质量风险的识别和控制程序

1．概述 ........................................................................................... 2 1.1目的 .......................................................................................... 2 1.2适用范围及有效性 .................................................................... 2 1.3本次调整内容 ............................................................................ 2 2．职责与授权 ................................................................................ 2 3．文件主要内容............................................................................. 3 3.1质量风险识别 ............................................................................ 3 3.2质量风险评估 ............................................................................ 4 3.3质量风险应对 ............................................................................ 5 3.4质量风险评审 ............................................................................ 6 4.关联文件...................................................................................... 7 5.附件 ............................................................................................. 7

编号 质量风险的识别和控制程序 版本/日期 1/2017-8-18 页码 文件类型：第 2页 /共 15 页 本地程序文件 1．概述 1.1目的

根据GB/T19001-2016/ISO9001：2015质量管理体系要求，企业在体系运行过程中需对风险进行识别评价，并制定和实施风险应对措施。本程序规定了风险规避、风险降低和风险接受在内的风险应对执行要求，建立工厂的质量风险识别和控制机制，增强抗风险能力，并为在质量管理体系中纳入和应用风险应对措施以及评价这些措施的有效性提供操作指导。 1.2适用范围及有效性

本程序适用于在企业质量管理体系运行及相关活动中对质量风险的控制和管理。必要时，适用于对企业管理过程中应对风险的管理提供操作指南。 1.3本次调整内容

本版本为初始版本 2．职责与授权

负责批准《年度质量风险管理活动计划》，必要时提供风险管理与控制所需资源。 负责协助企业管理层对整体战略规划、外部环境变化、内部组织变化、客户需求变化中的质量风险进行识别；负责协助总经理工作部 企业管理层将识别的质量风险项分配至相关部门进行风险评估和应对；负责将企业管理层识别的质量风险清单传递至质量保证部。 对企业质量管理体系及相关活动中所存在风险管理的归口部门。负责组织全厂质量风险识别活动，必要时组织其他活质量保证部 动推进工厂质量风险管控工作；负责组织各部门质量风险评审活动；负责跟踪等级为高风险的风险项的应对措施执行情况；负责统计和发布全厂各部门质量风险管理工作情况及相关数据。 管理者代表 编号 质量风险的识别和控制程序 版本/日期 1/2017-8-18 页码 文件类型：第 3页 /共 15 页 本地程序文件 负责开展对本部门质量风险的识别、评估，根据风险等级制各部门 定适宜的应对措施以降低风险，并进行落实和过程跟踪，评价措施实施的有效性；负责开展对本部门的风险评审活动；负责整理部门风险管理过程中相关资料的归档。 3．文件主要内容 3.1质量风险识别

质量风险来源于企业内部和外部不同方面，且随时随地都有可能发生，对风险的识别应贯穿于整个质量管理系统运行过程及相关活动，有效地进行风险信息收集与管理。

3.1.1质量风险识别的策划

企业授权质量保证部作为工厂风险管理归口部门。质量保证部定期（每年一次）组织全厂各部门开展对本部门的质量风险识别活动。由质量保证部编制《年度质量风险管理活动计划》，并由管理者代表批准。制定活动计划时，可根据工厂当前所面对的内、外部整体形势及其变化，指定质量风险识别的重点方向。

3.1.2质量风险识别的开展

全厂各部门在开展质量风险识别活动时，应首先建立本部门风险管理小组，来组织和协调风险管理工作。风险管理小组具备以下职责：

a.组织实施部门质量风险识别、分析和评估； b.制定质量风险应对措施并组织落实执行； c.组织实施质量风险应对措施的实施效果验证； d.配合工厂质量风险管理归口部门开展其他工作。

全厂各部门在开展质量风险识别活动时，可灵活使用FEMA、SWOT等分析工具和方法。

全厂各部门根据质量风险识别活动计划的要求，负责开展本部门的风险识别活动,识别范围包括已发生风险和潜在风险。全厂各部门对识别的质量风险项应进行汇总，按照附件1所示模板形成《部门质量风险识别清单》。

