聚焦ISO 9001:2015

編者按

本文發(fā)表于2014年9月的《質(zhì)量進(jìn)展》，作者桑福德?雷比斯曼（Sandford Liebesman）是美國新澤西桑福德質(zhì)量咨詢公司總裁，擁有30余年的質(zhì)量領(lǐng)域從業(yè)經(jīng)驗，先后供職于貝爾實驗室、朗訊科技和貝爾通信研究所。作為美國質(zhì)量協(xié)會的會員，曾擔(dān)任電子與通信委員會主席一職。從1984年至今，他一直是國際標(biāo)準(zhǔn)化組織質(zhì)量管理和質(zhì)量保證技術(shù)委員會美國技術(shù)顧問小組的成員。在此期間，他參與了所有版本的標(biāo)準(zhǔn)修訂工作。ISO 9001新版標(biāo)準(zhǔn)首次引入了“風(fēng)險”概念，本文通過對ISO9001相關(guān)風(fēng)險條款的詳細(xì)分析，說明如何增強企業(yè)的風(fēng)險管理。包括風(fēng)險的4種分類以及風(fēng)險的分析方法。

近十年來，經(jīng)濟(jì)全球化為每個組織帶來許多前所未有的機(jī)遇。與此同時，組織也必須面對變化帶來的各種風(fēng)險，其中包括互聯(lián)網(wǎng)以及服務(wù)廣泛向其他國家外包而引發(fā)的風(fēng)險。為了適應(yīng)這些變化，組織必須采取一種基于風(fēng)險的思維模式、應(yīng)對方式及其相關(guān)工具，來識別、管理并移除風(fēng)險。對此，行之有效的手段一般包括界定組織目標(biāo)、分類風(fēng)險、識別實現(xiàn)目標(biāo)所面臨的風(fēng)險以及開發(fā)風(fēng)險管理方法等要素。

lSO/DlS 9001∶2015中的“風(fēng)險”元素

當(dāng)組織為了符合修訂標(biāo)準(zhǔn)的規(guī)定實施相應(yīng)調(diào)整時，將不可避免地受到ISO/DIS 9001∶2015所包含的許多基于風(fēng)險的元素的影響。這里將歸納ISO/DIS 9001∶2015中的一些風(fēng)險元素。

定義。ISO/DIS 9001∶2015將風(fēng)險定義為“對預(yù)期結(jié)果的不確定性影響”。但國際標(biāo)準(zhǔn)草案（DIS）中并未涉及有關(guān)風(fēng)險防范活動的相關(guān)要求。

過程方法。過程方法是國際標(biāo)準(zhǔn)草案第4.4條重點討論的一項內(nèi)容，主要在于要求組織“確定質(zhì)量管理體系（QMS）所需的過程”并將其應(yīng)用于整個組織，這包括識別：

——投入、產(chǎn)出和資源；

——先后順序和相互作用；

——效率；

——職責(zé)和改進(jìn)的機(jī)會；

——風(fēng)險和機(jī)遇以及必需的應(yīng)對措施。

客戶導(dǎo)向。第5.1.2條規(guī)定，最高管理層必須“通過確?！R別和應(yīng)對可能影響產(chǎn)品、服務(wù)及客戶滿意度提升能力的風(fēng)險和機(jī)遇，證明其以客戶為導(dǎo)向的領(lǐng)導(dǎo)和承諾。”

風(fēng)險和機(jī)遇的應(yīng)對措施。第6.1.1和6.1.2條規(guī)定，組織必須“確定風(fēng)險和機(jī)遇”并妥善應(yīng)對，以確保質(zhì)量管理體系能夠：

——實現(xiàn)期望的結(jié)果；

——預(yù)防或減少非預(yù)期的影響；

——實現(xiàn)持續(xù)改進(jìn)。

為應(yīng)對風(fēng)險和機(jī)遇所采取的措施必須考慮對產(chǎn)品、服務(wù)的合規(guī)性以及客戶滿意度的潛在影響。此外，組織應(yīng)該以“計劃性和系統(tǒng)性的方式”開展變革，識別風(fēng)險和機(jī)遇，并評估變革活動的可能結(jié)果?？蛇x的風(fēng)險應(yīng)對措施包括風(fēng)險規(guī)避、風(fēng)險源頭阻斷、風(fēng)險分散以及決定是否承擔(dān)風(fēng)險等。

