社会责任风险评估管理程序
文件编号:SA/OP-2068
文件版本:A0
制订部门:人力资源部
发行日期:2016-5-17
分发部门:
财务部
业务管理部
人力资源部
产销协调部
模具开发部
品质保证部
CNC加工中心
受控状态:
核准:审核:制订:
0.修订页
1.流程图:无
2.目的
通过对劳工、道德、环境进行风险评估与管理,以避免、降低管理风险。
3.适用范围
适用于本公司对劳工、道德、环境风险管理,也适用于对供应商分包商的社会责任风
险评估管理。
4.责任部门
4.1人力资源部:组织对劳工、道德、环境风险进行识别评估及控制,制定管理方案,跟进
各部门采取纠正预防措施。
4.2各部门:实施风险管理方案。
5.工作程序:
5.1风险等级的分类:
5.1.1重大风险:可能导致严重违反相关法律法规;引起重大健康安全伤害;环境影响;导
致发生重大火灾、爆炸或毒物泄漏事故;或导致重大人员伤亡或者重大经济损失。5.1.2一般风险:可能导致人员轻微伤害或职业病、财产损失、工作环境破坏等。
5.2风险的调查识别与评估:
5.2.1原则
a)风险调查识别与评估应依据本规范5.1条款的分类及有关规定及标准,并结合公司实际情况,考虑过去、现在、将来三种情况;
b)风险调查识别与评估应全面仔细,涉及劳工、道德、环境三个方面,考虑法律法规、SA8000标准、消防安全、机器安全、劳动职业安全、环境污染等;
c)对重大风险要进行重点分析,要防止遗漏,特别是可能导致严重违法要特别关注,
要分析现有管理状况与标准要求的差距,制订纠正预防措施;
5.2.2调查识别
a)行政部组织人员对公司劳工、道德、环境管理现状进行调查,识别出管理风险,形成《社会责任风险调查识别与评估表》。
5.3风险评估
5.3.1风险评估方法
a)对一般因素、较易判断的行为性违章违规因素,采取直接是非判断法评价,评价结果分“轻微、可接受、不可接受”三种程度。
5.3.2风险评估原则与方法
在《社会责任风险调查识别与评估表》中进行打分,分别将每种指标的得分相加,
构成评估总得分,总得分R≧20分时,该风险判定为重大风险。
a)严重性及影响程度:
影响小,无明显后果;(0-2分)
影响不大,产生的后果较轻微;(3-5分)
影响大,产生的后果严重;(6-10分)
b)发生频率:
极少发生;(0-2分)
偶尔发生;(3-5分)
经常发生;(6-10分)
c)法律法规:
无相关法律法规,影响不大或暂无影响;(0-2分)
暂无法律法规参照,但仍产生较大影响,须进行控制;(3-5分)
违反相关法律法规,后果较严重;(6-10分)
d)涉及范围:
涉及面极小,属于个别情况;(0-2分)
涉及部份人员或区域;(3-5分)
涉及的部门较多,范围广;(6-10分)
1.0 范围 适用于公司生产制造过程中影响产品交付和产品质量的风险识别和控制因素策划及实施。 2.0 目的 为了控制可能会影响产品交付和产品质量有关的风险,为风险识别、评估和降低 确定技术、工具和对其应用,特制定本程序。 3.0 设备要求 不适用 4.0 职责 4.1 设备部负责对生产过程中产生质量风险、检验文件的制定和更改以及设 备设施的可利用性、可维护性的风险进行评估和控制; 4.2 营销主料采购和供应链辅料采购部负责对原辅材料采购、外包方和供方 业绩进行评估和控制;负责供方变化及其质量管理体系变化产生的风险 进行评估和控制; 4.3 销售/客服部和工程部负责不合格产品交付产生的风险进行评估和控制 4.4 质量安全部负责产品的检验与试验过程、检测设备的使用和维修 可能产生的质量风险进行评估和控制; 4.5 人事行政部负责对人员能力、专项技能的符合性、组织机构变更以及关 键或重要人员的改变产生的风险进行评估和风险控制。 5.0 程序 5.1 定义 5.1.1风险:有可能发生并有潜在负面结果的局面或境况 5.1.2 风险评估 评估来自可能发生的风险,考虑现有控制的适当性和决定该风险是否可接 受的过程。 5.2 风险辨识和风险评估过程 1)评估准备----收集资料,制定计划 2)风险识别----事故类型,影响因数及机制 3)风险评估----事故发生的可能性,事故的严重程度,风险值的确定,风险分级 4)风险控制----制定方案,落实风险防范措施 5)登记重大风险项目 6)定期检查提出整改方案 5.3 风险源的识别 5.3.1 风险源的识别应考虑以下方面: 5.3.1.1与产品交付相关的风险评估应包括: 1)设施/设备的可用性和可维护性 2)供应商绩效以及材料的可用性/供应
安全风险评估和控制管理制度 1目的为对公司作业活动和服务过程中的危险、危害因素进行辨识和风险评估,以确定重大危险源,进而为风险控制提供依据,以实现安全管理标准化,特制订本制度 2 适用范围 适用于公司作业活动和服务全过程中风险因素的识别、评价、控制与管理。 3 支持/相关文件 3.1 水利水电工程施工安全管理导则(SL721-2015) 3.2 水电水利工程施工重大危险源辨识及评价导则(DLT 5274-2012) 4 职责和权限 4.1 各职能部门负责识别、评价、控制和管理与本部门相关的风险因素,确定重大 风险源,制定对风险因素的控制办法。 4.2 各项目部负责识别、评价、控制和管理与本单位相关的风险因素,确定重大风 险源,制定对风险因素的控制办法。 4.3 各职能部门、各项目部应根据施工进展,对危险源实施动态的辨识、评价和控 制。 4.4 本制度由公司安全质量环保部负责编制、修订、解释,部门负责人审核、常务 副总经理批准。 5 定义重大危险源根据可能造成的人员伤亡数量和财产损失情况进行分级,可以按 下标准分为4级: 5.1 一级重大危险源:是指可能造成30 人以上(含30 人)死亡,或者100 人以上(含 100 人)重伤,或者造成1亿元以上直接经济损失的危险源。 5.2 二级重大危险源:是指可能造成10 人~29 人死亡,或者50 人~99 人重伤,或者 造成5000 万元以上1亿元以下直接经济损失的危险源。 5.3 三级重大危险源:是指可能造成3人~9 人死亡,或者10 人~49 人重伤,或者造 成1000 万元以上5000 万元以下直接经济损失的危险源。 5.4 四级重大危险源:是指可能造成3人以下死亡,或者10 人以下重伤,或者造成1000 万 元以下直接经济损失的危险源。 6 程序 6.1 工作步骤 6.1.1 选择活动、过程和服务 6.1.2 进行活动、过程和服务中危险源的识别。 6.1.3 进行危险源的定性和定量评价。
