；風險降低；風險規避。對風險所采取的措施應考慮盡可能的消除風險，在無法消除或暫無有效的方法或者采取消除風險的方法的成本高出風險存在時造成損失時，再選擇采取降低風險或者風險接受的風險應對方法。風險接受是指企業本身承擔風險造成的損失。風險接受一般適用于那些造成損失較小、重復性較高的風險，當出現以下情況時可采取接受風險的方法：采取風險規避措施所帶來的成本遠超出潛在風險所造成的損失時；造成的損失較小且重復性較高的風險；既無有效的風險降低的措施，又無有效的規避風險的方法時；按本文件要求的風險評估準則中計算得出風險系數低于5的低風險。風險降低風險降低即采取措施降低潛在風險所帶來的損壞或損失，風險評估實施單位應制定的詳細的風險降低措施降低風險，當出現以下情況時，可采取風險降低方法：采取風險規避措施所帶來的成本遠超出潛在風險所造成的損失時；無法消除風險或暫無有效的規避措施規避風險時；按本文件要求的風險評估準則中計算得出風險系數為5至15之間的一般性風險。6.5.4風險規避風險規避是指通過有計劃的變更來消除風險或風險發生的條件，保護目標免受風險的影響。風險規避并不意味著完全消除風險，我們所要規避的是風險可能給我們造成的損失。一是要降低損失發生的機率，這主要是采取事先控制措施；二是要降低損失程度，這主要包括事先控制、事后補救兩個方面：風險管理的監督與改進風險識別和評估活動是用于識別風險并綜合考慮對風險應采取的有效措施，當風險系數過高時應采取風險進行規避或者降低風險，以減少風險所帶來的危害或損失。風險評估實施部門應制定詳細有效的措施并予以執行，在制定措施時，應考慮以下方面的內容：制定的措施應是在現有條件下可執行和