交付后活動。根據(jù)第8.5.5條，在標(biāo)準(zhǔn)適用的前提下，組織必須確定并滿足與產(chǎn)品和服務(wù)的屬性及預(yù)期生命周期相關(guān)的交付后活動要求，具體包括：

——與產(chǎn)品和服務(wù)相關(guān)的風(fēng)險；

——使用和生命周期；

——客戶反饋；

——法律法規(guī)要求。

管理評審。第9.3條規(guī)定，組織必須考慮風(fēng)險和機(jī)遇應(yīng)對措施的有效性（參見第6.1條），其中包括：

——確定需要監(jiān)測和測量的對象，以使組織能夠證實產(chǎn)品和服務(wù)符合要求；

——評估過程績效（參見第4.4條）；

——確保質(zhì)量管理體系的合規(guī)性和有效性；

——評估客戶滿意度。

內(nèi)部審核。第9.2條規(guī)定，組織必須“規(guī)劃、建立、實施和維護(hù)一個或多個審核方案”，并設(shè)定“頻次、方法、職責(zé)，規(guī)劃審核要求，報告審核結(jié)果”。審核方案應(yīng)考慮質(zhì)量目標(biāo)、相關(guān)過程的重要性、關(guān)聯(lián)風(fēng)險以及以往審核的結(jié)果。

基于風(fēng)險的方法。附錄1第4條對基于風(fēng)險的管理方法進(jìn)行了說明，其中包括：

——要求組織對所處環(huán)境進(jìn)行充分了解，例如所需面對的內(nèi)外部問題；

——認(rèn)識管理體系作為風(fēng)險規(guī)避工具的重要作用；

——識別風(fēng)險和機(jī)遇；

——應(yīng)對已識別的風(fēng)險和機(jī)遇。

運用基于風(fēng)險的思維方式

影響組織的四類主要風(fēng)險及其因素敘述如下。

1.組織風(fēng)險

組織風(fēng)險主要出現(xiàn)于組織的實體和活動層面。實體層面的風(fēng)險包含內(nèi)外兩個方面。外部風(fēng)險因素包括技術(shù)、競爭和立法。內(nèi)部風(fēng)險因素則涉及安全、信息系統(tǒng)、進(jìn)出貨損失、員工能力和職責(zé)改變等。

活動層面的風(fēng)險將對組織的每個部門或職能單位產(chǎn)生影響，包括未納入系統(tǒng)的信息或物料、進(jìn)貨報告或發(fā)運記錄的遺失、安全控制不力、員工技能不足或工作上的麻痹大意。一旦在整個組織內(nèi)部出現(xiàn)活動層面的風(fēng)險，最終將導(dǎo)致實體層面風(fēng)險的不斷增長。

2.戰(zhàn)略風(fēng)險

戰(zhàn)略風(fēng)險通常在組織的戰(zhàn)略或經(jīng)營計劃存在缺陷時發(fā)生，是指因經(jīng)營計劃或戰(zhàn)略的推行失敗而面臨的損失，其誘因可能在于經(jīng)營決策失誤、決策執(zhí)行不力、資源分配不合理或未能及時應(yīng)對經(jīng)營環(huán)境的變化。

3.合規(guī)風(fēng)險

合規(guī)風(fēng)險的源頭在于法律法規(guī)的相關(guān)要求。由于面臨處罰、停業(yè)或刑事訴訟的風(fēng)險，組織必須對環(huán)境、健康和安全方面的法律法規(guī)要求給予足夠的重視。符合質(zhì)量和環(huán)境的標(biāo)準(zhǔn)及規(guī)格要求也屬于此類風(fēng)險范疇。

環(huán)境風(fēng)險既包括污水泄漏、廢氣排放及固態(tài)廢料的隨意處置，也涵蓋下列風(fēng)險事件：

——采購部門由國內(nèi)向國外的轉(zhuǎn)移；

——未更換一個關(guān)鍵的環(huán)境合規(guī)負(fù)責(zé)人；

——未能建立新材料的數(shù)據(jù)安全表。

4．運營風(fēng)險

一般而言，運營風(fēng)險主要包括七個類別：

（1）管理體系風(fēng)險。管理體系可能會因戰(zhàn)略、實踐和工具、數(shù)據(jù)處理、呼叫中心、合同管理、設(shè)計和開發(fā)等環(huán)節(jié)存在的各種問題而降低效率。舉例而言，外包程度較高的供應(yīng)鏈可能會成為組織面臨的一個主要風(fēng)險。