危害辨识与风险评估技术标准 1 目的 为公司进行危害辨识和风险评估提供操作技术和依据。 2 适用范围 本标准适用于公司对危害产生的风险及对控制措施进行的合理评估。 3 引用标准 《安全生产风险管理体系》(中国南方电网有限责任公司) 4 术语和定义 4.1危害:可能导致伤害或疾病、财产损失、工作环境破坏或这些情况组合的条件或行为。 4.2风险:某一特定危害可能存在的损失或伤害的潜在性变成现实的机会。 4.3危害辨识:识别危害的存在并确定其性质的过程。 4.4风险评估:风险分析和风险评估的整个过程。 5 要求 5.1危害辨识
5.1.1确认工作过程及工作环境中存在的危害因素。这些危害因素包括来自本单位区域内和区域外的所有危害,可归类为:物理危害、化学危害、机构危害、生物危害、人机工效危害、社会—心理危害、行为危害、环境危害及能源危害等。 5.1.2区域外部的危害识别可从以下方面考虑(不能由我们所控制的危害。如:自然灾害等): ? 自然灾害因素:暴雨、台风、海啸、洪水、雷电、干旱、高温、低温、冰雹、霜冻等。 ? 地质灾害因素:地震、滑坡、泥石流、地面塌陷、煤层自燃、洞井塌方、海水入侵等。 ? 公共性卫生与疾病因素:区域性流行性疾病,如肝炎、霍乱、非典型肺炎、禽流感等。 ? 外部危害装置&设施因素:外部组织的危险化学品仓库、油库及其他固定危险设施。 ? 人为破坏性因素:投毒、恐怖袭击、蓄意破坏等。 5.1.3区域内部的危害识别可从区域和流程两方面考虑: ? 基于区域考虑:工作区域中的所有潜在危害 ? 基于流程考虑:区域内所有工种涉及的全部工作任务(可将工作任务进行作业步骤分解,辨识在执行每一步骤中存在的可能危及人员、设备、电网、健康和环境的危害) 5.1.4所有识别的危害要确定危害的信息,进行危害辨识时可参考危害辨识表,见附录。
实验室风险评估与风险控制程序 一、检验职业感染的现状 经血、呼吸道、粘膜传播疾病直接危害着检验工作者身体健康。我国是HBV 感染的高发区,约有1.3亿人携带HBV,HBV表面抗原(HBsAg)的携带率为8%-20%;自90年代以来HCV感染也呈上升趋势,其感染率为3%。目前艾滋病感染在我国的流行已进入增长期。在无偿献血人群中检出乙型肝炎、丙型肝炎、梅毒、艾滋病等病毒感染占有一定的比例。经调查显示,针头和玻璃碎片是主要锐器致伤因子,经常接触针头者发生锐器伤的危险是不经常接触者的23倍。多种传染病是通过血液传染的,而血液检验中的职业暴露大多数来自实验室工作人员在实验操作和标本采集过程中,意外被带病原体的血液污染破损的皮肤或被病原体感染的针头、血常规采血针、采血玻璃管、吸头等锐器刺破皮肤,呼吸道吸入气溶胶也是传播方式之一。因此,检验人员面临着严峻的职业暴露危险。 1.传播途径 检验人员感染疾病的一般传染途径有: (1)皮肤破损:带有HIV、HBV、HCV、梅毒等病原体的血液,长时间接触小伤口、溃疡、擦伤等破损皮肤,将会造成机体的感染。 (2)穿刺:由于针头、刀片等对皮肤的意外损伤,使带有病毒的全血、血清或血浆进入皮下或循环系统,造成感染。这种针头意外损伤是职业性HBV和HIV 感染最重要的原因。带有HIV的针头意外穿刺皮肤后,HIV感染的可能性在0--0.9%之间,平均为0.4%。而对于HBV,这个可能性在6%-30%之间,平均为18%。有学者进行了相应的统计推算,每1000个艾滋病病人,每年会产生1例由于针头意外造成的职业性HIV感染;而每1000个乙肝患者,每年会产生45例类似职业性HBV感染。由于HBV在人群中的感染率比HIV高得多,在一定人群中,每年产生的因针头意外造成的职业性HBV感染比HIV多得多。 (3)粘膜:由于试管未封闭、离心意外等造成的血液飞溅,带有病原体的血液与口腔、鼻腔黏膜或眼结膜等接触,可以造成感染。还有被HIV、HBV、HCV、梅毒等病原体污染的电话、仪器、工作台面等接触,也可以造成感染。 (4)吸入含病原体的气溶胶引起感染:在采血窗口或发放化验单时,直接与病人面对面接触交谈,易感染呼吸道疾病。此外,能引起气溶胶的操作或事故有离
产品风险评估与控制管理程序 (新版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0942
产品风险评估与控制管理程序(新版) 1.目的: 为了控制可能会影响产品品质或对人员造成伤害的物理、化学和微生物污染的风险。通过风险评估,降低风险发生,提高质量意识,特制定此程序 2.范围: 本公司生产制造中来料,半成品加工,成品组装,包装等所有环节可能会影响产品品质或对人员造成伤害的物理、化学和微生物污染的过程、场所,工作环节均属之。 3.权责: 行政处:负责对工作环境,人员方面的风险评估及管控措施的跟进;
制造处:负责生产过程中的风险评估及管控措施的跟进; 制造处:负责原物料和产品维护方面的风险评估及管控措施的跟进; 4.作业内容 4.1产品风险评价准则 4.1.1风险严重度评价准则 4.2产品风险发生频度评价准则: 4.3产品风险探测度评价准则: 4.4产品风险顺序数计算方法 4.4.1风险顺序数(RPN)=风险严重度(S),频度(O)和探测度(D)的乘积。 4.4.2当S≥7且RPN≥60时,视为紧急状态,必须采取改进措施。 4.4.3当S<7且RPN≥100时,视为紧急状态,必须采取改进措施。 5.0评估作业程序
