# v" c$ n x7 a1 l6 d) C
; x' u4 q, t( q8 i2 b& r4 k5 v n
3 I' t% n' H9 n5 S4 g. y6 [8 c
* {5 c* _" t" P* [! s/ a+ h5 m
一个组织在风险分析方面最先要做的事情就是明确组织能够承担哪种类型的风险(风险偏好) 以及风险的承受能 力,使组织的所有成员了解组织的“风观”。这一点确定后,可采用一些工具或方法以确定风险等级并对识别出的风险进行管理。关键工具之一就是组织的控制措施。对于与萨班斯-奥克斯利法案相关的内容来说,组织的控制措施尤其重要。不仅在组织层面的财务控制要合规,活动层面的财务控制也要合规。
◆ ◆ ◆
风险偏好和风险承受能力
2 k) J* l k$ t7 {* [- d. c. B. d, n
风险偏好是从大的角度来看一个组织所愿意承受的风险总量,即承受风险所能带来的利益与抵消风险的代价的比较。正如特雷得韦委员会(反欺诈财务报告委员会) 的赞助委员会 5 所指出的,这是建立控制措施的主要切入点。在风险评估中,对于超出风险偏好的情况,应该得出采取预防措施的结论。
" e8 o% n: E, S$ R& R+ f" @明确风险偏好有助于决定如何根据识别出的风险进行资金分配。加深对其了解有助于更有效地进行管理。风险偏好与承担风险的能力之间可有函数关系。为维持组织的信用评级或达到监管资金要求所需的资金存量往往是制约风险偏好的因素。
5 l2 R o0 k2 F- `7 t相对风险偏好来说,风险承受能力与组织的特定目标相关,它是一个实体所愿意承受的与实现其目标有关的各种变化的总和。一个组织中,对不同风险的承受能力不同。
/ u7 x; y' t8 D- \
风险偏好是一个较广的组织层面的概念,而风险承受能力往往关注点更集中。一个组织对其不同业务可有不同的风险承受能力,但是当这些不同的风险承受能力进行叠加的时候,它们不能超出最高管理层和董事会确定的风险偏好。
& d. z) i+ j8 q t, l' {2 T7 E
◆ ◆ ◆
采取控制措施
+ g# F, s% [! b- m$ P4 ~对风险进行管理的一种重要的工具是组织建立的一整套控制措施。对于萨班斯-奥克斯利法案的合规要求来说,控制尤其重要。在该法规的合规审核过程中,审核员非常重视对控制措施的测试。财务和质量的控制分两个层级,即实体层面和活动层面,且在 ISO 9001 和 ISO 14001 标准中,质量控制是以“应”语句出现的,这种“应”语句通常伴随着提交数据的要求。一些过程绩效要求也会包括对结果的记录,这些记录可用来识别迫切的风险。
' Z, `! Q7 R x; s
实体层级的控制措施包括:
5 l5 b* I2 X2 \' \9 h5 v# ^活动层面的控制措施包括进行总账与明细分类账的对账分析、数据的自动验证和编辑性检查、限制保密信息的获取、在录入前对交易进行编号、在输入系统前对纸面信息进行审查和批准等方式。
! A2 @" W+ a* u+ p
活动层面的质量控制措施包括生产控制(8.6.1 条款)、 成文信息—不合格产品和服务的纠正(8.8 条款) 以及识别 重要环境因素(ISO 14001:2004 条款 4.3.1)。
◆ ◆ ◆
风险和预防措施
: P0 G* u$ F, K5 j- |有效的风险评估活动包括:
& ]" x2 L' ~" `) Z1 z◆ ◆ ◆
风险分析矩阵
! U3 H% `6 D5 u3 x* v# D1 W
风险分析矩阵是一种关键的分析工具,即对于识别出的每一种风险,估算风险产生的后果和风险发生的可能性,然后将这些信息输入到风险分析矩阵中,如表 1 所示。
% j* a! l7 G! w0 T: h/ }( D
5 r$ D( ?; [4 T
对每一个风险的关注程度进行判断之后,可对极端的和高危的风险采取措施 。ISO 9001:2015 要求建立一个程序以实施以下活动:
采取措施控制并纠正不符合;
评估是否需要采取措施消除风险源;
实施纠正措施;
评估措施的有效性;
在需要时对质量管理体系进行修订;
2 Y2 K* V8 }. j; ]/ f9 s( U
; A, F0 Y6 y" n p4 i# @7 n◆ ◆ ◆
ORCA
8 V( i0 Y$ o' w# F3 s
