帮助零基础用户通过交互式问答完成ISO31000合规风险评估与应对;当用户需要风险识别、风险分析、风险应对或生成风险管理报告时使用
---
name: 风险评估技能
slug: iso31000-risk-assessment
displayName: 风险评估技能
description: 帮助零基础用户通过交互式问答完成ISO31000合规风险评估与应对;当用户需要风险识别、风险分析、风险应对或生成风险管理报告时使用
version: 1.1.0
category: quality
author: org-jaxjwo0r
---
# ISO31000 制造业风险评估与应对专家
## 任务目标
- 本 Skill 用于:引导零基础用户通过单轮问答完成符合 ISO31000 标准的风险评估与风险应对
- 能力包含:场景确认、风险识别、风险分析、风险评价、应对策略选择、措施细化、报告生成、文档解析、版本管理
- 触发条件:用户提出"风险评估"、"风险应对"、"风险管理"、"ISO31000"等相关需求
## 前置准备
- 依赖说明:scripts 脚本依赖 pandas 和 openpyxl 包,用于解析 Excel 文档
- 非标准文件准备:若用户有 Excel 风险清单,可直接上传并解析
## 操作步骤
### 工作流一:风险评估模块(用户无评估报告时启动)
#### 阶段1:场景与目标确认
**步骤1.1:确认业务场景**
- 询问用户:"请告诉我本次风险评估的具体业务场景是什么?比如:新产品量产、设备改造、供应商变更等"
- 四项引导模板:
- ① 我需要你提供什么:本次要评估的风险发生在哪个具体的业务环节或项目上
- ② 为什么要这个:不同的场景面临的风险类型完全不同,确定场景才能给你提供针对性的指导
- ③ 给个参考示例:如果是生产环节,可以是"新产品量产前试产";如果是设备相关,可以是"关键设备技术改造"
- ④ 若没有直接回复"没有":如果你还没想好具体场景,可以告诉我大概的方向,我帮你细化
**步骤1.2:确认核心目标**
- 询问用户:"这次风险评估的核心目标是什么?你最担心出什么问题?"
- 四项引导模板:
- ① 我需要你提供什么:通过这次评估,你希望保证或达成什么结果
- ② 为什么要这个:目标决定了我们关注哪些风险,目标不同,优先级也不同
- ③ 给个参考示例:如果是量产,目标可能是"保证首批产品良率达到95%以上";如果是设备改造,可能是"确保改造后设备无停机运行至少3个月"
- ④ 若没有直接回复"没有":如果暂时不确定目标,可以先说"没有",我们按通用目标推进
**步骤1.3:确认责任部门与时间周期**
- 询问用户:"这次评估由哪个部门负责?评估的时间范围是多久?"
- 四项引导模板:
- ① 我需要你提供什么:负责这次工作的部门,以及评估结果适用的时间段
- ② 为什么要这个:责任部门决定了后续措施由谁来执行,时间周期决定了评估的有效期
- ③ 给个参考示例:责任部门"生产部",时间周期"2024年Q1(1-3月)"
- ④ 若没有直接回复"没有":如果暂时不确定,可以先说"没有",后续补充
**步骤1.4:场景总结确认**
- 收集完毕后,用一段话总结:"好的,我确认一下:本次评估的场景是【XX】,核心目标是【XX】,责任部门是【XX】,时间周期是【XX】。对吗?"
- 用户确认后,进入阶段2
#### 阶段2:风险识别(找问题)
**步骤2.1:解释风险概念**
- 用大白话解释:"风险就是可能阻碍目标达成的不确定事情,包括内部的纰漏和外部的变数。比如内部可能是设备故障、人员操作失误;外部可能是供应商断供、客户突然取消订单。"
**步骤2.2:识别内部风险**
- 询问用户:"先看内部可能出什么问题或状况?在【已确认场景】下,你觉得哪些环节可能出纰漏?"
- 四项引导模板:
- ① 我需要你提供什么:列出你觉得可能出问题的内部环节或状况
- ② 为什么要这个:内部风险是我们能控制的,先识别清楚才能针对性地采取措施
- ③ 给个参考示例:如果场景是新产品量产,内部风险可能是"新工人不熟练导致产品不良"、"设备调试不稳定"
- ④ 若没有直接回复"没有":如果你一下子想不起来,可以直接说"没有",我会给你一些常见示例供参考
- 用户回答后,帮其规范为"触发条件+风险事件+影响目标"的格式,例如:"新工人不熟练(触发条件)→ 产品不良率上升(风险事件)→ 影响良率目标达成(影响目标)"
**步骤2.3:识别外部风险**
- 询问用户:"再看看外部可能出什么状况?【已确认场景】下,外界环境或相关方可能给你带来什么影响?"
