PAGE1OF37風險的定義風險,是指在某一特定環境下,在某一特定時間段內,某種損失發生的可能性。風險是由「風險因素」、「風險事故」和「風險損失」等要素組成。換句話說,是在某一個特定時間段里,人們「所期望達到的目標」與「實際出現的結果」之間產生的距離稱之為風險。PAGE2OF37企業經營風險在閎民科技的現狀環境下,在某一特定時間段內,某種損失發生的可能性。換句話說,閎民科技在某一個特定時間段里,「股東或公司所期望達到的目標」與「實際出現的結果」之間產生的距離稱之為風險。PAGE3OF37風險辨識與分析(風險評估)企業經營風險有哪些?就必須執行辨識的工作。而這些已經辨識的風險,有哪些是必須優先處理的?有哪些是可以暫時擱置的?就必須進行分析的工作。所以,風險辨識+風險分析=風險評估(RiskAssessment)。PAGE4OF37風險因應對策既然企業經營風險是所期望達到的目標與實際出現的結果之間產生距離的差距,那麼,提出風險因應對策的目的,就是要「彌補」所期望達到的目標與實際出現結果之間距離的一種策略了。PAGE5OF37企業經營風險的管理架構建立前後環節建立前後環節風險鑑別風險鑑別風險分析風險分析風險評估風險評估風險處理風險處理溝通與諮商溝通與諮商監測與審查監測與審查風險評鑑過程風險評鑑過程PAGE6OF37建立前後環節風險鑑別風險鑑別風險分析風險分析風險評估風險評估風險處理風險處理風險評鑑過程風險評鑑過程建立前後環節:可運用的工具是「SWOT分析模型」,與「利害相關者的需求與期望」。PAGE7OF37風險鑑別:如何運用「SWOT分析模型」,與「利害相關者之需求與期望」工具。建立前後環節建立前後環節風險鑑別風險分析風險分析風險評估風險評估風險處理風險處理風險評鑑過程風險評鑑過程PAGE8OF37SWOT分析模型Strength:企業內部的優勢。Weakness:企業內部的劣勢。Opportunity:企業外部的機會。Threat:企業外部的威脅。PAGE9OF37利害相關者的需求與期望利害關係者(Stakeholder)是一個與企業組織相關的概念,通常也叫利害關係持有者。企業在經營過程中,這些利害關係者對企業的經營與營利、生存與發展都起著至關重要的作用,忽視任何一種利害關係者的存在,都可能對企業產生嚴重的後果。換言之,會影響企業組織達到預期目標的個人或團體皆稱之,因此要關注他們這些人或團體的「短期需求」與「中、長期的期望」。PAGE10OF37利害相關者有哪些人或團體?經營者與企業員工。股東。用戶或可戶。供應商或協力廠商。債權人。競爭者。政府。其他,包含了工會、營銷中介、公眾與社區、合作院校及科研機構、媒體等在內的其他利害關係者,通常企業在經營的過程中也不能忽視他們的存在。PAGE11OF37利害相關者的需求與期望需求:是利害相關者短期(通常是一年之內)要求企業組織須完成的事情或需要達成的目標,而企業組織通常也可運用既有的資源可以予以滿足的事情或目標。期望:是利害相關者中、長期(通常是一年以上、三年以內)期望或建議企業組織須完成的事情或需要達成的目標,而企業組織通常需考量既有的資源是否可以予以滿足的事情或目標。PAGE12OF37風險分析、風險評估:請使用「FMEA失效模式與效應分析表」,來作為風險分析與評估的工具。請注意「風險分析」使用的評估因子,例如:風險之「發生嚴重度」、「發生機率」。請注意「風險評估」須制定「可接受」與「不可接受」的風險標準。建立前後環節建立前後環節風險鑑別風險鑑別風險分析風險評估風險處理風險處理風險評鑑過程風險評鑑過程PAGE13OF37FMEA失效模式與效應分析PAGE14OF37發生嚴重度的標準標準項目分數可能的描述緊急4對於組織系統造成非常嚴重衝擊下,且短時間內必須進行具體行動下。