對組織有影響的風險主要分為以下四類:
1.組織風險:它發生在組織實體及其活動層面;
2.戰略風險:當組織的戰略或業務計劃沒有得到認真制定時發生;
3.合規風險:不符合法律法規的情況;
4.業務風險:分為與組織的程序和措施相關的七個類別。
僅供參考:
1.組織風險
實體層面的風險可以是外部的,也可以是內部的。外部因素包括技術、競爭和法律環境;內部因素包括安全、信息系統、收發貨物損失、人員能力和職責變化等。
活動層面的風險影響個人和部門,包括將信息或材料輸入系統時的疏漏;缺少收貨和發貨記錄;安全控制不嚴;缺乏熟練的技術人員和員工的疏忽。如果組織的各個方面都存在活動層面的不斷的風險,那麽最終必然會形成實體層面的風險。
2.戰略風險
戰略風險是指由於實施不成功的商業計劃或戰略而可能造成的損失。原因可能是經營決策不佳、決策執行不力、資源不足或因經營環境變化而未能及時做出調整。
3.合規風險
合規風險是與法律法規要求相關的風險。環境、健康和安全要求壹直是人們關註的問題,因為壹旦這些方面出現問題,就有可能被罰款,甚至停業甚至追究刑事責任。遵守質量和環境標準和規範也屬於這壹類別。
環境風險包括液體危險品的泄漏、危險氣體的排放和固體廢物的不當處置,包括以下情況:
采購部門將從國內采購轉變為國外供應商;
負責環境的關鍵管理人員離職後未及時更換;
引進新材料,但未編制相關的安全控制記錄。
4.運營風險
操作風險可以從以下七個方面具體闡述:
(1)管理系統風險
管理系統的低效可能是由制定的策略、系統規定和工具、數據處理、呼叫(電話)中心、合同管理、設計和開發的低效造成的。比如嚴重依賴外包的供應鏈,可能會有很大的風險。
管理系統的其他風險包括不正確的收入確定;違反國家安全法規;不符合環保法規和薩班斯-奧克斯利法案(美國壹部涉及會計專業監管、公司治理和證券市場監管的重要法律)的要求。這些行為可能導致罰款、停業甚至刑事責任。為了減少這種風險,組織的最高管理層和董事會必須對管理體系有透徹的了解,並努力提高其有效性。如果人力資源管理系統、各種管理工具、數據處理、呼叫(電話)中心、營銷活動、合同管理、客戶溝通、設計和開發效率低下,組織的管理體系就會受損。
總之,組織的最高管理層和董事會應該了解自己的管理體系,並不斷提高其有效性。
(2)顧客滿意度風險
客戶溝通、交付、產品本身、設計和維護、對客戶反饋的響應都會影響客戶滿意度風險。為了降低此類風險,相關的產品質量數據、產品和過程監控數據以及供應商供應質量數據也應包括在分析過程中。
(3)供應鏈風險
采購經理必須關註外包產品和服務、獨家供應商、交貨時間、庫存管理和文件管理。信息溝通是保證供應鏈有效運作的關鍵。用於管理供應鏈風險的值包括交付時間、庫存水平和成本。
(4)收入確認風險對利潤的影響。
此類風險的管理包括對產品從生產、銷售到交付、應收賬款的全過程進行跟蹤。收入的確認受到應付賬款、應收賬款、交付前的價值記錄、現金報價錯誤、計算表錯誤和價格信息不完整等原因的影響。
質量經理在控制收入確認流程的有效性方面負有重要責任。質量體系和財務管理體系在這裏交叉,涉及產品實現、成本、銷售、進銷存、付款、庫存管理和交付。發貨信息是應收賬款和收入確認的直接輸入。對於許多公司來說,收入確認對其收入有直接影響,甚至可能影響其股票價格。
由於不正確的收入確認,還可能存在偏離事實的虛假陳述的風險。審計人員應測試已建立的控制措施,以檢查收入確認中的問題。
(5)信息安全風險
信息安全風險包括病毒、未受保護的文檔、不正確的財務記錄和報告、不良的修改控制、信息檢索錯誤、濫用數據表格、使用臨時工和顧問、引入新技術以及工業間諜和欺詐。
ISO/IEC 27001: 2005《信息技術安全技術信息安全管理體系要求》包括建立、實施、運行、監控、評估、維護和改進信息安全管理的要求。
(6)物流風險
如今,組織所關註的風險之壹與國家安全威脅有關。由於需要檢查是否有大規模殺傷性武器,運輸過程可能會變慢。
從供貨地到買方組織的全過程如何篩選、識別、跟蹤,壹直是難點。以下因素影響物流風險:
原材料和成品的運輸;
運輸途中的貨物損失;
由於途中延誤,未能按時交貨;
運輸延誤造成的原材料庫存不足;
國家安全信息報告要求。
有必要開發新的工具,以減少篩選和跟蹤等必要流程對供應鏈的幹擾。簡而言之,在產品生產出來之後,交付給客戶之前,上述問題都有可能發生,組織要做好準備。
(7)自然災害風險
在過去的幾年裏,自然災害在我們的星球上頻繁發生。業務連續性要求保護存儲信息的安全性,並規劃災後恢復。
信息技術在業務連續性中發揮著重要作用,應專門設計相關的信息技術方案,以確保業務連續性的及時性和有效性。在組織的業務連續性開發團隊中,負責信息技術的成員是不可或缺的。
信息技術部門必須提供能夠正確有效地存儲信息的保護措施,並對各種災難進行管理、預防和提供安全保護措施。可以采用的方法包括定期復制信息,並將備份信息存儲在另壹個安全的地方。而且,建議定期測試這個地方存儲的數據,確保它是正確的。
ISO/IEC27001標準為業務連續性提供了管理控制措施。以下是業務連續性計劃(BCP)的相關因素:
業務風險和影響分析;
災難事件的初始響應活動;
應急和業務恢復流程管理程序;
各級培訓計劃;
保持業務連續性計劃最新的程序。
應定期演練業務連續性計劃,組織可以通過以下問題進行BCP自我檢查:
是否有確保信息連續性的書面計劃?