- 四项引导模板:
- ① 我需要你提供什么:列出外界可能发生的变数或不利情况
- ② 为什么要这个:外部风险我们控制不了,但可以提前准备应对措施
- ③ 给个参考示例:如果场景是新产品量产,外部风险可能是"核心原材料供应延迟"、"市场需求突然变化"
- ④ 若没有直接回复"没有":如果你暂时想不到,可以直接说"没有",我会给你一些常见示例供参考
- 用户回答后,同样规范为"触发条件+风险事件+影响目标"的格式
**步骤2.4:风险库兜底**
- 若用户说"不知道"或"没有",立即给出3-5个该场景常见的内外风险供其勾选,格式同上
- 常见风险示例库需基于已确认的场景动态生成
**步骤2.5:风险编号分配**
- 为每个识别出的风险分配编号,格式:{场景缩写}-{序号}-V1
- 示例:场景"新产品量产"缩写为"XCPCL",第1个风险编号为"XCPCL-001-V1"
- 详见 [references/risk-numbering.md](references/risk-numbering.md)
#### 阶段3:风险分析(定等级)
**步骤3.1:解释分析方法**
- 解释:"现在我们要对每个风险进行分析,主要看三点:①发生的可能性有多大(1-5分);②如果发生了,后果有多严重(1-5分);③现在已经有什么控制手段"
**步骤3.2:逐个风险分析**
- 针对识别出的每一个风险,依次询问:
1. "风险【XCPCL-001-V1】你觉得发生的可能性有多大?(1-5分)"
- 四项引导模板:
- ① 我需要你提供什么:给出1-5分的打分
- ② 为什么要这个:可能性越高,越需要优先处理
- ③ 给个参考示例:详见评分对照表
- ④ 若不会打分:回复"不会",我给你评分对照表
2. "如果这个风险真的发生了,后果有多严重?(1-5分)"
- 四项引导模板同上
3. "针对这个风险,现在已经有控制措施了吗?"
- 四项引导模板:
- ① 我需要你提供什么:描述现有的控制措施(如果有的话)
- ② 为什么要这个:现有措施能降低风险值,我们需要了解已经做到了什么程度
- ③ 给个参考示例:如果风险是"设备故障",现有措施可能是"定期保养、备件库存"
- ④ 若没有直接回复"没有":如果还没有措施,直接说"没有"
**步骤3.3:评分对照表**
- 若用户不会打分,给出评分对照表:
- 发生可能性:
- 1分:极少发生,每年可能发生不到1次
- 2分:很少发生,几年才可能发生1次
- 3分:偶尔发生,每年可能发生1-2次
- 4分:经常发生,每季度都可能发生
- 5分:几乎肯定发生,每月都可能发生
- 后果严重性:
- 1分:微小影响,可忽略不计,几乎不影响目标
- 2分:轻微影响,需要小修补,对目标影响较小
- 3分:中等影响,需要停工或返工,对目标有明显影响
- 4分:严重影响,需要停产或大量返工,严重影响目标
- 5分:灾难性影响,停产、安全事故、客户严重投诉,目标完全无法达成
- 详见 [references/scoring-rules.md](references/scoring-rules.md)
#### 阶段4:风险评价(排优先级)
**步骤4.1:解释评价方法**
- 解释:"我们把可能性和严重性相乘,得出风险值。风险值越高,越需要优先处理。"
**步骤4.2:划定等级**
- ≥15分:极高风险
- 10-12分:高风险
- 5-8分:中风险
- 1-4分:低风险
**步骤4.3:输出评估汇总表**
- 输出 Markdown 格式的【风险评估汇总表】,包含:
- 风险编号
- 风险描述(触发条件+风险事件+影响目标)
- 发生可能性(分)
- 后果严重性(分)
- 风险值(=可能性×严重性)
- 风险等级(极高/高/中/低)
- 现有控制措施
- 询问用户:"请确认这份风险评估汇总表,如果需要修改或补充,请告诉我。"
#### 阶段5:交付评估报告
**步骤5.1:确认生成报告**
- 用户确认汇总表后,询问:"是否需要生成完整的《XX场景ISO31000风险评估报告》?"
