MDSAP 风险管理程序

1、目的 / 政策

本程序旨在为 MDSAP 风险管理（RA）参与者（包括认可机构（AOs）等相关方）提供指导，确保采用一致、全面的风险管理方法。程序规定了如何识别、分析、评价和应对与项目决策相关的风险（如项目固有风险、基于项目结果的认可决策相关风险），同时协助验证 MDSAP 管理体系是否能有效缓解这些风险。

2、范围

本程序明确了 MDSAP RA 参与者及 / 或相关方 “建议采用” 或 “必须采用” 本文件所述风险管理流程的场景。

3、定义 / 缩略语（节选核心术语）

后果（Consequence）：影响目标实现的事件结果（依据 ISO 31000:2009（E））
风险等级（Level of Risk）：风险的严重程度，结合后果与发生可能性综合表述（依据 ISO Guide 73:2009（E/F））
风险管理（Risk Management）：组织为管控风险而开展的协调活动（依据 ISO 31000:2009（E））
风险评估（Risk Assessment）：风险识别、风险分析与风险评价的整体过程（依据 ISO 31000:2009（E））

4、权限 / 职责

MDSAP 有效开展风险管理的前提是具备合理的风险治理结构及清晰的权责划分。所有 RA 参与者及相关方需明确个人与集体的风险管理职责，且风险管理需融入所有 MDSAP 活动，而非单一主体的责任。决策人员（MDSAP 团队负责人及 / 或指定项目经理）需承担三项核心职责：协调各职能部门的风险管理工作、确保风险管理流程的定义、实施与评审及资源保障、向风险咨询委员会（RAC）及主席沟通关键风险问题。

5、程序（节选核心流程）

5.1 MDSAP 参与者需熟悉本文件中的概念与工具，并将其融入日常项目及交付成果（含必要的技术评估活动），风险管理需通过系统流程支持基于科学的决策。

5.2 若 MDSAP 参与者识别出某一产品 / 服务存在危害或潜在问题，应考虑该危害在类似产品 / 服务及类似场景中发生的可能性。

5.3 以下场景必须采用风险管理流程：RAC 与 / 或 MDSAP 站点间存在争议；报告二次或更高层级评审中出现与初步评审不一致的意见；通过投诉流程收到的书面信息发现新问题，或确认某产品关联的 “多起不良事件” 增加（需对相关产品 / 医疗器械或场景开展风险评估，可能需跨学科团队参与）。

5.4 风险管理流程的投入程度、正式性及文件记录要求应与风险等级相匹配。并非在所有情况下都适合或有必要采用正式的风险管理流程。在某些情况下，采用公认的工具和 / 或内部程序（如本程序）是可接受的。

5.5 然而，若某一特定风险评估工具适用，则应采用该工具。选择使用特定评估工具时，应考虑以下因素：相关问题的性质、可用于该工具的现有数据及专业能力，以及该工具在类似场景下对 MDSAP 项目经理而言的潜在效用或经实践验证的效用。风险评估工具的选择理由应在文件记录中予以说明。

5.6 风险识别与管理的两种方法：

方法一（基础流程）：至少需记录四项核心问题的调查结果 —— 风险所处的边界 / 背景 / 环境、可能出现的问题（危害来源及对 MDSAP 成果、安全性或有效性的影响）、发生可能性（概率）、后果（严重程度）；若风险不可接受，需记录降低或消除风险的措施，并权衡收益、风险与资源。
方法二（正式流程）：含六个步骤 —— 明确目标与背景（结合 MDSAP 目标定义风险管理范围）、识别风险（确定影响成果的风险来源与影响）、分析风险（评估现有控制措施有效性，结合可能性与后果确定风险等级）、评价风险（判断风险可接受性，需记录决策依据）、制定风险处理措施（含规避、降低、转移、保留风险等策略，明确实施责任与时间表）、监测与报告措施有效性（跟踪风险处理效果，及时识别新风险）。

5.7 针对争议场景：需对各方观点的风险开展分析，争议方需向相关领域专家提交代表自身观点的风险管理记录，专家基于记录与讨论最终做出风险 - 收益决策。