广州汉诺斯箱包有限公司 产品风险评估程序 一、目的:对本厂产品由设计开发到生产使用过程存在或潜在的风险进行事前评估,能识别化学品、原材料(面料、五金、辅料等)、工艺设备和工具中带来的危害,确保生产产品符合相关标准、法律法规要求。 二、范围:适合本公司内所有加工产品。 三、风险评估小组架构与职责。 3.1风险评估小组主要由以下部门组成: 业务部、开发部、生产部、跟单部、采购部、仓库 3.2风险评估小组职责: 3.2.1维护及不断完善公司的整个风险评估系统; 3.2.2对产品的质量及生产过程安全性进行评估; 3.2.3对化学品等溶剂进行风险评估; 3.2.4对原材料及供货商生产制程进行风险评估; 3.2.5对生产工艺设备进行风险评估; 3.2.6对相关的职能部门人员进行培训; 四、产品的风险评估。 主要针对产品从试产前阶段,进行可靠性、安全性(包括:结构功能、行业法律法规的合规性)的风险评估。 4.1产品试生产风险评估; 4.1.1职责部门: 4.1.2公司在接到新的产品款式后,由工厂副总经理召集相关部门负责人进行新产品评审会议及确认样品生产; 4.1.3以样品包的安全为基准,对产品的结构作出安全风险评估,确保大货符合标准要求; 4.1.4风险评估要充分考虑产品测试前后存在的潜在危险,以此达到产品结构的可靠性和安全性要求; 4.1.5为确保生产产品质量符合要求,须对生产原材料及生产工艺作出风险评估,以确保符合客户品质要求的产品正常生产; 4.1.6风险评估通过收集以往的同类产品或相似结构的生产经验,并通过相关测试数据的统计和分析来进行风险评估; 4.1.7通过内部的测试及第三方实验室的测试,对上述风险评估作出验证,包括:物理可靠与安全性、化学方面安全性等; 4.1.8验证合格后依此进入产品的量产阶段。 五、体系的评估。 产品在经过相关风险评估、开发验证正式投产后,相关部门还需对整个生产过
风险评估管理制度 中南建设集团有限公司 密涿高速公路廊坊段L2合同项目经理部2013年8月10日
风险评估管理制度 为了贯彻落实“安全第一、预防为主、综合治理”的方针,提高密涿高速公路廊坊段L2项目工程的安全管理水平,在工程施工中杜绝安全事故、消灭安全隐患,控制危险源,根据国家相关法规和公司规定,结合本项目部工程施工实际状况,制定本制度。 一、施工风险评估 1、开工前施工风险评估 (1)单位工程开工前,项目部经理应组织项目部各职能部门负责人、安全工程师、相关技术人员,对单位工程施工中可能存在的风险、消除风险的管理方法及代价进行评估,确定施工中的危险源,并对危险源进行动态管理。 (2)风险评估和危险源管理是项目部安全生产管理工作的重要内容之一。风险评估和管理的主要目标就是已知某种危险的存在而研究制定相关的管理、控制措施,提高项目部应对突发事件的能力。危险源管理的主要目标就是控制危险源的状态,通过制订相关的管理、技术措施以保证危险源运行在一个可控、可预见的范围内,进行安全生产。 (3)项目部风险评估和危险源管理主要采取事前预防管理的方法: 一是落实政府及相关部门颁布的各项安全法规、标准、公司制订的安全管理制度。2002年实施的《安全生产法》对各级、各部门、各单位特别是生产经营单位主要负责人的安全生产职责
作出了严格而明确的规定,项目部是施工安全生产的主体,是落实安全生产的关键环节。 二是强制实施许可证制度。劳务队伍必须具有安全生产许可证,项目经理、项目部主要领导具有安全培训证,安全工程师、安全员和安全管理人员具有资质证,特种作业人员持证培训上岗等。 三是执行多方位的安全培训制度。作业人员进场施工前必须进行安全操作培训并考试合格,特种作业人员必须定期培训。 四是定期对单位工程的危险源进行辨识与评价。这是危险源管理的工作重点,在对各施工工点、环境、设备等进行全面辨识与分析的基础上进行相应的危险源评价,制订出各项措施,消除事故隐患,确保安全生产。 五是制订事故应急救援预案。根据可能发生的同类事故案例及预先事故评估模拟结果制订出预防事故、控制事故、展开救援的方案,为后续的事故控制与处理提供技术支持。事故发生后,现场人员应根据制订的应急救援预案,成立并指挥救援队伍快速有效地控制事故、对受伤人员进行有效的医疗处理、组织涉险人员疏散、事故灾后的清理与恢复生产等。 2、施工中风险评估 单位工程施工过程中,项目部经理应定期组织项目部各职能部门负责人、安全工程师、相关技术人员,对单位工程施工中存在的风险、危险源进行评估及管理: (1)项目部重点工程及危险性较大的工程进行评估,确定施工中出现的新的危险源并制定落实预防措施。
BY/CX-32-2015 A/0 风险评估和控制程序 (第A版) 程序控制状态:受控■非受控□ 受控章: 发放编号: 总页数: 7 页(含封面) 编制人: 审核人: 批准人: 上海XXXX检测技术服务有限公司 发布日期:2013年9月20日修改日期:/年/月/日实施日期:2013年9月20日
修改记录表
1.目的 对于本公司检验检测活动范围内所涉及到的危险源进行识别、风险的评价与控制,以减少或避免危险事件的发生,确保检验检测工作的顺利进行。 2.范围 适用于本公司质量活动的安全评价与控制。 3.职责 3.1 质量负责人 3.1.1 负责本公司危险源识别、评价和风险控制的组织实施工作; 3.1.2 负责建立安全评价小组,审批重大的风险清单; 4. 工作程序 4.1 风险管理流程图 可接受不可接受
