襄阳ISO9001对于风险如何处理

　　***  ，，一个组织在风险分析方面最先要做的事情就是明确组织能够承担哪种类型的风险(风险偏好) 以及风险的承受能 力，使组织的所有成员了解组织的“风观”。这一点确定后，可采用一些工具或方法以确定风险等级并对识别出的风险进行管理。关键工具之一就是组织的控制措施。对于与萨班斯-奥克斯利法案相关的内容来说，组织的控制措施尤其重要。不仅在组织层面的财务控制要合规，活动层面的财务控制也要合规。

　　风险偏好和风险承受能力

　　风险偏好是从大的角度来看一个组织所愿意承受的风险总量，即承受风险所能带来的利益与抵消风险的代价的比较。正如特雷得韦委员会(反欺诈财务报告委员会) 的赞助委员会 5 所指出的，这是建立控制措施的主要切入点。在风险评估中，对于超出风险偏好的情况，应该得出采取预防措施的结论。

　　明确风险偏好有助于决定如何根据识别出的风险进行资金分配。加深对其了解有助于更有效地进行管理。风险偏好与承担风险的能力之间可有函数关系。为维持组织的信用评级或达到监管资金要求所需的资金存量往往是制约风险偏好的因素。

　　相对风险偏好来说，风险承受能力与组织的特定目标相关，它是一个实体所愿意承受的与实现其目标有关的各种变化的总和。一个组织中，对不同风险的承受能力不同。

　　风险偏好是一个较广的组织层面的概念，而风险承受能力往往关注点更集中。一个组织对其不同业务可有不同的风险承受能力，但是当这些不同的风险承受能力进行叠加的时候，它们不能超出最高管理层和董事会确定的风险偏好。

　　采取控制措施

　　对风险进行管理的一种重要的工具是组织建立的一整套控制措施。对于萨班斯-奥克斯利法案的合规要求来说，控制尤其重要。在该法规的合规审核过程中，审核员非常重视对控制措施的测试。财务和质量的控制分两个层级，即实体层面和活动层面，且在 ISO 9001 和 ISO 14001 标准中，质量控制是以“应”语句出现的，这种“应”语句通常伴随着提交数据的要求。一些过程绩效要求也会包括对结果的记录，这些记录可用来识别迫切的风险。

　　实体层级的控制措施包括：

　　• 人力资源政策

　　• 行为准则

　　• 沟通策略

　　• 会计原则

　　• 管理层的风险评估过程

　　• 组织结构和合同评审。在 ISO 9001：2015 中，合同评 审的要求和质量要求是相互关联的，参见条款 8.2.3 与 产品和服务有关要求的评审。

　　活动层面的控制措施包括进行总账与明细分类账的对账分析、数据的自动验证和编辑性检查、限制保密信息的获取、在录入前对交易进行编号、在输入系统前对纸面信息进行审查和批准等方式。

　　活动层面的质量控制措施包括生产控制(8.6.1 条款)、 成文信息—不合格产品和服务的纠正(8.8 条款) 以及识别 重要环境因素(ISO 14001：2004 条款 4.3.1)。