個(gè)組織在風(fēng)險(xiǎn)分析方面最先要做的事情就是明確組織能夠承擔(dān)哪種類型的風(fēng)險(xiǎn)(風(fēng)險(xiǎn)偏好) 以及風(fēng)險(xiǎn)的承受能 力，使組織的所有成員了解組織的“風(fēng)觀”。這一點(diǎn)確定后，可采用一些工具或方法以確定風(fēng)險(xiǎn)等級(jí)并對(duì)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行管理。關(guān)鍵工具之一就是組織的控制措施。對(duì)于與薩班斯-奧克斯利法案相關(guān)的內(nèi)容來說，組織的控制措施尤其重要。不僅在組織層面的財(cái)務(wù)控制要合規(guī)，活動(dòng)層面的財(cái)務(wù)控制也要合規(guī)。 

風(fēng)險(xiǎn)偏好是從大的角度來看一個(gè)組織所愿意承受的風(fēng)險(xiǎn)總量，即承受風(fēng)險(xiǎn)所能帶來的利益與抵消風(fēng)險(xiǎn)的代價(jià)的比較。正如特雷得韋委員會(huì)(反欺詐財(cái)務(wù)報(bào)告委員會(huì)) 的贊助委員會(huì) 5 所指出的，這是建立控制措施的主要切入點(diǎn)。在風(fēng)險(xiǎn)評(píng)估中，對(duì)于超出風(fēng)險(xiǎn)偏好的情況，應(yīng)該得出采取預(yù)防措施的結(jié)論。 

明確風(fēng)險(xiǎn)偏好有助于決定如何根據(jù)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行資金分配。加深對(duì)其了解有助于更有效地進(jìn)行管理。風(fēng)險(xiǎn)偏好與承擔(dān)風(fēng)險(xiǎn)的能力之間可有函數(shù)關(guān)系。為維持組織的信用評(píng)級(jí)或達(dá)到監(jiān)管資金要求所需的資金存量往往是制約風(fēng)險(xiǎn)偏好的因素。 

相對(duì)風(fēng)險(xiǎn)偏好來說，風(fēng)險(xiǎn)承受能力與組織的特定目標(biāo)相關(guān)，它是一個(gè)實(shí)體所愿意承受的與實(shí)現(xiàn)其目標(biāo)有關(guān)的各種變化的總和。一個(gè)組織中，對(duì)不同風(fēng)險(xiǎn)的承受能力不同。 

風(fēng)險(xiǎn)偏好是一個(gè)較廣的組織層面的概念，而風(fēng)險(xiǎn)承受能力往往關(guān)注點(diǎn)更集中。一個(gè)組織對(duì)其不同業(yè)務(wù)可有不同的風(fēng)險(xiǎn)承受能力，但是當(dāng)這些不同的風(fēng)險(xiǎn)承受能力進(jìn)行疊加的時(shí)候，它們不能超出最高管理層和董事會(huì)確定的風(fēng)險(xiǎn)偏好。  

對(duì)風(fēng)險(xiǎn)進(jìn)行管理的一種重要的工具是組織建立的一整套控制措施。對(duì)于薩班斯-奧克斯利法案的合規(guī)要求來說，控制尤其重要。在該法規(guī)的合規(guī)審核過程中，審核員非常重視對(duì)控制措施的測(cè)試。財(cái)務(wù)和質(zhì)量的控制分兩個(gè)層級(jí)，即實(shí)體層面和活動(dòng)層面，且在 ISO 9001 和 ISO 14001 標(biāo)準(zhǔn)中，質(zhì)量控制是以“應(yīng)”語句出現(xiàn)的，這種“應(yīng)”語句通常伴隨著提交數(shù)據(jù)的要求。一些過程績(jī)效要求也會(huì)包括對(duì)結(jié)果的記錄，這些記錄可用來識(shí)別迫切的風(fēng)險(xiǎn)。

實(shí)體層級(jí)的控制措施包括：

• 人力資源政策

• 行為準(zhǔn)則

• 溝通策略

• 會(huì)計(jì)原則

• 管理層的風(fēng)險(xiǎn)評(píng)估過程

• 組織結(jié)構(gòu)和合同評(píng)審。在 ISO 9001：2015 中，合同評(píng) 審的要求和質(zhì)量要求是相互關(guān)聯(lián)的，參見條款 8.2.3 與 產(chǎn)品和服務(wù)有關(guān)要求的評(píng)審。 

