1　范圍

本程序適用于本企業(yè)Q-E-O管理體系活動中建立全面的風險和機遇管理和內(nèi)部控制措施，增強抗風險能力，并為在管理體系中納入和應用這些措施及評價這些措施的有效性提供操作指導。
2　規(guī)范性引用文件
下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。
3術(shù)語
3.1 風險
在一定環(huán)境下和一定限期內(nèi)客觀存在的、影響企業(yè)目標實現(xiàn)的各種不確定性事件。
3.2 機遇
對企業(yè)有正面影響的條件和事件,包括某些突發(fā)事件等。
3.3風險評估
在風險事件發(fā)生之前或之后（但還沒有結(jié)束），該事件給各個方面造成的影響和損失的可能性進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。

3.4 風險規(guī)避

風險規(guī)避是風險應對的一種方法，是指通過有計劃的變更來消除風險或風險發(fā)生的條件，保護目標免受風險的影響。風險規(guī)避并不意味著完全消除風險，我們所要規(guī)避的是風險可能給我們造成的損失。一是要降低損失發(fā)生的機率，這主要是采取事先控制措施；二是要降低損失程度，這主要包括事先控制、事后補救兩個方面。
3.5風險降低
通過采取措施以達到降低風險的效果。一般情況下，若采取的措施能夠有效的降低所遭受的風險，應將采取措施的記錄進行保留或者寫入文件進行歸檔，以便后期重復發(fā)生時作為改善的依據(jù)。
3.6風險接受：
是指企業(yè)承擔風險造成的損失。風險接受一般適用于那些造成損失較高的風險、最適合于自留的風險事件。
3.7內(nèi)部風險：
企業(yè)內(nèi)部形成的風險,例如戰(zhàn)略決策風險、環(huán)境風險、財務(wù)風險、管理風險、經(jīng)營風險等。
3.8外部風險：
由外部影響因素導致的風險，例如政策風險、市場需求風險和業(yè)務(wù)風險等。
3.9風險嚴重度
風險發(fā)生后其所產(chǎn)生的影響的嚴重程度。
3.10風險發(fā)生頻度
風險出現(xiàn)的頻率或者概率。
3.11風險系數(shù)：
風險系數(shù)用于評定是否對已識別的風險采取措施，風險系數(shù)=風險嚴重度×風險發(fā)生頻度。
4　管理要求

4.1　職責
4.1.1　管理者代表
負責風險管理所需資源的提供，包括人員資格、必要的培訓、信息獲取等；
負責確定本企業(yè)風險和機遇及其應對措施，并按制定的評審周期保持對風險和機遇管理的評審。
4.1.2　質(zhì)管中心
負責識別本企業(yè)風險和機遇；
負責建立風險和機遇應對措施，并進行維護；
負責按周期組織實施風險和機遇的評審；
負責落實跟進風險和機遇評估中所采取措施的完成情況并跟進落實措施的有效性。
4.1.3　各部門或人員
負責按要求實施風險和機遇應對措施以規(guī)避或者降低風險，增強有利影響，實現(xiàn)改進。
4.2　管理和控制
控制流程圖見附錄A。
4.2.1　策劃
為全面識別和應對各部門在生產(chǎn)和管理活動中存在的風險和機遇，管理者代表應授權(quán)質(zhì)管中心負責識別本企業(yè)風險和機遇，并建立風險和機遇應對措施，以及指導各部門實施風險和機遇應對措施以規(guī)避或者降低風險。
4.2.2　確定風險
在風險和機遇的識別和應對過程中，質(zhì)管中心應對可能存在風險的車間、生產(chǎn)過程和人員存在的風險進行逐一的篩選識別，并填入《風險和機遇評估分析表》。
在風險識別過程中應識別包括但不限于以下方面的風險：
a.對產(chǎn)品適用的法律法規(guī)、客戶要求的變更造成的風險；
b.產(chǎn)品售后的風險；
c.過程失效的風險，包括：
---產(chǎn)品設(shè)計開發(fā)階段的設(shè)計失效風險；
---生產(chǎn)作業(yè)過程中的風險；
---人員、設(shè)備、工裝夾具對產(chǎn)品質(zhì)量造成的風險。
4.2.2.1　建立分風險和機遇評估小組
識別風險和機遇應是一次團體的活動，質(zhì)管中心在進行風險識別和評估過程中應通過集思廣益和有效的分析判斷下進行，在此之前應建立一個部門“風險和機遇評估小組”，管理者代表應通過授權(quán)，賦予該“風險和機遇評估小組”以下的職責：
a.識別本企業(yè)的風險和機遇；
b.制定風險和機遇應對措施并落實執(zhí)行；
c.組織實施風險應對措施的實施效果驗證。
4.2.2.2　風險管理團隊人員的任職要求
為確保參與風險和機遇識別和評估的人員，其人員資質(zhì)符合要求，能夠勝任并且參與本部門的風險和機遇的識別，制定應對相應的應對措施，風險和機遇評估小組人員應具備以下的能力：
a.熟悉其所在部門的所有流程；
b.有一定的組織協(xié)調(diào)能力；
c.熟悉本標準的要求，并依據(jù)本標準內(nèi)容策劃風險分析和評估。
4.2.2.3　風險識別記錄
“風險和機遇評估小組”將逐一的篩選識別的風險填入《風險和機遇評估分析表》；
4.2.2.4　風險評估
對《風險和機遇評估分析表》中已識別的風險的嚴重度和發(fā)生頻度進行評價，其評價的要求應依據(jù)本程序所規(guī)定的評價準則進行評價確認，風險的嚴重度和發(fā)生頻度的確認用以確定風險系數(shù)，之后根據(jù)風險系數(shù)確定對風險應采取的措施。
4.2.2.4.1　風險的嚴重程度評價準則
風險嚴重度用于評價潛在風險可能造成的損害程度，根據(jù)對潛在風險的評估量化,若潛在風險發(fā)生后，其會導致的各方面的影響以及危害程度，以下包括但不限于風險產(chǎn)生后會導致的危害：
a.法律法規(guī)、產(chǎn)品及客戶要求；
b.風險發(fā)生時導致的人身傷害；
c.財產(chǎn)損失的多少；
d.是否會導致停工/停產(chǎn)；
e.對企業(yè)形象的損害程度。
注：在對風險進行嚴重程度判定時，推薦擴大分析風險所帶來的危害層面，以便于更有效的對潛在的風險采取措施，以達到減少或部分消除風險乃至完全消除的目的。
為便于識別風險所帶來的危害程度，對風險的嚴重程度進行區(qū)分，風險嚴重度分為以下五類：
a.非常嚴重；
b.嚴重；
c.較嚴重；
d.一般；
e.輕微。
下表為依據(jù)定義的風險影響和影響程度的多少進行量化，在對風險的嚴重程度進行評價時，下表作為評價風險嚴重度的準則：

