风险管理规定(ISO9001)

1.目的：

识别和确定组织需应对的风险和机遇，采取应对措施,以确保质量管理体系能够实现其预期结果/目标，增强有利影响，避免或减少不利影响，实现改进。

2.适用范围：

适用于质量管理体系建设和运行中的风险管理工作，包括风险信息收集、风险评价、风险处理和风险管理监督与改进的管理。

3.定义：

3.1 风险：不确定的影响。通常以潜在事件和后果，或它们的组合来描述，或事件后果和发生的可能性组合来表达。影响是与期待的偏差,可以是积极和/或消极的；不确定性是指，与事件和其后果或可能性的理解或知识相关的信息的缺陷的状态，或不完整。风险主要分为战略风险、财务风险、市场风险、运营风险、法律风险五大类。

3.2 风险源：单独地或以结合的形式具有产生风险的内在可能性的因素。一个风险源可以是有形的或者无形的。

3.3 风险程度：以后果和可能性的组合表达的风险的量或组合结果。

3.4风险评价：风险识别、风险分析和风险评定的整个过程。

3.5风险处理：修正风险的过程。

3.6 风险管理：是指企业围绕总体经营发展目标，在管理的各环节和经营过程中执行风险管理基本流程，建立健全风险管理（包括组织机构、制度流程和方法技术等），从而为实现风险管理总体要求提供合理保证的过程和方法。在质量管理体系建设中，应把识别和确定需应对的风险和机遇及应对的措施，在过程的策划和建立中整合并实施，并通过过程目标或产品和服务的符合性的监视、测量和分析，评价这些措施的有效性。

4.职责：

4.1质量管理部负责本规定的归口管理和解释。负责全面组织开展对应风险识别、分析、评定和风险处理对策制定的管理；负责把风险和机遇及其应对措施应作为体系策划的输入，并在质量管理体系建设中予以落实。

4.2各部门负责结合本部门的业务工作开展风险信息收集、风险评价、风险应对施制订等各环节的工作；负责风险应对措施的执行和有效性的评价。

5.工作程序：

5.1 风险管理总则：

最高管理层应重视开展公司风险管理工作，促成实现下述风险管理要求：

a) 确保遵守有关法律法规，履行相应的社会责任。

b) 确保将风险控制在与企业总体经营发展目标、质量目标相适应并可承受的范围内，促进企业实现战略目标。

c) 确保质量管理工作的有效性，提高质量活动的效率和效果。

d) 确保把确定的风险和机遇及其应对措施纳入企业建立的质量管理体系，规范运行管控，保护企业不因风险或人为失误而遭受重大损失。

5.2风险管理工作分工

根据现有组织结构和当前的管理状况，各职能部门应做好跟本部门相对应的风险管理工作，原则上分工如下(该分工随组织结构和部门职能的调整而调整)：

a) 总经理：战略选择风险、投资与资源配置风险、并购合作风险等。

b) 质量管理部、生产部、设备部管控范围：产品质量管控类风险、生产类风险等。

c) 技术部管控范围：技术创新风险等。

d) 人事部管控范围：：人力资源风险、道德操守遵从性风险等。

e) 办公室管控范围：政治法律环境风险、法律法规遵从性风险、重大法律纠纷风险、信息系统风险等。

f) 销售部：品牌运营风险、市场竞争风险、新兴市场风险、重大协议和贸易合同风险、消费者需求及趋势风险。

g) 采购部管控范围：原材料、零部件价格及市场供需风险。

h) 财务部管控范围：会计和财务报表风险、流动性风险、资产管理风险、盈利能力风险、金融市场价格风险、融资风险等。

5.3 风险信息收集应关注的主要方向

5.3.1 战略风险方面: 应收集与公司相关的宏观经济政策、技术环境、市场需求、竞争状况等方面的重要信息，重点关注公司发展战略和规划、年度经营目标、以及编制这些战略、规划、目标的有关依据。

5.3.2 财务风险方面: 应收集与公司盈利能力、资产营运能力、偿债能力、发展能力指标的重要信息，重点关注成本核算、资金结算业务中曾发生或易发生错误的业务流程或环节。

5.3.3 市场风险方面: 应收集与公司相关的市场供需、销售价格、竞争对手、主要客户和供应商等方面的重要信息，重点关注原材料、产品价格及市场供需的变化趋势。

5.3.4 运营风险方面: 应收集与公司相关的经营策略、基础设施资源质量、产品质量控制、技术更新、质量管理现状、人力资源、供应链保障能力等方面的重要信息，重点关注现有企业业务流程操作运行情况及持续改进能力和风险管理的现状和能力。

5.3.5 法律风险方面: 应收集与公司相关的法律法规、产业政策、员工道德、协议合同、法律纠纷案件、知识产权等方面的信息。

5.4 风险识别、风险分析和风险评定

质量管理部应采取日常和专项相结合的方式，组织布置开展对应风险识别、风险分析和风险评定工作。风险识别和分析方法可结合企业实际灵活应用，可包括：

目标导向的风险识别：组织或项目小组有明确任务目标。那么任何可能危及目标或部分目标获得的事件都被识别为风险。

流程导向的风险识别：对企业或组织的主要业务流程进行分解，发现每个流程的，各个环节是否存在风险因素，可同时进行业务流程优化。

应用方法可包括：正式的风险管理框架ISO31000，头脑风暴法、访谈询问法（如果、什么）、因果分析法，SWOT、FMEA等。

各部门应按质量管理部的布置要求，识别与本部门业务工作相关的风险，同时对风险信息进行整理、汇总、统计、分析和评估。

风险评估及是否要采取应对措施，目前不制定明确的评估标准要求，由各部门结合实际经验组织会议评估来确定。会议评估结果确定的需应对的风险和机遇应记录在《风险/机遇及其控制一览表》里。

5.4风险处理

各部门针对风险评估结果，结合自身业务特点，风险发生可能性的高低和对经营发展目标影响程度的大小，权衡收益和风险，合理制定各类风险的应对措施，应对风险和机遇的措施应与其对于产品和服务符合性的潜在影响相适应。

制定的应对措施应记录在《风险/机遇及其控制一览表》里。各部门的《风险/机遇及其控制一览表》完成后，统一交由质量管理部保存和进行对应的体系管理策划应用。

在评估多项具体风险时，应对各项具体风险进行比较，确定关注重点和管理优先顺序。

应对风险可包括规避风险，为寻求机遇承担风险，消除风险源，改变风险的可能性和后果，分担风险，或通过明智决策延缓风险。

机遇可能导致采用新实践。推出新产品，开辟新市场，赢得新客户，建立合作伙伴关系，利用新技术以及能够解决组织或其顾客需求的其他有利可能性。

5.5风险应对措施的落实、监督和有效性的评价

质量管理部应组织把风险和机遇及其应对措施作为质量管理体系策划的输入，并在体系建设中予以落实,要求：

1) 在质量管理体系过程的策划和建立中整合并实施这些措施，应纳入体系的对应运行规则里。

2) 通过质量管理体系运行中的过程绩效/目标或产品和服务的符合性的监视、测量和分析的实

施，评价这些措施的有效性。

5.6. 质量管理部应保留《风险/机遇及其控制一览表》。

6. 引用文件:无。

7. 本程序形成文件化的信息

7.1 文件

《风险管理规定》