4.2 风险识别 4.2.1 对于风险的识别需要本公司所有人员参与,根据质量管理的要求,对检测前、检测中、检测后和其它方面的风险进行识别。 4.2.2 检测前的主要风险因素包括: a)合同评审的风险:①检测标准/方法不适用与检测样品;②检测标准/方法不能满足客户需求;③检测委托单一般内容填写不全或填写错误;④检测委托单遗漏相关责任人员的签名等风险。 b)样品风险:①检测样品信息与检测委托单不符;②样品保存条件不符等风险。 c)信息保密风险:①在与客户沟通时泄露其它客户检测过程中提供的样品、文件及传递过程中的信息等风险。 d)沟通风险:①未能将客户的检测需求有效地传递给相关人员等风险。 e)其它风险:①对客户或公司的利益造成不利影响的风险。 4.2.3 检测中的主要风险因素包括: a)人员风险:①检测人员资质不足;②人员不具备检测能力等风险。 b)仪器设备风险:①仪器设备不能满足检测要求,性能异常;②未定期校准或核查;③没有使用和维护记录;④无状态标识管理;⑤设备档案记录不完整等风险。 c)试剂耗材风险:①使用未进行符合性验证的试剂耗材;②使用过期、失效的试剂/耗材;③使用无证标准物质;④没有标准溶液配制记录;⑤没有安全使用及管理试剂耗材等风险。 d)检测方法风险:①未按检测方法进行检测;②未识别样品基质对检测方法带来的干扰; ③检测过程中未按要求进行质量控制或质量控制不全等风险。 e)环境风险:①未对检测环境进行有效监控;②检测环境条件与检测要求不符等风险。f)安全风险:①未识别不同检测工作的性质、地点、检测方式导致的健康、安全、环境等方面的风险;(比如化学品、玻璃器皿、电、火、高低温、粉尘、噪音、爆炸等方面的风险)②操作有毒有害试剂检测项目时未佩戴防护用具;③未按要求处理废弃物等风险。g)信息保密风险: ①在检测过程中对于客户资料、样品、数据结果等信息的泄露;②对公司内部文件、检测方法信息泄露等风险。
医院感染管理风险评估与管理办法各重点科室: 按照等级医院评审感染管理核心条款要求,对医院重点环节、重点人群与高危因素实施管理与监测,并落实;对感染较高风险部门有医院感染风险评估及及感染控制措施。我院制定完善针对以上重点环节、重点人群、高危险因素开展监测体系,针对ICU、新生儿科、手术室、血液科、母婴同室病房、血透中心定期开展风险评估,制定针对风险的感染控制措施,提高我院应对相关风险的能力。 1总则 按照《GB/T 24353-2009风险管理原则与实施指南》、《GB/T 27921-2011风险管理风险评估技术》、《GB/T 33694-2009 风险管理术语》等标准。依据《医院感染管理办法》、《医院感染监测规范》、《医院隔离技术规范》、《多重耐药菌医院感染预防与控制技术指南(试行)》、《外科手术部位感染预防与控制技术指南(试行)》、《医务人员手卫生规范》,参照WHO《医院感染预防与控制实用指南》(第二版)等相关标准作为评估风险的准则,制定全院重点环节、重点人群与高危因素医院感染风险评估实施计划并具体措施。 2 概念 风险(Risk):某一事件发生的概率与其后果的组合。 医院风险:能够引起或产生对患者、患者家属、医院员工以及所有来访者严重危害性影响的人为或自然事件。 风险评估(RISK ASSESSMENT):就是指评估风险大小以及确定风险就是否可容许的全过程。风险评估就是将不确定的威胁或损失进行量化的工作。风险评估量化需要计算两部分,潜在损失的大小与损失发生的概率。风险=损失的大小×损失发生的概率。 3方法 3、1按照规范要求我院采用头脑风暴法,SWOT分析,检查表法结合评估风险及开展风险管理。 3、2 评估协作,感控科召集相关科室人员开展评估培训,指导相关科室开展评估并制定控制措施。 3、3 评估周期,按季度相关科室感控管理组结合二级感控管理负责人员开展
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 风险评价管理制度(标准版) Safety management is an important part of production management. Safety and production are in the implementation process
风险评价管理制度(标准版) 为实现公司的安全生产,实现管理关口前移、重心下移,做到事前预防,达到消除减少危害、控制预防的目的,结合公司实际,特制定本制度。 一、评价目的 识别生产中的所有常规和非常规活动存在的危害,以及所有生产现场使用设备设施和作业环境中存在的危害,采用科学合理的评价方法进行评价。加强管理和个体防护等措施,遏止事故,避免人身伤害、死亡、职业病、财产损失和工作环境破坏。 二、评价范围 1、项目规划、设计和建设、投产、运行等阶段; 2、常规和异常活动; 3、事故及潜在的紧急情况; 4、所有进入作业场所的人员活动;
5、原材料、产品的运输和使用过程; 6、作业场所的设施、设备、车辆、安全防护用品; 7、人为因素,包括违反安全操作规程和安全生产规章制度; 8、丢弃、废弃、拆除与处置; 9、气候、地震及其他自然灾害等。 三、评价方法 可根据需要,选择有效、可行的风险评价方法进行风险评价。常用的方法有工作危害分析法和安全检查表分析法等。 1、工作危害分析法:从作业活动清单选定一项作业活动,将作业活动分解为若干个相连的工作步骤,识别每个工作步骤的潜在危害因素,然后通过风险评价,判定风险等级,制定控制措施。该方法是针对作业活动而进行的评价。 2、安全检查表分析法:安全检查表分析法是一种经验的分析方法,是分析人员针对分析的对象列出一些项目,识别与一般工艺设备和操作有关已知类型的危害、设计缺陷以及事故隐患,查出各层次的不安全因素,然后确定检查项目。再以提问的方式把检查项目
