质量风险
编号:CD-FK043 2018-03-20发布2018-03-30实施
目录
前言.............................................................................................. II
1 定义及范围 (1)
2 风险管理原则 (1)
3 风险评估 (2)
3.1 风险识别 (2)
3.2 风险分析 (4)
3.3 风险评价 (4)
4 风险管理三道防线 (5)
4.1 第一道防线—业务部门 (5)
4.1.1 建立质量风险管理环境 (5)
4.1.2 质量风险评估 (6)
4.1.3 质量风险监测 (6)
4.2 第二道防线—风险管理部门 (7)
4.3 第三道防线—审计部门 (7)
4.4 三道防线的协作 (8)
附录一:成都中车长客质量风险清单(参考) (9)
前言
为指导和规范公司开展质量风险管理,特制定本指引。本指引提出质量风险管理的原则、内容、流程,以及各个相关部门在风险管理中应承担的职责。指引的附件提出质量风险清单和评估模型,可供各单位开展质量风险辨识和评估时参考,各单位可以根据具体项目在此清单基础上进行补充完善。
本指引由XXX风险部提出并负责解释、修订。
各单位在实施质量风险管理时,应按照本指引的要求开展全过程的风险管理。风险管理和审计部门可根据此指引对质量风险管理遵循情况进行评估。
本指引主要起草人:。
终审:。
本指引为首次发布。
1 定义及范围
本指引按照国家标准化委员会发布《中华人民共和国国家标准:风险管理-原则与实施指南》、国资委颁布《中央企业全面风险管理指引》、《XXX全面风险管理工作规定》以及股份公司相关规定制订。
本指引提供了各公司实施质量风险管理的指导性文件,可指导公司从最初的产品研究、生产、市场销售一直到最终从市场消失的全部过程中,对风险的识别、分析以及评价的风险管理。
本指引所指“质量风险”是指因为种种可预期或不可预期的因素导致产品质量下降而造成成本升高或产品不被客户接受的可能性。质量风险管理内容主要是指质量研发过程质量风险、工艺过程质量风险、制造过程质量风险、采购过程质量风险和售后服务过程质量风险等五个阶段的风险,各相关部门根据职责实施风险管控工作。本指引所指的“三道防线”是指从业务层面、风险管理层面、内部审计层面分别对质量风险进行分层防控,全面实施风险管控的过程。
2 风险管理原则
(1)以企业战略目标为导向的原则
质量风险管理目的在于促进企业战略目标的实现。在风险评估和应对等活动中应充分考虑风险与战略目标之间的相互关系、影响等因素。
(2)融入企业管理过程和活动过程的原则
质量风险管理发生于公司管理的各项活动,其识别、分析、评
价和应对都不可能脱离管理过程,风险管理必须融入管理过程,成为其有机组成部分。
(3)纳入决策过程的原则
企业所有决策都应综合考虑风险,质量风险管理旨在将风险控
制在企业可接受的范围内,有助于判断风险应对是否充分、有效,有助于决定行动优先顺序选择可行方案,从而帮助决策者做出
合理的决策。
(4)广泛参与、全过程开展的原则
质量风险管理产生于管理活动的各个环节,因此需要所有员工
参与并承担相关责任。各方人员分工负责,以形成风险管理的
长效机制。
(5)持续改进的原则
质量风险管理是适应环境变化的动态过程,其各步骤之间形成
一个循环往复的闭环。随着内外部环境的变化,风险也在不断
发生变化,应该持续不断地对各种变化保持敏感并做出恰当反应。
(6)应用系统化、结构化的方法
系统化、结构化的方法有助于风险管理效率的提升,并产生统
一可比的结果。
(7)以信息为基础
质量风险管理要以有效的信息为基础,这些信息可以通过经验、反馈、观察、预测专家判断等多种渠道获取,但使用时要考虑数据、模型和专家意见的局限性。
3 风险评估
3.1 风险识别
根据《XXX风险管理操作指南第2号—风险评估》,质量风险属于运营类风险。其项下包括7个三级风险和37个四级风险。根据此项分类,各公司在识别质量风险时,可以参考以下风险识别框架和风险清单:
(1)内部环境风险
具.表.为:公司建立公司质量管理的内部控制和风险管理时,首先要明确公司质量管理的内部环境,并收集和分析这些内部环境信息,否则会影响企业产品质量的稳定性。该风险主要包括制度体系风险和特殊员工培训风险。企业内部环境风险的产生原因(风险动因)主要包括以下方面:
管理层对产品质量风险的不够重视;
缺乏适宜的质量管理文化,员工缺乏质量风险意识;
缺乏明晰、科学的质量管理组织结构;
缺乏清晰的质量管理方针、目标以及完善的质量管理规章制度;或方针目标及制度不符合企业战略目标;如:监督检查机制,如质量管理人员
对与产品质量、环境、职业安全健康有直接关系的特殊工作人员未按国家规定及相应认证体系标准进行培训并取得相关资质;
缺乏清晰完善的质量风险管理政策及方案。
(2)投标管理风险
具体表现为:未能结合公司设计、工艺、人员和设备资源配臵、质量保证
措施、生产能力状况等进行投标分析,确定投标价格及价格浮动底线,可能造成产品质量或服务质量不符合顾客标准,顾客要求得不到满足。
(3)产品设计和开发风险
具体表现为:在设计和开发过程中,因设计和开发差错未能确定产品实现所需过程、文件和资源,以及产品实现所需的验证、确认、监视、测量、检验和试验活动、产品接收准则以及所需的记录,不能实现预防为主、持续改进、不断提高产品设计和开发质量,从而降低公司产品质量。该风险主要包括6 个三级风险:新产品试验验证风险、设计验证跟踪风险、产品设计确认风险、设计和开发评审风险、重大设计变更风险、RAMS管理风险。
(4)工艺策划和验证风险
具体表现为:在产品工艺策划阶段,因缺乏对新产品设计图样和技术文件进行工艺准备策划,缺乏对引起工艺有重大变化的
产品组织工艺验证并对技术条款、规范的逐条响应及图样进行工艺性审查,未予合理评审影响工艺、工期、设计、产品质量以及安全环保方面的关键环节等,造成公司产品发生质量问题。该风险主要包括5个三级风险:工艺方案评审风险、工艺策划风险、工艺审查风险、工艺验证风险、工艺变更风险。
