變更管理風險評估范文

導語：如何才能寫好一篇變更管理風險評估，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】制藥企業；風險管理

風險管理起源于美國，是美國進行企業管理的科學方法，20世紀風險管理逐步發展成為一門學科。質量風險管理作為風險管理在發展過程中的衍生分支，其關注點是對產品或工藝質量風險的有效控制，2005年人用藥物注冊技術要求國際協調會（ICH）了《Q9 質量風險管理》，指南系統地闡述了質量風險管理的原則、范圍、應用步驟以及潛在應用領域等，其目的是提供一套系統的風險管理方法。ICH Q9提供了風險管理原則和工具，并被我國明確納入2011年3月1日生效的《藥品生產質量管理規范（2010年修訂）》中。

一、風險管理簡介

1 風險管理基本原則：根據ICH Q9的要求，藥品質量風險管理應當遵循以下兩個基本原則：

1.1 對質量的風險評估應以科學知識為依據，并最終與保護患者相聯系；

1.2 質量風險管理程序投入的水平、形式和文件應與風險水平相當。

2 質量風險管理的基本程序：質量風險管理是對藥品整個生命周期的全過程進行質量風險的風險評估、控制、溝通和回顧。有效質量風險管理的4個階段為：質量風險評價（包括質量風險的識別、分析和評估）、風險控制（包括質量風險的減低和接受）、質量風險溝通和質量風險回顧。

2.1 風險評價

風險評價是對危害的識別、對危害相關的風險的分析和評價，是質量風險管理的第一步，作為風險評估中明確定義風險的輔助，以下三個問題通常會用到：

a） 什么可能出錯或發生故障？

b） 出錯或發生故障的可能性（概率）有多大？

c） 因出錯或發生故障而產生的后果的嚴重性？

風險評價有以下三個步驟：

d） 質量風險識別：解決“什么可能出錯，其可能的后果是什么？”。

e） 質量風險分析：對危害發生的可能性和嚴重性的定型和定量的過程。

f） 風險評估：將已識別和分析的風險與給定的風險標準進行比較。

2.1 風險控制

風險控制包括對風險降低和/或接受的決策。一般會關注以下幾個問題：

a） 質量風險是否超出了預定的可接受水平？

b） 如何降低或消除質量風險？

c） 利益、質量風險和資源之間的平衡點是什么？

d） 對已知風險的控制是否會引入新的質量風險？

質量風險控制主要包括質量風險降低和質量風險接受兩部分：

a） 質量風險降低：當質量風險超過預定的可接受水平時，質量風險降低的重點則是降低或避免風險的過程。質量風險降低包括為降低損害的嚴重性和發生可能性所采取的措施。

b） 質量風險接受：是指做出接受質量風險的決定。

2.1 風險溝通

質量風險溝通是指風險決策人和其他人員分享交流的過程。風險管理過程任何階段可進行溝通，溝通的信息可設計質量風險的存在、屬性、形式、可能性、嚴重性、可接受性、控制、處理、可探測性或風險的其他方面。

2.2 風險回顧

風險管理是質量管理的持續性過程，應當定期進行回顧，以確認相關風險評價和控制步驟是否有效，總結新的只是和經驗。風險回顧應以風險等級為基礎。

二、質量風險管理的方法學及其應用

ICH Q9中不完全列舉了一些風險管理工具：基本風險管理建議辦法（流程圖、檢查表等）、故障模式的效應分析（FMEA）、故障樹分析法等。

危害分析和關鍵控制點為：危害的可操作性分析、預先危害分析、風險排序和過濾、支持性統計工具。

藥品生產的各領域根據特點采用這些風險評估工具，且不同工具的結合使用可以更加靈活的增強風險分析和管控的有效性，而無論使用何種方法，都依賴于分析人對所分析主題和對象的詳盡了解和有效溝通，各工具以科學理論分析、經驗數據積累等為基礎引導思路的有效進行，從而形成完善的風險管理系統。

案例實證分析

以注射用無菌產品在潔凈環境下生產過程為例，運用魚骨圖和故障模式的效應分析方法進行風險評估。

3.1 風險評估

a） 以無菌藥品生產過程為主線，作出如下分解：

人：人員技能、人員健康

機：設計、確認、使用、維護

料：供應、放行、使用

法：工藝流程、執行切合度

環：環境控制、環境監測

以上5個提示因素為提綱（也是魚骨圖），逐級進行分解：例如人員技能還可細化為培訓、人員執行力；人員健康還可細化為體檢、病情上報制度等，每一項目可按照討論主題復雜性依次拓展，從而完善風險分析的要素。

b） 根據魚骨圖，進行風險詳細識別、分析和評價

風險系數定義

嚴重性（S）：分數1、3、6、10，分別代表低、中、高和極高

可能性（P）：分數1、2、4、8，分別代表低、中、高和極高

檢測度 （D）：分數1、2、4、6，分別代表高、中、低和極低

ORF： 總風險= S* P* D

總風險評估系數：

ORF

6≤ORF

ORF≥80，風險水平高，風險不可接受，或需要整改

3.2 風險控制

根據風險評價結果，對于風險不可接受或有待改善的項目，采取措施減少風險可能性，增加可檢測性，從而降低風險，使其處于可接受水平。采取的措施可能引起變更控制程序，同時重新評估變更引起的風險，避免變更引發其他不可接受的風險。

對于風險嚴重性極高，例如可能引起病人死亡、廠房爆炸等極其嚴重后果的，應采取一切手段，避免發生。

3.3 風險溝通

風險評估應根據評估對象組建風險評估團隊，團隊內以及團隊和風險相關人應進行風險溝通；

風險識別和評價以充分有效的風險溝通為基礎，風險識別的項目和風險評分是風險評估的重要因素；

風險評估可借鑒風險評估團隊的理論和經驗，基于日常分析、偏差、變更、自查等總結；

風險溝通貫穿于整個風險評估過程，及時真實的了解實際運行狀況。

篇2

【關鍵詞】工程項目；合同管理；風險評估；防范措施

工程項目建設是個工期長、技術含量高及投資數量大的復雜工程，尤其是隨著我國經濟不斷發展，工程項目建設規模不斷增大，工程項目建設過程存在諸多不確定的模糊風險因素，合同管理作為工程項目建設進度、質量與投資控制的基本依據，合同管理受社會自然環境、規模與投資數量等因素影響較大，存在不確定風險，加強合同管理風險的防范，可有效保障工程項目經濟效益。

一、合同風險形式

1.客觀合同風險

客觀合同風險一般是法律法規、國際慣例與合同條件所規定的，這種風險責任一般是合同雙方所回避，而人的主觀努力通常無法控制的，諸如合同所規定承包商應該承擔的變更風險、時效風險與市場價格風險等。工程變更在15%合同金額內，而承包商無法得到任何補償，此時即為工程的變更風險；當索賠事件出現后，在28d內承包商應該提出索賠的意向通知，否則索賠就會失效，這種風險發生便是時效風險；市場價格風險則是指合同價格規定不允許調整差價，在市場價格上漲后，承包商就要承擔全部的風險。

2.主觀合同風險

此種合同風險是由人為因素所引起，不過也可通過人為因素控制。在國內的許多施工合同里，業主運用自身有利條件，將苛刻條件隱含于工程合同條款之中，而有些承包商為承攬工程，制定工程項目合同時，對有利自身權利的理據不敢抗爭，或者合同判斷僅重視工期與價格，對于其他條款注意不夠，在合同簽訂上存在較大隨意性與盲目性，此時便會受制于業主，很容易被業主占據主導地位，合同平等性就很難體現，進而增加合同風險性。還有些承包商很容易輕信業主的許諾，草率簽訂沒有法律效力的合同，當業主因資金不足出現工程拖款情況時，承包商自身經濟利益就會受到影響。

二、合同管理風險評估方法

風險評估是指在風險識別后，采取合理科學方法對工程項目風險進行辨別量化，然后按照權重大小進行排序，綜合考慮工程項目風險事件可能發生的概率與損失大小。項目風險權重不同，重視程度就應該不同，風險評估是合同管理風險中的重要組成，是合同管理風險控制必不可少的工作。在工程項目中，風險是必然存在的，加強合同風險評估，可有效控制不利風險因素，避免為工程項目建設帶來影響，風險評估常用方法有下列幾種。

1.模糊評估法

模糊評估法是指運用模糊集的理論對工程項目的風險給予評價，運用三角模擬或者蒙特卡洛等模擬方法對工程項目風險進行度量，通過改變參數，可對工程項目風險進行多次模擬，并運用模擬仿真的統計結果度量項目風險結果。

2.綜合評估法

綜合評估法是邀請評估專家，評估工程項目合同管理中可能出現的風險事件與風險水平，并依據整體風險水平進行排序，以次來度量合同管理中的風險。

3.外推法

此類評估方法是最常見的，可分成旁推、前推與后推等類型，旁推是運用類似的項目數據對工程項目合同風險給予分析評估，前推是依據歷史經驗數據對未來事件可能出現的后果與概率進行判斷，而后推是沒有歷史數據狀況下，將項目合同未來存在風險事件歸結為有數據可查的初始風險事件上，從而對項目合同管理風險進行分析評估的一種方法。

