個組織在風(fēng)險分析方面最先要做的事情就是明確組織能夠承擔(dān)哪種類型的風(fēng)險(風(fēng)險偏好) 以及風(fēng)險的承受能 力，使組織的所有成員了解組織的“風(fēng)觀”。這一點確定后，可采用一些工具或方法以確定風(fēng)險等級并對識別出的風(fēng)險進(jìn)行管理。關(guān)鍵工具之一就是組織的控制措施。對于與薩班斯-奧克斯利法案相關(guān)的內(nèi)容來說，組織的控制措施尤其重要。不僅在組織層面的財務(wù)控制要合規(guī)，活動層面的財務(wù)控制也要合規(guī)。 

風(fēng)險偏好是從大的角度來看一個組織所愿意承受的風(fēng)險總量，即承受風(fēng)險所能帶來的利益與抵消風(fēng)險的代價的比較。正如特雷得韋委員會(反欺詐財務(wù)報告委員會) 的贊助委員會 5 所指出的，這是建立控制措施的主要切入點。在風(fēng)險評估中，對于超出風(fēng)險偏好的情況，應(yīng)該得出采取預(yù)防措施的結(jié)論。 

明確風(fēng)險偏好有助于決定如何根據(jù)識別出的風(fēng)險進(jìn)行資金分配。加深對其了解有助于更有效地進(jìn)行管理。風(fēng)險偏好與承擔(dān)風(fēng)險的能力之間可有函數(shù)關(guān)系。為維持組織的信用評級或達(dá)到監(jiān)管資金要求所需的資金存量往往是制約風(fēng)險偏好的因素。 

相對風(fēng)險偏好來說，風(fēng)險承受能力與組織的特定目標(biāo)相關(guān)，它是一個實體所愿意承受的與實現(xiàn)其目標(biāo)有關(guān)的各種變化的總和。一個組織中，對不同風(fēng)險的承受能力不同。 

風(fēng)險偏好是一個較廣的組織層面的概念，而風(fēng)險承受能力往往關(guān)注點更集中。一個組織對其不同業(yè)務(wù)可有不同的風(fēng)險承受能力，但是當(dāng)這些不同的風(fēng)險承受能力進(jìn)行疊加的時候，它們不能超出最高管理層和董事會確定的風(fēng)險偏好。  

對風(fēng)險進(jìn)行管理的一種重要的工具是組織建立的一整套控制措施。對于薩班斯-奧克斯利法案的合規(guī)要求來說，控制尤其重要。在該法規(guī)的合規(guī)審核過程中，審核員非常重視對控制措施的測試。財務(wù)和質(zhì)量的控制分兩個層級，即實體層面和活動層面，且在 ISO 9001 和 ISO 14001 標(biāo)準(zhǔn)中，質(zhì)量控制是以“應(yīng)”語句出現(xiàn)的，這種“應(yīng)”語句通常伴隨著提交數(shù)據(jù)的要求。一些過程績效要求也會包括對結(jié)果的記錄，這些記錄可用來識別迫切的風(fēng)險。

實體層級的控制措施包括：

• 人力資源政策

• 行為準(zhǔn)則

• 溝通策略

• 會計原則

• 管理層的風(fēng)險評估過程

• 組織結(jié)構(gòu)和合同評審。在 ISO 9001：2015 中，合同評 審的要求和質(zhì)量要求是相互關(guān)聯(lián)的，參見條款 8.2.3 與 產(chǎn)品和服務(wù)有關(guān)要求的評審。 

活動層面的控制措施包括進(jìn)行總賬與明細(xì)分類賬的對賬分析、數(shù)據(jù)的自動驗證和編輯性檢查、限制保密信息的獲取、在錄入前對交易進(jìn)行編號、在輸入系統(tǒng)前對紙面信息進(jìn)行審查和批準(zhǔn)等方式。 

活動層面的質(zhì)量控制措施包括生產(chǎn)控制(8.6.1 條款)、 成文信息—不合格產(chǎn)品和服務(wù)的糾正(8.8 條款) 以及識別 重要環(huán)境因素(ISO 14001：2004 條款 4.3.1)。  

有效的風(fēng)險評估活動包括：

• 明確組織的可測量目標(biāo)；

• 確保上述目標(biāo)的兼容性；

• 識別實現(xiàn)目標(biāo)的風(fēng)險；

• 判斷關(guān)鍵風(fēng)險———可采用風(fēng)險分析矩陣確定風(fēng)險的關(guān)鍵程度；

• 采用風(fēng)險管理工具來降解風(fēng)險，比如目標(biāo)—風(fēng)險——— 控制措施———調(diào)節(jié)法 (ORCA 法)、ISO 9001 的改進(jìn) 過程、失效模式和有效性分析(FMEA)以及風(fēng)險控制矩陣。  

風(fēng)險分析矩陣是一種關(guān)鍵的分析工具，即對于識別出的每一種風(fēng)險，估算風(fēng)險產(chǎn)生的后果和風(fēng)險發(fā)生的可能性，然后將這些信息輸入到風(fēng)險分析矩陣中。 

對每一個風(fēng)險的關(guān)注程度進(jìn)行判斷之后，可對極端的和高危的風(fēng)險采取措施 。ISO 9001：2015 要求建立一個程序以實施以下活動：

• 采取措施控制并糾正不符合；

• 評估是否需要采取措施消除風(fēng)險源；

• 實施糾正措施；

• 評估措施的有效性；

• 在需要時對質(zhì)量管理體系進(jìn)行修訂；  

風(fēng)險專家格雷格·哈金斯建議考慮采用 ORCA 作為組織的風(fēng)險評估方法。他認(rèn)為， “這種方法的接受度和適用性很好，它結(jié)合了其他一些類型的評估因素，包括過程、內(nèi)部控制和體系審核等。另外，它也符合當(dāng)今公司治理實踐中對風(fēng)險管理和運營效率的關(guān)注。”

ORCA 要求組織做到以下各項：

• 清晰說明組織的目標(biāo)；

• 全面識別并評估風(fēng)險；

• 建立平衡的控制方式以管理組織的風(fēng)險； 

• 確保整個企業(yè)的目標(biāo)、風(fēng)險和控制的一致性。 

在完成風(fēng)險評估之后，高級和運營管理層可制定風(fēng)險管理方面的策略并執(zhí)行相關(guān)的業(yè)務(wù)決定。風(fēng)險管理策略包括避免、減輕、接受、分散及控制等方法。  

ISO 9001：2015 的第 10.2 款說的是組織宜對以下情況 有所反饋，以改進(jìn)其質(zhì)量管理體系：

• 數(shù)據(jù)分析的結(jié)果；

• 組織狀況的改變；

• 識別出的風(fēng)險的變化(條款 6.1)；

• 新的機會。