(5)采购管理风险
具体表现为:在采购和委外加工阶段,未对供应商的推荐、评定、审核以及对其提供产品的验收,缺乏工艺能力和工艺水平审查等管理活动,造成外购件或外协件达不到质量要求或生产能力不足,影响生产进度和整机产品质量。该风险包括11个三级风险:供应商资质风险、合同谈判风险、供应商研发过程质量控制风险、供应商制造过程质量控制风险、供方首件鉴定风险、进货放行检验风险、进厂检验风险、供应商现场监造风险、供应商业绩评价风险、重大质量问题风险、物资保管风险。(6)生产过程控制风险
具体表现为:指未依据开发工艺部门提供的产品规范和图纸、材料信息、生产流程图、作业指导书等,未对产品制造过程进行策划并在受控条件下开展产品生产,未对产品生产进行现场控制及过程检验,在、产成品验收不合格。该风险包括7个三级风险:产品首件鉴定风险、工艺纪律检查风险、制造过程质量控制风险、生产异常处臵风险、现场监督检验风险、特殊过程控制风险、不符合过程控制风险。
(7)售后服务风险
具体表现为:未能为客户产品提供技术支持,及时有效的为客户解决产品故障,恢复产品运行,降低产品的故障率,提高产品的可用性,确保产品运营品质。该风险主要包括2个三级风险:备品备件储备风险、售后服务工作验证风险。
3.2 风险分析
质量风险分析是指对质量风险的各项属性特征进行定性、定量的分析,为风险的评价和应对提供支持。业务部门可通过问卷调查、访谈和头脑风暴法及历史数据分析和资料研究、标杆对照,进行质量风险分析并形成质量风险事件清单(参见附件1),并对风险事件的各项属性特征的分析判断,包括对实现目标影响程度、发生可能性、现有应对措施、事件之间的相互影响等,整理、分析、判断各风险的属性特征和管理现状。
根据风险分析的目的、可获得的信息数据和资源,风险分析可以有不同的详细程度,可以是定性的、定量的分析,也可以是这些分析的组合。一般情况下,首先采用定性分析,以初步评定风险等级,揭示主要风险。在可能和适当的时候,要进一步进行更具体和定量的风险分析。
具体风险分析方法详见《XXX风险管理指南第2号—风险评估》XXX。
3.3 风险评价
对识别出的每一个公司质量管理风险事件进行风险分析和风险评价,均可获得相应的风险等级。采取绘制风险图谱等手段进行风险评价,对各项风险进行比较,确定各项风险的重要性特征和管理优先顺序。公司质量管理风险评价的结果应满足公司质量管理风险应对的需要,否则,应做进一步分析。有时,根据已经制定的公司质量管理风险准则,公司质量管理风险评价使公司做出维持现有的公司质量管理风险应对措施,不采取其他新的措施的决定。
具体风险评价方法详见《XXX风险管理指南第2号—风险评估》XXX。
4 风险管理三道防线
4.1 第一道防线—业务部门
质量管理业务部门是质量风险管理的第一责任单位,应对企业日常生产经营过程中产生的风险进行系统化的分析、评价、检测和管控。业务部门在质量风险管理中需承担的主要工作包括:建立质量风险管理环境(质量管理文化、制定企业质量方针、目标及各项规章制度、明确质量管理机构和岗位职责、了解企业战略目标及可能影响企业达标的风险)、识别风险类别,对相关风险做出评估;制定转移、避免或减低风险的策略;设计风险实施风险策略的相关内部控制。
4.1.1 建立质量风险管理环境
(1)质量风险文化。建立适当的质量风险文化对于质量风险管理十分重要,企业应建立全员风险质量管理文化,宣传“质量是企业的生命”、培养树立全员质量管理和质量风险意识。(2)质量管理机构和岗位职责。建立有公司总经理负责制,设立质量管理部为归口管理业务部门,营销、研发、技术、生产、质量、财务、法律、人力资源、风险管理等为关联管理业务部门,并明确其职责与权限。
(3)质量方针、目标及管理体系文件。建立适合企业的明晰的质量方针、技术安全方针和质量目标,建立健全的质量管理体系文件。如:质量管理手册、公司质量风险管理政策及方案;(4)员工胜任能力。员工专业胜任能力、员工及管理层职业操守、员工培训等人力资源因素与良好的产品质量至关重要。如:员工是否具备上岗资质、质量标准及要求是否及时传递至操作人员并得到执行;是否对员工进行有目的质量培训,不断增强操作技能等;
(5)监督检查机制。质量管理人员的监督检查、操作人员的自检互检、常规检查及专项检查等。
4.1.2 质量风险评估
风险管理部门应根据本企业战略目标和经营管理情况建立适合本企业的质量风险评估模型。各业务部门应根据评估模型,按照风险评估的方法(上述3)开展质量风险分析并评估。质量风
险分析也可结合公司绩效考核指标确定。适用的指标包括并不限于:
与合同评审风险有关的指标:合同评审率。
与设计(工艺)开发风险有关的指标:设计开发计划执行符合率、变更执行率、设计开发验证通过率。
与采购管理风险有关的指标:供方及时交货率、供方批次交货合格率、供方首件鉴定通过率、材料入库交检合格率。
与质量损失有关的指标:质量损失率。
与质量事故有关的指标:D类以上事故发生率、重大质量投诉次数、用户经济处罚次数、批量事故发生率。
4.1.3 质量风险监测
(1)质量管理风险自评
质量管理业务部门应定期对质量管理情况进行自评,至少每年一次,可以结合风险、内控部门组织的内部控制评价和风险管理评估工作来实施,也可以按照《质量风险清单及评估模型》中的风险点开展自评价,自评内容包括并不局限以下内容:
投标前是否经相关部门进行投标评审?公司是否具备履行合同的能力?所有顾客要求是否得到充分的识别与沟通,已经形成一致的理解?
质量管理体系制度、文件是否清晰、健全和完善?
员工上岗资质及技能培训是否充分?管理人员是否履职到位?
产品设计开发过程及工艺策划验证是否充分、完善?
供应商质量管理是否充分?
生产过程的质量管理充分?
是否建立产品运用维保服务快速反应机制和用户走访机制?
是否建立健全的质量检查监督机制和质量问题处理机制? 是否具备足够的质量监视和测量设备等资源?
是否进行质量信息管理和质量成本管理?