活動(dòng)層面的控制措施包括進(jìn)行總賬與明細(xì)分類賬的對(duì)賬分析、數(shù)據(jù)的自動(dòng)驗(yàn)證和編輯性檢查、限制保密信息的獲取、在錄入前對(duì)交易進(jìn)行編號(hào)、在輸入系統(tǒng)前對(duì)紙面信息進(jìn)行審查和批準(zhǔn)等方式。 

活動(dòng)層面的質(zhì)量控制措施包括生產(chǎn)控制(8.6.1 條款)、 成文信息—不合格產(chǎn)品和服務(wù)的糾正(8.8 條款) 以及識(shí)別 重要環(huán)境因素(ISO 14001：2004 條款 4.3.1)。  

有效的風(fēng)險(xiǎn)評(píng)估活動(dòng)包括：

• 明確組織的可測(cè)量目標(biāo)；

• 確保上述目標(biāo)的兼容性；

• 識(shí)別實(shí)現(xiàn)目標(biāo)的風(fēng)險(xiǎn)；

• 判斷關(guān)鍵風(fēng)險(xiǎn)———可采用風(fēng)險(xiǎn)分析矩陣確定風(fēng)險(xiǎn)的關(guān)鍵程度；

• 采用風(fēng)險(xiǎn)管理工具來降解風(fēng)險(xiǎn)，比如目標(biāo)—風(fēng)險(xiǎn)——— 控制措施———調(diào)節(jié)法 (ORCA 法)、ISO 9001 的改進(jìn) 過程、失效模式和有效性分析(FMEA)以及風(fēng)險(xiǎn)控制矩陣。  

風(fēng)險(xiǎn)分析矩陣是一種關(guān)鍵的分析工具，即對(duì)于識(shí)別出的每一種風(fēng)險(xiǎn)，估算風(fēng)險(xiǎn)產(chǎn)生的后果和風(fēng)險(xiǎn)發(fā)生的可能性，然后將這些信息輸入到風(fēng)險(xiǎn)分析矩陣中。 

對(duì)每一個(gè)風(fēng)險(xiǎn)的關(guān)注程度進(jìn)行判斷之后，可對(duì)極端的和高危的風(fēng)險(xiǎn)采取措施 。ISO 9001：2015 要求建立一個(gè)程序以實(shí)施以下活動(dòng)：

• 采取措施控制并糾正不符合；

• 評(píng)估是否需要采取措施消除風(fēng)險(xiǎn)源；

• 實(shí)施糾正措施；

• 評(píng)估措施的有效性；

• 在需要時(shí)對(duì)質(zhì)量管理體系進(jìn)行修訂；  

風(fēng)險(xiǎn)專家格雷格·哈金斯建議考慮采用 ORCA 作為組織的風(fēng)險(xiǎn)評(píng)估方法。他認(rèn)為， “這種方法的接受度和適用性很好，它結(jié)合了其他一些類型的評(píng)估因素，包括過程、內(nèi)部控制和體系審核等。另外，它也符合當(dāng)今公司治理實(shí)踐中對(duì)風(fēng)險(xiǎn)管理和運(yùn)營效率的關(guān)注?！?/span>

ORCA 要求組織做到以下各項(xiàng)：

• 清晰說明組織的目標(biāo)；

• 全面識(shí)別并評(píng)估風(fēng)險(xiǎn)；

• 建立平衡的控制方式以管理組織的風(fēng)險(xiǎn)； 

• 確保整個(gè)企業(yè)的目標(biāo)、風(fēng)險(xiǎn)和控制的一致性。 

在完成風(fēng)險(xiǎn)評(píng)估之后，高級(jí)和運(yùn)營管理層可制定風(fēng)險(xiǎn)管理方面的策略并執(zhí)行相關(guān)的業(yè)務(wù)決定。風(fēng)險(xiǎn)管理策略包括避免、減輕、接受、分散及控制等方法。  

ISO 9001：2015 的第 10.2 款說的是組織宜對(duì)以下情況 有所反饋，以改進(jìn)其質(zhì)量管理體系：

• 數(shù)據(jù)分析的結(jié)果；

• 組織狀況的改變；

• 識(shí)別出的風(fēng)險(xiǎn)的變化(條款 6.1)；

• 新的機(jī)會(huì)。