其他管理體系風(fēng)險還包括收入認(rèn)定錯誤、違反國土安全規(guī)定、不符合環(huán)境要求及相關(guān)法案。這些行為可能會導(dǎo)致組織面臨處罰、停業(yè)或刑事訴訟的風(fēng)險。為了有效降低此類風(fēng)險，組織的最高管理層及董事會應(yīng)對自身的管理體系了如指掌，并致力于不斷提升其運作效率。

如果以下方面的活動出現(xiàn)問題，組織的管理體系必將受到殃及：

——人力資源管理；

——管理工具；

——數(shù)據(jù)處理；

——呼叫中心；

——市場營銷；

——合同管理；

——客戶溝通；

——設(shè)計與開發(fā)。

最高管理層和董事會應(yīng)該了解自身的管理體系并努力提升它的效率。

（2）客戶滿意風(fēng)險?？蛻魸M意風(fēng)險通常受到客戶溝通、延遲交付、產(chǎn)品、設(shè)計與維修、對客戶意見處理不力等問題的影響。為了降低這類風(fēng)險，有關(guān)客戶滿意度方面的數(shù)據(jù)應(yīng)連同產(chǎn)品質(zhì)量數(shù)據(jù)、產(chǎn)品和過程監(jiān)控數(shù)據(jù)、供應(yīng)商質(zhì)量反饋數(shù)據(jù)等一起納入分析過程。

（3）供應(yīng)鏈風(fēng)險。采購經(jīng)理必須對外包產(chǎn)品和服務(wù)、獨立供應(yīng)商、交付及時性、庫存管理和單據(jù)留存等問題給予足夠的重視。溝通工作對于供應(yīng)鏈的高效運轉(zhuǎn)至關(guān)重要，用于管理供應(yīng)鏈風(fēng)險的度量指標(biāo)一般包括交付時間、庫存水平及成本費用。

（4）影響利潤水平的收入認(rèn)定風(fēng)險。管理此類風(fēng)險主要在于從產(chǎn)品銷售、生產(chǎn)直至交付、轉(zhuǎn)化為應(yīng)收付款的各個環(huán)節(jié)進(jìn)行跟蹤。應(yīng)付賬款、應(yīng)收賬款、交付前收入記錄、報價-現(xiàn)金等出錯、電子報表錯誤以及不完整的價格信息都將對收入確認(rèn)產(chǎn)生影響。

質(zhì)量經(jīng)理對于有效控制收入認(rèn)定過程負(fù)有不可推卸的責(zé)任。組織的質(zhì)量管理體系與財務(wù)管理體系之間相互重疊，主要體現(xiàn)在產(chǎn)品實現(xiàn)、成本、銷售、發(fā)票、付款、庫存管理和交付等方面。有關(guān)貨物發(fā)運的數(shù)據(jù)將直接計入應(yīng)收賬款并進(jìn)行收入確認(rèn)。對于一些組織而言，收入認(rèn)定方面存在的問題將對整體利潤產(chǎn)生較大的沖擊，并可能進(jìn)一步造成股價的下跌。

此外，虛假的收入確認(rèn)還將引發(fā)重大錯報風(fēng)險。因此，審計人員應(yīng)對旨在發(fā)現(xiàn)收入認(rèn)定過程中造假行為的控制手段加以考察和完善。

（5）信息安全風(fēng)險。此類風(fēng)險主要包括病毒、不安全的文件、不準(zhǔn)確的財務(wù)記錄和報告、變革控制不足、信息檢索錯誤、電子報表濫用、任用承包商和咨詢顧問、引進(jìn)新技術(shù)以及商業(yè)間諜和欺詐。

在ISO/IEC 27001∶2005《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》標(biāo)準(zhǔn)中，提出了建立、實施、運營、監(jiān)控、評估、維護(hù)及改進(jìn)信息安全管理體系的相關(guān)要求。

（6）物流風(fēng)險。影響物流風(fēng)險的因素如下所示：

——原材料和成品的運輸；

——貨運過程中的損毀；

——導(dǎo)致無法實現(xiàn)預(yù)期交付要求的延遲；

——導(dǎo)致物料短缺的延遲；

——國土安全信息要求。

為了有效降低物流風(fēng)險，組織必須掌握能夠在不干擾供應(yīng)鏈的前提下監(jiān)視、跟蹤貨物的新手段。當(dāng)產(chǎn)品離開生產(chǎn)環(huán)節(jié)之后，組織必須克服一切物流方面的難題，將貨物及時、妥善地運送至客戶手中。