待完善

嚴重度判定過程中，當多個因素的判定其嚴重程度不一致時，應遵循從嚴原則進行判定，即當多個因素中僅其中一個或部分因素其嚴重度級別更高時，依據(jù)嚴重級別高的因素作為風險嚴重度進行判定。
4.2.2.4.2　風險的發(fā)生頻率評價準則
風險的發(fā)生頻率是指潛在風險出現(xiàn)的頻率，為便于識別和定義，將風險頻度定義為5級，如下所示：
a.極少發(fā)生；
b.很少發(fā)生；
c.偶爾發(fā)生;
d.有時發(fā)生；
e.經(jīng)常發(fā)生。
通過對上述的不確定因素進行評價風險發(fā)生的頻度，風險的發(fā)生頻率的評價以其可能發(fā)生的頻率進行量化確認作為風險的發(fā)生頻率的評價準則：

待完善

發(fā)生頻度判定過程中，當一個或多個因素在判定過程中其發(fā)生頻度不一致時，應遵循從嚴原則進行判定，即當多個因素中僅其中一個或部分因素其發(fā)生較為頻繁時，依據(jù)發(fā)生頻率較高的因素作為風險發(fā)生度進行判定。
4.2.2.4.3　風險的可接受準則
風險可接受準則是通過計算得出的風險系數(shù)來判定風險是否可接受，通過對風險的嚴重度和風險的發(fā)生頻率評價后，通過計算風險系數(shù)確定是否對風險采取措施。風險系數(shù)的計算如下公式：
風險系數(shù)=風險嚴重度等級*風險頻度等級

風險系數(shù)的大小決定是否對風險應采取的措施，如下表要求:
風險度可按量化值分為四級，即：
待完善

1）不可容忍風險（25≥R≥20）；
2）重大風險（16≥R≥12）；
3）中等風險（10≥R≥5）；
4）輕微或可容忍風險（4≥R≥1）。
根據(jù)上表內(nèi)容確定風險的系數(shù)后，將數(shù)字填入《風險和機遇評估分析表》中。
4.2.3　制定措施
使用風險系數(shù)作為參考值，下表為風險風險系數(shù)的范圍及當風險系數(shù)達到一定值時應對風險采取的措施：
風險的應對方式應根據(jù)實際情況進行篩選，當潛在的風險可有效的采取規(guī)避措施進行規(guī)避風險時，應制定風險規(guī)避方案，確認風險規(guī)避措施并予以執(zhí)行，直至部分消除或完全消除風險。當尚無可行方案進行規(guī)避風險時,應采取有效的風險降低措施，降低潛在風險所帶來的影響。
質(zhì)管中心應根據(jù)評估的結(jié)果對風險采取措施，從而達到降低或消除風險的目的，風險應對的方法包括：
a.風險接受；
b.風險降低；
c.風險規(guī)避。
對風險所采取的措施應考慮盡可能的消除風險，在無法消除或暫無有效的方法或者采取消除風險的方法的成本高出風險存在時造成損失時，再選擇采取降低風險或者風險接受的風險應對方法。
下表為識別風險系數(shù)后，對風險等級的判定應急應采取的風險應對措施對照表：