新产品风险评估控制程序 1. 目的 为保证产品质量体系有效运行,识别产品危险源的因素,以实施有效控制。 2. 适用范围 适用于本公司所有的产品设计和生产过程实现所有活动的危害源的识别、控制。 3. 定义 3.1产品安全风险:可能导致产品存在重大的安全风险从而给公司和客户的财产损失造成严重的损失和给消费者造成严重的人身伤害。 3.2风险:某一特定情况发生的可能性和后果的组合。 4. 职责 4.1 管理者代表负责提供重大风险控制的资源以及产品安全识别、评价的组织领导工作, 并确认和批准; 4.2 技术研发部负责产品风险的识别和控制方案的制定; 4.3 各生产部门负责具体活动信息收集和风险控制方案的实施; 5. 工作程序和控制要点 5.1产品风险评估分为产品生产过程风险评估和产品设计风险评估; 5.2评估人员 产品风险评估由技术研发部牵头项目工程师、技术经理、品管经理及相关人员进行;参加风险评估人员进行相关风险评估专业知识的培训和对相关开发产品性能、结构、质量要求、生产工艺等熟悉,才能胜任。 5.3风险评估时机 设计风险评估在产品开发项目确立、设计开发前进行,生产过程风险评估在产品开发完成、批量试生产前进行;
5.4评估方法 5.4.1风险识别(风险严重度) 5.4.1.1根据产品的部件组成和功能、过程特点和作用等,分析可能产生的产品、过程的潜在失效模式和失效后果; 5.4.1.2通常失效分为两大类:一、不能完成规定的功能;二、产生了有害的非期望功能;并站在顾客或品质控制的角度来发现或经历的情况描述失效的后果,再通过严重度数表打分形式来判断风险失效的严重程度和确定产品关键、重要等风险分类; 5.4.2失效原因分析(风险发生率)列出失效模式下所有想象可能的失效产生原因,注意有时一个失效模式有多种原因造成,并通过风险发生机率表打分形式来判断每个风险失效原因可能产生的频率; 5.4.3设计控制方法(探测难度) 针对每个产品设计和过程的失效原因分析,现行设计此类问题时所采取的具体措施,以防止失效发生或减少失效发生的频次;并针对每个产品设计和过程的失效原因,现行确定使用的测试手段和方法的检测;再通过探测难度数表打分形式来判断风险失效由设计或过程控制可探测的可能性; 5.4.4失效模式及后果分析风险顺序数(PRN)风险顺序数RPN是对设计或过程风险的度量,RPN=S*O*D,应关注RPN较高的项目;当RPN相近的情况下,应先考虑S大的失效模式,以及S和D都较大的失效模式;当RPN值很高(>64)时设计人员必须采取纠正措施,同时S ≥8时也需要特别关注; 5.4.5 改进措施(改进后的风险顺序数)失效模式风险评估的结果就是是否采取措施、采取哪些措施和采取措施的结果是否降低的产品或过程的风险度,采取措施的目的就是降低潜在失效风险,即降低风险失效模式的严重度S、频率O、探测度D。根据风险顺序数(RPN)提出建议采取措施以减少RPN,并确立专人和具体时限完成,对采取措施后的风险顺序数再次进行计算,以验证采取的措施是否有效、RPN值是否降低。 5.5评审结果 根据产品评审的结果确定产品所需的测试和重要、关键生产控制岗位,进行重点控制和测试。
风险评估管理制度(DOC格式).DOC 审核: 刘腾日期:2002年7月18日批准: 李国魂日期:2002年7月19 H北京首信股份有限公司风险评估管理办法第一章总则 第一条为及时识别、监控公司潜在风险及其发生概率,确定 公司风险承受能力及限度,认定该等风险所可能带来的损失,制订本办法。 第二条本办法中所指风险是与公司投资发展战略有关的各类 风险,包括战略环境风险、程序风险(业务运作风险、财务风险、授权风险、信息与技术风险以及综合风险)和战略决策信息风险。第三条本办法适用于公司以及公司下属各业务单元、子公司,要求每一位员工均应该具有风险意识。具体负责组织实施单位为发展战略部。第二章风险评估管理组织体系结构 第四条公司发展战略部设立风险评估及管理小组,为公司风 险管理领导机构,负责评估公司各类风险,协助总裁决策,消除危机,转嫁风险,以使公司获取生存发展的机会。 第五条公司各职能部门与业务单元、下属子公司应当在本办 法的框架下制订各自的风险评估管理办法,设立专人与发展战略部风险评估及管理小组沟通信息,汇报
各自在运作过程中所出现的风险及其可能的解决方案。第六 条内部审计部门协助发展战略部审核公司风险,为风险审计监控部门,在其进行内审工作过程中所发现的各类风险应及时通报发展战略部从战略上研讨、评估该等风险,发展战略部与内部审计部密切合作,审核、监控并管理风险。 第七条发展战略部负责评估管理公司战略环境风险、决策风 险及各类业务单元的财务、运作风险,并对该等风险提出具体的管理方案。第八条经营财务部负责评估公司金融财务风险及公司经营管理风险状况,并向发展战略部通报提交有关风险评估文档。第九条各业务单元、下属子公司及具体项目运作小组负责评估本单元(或项目)的财务风险、运作风险及其他综合风险,向发展战略部提交有关风险评估文档。第条技术管理部及首信研究院就公司整体发展战略的技术性风险、技术创新风险及技术管理中所存在的各类风险进行评估,提交相应文档至发展战略部。第一条发展战略部汇总各职能部门及业务单元、下属子公司、具体项目小组的风险评估文档,展开相应的评估研究,向总裁及总裁办公会提交战略风险评估报告及相应的防范措施。第二章风险评估文档第二条各单位拟提交的风险评估文档要求至少具备本章各条所规定的要素并力求详尽充分。第三条各单位应就其所展开的业务、职能过程分阶段实施风险评估,每一阶段的各个关键点都应该有风险评估文档记载。第四条每一文档应包括风险评估所存在的假设、评估方法、数据来源及评估结果。第五条风险评估文档要求但不限于:
神华广东国华粤电台山发电有限公司企业标准 Q/GHTD SC-FX-2B02—2008 风险管理体系 风险评估及控制程序 2009-10-14发布2009-10-14实施 广东国华粤电台山发电有限公司发布