在風險評估方法中，除了以上三種評估法外，還有故障樹法、層次分析法等，在風險評估中，亦應考慮因資料不全及環境復雜等因素而使風險評估存在一定偏差的可能性。

三、合同管理風險防范措施

1.提高合同風險意識，加強合同管理

工程項目合同是工程管理的主要法律文件，對項目風險的管理具有保障作用。承包商應有很強的風險意識，尤其是合同風險意識，依據企業原有項目所遇風險問題，對其整理歸類，并對其風險出現與影響范圍給予分析評價。在新項目合同簽訂與條約履行中，對每個細節與條款的風險因素進行分析，讓所有參與者都要參與，在思想上加強參與者的合同風險意識，在項目建設中，構建施工與企業經營不同層面風險的管理體系，完善合同風險的全過程分析與防范，并采取一定處理機制解除風險，確保工程項目順利開展。

2.完善工程項目的合同管理制度

在工程項目建設過程中，合同管理的環節較多，主要包含合同洽談草擬、評估簽訂、交底學習、履行跟蹤與變更終止等，工程企業應不斷規范本企業合同管理，將本企業經濟利益在合同中盡量最大化體現，避免不必要的合同糾紛，并保障企業社會經濟效益的獲得，這就需要加強合同管理制度的可行性。

合同管理制度主要有責任分解、合同交底、審查批準與每日工作報送等，其中，責任分解制度是指合同管理者把各合同責任落實到每個工作小組，并明確其工作范圍與責任，經過合同任務分解落實到相關責任人員，然后積極配合協調工程合同的履行；當合同簽訂后，相關管理人員應對各項目管理者與工作負責人實施合同交底，解釋并說明合同主要內容，以形成工程項目的合同交底制度；為避免索賠費用不能及時納入月付款要求的狀況，并便于管理者審核進度款，可建立進度款的審查批準制度；每日工作報送制度所指的是每個職能部門把本部門工作狀況與未來一周計劃送到工程合同管理部門，讓合同管理者及時了解項目信息，以便作出準確決策。

3.實施全過程的全面合同管理

工程項目的合同管理應該將合同作為主線來實施規范標準的制度化管理，制定與合同有關的工作規定，尤其是合同管理程序、組織、談判、起草、簽訂與檢查等工作環節，均要作出明確的規定。工程項目合同整體的實施過程中，每項工作均要嚴格按規定管理和執行，合同資料要記錄收集齊全，尤其是索賠資料的收集。工程項目建設中，難免出現一些不確定風險，一旦發包商不能依照合同來履行責任，承包商就會因合同價款影響延誤工期，這時承包商就應依法進行索賠，而索賠成功性主要取決于索賠強有力的證據與解釋，加強合同資料收集，可避免一些不必要的合同糾紛，確保企業應得利益。

4.提高合同管理人才培養

工程合同管理者應是高素質的綜合人才，不僅要有良好的工程技術素質，熟知相關法律法規與合同業務，還要勝任合同的擬稿、談判、修改與解釋，對工程的合同管理、索賠管理、工程造價與財會賬務等也要非常熟悉。同時，合同管理者還要配備精通合同管理與熟悉業務知識的專業人士，以應對有些業主為避免承包商索賠，進而聘請專業工程技術顧問與法律專家來起草項目合同的情況，此類合同條款編制質量較高，隱含許多對承包商不利成份，承包商對業主的這些不利條款要避免盲目接受，應善于轉移與限制合同風險，使風險在雙方間合理分配。

總結：

隨著我國經濟不斷發展，工程項目規模、工期與投資數量均不斷增加，合同管理在工程項目的作用也越來越重要，合同管理風險一旦發生，將會給企業帶來巨大損失，采取一定風險防范策略降低合同管理中的風險，可有效保障工程企業的經濟利益不受損害，并獲得最大經濟與社會效益。

參考文獻：

[1]錢峰.工程項目風險管理的分析與防范[J].內蒙古科技與經濟，2008（12）

[2]閆愛勤.工程合同管理的風險防范與探析[J].中國商界（上半月），2009（08）

篇3

1 概述

隨著科技發展，現代醫療器械越來越數字化、智能化，對于質量提出了更高要求。但風險是客觀存在的，并且是不可能被消除的。對于醫療企業來說，實際生產中，避免產生質量問題的最有效措施便是預防。因此，風險規劃管理和預測監控在醫療器械生產企業中對產品質量的保障起到極其重要的作用?？茖W地建立醫療器械質量控制管理體系，降低醫療器械開發和生產風險，避免和減少診斷差錯和醫療事故的發生具有重要的意義。

而體外診斷醫療器械作為醫療器械的分支，不同國家和地區在醫療器械方面更有不同的法律制度，對于產品質量提出多種多樣的要求。醫療器械的整個產品生命周期可以說是充滿了風險。國際標準中，質量管理體系必須符合《醫療器械質量管理體系要求》（ISO 13485：2003），其中關于風險管理的要求是：組織應在產品實現全過程中，建立風險管理的形成文件的要求，應保持風險管理引起的記錄。在產品的整個生命周期都有風險管理文件支持：在研發階段有成品的可行性分析報告，每一個組成部件也有各自的風險分析報告。而量產之后的任何變更也都必須有風險規劃和監控，避免更改造成失敗的后果。醫療企業的風險管理一般遵循《醫療器械風險管理對醫療器械的應用標準》（ISO/IEC 14971：2012）來控制風險。ISO 14971要求企業在已經將一種醫療器械的所有單個風險降低到合理可接受程度后，必須建立全部風險等級。這種全部風險等級必須反映單個風險的累積效應。風險管理認為在產品開發周期中做出的風險估計必須是有可靠依據的猜測。根據工作經驗不斷更新初步風險分析，并且根據這些更新資料采取適當措施，控制或降低風險是十分必要的。

2 案例介紹

醫療器械中，結構件是器械的支撐部分，關系著產品功能是否能精確實現，是生產中重要的一環。一般醫療器械生產企業選擇外協生產，因此在變更時，不僅涉及到技術層面，更關系到物流及供應商等各方面。本案例中，為降低供應風險和成本，需要再開發備用供應商，下面以此項目為例說明風險管理過程中失效模式和影響分析的應用。

失效模式及影響分析（Failure Modes and Effects Analysis，FMEA）是一種根據經驗和原有認識來進行可靠性分析的方法。它研究產品每個零件可能存在的失效模式并確定各個失效模式對產品其他組成部分和功能的影響，用以在實際設計、生產時預防風險，通過不斷評估、驗證及改進再驗證，使產品不斷改善，最終得到可靠的產品滿足客戶的要求。結構件更換風險管理的任務正是通過積極主動而系統地對項目風險進行全過程的識別、評估及監控，以達到將正面的計劃最大化，將負面的影響最小化的目的，確保針對所有的風險都有確定的行動。

3 風險識別

第一，根據WBS識別每一項任務在人員、技術、管理、合同、物資、供應商、保障等方面是否存在進度、質量、成本等風險。

第二，參考以前類似新開發結構件的風險分析報告。但是由于產品不同，對于結構件的要求不同，有時并不能完全照搬，需要仔細分析、區別對待。

第三，頭腦風暴法。可以召集項目相關人員不受拘束地提出任何可能風險。

通過以上分析，得出結構件更換的風險有如下五類：（1）技術風險（尺寸變化、性能變化、設計缺陷、工藝缺陷等）；（2）進度管理風險（項目拖延等）；（3）外部風險（供應商的技術能力和生產能力、法律法規的變更）；（4）物流風險（庫存和新產品的過渡方法、新產品的供貨是否及時等）；（5）成本管理風險（超支）。

4 風險分析

4.1 定性分析

先將風險清單中的風險根據其后果分為非常嚴重、嚴重、一般等程度，一般后果分為對客戶的影響和對生產組裝的影響。在評估過程中優先考慮對于用戶的影響，如果對于兩者的影響同時存在，以嚴重度高的等級為準。供應商制造能力和法規風險為非常嚴重風險；關鍵尺寸和物流風險為嚴重風險；其余為一般風險。

4.2 定量分析

有三個因素決定風險重要值：嚴重度、發生頻率、檢測度。

風險評估系數=嚴重度×發生頻率×檢測度

對定性分析的結果進行詳細分類，再使用主觀評分法，參考評分標準，對每一項風險的嚴重度、可檢測度、發生頻率進行打分。對于這些新引入的風險項均提出了相應的整改措施，將在開發中進行驗證及整改。定量分析結果如下：

通過以上方法，得出了風險分析報告。風險分析評估表顯示，由于供應商變更，總共有7項風險。有1項的風險評估系數≤50，這是廣泛可接受的。有4項的風險評估系數為≥51以及≤100，這些風險項是合理可行的，將會采取相應的建議性措施。有2項的風險評估系數高于100。因此，明確了需要采取的應對措施，尺寸對性能的影響需要在驗證中進行驗證，確保尺寸符合接收標準，并且由質量部進行控制跟蹤。而材料變更造成的重新注冊也必須盡快解決，才能符合法規要求。在模具正式量產后再填寫跟蹤報告，確認RPN值均低于50，并整理風險分析報告，以備以后的項目進行借鑒。