待完善

在進行風險分析和風險應對過程中，應保持風險措施的方案和實施結(jié)果的跟進記錄，記錄的保持依據(jù)《記錄管理程序》執(zhí)行，風險分析和風險應對措施的詳細內(nèi)容應記錄在《風險和機遇評估分析表》中，便于后續(xù)的查閱和跟進。
4.2.3.1　風險接受
是指企業(yè)本身承擔風險造成的損失。風險接受一般適用于那些造成損失較小、重復性較高的風險，當出現(xiàn)以下情況時可采取接受風險的方法：
a.采取風險規(guī)避措施所帶來的成本遠超出潛在風險所造成的損失時；
b.造成的損失較小且重復性較高的風險；
c.既無有效的風險降低的措施，又無有效的規(guī)避風險的方法時；
d.按本文件要求的風險評估準則中計算得出風險系數(shù)低于5的低風險。
4.2.3.2　風險降低
風險降低即采取措施降低潛在風險所帶來的損壞或損失，風險評估實施單位應制定的詳細的風險降低措施降低風險，當出現(xiàn)以下情況時，可采取風險降低方法：
a.采取風險規(guī)避措施所帶來的成本遠超出潛在風險所造成的損失時；
b.無法消除風險或暫無有效的規(guī)避措施規(guī)避風險時；
c.按本文件要求的風險評估準則中計算得出風險系數(shù)為5至15之間的一般性風險。
4.2.3.3　風險規(guī)避

風險規(guī)避是指通過有計劃的變更來消除風險或風險發(fā)生的條件，保護目標免受風險的影響。風險規(guī)避并不意味著完全消除風險，我們所要規(guī)避的是風險可能給我們造成的損失。一是要降低損失發(fā)生的機率，這主要是采取事先控制措施；二是要降低損失程度
風險管理的監(jiān)督與改進
風險識別和評估活動是用于識別風險并綜合考慮對風險應采取的有效措施，當風險系數(shù)過高時應采取風險進行規(guī)避或者降低風險，以減少風險所帶來的危害或損失。風險評估實施部門應制定詳細有效的措施并予以執(zhí)行，在制定措施時，應考慮以下方面的內(nèi)容：
a.制定的措施應是在現(xiàn)有條件下可執(zhí)行和可落實的；
b.制定的措施應落實到個人，每個人應完成的內(nèi)容應得到明確；
c.應指派一名負責人為措施的執(zhí)行進度和效果進行跟進，確保采取的措施被有效落實。
4.2.4　風險和機遇措施的實施
4.2.4.1　組織培訓
在實施風險和機遇措施前，應對各部門進行培訓，以便其充分了解自身風險和機遇，確保措施的有效性。
4.2.4.2　實施風險和機遇措施
各部門應在過程中實施《風險和機遇評估分析表》中的措施，從而達到降低或消除風險的目的，增強有利的影響，實現(xiàn)改進；
4.2.5　風險和機遇的評審
質(zhì)管中心應按制定的周期組織實施對風險和機遇的評審，以驗證其有效性。風險和機遇的評審應包含以下方面的內(nèi)容：
a.風險和機遇的識別是否有效且完善；
b.風險應對措施的完成情況和進度；
d.對產(chǎn)品和服務(wù)的符合性和顧客滿意度的潛在影響。
4.2.5.0.1　 風險和機遇評審的策劃
質(zhì)管中心每年在管理評審前組織風險和機遇評審，以驗證其有效性。當出現(xiàn)以下情況是，應當適當增加風險和風險評審的次數(shù)：
a.與管理體系有關(guān)的法律、法規(guī)、標準及其他要求有變化時；
b.組織機構(gòu)、產(chǎn)品范圍、資源配置發(fā)生重大調(diào)整時；
c.發(fā)生重大品質(zhì)事故或相關(guān)方投訴連續(xù)發(fā)生時；
d.最高管理者認為有必要評審時；
e.其他情況需要時
4.2.5.0.2　風險和機遇評審的實施
a.實施前的準備
在風險和機遇評審會議之前,質(zhì)管中心應對《風險和機遇評估分析表》進行整理、分析已確保其有效性。
b.風險和機遇評審的實施
質(zhì)管中心按策劃的要求組織各部門實施對風險和機遇的評審，應保留評審的記錄以及評審所確定的決議，包括后續(xù)的改善機會。風險和機遇的評審應形成包含但不限于以下方面的內(nèi)容：
---風險評估報告；
---持續(xù)改進的機會；
---剩余風險分析及改進措施
4.3　記錄
實施本部分標準所產(chǎn)生的記錄按《記錄控制程序》的規(guī)定進行控制。
實施本部分標準所要產(chǎn)生的記錄格式遵照附錄B。----待完善
實施本部分標準所要產(chǎn)生的記錄及保存年限和責任部門遵照附錄C。---待完善
附　錄　A （規(guī)范性附錄） 管理評審控制流程 ------待完善