全厂各部门有义务对部门所负责过程、与其他部门接口过程等的日常运行

编号 质量风险的识别和控制程序 版本/日期 1/2017-8-18 页码 文件类型：第 4页 /共 15 页 本地程序文件 情况进行不定期质量风险识别，对企业内外部变化所带来的重大影响及时进行质量风险识别。

3.1.3 企业质量风险识别

总经理工作部协助企业管理层不定期对工厂整体战略规划、外部环境变化、内部组织变化、客户需求变化中的风险进行识别，形成《企业质量风险识别清单》。总经理工作部根据风险项的内容将风险项分配至有关部门进行风险评估和应对等工作，并将相关信息传递至质量保证部。 3.2质量风险评估

全厂各部门需对所识别的质量风险项进行评估，通过确认风险项的严重程度、发生频率和可识别度，来确定风险等级，并根据风险等级确定对风险应采取的措施。对质量风险项的评估应依据本程序所规定的以下评估原则进行。

3.2.1 风险严重程度评估

风险严重程度是指已发生风险所造成的损害程度或潜在风险若发生后可能造成的损害程度。全厂各部门需量化评估所识别风险项的危害程度，并根据量化评估结果对风险项的严重程度进行区分。

风险严重程度按照程度不同，依次分为轻微、一般、较严重、严重和非常严重五个级别。在对质量风险项的严重程度进行评估时，各部门可从以下因素来评价风险项的严重程度，也可根据本部门风险项的特点来适当增加其他分析因素：

a产品质量损失金额

b对质量信誉/企业形象不利影响 c对生产/工作周期不利影响 d对产品功能实现不利影响 e对顾客满意的不利影响 f其他因素

各部门可参考如附件3中表1所示评估原则，并将对质量风险项的评估结果记录在《质量风险评估分析表》中。

3.2.2 风险发生频率评估

风险发生频率代表了潜在风险可能出现的频次。全厂各部门需通过对质量

编号 质量风险的识别和控制程序 版本/日期 1/2017-8-18 页码 文件类型：第 5页 /共 15 页 本地程序文件 风险项或导致质量风险项出现的不确定因素可能发生的频度进行预判，量化确认风险发生频率，并可按照极少发生、很少发生、偶尔发生、有时发生以及经常发生这五个等级进行区分，评估原则如附件3中表2所示，并将风险发生频率评估结果记录在《质量风险评估分析表》中。

3.2.3 风险可识别度评估

风险可识别度是指假设风险发生时可被探测到的可能性大小。全厂各部门通过对质量风险项在发生时被发现的可能性进行预判，量化确认风险可识别度，并可按照非常容易、容易、一般、困难和非常困难这五个等级进行区分，评估原则如附件3中表3所示，并将风险可识别度评估结果记录在《质量风险评估分析表》中。

3.2.4 风险等级评估

根据风险系数公式“风险系数=风险严重程度等级×风险发生频率等级×风险可识别度等级”，各部门可通过对质量风险项的严重程度、发生频率和可识别度的等级评估结果，计算出风险系数，从而判断该风险项的相应风险等级，如表4所示。质量风险项的风险系数和风险等级应记录在《质量风险评估分析表》中。 3.3质量风险应对 3.3.1 确定风险应对方法

全厂各部门应根据对质量风险项的风险等级判断结果，确定风险应对方法。风险应对的方法包括风险接受、风险降低和风险规避。

各部门在确定应对质量风险的方法时应考虑尽可能地消除风险，在无法消除、暂时无有效措施消除或者消除风险的成本过高时，再考虑选择风险降低和风险接受的应对方法。风险接受的应对方法一般仅适用于那些造成损失较小、重复性较高的质量风险。 3.3.2 制定和实施风险应对措施