所采取的措施有：（1）和供應商充分溝通，保證供應商熟悉公司質量標準。圖紙需通過公司審核；（2）根據近期訂單量通知供應商提前備庫存；（3）原料檢測部門檢測零件外觀和尺寸；（4）供應商提供尺寸報告，匹配性測試和功能測試需通過驗證；（5）供應商提供尺寸報告，匹配性測試和功能測試需通過驗證；（6）由項目負責人和財務監控；（7）新零件和原封樣確認一致方可生產，否則需要供應商調整后重新送樣通過，并保存在質量部。

篇4

關鍵詞：內控手冊；內控管理；企業

中圖分類號：F270 文獻標志碼：A 文章編號：1673-291X（2014）25-0023-02

引言

內部控制是指一個組織為實現戰略和經營目標，確保資產的安全完整，確保財務信息的正確可靠，保證具體經營方針能得以貫徹執行，保證經營活動具備經濟性、效率性和效果性，在組織內實施的一系列方法、手續與措施的總稱。

內控手冊是指在組織內部管理文件的基礎上，結合內控審閱結果，以文字的形式對主要流程和子流程所涉及的關鍵業務風險、控制目標和關鍵控制活動進行表述，并用流程圖、文字描述的形式列示各項關鍵控制活動。

一、理論基礎和研究文獻

現代意義上的內控概念，出現在20世紀。至今，已歷經了四個階段。第一階段，是內部牽制階段（20世紀40年代）；第二階段，是內部會計控制階段（20世紀40年代至70年代）；第三階段，是財務管理控制階段（20世紀40年代至70年代）；第四階段，內部控制階段（20世紀80年代起）。

1992年，COSO委員會提出了《內部控制―整體框架》，該文件強調了內部控制是一個由董事長、經營層和員工共同實現的系統；認為內部控制具有五大要素，即控制環境、風險評估、控制活動、信息與溝通、內部監督。該框架于1994年得以進一步修訂。1999年特恩布爾報告在COSO的基礎上，分析了一個健全的內部控制系統所應具備的特征和構成要素，并于此基礎上設計了評價內部控制有效性的一系列標準。2004年COCO對《內部控制―整體框架》再度做了擴充，將有關風險管理的概念加入了其中，指出企業可以從內控管理升級為風險管理對原來的內控五要素也實施了擴展，風險評估被進一步細化為：目標設定、風險識別、風險評估以及風險應對。內部控制由此被包納進風險管理的范疇中。

中國的內部控制理論研究，可追溯到1996年中注協獨立審計準則《內部控制與審計風險》。2001年證監會《證券公司內部控制指引》，同年財政部《內部控制會計控制》。2008年，財政部、證監會審計署、銀監會、保監會聯合頒布《企業內部控制基本規范》，為了加強和規范企業內部控制，提高企業經營管理水平和風險防范能力，促進企業可持續發展，維護社會主義市場經濟秩序和社會公眾利益?！镀髽I內部控制基本規范》第三章“風險評估”具體要求“企業應當根據設定的控制目標，全面系統持續地收集相關信息，結合實際情況，及時進行風險評估?！?010年4月15日，財政部證監會、審計署、銀監會、保監會聯合發文《企業內部控制配套指引》（包括《企業內部控制應用指引》、《企業內部控制評價指引》、《企業內部控制審計指引》）?！镀髽I內部控制配套指引》是《企業內部控制基本規范》的進一步細化，要求自2011年1月1日起在境內外同時上市的公司施行，自2012年1月1日起在上海證券交易所、深圳證券交易所主板上市公司施行；在此基礎上，擇機在中小板和創業板上市公司施行。并鼓勵非上市大中型企業提前執行。

二、內控手冊的基本架構和內容

內控手冊是公司內部控制體系的固化產物。它參照內部控制整體框架COSO模型，考慮貫穿于企業經營管理活動中的控制環境、風險評估、控制活動、信息與溝通、監督等內部控制框架等五要素。公司流程的控制程序，都應該反映并集中在內控手冊中。內控手冊的特點是，能對涉及到的公司主要業務的內部控制流程進行梳理，完善和加強公司的內部控制管理。內控手冊一般應由流程圖和流程描述組成。

（一）基本架構

1.流程圖。流程圖由流程名稱、職能帶及具體活動/決策圖形等組成。（1）流程名稱：是對流程圖所反映活動的概括性介紹。（2）職能帶：是對具體業務活動及控制活動責任人的界定，一般細化至崗位/機構。（3）活動/決策圖形：是具體業務活動及控制活動的標識，由連接線銜接，依次編號顯示順序關系。

2.流程描述。流程描述是對流程圖的文字性解釋，由概括性介紹、具體活動描述和負責人組成。（1）概括性介紹：是對該業務流程的背景信息的描述，包括但不限于：流程涉及的職能架構、相關制度規定及以非活動形式體現的控制設置（如：不相容崗位職責分離、系統權限等）。（2）具體活動描述：對業務活動/控制活動的具體描述，描述原則應包含：時間、人員、方法、對象、原因/目的等。通過數字順序編號，與流程圖相應。（3）負責人：指每個業務活動/控制活動的負責人員，與流程圖中的職能帶相應。

一般用粗體文字突出關鍵控制活動。紅色文字則用來表示當前公司相關業務流程尚未按照該流程描述進行，但管理層已確認將來會按照該流程描述相關內容改進現有內控措施。

（二）主要內容

內控手冊應包含哪些內容？一般認為，應將企業的所有重要流程納入內控手冊，但并非所有制度都應納入內控手冊。實踐中應考慮重要性和精簡的原則。

從現有的實踐來看，若以制造業企業為例，一個合格的內控手冊，其必須納入一系列的業務流程和子流程，包括但不少于以下內容：公司層面控制；房地產投資或生產成本管理；股權投資和項目管理；財務管理；資產管理；日常采購管理；市場營銷管理；客戶服務管理；合同管理；人力資源管理等。

所謂公司層面控制，是指從董事會、監事會、經營層的公司架構高度，明確董事會、監事會和經理層的職責權限、任職條件、議事規則和工作程序，確保決策、執行和監督相互分離，形成制衡的一套流程。與具體流程控制相比，公司層面控制顯然具有宏觀性與統領性。在構建公司層面控制時，也要從控制環境、信息與溝通、內部監督等三要素出發。公司層面控制要實現的內控目標，包括但不限于以下：（1）確保公司價值觀、道德和行為準則得以貫徹執行。（2）確保對員工的能力要求符合公司經營目標。（3）明確董事會、監事會和經理層的職責權限、任職條件、議事規則和工作程序，確保決策、執行和監督相互分離，形成制衡。（4）確保董事會對管理層及公司的運行情況進行有效監督。（5）確保公司管理理念符合公司戰略發展目標，并在公司范圍內被廣泛交流與推廣。（6）確保公司業務流程服務于管理質量，實現公司效益最大化。（7）加強公司制度建設，實現企業誠信目標。（8）確保公司組織結構符合公司規模及業務活動。（9）確保公司對員工的管理、各部門崗位的職責等人力資源政策符合公司經營目標。（10）確保公司風險，特別是關鍵流程的關鍵風險點得到有效識別、評估和應對。（11）確保公司的舉報機制有效運行，對舉報的處理，反舞弊調查、執行和監督符合公司要求。（12）確保公司信息系統符合經營活動的特點和公司發展的需要，保證信息系統安全、穩定地運行。（13）確保公司信息在各管理層次及業務環節進行傳遞，同時保持與公司外部的溝通暢通。（14）確保信息披露符合證券交易委員會和證券交易所的要求以及其他監管要求；向所有市場參與者和監管部門提供及時、有序、一致、準確、完整、可靠和可信的信息。（15）確保公司內部審計制度符合獨立性要求，并有效履行監控職責。

除公司層面控制，其他管理流程都可被視為具體業務流程控制。具體業務流程控制是從“控制活動”的要素出發，詳細、具體構建制度措施，來實現控制目的。以人力資源管理流程為例，其建立的目標是建立并完善人力資源制度和流程，確保招聘、培訓、績效考核、薪酬福利的工作得到及時高效地開展，為公司管控和風險治理提供合理保障。其涵蓋的子流程主要包括勞動關系管理、日常管理等。具體又可細分為員工招聘、員工調動、員工離職、培訓管理、績效考核管理、薪酬福利管理等。

三、內控手冊的適用性及維護和變更要求

內控手冊應該適用于公司各經營管理部門，以及各經營管理部門的具體控制流程。公司各部門對內部控制體系文件的實施負有完全的責任，由其負責依照內部控制體系文件的控制標準實施內部控制活動，并對內部控制活動設計和執行的結果和效率負責。

內控手冊的修訂執行應定期復核更新制度，復核頻率為每年至少一次，以保證可適用性。然而在導致內部控制發生變更的情形出現時，有關負責部門應對變更作出及時的更新。變更情形包括：（1）公司新增業務/部門職能；（2）公司現有部門的業務流程/部門職能發生變化；（3）公司授權體系出現的重大變更；（4）其他重大變更（經公司領導授權審批）。

在公司內部，具體負責維護和更新內控手冊的部門，若沒有獨立的內控部門，則可將內控手冊更新和維護職責，委派給內部審計部門。

結論

內部控制應該固化在內控手冊中。內控手冊參照內部控制整體框架COSO模型，考慮貫穿于企業經營管理活動中的控制環境、風險評估、控制活動、信息與溝通、監督等內部控制框架五要素。COSO為企業內部控制管理提供整體性的框架體系，從各個層次對風險和內部控制進行分析和評估。公司的內部控制手冊以此架構為基礎，對涉及到公司主要業務的內部控制流程進行梳理，以完善和加強公司的內部控制管理。內部控制手冊在公司內部管理文件的基礎上，結合內控審閱結果，以文字的形式對主要流程和子流程所涉及的關鍵業務風險、控制目標和關鍵控制活動進行表述，并用流程圖、文字描述的形式列示各項關鍵控制活動。是內部控制體系的具體體現和載體，也是實現內部控制措施的工具。

參考文獻：

[1] H.法約爾.工業管理與一般管理[M].北京：團結出版社，1999.

