质量风险指引

目 录

前 言

1 定义及范围

2 风险管理原则

3 风险评估

3.1 风险识别

3.2 风险分析

3.3 风险评价

4 风险管理三道防线

4.1 第一道防线—业务部门

4.1.1 建立质量风险管理环境

4.1.2 质量风险评估

4.1.3 质量风险监测

4.2 第二道防线—风险管理部门

4.3 第三道防线—审计部门

4.4 三道防线的协作

 

前 言

为指导和规范公司开展质量风险管理， 特制定本指引。

本指引提出质量风险管理的原则、 内容、 流程， 以及各个相关部门在风险管理中应承担的职责。 指引的附件提出质量风险清单和评估模型， 可供各单位开展质量风险辨识和评估时参考，各单位可以根据具体项目在此清单基础上进行补充完善。

本指引由 XXX 风险部提出并负责解释、 修订。

各单位在实施质量风险管理时， 应按照本指引的要求开展全过程的风险管理。 风险管理和审计部门可根据此指引对质量风险管理遵循情况进行评估。

本指引主要起草人： 。

终审： 。

本指引为首次发布。

 

1 定义及范围

本指引按照国家标准化委员会发布《中华人民共和国国家标准： 风险管理-原则与实施指南》、 国资委颁布《*企业全面风险管理指引》、 《XXX 全面风险管理工作规定》 以及股份公司相关规定制订。

本指引提供了各公司实施质量风险管理的指导性文件， 可指导公司从最初的产品研究、 生产、 市场销售一直到最终从市场消失的全部过程中， 对风险的识别、 分析以及评价的风险管理。

本指引所指“ 质量风险” 是指因为种种可预期或不可预期的因素导致产品质量下降而造成成本升高或产品不被客户接受的可能性。 质量风险管理内容主要是指质量研发过程质量风险、工艺过程质量风险、 制造过程质量风险 、 采购过程质量风险和售后服务过程质量风险等五个阶段的风险， 各相关部门根据职责实施风险管控工作。 本指引所指的“ 三道防线” 是指从业务层面、 风险管理层面、 内部审计层面分别对质量风险进行分层防控， 全面实施风险管控的过程。

 

2 风险管理原则

（ 1） 以企业战略目标为导向的原则

质量风险管理目的在于促进企业战略目标的实现。 在风险评估和应对等活动中应充分考虑风险与战略目标之间的相互关系、影响等因素。

（ 2） 融入企业管理过程和活动过程的原则

质量风险管理发生于公司管理的各项活动， 其识别、 分析、 评价和应对都不可能脱离管理过程， 风险管理必须融入管理过程，成为其有机组成部分。

（ 3） 纳入决策过程的原则

企业所有决策都应综合考虑风险， 质量风险管理旨在将风险控制在企业可接受的范围内,有助于判断风险应对是否充分、 有效，有助于决定行动优先顺序选择可行方案， 从而帮助决策者做出合理的决策。

（ 4） 广泛参与、 全过程开展的原则

质量风险管理产生于管理活动的各个环节， 因此需要所有员工参与并承担相关责任。 各方人员分工负责， 以形成风险管理的长效机制。

（ 5） 持续改进的原则

质量风险管理是适应环境变化的动态过程， 其各步骤之间形成一个循环往复的闭环。 随着内外部环境的变化， 风险也在不断发生变化,应该持续不断地对各种变化保持敏感并做出恰当反应。

（ 6） 应用系统化、 结构化的方法

系统化、 结构化的方法有助于风险管理效率的提升， 并产生统一可比的结果。

（ 7） 以信息为基础

质量风险管理要以有效的信息为基础， 这些信息可以通过经验、反馈、 观察、 预测专家判断等多种渠道获取， 但使用时要考虑数据、 模型和专家意见的局限性。

 

3 风险评估

3.1 风险识别

根据《XXX 风险管理操作指南第 2 号—风险评估》， 质量风险属于运营类风险。 其项下包括 7 个三级风险和 37 个四级风险。 根据此项分类， 各公司在识别质量风险时， 可以参考以下风险识别框架和风险清单：

（ 1） 内部环境风险

具.表.为:公司建立公司质量管理的内部控制和风险管理时，首先要明确公司质量管理的内部环境， 并收集和分析这些内部环境信息， 否则会影响企业产品质量的稳定性。 该风险主要包括制度体系风险和特殊员工培训风险。 企业内部环境风险的产生原因（ 风险动因） 主要包括以下方面：