控制页目录 1、《制度发布审批表》 2、《制度评审表》 3、《文件控制表》 4、《制度控制表》 5、《关键内容》 6、《制度在管理体系中的位置》 分发控制表 发文范围:(共26份)所属体系:风险管理体系控制等级□绝密■机密□秘密□内部资料□公开资料发文份数发文份数发文份数总经理1总经理工作部1燃料部1党委书记1企业文化部1计划管理组1筹建处主任0人力资源部1工程部1经营副总经理0财务产权部1计划部1生产副总经理1经营管理部1物资部1基建副总经理0生产技术部1生产准备部1总工程师1安健环部1珠三角电力1 党委副书记、纪委书记兼 1供应部1鑫元实业公司1工会主席 总经理助理3发电运行部1 筹建处主任助理0设备维护部1
版本编号签发 日期 下次复 核日期 编写人 一级 评审 二级 评审 三级 评审 批准人 有否 修订 A2009-102010-10乔向镇吴锦江 鲍英智 王明喜 吕泽林 曹建军 凡明峰 王宏杰 韩敏 莫剑 李坚 梅剑云 白云学 杨建兴 高春富 魏凤文 陆成骏 杨远忠 韩敦伟 林彦君 王春光 王向前 孙月无 修订内容: 本制度监督实施及完善负责人本制度监督实施及完善执行人职务:安健环部经理职务:安健环部风险主管 签字:高春富签字:乔向镇
关键内容 1、明确了各级人员风险辩识与评估的职责。 2、明确了风险评估的范围。 3、明确了风险辨识、评估、控制的方法。 4、明确了风险评估及控制的流程。
信息风险评估及应急预案 一、风险评估: (一)一级风险 1.重要信息系统遭到黑客攻击; 2.计算机病毒破坏信息系统; 3.重要信息系统遭性破坏; 4.系统数据库崩溃或者损坏; 5.重要信息信息系统瘫痪、崩溃,影响生产过程。(二)二级风险 1.集团网站或者OA出现非法信息和不和谐言论等; 2.服务器、数据库账号、密码安全风险; 3.各类信息系统及OA账号、密码安全风险,被盗用等。 二、应急预案: (一)应急流程: 1.相关人员发现信息类风险事件发生,第一时间汇报部门负责人和信息中心负责人; 2.相关技术人员和负责人及时赶到现场、并根据风险及故障发生严重情况,及时向集团相关部门及领导通报实情; 3.信息技术人员针对故障和风险情况,及时开展修复和重建工作;
4.故障恢复或风险解除后,系统使用恢复正常,记录故障处理单; 5. 对于故障发生原因进行分析调查,对责任人进行考核和问责(严重故障及风险事件); (二)具体措施: 1. 一级风险:黑客攻击时的紧急处置措施 (1)相关人员发现业务系统或网站内容被纂改,或通过入侵监测系统发现有黑客正在进行攻击时,应立即向部门、信息中心负责人通报情况。 (2)信息系统技术人员应在三十分钟内响应,并首先应将被攻击的服务器等设备从信息系统中隔离出来,保护现场,并同时向相关部门负责人及领导通报情况。 (3)信息系统技术人员负责被攻击或破坏系统的恢复与重建工作。 (4)信息系统技术人员会同相关调查人员追查非法信息来源。 (5)信息系统技术人员组织相关调查人员会商后,经领导同意,如认为事态严重,则立即向公安部门或上级机关报警。 2. 一级风险:计算机病毒处置措施 (1)当发现有重要系统计算机被感染上病毒后,应立即
风险评估程序的运用 新的审计准则强调“风险导向”的审计理念。所以07年考试的综合题就考了一个20分的综合题。从07年开始,考试的出题方式发生了一些变化形成了三分天下的局面:审计的基础理论、方法(6-12章)占30%的分值、风险导向的审计理论(9-11章)占30%的分值,审计实务(13-17章)占30%的分值。其他的占10%左右的分值。当然审计报告是必考的,会结合审计实务一起考。 学习审计,要先有一个正确的思路。这非常关键,就是假设你是一个CPA,让你去审计,要知道先干啥,再干啥。如果没有一个整体的思路,可能不知道审计在讲啥。像盖楼,你要先有一个图纸,比如要盖30层,然后再计算一下每一层要用多少砖、多少水泥,最后算一下整栋楼要用多少砖、水泥等,工程造价是多少钱,也就是要有一个计划。 审计的过程大体上是: 1、先了解一下被审计单位的环境(看看能不能审,对方是否诚信,自己是不是具备专业胜任能力,知彼知已) 2、签订业务约定书(正式接手审计业务) 3、了解被审计单位及其环境(也就是运用风险评估程序,看看哪里可能出错) 4、实施进一步的审计程序,包括控制测试和实施性程序。 也就是针对第3步评估出来的重大错报风险,有针对性的采取最恰当的审计程序,找出具体的错报。这实际上也就是风险应对
5、汇总错报,判断意见类型,出具报告。 大体上的过程是这样的,写得不够细。 第九章内容挺多,考试估计太多不会考死记硬背的东西,看一下07年的考题就知道了,会结合第13-17章的内控等考实务方面的题,这种机率比较高。 风险评估的思路也就是:先从总体上估计一下哪里可能出错(评估),根据评估结果采取针对性的程序(风险应对)。风险评估理念的好处是避免了审计的盲目性,提高了效率,降低了成本。 一、必须记记的内容(书上都有,指出来的是第9章的重点) (一)风险评估需运用的三大程序 1、询问(被审计单位管理层和内部其他相关人员) 2、实施分析程序(考实务可能要大量地用到分析) 3、观察和检查 (二)了解被审计单位及其环境的6个方面(注意简答题) ⅰ行业状况、法律环境与监管环境以及其他外部因素;(外部环境)ⅱ被审计单位的性质;(内部环境) ⅲ被审计单位对会计政策的选择与运用;(内部环境) ⅳ被审计单位的目标、战略以及相关经营风险(内部环境) ⅴ被审计单位财务业绩的衡量和评价;(内、外部环境) ⅵ被审计单位的的内部控制(内部环境) 识别被审计单位及其环境在上述各方面与以前各期相比发生的“重大变化”,对于充分了解被审计单位及其环境、识别和评估重大错报风
