風險管理介紹風險管理系統要求和指南的來源背景GSK/GSKBio風險內部控制和框架GSKBS風險管理方法概況目的英國Turnbull指南公司丑聞Enron,WorldCom,Parmalat,etc.美國塞班斯法案風險管理的歷史background在應該對公司的監管，通過一系列的委員會審核和報告，變得愈來愈嚴格:-1992Cadburyreport（建立公司財務監管標準）UseofboardcommitteesSeparaterolesofChairmanandChiefExecutive2019Greenburyreport（對高管薪酬進行管理）Disclosureofdirectorsremunerationandcompensationincompanyreports2019Hampelcommitteeandreport（要求公司制定內部控制體系保障股東利益）ReviewedtheCadburyCodeanditsimplementation,followeduponmattersarisingfromGreenburyreportAddressedtheroleofshareholdersandauditorsincorporategovernanceissues2019UKListingAuthorityCombinedCode14CodePrinciplesand45CodeprovisionsKeyprinciplerelatestoboard’smaintenanceofasoundsystemofinternalcontrolCodeprovisionreferencesriskmanagement2019TurnbullreportProvidesguidanceontheinternalcontrolandinternalauditprovisionsofthe2019CombinedCodeRiskbasedapproach一些英國的歷史….backgroundCompany’sinternalcontrolsystemshould:beembeddedwithinitsoperationsandnotbetreatedasaseparateexercisebeabletorespondtochangingriskswithinandoutsidethecompanyenableeachcompanytoapplyitinanappropriatemannerrelatedtoitskeyrisksRequirescompaniestoidentify,evaluateandmanagetheirsignificantrisksandtoassesstheeffectivenessoftherelatedinternalcontrolsystemBoarddirectorsaretoregularlyreviewandannuallyassessoninternalcontrols.TurnbullRequirementsbackgroundMay2019GSKBSCorporateMisstepsbackgroundMay2019GSKBSTheSarbanes-OxleyActprovidesacomparableruleintheUSManagementmustassessannuallytheinternalcontrolsandproceduresforfinancialreportingCEOmustcertifyquarterlyandannuallythatfinancialstatementsarefairlypresentedIndependentauditorsmustattesttoandreportonmanagement’sassessmentofinternalcontrols.塞班斯法案-Y2019

關于公司管理的匯報要求backgroundMay2019GSKBS公司的響應:內部的控制模式GSKRMoverviewMay2019GSKBS內部控制的要素控制的氛圍風險管理政策和規程信息和溝通監控FiveinterrelatedcomponentsMay2019GSKBS控制的氛圍風險管理政策和規程信息和溝通監控控制的氛圍人

正直誠信

職業道德

能力運營環境內部控制的要素May2019GSKBS控制的氛圍風險管理政策和規程信息和溝通監控政策、規程和標準公司

法律合規ITGMPGSKRMoverview內部控制的要素May2019GSKBS控制的氛圍風險管理政策和規程信息和溝通監控信息和溝通運營、財務和合規報告溝通流程教育和培訓內部控制的要素May2019GSKBS控制的氛圍風險管理政策和規程信息和溝通監控監控管理者審核審計內部控制的要素May2019GSKBSControlEnvironmentRiskManagementPoliciesandProceduresInformationandCommunicationMonitoring風險管理組織框架內部控制的要素May2019GSKBSPolicyExcerpts:PolicyHighlightsGSKPolicyPOL-GSK-500RiskManagementandLegalComplianceApprovedin2019GSKRMoverviewMay2019GSKBSPolicyExcerpts:PolicyHighlightsGSKPolicyPOL-GSK-500RiskManagementandLegalComplianceApprovedin2019GSKRMoverviewMay2019GSKBSPolicyExcerpts:PolicyHighlightsGSKPolicyPOL-GSK-500RiskManagementandLegalComplianceApprovedin2019GSKRMoverviewMay2019GSKBS風險管理的層次董事會審計委員會風險監管和合規委員會商業風險管理和合規組合規和風險管理團隊運營團隊監控和審核內部控制體系的有效性和充分性。包括合規控制和風險管理。匯報給董事識別所有重大風險.監控實施風險控制的有效性.確保為管理層的年度審核提供信息和報告

建立和實施重大風險審核流程，以及確保風險控制管理的有效性建立內部控制系統：

標準,政策,規章

流程.

提供建議和實施審計和調查識別評估潛在風險.消除、監控和報告風險確保重大風險通過內部管理框架被迅速溝通May2019GSKBS鼓勵新技術的應用資源和優化管理理解流程，例如驗證…建立面對審計的信心但不是為了幫偏離和缺陷找理由風險管理的好處May2019GSKBSMay2019GSKBS我們說了很多風險的背景來源、管理框架…..

那么

風險是什么?

如何識別風險?

