個(gè)組織在風(fēng)險(xiǎn)分析方面最先要做的事情就是明確組織能夠承擔(dān)哪種類型的風(fēng)險(xiǎn)(風(fēng)險(xiǎn)偏好) 以及風(fēng)險(xiǎn)的承受能 力,使組織的所有成員了解組織的“風(fēng)觀”。這一點(diǎn)確定后,可采用一些工具或方法以確定風(fēng)險(xiǎn)等級(jí)并對(duì)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行管理。關(guān)鍵工具之一就是組織的控制措施。對(duì)于與薩班斯-奧克斯利法案相關(guān)的內(nèi)容來說,組織的控制措施尤其重要。不僅在組織層面的財(cái)務(wù)控制要合規(guī),活動(dòng)層面的財(cái)務(wù)控制也要合規(guī)。
◆ ◆ ◆
風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受能力
風(fēng)險(xiǎn)偏好是從大的角度來看一個(gè)組織所愿意承受的風(fēng)險(xiǎn)總量,即承受風(fēng)險(xiǎn)所能帶來的利益與抵消風(fēng)險(xiǎn)的代價(jià)的比較。正如特雷得韋委員會(huì)(反欺詐財(cái)務(wù)報(bào)告委員會(huì)) 的贊助委員會(huì) 5 所指出的,這是建立控制措施的主要切入點(diǎn)。在風(fēng)險(xiǎn)評(píng)估中,對(duì)于超出風(fēng)險(xiǎn)偏好的情況,應(yīng)該得出采取預(yù)防措施的結(jié)論。
明確風(fēng)險(xiǎn)偏好有助于決定如何根據(jù)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行資金分配。加深對(duì)其了解有助于更有效地進(jìn)行管理。風(fēng)險(xiǎn)偏好與承擔(dān)風(fēng)險(xiǎn)的能力之間可有函數(shù)關(guān)系。為維持組織的信用評(píng)級(jí)或達(dá)到監(jiān)管資金要求所需的資金存量往往是制約風(fēng)險(xiǎn)偏好的因素。
相對(duì)風(fēng)險(xiǎn)偏好來說,風(fēng)險(xiǎn)承受能力與組織的特定目標(biāo)相關(guān),它是一個(gè)實(shí)體所愿意承受的與實(shí)現(xiàn)其目標(biāo)有關(guān)的各種變化的總和。一個(gè)組織中,對(duì)不同風(fēng)險(xiǎn)的承受能力不同。
風(fēng)險(xiǎn)偏好是一個(gè)較廣的組織層面的概念,而風(fēng)險(xiǎn)承受能力往往關(guān)注點(diǎn)更集中。一個(gè)組織對(duì)其不同業(yè)務(wù)可有不同的風(fēng)險(xiǎn)承受能力,但是當(dāng)這些不同的風(fēng)險(xiǎn)承受能力進(jìn)行疊加的時(shí)候,它們不能超出最高管理層和董事會(huì)確定的風(fēng)險(xiǎn)偏好。
◆ ◆ ◆
采取控制措施
對(duì)風(fēng)險(xiǎn)進(jìn)行管理的一種重要的工具是組織建立的一整套控制措施。對(duì)于薩班斯-奧克斯利法案的合規(guī)要求來說,控制尤其重要。在該法規(guī)的合規(guī)審核過程中,審核員非常重視對(duì)控制措施的測(cè)試。財(cái)務(wù)和質(zhì)量的控制分兩個(gè)層級(jí),即實(shí)體層面和活動(dòng)層面,且在 ISO 9001 和 ISO 14001 標(biāo)準(zhǔn)中,質(zhì)量控制是以“應(yīng)”語句出現(xiàn)的,這種“應(yīng)”語句通常伴隨著提交數(shù)據(jù)的要求。一些過程績(jī)效要求也會(huì)包括對(duì)結(jié)果的記錄,這些記錄可用來識(shí)別迫切的風(fēng)險(xiǎn)。
實(shí)體層級(jí)的控制措施包括:
人力資源政策
行為準(zhǔn)則
溝通策略
會(huì)計(jì)原則
管理層的風(fēng)險(xiǎn)評(píng)估過程
組織結(jié)構(gòu)和合同評(píng)審。在 ISO 9001:2015 中,合同評(píng) 審的要求和質(zhì)量要求是相互關(guān)聯(lián)的,參見條款 8.2.3 與 產(chǎn)品和服務(wù)有關(guān)要求的評(píng)審。
