由于ISO9000分析分析涉及的內(nèi)容比較多����,應當由主管部門組織公司所有部門依照部門職責對部門存在的風險進行分析,而不僅僅是哪一個部門的事情���,應當是所有部門的事情�����。
對組織有影響的風險主要有以下4類:
1.組織風險:發(fā)生在組織實體及其活動層面����;
2.戰(zhàn)略風險:發(fā)生在組織的戰(zhàn)略或業(yè)務計劃制定不夠周密時����;
3.合規(guī)風險:發(fā)生不符合法律法規(guī)要求的情形時�;
4.運營風險:分為與組織的程序和措施有關的7個分類別。
僅供參考:
1.組織風險
實體層面的風險可以是外來的也可以是內(nèi)部存在的�����。外來因素包括技術�����、競爭以及法律環(huán)境;內(nèi)部因素包括安保��、信息系統(tǒng)����、收發(fā)貨物遺失、人員能力和責任變化等方面�����。
活動層面的風險對個人和部門發(fā)生影響����,包括在系統(tǒng)中輸入信息或材料時的疏漏;收發(fā)貨記錄遺失��;安??刂扑尚福蝗鄙偈炀毤夹g人員以及員工的疏忽大意等�。如果在組織的各個環(huán)節(jié)活動層面的風險不斷,最后勢必形成實體層面的風險��。
2.戰(zhàn)略風險
戰(zhàn)略風險指的是因執(zhí)行一項不成功的商業(yè)計劃或戰(zhàn)略而可能發(fā)生的損失��。其原因可能是由于做了糟糕的業(yè)務決策、執(zhí)行決定不力����、資源不足或者是因為業(yè)務環(huán)境發(fā)生了變化而未及時進行調整。
3.合規(guī)風險
合規(guī)風險是與法律法規(guī)要求有關的風險����。環(huán)境、健康和安全要求一直是人們關注的問題���,因為一旦這些方面出現(xiàn)問題���,輕則罰款,重則停業(yè)甚至追究刑事責任都是可能出現(xiàn)的后果���。遵守質量和環(huán)境方面的標準和規(guī)范也在這個范疇之內(nèi)�。
環(huán)境風險包括液體危險品遺撒�、危險氣體排放以及固態(tài)廢棄物的不當處理����,包括的情況還可能有以下情形:
采購部將從國內(nèi)采購改為向國外供應商采購;
負責環(huán)境的關鍵管理人員離崗未及時替補����;
引入新的物料卻未編制有關的安全管控記錄�����。
4.運營風險
運營的風險可以具體從以下7個方面說明:
(1)管理體系風險
由于制定的戰(zhàn)略����、制度規(guī)定和工具�、數(shù)據(jù)處理、呼叫(電話)中心��、合同管理��、設計與開發(fā)等層面的效率低下���,都可能造成管理體系的效率低下�。比如說�,一個重度依賴外包的供應鏈,可能有很大風險���。
管理體系的其他風險包括不正確的收入確定���;違反國家安全規(guī)定��;不符合環(huán)境法規(guī)以及薩班斯-奧克斯利法案(美國的一部涉及會計職業(yè)監(jiān)管���、公司治理、證券市場監(jiān)管方面的重要法律)的要求���。這些行為將可能導致罰款�����、停業(yè)甚至追究刑責的后果����。為了降低此類風險��,組織的最高管理層以及董事會必須對管理體系有透徹的了解��,并努力提高其有效性��。如果人力資源管理制度����、各種管理工具��、數(shù)據(jù)處理、呼叫(電話)中心�����、營銷活動��、合同管理��、顧客溝通��、設計和開發(fā)等活動效率低下�����,則組織的管理體系必受其累���。
總而言之���,組織的最高管理層和董事會要了解自身的管理體系并不斷提高其有效性。
(2)顧客滿意風險
顧客溝通��、送貨�����、產(chǎn)品本身、設計維修以及對顧客反饋的回應方式都會影響顧客滿意風險�。為降低此類風險,宜將相關的產(chǎn)品質量數(shù)據(jù)����、產(chǎn)品和過程監(jiān)控數(shù)據(jù)以及供應商供貨質量等數(shù)據(jù)也一并納入分析過程。