各部门在确定好风险应对方法后，需制定具体的风险应对措施。在制定措施时应考虑以下几个方面的内容：

a.制定的措施应是在现有条件下可执行和可落实的；

b.制定的措施应落实到负责人员，明确应完成内容和时间节点；

编号 质量风险的识别和控制程序 版本/日期 1/2017-8-18 页码 文件类型：第 6页 /共 15 页 本地程序文件 c.制定措施执行跟踪和效果评价计划，来监督风险应对措施被有效执行。 全厂各部门需将制定的风险应对措施内容记录在《质量风险评估分析表》中，由措施执行负责人按照计划推进各项措施的落实，监督措施执行过程并评价措施的有效性。

对于风险应对措施，全厂各部门可采用发起CAPA项目、开展QC小组活动、确立年度质量改进项目等方式来落实相关措施或进行改进。 3.3.3 验证风险应对措施

全厂各部门需组织对各质量风险项的应对措施执行结果进行验证，当风险应对措施执行效果达到预期消除或减少风险的目标时，措施验证通过；当措施执行效果与预期目标偏差较大或无效果时，需重新对质量风险进行分析和评估，制定有效地应对措施。 3.3.4 风险应对过程管理

全厂各部门按照《年度质量风险管理活动计划》要求，及时完成对质量风险的识别、评估以及制定风险应对措施，并将相关信息填写在的《质量风险评估分析表》中提交至工厂风险管理归口部门质量保证部。质量保证部负责对各部门质量风险项应对措施完成情况进行统计和发布，各部门应按要求时间节点将质量风险项应对措施完成情况反馈至质量保证部。

对于风险等级为高风险的质量风险项，质量保证部对其风险应对措施的执行情况进行跟踪。各部门根据要求定期（每季度一次）将高风险项应对措施执行情况反馈至质量保证部，由质量保证部进行汇总、评价和发布。当风险应对措施无法正常落实、落实后未能消除或减少风险时（风险接受措施除外），质量保证部可要求相应部门重新对风险进行识别和评估，调整或重新制定风险应对措施。

3.4质量风险评审

质量保证部定期（每年一次）组织全厂各部门开展对本部门的质量风险评审活动，来验证所建立的质量风险管理制度的有效性，当出现以下情况时，可适当增加质量风险评审的次数：

a.与质量管理体系有关的法律、法规、标准及其他要求有变化时； b.企业组织架构、产品类型、服务范围、资源配置等发生重大调整时；

编号 质量风险的识别和控制程序 版本/日期 1/2017-8-18 页码 文件类型：第 7页 /共 15 页 本地程序文件 c.发生非常严重的质量事故或相关方投诉连续发生时； d.第三方认证审核前或其他认为有管理评审需要时； e.其他情况需要时。

在开始对质量风险的评审前，各部门应整理好有关质量风险管理工作的相关文件和记录，包括但不限于对风险识别、风险评估、风险应对措施以及实施过程及结果等的记录和文件。全厂各部门应通过质量风险评审过程来评价部门质量风险管理制度的有效性，并发现是否有新风险的产生、原有风险的复发以及其他改进的机会等。对新发生的质量风险、复发的在顾客风险，各部门也应再次展开风险评估工作，制定和实施风险应对措施。在必要时，各部门质量风险评审活动可包含对风险应对措施实施结果的验证。

4.关联文件

制度文件名称

无

5.附件 附件编号 1 2 3 4

标题 《部门年度质量风险识别清单》 《质量风险评估分析表》 《质量风险识别、评估和应对指导规范》 《质量风险管理流程图》 页数 1 1 1 1 文件类型

/

编号 1/2017-8-18 第 8页 /共 15 页 质量风险的识别和控制程序 版本/日期 页码 文件类型：本地程序文件 部门年度质量风险识别清单

序号 风险 识别过程 识别部门 内容描述 备注 编制： 审核： 批准：

编号 1/2017-8-18 第 9页 /共 15 页 质量风险的识别和控制程序 版本/日期 页码 文件类型：本地程序文件 质量风险评估分析表

部门 风险管理人员 序 号 风险描述 严重程度等级 发生频率等级 可识别度等级 1 2 3 4 5 6 风险系数 风险等级 风险应对措施 措施内容 措施执行计划 日期 措施负责人 跟踪情况 （可附页） 备注 编制： 审核： 批准：