[2] Anderson，S，W & Young，S，The impact of contextual andprocess factors on the evaluation of activity2based costingsystems[J].

篇5

關鍵詞：計算機化系統 分步驗證 風險評估 結構化方法

自動化控制的生產線、實驗室分析設備或以信息技術為基礎的企業管理平臺（如ERP或MES）的引入，用于制藥產品的生產、存儲和醫療設備的控制，所有這些在醫藥方面都是GMP相關的，因此必須進行驗證。這意味著在藥品生產質量管理規范（GMP）和相應的附件中陳述的驗證原則必須被嚴格遵守并實施。雖然這將是很多企業，特別是中小規模企業的一個巨大挑戰，但它還是可以通過分步驗證的方法被逐步解決。

1.計算機化系統驗證的方法

如果用計算機系統代替一個同樣GMP相關的手動操作，無論是產品質量還是安全都不會降低。大量的信息也不會由于降低人員參與而丟失。 21CFR Part 11中有個非常明確的要求就是對于電子記錄和電子簽名的處理，其前瞻性已經超越了其他國家，近年來，已日益成為人們關注的焦點。然而， 在其GMP指南內，對于計算機系統的驗證，只提供了驗證活動的要求，只是一個框架性的東西，而沒有詳細闡述如何去實施。對于這些要求，制藥企業根本不知道采取哪種方法。

然而，關于計算機化系統驗證的方法，反而可以在相關行業協會推薦的指南中找到。例如：GAMP5（優良自動化生產規范），國際制藥工程協會（ISPE）的“工藝控制系統驗證”，以及國際藥品認證合作組織（PIC / S）的“GxP環境中的計算機化系統的質量管理規范”。對于計算機化系統的法規要求，這些驗證指南為計算機化系統驗證的合規化在第一時間提供了技術的支持。

2.在計算機化系統驗證中引入風險評估

為了更好的執行計算機化系統驗證，一個最重要的方法就是風險評估，這也是權威機構所要求的。通過所涉及的工藝及其產生的功能，風險評估有識別這些工藝的目的，并在個別的功能模塊里，可以生成、顯示、刪除或修改GMP相關的數據。在大型的計算機化系統如ERP，GMP風險評估被分成兩方面。一方面，識別需要驗證的系統是否是所謂的遺留系統。另一方面，識別由公司或第三方編寫的GMP相關的工藝流程。除借鑒計算機化系統驗證的各類指南以外，工藝順序方案提供了風險分類的基礎，借此，單個的工藝流程可以被描述為功能相關的業務活動的一個工序。最終形成的工藝流程概述描述了如何將工藝單元嵌入期望功能。在這個風險分級的框架內，所有與ERP系統有交接面的第三方系統也必須被識別并分類。

3.基于風險評估的結構化方法

本文主要闡述了對于復雜的、整體的ERP系統如SAP、制造執行系統（MES）或文檔管理系統的驗證基于風險評估，采取分步的結構化方法將計算機化系統驗證分為三個階段進行，如圖1。

第一階段----起始準備

由于計算機化系統的復雜性，建議制訂一個單獨的驗證總計劃（VMP）專門用于計算機化系統的驗證。在這個驗證總計劃中將包括驗證的策略、程序、范圍、職責等內容。與此同時，用戶需求規格說明書（URS）將識別并記錄GMP關鍵工藝參數和其它質量相關的所有要求。因此，URS應當描述所有計算機化系統的要求，不管是在系統的獲得上還是在與供應商的一致性及組織配合上，包含的內容越詳細越好。其中，以下幾點需考慮：VMP關聯性 ，相關工藝規則，盡可能考慮實際情況，工藝順序的描述，新系統的引入及其變更的執行，硬件規格說明書（計算機，服務器，冗余系統等），安全概念（防火墻，病毒掃描等），業務流程的連續性（失效，死機等），退出方案（版本更新或系統出現故障時改進），GMP相關數據的存儲概念，編程規則/指南的要求，源代碼審核的要求，第三方系統的考慮，供應商評估及審核，供應商列表，維修服務協議，人員培訓。

除了驗證總計劃和用戶需求規格說明書，標準操作規程（SOP）也會在第一階段被考慮。所有必要的操作與維護指令應列在其中。

圖1 結構化驗證策略

第二階段----風險分析

所有被劃分為GMP相關的工藝模塊和工藝流程都要進行詳細的風險分析及評估其潛在風險。然而， 這個步驟發生的前提條件是已經把用戶需求規格說明書（URS）里面GMP相關的要求轉化到供應商的規格說明書里面。因為只有這樣，那些模塊里的分項功能和程序執行單元的數量才能被精準的確認。風險分析可以基于失效模式影響分析 （FMEA） 的方法進行。

風險分析確認了風險的類別，它為規格說明書的編寫提供了基礎，這些規格說明書包括測試范圍，測試深度和驗證文檔的水平。至關重要的是，對于每個單獨的程序單元，其有效的驗證測試記錄必須形成文件證明。

此外，在風險分析中，程序單元與第三方系統之間的接口，由于他們的GMP相關性而被評估并檢查。如果有必要， 在運行確認（OQ）期間，各個接口的有效性必須通過相應的操作測試而被確立和記錄。

第三階段----驗證實施

用戶特定的編程、工廠驗收測試（FAT）和現場驗收測試（SAT），以及安裝確認（IQ）、運行確認（OQ）和性能確認（PQ） 等驗證活動在產品開發、驗證和生產體系中分別進行。其中包括編碼審核、模塊測試、軟硬件的集成測試、驗收、放行、投入使用等。當然，在運行階段還包括變更管理、維護管理和可追溯性管理的支持流程。

4.結語

基于風險評估的結構化方法為計算機化系統驗證提供了一個解決的方法，其逐步的分階段的驗證策略使計算機化系統驗證變的不再難以逾越。

參考文獻：

[1] 國家食品藥品監督管理局.藥品生產質量管理規范（2010年修訂）.2010.

篇6

[關鍵詞]重大錯報風險,識別;評估,模糊綜合評價

近年來,企業外部環境的急劇變化直接影響到企業管理層的制度設計和業務開拓,致使會計師事務所客戶的業務活動越發復雜、管理層的舞弊越發隱蔽,審計風險明顯增加。國際審計委員會和我國已分別于2003年和2006年重新進行了審計準則的修訂,顯著加強了對審計風險的管理。

風險管理是對風險的事前預測和控制,是一種減小風險損失的管理工作,包括風險識別、風險評估、風險控制和風險轉移等4個環節。其中:風險識別是確定可能發生的風險類型或風險所在領域;風險評估是對識別出的各種類型風險進行定量描述;風險控制是采取降低風險發生概率和風險損失的行為;而風險轉移則是通過一些正當的手段將風險轉移給保險公司,也可通過合作的方式將部分風險轉移給合作伙伴。在風險管理中以風險識別最為重要,是風險管理的第一步,也是風險管理的基礎,直接影響著風險評估、風險控制、風險轉移的準確性和有效性。

審計風險是被審計客戶財務報表存在重大錯報而注冊會計師發表不恰當審計意見的可能性。相對于其他類別、行業的風險來說,審計風險的存在不僅給直接從事審計業務的會計師事務所帶來損失,而且還會給依賴于注冊會計師審計意見的投資者帶來損失。審計風險如果存在轉移,要么轉移給被審計客戶,要么轉移給擬信賴審計報告的投資者,但不管如何轉移,最大的受害者最終還是投資者,這是違背注冊會計師職業要求和資本市場發展需要的。所以,審計風險的管理工作應只包含風險識別、風險評估和風險應對,不再包含風險轉移。

我國2006年審計準則的修訂對傳統的審計風險模型也進行了整合,將審計風險模型轉變為:審計風險=重大錯報風險×檢查風險,其中重大錯報風險是指財務報表在審計前存在重大錯報的可能性。審計人員在具體應用和實施該模型時,首先是確定審計業務所達到的可信賴程度;其次是審計人員據此深入地了解被審計單位及其環境,始終對公司管理層的誠信、有無舞弊造假動機等保持一種合理的職業警覺,捕捉潛在的風險,謹慎進行重大錯報風險的識別、評估;最后在重大錯報風險評估的基礎上采取相應的風險應對的措施,以控制檢查風險至可接受的水平。由此可見,新風險模型的應用更加注重的是對重大錯報風險的識別和評估,且自始至終貫穿于整個審計業務過程中,直接影響注冊會計師所發表審計意見的準確性。而本文所探討的就是在重大錯報風險識別基礎上關于審計識別、評估的銜接、評估方法的選擇和應用的問題。

