由于ISO9000分析分析涉及的內(nèi)容比較多���,應(yīng)當(dāng)由主管部門組織公司所有部門依照部門職責(zé)對部門存在的風(fēng)險進(jìn)行分析��,而不僅僅是哪一個部門的事情��,應(yīng)當(dāng)是所有部門的事情�。
對組織有影響的風(fēng)險主要有以下4類:
1.組織風(fēng)險:發(fā)生在組織實體及其活動層面�����;
2.戰(zhàn)略風(fēng)險:發(fā)生在組織的戰(zhàn)略或業(yè)務(wù)計劃制定不夠周密時�;
3.合規(guī)風(fēng)險:發(fā)生不符合法律法規(guī)要求的情形時;
4.運營風(fēng)險:分為與組織的程序和措施有關(guān)的7個分類別��。
僅供參考:
1.組織風(fēng)險
實體層面的風(fēng)險可以是外來的也可以是內(nèi)部存在的。外來因素包括技術(shù)����、競爭以及法律環(huán)境;內(nèi)部因素包括安保���、信息系統(tǒng)���、收發(fā)貨物遺失、人員能力和責(zé)任變化等方面�。
活動層面的風(fēng)險對個人和部門發(fā)生影響,包括在系統(tǒng)中輸入信息或材料時的疏漏����;收發(fā)貨記錄遺失;安?���?刂扑尚福蝗鄙偈炀毤夹g(shù)人員以及員工的疏忽大意等����。如果在組織的各個環(huán)節(jié)活動層面的風(fēng)險不斷,最后勢必形成實體層面的風(fēng)險�����。
2.戰(zhàn)略風(fēng)險
戰(zhàn)略風(fēng)險指的是因執(zhí)行一項不成功的商業(yè)計劃或戰(zhàn)略而可能發(fā)生的損失。其原因可能是由于做了糟糕的業(yè)務(wù)決策���、執(zhí)行決定不力��、資源不足或者是因為業(yè)務(wù)環(huán)境發(fā)生了變化而未及時進(jìn)行調(diào)整。
3.合規(guī)風(fēng)險
合規(guī)風(fēng)險是與法律法規(guī)要求有關(guān)的風(fēng)險�����。環(huán)境��、健康和安全要求一直是人們關(guān)注的問題����,因為一旦這些方面出現(xiàn)問題,輕則罰款�,重則停業(yè)甚至追究刑事責(zé)任都是可能出現(xiàn)的后果。遵守質(zhì)量和環(huán)境方面的標(biāo)準(zhǔn)和規(guī)范也在這個范疇之內(nèi)�。
環(huán)境風(fēng)險包括液體危險品遺撒、危險氣體排放以及固態(tài)廢棄物的不當(dāng)處理�,包括的情況還可能有以下情形:
采購部將從國內(nèi)采購改為向國外供應(yīng)商采購;
負(fù)責(zé)環(huán)境的關(guān)鍵管理人員離崗未及時替補�����;
引入新的物料卻未編制有關(guān)的安全管控記錄。
4.運營風(fēng)險
運營的風(fēng)險可以具體從以下7個方面說明:
(1)管理體系風(fēng)險
由于制定的戰(zhàn)略�����、制度規(guī)定和工具��、數(shù)據(jù)處理���、呼叫(電話)中心�����、合同管理�、設(shè)計與開發(fā)等層面的效率低下�,都可能造成管理體系的效率低下。比如說�,一個重度依賴外包的供應(yīng)鏈,可能有很大風(fēng)險���。