通过风险自评,给业务管理部门应提交信用管理风险报告,分析评估信用管理中存在的风险点和内控缺陷点,并提出改进措施。
(2)质量风险预警
质量管理业务部门应按照《质量风险评估模型》,定期实施质量风险评估,并根据评估结果实施预警,提交质量预警报告。预警方法和过程可参考《中车风险管理操作指南第4号—风险预警》。预警报告预测重要及以上风险发生可能给本企业带来的损失及连带风险以及应对措施。对于重大风险,应及时向风险管理部门反映,向管理层报告,以便采取防范措施,防止严重后果的出现。
4.2 第二道防线—风险管理部门
风险管理部门是风险管理的第二道防线,主要承担四项工作:建立全面风险管理框架;协助业务部门履行好管理风险的责任;组织跨部门的全面风险评估、风险监测、风险应对;协助业务部门开发各种风险管理工具。在质量风险管理领域,风险管理部门应履行以下职责:
协助管理层和业务部门培育质量管理文化;
协助业务部门建立质量风险管理制度和流程;
协助业务部门开发质量风险分析模型、风险预警指标、信息系统等;
协助业务部门开展质量风险识别、分析、评价、应对工作; 组织全面风险管理评估,并将质量风险管理纳入公司全面风险管理范畴;
根据质量风险管理情况,提出运营类风险和公司总体风险评估结论。
4.3 第三道防线—审计部门
审计部门是风险管理的第三道防线,是企业内部相对独立、客观的审查和咨询业务单位,通过系统的方法评价和改进企业的风险管理、控制和治理流程效益,帮助企业实现经营目标。在质量风险管理领域,审计部门应履行以下职责:
实施质量管理的内部控制审计和风险管理审计;
检查业务部门和风险管理部门提交的质量风险自评报告;
检查监督业务部门质量管理制度建设和执行情况;
检查监督业务部门对质量风险的识别、分析和评估情况;
检查监督质量风险应对和预警情况;
督促审计建议、风险应对措施落实整改情况;
向管理层报告质量风险管理情况。
4.4 三道防线的协作
“三道防线”是一个前、中、后分离和制约的风险管理机制,各部门之间应建立相互的协调与合作关系,发挥系统协调作用,确保风险管理系统有效。各部门之间应通过以下工作进行协调: 第一道防线质量管理业务部门,是质量风险管理的第一责任人,应通过自我评估、自我检查、自我整改,对质量风险进行自我识别、评估和控制,实现自我监督。质量管理业务部门应主动加强与风险、审计部门的沟通,定期报送相关材料,在质量管理建设的过程中主动邀请风险、审计部门参与,积极配合风险及审计部门的评估与检查工作,提高质量管理的质量。
第二道防线风险管理部门,不能替代一道防线,而是对第一道防线实施检查、监督和指导,确保一道防线内部控制的有效性,同时为三道防线开展再检查、再监督和内部控制评价提供基础。风险管理部门应加强与质量管理部门的沟通,积极参与
质量管理建设过程的风险评估与监控,协助质量管理业务部门
做好质量风险评估、应对。
第三道防线审计部门,是对整个质量风险管控过程进行监督,是风险内部控制体系的重要保障手段。审计部门应积极开展对
质量管理建设的监督工作,对重要的项目,应尽可能做到过程
监督,不定期出具管理建议书,促进质量管理的规范。
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
信息科技风险管理办法 第一章总则 第一条为有效防范运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我行各项业务安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。 第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第三条本管理办法所称信息科技风险,是指信息科技在我行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第四条信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章机构职责 第五条根据我行信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
1.目的: 为保证公司能适当的应对质量风险,提高质量风险应对的效率和效果,增强行动 的合理性,有效的配置资源——利用有限的资源,最大化的减小风险,特制定本 规程。本规程规定了药品质量风险管理的原理、过程、工具及其应用范围。 2.范围: 本标准适用于公司所有药品生命周期内的质量风险管理的全过程。 3.责任: 质管科长、质量受权人、公司各相关职能部门对本规程的实施负责。
4.内容: 4.1 质量风险管理流程图 不 可 接 受沟通
4.1术语: ◆质量风险管理:是在整个产品生命周期中采用前瞻或回顾的方式,对质量风险进行评估、控制、沟通、审核的系统程序。 ◆产品生命周期:产品从最初的研发、上市直至退市的所有阶段。 4.2 风险管理的组织机构和职责 ◆风险管理通常需要组建一个多学科的团队开展,鉴于风险管理的这一特殊要求,为了更好的开展风险管理活动,应成立风险管理的相应评估小组。 ◆风险管理项目组长由总经理指定,负责组建风险管理项目小组,领导开展具体的风险管理项目。 ◆风险管理项目成员由风险管理项目组长挑选相应人员组成5-7人的团队,团队成员必须包括QA人员,必要时还应包括岗位操作人员,负责开展具体的风险管理项目活动。 ◆公司管理层确保质量风险管理程序的正常运行;协调跨职能跨部门的质量风险管理程序;支持团队合作。 ◆质量受权人任风险管理项目组长,根据风险评估小组的总评意见,批准风险评估报告。 4.3 风险管理实施的内容 ◆有关术语 ●风险:不确定因素对目标的影响,通常表现为危害发生的可能性及其危害程度的综合体。 ●风险管理:即系统的应用管理方针、程序实现对目标任务的风险分析、评价和控制。 ●药品质量风险管理(QRM):是指企业实现确定目标的过程中(进行产品研发、生产、销售和使用等生命周期环节),系统科学地将各种不确
保利建设集团有限公司全面风险管理手册 二0一三年十二月
第一章总则 1.1编制目的 本手册作为保利建设集团有限公司(以下简称“公司”)开展全面风险管理工作的指导性文件,旨在通过建立并运行系统的风险管理机制(即全面风险管理体系),提升公司风险管理水平,有效防范、化解,并合理承担或利用所面临的风险,简化管理行为、整合管理资源、降低管理成本、提高管理效率的目的,在公司管理各项系统进行有效整合促进公司持续、健康、稳定发展,为公司实现既定目标提供充分的保障。 1.2依据 国资委《中央企业全面风险管理指引》 《国资委2013年度中央企业全面风险管理报告(模板)》、 财政部等五部委《企业内部控制基本规范》(财会[2008]7 号)