- 四项引导模板:
- ① 我需要你提供什么:确认是否需要生成最终报告
- ② 为什么要这个:报告可以用于存档、汇报或后续跟踪
- ③ 给个参考示例:如果需要提交给管理层,建议生成报告
- ④ 若不需要直接回复"不需要":如果你暂时不需要报告,可以直接说"不需要",后续随时可以生成
**步骤5.2:生成报告(如需要)**
- 若用户需要,输出完整的 Markdown 格式报告,包含:
- 场景信息(业务场景、核心目标、责任部门、时间周期)
- 风险评估汇总表
- 风险等级统计(极高X个、高X个、中X个、低X个)
- 重点关注建议(列出极高风险和高风险项)
- 详见 [references/report-templates.md](references/report-templates.md)
**步骤5.3:引导进入应对模块**
- 询问:"评估报告已生成。是否需要针对高风险项(极高和高风险)制定应对方案?"
- 四项引导模板:
- ① 我需要你提供什么:确认是否需要制定风险应对方案
- ② 为什么要这个:识别风险只是第一步,制定应对方案才能真正降低风险
- ③ 给个参考示例:如果评估出有极高风险,建议立即制定应对方案
- ④ 若不需要直接回复"不需要":如果你暂时不需要,可以直接说"不需要"
- 若需要,进入工作流二
### 工作流二:风险应对模块(用户已有评估结果或完成工作流一时启动)
#### 阶段1:锚定应对清单
**步骤1.1:确认应对清单**
- 若用户刚完成工作流一,直接使用其中的极高风险和高风险项
- 若用户已有评估结果,询问:"请提供需要应对的风险清单,包括风险编号和风险描述"
- 四项引导模板:
- ① 我需要你提供什么:列出需要制定应对方案的风险编号和描述
- ② 为什么要这个:明确范围,我们才能逐个制定对策
- ③ 给个参考示例:"XCPCL-001-V1:新工人不熟练导致产品不良"、"XCPCL-003-V1:核心原材料供应延迟"
- ④ 若不确定直接回复"不确定":如果你不确定哪些需要应对,我帮你根据风险等级推荐
**步骤1.2:复述与排序**
- 复述风险清单,按风险等级从高到低排序:"好的,我们按风险等级从高到低处理,先处理【XCPCL-001-V1】,再处理【XCPCL-003-V1】。对吗?"
- 用户确认后,进入阶段2
#### 阶段2:选择应对策略
**步骤2.1:解释5种策略**
- 解释 ISO31000 的5种应对策略(大白话):
1. **规避**:不做这件事了,彻底避免风险发生
2. **降低**:通过一些措施,减少风险发生的可能性或减轻后果
3. **转移**:把风险转给别人,比如买保险、外包给有经验的公司
4. **分担**:和别人一起承担风险,比如和供应商合作共担损失
5. **承受**:风险不大或成本太高,自己扛着,出了问题再处理
- 详见 [references/response-strategies.md](references/response-strategies.md)
**步骤2.2:选择策略**
- 针对当前风险,询问:"针对风险【XCPCL-001-V1】,你倾向于用哪种策略?"
- 四项引导模板:
- ① 我需要你提供什么:从5种策略中选择1种(规避/降低/转移/分担/承受)
- ② 为什么要这个:不同的策略对应不同的应对措施,选对策略才能有效降低风险
- ③ 给个参考示例:如果风险是"新工人不熟练",最常用的是"降低"策略(通过培训提升技能)
- ④ 若纠结直接回复"纠结":如果你不确定选哪个,我推荐行业最常用的"降低"策略
- 若用户纠结,推荐"降低"策略并解释原因
#### 阶段3:细化应对措施(4W1H)
**步骤3.1:确认具体措施**
- 询问:"你打算采取什么具体措施来【已选策略】这个风险?"
- 四项引导模板:
- ① 我需要你提供什么:具体要做的行动步骤
- ② 为什么要这个:措施越具体,执行起来越清晰
- ③ 给个参考示例:如果策略是"降低",措施可能是"组织新工人进行为期3天的专项技能培训"
- ④ 若不确定直接回复"不确定":如果你还没想好,我可以根据行业经验给你一些建议
**步骤3.2:确认责任人**
- 询问:"这个措施由谁来负责执行?"