如何管理風險?Thisiscute,but……May2019GSKBS風險：是能通過可能性和后果衡量的，一個事件發生后的可感知的后果。可能性：暴露在危險下的可能性。后果：一個事件的結果重大風險：給公司帶來重大影響的違法（規）風險，和財務、運營和合規的風險法律風險：有法規問題的風險（如：潛在的違法、違規，承擔潛在法律責任）風險的定義Whatisrisk?May2019GSKBS輕視風險不能完全消除風險應該被:降低改變接受控制風險不可能被:忽略風險無處不在風險定義May2019GSKBS預算運營計劃工廠戰略審核評估部門風險評估工廠風險TopDown更新計劃預算

實施計劃BCP工廠驗證主計劃風險清單優先級分類STP–重大風險風險記錄工廠戰略ISHIKAWA外部風險輸入過程輸出流程清單ISHIKAWA風險臺帳工廠戰略部門戰略STP–重大風險風險管理方式May2019GSKBS風險管理工具:工藝流程清單初步危害分析PreliminaryHazardAnalysis(PHA)HazardAnalysisofCriticalControlPoints(HACCP)HazardOperabilityAnalysis(HAZOP)Faulttreeanalysis(FTA)FailureModeEffectsandAnalysis(FMEA)FailureModeEffectsandcriticalityAnalysis(FMECA)RiskrankingandFilteringInformalriskmanagementMay2019GSKBSAreasforlikelyimpactNo.ProcessRiskNameDescriptionofPotentialRiskImpactFinanceSupplyEHSQAPeopleCICurrentControlMechanismsConsequence1-5Likelihood1-5RiskIndexValueDatelastreviewedEscalateToRiskOwnerRiskTreatmentConsequence

1-5Likelihood1-5RiskIndexValuePlannedRiskReductionACTION

STATUS/HISTORY風險管理流程圖風險識別風險評估消除評估修改和制定風險消除計劃實施計劃觸發審核和監控風險記錄清單格式May2019GSKBS1-風險識別(編號+流程+風險名稱+風險描述):通過魚骨圖對各個流程的風險進行系統識別:Numberingprinciple:Finance(No:startwith1,1.1,1.2,….)Supply(No:startwith2,2.1,2.2,….)QA(No:startwith3,3.1,3.2,….)EHS(No:startwith4,4.1,4.2,….)People(No:startwith5,5.1,5.2,….)CI(No:startwith6,6.1,6.2,….)Process:refertoprocesslist-level3影響可能性評估編號流程風險名稱風險描述影響后果財務供應EHSQA人員持續改進當前控制措施嚴重性1-5可能性1-5風險系數值更新日期上報風險所有者分險處理嚴重性

1-5可能性1-5風險系數值計劃風險系數值降到行動狀態、歷史風險管理流程圖風險識別風險評估消除評估修改和制定風險消除計劃實施計劃觸發審核和監控May2019GSKBS編號+流程+風險名稱+風險描述失去商業利益和長期生存能力合作者

環境政治TheftEarthquakeFloodDistributorsSuppliersContractorsFireSabotage社會、經濟政府機構InspectionsRegulatorsTaxesPopulationProfilePolicies,LawsPricecontrols商務

CompetitoractivityShiftincustomerPowerTechnologicalchangeAccidentalDisasteregcrash,environmental,lossofpowerlines,infrastructure….Epidemics外部風險JustforyourreferencesMay2019GSKBS編號+流程+風險名稱+風險描述領導力、戰略、聲譽

可能影響沒有增長失去聲譽訴訟

虧損銷售市場下降股東利益受損

無效率的管理模式業務發展無法滿足發展需要無效率的文化和工作氛圍失去聲譽、相關人失去信心PoorPRmanagementIrregularriskmanagementUncleardecisionmakingresponsibilities

LackofopennessQuality/Riskmanagementnotconsideredimportant

InsufficientactionandResolutionfollowupNoregulargovernancemeetings/agendasNo,wrongornotcommunicatedstrategy,vision

Noorwrongvolumeforecasts

NoexternalsensingofneedsPoorShadowoftheleaderNoconsistencyofmessageMissthebigpictureNoproactiveinvolvementWithstakeholdersDon’tkeepupwithNewrequirements/policiesPooremployeerelationships

Peoplesneedsnottakeintoaccount

Highstress/accidentsBlameculture–Issueshidden

Poorcommunication

Poormoralemotivation

Lackofmarketing’intelligence’ScopeforfutureBusinessopportunitiesnotconsidered

PoorReward/recognitionIEnotembeddedDon’twalkthetalkPoorfeedbackLackofaccountabilityActionsnotfollowedupPoorprocessmeasuresUnethicalpracticesAdverseeventFailuretomeetregulatorycomplianceMay2019GSKBS可能后果資產流失公司資源被誤用