管理體系的其他風(fēng)險包括不正確的收入確定��;違反國家安全規(guī)定�;不符合環(huán)境法規(guī)以及薩班斯-奧克斯利法案(美國的一部涉及會計職業(yè)監(jiān)管、公司治理�����、證券市場監(jiān)管方面的重要法律)的要求�����。這些行為將可能導(dǎo)致罰款�、停業(yè)甚至追究刑責(zé)的后果。為了降低此類風(fēng)險����,組織的最高管理層以及董事會必須對管理體系有透徹的了解�����,并努力提高其有效性���。如果人力資源管理制度����、各種管理工具���、數(shù)據(jù)處理�����、呼叫(電話)中心�����、營銷活動�����、合同管理���、顧客溝通����、設(shè)計和開發(fā)等活動效率低下�,則組織的管理體系必受其累。
總而言之��,組織的最高管理層和董事會要了解自身的管理體系并不斷提高其有效性����。
(2)顧客滿意風(fēng)險
顧客溝通���、送貨、產(chǎn)品本身�����、設(shè)計維修以及對顧客反饋的回應(yīng)方式都會影響顧客滿意風(fēng)險����。為降低此類風(fēng)險,宜將相關(guān)的產(chǎn)品質(zhì)量數(shù)據(jù)����、產(chǎn)品和過程監(jiān)控數(shù)據(jù)以及供應(yīng)商供貨質(zhì)量等數(shù)據(jù)也一并納入分析過程。
(3)供應(yīng)鏈風(fēng)險
采購經(jīng)理必須對外購產(chǎn)品和服務(wù)�����、獨家供應(yīng)商��、送貨時間庫存管理以及文檔管理等保持關(guān)注�����。信息溝通是確保供應(yīng)鏈有效運行的關(guān)鍵�。用來管理供應(yīng)鏈風(fēng)險的數(shù)值包括送貨時間、庫存水平及成本等���。
(4) 收入確認(rèn)風(fēng)險對利潤的影響
對此類風(fēng)險的管理包括追蹤產(chǎn)品從生產(chǎn)�����、銷售到發(fā)貨以及應(yīng)收賬款的全過程���。收入的確認(rèn)受到諸如應(yīng)付款、應(yīng)收賬�、交付前貨值記錄、現(xiàn)金報價錯誤�、計算表錯誤以及價格信息不完整等原因影響。
質(zhì)量經(jīng)理在控制收入確認(rèn)過程的有效性方面負(fù)有重要責(zé)任��。質(zhì)量體系和財務(wù)管理體系在此有交集��,涉及產(chǎn)品實現(xiàn)����、成本、銷售���、開發(fā)票����、付款、庫存管理以及發(fā)貨等過程��。發(fā)貨信息是對應(yīng)收賬款和收入確認(rèn)的直接輸入����。對于許多公司來說,收入確認(rèn)對其收入有著直接影響�,甚至可能影響其股票價格。
由于不正確的收入確認(rèn)�,還可能出現(xiàn)背離事實的虛假聲明的風(fēng)險。審核員宜對已建立的用以檢查收入確認(rèn)中問題的控制措施進(jìn)行測試�����。
(5)信息安全風(fēng)險
信息安全風(fēng)險的情況包括病毒��、未加防范的文件���、不正確的財務(wù)記錄和報告、糟糕的修改控制���、信息檢索錯誤��、數(shù)據(jù)表格濫用��、臨時工和咨詢師的使用��、新技術(shù)的引入以及遭遇工業(yè)間諜和欺詐行為等現(xiàn)象�����。