會有造成組織系統有跟政府法規相違背時。對於組織的營運會有非常嚴重影響時。嚴重3對於組織系統在未來有造成衝擊時。對於公司的營運會影響時。營運夥伴流失。輕微2對於組織系統有影響。可忽略1對於組織系統有些微影響。PAGE15OF37發生機率的標準標準項目分數可能的描述發生頻繁4≥1/20(5%)可能發生31/20(5%)且≥3/100(3%)偶爾發生23/100(3%)且≥1/100(1%)極少發生11/100(1%)且≥1/10000(0.01%)PAGE16OF37可接受與不可接受的標準可忽略(1)輕微(2)嚴重(3)緊急(4)發生頻繁(4)可暫予忽略8優先制定因應對策12優先制定因應對策16優先制定因應對策可能發生(3)可暫予忽略可暫予忽略9優先制定因應對策12優先制定因應對策偶爾發生(2)可暫予忽略可暫予忽略可暫予忽略8優先制定因應對策極少發生(1)可暫予忽略可暫予忽略可暫予忽略可暫予忽略PAGE17OF37風險處理:即指,依據「不可接受」的風險項目進行「具體的改善措施」。當改善措施完成後,隨即再執行一次「風險分析」與「風險評估」,以確認是否該項風險項目可降低至「可接受」的範圍。此時,所確認的結果稱之為殘餘風險。建立前後環節建立前後環節風險鑑別風險鑑別風險分析風險分析風險評估風險評估風險處理風險評鑑過程風險評鑑過程PAGE18OF37具體的改善措施(目標管理)所需執行的工作。所需要的資源為何。由何人負責。何時完成。如何評估結果。PAGE19OF37執行企業風險的難點以上所談的是針對SWOT的劣勢與威脅,以及針對利害相關者的短期需求所提出的相關工作,那針對SWOT的優勢與機會、以及利害相關者的中、長期期望呢?在此提出建議:選擇可以納入目標與行動方案的項目進行描述。PAGE22OF37第4章節組織前後環節(一)4.1組織對自我及其前後環節的瞭解組織應決定與其目的和其策略方向直接相關,且影響組織達成其品質、環境管理系統預期結果的能力之外部與內部議題。組織應監視及審查與此等外部及內部議題有關之資訊。備考1:議題可包括列入考量的正向及負向影響之因素或情況。備考2:考量國際、國家、區域或地方的法律、技術、競爭、市場、文化、社會及經濟環境所引發之議題,可促進對外部前後環節的瞭解。備考3:考量與組織有關的價值觀、文化、知識及績效等議題,可促進對內部前後環節的瞭解。PAGE23OF37第4章節組織前後環節(二)4.2瞭解利害相關者的需要及預期由於利害相關者對組織一致地提供符合顧客及適用法令以及法規要求事項之產品及服務的能力,有其影響或潛在影響,組織應決定下列事項:a)對品質、環境管理系統有直接相關的利害相關者。b)此等與品質管理系統有直接相關的利害相關者之要求事項。組織應監督與審查有關此等利害相關者及其直接相關要求事項之資訊。c)此等需求與期望知將形成期守規性義務。PAGE24OF37IATF16949補充要求組織建立品質管理系統的年度績效目標(內、外)時,應對各利害相關者及其有關要求的評審過程予以考慮。PAGE25OF37第6章節規劃(一)6.1處理風險及機會之措施6.1.1在規劃品質管理系統時,組織應考量4.1所提及之議題與4.2所提及之要求事項,並決定需加以處理爭風險及機會,已達成下列目的。a)對品質管理系統可達成預期結果給予保證。b)加強期望達成之效應。c)防止或減低不期望得到之效應。d)達成持續改進。PAGE26OF37第6章節ISO14001之要求並決定與組織的環境考量面(6.1.2)、守規性(6.1.3)及4.1、4.2中所鑑別的其他議題與要求事項有關,需要加以處理的風險與機會,已達成下列事項:對環境管理系統可達成其預期結果給予保證。防止或減低不期望的效應,包括可能影響組織的外部環境狀況。