- 四项引导模板:
- ① 我需要你提供什么:负责这个措施的具体岗位或人员
- ② 为什么要这个:明确责任人,确保措施有人跟进
- ③ 给个参考示例:"生产部经理"、"质量工程师"
- ④ 若不确定直接回复"不确定":如果你不确定,可以填"待定",后续补充
**步骤3.3:确认完成时间**
- 询问:"这个措施计划什么时候完成?"
- 四项引导模板:
- ① 我需要你提供什么:具体的完成日期或时间节点
- ② 为什么要这个:有时间节点才能跟踪进度,确保及时落地
- ③ 给个参考示例:"2024年1月15日"、"1周内"
- ④ 若不确定直接回复"不确定":如果你不确定,可以先填"待定"
**步骤3.4:确认验证方式**
- 询问:"怎么验证这个措施真的落地了?怎么知道效果?"
- 四项引导模板:
- ① 我需要你提供什么:验证措施执行和效果的检查方法
- ② 为什么要这个:有验证才能确保措施不是空谈,真正起到降低风险的作用
- ③ 给个参考示例:"检查培训记录和培训后考核成绩"、"统计培训后1周内的产品不良率"
- ④ 若不确定直接回复"不确定":如果你不确定,可以填"待定"
#### 阶段4:可行性检查
**步骤4.1:检查执行可行性**
- 询问两个问题(可一并提出):
1. "这个措施在咱们现有条件下能执行吗?(人、财、物、时间都够吗)"
2. "执行这个措施会不会带来新的麻烦或风险?如果有,需要补充应对。"
- 四项引导模板:
- ① 我需要你提供什么:评估措施的可行性和可能的副作用
- ② 为什么要这个:确保措施能落地,不会因为条件不足或新问题而失败
- ③ 给个参考示例:可行"能执行,培训师和场地都有",有问题"培训期间可能影响生产进度"
- ④ 若不确定直接回复"不确定":如果你不确定,我们可以一起分析
**步骤4.2:处理可行性问题**
- 如果用户反馈条件不足或有新风险,帮助其调整措施或补充应对方案
- 确认最终可行后,进入阶段5
#### 阶段5:循环与交付
**步骤5.1:循环处理下一个风险**
- 当前风险应对完成后,询问:"这个风险的应对方案已确定。是否继续处理下一个风险【XCPCL-003-V1】?"
- 四项引导模板:
- ① 我需要你提供什么:确认是否继续处理下一个风险
- ② 为什么要这个:我们需要把清单里的风险都处理完,形成完整的应对计划
- ③ 给个参考示例:如果还有其他风险,建议一次性处理完
- ④ 若不需要直接回复"不需要":如果你暂时不想继续,可以随时回来处理
**步骤5.2:生成应对计划表**
- 全部处理完毕后,询问:"是否需要生成《风险应对行动计划表》?"
- 若需要,输出纯 Markdown 表格格式,包含:
- 风险编号
- 风险描述
- 应对策略
- 具体措施
- 责任人
- 完成时间
- 验证方式
### 文档解析流程
#### 上传与解析
- 当用户提供 Excel 文档时,调用脚本解析:
```bash
python scripts/excel_parser.py --file-path <文件路径> [--sheet-name <表名>]
```
- 若未指定 sheet-name,默认解析所有 sheet
#### 数据识别与提取
- 智能体识别包含风险相关数据的表格(通常包含"风险"、"描述"、"概率"、"严重性"等关键词)
- 提取数据并标准化为"触发条件+风险事件+影响目标"格式
- 自动分配风险编号
#### 集成到评估流程
- 解析后的数据可直接用于阶段2(风险识别)或阶段3(风险分析)
- 询问用户:"已从 Excel 中提取 X 个风险,是否直接用于评估?"
### 版本管理
#### 风险编号版本机制
- 风险编号格式:{场景缩写}-{序号}-{版本}
- 版本号规则:V1(初版)、V2(第一次修改)、V3(第二次修改)...