一、风险评估概念及其基本要素 信息系统的安全风险,是由来自人为的与自然的威胁利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响。信息安全风险评估(本文以下简称“风险评估”),则是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。 信息安全风险评估要关注如下基本要素: 使命:一个单位通过信息化要来实现的工作任务。 依赖度:一个单位的使命对信息系统和信息的依靠程度。 资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。 价值:资产的重要程度和敏感程度。 威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。 脆弱性:信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为弱点或漏洞。 风险:风险由意外事件发生的可能性及发生后可能产生的影响两种指标来衡量。风险是在考虑事件发生的可能性及其可能造成的影响下,脆弱性被威胁所利用后所产生的实际负面影响。风险是可能性和影响的函数,前者指威胁源利用一个潜在脆弱性的可能性,后者指不利事件对组织机构产生的影响。 残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。 安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求。 安全防护措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。 二、风险评估工作流程、理论和工具 风险评估一般遵循如下工作流程: 步骤1:体系特征描述 步骤2:识别威胁 步骤3:识别脆弱性 步骤4:分析现有安全防护措施 步骤5:确定可能性 步骤6:分析影响 步骤7:确定风险 步骤8:建议安全防护措施 步骤9:记录结果 上述工作流程是一个大致应当遵循和不断重复循环的过程。但是在实践中,基于不同目的和条件,在不同阶段所进行的风险评估工作,也可简化或者充实其中的某些步骤。 风险评估理论研究和工具开发应当服务于信息安全保障体系建设的总体目标。当前,国内外提出了一些广义的、传统的风险评估理论,以及一些专门针对信息系统安全的风险评估方法。从计算方法来区分,有定性的方法、定量的方法和部分定量的方法。从实施手段来区分,有基于“树”的技术、动态系统的技术等。 目前存在的信息安全评估工具大体可以分成以下几类:漏洞扫描工具;入侵检测系统(IDS);渗透性测试工具;主机安全性审计工具;安全管理评价系统;风险综合分析系统;评估支撑环境工具等等。 综观这些理论和工具的现状,存在的问题是:尚缺乏模型化、形式化描述和科学证明的深度;一般化的广义的理论如何用于风险评估;定性,定量的理论方法如何更加有效;工具运用的结果如何能够反映实质,有效测度,准确无误;工具的使用如何能够综合协调等等。
风险评估管理程序 Revised by Petrel at 2021
风险评估管理程序 历史修订记录
目录 1概述 ....................................................... 错误!未指定书签。2术语与定义.................................................. 错误!未指定书签。 2.1风险管理................................................... 错误!未指定书签。错误!未指定书签。 2.2其他....................................................... 错误!未指定书签。3风险评估框架及流程.......................................... 错误!未指定书签。 3.1风险要素关系............................................... 错误!未指定书签。 3.2风险分析原理............................................... 错误!未指定书签。 3.3实施流程................................................... 错误!未指定书签。4风险评估准备过程............................................ 错误!未指定书签。 4.1确定范围................................................... 错误!未指定书签。 4.2确定目标................................................... 错误!未指定书签。 4.3确定组织结构............................................... 错误!未指定书签。 4.4确定风险评估方法........................................... 错误!未指定书签。 4.5获得最高管理者批准......................................... 错误!未指定书签。5风险评估实施过程............................................ 错误!未指定书签。 5.1资产赋值................................................... 错误!未指定书签。错误!未指定书签。 错误!未指定书签。 错误!未指定书签。 5.2威胁评估................................................... 错误!未指定书签。错误!未指定书签。 错误!未指定书签。 5.3脆弱性评估................................................. 错误!未指定书签。 5.4确定现有控制............................................... 错误!未指定书签。 5.5风险评估................................................... 错误!未指定书签。