财政部等五部委《企业内部控制配套指引》(财会[2010]11 号)《中国保利公司全面风险管理手册》 GB/T 2453-2009《风险管理原则与实施指南》;ISO31000:2009《风险管理原则和指导方针》 GB/T19001-2008/ISO9001:2008 质量管理体系;GB/T50430 工程建设施工企业质量管理规范;GB/T50380:2006 工程建设设计企业质量管理规范 GB/T24001-2004/ISO14001:2004 环境管理体系 OHSMS18000;GB/T28001-2011:职业健康安全管理体系 1.3适用范围 本手册适用于公司范围内,所有人员应当遵循手册要求,开展全面风险管理工作。 本手册对控股子公司具有指导意义,各控股子公司应根据本手册的基本框架,结合自身特点参照实施,开展全面风险管理工作。1.4手册的颁布 本手册于2013年月经公司董事会审议批准后颁布,自颁布之日起生效。
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
编号:SY-AQ-04294 ( 安全管理) 单位:_____________________ 审批:_____________________ 日期:_____________________ WORD文档/ A4打印/ 可编辑 药品经营的质量风险管理规程Regulations on quality risk management of pharmaceutical trade
药品经营的质量风险管理规程 导语:进行安全管理的目的是预防、消灭事故,防止或消除事故伤害,保护劳动者的安全与健康。在安全管 理的四项主要内容中,虽然都是为了达到安全管理的目的,但是对生产因素状态的控制,与安全管理目的关 系更直接,显得更为突出。 一、目的:为规范各经营环节质量风险的评估与控制管理。 二、依据:《药品经营质量管理规范》。 三、范围:适用于质量管理体系中所有经营环节质量风险的管理。 四、职责:质量负责人对本规程的实施负责。 五、内容: 1、成立风险管理小组 公司质量领导小组全面负责公司药品经营质量风险管理工作,由质量负责人主持质量风险管理的日常工作,成员包括各部门经理。质量管理部负责组织各部门对各经营环节质量风险的识别、评估与控制。 2、风险识别 各部门负责人依据GSP相关要求,结合部门经营环节的有关风
险,对可能存在的质量风险因素进行收集整理,填写《质量风险排查表》,报风险管理小组。 3、风险评估 风险管理小组召集与风险相关的部门、人员,依据《质量风险排查表》,对已经被识别的风险进行分析、评价,确定风险等级,确认出现问题的可能性、可识别性以及后果的严重性等,由质量管理部汇总形成《质量风险点列表》。 4、风险控制 4.1、各部门依据风险评估结果制定相应的预防、控制措施,对已经确定的风险点,使其降低或控制到可以接受的水平; 4.2、各部门负责人和质量管理部共同对风险控制措施进行审核、验证,确认能否将风险降低到可接受的水平上,如若不能则应该重新评估、确立防控措施。 5、风险沟通 各部门在实施风险控制措施的过程中,积极与相关部门人员进行沟通与信息交流,促进风险管理的有效实施,及时处理在实施过
全面风险管理体系指引 目录 第一章总则 第二章风险管理组织体系 第三章风险信息的收集和识别 第四章风险评估 第五章风险应对 第六章内部控制管理 第七章全面风险风险管理信息系统 第八章风险管理文化 第九章全面风险管理考核与责任追究 第十章附则
第一章总则 第一条为指导集团各中心及各分子公司落实《天明全面风险管理制度》,实施开展集团全面风险管理工作,增强企业竞争力,提高投资回 报,促进企业持续、健康、稳健发展,根据《中国人民共和国公 司法》、《全面风险管理制度》等相关法律法规,制定本指引 第二条集团各中心及分子公司根据自身情况贯彻执行本指引。由集团决策委员会负责督导本指引的实施 第三条本指引所称的企业风险,是指未来的内外部不确定性对企业实现经营目标的影响 第四条本指引所称呼的集团为XXXXX集团有限责任公司 第五条本指引所称的全面风险管理,是指集团围绕总体战略经营目标,通过在各个管理环节和日常经营过程中执行风险管理的基本流 程;培育良好的风险管理文化;建立健全全面风险管理体系 第六条本指引所称的风险管理基本流程指: 1收集风险管理的初始信息 2对风险信息的识别 3进行风险评估 4制定风险管理策略 5提出和实施风险管理解决方案 6风险管理的监督和改进 第七条本指引所称的内部控制系统,是指根据风险管理策略目标以及集团相关规定,针对集团战略、投融资、财务、审计监察、法律事 务、人力资源、招采、加工制造、销售、物流、质量、安全生产、 环境保护等各项业务管理及其重要业务流程,以及其他外部可能 影响企业的因素等,通过执行风险管理基本流程,制定并执行的 规章制度、程序和措施 第八条集团开展全面风险管理要实现的风险管理目标如下: 1确保将风险控制在与总体目标相适应并可承受的范围内 2确保企业内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告确保遵守
附件:信息科技风险管理分类应对策略 根据信息科技风险分类情况,以二级风险为限,制定信息科技风险分类应对策略如下: A1.信息科技治理风险应对策略 信息科技治理风险包括三个二级风险:信息科技组织风险、道德文化风险以及人员管理风险。每个二级风险的内容和应对策 略如下: 风险 编号 风险名称风险描述风险应对策略 1.1信息科技组织 在信息科技风险管理机构及专建立完善的信息科技治理架构。以法风险业委员会设置、履职等方面的定代表人为第一责任人,囊括理事 不确定因素,以及在部门/岗位 会、监事会、风险管理委员会、信息 设置、职责划分、垂直归口管 科技风险管理委员会、信息科技部、理等方面的不确定因素所带来 稽核审计部、风险管理部、人力资源的影响。 部、监察部等部门。明确各部门在信 息科技风险管理工作中的职责; 每个部门根据在信息科技风险管 理中的职责设立相应的岗位,合理 分配相应的责、权、利,执行信息 科技风险管理工作; 省联社各部门应指导、监督办事 处、各县级农村合作金融机构相应 部门的信息科技风险管理工作。 1.2道德文化风险在文化培育、融合、再造等过 在建立道德、诚信、公正的氛围,对 程中的不确定因素,以及员工 员工进行相关的培训,作为员工日常 在价值观认同、行为规范遵循 工作的行为准则之一; 等方面的不确定因素所带来的影响。建立畅通的沟通渠道,任何与陕西省农村合作金融机构道德文化标 准的偏离都得到及时和充分的反映,并被立即调查和纠正。 1.3人员管理风险在从人员聘用到离职整个服务 建立完善的人员招聘、培训、考核、 期间内的不确定因素所带来的激励、离职等制度和流程,并确保得 影响。 到有效执行; 加强信息科技风险管理专业人员 配备,提高信息科技风险管理水 平;