一、重大錯報風險識別和評估的側重點

重大錯報風險的識別是注冊會計師審計業務小組用感知、判斷或歸類的方式對大量和審計業務有關的信息資料進行系統了解和分析,認清被審計客戶業務活動中潛在的各種風險和可能發生的各種損失,進而判斷和鑒別審計業務所面臨的重大錯報風險及其性質,并把握其發展趨勢的行為,即從錯綜復雜的環境中找出目標體所面臨的主要風險。重大錯報風險的識別一方面可以通過審計師對被審計客戶的感性認識和根據多年積累的審計經驗結合被審計客戶自身內外部環境的變化等因素來判斷;另一方面也可通過對各種客觀的資料和風險事故的記錄,在定性分析的基礎上結合一定的定量分析技術來分析、歸納和整理。

重大錯報風險的評估在重大錯報風險識別的基礎上,分析和評價損失對審計業務既定目標的影響程度,通過對由風險識別獲得的資料和數據的處理,得到風險后果發生的概率、嚴重程度和大小,為選擇應對措施進行正確的風險管理決策提供依據。

重大錯報風險識別的重點是識別出風險存在的主要領域或公認的具體風險,而評估是進一步確定出關鍵領域的重大錯報風險具體水平,為后期的應對策略提供具體的和較為準確的決策依據來盡量控制審計損失的發生。所以,風險評估也稱為風險量化,它主要解決的是識別出關鍵領域的重大錯報風險水平是多少的問題。

二、模糊綜合評估方法的選擇

審計風險評估的具體方法很多,常用的有風險因素分析法、模糊綜合評價法、內部控制評價法、審計風險模型法、定性風險估計法、風險率評估法等。評估方法選擇不僅要考慮方法的特點,而且要注意評估目標和評估對象的類型與評估方法的對應問題。從審計角度來看,重大錯報風險評估是一個動態的過程,需要建立在對被審計單位的分析和評價的基礎上,評價涉及較多因素,包含主觀和客觀因素,其評價過程表現出較大的模糊性;同時,在重要性水平的確定和審計風險的關系等審計風險評估方面也存在一定的模糊性。因此,本文在識別出被審計客戶重大錯報風險發生的領域之后,采用模糊綜合評判法對識別出的重大錯報風險進行評估。

模糊綜合評價法是指針對評價對象的多樣性、模糊性,采用模糊數學的理論與技術,對受影響評價對象的多種因素進行模糊綜合評價,從而得到評價結果的方法。該方法既綜合考慮了所有因素,同時又通過權重把各因素的重要程度區分開來,在判定因素影響程度方面更加客觀、詳細,避免了定性方法的主觀隨意性和彈性較大的弊端,更有利于風險判斷的準確性,并可使用計算機進行計算,克服了其計算煩瑣的缺點。

三、模糊綜合評判決策的一般步驟

1.確立評價因素集

代表第i個影響因素,n代表因素的個數。如果因素較為復雜,可建立多級因素集。

2.確立權重集

權重是被評價對象的不同重要程度的定量分配,每個指標在整體評價中的相對重要程度即為權重。評價指標的權重應為U上的模糊子集,用A表示,即:A={a1,a2,…,

3.建立評判集

評判集是對各種評價指標做出的評語等級和層次,用V表示,即:V={v1,v

4.單因素評判

對U中所有因素分別進行單因素評價可得到模糊矩陣R,表示為Ri={ri1,業人員對評判對象進行打分,并歸屬于相應的評語集,按歸屬某一評語的人數占總人數的百分比作為這一因素的評判結果。

5.綜合評判

M(∧,∨)計算,可得綜合評判B=A•R,即對兩個模糊矩陣各元素之間最小值運算:將權重集A中處于第i列的ai與R矩陣中相對應的第i行中的每一個數值進行比較,取兩者中較小的一個作為結果矩陣中的用來比較的R矩陣數值對應位置的新元素,由此組成一個新的矩陣,然后取新矩陣中每一列的最大數值作為模糊矩陣B中的第j個數,得:6.確定因素重大錯報風險水平由B和V計算重大錯報風險評價水平=BVT。

四、重大錯報風險評估的應用實例

1.確立評價因素集、權重集和評語集

重大錯報風險的評估是在識別的基礎上來進行的,所以,評估階段的評價因素集、權重集和評語集與識別階段相對應(見表1所示)。

假定在重大錯報風險的識別階段識別出的關鍵領域為戰略規劃變更風險U2,其二級評價指標有:開發新產品或提供新服務、進入新業務領域U21,新的經營場所U實務中量化為V={90%,70%,50%,30%,10%}。

2.進行單因素評判

用M(∧,∨)計算得B=A•R,A=(0.2727,0.2273,0.2273,0.1364,0.0909,0.0454),

B=A•R=(00.27270.22730.13640)=歸一化=00.430.360.210。

3.計算戰略規劃變動風險的重大錯報風險水平

BVT=00.430.360.210

(90%70%50%30%10%)=0.544=54.4%。

通過以上對已識別出的該審計客戶重大錯報風險存在領域的企業戰略規劃變更風險的模糊評估,說明該類風險可能發生的概率為54.5%,假定審計組所估計的可信賴程度為95%,即審計風險為5%,則根據審計風險=重大錯報風險×檢查風險,可以計算出該審計組需要將檢查風險水平控制在9.19%的范圍之內(5%÷54.4%),屬于較低水平。由此,審計人員在制訂風險應對策略時,考慮在有必要的情況下實施控制測試,否則需要實施較大范圍的實質性測試。

主要參考文獻

[1]中國注冊會計師協會.審計[M].北京:經濟科學出版社,2007.

篇7

一、美國風險為本反洗錢檢查方法對我國的啟示

(一)美國風險為本反洗錢檢查簡介美國聯邦金融機構檢查委員會2005年了《銀行保密法/反洗錢檢查手冊》(以下簡稱BSA/AML檢查)，2007年進行了修改。該手冊對不同監管機構的反洗錢檢查進行了全面指導，是以風險為導向的反洗錢檢查方法。BSA/AML檢查主要包括三部分內容，即風險評估、核心檢查和擴展檢查。1.風險評估。BSA/AML風險評估一般包括兩個步驟:一是針對特定的金融機構，確定具體的風險類別(例如產品、服務、客戶、實體、交易和所處地區等);二是進行詳細的數據分析，以更好的評估這些類別的風險。檢查人員在進行風險評估審查時，首先確認金融機構是否針對具體的風險類別自行進行了評估。如果金融機構未開展風險評估，或風險評估不夠充分，檢查人員則必須基于可用的信息完成風險評估。評估應考慮金融機構的資產、客戶群體、產品、服務和地區等因素，采取查看《銀行保密法》報告數據庫信息、與管理層談話、分析經營狀況和業績報告等方式進行。檢查人員要通過評估識別潛在的高風險業務，確定金融機構的風險概況，評估金融機構的BSA/AML合規程序是否能夠管理并緩解風險，從而確定其整體風險概況和內部控制有效性。2.核心檢查。BSA/AML的核心檢查包括客戶身份識別、客戶盡職調查、可疑交易報告、現金交易報告(在美國大額交易報告主要指現金交易報告)、資金劃轉和貨幣工作涉及的買賣交易記錄保存等內容，即對金融機構應履行的反洗錢核心義務進行檢查。以客戶盡職調查檢查為例，檢查程序包括兩項:一是有效性評估。評估金融機構客戶盡職調查政策、程序和流程的適當性和全面性，并評估上述客戶信息在發現、監控及報告可疑交易方面的價值。具體包括四個方面:1.確定金融機構的客戶盡職調查政策、程序和流程是否與該機構的風險狀況相匹配。確定其在開戶時是否具有相應流程獲取客戶信息，并確保信息留存的客戶信息的有效性。2.確定政策、程序和流程允許變更客戶的風險等級或狀況。確定由專人負責審閱或批準此類變更。3.審核金融機構用于識別為其帶來較高洗錢風險或恐怖融資風險的客戶的深入盡職調查程序和流程。4.確定金融機構是否制定客戶盡職調查調查流程相關分析的指引，包括指導解決客戶信息獲取不足或不準確問題的指引。二是交易測試。在審閱風險評估報告、以往檢查報告和金融機構審計結果的基礎上，抽取高風險客戶的盡職調查樣本。確定金融機構是否收集了恰當的客戶信息并將信息用于可疑交易監測。在完成風險評估和交易測試基礎上，就客戶盡職調查政策、程序和流程的適當性、全面性得出結論。3.擴展檢查。擴展檢查包括對金融機構提供的20類產品和服務的檢查和對政治敏感人物、非居民等8類自然人和實體的檢查。以政治敏感人物檢查為例，檢查程序與上述客戶盡職調查檢查類似，也包括對制度、流程的有效性評估和交易測試兩部分，不再詳述。

(二)對我國反洗錢檢查的啟示1.注重評估。美國反洗錢檢查十分注重風險評估，既有針對金融機構風控架構的整體性評估，又有滲透到金融機構履行的核心反洗錢義務及各個業務條線的具體評估。每個業務條線檢查時，首先進行政策、程序、流程方面的評估，然后進行交易測試。從手冊的指導思想看，核心檢查和擴展檢查程序都可針對不同金融機構的情況選擇適用，但風險評估卻是必須的。2.深入業務。除風險評估和核心義務檢查外，《銀行保密法/反洗錢檢查手冊》十分注重針對產品/服務的擴展檢查。手冊中列明了對關聯銀行、賬戶、貸款業務等20類產品/服務的擴展檢查。這些擴展檢查詳細列明了針對不同業務的特點進行檢查的重點，既給檢查人員提供了工作指引，也給金融機構明確了反洗錢工作的方向。