ISO/IEC27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》包括了建立�����、實施���、運營��、監(jiān)視��、評價�����、維護(hù)并提高信息安全管理的要求�����。
(6)物流風(fēng)險
當(dāng)今組織關(guān)注的一個風(fēng)險問題是與國家安全威脅因素相關(guān)的�����。運輸過程可能由于需要檢查是否藏有大規(guī)模殺傷性武器而拖慢����。
如何篩查、識別�����、并追蹤從貨源地到購買方組織的全過程一直是個難點��。以下因素影響物流風(fēng)險:
原材料和成品的運輸���;
運輸中的貨損�;
途中延誤造成的無法按期交貨���;
運輸延誤造成的原材料庫存不足���;
國家安全信息上報要求。
有必要開發(fā)出新的工具以減少篩查和追蹤等必須過程對供應(yīng)鏈的干擾�����?�?傊?��,產(chǎn)品生產(chǎn)完成后�����,送到顧客手中之前�,上述各種問題都可能出現(xiàn)�����,組織應(yīng)該有所準(zhǔn)備����。
(7) 自然災(zāi)害風(fēng)險
過去幾年間,我們這個星球上自然災(zāi)害頻發(fā)���。業(yè)務(wù)連續(xù)性要求對應(yīng)保護(hù)的存儲信息進(jìn)行安全保障�,并對災(zāi)后復(fù)原進(jìn)行策劃。
信息技術(shù)在業(yè)務(wù)連續(xù)性中扮演著重要角色���,宜專門設(shè)計相關(guān)的信息技術(shù)程序�����,以確保業(yè)務(wù)連續(xù)性運行的及時性和有效性�。組織的業(yè)務(wù)連續(xù)性開發(fā)團(tuán)隊中不可缺少負(fù)責(zé)信息技術(shù)的成員�。
信息技術(shù)部門必須提供可將信息妥善有效存儲的保護(hù)措施,并對各種災(zāi)害進(jìn)行管理�、防范并提供安全保護(hù)措施?�?刹捎玫姆椒òㄐ畔⒌亩ㄆ趶?fù)制�����,并將備份信息存儲于安全的另外一個地點���。并且�����,宜對存放在該地點的數(shù)據(jù)進(jìn)行定期測試�����,以確保其正確無誤����。
ISO/IEC27001標(biāo)準(zhǔn)提供了業(yè)務(wù)連續(xù)性的管理控制措施��,以下是業(yè)務(wù)連續(xù)性計劃(BCP)的相關(guān)因素:
業(yè)務(wù)風(fēng)險及影響分析�����;
災(zāi)害事件初始反應(yīng)活動����;
緊急事件和業(yè)務(wù)恢復(fù)過程管理程序;
各層級培訓(xùn)計劃�����;
保持業(yè)務(wù)連續(xù)性計劃及時更新的程序�。
業(yè)務(wù)連續(xù)性計劃宜定期演練,組織可以用以下問題進(jìn)行BCP的自查:
是否已制定確保信息連續(xù)性的書面計劃����?
上述計劃是否每年進(jìn)行更新和檢驗�����?
何時對計算機硬件��、軟件或應(yīng)用系統(tǒng)進(jìn)行過重要的調(diào)整或改變�����?
是否對用以備份的介質(zhì)進(jìn)行了定期測試��?
是否對應(yīng)用程序���、應(yīng)用數(shù)據(jù)和運行系統(tǒng)軟件進(jìn)行了定期備份?
是否將該計劃和信息進(jìn)行了異地備份����?