的质量问题并采取处理措施或当产品出现质量问题时改善处理问题的决策过程,确保产品整个生命周期中的质量,以保证产品质量和增强公司处理潜在风险的能力。 应用范围:适用于药品质量各方面,包括药品生命周期中的研发、注册/评审、生产、检验、放行、销售等过程。 责任人:质量受权人负责本规程的批准;质量保证部负责本规程的起草、修订、审核、培训、实施和监督;生产技术部、设备动力部、营销部负责本规程的执行。 内容 1 定义 1.1 产品生命周期:产品从最初的研发到销售,直至最终停产的所有阶段。 1.2 危害源:产生危害的潜在来源。 1.3 风险:危害发生的可能性及其严重程度。 1.4 决策者:有能力和职权在质量风险管理中做出适当和及时决策的人。 1.5 风险评估:规定风险评估过程和程序,概述风险识别、风险分析的过程,以确定风险等级和需制定应对措施的风险。 1.6 风险鉴定:根据风险提问或问题的描述,系统地使用信息来鉴定潜在危害源。 1.7 风险分析:和被确定的危害源有关的风险的分析。 1.8 风险评价:用定性或定量的方法,将被评估的风险与既定的风险标准进行比较,以确定风险的显著性。 1.9 风险控制:实施风险管理决策的行为。 1.10 风险降低:采取措施减少危害发生的可能性和严重程度。 1.11 风险认可:接受风险的决策。 1.12 质量风险管理:贯穿产品生命周期的药品质量风险的评估、控制、交流及回顾的系统化过程。 2 程序 2.1 质量风险管理的原则: 质量风险评估的最终目的在于保护患者的利益。质量风险管理是一种以科学为基础,并且切合实际的决策过程,其严密和正规程度与涉及问题的复杂性和关键性相适应。 2.1.1 组织及人员: 质量风险管理工作小组的成员包括风险管理涉及的相关部门的负责人和专业人员以及公司领导。此外,还可以包括外请相关领域的专家(例如:研发、工程、生产、销售等)。由启动质量风险评估事件的部门负责人决定小组成员,决策者为质量受权人,风险评估涉及重大的财产投资时,决策者为公司总经理。 2.1.2 基本过程:风险管理流程分为五个部分:风险评估、风险控制、风险交流、风险评审和风险回顾。 2.2 风险管理流程 2.2.1 风险评估:
第 1 页 共 7 页 工艺质量风险评估标准操作规程 文件编码 Copy № 起草: 日期: 审核: 日期: 批准: 日期: 执行确认: 日期: 变更内容 修订号 修订原因与内容 执行日期 00 新建
1 主题内容 建立风险评估标准操作规程对可能影响到最终产品质量的风险因素进行风险识别、风险分析、风险评价及控制,保证最终的产品质量。指导公司规避质量事故或药害事件的发生,规范产品生产质量风险点的评估、控制及审核操作行为,从而降低药品的质量风险。 2 适用范围 适用于xxxx公司所有产品的风险评估。 3 职责 风险评估机构 风险评估管理小组 人员职责 质量受权人 主要负责风险管理过程中的决策和计划,批准质量风险评估 的启动,评估报告的评估批准。 质量部长 负责组织进行质量风险评估、控制与审核协调、管理等相关 事宜 各部门负责人 各部门主要负责日常对本部门的风险的识别和上报,涉及到 项目时对涉及到的项目进行风险预评估,参与公司其他部门 的与本部门相关的风险评估活动。 执行小组风险管理专员 负责本公司风险评估工作的组织和协调,召集风险评估会 议,审核存档风险文件 风险评估人员 具体负责对风险的评估,日常的风险识别、风险分析、风险 评价和制定风险控制措施,起草本公司的风险评估报告。 4 工艺质量风险评估的流程 1)列出工艺流程,并将工艺分解成单元操作,从人、机、物、法、环的角度识别单元操作中可能存在的污染、交叉污染、混淆、差错、质量不合格和违背GMP和SOP规定等质量风险,并按其对质量的影响程度进行初步分类。 2)列出生产过程中的工艺参数,根据历史数据、生产经验或科学判断其对质量的影响程度。3)对2)中筛选出的对质量影响程度高和中的参数进行质量风险评估。 5 风险评估内容 5.1 风险评估流程一般包括风险识别(Risk Identification),风险分析(Risk Analysis)和 风险评价(Risk Evaluation)三个部分,即:
中国国有集团公司全面风险管理办法(试行) 第一章总则 第一条为加强中国国有集团公司(以下简称集团公司)全面风险管理和内部控制体系建设,提高风险管理水平,增强抗风险能力,促进集团公司持续、健康、稳定发展,根据国务院国资委《中央企业全面风险管理指引》、财政部《企业内部控制基本规范》等规范性文件,结合集团公司实际情况,制定本办法。 第二条本办法适用于集团公司、分支机构、区域公司、产业公司和基层企业(以下统称“企业”)的全面风险管理工作。 第三条本办法所称风险,是指未来的不确定性对企业实现其经营发展目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等五大类。 第四条本办法所称全面风险管理包括内部控制体系建设的工作,具体是指企业围绕总体经营发展目标,在管理的各环节和经营过程中执行风险管理基本流程,建立健全全面风险管理体系(包括组织机构、制度流程和方法技术等),
培育良好的风险管理文化,从而为实现风险管理总体目标提供合理保证的过程和方法。 第五条风险管理基本流程主要包括以下工作: (一)风险初始信息收集; (二)风险识别; (三)风险评估; (四)风险应对; (五)风险管理的监督与改进。 第六条企业开展全面风险管理要努力实现以下风险管理总体目标: (一)确保将风险控制在与企业总体经营发展目标相适应并可承受的范围内,促进企业实现战略目标; (二)确保企业实现内外部真实、可靠和有效的信息沟通; (三)确保遵守有关法律法规,履行相应的社会责任; (四)确保经营管理的有效性,提高经营活动的效率和效果; (五)确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。 第七条风险管理是企业的基础管理工作和日常经营管理活动的重要内容。企业开展全面风险管理应与其他职能管