二、以客戶為中心檢查的概念及方法

(一)以客戶為中心檢查的概念和內涵在部分借鑒美國反洗錢檢查方法基礎上，結合我國反洗錢監管實際，本文提出了從我國反洗錢發展的規律出發，以客戶為切入點，全流程了解反洗錢風控措施在客戶辦理各項業務的滲透情況的以客戶為中心檢查模式。具體可表述為:以客戶為中心、條線檢查為紐帶，流程控制為主線、高風險業務/客戶為重點、有機連接內控制度、客戶身份識別、大額可疑交易報告等內容的檢查模式。該模式下，針對客戶的全流程檢查與風險評估并重，旨在發現被檢查單位的反洗錢系統性、整體性風險。

(二)以客戶為中心檢查的特點與方法1.以客戶為中心，有效解決隨機抽樣代表性不足問題以客戶為中心檢查側重分析金融機構業務特點和客戶風險狀況，以特定標準挑選高風險客戶作為重點檢查對象，標準隨不同金融機構及不同時期洗錢特征進行動態調整。以對轄區某商業銀行檢查為例，針對該行業務特點和客戶風險狀況，按照5條定量標準和4條定性標準從3.7萬個客戶中，選取高風險客戶300個，樣本數量大幅減少，大幅提高檢查效率。2.以條線檢查為紐帶，有效解決模塊化檢查忽略反洗錢工作間聯系問題以對轄區某商業銀行檢查為例，針對該行100名對公高風險客戶、200名對私高風險客戶，分別沿對公、對私業務線條，從內控制度與組織機構建設、大額交易和可疑交易報告、客戶身份識別與資料保存三個方面同時檢查，綜合反映其整體反洗錢工作，避免按不同條塊檢查、不能反映整體風險的問題。3.以高風險業務為重點，有效解決模塊化檢查與金融機構業務脫節問題根據金融機構業務特點，將反洗錢檢查融入被檢查單位業務條線，對相應高風險業務進行重點檢查。以對某外資銀行和某中資銀行檢查為例，根據被檢查單位特點不同，對中資銀行重點檢查客戶貴金屬交易、大額人民幣現金交易和非面對面交易;對某外資銀行重點檢查客戶外幣現金交易及跨境匯兌、NRA賬戶管理等高風險業務。4.以流程控制為主線，有效解決模塊化檢查忽視風險控制過程問題在對公、對私兩條線檢查中，針對金融機構與客戶建立業務關系、業務關系存續、業務關系結束三個階段的反洗錢流程控制措施實施連貫檢查，發現流程設計和風險控制陷，整體評估金融機構反洗錢工作風險。一是“五步檢查法”對建立業務關系階段的反洗錢流程控制措施進行檢查(見表3)。二是在業務關系存續期間，對被查單位涉及高風險客戶和高風險業務的國際業務、信貸管理、會計、營業部等部門就該階段履行客戶重新識別、風險等級調整、大額交易和可疑交易報告等反洗錢義務情況實施檢查。三是在業務關系終止階段，主要對客戶資料和交易記錄保存和客戶資料的回溯利用等方面進行審查。

三、以客戶為中心檢查的成效

(一)全面準確評價被查單位反洗錢風控體系有效性以客戶為中心檢查既可以發現被檢查金融機構大額可疑交易漏錯報、客戶身份識別不到位等合規性問題，又可以發現問題產生的原因和風控隱患，形成對被查單位反洗錢工作有效性的準確判斷。

(二)大幅提升反洗錢檢查工作效率以客戶為中心檢查采取標準化、流程化檢查方式，且高風險客戶挑選標準、每個階段檢查內容、檢查方法均相對固定，有效縮短檢查周期，工作效率大幅提高。

篇8

首先通過風險識別，明確企業網絡安全風險的存在，找到主要的風險因素，為后面的風險評估和風險規避奠定基礎，在風險識別之后須進行風險評估，確定其對企業發展影響的嚴重性，以便下一步采取相應的措施，然后根據企業內外部風險的實際情況，采取相應的對策、措施或方法進行風險規避，使風險損失對企業生產經營活動的影響降到最小限度，最后應及時或定期進行跟蹤，辨識是否有新的風險因素產生，并針對發現的新問題和新風險，采取或者變更應對措施，通過不斷的循環，確保風險管理的充分性、適宜性和實效性。

1風險識別

網絡安全防護工作主要包括以下幾方面：（1）網絡與信息安全管理機制，包括組織機構的設置和信息通報制度的建立等；（2）與網絡相關的各種設備設施，主要包括服務器、網絡設備、存儲設備、終端設備和各種操作系統及軟件等；（3）支撐網絡運行的基礎設備設施，主要包括機房電源、UPS、空調、防火設施以及溫度感應器、濕度感應器和視頻監控等監控設備；（4）網絡應急備份設備設施。明確網絡安全防護主要內容后，需要對各項內容存在的安全隱患進行逐一識別并加以分析。其中，管理機制可能存在的安全問題有：組織機構的建立以及機構建立后的完善程度，信息通報制度的建立以及通報渠道通暢性，各種管理制度的落實及執行力等。網絡相關設備設施存在的主要安全問題有：自然災害（如火災、雷擊）、環境事故（如斷電、鼠患）、人為對硬件破壞、數據庫和操作系統等軟件的漏洞以及人為等原因造成的安全隱患。支撐網絡運行的基礎設備設施可能存在的安全問題主要是：機房電源、UPS、空調和防火設施配備是否齊全；由于地震、爆炸、大火等災害造成通信線路斷裂；網絡連接接口松動或網絡設備損壞等。網絡應急備份設備可能存在安全問題主要是：應急預案和應急支援隊伍的建立及完善程度；應急演練開展的情況；重要數據和系統是否進行備份和備份的及時性等。

2風險評估

在對網絡安全保障工作中可能存在的風險和隱患進行識別后，通過對所收集的識別資料加以分析，進行風險估計。風險評估按照嚴重性、可能性和風險系數3個影響因素進行劃分。（1）風險嚴重性等級的劃分依據是進度延誤或者費用超支。延誤或超支指標按照每多5個百分點為1級劃分，共分為5個等級，分別用1~5數字表示。（2）風險可能性等級依據風險發生的概率進行劃分，共分為5個等級，也分別用1~5數字表示，概率<20%的為1級，發生概率每多出20%，即多一個等級。（3）風險系數通過對風險嚴重性和風險可能性的等級來確定，當風險嚴重性等級為5，可能性等級為5，那么它的風險系數是5×5=25，當風險嚴重性等級為1，可能性等級為1，那么它的風險系數是1×1=1，這樣風險系數共分為1~25等級。風險系數為1時，風險等級最低，屬于小風險，在一定程度上不會造成重大事故的發生，風險系數為25時，風險等級最高，屬于重大風險，一旦發生，會造成人員傷亡、財產損失、嚴重影響生產等后果，帶來不良的社會效應，需要引起高度的重視。

3風險規避

在對網絡安全防護工作存在的風險進行評估之后，網絡部門的管理者已經對網絡安全防護工作中存在的種種風險和嚴重程度有了一定的把握。這時需要找到風險發生的原因或者引起風險的觸發條件，并在此基礎上，從眾多的風險應對策略中，結合工作實際，選擇行之有效的方法和規避措施，把風險轉化為機會或將風險所造成的負面效應降低到最低的程度。比如，網絡安全管理機制的建立及完善是網絡安全防護的首要任務。首先，企業需要建立起完善的組織機構，包括領導小組和工作小組。領導小組的組成應該由企業的主要領導及各部門的主要負責人組成，一旦發生隱患和事故時，企業能夠做出快速響應；工作小組主要由企業的網絡管理員和各部門的相關技術人員組成，除了做好日常網絡與信息安全監督和管理工作，還要配合企業做好各項網絡安全的檢查工作。其次，企業需要建立并完善信息通報制度，并保障通報渠道的通暢性，發生事故時，利用通報渠道，可以迅速把發生事件及嚴重程度傳達到各級部門，使領導能夠迅速做出決策并把決策和方案傳遞到各部門，日常工作中，信息通報渠道也是相關人員學習和交流的平臺。再比如，關于某企業下屬企業的網絡相關設備設施和支撐網絡運行的基礎設備設施，當網絡通道中斷時，引發中斷的原因可能有3點：網絡外部鏈路故障、企業內電話班或機房設備故障、下屬企業內部網絡鏈路故障。根據上述網絡通道中斷的3個觸發條件，需要采取的規避措施是：通過各系統的監控系統對網絡狀況進行實時監控，發現問題立刻與鐵通、電信通等相關單位聯系；敦促電話班、上級企業網絡中心檢查設備，并建立共同的應急機制；檢查企業內部網絡鏈路上的關鍵設備狀況；對關鍵線路上的關鍵設備進行備份；梳理并熟知應急預案等。