上述計劃是否每年更新和檢查?
您何時對計算機硬件、軟件或應用系統進行過任何重要的調整或更改?
是否定期測試用於備份的介質?
是否定期備份應用程序、應用程序數據和運行的系統軟件?
方案和資料有沒有異地備份?
風險分析方法
組織在風險分析中首先要做的是明確組織可以承受什麽樣的風險(風險偏好)及其風險容忍度,讓組織的所有成員都明白組織的“風險觀”。在確定這壹點後,可以使用壹些工具或方法來確定風險級別和管理已識別的風險。關鍵工具之壹是組織控制措施。對於涉及薩班斯法案的內容,組織控制措施尤為重要。不僅組織層面的財務控制要合規,活動層面的財務控制也要合規。
風險偏好和風險容忍度
風險偏好是指從大的角度看,壹個機構願意承擔的風險總量,即承擔風險所能帶來的收益與抵消風險的成本之間的比較。正如特雷德韋委員會(反欺詐財務報告委員會)的發起委員會所指出的,這是建立控制措施的主要切入點。在風險評估中,我們應該得出結論,在超過風險偏好的情況下,應該采取預防措施。
明確的風險偏好有助於決定如何根據確定的風險分配資金。更深入地了解它將有助於更有效地管理它。風險偏好和風險承擔能力之間可能存在函數關系。維持組織的信用評級或滿足監管資本要求所需的資本存量通常是限制風險偏好的壹個因素。
相對於風險偏好,風險容忍度與組織的具體目標有關,是壹個實體為了實現目標而願意承受的各種變化的總和。在壹個組織中,對不同風險的容忍度是不同的。
風險偏好在組織層面是壹個更寬泛的概念,而風險容忍度往往更為專註。壹個組織對其不同的業務可能有不同的風險承受能力,但當這些不同的風險承受能力疊加在壹起時,不能超過最高管理層和董事會確定的風險偏好。
采取控制措施
風險管理的壹個重要工具是組織建立的壹套控制措施。控制對於遵守薩班斯-奧克斯利法案的要求尤為重要。在本規範的合規性審計過程中,審計人員非常重視控制措施的測試。財務和質量控制分為兩個層次,即實體層次和活動層次,在ISO9001和ISO14001標準中,質量控制以“應當”的表述出現,通常伴隨著提交數據的要求。壹些過程性能要求還包括結果記錄,可用於識別緊急風險。
實體壹級的控制措施包括:人力資源政策、行為守則、溝通戰略、會計原則、管理層的風險評估程序、組織結構和合同審查。
在ISO 9001: 2015中,合同評審的要求和質量要求是相互關聯的。請參考第8.2.3條產品和服務相關要求的評審。
活動層面的控制措施包括總分類賬和明細分類賬之間的對賬分析、數據的自動核實和編輯檢查、限制對機密信息的訪問、在輸入前對交易進行編號以及在輸入系統前對紙質信息進行審查和批準。
活動層面的質量控制措施包括生產控制(條款8.6.1)、書面信息-不合格產品和服務的糾正(條款8.8)和重要環境因素的識別(條款4 . 3 . 1 ISO 140065438:2004)。
風險和預防措施
有效的風險評估活動包括:
組織明確的可測量的目標;
確保上述目標的兼容性;
識別實現目標的風險;
判斷關鍵風險——風險分析矩陣可用於確定風險的關鍵程度;
采用風險管理工具對風險進行降級,如目標-風險-控制措施-調整法(ORCA法)、ISO9001改進流程、失效模式和有效性分析(FMEA)和風險控制矩陣。