>管理层对产品质量风险的不够重视；

>缺乏适宜的质量管理文化， 员工缺乏质量风险意识；

>缺乏明晰、 科学的质量管理组织结构；

>缺乏清晰的质量管理方针、 目标以及完善的质量管理规章制度； 或方针目标及制度不符合企业战略目标； 如： 监督检查机制， 如质量管理人员

>对与产品质量、 环境、 职业安全健康有直接关系的特殊工作人员未按国家规定及相应认证体系标准进行培训并取得相关资质；

>缺乏清晰完善的质量风险管理政策及方案。

（ 2） 投标管理风险

具体表现为： 未能结合公司设计、 工艺、 人员和设备资源配置、质量保证措施、 生产能力状况等进行投标分析， 确定投标价格及价格浮动底线， 可能造成产品质量或服务质量不符合顾客标准， 顾客要求得不到满足。

（ 3） 产品设计和开发风险

具体表现为： 在设计和开发过程中， 因设计和开发差错未能确定产品实现所需过程、 文件和资源，以及产品实现所需的验证、确认、 监视、 测量、 检验和试验活动、 产品接收准则以及所需的记录， 不能实现预防为主、 持续改进、 不断提高产品设计和开发质量， 从而降低公司产品质量。 该风险主要包括 6 个三级风险： 新产品试验验证风险、 设计验证跟踪风险、 产品设计确认风险、 设计和开发评审风险、 重大设计变更风险、 RAMS 管理风险。

（ 4） 工艺策划和验证风险

具体表现为： 在产品工艺策划阶段， 因缺乏对新产品设计图样和技术文件进行工艺准备策划， 缺乏对引起工艺有重大变化的产品组织工艺验证并对技术条款、 规范的逐条响应及图样进行工艺性审查， 未予合理评审影响工艺、 工期、 设计、 产品质量以及安全环保方面的关键环节等， 造成公司产品发生质量问题。

该风险主要包括 5 个三级风险： 工艺方案评审风险、 工艺策划风险、 工艺审查风险、 工艺验证风险、 工艺变更风险。

（ 5） 采购管理风险

具体表现为： 在采购和委外加工阶段， 未对供应商的推荐、 评定、 审核以及对其提供产品的验收， 缺乏工艺能力和工艺水平审查等管理活动， 造成外购件或外协件达不到质量要求或生产能力不足， 影响生产进度和整机产品质量。 该风险包括 11 个三级风险： 供应商资质风险、 合同谈判风险、 供应商研发过程质量控制风险、 供应商制造过程质量控制风险、 供方首件鉴定风险、 进货放行检验风险、 进厂检验风险、 供应商现场监造风险、供应商业绩评价风险、 重大质量问题风险、 物资保管风险。

（ 6） 生产过程控制风险

具体表现为： 指未依据开发工艺部门提供的产品规范和图纸、材料信息、 生产流程图、 作业指导书等， 未对产品制造过程进行策划并在受控条件下开展产品生产， 未对产品生产进行现场控制及过程检验， 在、 产成品验收不合格。 该风险包括 7 个三级风险： 产品首件鉴定风险、 工艺纪律检查风险、 制造过程质量控制风险、 生产异常处置风险、 现场监督检验风险、 特殊过程控制风险、 不符合过程控制风险。

（ 7） 售后服务风险

具体表现为： 未能为客户产品提供技术支持， 及时有效的为客户解决产品故障， 恢复产品运行， 降低产品的故障率， 提高产品的可用性， 确保产品运营品质。 该风险主要包括 2 个三级风险： 备品备件储备风险、 售后服务工作验证风险。

3.2 风险分析

质量风险分析是指对质量风险的各项属性特征进行定性、 定量的分析， 为风险的评价和应对提供支持。 业务部门可通过问卷调查、 访谈和头脑风暴法及历史数据分析和资料研究、 标杆对照，进行质量风险分析并形成质量风险事件清单（ 参见附件１ ），并对风险事件的各项属性特征的分析判断， 包括对实现目标影响程度、 发生可能性、 现有应对措施、 事件之间的相互影响等，整理、 分析、 判断各风险的属性特征和管理现状。