编号 1/2017-8-18 第 10页 /共 15 页 质量风险的识别和控制程序 版本/日期 页码 文件类型：本地程序文件 质量风险识别和评估指导规范

一、风险识别

在开展本部门的质量风险识别工作时，应注意本程序文件要求的主要是对工厂质量管理体系运行及相关活动中风险的识别，包括已发生风险和潜在风险，这些活动包括但不限于：

a.产品的设计开发、设计开发变更过程中的风险控制； b.产品制造、生产管理中的风险控制；

c.原材料、半成品、成品等运输、储存、交付过程中的风险控制； d.服务过程中的风险控制；

e.过程检验和监视测量设备管理过程中的风险控制； f.生产设备、设施维护和保养管理过程中的风险控制； g.市场调研、顾客满意度测评过程中的风险控制；

h.不符合项处理及纠正预防措施执行与验证过程中的风险控制； i.持续改进过程中的风险控制。

各部门可根据实际情况，自主选择恰当的质量风险识别活动形式，即可采用全员参与模式，也可采用特定人员讨论模式，但需要注意进行风险识别时应覆盖了本部门所有主要工作执行和管理过程以及与其他部门的接口过程。

当所识别的风险项较为复杂时，可拆分成多条风险项。当所识别的风险项较为相似或部分内容重叠时，可对相似或重叠部分进行合并。各部门在识别风险过程中应注意进行记录和保存相关资料，对识别的风险项进行整理并形成《部门年度质量风险识别清单》。 二、风险评估

各部门需根据《部门年度质量风险识别清单》，对所识别的质量风险项进行逐项评估。在开展评估前，各部门应确定参与风险评估的人员，并确认这些人员具备适宜的能力，包括但不限于熟悉并能够正确使用FEMA、SWOT等质量工具和方法。

编号 1/2017-8-18 第 11页 /共 15 页 质量风险的识别和控制程序 版本/日期 页码 文件类型：本地程序文件 2.1 风险严重程度评估

在评估风险严重程度时，各部门可从产品质量损失金额、对质量信誉/企业形象不利影响、对生产/工作周期不利影响、对产品功能实现不利影响、对顾客满意的不利影响等各方面来考虑风险发生后可能导致不利影响的严重程度。也可根据本身工作特点、风险项内容特点等自主制定和增加评价因素内容。但需要注意的是，应根据评估原则的基本要求，将评价因素分为适宜的五个等级，并固化运用到其他类似风险项的评估中。

在实际评估过程中，由于风险项针对不同因素所表现后果的严重程度常常不一致，那么在确定该质量风险项的严重程度等级时，应按照从严原则，依据严重程度级别更高的因素来对质量风险项的严重程度进行判定。

表1 风险严重程度量化评估原则

描述 严重程度 产品功能实现 顾客满意度 质量损失金额 （万元） 产品功能无法运非常严重 行且/运行时发生产品机构破坏/违反相关法规要求 产品可运行，但严重 基本功能下降或散失 产品可运行，但较严重 次要功能下降或散失 非常不满意 15＜财产损失≥1.5 间歇性恢复 地区性影响 3 极度不满意 50＜财产损失≥15 需较长时间调整后才可恢复 省内、行业影响 4 不再使用工厂生产的产品 重大国际、国内影响 生产周期 质量信誉/企业形象 对应指数 财产损失≥50 不可恢复 5 编号 1/2017-8-18 第 12页 /共 15 页 质量风险的识别和控制程序 版本/日期 页码 文件类型：本地程序文件 产品可正常运一般 行，但存在噪音、振动等烦扰 比较不满意 财产损失＜1.5 可短时恢复 企业及周边范围 2 轻微 无可辨别的影响 少量抱怨 无损失 没有停工 不影响 1