風(fēng)險分析方法
一個組織在風(fēng)險分析方面最先要做的事情就是明確組織能夠承擔(dān)哪種類型的風(fēng)險(風(fēng)險偏好)以及風(fēng)險的承受能力,使組織的所有成員了解組織的“風(fēng)險觀”����。這一點確定后,可采用一些工具或方法以確定風(fēng)險等級并對識別出的風(fēng)險進(jìn)行管理�����。關(guān)鍵工具之一就是組織的控制措施。對于與薩班斯-奧克斯利法案相關(guān)的內(nèi)容來說��,組織的控制措施尤其重要�。不僅在組織層面的財務(wù)控制要合規(guī),活動層面的財務(wù)控制也要合規(guī)�。
風(fēng)險偏好和風(fēng)險承受能力
風(fēng)險偏好是從大的角度來看一個組織所愿意承受的風(fēng)險總量,即承受風(fēng)險所能帶來的利益與抵消風(fēng)險的代價的比較�����。正如特雷得韋委員會(反欺詐財務(wù)報告委員會)的贊助委員會所指出的�,這是建立控制措施的主要切入點��。在風(fēng)險評估中����,對于超出風(fēng)險偏好的情況,應(yīng)該得出采取預(yù)防措施的結(jié)論��。
明確風(fēng)險偏好有助于決定如何根據(jù)識別出的風(fēng)險進(jìn)行資金分配���。加深對其了解有助于更有效地進(jìn)行管理����。風(fēng)險偏好與承擔(dān)風(fēng)險的能力之間可有函數(shù)關(guān)系。為維持組織的信用評級或達(dá)到監(jiān)管資金要求所需的資金存量往往是制約風(fēng)險偏好的因素�。
相對風(fēng)險偏好來說,風(fēng)險承受能力與組織的特定目標(biāo)相關(guān)�����,它是一個實體所愿意承受的與實現(xiàn)其目標(biāo)有關(guān)的各種變化的總和���。一個組織中�,對不同風(fēng)險的承受能力不同�����。
風(fēng)險偏好是一個較廣的組織層面的概念����,而風(fēng)險承受能力往往關(guān)注點更集中。一個組織對其不同業(yè)務(wù)可有不同的風(fēng)險承受能力��,但是當(dāng)這些不同的風(fēng)險承受能力進(jìn)行疊加的時候�����,它們不能超出最高管理層和董事會確定的風(fēng)險偏好。
采取控制措施
對風(fēng)險進(jìn)行管理的一種重要的工具是組織建立的一整套控制措施�。對于薩班斯-奧克斯利法案的合規(guī)要求來說,控制尤其重要�����。在該法規(guī)的合規(guī)審核過程中�����,審核員非常重視對控制措施的測試����。財務(wù)和質(zhì)量的控制分兩個層級���,即實體層面和活動層面�,且在ISO9001和ISO14001標(biāo)準(zhǔn)中��,質(zhì)量控制是以“應(yīng)”語句出現(xiàn)的��,這種“應(yīng)”語句通常伴隨著提交數(shù)據(jù)的要求����。一些過程績效要求也會包括對結(jié)果的記錄,這些記錄可用來識別迫切的風(fēng)險。
實體層級的控制措施包括:人力資源政策����、行為準(zhǔn)則、溝通策略�、會計原則、管理層的風(fēng)險評估過程�����、組織結(jié)構(gòu)和合同評審���。
在ISO9001:2015中�����,合同評審的要求和質(zhì)量要求是相互關(guān)聯(lián)的��,參見條款
8.
2.3與產(chǎn)品和服務(wù)有關(guān)要求的評審���。
活動層面的控制措施包括進(jìn)行總賬與明細(xì)分類賬的對賬分析、數(shù)據(jù)的自動驗證和編輯性檢查���、限制保密信息的獲取�、在錄入前對交易進(jìn)行編號、在輸入系統(tǒng)前對紙面信息進(jìn)行審查和批準(zhǔn)等方式�����。
活動層面的質(zhì)量控制措施包括生產(chǎn)控制(
8.
6.1條款)����、成文信息—不合格產(chǎn)品和服務(wù)的糾正(
8.8條款)以及識別重要環(huán)境因素(ISO 14001:2004條款
4.
3.1)。
風(fēng)險和預(yù)防措施
有效的風(fēng)險評估活動包括:
明確組織的可測量目標(biāo)�;
確保上述目標(biāo)的兼容性;
識別實現(xiàn)目標(biāo)的風(fēng)險��;
判斷關(guān)鍵風(fēng)險———可采用風(fēng)險分析矩陣確定風(fēng)險的關(guān)鍵程度�;
采用風(fēng)險管理工具來降解風(fēng)險,比如目標(biāo)—風(fēng)險———控制措施———調(diào)節(jié)法(ORCA法)�、ISO9001的改進(jìn)過程、失效模式和有效性分析(FMEA)以及風(fēng)險控制矩陣�����。