（7）自然災(zāi)害風(fēng)險。在過去幾年中，全球經(jīng)歷了各種各樣的自然災(zāi)害。為了滿足業(yè)務(wù)連續(xù)性的要求，組織必須確保信息安全地存儲于保護(hù)性設(shè)備中，并對災(zāi)后恢復(fù)做出提前規(guī)劃。

在業(yè)務(wù)連續(xù)性方面，信息技術(shù)發(fā)揮著至關(guān)重要的作用。信息技術(shù)程序應(yīng)該保證業(yè)務(wù)連續(xù)性能及時、有效地運作。組織內(nèi)部的信息技術(shù)人員也應(yīng)成為業(yè)務(wù)連續(xù)發(fā)展團(tuán)隊的成員。

信息技術(shù)部門應(yīng)該提供信息的安全保存和保護(hù)性存儲，同時進(jìn)行管理和維護(hù)，提供安全性，以應(yīng)對各種自然災(zāi)害。具體的方法主要包括定期復(fù)制信息，并將其存儲在位于其他安全位置的備份系統(tǒng)中。存儲于此的數(shù)據(jù)應(yīng)該定期接受準(zhǔn)確性測試。

ISO/IEC 27001規(guī)定了針對業(yè)務(wù)連續(xù)性管理的控制標(biāo)準(zhǔn)。一項“業(yè)務(wù)連續(xù)性計劃”通常包含以下要素：

——業(yè)務(wù)風(fēng)險與影響分析；

——對于災(zāi)害事件的初期應(yīng)對措施；

——管理突發(fā)事件的程序及業(yè)務(wù)恢復(fù)過程；

——多層面的培訓(xùn)計劃；

——不斷更新業(yè)務(wù)連續(xù)性計劃的流程。

業(yè)務(wù)連續(xù)性計劃應(yīng)定期演練。對于業(yè)務(wù)連續(xù)性計劃，組織應(yīng)重點針對以下問題：

——是否制定書面計劃以確保信息過程的連續(xù)性？

——是否每年都會對計劃進(jìn)行更新和測評？何時進(jìn)行計算機(jī)硬件、軟件或應(yīng)用系統(tǒng)方面的重大改進(jìn)？

——是否定期測試備份媒介？

——是否定期備份應(yīng)用程序、應(yīng)用數(shù)據(jù)和操作系統(tǒng)軟件？

——是否將計劃副本和備份數(shù)據(jù)異地保存？

風(fēng)險分析方法

當(dāng)組織確定自己的風(fēng)險偏好和風(fēng)險承受度，以使全體成員了解風(fēng)險理念時，即為風(fēng)險分析的開端。在明確偏好和承受度之后，組織可以運用相關(guān)工具確定風(fēng)險水平并管理已知的風(fēng)險。組織的控制機(jī)制是一項重要工具，特別是在《薩班斯—奧克斯利法案》合規(guī)方面表現(xiàn)突出。這種合規(guī)性一般是指在實體和活動層面上的財務(wù)控制。

風(fēng)險偏好和風(fēng)險承受

風(fēng)險偏好是指組織實體愿意接受的風(fēng)險總量，是一種可用來權(quán)衡業(yè)務(wù)風(fēng)險回報的方法。對于《薩班斯—奧克斯利法案》合規(guī)性而言，風(fēng)險偏好體現(xiàn)著領(lǐng)導(dǎo)高層的管理基調(diào)。根據(jù)美國反虛假財務(wù)報告委員會的發(fā)起組織委員會的說明，風(fēng)險偏好對于形成控制環(huán)境的作用不容小覷。突破風(fēng)險偏好的局限進(jìn)行風(fēng)險評價是制定可供執(zhí)行的預(yù)防性措施的有效途徑。

風(fēng)險偏好是針對已識別風(fēng)險進(jìn)行資金分配的動因之一。增加對于風(fēng)險偏好的認(rèn)識可以提高組織內(nèi)部資金分配的有效性。風(fēng)險偏好是風(fēng)險承受能力的體現(xiàn)，其制約因素包括組織保持信用評級和達(dá)到規(guī)定資本要求所需的資金。

另一方面，風(fēng)險承受與組織實體的特定目標(biāo)休戚相關(guān)。它主要是指組織實體樂于接受的與目標(biāo)相關(guān)的風(fēng)險變動水平。組織內(nèi)部不同職能的風(fēng)險承受度各不相同。

