1、內外部環境和相關方要求識別及風險管理程序內外部環境和相關方要求識別及風險管理程序（ ISO9001：2015）1 目的1.1 識別公司質量管理體系存在的，會影響到體系管理內外部環境因素和相關方要求，并判定內外部環境因素和相關方要求給公司帶來的機會和風險。1.2 評價風險和機會， 并根據評價結果采取應對措施，以確保質量體系的有效運行。2 范圍本程序適用于在公司質量 管理體系活動中 ，識別內外部存在的機會和風險，及應對措施的建立和評價過程。3 職責3.1 總經理：負責內外部環境和相關方要求及對應風險管理所需資源的提供。3.2 管理者代表：負責組織落實內外部環境和相關方要求的定期識別和評審，組織風險

2、和機會的評價和措施建立。3.3 各部門：負責參與內外部環境和相關方要求識別和評審；負責本部門的風險和機會評估，并制定相應的措施以規避或者降低風險并落實執行。4定義4.1 風險：在一定環境下和一定限期內客觀存在的、影響企業目標實現的各種不確定性事件。內外部環境和相關方要求識別及風險管理程序4.2 機會：對企業有正面影響的條件和事件, 包括某些突發事件等。4.3 風險評估：在風險事件發生之前或之后（但還沒有結束），該事件給各個方面造成的影響和損失的可能性進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。4.4 內部環境：企業內部環境, 例如組織使命、資源、內部管

3、理、內部績效等。4.5 外部環境：例如 法律、技術、競爭、市場、文化、社會和經濟環境有關的因素等。4.6 相關方：人或組織。他能影響組織的某個決策或活動，或被其影響，及認為自身會被其影響。如：客戶、外部供方、行業組織等。4.7 風險嚴重度：風險發生后其所產生的影響的嚴重程度。4.8 風險發生概率：風險出現的頻率或者概率。4.9 風險系數：風險系數用于評定是否對已識別的風險采取措施，風險系數 =風險嚴重度 x 風險發生頻度。5程序5.1 公司內外部環境因素和相關方要求的識別對象在分析外部環境因素對公司質量體系的影響時：可考慮a.宏觀經濟因素：如匯率、國家經濟、CPI 指數、信貸b. 市場競爭因素

4、：如市場占有率、可替代產品、行業標桿企業狀況、顧客趨勢等內外部環境和相關方要求識別及風險管理程序c. 社會因素：如本地就業數據、教育水平、工作時間、假期等d. 政治因素：如政治穩定性、本地基礎設施、政府公共服務等e. 法規因素：如產品法規、有害物質法規、勞工法規等f. 技術因素：如新科技、新技術、新材料、專利有效期等在分析內部環境因素對公司質量體系的影響時：可考慮a. 公司使命：如愿景、目標、義務b. 公司資源：如：財務、人力、環境、基礎設施、知識儲備c. 公司管理：如組織架構、決策過程、d. 公司運營績效：產品先進性、生產交付能力、體系能力、客戶評價、質量管理績效、合規性等。在分析相關方要求

5、是，可考慮a. 顧客； b. 外部供方； c. 內部員工； d. 最終消費者； e. 監管機構； f. 社會團體； g. 行業機構； 等。5.2 公司內外部環境因素和相關方要求的識別過程在建立質量管理體系時，管理者代表要組織各部門負責人進行一次涉及公司的識別過程，總經理應參與識別。以后每年應進行一次例行的識別和評審，以監視和評審這些因素和要求的適用性、公司對應措施的有效性及變化。內外部環境因素的識別結果記錄在公司內外環境識別一覽表中。內外部環境和相關方要求識別及風險管理程序相關方要求的識別結果記錄在公司相關方要求識別一覽表中。5.3 內外部環境因素和相關方要求的識別結果的運用在確定公司質量管理

6、體系過程及范圍時，應考慮識別的結果的運用。可采取 SWOT分析的方法來分析和運用識別的結果，并將其納入質量管理體系中，具體參見公司內外環境識別一覽表。通過 5.4 章節的風險與機會管理要求在控制。5.4 風險和機會管理策劃本公司的風險和機會的管理是基于內外部環境因素和相關方要求的識別結果。管理者代表負責組建風險識別小組， 根據公司內外環境識別一覽表 、公司相關方要求識別一覽表 ，來編制風險識別清單和預防措施 。注：公司也可以采取其它風險管理方法，如FMEA分析。風險分析人員的任職要求a.熟悉公司的質量管理現狀；b. 有一定的組織協調能力；c. 熟悉質量 相關法規和標準。風險評估為便于對風險評估

7、量化，通過風險嚴重度、發生概率、風險系數進行評價，其評價的要求應依據本程序所規定的評價準則進行評價確認，之后根據風險系數確定對風險應采取的措施。內外部環境和相關方要求識別及風險管理程序風險的嚴重程度評價準則為便于識別風險所帶來的危害程度，對風險的嚴重程度進行區分，風險嚴重度分為以下五類：a. 嚴重b. 一般c. 輕微下表為依據定義的風險影響和影響程度的多少進行量化，在對風險的嚴重程度進行評價時，下表作為評價風險嚴重度的準則：描述嚴重法律法規、停工 /程度對體系的財產損失企業形產品及其影響（萬元）停產象他要求違反法律造成體系法規、國際短期基本沒有財產損失重大影嚴重/ 國家標10無法按照標準響準、

8、客戶標恢復執行準0.5 財可短企業及造成體系一般企業標準產損失時恢周邊范運行較差10復圍嚴重等級32內外部環境和相關方要求識別及風險管理程序造成體系財產損失沒有1輕微不違反出現個別不影響0.5停工不符合嚴重度判定過程中， 當多個因素的判定其嚴重程度不一致時， 應遵循從嚴原則進行判定，即當多個因素中僅其中一個或部分因素其嚴重度級別更高時，依據嚴重級別高的因素作為風險嚴重度進行判定。根據上表內容確定風險的嚴重度后，將嚴重等級數字填入風險識別清單和預防措施中。風險的發生概率評價準則風險的發生概率是指潛在風險出現的頻率， 為便于識別和定義， 將風險頻度定義為 3 級，如下所示：a. 極少發生；b. 偶

9、爾發生 ;c. 經常發生；通過對上述的不確定因素進行評價風險發生的頻度，風險的發生頻率的評價以其可能發生的頻率進行量化確認作為風險的發生頻率的評價準則：發生頻度定義等級極少發生發生的可能性很小，基本不會發生1有發生的可能性， 但不是很高，以前曾有類偶爾發生2似情況經常發生比較容易發生，3內外部環境和相關方要求識別及風險管理程序根據上表內容確定風險的嚴重度后，將嚴重等級數字填入風險識別清單和預防措施中。風險系數準則風險系數 =風險嚴重度等級 * 風險發生概率等級風險系數的大小決定是否對風險應采取的措施，如下表要求:發生概率極少發生偶爾發生經常發生嚴重度嚴重369一般246輕微123使用風險系數作為參考值，下表為風險風險系數的范圍及當風險系數達到一定值時應對風險采取的措施：風險風險等級及應采取的措施系數風險等級風險措施6-9較高風險應立即采取措施規避或降低風險4-6一般風險需采取措施降低風險3 分以下可接受風險可不采取措施風險系數應記錄在風險識別清單和預防措施。內外部環境和相關方要求識別及風險管理程序5.5 風險應對風險識別小組應該根據風險分析的結果，參照風險系數，來確定應對措施，并將應對措施記錄在風險識別清單和預防措施中。5.6 風險應對措施的監督與改進各部門應根據風險識別清單和預防措施中的要求，落實措施并