根据风险分析的目的、 可获得的信息数据和资源， 风险分析可以有不同的详细程度， 可以是定性的、 定量的分析， 也可以是这些分析的组合。 一般情况下， 首先采用定性分析， 以初步评定风险等级， 揭示主要风险。 在可能和适当的时候， 要进一步进行更具体和定量的风险分析。

具体风险分析方法详见《XXX 风险管理指南第 2 号—风险评估》XXX。

3.3 风险评价

对识别出的每一个公司质量管理风险事件进行风险分析和风险评价， 均可获得相应的风险等级。 采取绘制风险图谱等手段进行风险评价， 对各项风险进行比较， 确定各项风险的重要性特征和管理优先顺序。 公司质量管理风险评价的结果应满足公司质量管理风险应对的需要， 否则， 应做进一步分析。 有时， 根据已经制定的公司质量管理风险准则， 公司质量管理风险评价使公司做出维持现有的公司质量管理风险应对措施， 不采取其他新的措施的决定。

具体风险评价方法详见《XXX 风险管理指南第 2 号—风险评估》XXX。

 

4 风险管理三道防线

4.1 第一道防线—业务部门

质量管理业务部门是质量风险管理的第一责任单位， 应对企业日常生产经营过程中产生的风险进行系统化的分析、 评价、 检测和管控。 业务部门在质量风险管理中需承担的主要工作包括：

建立质量风险管理环境（ 质量管理文化、 制定企业质量方针、目标及各项规章制度、 明确质量管理机构和岗位职责、 了解企业战略目标及可能影响企业达标的风险）、 识别风险类别， 对相关风险做出评估； 制定转移、 避免或减低风险的策略； 设计风险实施风险策略的相关内部控制。

4.1.1 建立质量风险管理环境

（ 1） 质量风险文化。 建立适当的质量风险文化对于质量风险管理十分重要， 企业应建立全员风险质量管理文化， 宣传“ 质量是企业的生命”、 培养树立全员质量管理和质量风险意识。

（ 2） 质量管理机构和岗位职责。 建立有公司总经理负责制， 设立质量管理部为归口管理业务部门， 营销、 研发、 技术、 生产、质量、 财务、 法律、 人力资源、 风险管理等为关联管理业务部门， 并明确其职责与权限。

（ 3） 质量方针、 目标及管理体系文件。 建立适合企业的明晰的质量方针、 技术安全方针和质量目标， 建立健全的质量管理体系文件。 如： 质量管理手册、 公司质量风险管理政策及方案；

（ 4） 员工胜任能力。 员工专业胜任能力、 员工及管理层职业操守、 员工培训等人力资源因素与良好的产品质量至关重要。 如：员工是否具备上岗资质、 质量标准及要求是否及时传递至操作人员并得到执行； 是否对员工进行有目的质量培训， 不断增强操作技能等；

（ 5） 监督检查机制。 质量管理人员的监督检查、 操作人员的自检互检、 常规检查及专项检查等。

4.1.2 质量风险评估

风险管理部门应根据本企业战略目标和经营管理情况建立适合本企业的质量风险评估模型。 各业务部门应根据评估模型， 按照风险评估的方法（ 上述 3） 开展质量风险分析并评估。 质量风险分析也可结合公司绩效考核指标确定。 适用的指标包括并不限于：

>与合同评审风险有关的指标： 合同评审率。

>与设计（ 工艺） 开发风险有关的指标： 设计开发计划执行符合率、 变更执行率、 设计开发验证通过率。

>与采购管理风险有关的指标： 供方及时交货率、 供方批次交货合格率、 供方首件鉴定通过率、 材料入库交检合格率。

>与质量损失有关的指标： 质量损失率。

>与质量事故有关的指标： Ｄ类以上事故发生率、 重大质量投诉次数、 用户经济处罚次数、 批量事故发生率。

4.1.3 质量风险监测

（ 1） 质量管理风险自评

质量管理业务部门应定期对质量管理情况进行自评， 至少每年一次， 可以结合风险、 内控部门组织的内部控制评价和风险管理评估工作来实施， 也可以按照《质量风险清单及评估模型》中的风险点开展自评价， 自评内容包括并不局限以下内容：