壞帳1.3公司資產沒有很好管理1.1信息慢，不準1.2不合規PoorcreditcontrolchangesinbusinesslawchangesintaxlawAssetregister/managementLowliquidityDebtcollectionCorruptionFraudNonexistentemployees,suppliers.Deliveries,customers,expensesCustoms&exciseLongcashtocashcycleDataandinformationmaintenanceInaccurateprojectcostingPoorprojectcostcontrolBudgetprocess/controlForecastaccuracyLostsales-tendersCostsofmaterialsnotunderstoodbyusersPayroll/Pensions-contractorsSupportofbusinessDecisionmakingDivisionofdutiesUnderinsuredTheftorassetsusedfornonbusinessuse財務MonthlyclosingStocktakingaccuracy編號+流程+風險名稱+風險描述ShareserviceInventorycontrolShareserviceShareserviceMay2019供應－計劃CriticalParametersnotunderstood可能后果供應能力不能滿足需求物料、人無法完成生產計劃由于加班造成成本增加外包服務造成成本增加2.3供應、訂單能力沒有平衡，或不能滿足成本、服務要求2.1客戶要求沒有轉為生產指令2.2不清楚供應能力DemandnotlevelledBottlenecksnotidentified,managedLongleadtimesPlansnotbasedondemonstratedcapacitymaterialsHigh/lowinventoryForecastdemandnotVisible/highlyvariableLongleadtimesPatient,DoctorHospitalLogistics,Wholesaler,RetailerBrandstrategyPromotionsCSAsServicelevelsNotagreedDisruptive/UnsuccessfultendersInflexiblesupplyToohigh/lowContingencystocks/safetystocklevelsHighovertimeInaccurateBoMFinishedgoods,WIPWriteoffsStockoutsUnsupportedplansBOMrationalisationNoscenarioplanningSourcechanges(SUPPLIER)IncreasingcomplexityProductmixInsufficientcapacityHighutilisation編號+流程+風險名稱+風險描述可能后果

產品質量差造成返工、召回不合規造成不好的政府關系：產品收回、推遲批準.改進措施沒有效果造成成本提高.3.1產品質量和服務差

3.2不合規

PoorvalidationLowquality/highvariability ofmaterialDeviationfromSOPRework

Insufficientknowledge

Poorqualityculture/leadershipdoesnotputqualityfirstCriticaltoqualityparametersnotunderstoodEquipmentfailurePoormaterialsTrainingSOPnot‘inuse’

SOPsSpecs,MethodsToomanyOutofdatepoorInadequateresource

Specificationfailure3.3質量基礎流程SloworincorrectBatchreleaseSloworpoorCAPAsPoordocumentcontrolNonapprovalofnewproductAdverseauditsorinspectionsComplaintsRecallsFailedorwrongmaterialusedPPRs–poorqualitydoesnotimproveprocesscapabilityValidation-highcost/statusnotmaintainedUncontrolledchangestomaterial,process,equipmentProductnotmadeinlinewithfilingDeviationsnotrootcausedQMSinplace–notinuseSlowfeedbackwhenprocessMovingoutofcontrollimits質量編號+流程+風險名稱+風險描述May2019GSKBS環境EnergyusageUseofnon-sustainableresourcesNewlegislationegcarbontaxWastemanagementReduce,Reuse,recycle,WaterusageEmissionsAirWaterHazardousmaterialsinformationContaminationGroundwaterLandAsbestosPCBsRadiationOdoursNoiseFirewater….EnvironmentalaccidentsBiodiversityLandusageErosion,infringementofhistoricareas,WildlifeSafety

Accidents:-atwork,travellingAlcohol/drugabuse4.2&4.3健康安全Stress/PoorworklifebalanceHighAbsenceAbsenceprocessProtectiveclothingPoorErgonomicsandJobdesignEquipmentnotused/PoorPoorsafetyAuditprocessPoor5S/housekeepingHighSoundlevelsPoorLightingAirqualityInfectiousdiseaseFlu

Insufficientknowledge

PoorEHSculture/leadershipdoesnotputEHSaspriority

SOPsSpecs,MethodsInadequateresourceAdverseauditsorinspectionsToomanyOutofdatepoor4.1不合規EHS可能后果

工傷事故不合規造成不好的政府關系編號+流程+風險名稱+風險描述May2019GSKBS為了進行風險識別，應有風險臺帳來更好幫助風險記錄清單的更新流程其中所有可能導致潛在細微風險的危害都應記錄.May2019GSKBS風險評估:收集相關歷史數據＋當前控制評估可能后果和可能的發生頻率評估風險重要性和優先性風險管理流程圖風險識別風險評估消除評估修改和制定風險消除計劃實施計劃觸發審核和監控影響可能性評估編號流程風險名稱風險描述影響后果財務供應EHSQA人員持續改進當前控制措施嚴重性1-5可能性1-5風險系數值更新日期上報風險所有者分險處理嚴重性