(3)供應鏈風險
采購經(jīng)理必須對外購產(chǎn)品和服務�����、獨家供應商����、送貨時間庫存管理以及文檔管理等保持關注。信息溝通是確保供應鏈有效運行的關鍵����。用來管理供應鏈風險的數(shù)值包括送貨時間、庫存水平及成本等�。
(4) 收入確認風險對利潤的影響
對此類風險的管理包括追蹤產(chǎn)品從生產(chǎn)、銷售到發(fā)貨以及應收賬款的全過程�����。收入的確認受到諸如應付款、應收賬�、交付前貨值記錄�����、現(xiàn)金報價錯誤���、計算表錯誤以及價格信息不完整等原因影響�����。
質量經(jīng)理在控制收入確認過程的有效性方面負有重要責任�����。質量體系和財務管理體系在此有交集����,涉及產(chǎn)品實現(xiàn)���、成本���、銷售����、開發(fā)票�����、付款�、庫存管理以及發(fā)貨等過程。發(fā)貨信息是對應收賬款和收入確認的直接輸入�。對于許多公司來說,收入確認對其收入有著直接影響���,甚至可能影響其股票價格�����。
由于不正確的收入確認�,還可能出現(xiàn)背離事實的虛假聲明的風險���。審核員宜對已建立的用以檢查收入確認中問題的控制措施進行測試�。
(5)信息安全風險
信息安全風險的情況包括病毒�����、未加防范的文件、不正確的財務記錄和報告����、糟糕的修改控制、信息檢索錯誤����、數(shù)據(jù)表格濫用�、臨時工和咨詢師的使用、新技術的引入以及遭遇工業(yè)間諜和欺詐行為等現(xiàn)象���。
ISO/IEC27001:2005《信息技術安全技術信息安全管理體系要求》包括了建立��、實施�、運營��、監(jiān)視�����、評價��、維護并提高信息安全管理的要求�。
(6)物流風險
當今組織關注的一個風險問題是與國家安全威脅因素相關的�����。運輸過程可能由于需要檢查是否藏有大規(guī)模殺傷性武器而拖慢���。
如何篩查、識別���、并追蹤從貨源地到購買方組織的全過程一直是個難點���。以下因素影響物流風險:
原材料和成品的運輸;
運輸中的貨損���;
途中延誤造成的無法按期交貨��;
運輸延誤造成的原材料庫存不足����;
國家安全信息上報要求���。
有必要開發(fā)出新的工具以減少篩查和追蹤等必須過程對供應鏈的干擾��??傊a(chǎn)品生產(chǎn)完成后���,送到顧客手中之前����,上述各種問題都可能出現(xiàn)���,組織應該有所準備��。
(7) 自然災害風險
過去幾年間,我們這個星球上自然災害頻發(fā)�����。業(yè)務連續(xù)性要求對應保護的存儲信息進行安全保障���,并對災后復原進行策劃�。
信息技術在業(yè)務連續(xù)性中扮演著重要角色����,宜專門設計相關的信息技術程序,以確保業(yè)務連續(xù)性運行的及時性和有效性��。組織的業(yè)務連續(xù)性開發(fā)團隊中不可缺少負責信息技術的成員。
信息技術部門必須提供可將信息妥善有效存儲的保護措施�����,并對各種災害進行管理�、防范并提供安全保護措施?�?刹捎玫姆椒òㄐ畔⒌亩ㄆ趶椭?���,并將備份信息存儲于安全的另外一個地點。并且���,宜對存放在該地點的數(shù)據(jù)進行定期測試����,以確保其正確無誤����。
ISO/IEC27001標準提供了業(yè)務連續(xù)性的管理控制措施,以下是業(yè)務連續(xù)性計劃(BCP)的相關因素:
業(yè)務風險及影響分析�;
災害事件初始反應活動;
緊急事件和業(yè)務恢復過程管理程序;
各層級培訓計劃�����;
保持業(yè)務連續(xù)性計劃及時更新的程序��。
業(yè)務連續(xù)性計劃宜定期演練���,組織可以用以下問題進行BCP的自查:
是否已制定確保信息連續(xù)性的書面計劃�?