********商业银行行股份有限公司********银行信息科技风险专项自查报告 ************中心: 为认真贯彻《关于开展2019年度信息科技风险专项检查的通知》精神,充分做好做好国庆期间金融网络和信息系统安全保障工作,防范我行信息科技风险,保障计算机系统运行和操作安全,建立和完善信息科技风险管理机制。根据《****农商银行系统重点业务风险点排查指引(试行)》规定及人民银行、银保监局和公安局关于网络安全保障工作要求。我行由分管信息科技领导、信息技术部组成自查工作小组,于8月19日-23日开展自查工作。现将自查情况汇报如下: 一、总体情况 随着当前信息化建设步伐不断加快,我行各项业务对于信息系统的依赖日益加深,随之而来的系统和网络安全已成为安全管理的关键环节,其中薄弱环节成为信息科技风险的重要内容,网络安全运行工作事关经营、管理大局。从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义,正确处理了发展与安全的关系,一手抓信息化建设,一手抓风险防范。截至报告日,全行上下已经按照统一标准建立起较完善的网络和信息安全风险防范体系。
二、组织架构、制度建设及管理情况 (一)信息科技治理组织架构 1.强化“三会一层”履职。成立了以高管层和主要业务部门参加的信息科技管理委员会,定期或不定期履行职责,审议信息科技相关重大事件,本年度共计召开信息科技管理会议2次。 2.加大专业人员配备。设立首席信息官。参与我行与信息科技运用有关的业务发展决策,确保信息科技发展战略符合本行的总体业务战略和信息科技风险管理策略。 3.明确部门职责分工。明晰信息科技实施、风险管理及审计职责。信息技术部负责信息科技实施、管理工作,各支行设立兼职或专职计算机管理员,配合信息技术部开展应用推广、故障处理、设备维护工作;合规与风险管理部负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面;内部审计部负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划。 (二)信息科技管理制度建设 1.安全管理方面。对安全管理活动中的各类管理内容建立安全管理制度,制定了由安全策略、管理制度等构成的全面的信息安全管理总则《********商业银行行计算机信息安全管理办法》,安全管理办法经信息科技管理委员会审定,审定周期为一年一次,并且及时发现缺漏或不足对制度进行修订。 2.应急管理方面。建立了较为完善的信息系统应急管理办法《********商业银行行计算机信息系统应急管理办法》,
1目的 建立质量风险管理制度,规范药品生命周期中质量风险的评估、控制与审核操作行为,降低产品的质量风险。 2适用范围 适用于公司所生产药品其质量风险的评估、控制与审核的管理 3术语或定义 质量风险:是一个系统化的过程,是对产品在整个生命周期过程中,对风险的识别、衡量、控制以及评价的过程。质量风险管理:是对药品整个生命周期进行质量风险的识别、评估、控制、沟通、回顾的系统过程,运用时可采用前瞻或回顾的方式。 4职责 质量部:负责组织进行质量风险评估、控制与审核协调、管理等相关事宜。 职能部门:对本规程的实施负责。 5安全注意事项 不适用于本文 6规程 6.1风险管理的内容 6.1.1风险管理包括的内容有风险评估、风险控制、风险沟通和审核等程序,持续地贯穿 于整个产品生命周期。 6.1.2风险评估是风险管理过程的第一步,它包括风险识别,风险分析和风险评价三个部分 即解决三个基本问题:(1)将会出现的问题是什么(2)可能性有多大(3)问题发生的后果是什么 6.1.3风险控制的目的就是将风险降低到可接受的水平。重点归纳为:(1)风险是否在可以 被接受的水平上(2)可以采取什么样的措施来降低、控制或消除风险(3)在控制已经识别的风险时是否会产生新的风险 6.1.4风险沟通:通过风险沟通,能够促进风险管理的实施,使各方掌握更全面的信息从 而调整或改进措施及其效果。 6.1.5风险审核:在风险管理流程的最后阶段,应该对风险管理程序的结果进行审核,尤 其是对那些可能会影响到原先质量管理决策的事件进行审核。 6.2风险管理程序 6.2.1风险管理的启动 6.2.1.1确定问题和/或有关风险的疑问,包括确认风险可能性的相关假设; 6.2.1.2 风险管理小组负责召集与风险相关的部门或专家,收集与所评估的风险相关的可 能性危险、危害或对人体健康的影响的有关背景资料和数据。 6.2.1.3 根据存在的主要风险的性质确定风险管理的组长和必要的资源。 6.2.1.4 确定如何使用这些信息,评估和结论; 6.2.1.5 根据具体的问题,由风险管理的组长负责组织建立风险管理流程,包括详细的时 间计划。 6.2.2风险评估:首先系统地利用各种信息和经验来确认工艺、设备、系统、操作等过程 中存在的风险,指出将会出现的问题在哪里。包括识别可能的后果,为进一步质量风险管理进程的其它步骤提供基础;其次对已经被识别的风险及其问题进行分析,这需要相当有经验的技术人员以及QA相关人员共同完成,通过分析确认将会出现问题的可能性有多大,
信息科技风险管理报告 根据《银行业金融机构全面风险管理指引》《**农村商业银行股份有限公司董事会议事规则》及有关要求,现将**(以下简称“本行”)2019年度信息科技风险管理报告报告如下。 一、2019年基本情况 按照《**农村商业银行股份有限公司岗位职责》,本行信息科技管理工作归口于电子金融部,设信息系统维护岗2人。成立了计算机信息安全管理工作领导小组和信息系统重大突发事件应急管理领导小组等,组织架构齐全。 二、2019年主要工作 (一)内部控制工作。本行结合内部控制评价工作对相关的科技管理制度和操作规程进行梳理和归类,及时修改相关制度办法,使其具有系统性、可操作性。现执行的制度有《**农村商业银行股份有限公司信息系统设施设备管理办法(试行)》、《**农村商业银行股份有限公司信息系统数据安全管理办法(试行)》、《**农村商业银行股份有限公司员工介质管理办法》、《**农村商业银行股份有限公司信息系统突发事件应急预案(试行)》、《**农村商业银行股份有限公司便携式移动金融服务终端管理暂行办法》等规章制度。 (二)系统管理工作。信息系统由**省农村信用合作联社开发、测试和维护,我行对全辖机具设备和线路进行调试、维护和管理,确保信息系统的正常运行。一是省中心已对数据建立异地
灾备,保证极端情况下生产系统正常运行。本行进行了各系统在不同运营商线路切换的演练。二是关注系统安全漏洞最新情况,及时对新发现的安全漏洞打上安全补丁,目前系统已是最新最完整版本,已安装了最新补丁。三是系统均安装了省联社指定桌面管理系统和病毒查杀软件,对病毒、恶意代码进行安全防护。同时,严格控制操作人员在机器上运行可能携带恶意代码、病毒的脚本的外来第三方软件。 (三)设备管理工作。本行对业务设备领用、报废进行全流程管理。设置有一名专职科技人员对业务设备进行日常巡检、维护、更换,确保业务设备不掉线及正常工作。科技人员按照规定对计算机进行必要的设备日常监测、检查、记录,并及时掌握设备的运行状况。通过查阅ITSM管理平台,及时受理各网点提交的系统运行故障、业务处理差错、业务需求申请等业务工单,对其审核后,提交相关部门处理。对营业网点上报的网络故障信息及时给予电话指导或现场处理。 (四)机房管理工作。本行使用电信、移动、联通终端设备,路由器和交换机均放置总行三楼机房,机房场地、安全通道、防水等符合机房建设要求,灾害防御措施完善、设备齐全,供配电系统、空调系统、机房防雷和消防系统符合相关技术要求。 (五)安全管理工作 1.网络安全工作。我行将外网与生产网络实行物理隔离,对所有进入内网的终端均进行绑定,路由器远程登录采取ssh认