活動(dòng)層面的控制措施包括進(jìn)行總賬與明細(xì)分類賬的對(duì)賬分析、數(shù)據(jù)的自動(dòng)驗(yàn)證和編輯性檢查、限制保密信息的獲取、在錄入前對(duì)交易進(jìn)行編號(hào)、在輸入系統(tǒng)前對(duì)紙面信息進(jìn)行審查和批準(zhǔn)等方式。
活動(dòng)層面的質(zhì)量控制措施包括生產(chǎn)控制(8.6.1 條款)、 成文信息—不合格產(chǎn)品和服務(wù)的糾正(8.8 條款) 以及識(shí)別 重要環(huán)境因素(ISO 14001:2004 條款 4.3.1)。
◆ ◆ ◆
風(fēng)險(xiǎn)和預(yù)防措施
有效的風(fēng)險(xiǎn)評(píng)估活動(dòng)包括:
明確組織的可測(cè)量目標(biāo);
確保上述目標(biāo)的兼容性;
識(shí)別實(shí)現(xiàn)目標(biāo)的風(fēng)險(xiǎn);
判斷關(guān)鍵風(fēng)險(xiǎn)———可采用風(fēng)險(xiǎn)分析矩陣確定風(fēng)險(xiǎn)的關(guān)鍵程度;
采用風(fēng)險(xiǎn)管理工具來降解風(fēng)險(xiǎn),比如目標(biāo)—風(fēng)險(xiǎn)——— 控制措施———調(diào)節(jié)法 (ORCA 法)、ISO 9001 的改進(jìn) 過程、失效模式和有效性分析(FMEA)以及風(fēng)險(xiǎn)控制矩陣。
◆ ◆ ◆
風(fēng)險(xiǎn)分析矩陣
風(fēng)險(xiǎn)分析矩陣是一種關(guān)鍵的分析工具,即對(duì)于識(shí)別出的每一種風(fēng)險(xiǎn),估算風(fēng)險(xiǎn)產(chǎn)生的后果和風(fēng)險(xiǎn)發(fā)生的可能性,然后將這些信息輸入到風(fēng)險(xiǎn)分析矩陣中。
對(duì)每一個(gè)風(fēng)險(xiǎn)的關(guān)注程度進(jìn)行判斷之后,可對(duì)極端的和高危的風(fēng)險(xiǎn)采取措施 。ISO 9001:2015 要求建立一個(gè)程序以實(shí)施以下活動(dòng):
采取措施控制并糾正不符合;
評(píng)估是否需要采取措施消除風(fēng)險(xiǎn)源;
實(shí)施糾正措施;
評(píng)估措施的有效性;
在需要時(shí)對(duì)質(zhì)量管理體系進(jìn)行修訂;
◆ ◆ ◆
ORCA
風(fēng)險(xiǎn)專家格雷格·哈金斯建議考慮采用 ORCA 作為組織的風(fēng)險(xiǎn)評(píng)估方法。他認(rèn)為, “這種方法的接受度和適用性很好,它結(jié)合了其他一些類型的評(píng)估因素,包括過程、內(nèi)部控制和體系審核等。另外,它也符合當(dāng)今公司治理實(shí)踐中對(duì)風(fēng)險(xiǎn)管理和運(yùn)營(yíng)效率的關(guān)注?!?/span>
ORCA 要求組織做到以下各項(xiàng):
清晰說明組織的目標(biāo);
全面識(shí)別并評(píng)估風(fēng)險(xiǎn);
建立平衡的控制方式以管理組織的風(fēng)險(xiǎn);
確保整個(gè)企業(yè)的目標(biāo)、風(fēng)險(xiǎn)和控制的一致性。
在完成風(fēng)險(xiǎn)評(píng)估之后,高級(jí)和運(yùn)營(yíng)管理層可制定風(fēng)險(xiǎn)管理方面的策略并執(zhí)行相關(guān)的業(yè)務(wù)決定。風(fēng)險(xiǎn)管理策略包括避免、減輕、接受、分散及控制等方法。
◆ ◆ ◆
ISO 9001 改進(jìn)過程
ISO 9001:2015 的第 10.2 款說的是組織宜對(duì)以下情況 有所反饋,以改進(jìn)其質(zhì)量管理體系:
數(shù)據(jù)分析的結(jié)果;
組織狀況的改變;
識(shí)別出的風(fēng)險(xiǎn)的變化(條款 6.1);
新的機(jī)會(huì)。
◆ <span style="color: rgb(255, 140, 0); margin: 0px; padding: 0px; border-width: 0px; max-width: 100%; bo