为风险评估确定明确目标，并以此作为风险评估的基础。目标包括： 战略目标、经营目标、报告目标、合规目标。对设置的目标进行拆分，形成下一级目标，以此类推，直到不能拆分为止。 目标分解是有效识别风险的前提。

对风险对应的各项业务进行层层细化（见《内控风险的识别、评估与控制程序》YJ/ZH/PD/SJ-007-2021 附录 C），形成《企事业单位风险细化名称汇总表》、《业务领域及管理环节》。

通过公司各管理层次的年度工作计划，以及其他有关体系的策划活动对公司及所属各单位的内外部环境因素（参阅附录 C.1）、相关方及其需求（参阅附录 C.2）进行分析和评审，对公司质量管理体系建立、运行和保持过程存在的风险进行识别、收集风险综合信息和风险事件，分析影响公司质量管理体系实现预期结果的不确定性因素，识别公司面临的风险。

执行《内控风险的识别、评估与控制程序》YJ/ZH/PD/SJ-007-2021。

以质量风险数据库为基础，根据风险评估标准，从风险发生可能性和影响程度两个维度进行打分。

在质量风险分析环节确定可能性与影响程度等级后， 根据业务能力、技术水平或工作经历等对参与风险分析的人员划分类别， 对每一类别设定权重，采用加权平均的方法计算风险等级分值（R）。

根据风险等级标准（见下表），确定质量风险管控重点，形成《重大质量风险数据库》（见附录 B.2）。

是指企业愿意承担什么风险、承担多少风险，原则上要正确认识和把握风险与收益的平衡，避免片面的追求收益而忽视风险、为规避风险而放弃发展机遇的行为。分为风险回避、风险追求和风险中立。

在企业目标实现过程中对差异的可接受程度，是在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度，是在结合企业内外部环境和企业风险管控能力基础上，对风险偏好的进一步细化和量化。风险容忍度越大，说明企业承受风险的能力越强。主责单位应对关键风险进行容忍度的量化分析，确定可以接受的风险范围。

关键预警指标用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标，管理层可据此迅速采取措施。

（a）接受：是指企业因为不具备相应的管控能力或管控成本过高，所以对面临的风险采取接受的态度，从而承担风险带来的后果；（b）分担：是借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略；（c）规避：是指企业回避、停止或退出蕴含某一风险的商业活动或商业环境，避免发生相关风险；（d）减轻：是指控制风险事件发生的动因、环境、条件等，来达到降低风险事件发生概率，减轻风险事件发生损失的目的。

公司各单位针对风险管控重点，制定风险管控措施，特别是重大风险的管控目标、管理策略、解决方案、执行细则及要求、监督检查计划等，并最终形成《重大质量风险管控方案表》(见附录 B.3)及《重大质量风险监督检查计划表》（见附录 B.4）。

公司各单位应进行质量风险监测，对主责业务风险、特别是重大风险管理按照重大质量风险管控方案组织实施；应按照《重大质量风险监督检查计划表》（见附录B.4）的内容开展重大质量风险监督检查，形成有关记录。

质量管理部对各单位质量风险管理工作的落实、年度重大风险评估与管控效果等主要工作开展定期或不定期的检查和评价，并形成年度《质量风险管理报告》（见附录 B.5），向公司风险控制主管部门、主管领导报告。