1 范围
本文件规定了公司对风险的识别、确定、评价,采取应对风险和机遇的措施的方法。
本文件适用于公司及各部门进行风险分析和采取对风险和机遇的措施。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
本章无条文。
3 定义
风险识别:是通过识别风险源、影响范围、时间绩其原因和潜在的后果等,生成一个全面的风险列表。
风险分析:是根据风险类别,获得的信息和风险评估的使用目的,对识别出的风险进行定性和定量的分析,为风险评价和风险应对提供支持。
风险评价:是将风险的结果与组织的风险准则比较,或者在各种风险的分析结果之间进行比较,确定风险等级,以便做出风险应对的决策。
风险应对:是选择并执行一种或多种改变风险的措施,包括改变风险事件发生的可能性或后果的措施。
4 职责
4.1 综合管理部负责组织进行风险的识别、分析、确定,组织制定应对风险和机遇的措施,对风险实施监控,对风险和机遇的措施落实进行监督检查;
4.2 各部门按照所承担的业务和职责对本部门的风险进行识别、分析、确定,必要时采取应对风险和机遇的措施;协助综合管理部识别、分析风险并实施应对风险和机遇的措施。
4.3 最高管理层评审风险及应对风险和机遇的措施,持续保持公司的战略方向和宗旨。
5 风险管理
5.1 公司风险
1)公司环境风险。内外部环境的变化带来的风险;
2)市场风险。市场竞争、市场份额态势的变化带来的风险;
3)经营风险。经营策略、经营方向的变化带来的风险等。
5.2 体系运行及主要过程的风险
a) 研制风险:如:技术、进度、费用等方面带来的风险;
b) 生产风险:如:人员、生产能力、交付进度等方面带来的风险;
c) 采购风险:如:外部供方选择、采购(外协)品质量、交货进度等带来的风险;
d) 财务风险:如:资金保证,资金使用、回流,投资与回报等带来的风险;
e) 产品和服务风险:如:产品和服务的质量、投诉等带来的风险等。
5.3 风险应对方法:
a) 规避风险。决定停止或退出可能导致风险的活动;
b) 承担风险。增加风险或承担新的风险以寻求机会;
c) 消除风险源。消除具有负面应影响的风险源;
d) 转移风险。改变风险事件发生的可能性的大小及其分布的性质和后果;
e) 分担风险;
g) 保留风险等。
5.4 选择应对风险的措施。选择适当的风险应对措施时需考虑:
a)法律、法规、社会责任和环境保护等方面的要求;
b)风险应对措施的实施成本与收益(有些风险可能需要组织考虑采用经济上看起来不合理的风险应对决策,例如可能带来严重的负面后果但发生可能性低的风险事件);
c)利益相关者的输球和价值观、对风险的认知和承受度以及对某一些风险应对措施的偏好等。
当风险应对措施影响到公司内其他领域的风险或影响到其他利益相关方时,要评估这些风险,并与有关利益相关方沟通,必要时调整风险应对措施。
6 风险评估
6.1 各部门应对初步识别出来的风险进行分析、评估,确定发生的可能性和造成后果的严重性,将可能性指数和严重性指数两者的乘积定义为风险综合指数,最后确定风险的等级。
6.2 风险发生的可能性,见表1
表1
可能性指数 |
|
1 |
极少发生 |
2 |
较少发生 |
3 |
可能发生 |
4 |
很可能发生 |
5 |
经常发生 |
6.3 风险发生的严重性,见表2
表2
严重性指数 |
|
1 |
可忽略影响 |
2 |
微小影响 |
3 |
中等影响 |
4 |
严重影响 |
6.4 风险等级
根据风险综合指数大小来确定风险的等级,一般风险:风险综合指数为1~10;重大风险:风险综合指数为11~20。(风险综合指数 = 可能性指数 × 严重性指数)
可能性指数
严重性指数 |
1 |
2 |
3 |
4 |
5 |
1 |
1 |
2 |
3 |
4 |
5 |
2 |
2 |
4 |
6 |
8 |
10 |
3 |
3 |
6 |
9 |
12 |
15 |
4 |
4 |
8 |
12 |
16 |
20 |
风险等级一般分为:极大、较大、较小、极小四类,依据风险等级的大小,采取相应的风险应对措施。
7.5 风险应对措施表
应对措施 风险排序 |
规避风险 |
承担风险 |
消除风险 |
转移风险 |
分担风险 |
保留风险 |
|
1 |
极大 |
|
|
|
|
|
|
2 |
较大 |
|
|
|
|
|
|
3 |
较小 |
|
|
|
|
|
|
4 |
极小 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
7 一般要求
7.1 综合管理部每半年组织相关部门从公司环境(内外部)、科研、生产、采购、资金、知识等方面识别、分析、确定并风险排序。形成风险清单,上报总经理。
7.2 管理层针对风险进行评审,制定适宜的应对风险和机遇的措施并实施。
7.3 各部门针对本部门承担的业务工作及职责识别、分析、确定风险,采取必要的应对风险和机遇的措施并实施。当部门识别的风险对公司的质量 、战略方向和宗旨、组织环境等方面形成潜在影响时,应及时向归口管理部门传递信息。归口管理部门应组织相关部门分析、评价风险,并上报总经理。
7.4 综合管理部对公司层面上采取的应对风险和机遇的措施进行监督检查,并保留检查记录;各部门负责人对本部门采取的应对风险和机遇的措施落实情况进行检查,并保留记录。