业务风险连续性风险管理办法

业务连续性和风险管理实施办法

共13页

（包括封面）

目录

一、目的 2

二、定义 2

三、流程 3

四、范围 5

五、影响业务连续性的风险管理 5

六、重要电话号码 6

七、重大变更时对客户的通知 6

八、业务连续性计划（BCP） 8

业务连续性和风险管理实施办法

一、目的

为了使公司有效控制业务实施中遇到的各种风险，从而实现保证公司和客户利益，保证公司业绩持续增长。

二、定义

2.1 风险管理计划

风险管理计划是由生产部门和质量部门定期编制和维护。该计划明确定义风险管理行动范围、目的，风险管理要求、风险等级评估标准等等。

2.2 风险管理登记表

风险管理登记表用于记录识别出来的风险，针对已识别的风险提出降低风险的行动计划，通过定期回顾和评估，将高风险逐步降低到低风险，采取有效行动来避免风险发生，保证公司业务按既定计划高效运行。

2.3 业务连续性计划

业务连续性计划是保证公司业务连续性管理的工具文件，它是由生产部门和质量部门负责定期编制和维护的文件。该文件针对风险要识别出来的对公司存在潜在威胁的影响因素，并为恢复及有效响应能力的建立提供了一个机制，来保障公司和关键客户的利益。业务连续性管理流程包括应急反应流程、事件决策及业务恢复、培训、监测、检查和计划维护等。

三、流程

公司风险协调员组织建立公司级风险团队，重点识别并管理风险项目的缓解和消除行动，公司级风险团队成员分别来自于公司各个业务部门，他们将代表各个业务部门分析、提出风险项目。

公司风险管理团队负责识别、确认所有影响公司业务的风险项目，公司风险协调员负责组织将确认出来的风险项目记录到风险登记表中。

公司风险协调员分别组织管理团队对风险项目进行评估，按照风险评分标准确定风险优先级别，汇总出高风险项目提交公司经理层讨论认可。

风险项目的范围包括但不限于：

∙产品, 设备、设施或人员（独苗岗位）

∙替代设备备份

∙关键过程或供应商风险

∙计算机数据备份

∙计算机信息系统备份

使用如下标准进行评估

评估初始 P (可能性) 和初始I（影响）和需要采取的行动

“风险矩阵”图上的行和列分别表示初始 P（概率）和初始I（影响）。可以用"L"（低）、"M"(中等) 和"H"（高）表示。

设置风险级别必须基于以下因素：

∙概率排名“L”的可能十年发生一次

∙概率排名“M”，可能每年发生一次

∙概率排名“H”，可能每年发生在一次以上

∙影响排名“L”，影响轻微，可以忽略

∙ 影响排名“M ”有影响，在可控范围内，但不采取措施，后果会很严重 ∙ 影响排名“H ”，影响严重，可能造成迟交付或停产、倒闭等后果

在风险矩阵中P 和 I 的各种组合所对应采取的行动： ∙ 组合 H-H ，M -H 或 H-M 。

需要立即改进行动。必须填写要明确确定当风险将会降低至可接受水平的风险表

∙ 以 概率H 为主体的任意组合

需要改进行动。必须要填当风险将会降低至可接受水平的风险表。 虽然事件的影响可能很低，经常发生的事件会影响生产的连续性。 ∙ 组合 L-H 和 L-M 无需任何操作。 ∙ 组合 M-M

需要密切注意。无需作重大改进列入 BCP 计划即可。这类问题可以作为持续改进项。

概率 （P ）>

H

M

L 风险简介

L

M

H

影响（L ） >

风险矩阵

组合 L-L 和 M-L

不需要设置 BCP 具体计划。仅填写风险表需采取的行动的简要说明。

风险评估中，使用如下风险管理登记表：

公司每年至少组织一次业务风险管理评价工作，形成新的风险管理表以及风险矩阵，以本制度的附件形式存放在资料室。内容无变更无需更新。

四、范围

确定发生风险时如何采取行动来防止或减轻交付风险。

五、影响业务连续性的风险管理

公司风险协调员负责组织落实已确定的风险项目的责任人。

风险责任人负责组织和制定风险缓解和消除的行动计划，此计划要求具备行动有效性和时间可追溯性，计划中的每一个行动要求有责任人，以便于公司风险协调员跟踪进度。

公司风险协调员负责定期组织一级和二级风险管理会议，关闭风险项目和登记新的风险项目。

业务改进部门负责定期组织部门风险代表一起回顾和跟踪业务恢复性计划

的有效性和实施困难，业务改进部门负责定期汇总和更新业务恢复性计划，如果此计划发生变更，需及时给客户发沟通联络单通报此更改。

六、重要电话号码

涉及业务风险相关人员的联系电话应进行备案，紧急电话号码张贴在生产科。

相关人员包括但不限于下列人员：

生产厂长

生产科长

综合科长

生产科总计划员

市场部长

质量工程师

七、重大变更时对客户的通知

发生如下变化时，质量或项目部负责通知到客户相关联系人：

o第三方或其他方资格认证过期、取消，发生重大审核不符合项；

o认证质量代表

o质量管理体系重大变化

o工厂地址变更

o业务活动负责人变更或业务终止

o发生影响业务持续性的问题，参见业务持续性计划o供应产品发生潜在或实际问题影响交付的

o法律法规变更影响产品交付的

八、业务连续性计划（BCP）

计划A

范围:当厂区的主要设备设施大面积无法使用的情况下应该怎样采取行动

公司火灾应急计划按《消防应急预案》执行，《消防应急预案》由生产科每年负责更新，并以制度附件的形式存到资料室。

※灾难性事件及重大火灾后的恢复性建设周期为半年，投产后90天交付；一般性事件厂房、设备15天修复后，恢复生产后35天交付。