1-5可能性1-5風險系數值計劃風險系數值降到行動狀態、歷史May2019GSKBS后果嚴重性評估-財務:potentialconsequences當同一風險造成不同的后果，選高分May2019GSKBSpotentialconsequencesWhenoneriskhasdifferentlevelsconsequences,goforthehigherone后果嚴重性評估-供應:May2019GSKBSpotentialconsequencesWhenoneriskhasdifferentlevelsconsequences,goforthehigherone后果嚴重性評估-質量:May2019GSKBSpotentialconsequencesWhenoneriskhasdifferentlevelsconsequences,goforthehigherone后果嚴重性評估-人員May2019GSKBSprobabilityofoccurrence可能性評估May2019GSKBSRiskindexvalue風險系數值優先性高(Red):riskindexvalueinrange10-25+catastrophicrisks中度優先(Amber):riskindexvalueinrange5-9低優先(Green):riskindexvalueinrange1-4

后果嚴重性風險系數值= x

發生后果可能性Escalation向上匯報:2級-工廠級別和工廠以上級別渠道:從部門向工廠匯報：每月管理會從工廠向總部匯報：月報和風險報告風險匯報消除評估+修改和制定風險消除計劃:影響可能性評估編號流程風險名稱風險描述影響后果財務供應EHSQA人員持續改進當前控制措施嚴重性1-5可能性1-5風險系數值更新日期上報風險所有者分險處理嚴重性

1-5可能性1-5風險系數值計劃風險系數值降到行動狀態、歷史風險管理流程圖風險識別風險評估消除評估修改和制定風險消除計劃實施計劃觸發審核和監控紅色風險必須有風險消除計劃，目的至少是將風險由紅色降為黃色黃色風險必須有風險消除計劃，目的至少是將風險由黃色降為綠色綠色風險不用有進一步的整改行動，但必須記錄，并且下一輪風險評估時重新評估到.

如何風險后果達到嚴重程度（5分），盡管可能性為罕見，必要在《持續運營計劃》中考慮消除評估+修改和制定風險消除計劃:May2019GSKBS指定專人負責(accountable)重要風險(redandamber)必須是部門負責人重大風險必須準備STP-每月在部門會議上評估然后，重新評估風險系數值(Consequence,Likelihood,RiskIndexValue)日期題目形勢目標建議狀態GivereasonforescalationEnsureSTPisstandalone(i.e.itmakessenseonitsown)Specifywhattheissue/opportunityisSpecifytheriskofdoingnothingSpecifywhatyouwanttoachieveSpecifyhowyouwillmeasurethatyouhaveachieveditEstimateanticipatedbenefitsDefinewhatwillbedone,bywhom,andbywhenEstimatecostsandresourcesrequiredSpecifythescopeoftheproposalandimpactSpecifywhatagreement/supportfromimpactedgroupsisneededorobtained原因Reason:問題Issue/可能性Opportunity:如果什么都不做風險是什么Riskofdoingnothing:目的Toachieve:衡量Measure:利益Benefits:什么What:誰Who:何時When:成本資源Costsandresources:范圍和影響Scopeandimpact:Agreement/supportfromimpactedgroups:消除評估+修改和制定風險消除計劃:實施計劃通過項目管理的方式對風險消除行動計劃進行管理依據計劃對進展進行監控和審核CAPA監控系統風險管理流程圖風險識別風險評估消除評估修改和制定風險消除計劃實施計劃觸發審核和監控內部觸發外部觸發公司內部審計發現的不符合項新法規、新藥典來自產品事故審核委員會的要求來自于供應商、分銷商的變更（組織結果，所有者，財務，質量法規）新產品，包括：新文號的申請政府檢查的重要不符合項技術轉移公眾觀念的變化組織結構變更新技術出現定期產品回顧中的重大發現召回和重大產品事故的原因分析重大投資新廠房、擴建供應鏈變更，分銷商、供應商風險管理流程圖風險識別風險評估消除評估修改和制定風險消除計劃實施計劃觸發審核和監控當任何觸發點出現，必須馬上更新風險記錄清單(riskregister)觸發點-重要變更May2019GSKBS組織/人員Organization/People流程Process流程描述ProcessDescription

ProcessSOPTrainingKPIRiskRespMaterial職責描述JobDescriptions人員目標PeopleObjectives變更Change[QA027]原因Trigger

(項目Project,偏差Deviation,

審計發現Auditfinding,市場需求MarketRequest,數據分析KPIAnalysis,新機器Newmachine,…)分類Classification(R1,R2,Eng,Doc…)做Go/不做NoGo展開Roll-out結束Closure變更Change[沒有SOPnoSOP]原因Trigger

重組Re-organization