2.2 风险发生频率评估

在评估风险发生频率时，主要是依据该质量风险项在以往过程中已经发生的次数、潜在风险在未来可能发生的次数、风险项所代表的环节在部门所有主要执行过程中及与其他部门接口过程中出现的次数等来推算和估计风险发生频率。当有适宜的具体数据时，可按照表2所示原则计算出风险项的发生频率等级。当无相应数据或数据量不足时，可定性评估风险项的发生频率，但对本部门的风险项应使用统一的定性评估标准。

必要时，可由多人小组对质量风险项的发生频率等级进行分别评估，并对评估结果取平均值（向上取整）作为该风险项的发生频率等级。

表2 风险发生频率量化评估原则

发生频率 极少发生 很少发生 偶尔发生 有时发生 经常发生

定义 发生概率≤0.001% 0.001%＜发生概率≤0.1% 0.1%＜发生概率≤1% 1%＜发生概率≤10% 发生概率≥10% 等级 1 2 3 4 5 2.3 风险可识别度评估

风险的可识别度主要是指在某个过程正常运行过程中，假设风险发生了，能够查出该风险的不利影响、产生原因或是风险发生机理的探测

编号 1/2017-8-18 第 13页 /共 15 页 质量风险的识别和控制程序 版本/日期 页码 文件类型：本地程序文件 难度是多少。对于风险可识别度的评估，很难有一个量化的计算标准，但在定性分析时，也应对识别难度的大小进行区分。各部门可基于质量风险项所在环节涉及的规定检查内容、现有探测工具和方法、风险发生后不利影响是否明显等方面，来确定该风险的可识别度是非常容易、容易、一般、困难还是非常困难，从而确定该风险项的可识别度等级。

表3 风险可识别度评估原则

可识别度 非常困难 定义 整个过程中不涉及对该环节的检查；风险不利影响无法被探测。 整个过程中极少涉及对该环节的检查；风险不利影响等级 5 困难 表现不明显；使用现有探测工具和方法检查出风险较为困难。 4 一般 整个过程中可涉及对该环节的检查；风险不利影响可被探测出且可实施探测。 整个过程涉及较多对该环节的检查；风险不利影响表3 容易 现明显；现有探测工具和方法可较为容易的发现风险。 2 非常容易 整个过程多次对该环节进行专项检查；风险不利影响表现明显，可目视探测出。 1 2.4 风险等级确定

各部门在评估质量风险项的风险等级时，主要是从该风险项的严重程度、发生频率和可识别度这三个方面展开量化评估。通过公式“风险系数=风险严重程度等级×风险发生频率等级×风险可识别度等级”计算得到风险系数，从而参考风险系数值确定相应的风险等级。各部门也可根据风险项内容与实际情况，结合风险系数值，来对质量风险项的等级进行调整。

在确定风险等级后，就可根据风险等级来选择风险应对的方法。对于较高等级风险和高等级风险，应及时制定并实施风险规避措施来部分消除或完全消除风险，当无可实施的风险规避措施时，应及时采取风险

编号 1/2017-8-18 第 14页 /共 15 页 质量风险的识别和控制程序 版本/日期 页码 文件类型：本地程序文件 降低措施，来减少风险所带来的影响；对于一般等级风险，可采用风险降低措施，来减少风险所带来的影响；对于较低等级风险和低等级风险，应考虑消除风险成本，当采取措施消除风险所引起的成本比风险引起的损失更大时，可接受风险。

表4 风险等级及应对措施

风险 系数 101-125 76-100 51-75 26-50 1-25 风险等级 高风险 风险等级及应采取的措施 风险措施 应立即采取措施规避或降低风险。 较高风险 一般风险 较低风险 低风险 需采取措施降低风险。 风险较低,当采取措施消除风险引起的成本比风险本身引起的损失较大时,接受风险。

编号 1/2017-8-18 第 15页 /共 15 页 质量风险的识别和控制程序 版本/日期 页码 文件类型：本地程序文件