風(fēng)險偏好是一個組織實體范圍的更寬泛概念，而風(fēng)險承受則更為聚焦。對于組織內(nèi)部不同的運營部門，風(fēng)險承受度可能截然不同。但是，當(dāng)不同部門的風(fēng)險承受度相互結(jié)合時，最終將形成由最高管理層和董事會所設(shè)定的整體風(fēng)險偏好。

運用控制機(jī)制

組織的控制機(jī)制是管理風(fēng)險的重要手段之一。對于《薩班斯—奧克斯利法案》合規(guī)性而言，控制機(jī)制顯得更為重要。審計人員應(yīng)將組織的控制機(jī)制作為合規(guī)過程中的一項重要內(nèi)容予以考核。財務(wù)控制和質(zhì)量控制對于實體和活動兩個層面而言不可或缺。質(zhì)量控制在ISO9001和ISO14001標(biāo)準(zhǔn)中均以“應(yīng)該”這種表述方式出現(xiàn)?！皯?yīng)該”表述方式通常涉及提交數(shù)據(jù)。此外，一些過程績效要求還包括結(jié)果記錄，以用于識別迫近風(fēng)險。

舉例而言，實體層面的控制機(jī)制包括：

——人力資源政策；

——行為準(zhǔn)則；

——溝通策略；

——會計政策；

——管理層的風(fēng)險評價過程、組織結(jié)構(gòu)和合同審核。其中，合同審核要求涉及ISO/DIS 9001∶2015新版標(biāo)準(zhǔn)第8.2.3條“針對產(chǎn)品和服務(wù)相關(guān)要求的審核”中的內(nèi)容。

活動層面的控制機(jī)制包括總賬與明細(xì)賬相符、數(shù)據(jù)的自動驗證和編輯檢查、保密信息的訪問限制、記賬之前編號交易、錄入之前對紙質(zhì)信息進(jìn)行審核和核準(zhǔn)。

活動層面的質(zhì)量控制包括生產(chǎn)控制（第8.6.1條）、糾正不合格產(chǎn)品和服務(wù)的文件信息（第8.8條）以及對重要環(huán)境因素加以識別（ISO 14001∶2004第4.3.1條）。

風(fēng)險和預(yù)防措施

有效的風(fēng)險評價活動包括：

——明確組織可衡量的目標(biāo)；

——確保目標(biāo)的相容性；

——確定實現(xiàn)目標(biāo)所面臨的風(fēng)險；

——判斷風(fēng)險的嚴(yán)重程度，風(fēng)險分析矩陣可用于確定風(fēng)險的危急程度；

——運用風(fēng)險管理工具降低風(fēng)險，例如ORCA（目標(biāo)、風(fēng)險、控制和融合）過程、ISO 9001改進(jìn)過程、失效模式及后果分析、風(fēng)險控制矩陣等。

風(fēng)險分析矩陣

風(fēng)險分析矩陣是用于管理風(fēng)險的一個重要工具。對于任何已識別的風(fēng)險而言，風(fēng)險的后果和發(fā)生概率都有賴于估算確定，然后再將估算數(shù)據(jù)代入風(fēng)險分析矩陣（如表1所示）之中。

在確定每一風(fēng)險的重要程度后，可以針對極高和較高的風(fēng)險采取措施。根據(jù)ISO/DIS 9001∶2015新版標(biāo)準(zhǔn)規(guī)定，相關(guān)過程應(yīng)包括以下環(huán)節(jié)：

——采取措施控制并糾正不符合標(biāo)準(zhǔn)之處；

——評估移除風(fēng)險根源所需的措施；

——實施改進(jìn)措施；

——評價措施的有效性；

——在必要時對質(zhì)量管理體系進(jìn)行調(diào)整。

ORCA模型

風(fēng)險管理專家格雷戈?哈欽斯建議，可將ORCA模型作為一種組織風(fēng)險評價方法善加利用。他指出：“這個模型得到廣泛的認(rèn)可和采用。它不僅植入了過程、內(nèi)部控制和系統(tǒng)稽核等其他類型的評價元素，還符合當(dāng)前以風(fēng)險管理和運營效率為重點的公司治理要求。”