风险专家格雷格·哈金斯建议考虑采用 ORCA 作为组织的风险评估方法。他认为, “这种方法的接受度和适用性很好,它结合了其他一些类型的评估因素,包括过程、内部控制和体系审核等。另外,它也符合当今公司治理实践中对风险管理和运营效率的关注。”
0 x8 }2 q) h6 N
ORCA 要求组织做到以下各项:
清晰说明组织的目标;
全面识别并评估风险;
建立平衡的控制方式以管理组织的风险;
确保整个企业的目标、风险和控制的一致性。
3 o: @( \1 G K5 h
( r% k( ^) y. y$ I, @5 I4 n$ O
在完成风险评估之后,高级和运营管理层可制定风险管理方面的策略并执行相关的业务决定。风险管理策略包括避免、减轻、接受、分散及控制等方法。
7 l# H' l1 d2 R+ t5 ?, _
◆ ◆ ◆
ISO 9001 改进过程
* p7 T7 \# r( _& c) WISO 9001:2015 的第 10.2 款说的是组织宜对以下情况 有所反馈,以改进其质量管理体系:
数据分析的结果;
组织状况的改变;
识别出的风险的变化(条款 6.1);
新的机会。
% W& Z& L* x# H+ x( \
! p' f9 s2 h" @+ ^! I4 e8 u◆ ◆ ◆
失效模式与影响分析(FMEA)
" r+ y$ k: Z0 d( x! B$ [& e失效模式与影响分析是一种通过风险排序并采取预防措施以减少风险的方法。这种方法用来检查产品或过程潜在的故障,以便采取补救措施来减少风险。
j! b( R4 Q) u
FMEA 的第一步是描述系统的各个组成部分,第二步是明确如各个组成部分发生失效时的后果,并采用风险分析矩阵来评估各种失效发生的严重程度和可能性,同时也明确相关控制措施对于故障的察觉能力。
9 x2 ^* V7 C2 d( r3 P- J Y
接着是识别能够消除或减少故障发生或改进故障察觉能力的措施。最终,FMEA 帮助实施对过程或产品进行调整 或改进,以避免潜在的失效发生。 ReliaSoft 集团的卡尔.S.卡尔森先生提出了一个建立失效模式与影响分析的“十一步过程法”。他认为,首先要做的就是制定一个涉及策略和资源的总体计划,将涉及管理评审、质量审核、供应商 FMEA 以及建议措施的实施和跟进活动中的通用方案进行明确描述。他提出的最后几个步骤中包括软件方面的支持,与其他过程和测试的关联,以及对现场失效进行的及时跟踪。
. [! \+ t# L0 W+ e◆ ◆ ◆
风险控制矩阵
5 e% t+ W- l; J3 N( g; O风险控制矩阵是用来管理一个特定过程风险的工具。制定一系列的控制措施以确定过程的各种风险的状况。通过风险控制矩阵,管理层可以直观地了解各项控制与评估的最新结果。 表 2 是对“结账”过程所进行的分析。
[) h/ ~3 ]8 |
# t' J0 j2 W! L; p/ I
◆ ◆ ◆
采取基于风险的方法
: ~+ Y# a) s. s7 }( s! A$ q
ISO 9001:2015 版标准是一部具有很强风险导向的标准。一个组织要建立基于风险的思维方式,首先必须对其可测量的目标进行定义,因为风险本是对实现目标的各种进步的阻碍。
/ J. \4 r& H* W. l* j3 K8 r4 X
一个组织必须确定自身的风险偏好和风险承受能力,这样才能形成上下一致的风险观。在此基础上,组织可以采用风险分析矩阵,通过综合考虑事件的可能性及其后果严重程度来确定风险等级。
) v, O, O* ~. [
为符合萨班斯-奥克斯利法案的要求,宜采用自上而下、基于风险的方法来选择适宜的控制措施,通过检验识别可能的偏差或重大的虚报问题。据了解,ISO 9001 和 ISO 14001标准到目前为止的修订稿中,都有意提供了一些有用的工具,帮助组织改进其风险管理策略。
" b V! T. r4 q& [- D8 m本文由美国质量学会(ASQ)供稿,ASQ 是一个全球质量人的团体,在150 个国家/地区拥有数百万的个人和企业会员。ASQ 北亚区为ASQ 全球会员、本地会员及潜在客户提供全方位的服务,服务区域覆盖中国大陆、日本、韩国、蒙古、中国香港、澳门及台湾地区。
& Q" D* c3 K7 h
- End -
) m5 |) g7 p! G4 `
) \& y* _5 s6 n7 Z