>投标前是否经相关部门进行投标评审？ 公司是否具备履行合同的能力？ 所有顾客要求是否得到充分的识别与沟通， 已经形成一致的理解？

>质量管理体系制度、 文件是否清晰、 健全和完善？

>员工上岗资质及技能培训是否充分？ 管理人员是否履职到位？

>产品设计开发过程及工艺策划验证是否充分、 完善？

>供应商质量管理是否充分？

>生产过程的质量管理充分？

>是否建立产品运用维保服务快速反应机制和用户走访机制？

>是否建立健全的质量检查监督机制和质量问题处理机制？

>是否具备足够的质量监视和测量设备等资源？

>是否进行质量信息管理和质量成本管理？

通过风险自评， 给业务管理部门应提交信用管理风险报告， 分析评估信用管理中存在的风险点和内控缺陷点， 并提出改进措施。

（ 2） 质量风险预警

质量管理业务部门应按照《质量风险评估模型》， 定期实施质量风险评估， 并根据评估结果实施预警， 提交质量预警报告。 预警方法和过程可参考《中车风险管理操作指南第 4号—风险预警》。 预警报告预测重要及以上风险发生可能给本企业带来的损失及连带风险以及应对措施。 对于重大风险， 应及时向风险管理部门反映， 向管理层报告， 以便采取防范措施， 防止严重后果的出现。

4.2 第二道防线—风险管理部门

风险管理部门是风险管理的第二道防线， 主要承担四项工作：

>建立全面风险管理框架； 协助业务部门履行好管理风险的责任；

>组织跨部门的全面风险评估、 风险监测、 风险应对； 协助业务部门开发各种风险管理工具。 在质量风险管理领域， 风险管理部门应履行以下职责：

>协助管理层和业务部门培育质量管理文化；

>协助业务部门建立质量风险管理制度和流程；

>协助业务部门开发质量风险分析模型、 风险预警指标、 信息系统等；

>协助业务部门开展质量风险识别、 分析、 评价、 应对工作；

>组织全面风险管理评估， 并将质量风险管理纳入公司全面风险管理范畴；

>根据质量风险管理情况， 提出运营类风险和公司总体风险评估结论。

4.3 第三道防线—审计部门

审计部门是风险管理的第三道防线， 是企业内部相对独立、 客观的审查和咨询业务单位， 通过系统的方法评价和改进企业的风险管理、 控制和治理流程效益， 帮助企业实现经营目标。 在质量风险管理领域， 审计部门应履行以下职责：

>实施质量管理的内部控制审计和风险管理审计；

>检查业务部门和风险管理部门提交的质量风险自评报告；

>检查监督业务部门质量管理制度建设和执行情况；

>检查监督业务部门对质量风险的识别、 分析和评估情况；

>检查监督质量风险应对和预警情况；

>督促审计建议、 风险应对措施落实整改情况；

>向管理层报告质量风险管理情况。

4.4 三道防线的协作

“ 三道防线” 是一个前、 中、 后分离和制约的风险管理机制，各部门之间应建立相互的协调与合作关系， 发挥系统协调作用，确保风险管理系统有效。 各部门之间应通过以下工作进行协调：

>第一道防线质量管理业务部门， 是质量风险管理的第一责任人， 应通过自我评估、 自我检查、 自我整改， 对质量风险进行自我识别、 评估和控制， 实现自我监督。 质量管理业务部门应主动加强与风险、 审计部门的沟通， 定期报送相关材料， 在质量管理建设的过程中主动邀请风险、 审计部门参与， 积极配合风险及审计部门的评估与检查工作， 提高质量管理的质量。

>第二道防线风险管理部门， 不能替代一道防线， 而是对第一道防线实施检查、 监督和指导， 确保一道防线内部控制的有效性， 同时为三道防线开展再检查、 再监督和内部控制评价提供基础。 风险管理部门应加强与质量管理部门的沟通， 积极参与质量管理建设过程的风险评估与监控， 协助质量管理业务部门做好质量风险评估、 应对。

>第三道防线审计部门， 是对整个质量风险管控过程进行监督，是风险内部控制体系的重要保障手段。 审计部门应积极开展对质量管理建设的监督工作， 对重要的项目， 应尽可能做到过程监督， 不定期出具管理建议书， 促进质量管理的规范。

转自飞马师兄头条