達到持續改進。在環境管理系統範圍中,組織應決定潛在的緊急情況,包含可能具有環境衝擊之情況。PAGE27OF37第6章節ISO14001之要求組織應維持下列事項之文件化資訊:須加以處理的風險與機會。所有過程,已依據所規劃者執行具有信心之必要程度。PAGE28OF37第6章節規劃(二)6.1.2組織應規劃下列事項:a)處理此等風險及機會之措施。b)達成下列事項的方法。1)將措施予以整合並實施於其品質管理系統過程中(參照4.4)。2)評估此等措施之有效性。處理風險及機會所採取的措施,應與其對應產品或服務符合性之潛在衝擊成正比。PAGE29OF37第6章節規劃(三)備考1:處理風險之選項可包刮:避免風險、接受風險以尋求機會、消除此風險根源、變更其可能性或後果、分擔風險,或以充分資訊的決定保留風險。備考2:機會可導向:採行新的操作實務、推出新產品、開拓新市場、開發新客戶、建立夥伴關係、使用新技術、及其他所期望且可行的契機,以處理組織或其顧客之需求。PAGE30OF37第6章節ISO14001之要求6.1.2環境考量面在環境管理系統界定範圍內,組織應決定期可控制起可能具有影響的活動,產品及服務的環境考量面,組織應依據下列事項納入考量。a)包括已規劃的或新的發展,以及新的或以已修正的活動、產品及服務之變更。b)不正常情況以及合理可預見的緊急情況。組織應決定具有或可能具有重大環境衝擊之考量面,及使用已確立的準則判定之重大環境考量面。PAGE31OF37第6章節ISO14001之要求組織應適當地在組織各階層與部門間溝通其重大環境考量面。組織應維持下列事項之文件化資訊:環境考量面與植基相關的環境衝擊。用已決定其重大環境考量面之準則。重大環境考量面。備考:重大環境考量面可產生風險與機會,結合不力的環境衝擊(威脅)或有利的環境衝擊(機會)。PAGE32OF37第6章節ISO14001之要求6.1.3守規性義務組織應進行下列事項:a)決定與其環境考量面有關的手規性義務並有管道取得。b)定此等守規性義務應用於組織。c)在建立、實施、維持即持續改進其環境管理系統時,將此等守規性義務納入可量。組織應維持其守規性義務之文件化資訊。備考:守規性義務可能對組織產生風險與機會。PAGE33OF37第6章節ISO14001之要求6.1.4規劃措施組織應規劃下列事項:a)採取措施以處理其下列事項:(1)重大環境考量面。(2)守規性義務。(3)6.1.1所見別出的風險與機會。PAGE34OF37第6章節ISO14001之要求b)如何規劃下列事項:(1)將此等措施整合與實際至其環境管理系統過程,或其他業務過程中。(2)評估此等措施之有效性。組織在規劃此等措施時,應考慮其技術選項與其財務、運作及業務要求事項。PAGE35OF37IATF16949補充要求6.1.2.1風險分析組織應持續的進行風險分析,至少包括:潛在的和實際的回饋、現場返回及修理、投訴、報廢以及任何的重工。備註:風險分析應根據對顧客的影響嚴重度、頻率、偵測度。PAGE36OF37IATF16949補充要求6.1.2.2緊急應變計畫組織應:a)識別和評估所有生產過程和基礎設施設備的內部和外部風險,確保生產的輸出和顧客的要求得到滿足;b)根據風險和對顧客的影響制定緊急應變計畫;c)制定緊急應變計畫,以確保在下列任何件發生時供應鏈的連續性:關鍵設備故障、供應鏈中斷、自然災害、公共設施中斷、勞動力短缺、基礎設施的破壞;PAGE37OF37IATF16949補充要求d)緊急應變計畫包括任何影響顧客的操作的程度和持續時間的顧客通知;e)定期測試緊急應變計畫的有效性,包括模擬演練;f)採用多方論證方法,對緊急應變計畫進行審查(至少每年)與更新;g)保留書面化資料,描述緊急應變計畫的修訂和授權的修訂人員。