产品风险评估与管理控制程序 1、目的 对公司能够控制和可望施加影响的产品风险进行识别和评估,并从中评价出重大产品风险,设为关键控制点进行重点控制,降低产品可能存在的风险。 2、范围 与公司生产的产品相关的影响产品质量的人员、生产设备和工艺装备、物料、生产过程、生产环境、监视和测量有关过程风险识别和评价。 3、职责 3.1各部门负责识别本部门可能出现的产品风险,并对风险因素的控制进行落实。 3.2风险评估小组负责审核和评价产品风险。 3.3风险评估小组负责产品风险的汇总、审核,组织评价及确定重要产品风险,并制定对应的控制措施。 4、工作程序 4.1产品风险的识别和风险评价工作程序。 4.1.1产品风险的识别和风险评价范围分六大部分: a)人员活动; b)设备和工艺装备; c)原料/零部件; d)工艺过程; e)生产环境条件; f)监视和测量手段; 4.1.2各部门首先应按照本程序的内容和要求,分别识别出内部自身的和对口业务相关方的能够控制和可望施加影响的产品风险,并加以判断,评价出具有重大风险影响或可能具有
重大风险影响的因素。识别和评价的结果应分别填写在《产品风险评价表》上,经部门负责人确认后递交风险评估小组。 4.1.3风险评估小组对各部门交送的结果进行复核,必要时加以补充,将最终整理出来的结果填写在《产品风险评价表》上,交管理者代表审核。 4.1.4各部门将本部门确认后的《产品风险评价表》留存一份,向本部门的员工进行宣传,以便明确本部门的产品风险并对其加以控制和施加影响。 4.1.5各部门在发生以下情况时应重新识别与评价产品风险,及时更新: a)重要或关键岗位人员变化时; b)产品工艺发生变化(改变原工艺或增加新工艺时) c)产品出口国有关的法律法规修订或新增时 d)本公司的发展规划作调整或开发产品发生较大变化 e)材料、设施或设备发生变更 f)生产环境发生较大改变时 g)产品出现安全性投诉时 h)监视和测量发生较大改变时 除上诉情况更新时,应每三年进行一次全面识别和风险评价工作,由风险评估小组组织进行。重新识别与评价产品风险的程序按照本程序进行。 4.2在进行产品风险评价时应考虑以下方法: 各部门负责人对各自识别出来的产品风险逐一进行评价,评价时可以采用是非判断法,作业条件危险评价法和专家法结合进行。 4.2.1是非判断法。凡属于以下情况之一者就可以评价为重大产品风险: a)违反相关的国家或地方法律法规的要求。 b)可能在某种情况下产生重大影响或人员伤亡的。
《风险管理风险评估技术》Risk management —Risk Assessment Techniques
一、任务来源 当前,风险管理活动的重要性正日益为人们所认识,并已成为很多组织的一项日常工作。风险评估是风险管理活动的必要组成部分,其通过一种系统性和结构性的过程来进行风险的识别、分析和评价。在此过程中,评估技术和方法的合理选取和正确应用,对风险评估的顺利实施具有极其重要的作用。因此,通过标准化工作来反映当前风险评估技术选择及应用的良好实践,为国内各类组织提供权威和有效的风险管理技术支持和实施指导,成为近期全国风险管理标准化技术委员会的一项重要工作任务。 根据国家标准化管理委员会2009年国家标准制、修订计划,由中国标准化研究院负责组织起草国家标准《风险管理风险评估技术》,项目编号为20090118-T-469,计划2010年完成报批。 本项任务由全国风险管理标准化技术委员会(SAC/TC310)提出并归口。 二、标准编制过程 从2008年起,中国标准化研究院就开展了对相关国际标准的研究和跟踪工作,并积极参与了IEC 31010《风险管理风险评估技术》的讨论制定过程,为本标准的起草进行了良好的前期准备。 2009年6月,中国标准化研究院组织相关科研院校和企事业单位,成立了该标准的起草工作组,确定了标准草稿的内容框架与制定原则,并于2009年8月完成了IEC 31010 FDIS 稿的翻译工作。起草小组在参考该国际标准相关内容的基础上,基于国内风险评估的实际状况,在征集相关专家的意见后,提出了国家标准草案(工作组讨论稿)。 2009年9月10日和10月22日,起草组召集工作组专家在京分别召开了两次标准讨论会,对该讨论稿进行了广泛的商讨和咨询,充分交换了意见,并在会后依据专家意见对草案进行了进一步的修改完善。 2008年11月,工作组最终形成了国家标准征求意见稿,现拟向社会公开征求意见。 三、标准制定的依据与指导思想 1、参考IEC 31010《风险管理风险评估技术》的FDIS稿,结合我国风险评估实践的实际情况,遵循GB/T 24353-2009《风险管理原则与实施指南》,编制本标准; 2、边跟踪国际标准边开展国家标准的制定; 3、标准的编写遵守国家标准GB/T 1.1—2000《标准化工作导则第1部分:标准的结构和编写规则》;GB/T 2000.1—2002《标准化工作指南第1部分:标准化和相关活动的通用词汇》;GB/T 2000.2—2002《标准化工作指南第2部分:采用国际标准的规则》和