药品质量风险管理规程 药品质量风险管理规程目的: 建立质量风险管理制度,规范药品生命周期中质量风险的评估、控 制与审核操作行为,降低产品的质量风险。 适用范围: 适用于公司生产管理和质量管理。 职责: 质量受权人和质量部;负责质量风险管理计划的起草、监督实施和 考核; 生产部;负责确保产品质量风险最小化措施的有效实施; 内容: 1、定义 1.1、风险:指不确定性因素对目标的影响,通常表现为出现危害的可能性和严重性的综合结果。 1.2、质量风险:导致药品达不到预期的质量、安全性和有效性以及生产过程出现不符合法规要求的各种因素的组合。其三要素分别是:可能性、可检测性、严重性。 1.3、质量风险管理:是药品整个生命周期中采用前瞻或回顾的方式,对质量风险进行评估、控制、沟通、审核的系统过程。 1.4、药品整个生命周期:包括从药品研发到技术转移、工业生产直至产品终止的全过程。 1.5、可测定性:发现或测定危险源存在的能力。 1.6、危害:对健康的伤害,包括产品质量缺陷或可获得性造成的伤害。 1.7、危险源:潜在的危害来源。 1.8、可能性:有害事件发生的频率或可能性。 1.9、严重性:对危险源可能造成的后果的衡量。
2、风险评估实施的范围、方式 2.1、目前本公司将开展风险管理的领域及风险管理方法、工具见下表: 开展领域风险管理方法、工具厂房、新设备的URS 失效模式效果分析、矩阵供应商审计调查表(见供应商管理标准) 关键物料失效模式效果分析 质量标准、工艺关键点危害分析和关键控制点(HCAAP)、流程图发运、收回和退回重新发失效模式效果分析 货 返工失效模式效果分析 根据偏差和变更具体内容选择此表中的风险管理方偏差、变更法、工具 投诉失效模式效果分析 质量回顾趋势图、控制图 验证失效模式效果分析、流程图、矩阵、鱼骨图检验异常(OOS) 调查表(见检验异常处理管理标准) 2.2、实施方式: 2.2.1、采用分散式风险评估管理方法,即各类风险所在领域,在处理流程中设置,对于风险处理流程成熟的领域,风险评估可不按本标准流程建立风险管理组织、进行风险管理。可按各自管理标准中规定的流程分析、管理执行。如供应商审计,可按供应商管理标准中规定执行。检验异常可按检验异常处理管理标准中规定执行。 2.2.2、对于一些风险领域已有明确分级的,如偏差、变更、投诉等,对于分级级别高的(一级),存在质量风险较大,应按本管理标准流程,建立风险管理组织、使用风险管理工具,进行系统性的分析,以规避其存在的风险,避免出现产品质量。
xxxx有限公司全面风险管理办法 第一章总则 第一条为加强及规范xxxx有限公司(以下简称“xxxx公司”或“公司”)及其属下各级企业的风险管理工作,建立规范、有效的风险控制体系,防范、控制和化解在复杂多变的经营环境中随时可能发生或出现的风险与危机,促进公司战略的实现和经营的持续、稳定、健康发展,根据国务院国资委《中央企业全面风险管理指引》和财政部等五部委《企业内部控制基本规范》及相关配套指引,结合xxxx公司实际,制订本办法。 第二条本办法适用于xxxx公司和属下全资子公司,控股和参股公司可参照执行。 第三条本办法所称“风险”,是指在公司发展过程中各种不确定性对实现公司战略及经营目标的影响。企业风险一般可分为战略风险、运营风险、财务风险、市场风险和法律风险等。 第四条本办法所称的“全面风险管理”,是指围绕公司总体经营目标,通过在管理各环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化等,建立健全风险管理体系,从而为实现风险管理总体目标提供保证的过程和方法。 第五条风险管理基本流程包括以下主要工作: (一)收集风险管理初始信息; (二)进行风险评估; (三)制订并实施风险管控方案; (四)风险监控报告及预警;
(五)风险管理的监督与考核。 第六条公司在制订并实施战略规划、年度经营计划过程中应当充分考虑风险及制订应对措施,在投融资、市场运营、财务、人力资源、法律事务、安全生产等各项经营管理活动中应执行风险管理基本流程,制订并执行相应的制度、程序和措施。 第七条企业内部控制是全面风险管理的重要组成部分,内部控制以风险管理为导向,公司及属下各级企业应按照财政部等五部委颁布的《企业内部控制基本规范》及相关配套指引,结合实际,建立健全企业内部控制体系。 第八条公司及属下各级企业应根据自身经营规模、业务特点和所处的发展阶段等因素,确定风险偏好。应选择若干能够衡量风险的具体指标(如资产负债率等)作为预警指标,并明确风险的最低限度和不能超过的最高限度,作为量化的风险容忍边界。 xxxx公司现阶段实行稳健的经营理念,对风险采取谨慎的态度。 第九条公司大力培育和塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,将风险管理意识转化为员工的共同认知和自觉行动,促进企业风险管理目标的实现。 第二章风险管理的目标、原则 第十条公司开展全面风险管理要努力实现以下总体目标: (一)确保将风险控制在与公司总体目标相适应并可承受的范围内; (二)确保遵守有关法律法规;
质量风险管理操作规程 ****药材公司 1.目的:制定公司质量风险操作规程,在公司经营过程中按风险管理预防降低各种质量风险,减少质量风险带来的损失,确保公司经营的持续、稳定、安全运行,保障公司各项业务的正常开展 2.依据: 根据《药品管理法》、新版GSP及其实施细则等相关法律法规规章制定。 3.范围:适用于药品经营质量风险的管理。 4.职责: 4.1、公司全体员工执行风险管理措施。 4.2、质量管理部负责风险管理的日常监督。 4.3、质量风险管理小组负责制定质量风险管理标准、应对计划。 5.内容 5.1、质管部对公司全体员工培训质量风险管理制度、风险操作规程、年度质量风险管理报告、风险清单(质量风险评估标准和应对计划)。公司每一位员工应具有药品质量风险意识。 5.2、每年11月各部门经理组织部门员工采用回顾式和前瞻式的方法,在部门内开展质量风险管理讨论,对每个工作环节的质量风险进行识别、分析、评估。各部门经理在11月30日前将年度质量风险控制情况、下一年度必须继续加强管理的风险控制点,不必控制的风险点、新的可能发生的风险点及防范措施清单上报公司质管部。 5.3、每年12月上旬质管部检查各部门执行风险应对计划情况、收集各部门工作环节的风险项目清单,在此基础上整理提出质量评估报告草案、质量风险预案草案,提交质量风险管理小组。 5.4、风险审核、回顾:质量风险管理小组每年12月召开质量风险评估会议,采用回顾式和前瞻式的方法,对年度质量风险管理工作做出总结--风险评估报告,对下一年度质量风险预案清单进行讨论、分析、对质量风险控制效果进行评价和改进,制定出下一年度质量风险应对计划清单。 5.5、风险控制、风险沟通:各部门经理将公司质量风险小组审议通过的质量