ORCA模型要求組織：

——明確組織目標(biāo)；

——識別并評價組織各層面的風(fēng)險；

表1 風(fēng)險分析矩陣

——建立均衡的控制體系以管理組織風(fēng)險；

——確保整個組織的目標(biāo)、風(fēng)險及控制手段相互協(xié)調(diào)。

在風(fēng)險評價完成之后，高層和運營管理者應(yīng)該著手制定風(fēng)險管理及業(yè)務(wù)決策實施方面的相關(guān)戰(zhàn)略。風(fēng)險管理戰(zhàn)略包括風(fēng)險規(guī)避、風(fēng)險移除、風(fēng)險接受、風(fēng)險分散和風(fēng)險控制。

ISO 9001改進(jìn)過程

ISO/DIS 9001∶2015新版標(biāo)準(zhǔn)第10.2條規(guī)定，組織應(yīng)針對以下方面改進(jìn)質(zhì)量管理體系：

——數(shù)據(jù)分析的結(jié)果；

——組織所處環(huán)境的改變；

——已識別風(fēng)險的變化（參見第6.1條）；

——新的機(jī)遇。

失效模式及后果分析（FMEA）

FMEA是一種用于風(fēng)險排序及采取預(yù)防性措施降低風(fēng)險的方法，它可以檢查產(chǎn)品或過程可能出現(xiàn)的各種失效，幫助制定降低風(fēng)險的矯正措施。

FMEA方法的首要步驟在于對相關(guān)系統(tǒng)各個環(huán)節(jié)的清晰描述。接下來應(yīng)確定每一環(huán)節(jié)出現(xiàn)失效時的后果。每一環(huán)節(jié)出現(xiàn)失效的概率和嚴(yán)重程度可以通過風(fēng)險分析矩陣進(jìn)行評估。除此之外，還能識別失效檢測的控制能力。

為了杜絕或降低發(fā)生失效的可能性，或增強風(fēng)險的洞察能力，組織必須制定有效的措施。最后，F(xiàn)MEA還可以幫助組織推行過程及產(chǎn)品的變革，從而杜絕潛在問題的出現(xiàn)。

表2 管理體系的失效風(fēng)險

表3 客戶滿意風(fēng)險

表4 供應(yīng)鏈風(fēng)險

表5 收入認(rèn)定風(fēng)險

ReliaSoft公司的卡爾?S.卡爾森將一個有效的FMEA過程歸納為11個步驟。這個步驟以制定戰(zhàn)略和資源計劃作為開始，然后是一系列通用步驟，包括設(shè)計管理評審、質(zhì)量審核、供應(yīng)商失效模式及后果分析、實施方法及后續(xù)的建議措施等。他的最后步驟包括軟件支持、關(guān)聯(lián)至其他過程和測試，以及對現(xiàn)場失效的后續(xù)跟蹤等。

表6 信息安全風(fēng)險

表7 物流風(fēng)險

表8 自然災(zāi)害風(fēng)險

風(fēng)險控制矩陣

風(fēng)險控制矩陣是一種用于管理特定過程風(fēng)險的工具?？刂企w系主要是為了識別對過程產(chǎn)生影響的個體風(fēng)險的狀態(tài)。組織的管理者可以通過風(fēng)險控制矩陣獲得對控制評估結(jié)果的直觀認(rèn)識。

采用基于風(fēng)險的方法

ISO/DIS 9001∶2015新版標(biāo)準(zhǔn)具有強烈的風(fēng)險導(dǎo)向性。組織基于風(fēng)險的思維方式必須以可以衡量的目標(biāo)作為開始，風(fēng)險是影響目標(biāo)實現(xiàn)進(jìn)程的阻礙。

組織必須確定自身的風(fēng)險偏好和風(fēng)險承受度，以便獲得統(tǒng)一的風(fēng)險理念。然后可以通過風(fēng)險分析矩陣歸集事件概率及后果的方法來界定風(fēng)險水平。

在《薩班斯—奧克斯利法案》合規(guī)過程中，應(yīng)該運用自上而下、基于風(fēng)險的方法構(gòu)建并測試控制手段，從而識別現(xiàn)有的缺陷和可能的重大錯報。截至目前，修改后的ISO 9001和ISO 14001新版標(biāo)準(zhǔn)似乎為組織完善風(fēng)險管理戰(zhàn)略提供了各種頗具價值的工具。

在閱讀完畢有關(guān)風(fēng)險思維方法的基本內(nèi)容后，不妨利用本文的表格（見表2～表8）練習(xí)如何改進(jìn)組織的風(fēng)險管理方法。