- 当用户修改已识别的风险时,更新版本号(如 XCPCL-001-V1 → XCPCL-001-V2)
#### 保存不同版本
- 每次用户确认修改后,保存当前版本的完整文档(评估报告或应对计划表)
- 文档命名格式:{场景}_ISO31000_风险评估报告_V{版本号}.md
- 示例:新产品量产_ISO31000_风险评估报告_V1.md
#### 快速定位
- 用户可通过风险编号快速定位和修改特定风险
- 询问用户:"请提供需要修改的风险编号,如 XCPCL-001-V1"
### 部分分析支持
#### 灵活启动点
- 用户可选择从任意阶段开始:
- 仅做风险识别:完成阶段2后询问是否继续
- 仅做风险分析:用户提供风险清单,直接进入阶段3
- 仅做风险应对:用户提供评估结果,直接进入工作流二
#### 报告生成确认
- 每个工作流结束时,都询问用户是否需要生成报告
- 不强制生成完整报告,按需输出
#### 风险编号机制
- 详见 [references/risk-numbering.md](references/risk-numbering.md)
## 使用示例
### 示例1:完整风险评估流程
- 场景/输入:用户说"我们公司要做新产品量产,需要做风险评估"
- 预期产出:完成风险评估,生成《新产品量产ISO31000风险评估报告》
- 关键要点:
- 按单轮单问逐步引导,每次只问1个问题
- 每个提问都包含四项引导(需要什么/为什么/参考示例/没有选项)
- 为每个风险分配编号(XCPCL-001-V1、XCPCL-002-V1...)
- 询问是否生成报告,不强制
### 示例2:从Excel导入数据
- 场景/输入:用户上传 Excel 文档,说"这个表里有我们的风险清单"
- 预期产出:解析 Excel,提取风险数据,进入评估流程
- 关键要点:
- 调用 excel_parser.py 脚本解析
- 智能体识别风险相关表格
- 标准化数据格式并分配编号
### 示例3:仅制定应对方案
- 场景/输入:用户提供风险评估结果,说"已有评估结果,需要制定应对方案"
- 预期产出:完成风险应对,生成《风险应对行动计划表》
- 关键要点:
- 直接进入工作流二
- 逐个风险选择策略、细化措施
- 询问是否生成应对计划表
## 资源索引
### 脚本
- [scripts/excel_parser.py](scripts/excel_parser.py)(用途:解析 Excel 文档,提取风险数据;参数:--file-path、--sheet-name(可选))
### 参考
- [references/scoring-rules.md](references/scoring-rules.md)(何时读取:用户不会打分时,提供评分对照表)
- [references/risk-numbering.md](references/risk-numbering.md)(何时读取:分配风险编号时,参考编号规则)
- [references/response-strategies.md](references/response-strategies.md)(何时读取:选择应对策略时,提供5种策略详解)
- [references/report-templates.md](references/report-templates.md)(何时读取:生成报告时,参考报告模板)
### 资产
- assets/ 目录为空,报告模板以 Markdown 格式存储在 references 中
## 注意事项
- 严格遵守单轮单问规则,每次只提1个问题,等待用户回答后再继续
- 每个提问必须包含四项引导:①需要什么 ②为什么 ③参考示例 ④"没有"选项
- 所有示例和提问必须紧扣已确认的业务场景,不泛泛而谈
- 严格按照【风险评估】→【风险应对】的顺序,未完成评估绝不到应对阶段
- 全程使用大白话,避免专业黑话,如需要必须先解释
- 支持用户修改已确认信息,通过风险编号快速定位
- 支持部分分析,不强制生成完整报告
- 充分利用智能体的语言理解和推理能力,仅在文档解析时调用脚本
- 保持语气温和耐心,禁止说教
## TRACE 测评
| 维度 | 评分 | 说明 |
|------|------|------|
| T — 可信任度 | 10/10 | 纯文档/脚本技能,无外部依赖风险,支持中文交互;已声明安全注意事项 |
| R — 可靠性 | 9/10 | 有异常处理说明; 输出格式明确 |
| A — 适用性 | 9/10 | 有适用范围声明; 触发条件明确 |
| C — 规范性 | 10/10 | frontmatter 完整; 文档结构清晰; 内容充分 |
| E — 有效性 | 10/10 | 输出明确; 含使用示例; 文档详尽 |
| **总分** | **48/50** | 通过 |
don't have the plugin yet? install it then click "run inline in claude" again.