全面风险管理与内部控制体系 建设实施方案 一、指导思想 围绕公司战略目标,通过在公司管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,实现风险管理的总体目标。 二、方案参考依据 《中央企业全面风险管理指引》国资发改革[2006]108号;《山东省省管企业全面风险管理指引》鲁国资企改〔2008〕22号;财政部发《企业内部控制规范—基本规范》和《萨班斯-奥克斯利法案》等。 三、总体策略 (一)方案内容 1、通过对公司内、外部信息包括历史信息和预测信息进行全面、细致调研的基础上,充分辨识、分析、评价公司可能面临的各种风险,主要包括战略风险、财务风险、市场风险、运营风险、法律风险等; 2、针对识别的各种风险,制定相应的风险管理策略,即围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,确定风险管理所需人力和财力资源的配臵原则; 3、根据风险管理策略制定具体的实施策略,确定具体的风险管理目标、对策、组织领导、管理流程、投入资源,以及风险事件发生前、中、后可采取的具体管理措施及风险管理工具,也即建立、健全、完善内部控制制度。 4、建立风险管理信息系统。 5、建立风险管理的监督与改进机制,及时跟踪风险及管理状况,建设并及时更新风险信息库,并根据风险监督结果对风险管理工作进行相应改进与提升,
从而保证企业全面风险管理的效果。 (二)取得的成果 通过以上工作内容,我们会为公司出具以下工作成果: 1、公司风险信息库 2、公司风险评估报告。 3、公司全面风险管理策略。 4、公司全面风险管理解决方案(或称为内部控制手册), 包括(1)公司风险管理职能体系; (2)重大风险管理职责分工; (3)针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程制定的制度、程序和措施; (4)风险管理体系考核办法。 5、建立风险管理信息系统 6、全面风险管理的监督与改进制度 (三)实现或达到的目标 1、确保将风险控制在与公司战略目标相适应并可承受的范围内。 2、确保内外部,尤其是公司与股东之间实现真实可靠的信息沟通。 3、确保遵守有关法律法规。 4、确保公司规章和制度措施的贯彻执行,保障经营管理的有效性,减少实现经营目标的不确定性。 5、确保公司建立针对各项重大风险发生后的危机处理计划,保护公司不因灾害性风险或人为失误而遭受重大损失。
1.目的: 制定质量风险的管理制度,把风险导致的各种不利后果减少到最低程度,使产品符合质量的要求。 2.依据: 根据《药品管理法》、新版GSP及其实施细则等相关法律法规规章制定。 3.范围:适用于药品经营质量风险的管理。 4.责任者: 总经理、质管部、采购部、仓储部、销售部、财务部。 5.规定内容: 5.1、原则 5.1.1 质量风险管理是在整个产品生命周期中采用前瞻或回顾的方式,对质量风险进行评估、控制、沟通、审核的系统过程。 5.1.2 应当根据科学知识及经验对质量风险进行评估,以保证产品质量。 5.1.3 质量风险管理过程所采用的方法、措施、形式及形成的文件应当与存在风险的级别相适应。 5.2、风险定义:是指不确定因素对目标的影响,通常表现为出现危害的可能性和严重性的综合结果。 5.3、质量风险管理定义:是在整个产品生命周期中采用前瞻或回顾的方式,对质量风险进行评估、控制、沟通、审核的系统过程。 5.4、质量风险管理要求
5.4.1 应用管理方针、程序实现对药品整个生命周期对目标任务进行质量风险的识别、评估、控制、沟通、审核、回顾的系统过程,是质量管理体系的一个重要组成部分。 5.4.2 质量风险管理采用前瞻或回顾的方式,促进决策的科学化、合理化、减少决策的风险,并使生产活动中面临的风险损失降至最低。 5.4.3 根据科学知识及经验对质量风险进行评估,以保证产品质量,消除、降低和控制风险,从而保障患者用药的可靠性和安全性。 5.4.4 通过质量风险管理方法,主动地识别并控制药品经营过程中潜在的质量问题,进一步保证和加强药品和服务的质量。 5.4.5 质量风险管理的投入水平、正式程度及方法、措施、形式及形成的文件应与存在风险的程度、水平和级别相适应,最终的目的在于保护患者的利益。 5.4.6 质量风险管理应用于与药物质量相关的所有方面,包括了采购、收货、验收、入出、出库复核、运输等过程,要求每一位员工均应具有药品质量风险意识。 5.4.7 风险管理每个步骤的重要性会因不同的事件而有所区别,因此应在早期对风险进行确认并考虑如何进行风险管理,并根据从确定的风险管理程序中得到的事实证据做出最终的决策。 5.4.8 在实现确定目标的过程中系统、科学地将各类不确定因素产生的结果控制在预期可接受范围,以确保产品质量符合要求的方法和过程。 5.5、质量风险管理的组织及责任
附录 风险管理常用技术方法简介 一、风险坐标图 风险坐标图是把风险发生可能性的高低、风险发生后对目标的影响程度,作为两个维度绘制在同一个平面上(即绘制成直角坐标系)。对风险发生可能性的高低、风险对目标影响程度的评估有定性、定量等方法。定性方法是直接用文字描述风险发生可能性的高低、风险对目标的影响程度,如“极低”、“低”、“中等”、“高”、“极高”等。定量方法是对风险发生可能性的高低、风险对目标影响程度用具有实际意义的数量描述,如对风险发生可能性的高低用概率来表示,对目标影响程度用损失金额来表示。 下表列出某公司对风险发生可能性的定性、定量评估标准及其相互对应关系,供实际操作中参考。 下表列出某公司关于风险发生后对目标影响程度的定性、定量评估标准及其相互对应关系,供实际操作中参考。
对风险发生可能性的高低和风险对目标影响程度进行定性或定量评估后,依据评估结果绘制风险坐标图。如:某公司对9项风险进行了定性评估,风险①发生的可能性为“低”,风险发生后对目标的影响程度为“极低”;……;风险⑨发生的可能性为“极低”,对目标的影响程度为“高”,则绘制风险坐标图如下: 可能性 极高 高 中等 低 极低 如某公司对7项风险进行定量评估,其中:风险①发生的可能性为83%,发生后对企业造成的损失为2100万元;风险②发生的可能性为40%,发生后对企业造成的损失为3800万元;…….;而风险⑦发生的可能性在55%到62%之间,发生后对企业造成的损失在7500万元到9100万元之间,在风险坐标图上用一个区域来表示,则绘制风险坐标图如下:
绘制风险坐标图的目的在于对多项风险进行直观的比较,从而确定各风险管理的优先顺序和策略。如:某公司绘制了如下风险坐标图,并将该图划分为A 、B 、C 三个区域,公司决定承担A 区域中的各项风险且不再增加控制措施;严格控制B 区域中的各项风险且专门补充制定各项控制措施;确保规避和转移C 区域中的各项风险且优先安排实施各项防范措施。 1 0.8 0.6 0.4 0.2 (亿元)