險跟蹤

風險管理是一個動態變化的過程。網絡安全工作在開展的過程中，本身存在很多不確定的因素，有些甚至可能與分析的風險和預定的計劃存在沖突，尤其是針對某些復雜和龐大的生產系統的網絡安全防護工作，很多風險是難以預知的。因此，應及時或是定期地進行跟蹤，明確風險發生的時間、解決狀態、責任人，辨識是否有新的風險因素產生，各類風險的發生概率和嚴重程度是否有變化，風險規避的措施是否適宜，實施是否有效等。針對發現的新問題和新風險，及時采取或者變更應對措施，這樣才能確保風險管理的充分性、適宜性和實效性。

篇9

關鍵詞：藥品；物料供應；質量危害；風險管理

中圖分類號：F270文獻標識碼：A

文章編號：1005-913X（2014）07-0210-01

近十年，各大藥害事件屢見報端，其中不乏因物料供應管理的問題造成的藥害事故，如“齊二藥”、“毒膠囊”事件。為此，政府部門出臺了相應的管理規定以期減少和預防此類事件的發生。本文通過分析制藥企業物料供應環節的風險因素，提出預防物料供應短缺及物料質量危害的措施，以期將物料供應引起的企業經營風險和產品質量風險降低至可接受的水平。

一、物料供應

（一）物料的風險級別

1.高風險：直接影響藥品質量的原料、輔料和直接接觸藥品的包裝材料等直接影響藥品內在質量的物料以及某些不合格服務會威脅到用戶或病人的安全。

2.中風險：對藥品質量有一定影響的輔料或外包裝印刷材料、服務可能造成產品性能不良或不能達到期望值。

3.低風險：對藥品質量沒有直接影響的物料或服務，其不合格將不直接影響產品的安全性或功能。

對于高風險物料，通常都實行比較嚴格的行政許可制度，變更供應商需要做充分可靠的質量研究工作，必要時需要報藥監部門的批準。此類物料的供應風險和質量風險更大，本文將重點介紹此類物料的供應風險管理。

（二）供應商評估

對于高風險物料，通常應實行現場審計，審計內容包括質量體系評估，生產產能，合規管理和環保管理問題，若是獨家供應商，[1]還需增加財務狀況，上游供應商的供應情況等信息的了解。在通過現場審計但還有尚未完成糾正措施的供應商的后續審計，以及產品質量趨勢良好的國外供應商的定期審計，可實行郵政審計供應商，此類物料須與供應商簽訂質量協議。

（三）供應短缺風險分析[2]

通過以上供應商審計中的發現并結合歷年產品的供應趨勢對某物料的供應進行可能性（供應短缺）及嚴重性（后果）的風險評估。RPN≥10的，為高風險水平，應優先采取措施降低風險至可接受水平，6≤RPN

（四）供應物料質量風險分析

通過供應商審計中的發現并結合歷年供應物料的質量趨勢對某供應商提供的某種物料進行可能性，嚴重性，可檢測性的風險評估。

當RPN≤12，為低風險水平，無需采取行動；當12

二、風險供應風險控制（風險降低，風險接受）

物料供應短缺風險和質量風險通常會相互作用，以下是常用的降低物料供應短缺及質量風險的措施。

通過采用以上供應風險評估及風險控制措施的應用，可以有效預防因物料供應短缺及物料質量危害導致的企業經營風險及質量事故。

參考文獻：

[1] 郝貴峰，王波.單一來源物料供應的風險管理.中國高新技術企業，2011(8)：134-135.

篇10

關鍵詞：油輪管理TMSA統計分析

1　TMSA形成

TMSA(Tanker Management and Self Assessment)即油輪管理與安全評估，是進入國際主要石油公司業務的必邁門檻，受到越來越多的油運公司的廣泛關注和采納。早在上世紀70年代，石油巨鱷便聚集一堂，成立了石油公司國際海事論壇，簡稱OCIMF(Oll Company Inte rnationalMarine Forum)，該組織經過了幾十年運作，OClMF已發展成為一個以國際石油巨頭為主，由59個成員組成的國際行業組織。1998年，ISM規則開始強制實施。由于各締約國主管機關對ISM規則實施的具體要求不同，導致各航運公司及其船舶安全和環境保護水平參差不齊，給石油公司租賃船舶營運帶來了很大風險。于是，在本世紀初，TMSA首先在個別大石油公司中采用，但隨即被OClMF的其他會員認同，目前TMSA已在OCIMF組織內統一作為各大石油公司對油輪公司及其船舶檢查標準。目前在行業內，大家普遍認同：TMSA是一種可以幫助船舶營運人測量并改進其管理體系的工具；它可使船舶營運人對照列出的關鍵績效指標及行業最好做法評估其安全管理體系；它是對照行業最好做法解決問題最有效的方法，使營運人在諸如追求安全和環保卓越等一些關鍵領域中發現機遇并優化其自身的經營業績；它使公司致力于通過持續地改進其過程和程序將行業的最好做法轉化到其船隊管理中來的一個準則。

2　TMSA基本要素與實施要求

TMSA目前是油輪管理行業基于lSM規則建立的行業管理標準，其目的是為油輪管理公司提供可以被衡量的初始基準和主要評估指數，為船舶管理者對管理體系的評估提供了一個標準的框架。TMSA主要由12項關鍵要素組成：管理、領導作用和責任；岸基人員招聘及管理；船員招聘及管理；可靠性與維修保養標準；航行安全；貨物、壓載及系泊作業；變更管理(即對制定、執行程序的變化進行管理，確?，F有標準不降低)；事故調查及其分析；安全管理；環保管理；應急準備及計劃；測量、分析和改進。

每個要素分成A和B兩個部分，管理標準分為四個等級，按照循序漸進的方式由最基本的一個等級提升至最高的四級，不斷整改和完善，滿分為4分，目前國際大石油公司對油輪管理公司比較認可和滿意的TMSA分數是2.5分及其以上。

TMSA實施要求重視自我評估，講求誠信。油輪公司在實施TMSA過程中，要求油輪公司定期按照此導則逐項對照公司的綜合管理體系進行自我評估定級后，明確其管理水平及發展趨勢，找出差距，制定完善措施，以實現持續改進，并向OCIMF提交評估符合報告。

3　TMSA的特點

TMSA的特點體現在：TMSA是油輪管理者根據固有標準衡量自己表現的準則；TMSA鼓勵管理者根據關鍵要素找出最優管理方法；TMSA是根據lSM規則制定，是ISM的補充但并不代替ISM；油輪船東要接受石油公司檢查，而絕大多數檢查官是具有OClMF認可資質的獨立第三方，具有社會權威性；TMSA要求異常嚴格，要求非常具體，隨意性和變通的余地很少，它非常注重統計分析這一工具，非常重視風險評估和管理的變更、等級制相關的規定等，并要求船東講求誠信。

1)要求的高標準性。TMSA作為當前海事界最為“苛刻”的規則之一，包含安全、質量、健康和環保管理等內容，其要求已超越lSM、ISO9001、IS014001標準。

2)要素標準規定的具體性。ISM、IS09001、IS014001都是從整個航運環境來定義的，具有原則性和概括性的特點，而TMSA是專門針對油輪公司及其管理而言的，某些要素的要求都非常具體，隨意性和變通的余地小，實施評價的針對性強。

3)注重對數據的統計分析。TMSA非常注重利用統計分析這一工具，以便發現共性問題及其發展趨勢，而其中要求的一些管理措施必須首先統計分析，然后根據分析結果再制定管理措施，如要求改進船舶航行弱點，就必須先進行弱點趨勢的統計分析。

4)重視風險評估。針對油輪運輸存在的高風險性，TMSA要素9專門對風險評估做了規定，要求船岸定期及在開展涉及風險的項目前都必須進行風險評估，制定措施，將風險項目的風險降低到可接受的程度。

5)變更的管理。TMSA充分考慮了因設備、人員、程序等的變更可能導致的事故風險，為此要素7要求對所有的臨時變更和持久變更必須進行風險評估，明確進行變更所需的權限，并制定預防措施。

6)重視自評與油公司的認可。TMSA要求油輪公司定期(一般為每季度一次)組織對管理狀況進行自我評估，明確其管理水平及發展趨勢，依據最佳指南找出差距，制定改善措施，實現持續改進。當自我評估達到一定的等級水平時可向OClMF提交油輪公司自我評估報告，申請相應的管理等級。

7)持續提高的管理等級制度。TMSA依據最佳指南將管理分為四個等級，油輪公司在實施TMSA2_初并不要求達到第四等級，而是從最基本的第一級標準為目標做起，逐步提高，持續改進，最終實現“零污染、零事故”的管理要求。

8)動態管理，追求卓越。TMSA對管理的要求并不是一成不變的，OClMF會根據行業管理的發展水平，定期對TMSA中的最佳指南及關鍵評估指標(KPl)進行完善，以實現通過不斷的自我完善達到卓越管理的目標。

總體來說，TMSA的實施填補了國際安全管理規則(1SM)最低船舶管理要求和油輪管理工作特殊性之問的空缺，為油輪公司完善其體系，減少對環境、人員的危害，最終實現卓越管理，提供了一種方便而實用的評估準則。