上述計劃是否每年進行更新和檢驗�����?
何時對計算機硬件�、軟件或應用系統(tǒng)進行過重要的調整或改變?
是否對用以備份的介質進行了定期測試�����?
是否對應用程序�、應用數(shù)據(jù)和運行系統(tǒng)軟件進行了定期備份����?
是否將該計劃和信息進行了異地備份?
風險分析方法
一個組織在風險分析方面最先要做的事情就是明確組織能夠承擔哪種類型的風險(風險偏好)以及風險的承受能力�,使組織的所有成員了解組織的“風險觀”����。這一點確定后�����,可采用一些工具或方法以確定風險等級并對識別出的風險進行管理�����。關鍵工具之一就是組織的控制措施����。對于與薩班斯-奧克斯利法案相關的內(nèi)容來說,組織的控制措施尤其重要�。不僅在組織層面的財務控制要合規(guī),活動層面的財務控制也要合規(guī)�。
風險偏好和風險承受能力
風險偏好是從大的角度來看一個組織所愿意承受的風險總量,即承受風險所能帶來的利益與抵消風險的代價的比較����。正如特雷得韋委員會(反欺詐財務報告委員會)的贊助委員會所指出的,這是建立控制措施的主要切入點���。在風險評估中����,對于超出風險偏好的情況,應該得出采取預防措施的結論�����。
明確風險偏好有助于決定如何根據(jù)識別出的風險進行資金分配�。加深對其了解有助于更有效地進行管理。風險偏好與承擔風險的能力之間可有函數(shù)關系���。為維持組織的信用評級或達到監(jiān)管資金要求所需的資金存量往往是制約風險偏好的因素���。
相對風險偏好來說,風險承受能力與組織的特定目標相關�����,它是一個實體所愿意承受的與實現(xiàn)其目標有關的各種變化的總和�。一個組織中�,對不同風險的承受能力不同。
風險偏好是一個較廣的組織層面的概念����,而風險承受能力往往關注點更集中��。一個組織對其不同業(yè)務可有不同的風險承受能力�,但是當這些不同的風險承受能力進行疊加的時候�����,它們不能超出最高管理層和董事會確定的風險偏好�����。
采取控制措施
對風險進行管理的一種重要的工具是組織建立的一整套控制措施����。對于薩班斯-奧克斯利法案的合規(guī)要求來說,控制尤其重要��。在該法規(guī)的合規(guī)審核過程中�����,審核員非常重視對控制措施的測試����。財務和質量的控制分兩個層級��,即實體層面和活動層面����,且在ISO9001和ISO14001標準中�����,質量控制是以“應”語句出現(xiàn)的���,這種“應”語句通常伴隨著提交數(shù)據(jù)的要求���。一些過程績效要求也會包括對結果的記錄,這些記錄可用來識別迫切的風險�。
實體層級的控制措施包括:人力資源政策、行為準則���、溝通策略���、會計原則、管理層的風險評估過程�、組織結構和合同評審。
在ISO9001:2015中�,合同評審的要求和質量要求是相互關聯(lián)的,參見條款
8.
2.3與產(chǎn)品和服務有關要求的評審�����。
活動層面的控制措施包括進行總賬與明細分類賬的對賬分析�、數(shù)據(jù)的自動驗證和編輯性檢查、限制保密信息的獲取���、在錄入前對交易進行編號����、在輸入系統(tǒng)前對紙面信息進行審查和批準等方式�����。
活動層面的質量控制措施包括生產(chǎn)控制(
8.
6.1條款)����、成文信息—不合格產(chǎn)品和服務的糾正(
8.8條款)以及識別重要環(huán)境因素(ISO 14001:2004條款
4.
3.1)。
風險和預防措施
有效的風險評估活動包括:
明確組織的可測量目標����;
確保上述目標的兼容性;
識別實現(xiàn)目標的風險��;
判斷關鍵風險———可采用風險分析矩陣確定風險的關鍵程度;
采用風險管理工具來降解風險���,比如目標—風險———控制措施———調節(jié)法(ORCA法)���、ISO9001的改進過程、失效模式和有效性分析(FMEA)以及風險控制矩陣�。