4　TMSA實施對船舶管理要求

4.1對油輪公司高層管理者要求

通過公司高層強而有力的管理能夠提高公司各階層對安全和環保的理念，確保和增加油輪營運的安全性。

1)高層領導對公司安全職責清晰的自我認識、確保安全管理工作的明確實施、對公司安全環保管理理念的清晰了解、良好的船岸溝通能力以及對以往險情的經驗教訓的總結等有助于高層領導在對油輪管理團隊的掌控，是領導和管理能力體現的重要方面。

2)自身條件較好的高層領導通過建立明確合理的安全目標，并對安全目標的實施落實過程進行考核和監控，能督促各階層的安全工作和安全環保意識，進而促進油輪營運的安全。

3)高層領導在完成目標的制定后，還要建立促使各階層認真落實的管理決策辦法。通過建立各階層安全書面文件流程，保證安全指令能夠順利執行。嚴格控制公司安全政策全面涵蓋油輪安全營運的各個方面，做到不遺不漏，不放過任何安 全細節。建立暢通的政策下達通道，保證油輪能及時接到高層領導的安全指示。建立油輪管理的安全體系，并根據日常管理中的問題和新的實際情況，及時對公司安全管理體系進行更新和考察，保證公司營運始終處于最安全的領導模式下。

4.2對油輪公司岸基管理人員要求

通過招聘及管理岸基人員，形成符合資格、高水平的管理人員團隊，保證合理的管理油輪船隊。通過合理的程序選拔岸基管理人員，能夠保障相關任務的正確實施，減少不應有的失誤，增加油輪的安全性，減少因岸基管理人員的工作失誤而造成的經濟和人員損失。對岸基人員的管理包括：岸基人員的招聘、岸基人員的培訓、岸基人員的考核、岸基人員流失控制四個方面。

1)在岸基人員招聘時，要嚴格把關，對申請人員進行資格審查，同時要有辨別申請人員資料真偽的程序。防止不合格的人員蒙混過關。還要對招聘的岸基人員進行嚴格體檢，確保公司招錄的新人能夠勝任工作的需要。

2)對新招聘的岸基管理人員，要進行嚴格的上崗培訓，在職培訓，以確保他們能適任工作。同時要保證培訓資料、課程、資源的充足，保證培訓的有效性。對于主要的岸基管理人員，要經常組織他們參加行業講座、會議、論壇等，并接受更新知識培訓，以保證他們具備要求的技術、技能，工作中做出正確的決策，保障油輪運營安全。船上的四位高級船員對油輪生產實踐認識深刻，對生產管理有直接的認識，要保證他們要有機會調任公司，一方面促進岸基管理制定出針對性的決策，另一方面提高高級船的積極性，增加油輪運輸中的安全系數。

3)要建立健全岸基人員工作的考核制度，通過定期的工作考核，對考核過程發現的問題及時處理，減少安全隱患。對考核結果進行總結，對優秀的員工進行晉升和參加更高層次培訓，從而促進岸基人員工作的積極性。

4)要嚴格控制岸基人員流失率，兩年內的流失率不能超過30％，過大的人員流失會造成工作生疏，不能密切配合，做成失誤過多，影響油輪的營運安全。

4.3對油作人員要求

通過對船員的選拔和管理，使油輪船員能夠符合資格要求，專業技能過硬，對其職責和功能明確。能夠準確合理地完成油輪的日常工作，在緊急情況下，能夠做出正確判斷，從而減少事故發生，降低事故的損失。按照規定的培訓、考核制度，不斷提高船員的技能，增加油作的安全性。并且嚴格控制公司船員隊伍的流失率，減少因船員變更過大對油作安全的影響。

1)船員招錄時要嚴格審核船員資歷和證書，并嚴格進行上船前的體檢工作。按照既定的船員招聘、篩選、提職程序對船員進行管理。

2)對船員進行充足的入職培訓、高級船員的安全培訓等，增加他們的工作技能和安全意識。

3)對船員的工作進行考核，對不合格的船員進行再培訓或者解除合同，對優秀船員進行獎勵，增加其工作積極性。并有合理的晉升程序，保證優秀船員能夠做到更高的位置。

4)要控制船員團隊的流失率，兩年內不得大于20％，盡量保證船員團隊的完整性。

4.4對油輪管理模式與理念的要求

在完成人員配置后，為保證管理的有效性，促進油輪的安全，必須建立各種規章制度，并保證規章制度的落實。這些規章制度包括對油輪的維修保養制度，航行安全、貨油、壓載水和系泊作業，管理因素的變更，事故調查及分析，應急預案及應急部署等六個主要方面。

1)油輪的維修保養制度。每艘油輪都要配備詳細的維修計劃書及缺陷報告系統。公司應定期檢查維修保養計劃書是否有效。除船上，公司應能監控船舶證書的有效性，機務總管應跟隨所有維修保養，并上船以審核船上維修保養及缺陷報告的計劃。公司政策應包括保持船舶備件庫存及流水賬等。

2)航行安全。安監室應按公司所制定的程序對船舶安全航行進行評估，并將安全航行程序納入公司安全管理體系。確保海圖的更新，英語認可的海圖供應商簽訂合同并自動供應所需海圖。確保所有航海儀器正常運作，公司應記錄所有缺陷及修正行動。大副升船長前務必再次接收船舶模擬操控培訓。

3)公司因對裝卸貨油及壓載水作業的規范有書面的計劃，每次作業均需獲得船長的批準。船上應有資深高級船員(大副)負責貨油裝卸及壓載水作業。要用公司的格式報告書并定期檢查貨油艙和壓載艙，通常壓載艙每六個月一次，貨艙一年或塢修時檢查一次并做好相關記錄。大型油輪裝載貨油量大，靠泊時系泊程序嚴格。一般要求零航速拋深錨。公司要對系泊設備有書面的維修保養程序，有書面程序以確保所有的系泊設備和其作業方式符合OCIMF指引及有關規定。

4)管理因素的變更。但管理因素變更時，應建立一個有效的管理程序以減低風險；管理人員變更時，要進行必要的培訓，保證變更后的工作正常執行。設備變更和接新船時要加快對新設備的熟悉。公司應使用正確方法評估變更管理因素所帶來的影響，并每年都對管理因素變更造成影響進行檢討。

5)事故調查及分析。利用有效的事故調查報告及跟進措施，從中吸取教訓，減少事故發生。當船隊涉及安全事故，公司應有迅速的通報機制，并對事故進行調查分析，找出事故原因得出結論。對船／岸人員進行培訓，增強其調查分析能力。

6)應急預案及應急部署。船岸各部門應有詳細的應急預案，對人員進行詳細分工。確保有足夠的應急設備，并且嚴格按照規定進行應急演習，總結經驗教訓。

5　TMSA檢查情況分析

5.1TMSA檢查缺陷分布情況統計

某油輪船隊近幾年共有近百艘次船舶接受了石油公司檢查，總通過率為90％以上，無缺陷通過率相當少。檢查缺陷總計有500多條，缺陷的分布為TMSA第1要素1項，第2要素37項，第3要素19項，第4要素57項，第5要素113項，第6要素51項，第8要素71項，第9要素章53項，第10要素10項，第11要素74項，第12要素章30項；重復缺陷210項占缺陷總數的40.7％，高風險21項占缺陷總數的4.1％。

按船舶上管理部門分，甲板部的缺陷占總數的70％；輪機部的缺陷占總數的30％左右來看，應該注意到這與我國傳統的船舶管理要求中重技術、輕管理有關，這是值得我國航運企業船舶高層管理者應該重視的問題。

5.2缺陷原因分析

1)航行管理占缺陷總數的11％，從近幾年對比看，屬于上升的，而目前石油公司很關注航行管理方面的缺陷，一旦查出即為高風險缺陷，需要引起我們重視。產生的重復缺陷主要集中在航海圖書資料的有效改正，同時，航海日志和車鐘記錄簿的規范記載問題也逐漸增多。

2)安全管理缺陷占總數的21.9％，是缺陷高發項目，幾年來變化不大，也真實反映我們的安全管理水平。主要的重復缺陷的項目有：船岸安全檢查表填寫不規范、封閉場所進入許可證沒有按照體系要求進行實施、船舶的便攜式氣體探測儀校驗問題依舊是重復次數較多的缺陷，船舶對配備標準不清楚，岸基地也沒有定期跟蹤船舶儀器的狀況。

3)貨物與壓載系統占總數的13.8％，總的來說進步明顯，公司在進一步規范貨物操作的同時，還應注意貨物質量安全。主要缺陷有專用壓載艙的有效充惰問題，真空壓力釋放閥的維護和記錄方面需要制定相應的管理措施，統一維護要求。MSDS不完整、貨艙壓力報警值的正確設定、P／V BREAKER的防火網等缺陷也多次重復出現。

4)機艙管理方面缺陷(VlQ第1 1章)占總數的14.3％，船舶的計劃維護系統(PMS)沒有船級社的批準在檢查缺陷中出現了20次，但隨著船隊船舶管理系統(SMlS)在船使用的推進，這類問題會基本得到解決。但值得注意近年共有11艘次船舶被開出“經認可的無人機艙處于有人值班狀態”這樣的缺陷，因為檢查官認為“無人機艙處于有人值守是船上代表機艙設備的運行存在安全隱患的一種表現”，這與我國航運企業至今還存在著“有人在總比無人在要好”的傳統管理理念有關，這需要船舶管理者在管理理念上的轉變。