企業(yè)ISO9001風(fēng)險(xiǎn)分析一般哪個(gè)部門(mén)來(lái)分析？

由于ISO9000分析分析涉及的內(nèi)容比較多，應(yīng)當(dāng)由主管部門(mén)組織公司所有部門(mén)依照部門(mén)職責(zé)對(duì)部門(mén)存在的風(fēng)險(xiǎn)進(jìn)行分析，而不僅僅是哪一個(gè)部門(mén)的事情，應(yīng)當(dāng)是所有部門(mén)的事情。對(duì)組織有影響的風(fēng)險(xiǎn)主要有以下4類(lèi)：
1.組織風(fēng)險(xiǎn)：發(fā)生在組織實(shí)體及其活動(dòng)層面；
2.戰(zhàn)略風(fēng)險(xiǎn)：發(fā)生在組織的戰(zhàn)略或業(yè)務(wù)計(jì)劃制定不夠周密時(shí)；
3.合規(guī)風(fēng)險(xiǎn)：發(fā)生不符合法律法規(guī)要求的情形時(shí)；
4.運(yùn)營(yíng)風(fēng)險(xiǎn)：分為與組織的程序和措施有關(guān)的7個(gè)分類(lèi)別。僅供參考：
1.組織風(fēng)險(xiǎn)實(shí)體層面的風(fēng)險(xiǎn)可以是外來(lái)的也可以是內(nèi)部存在的。外來(lái)因素包括技術(shù)、競(jìng)爭(zhēng)以及法律環(huán)境；內(nèi)部因素包括安保、信息系統(tǒng)、收寄證物遺失、人員能力和責(zé)任變化等方面?；顒?dòng)層面的風(fēng)險(xiǎn)對(duì)個(gè)人和部門(mén)發(fā)生影響，包括在系統(tǒng)中輸入信息或材料時(shí)的疏漏；收寄證記錄遺失；安?？刂扑尚福蝗鄙偈炀毤夹g(shù)人員以及員工的疏忽大意等。如果在組織的各個(gè)環(huán)節(jié)活動(dòng)層面的風(fēng)險(xiǎn)不斷，最后勢(shì)必形成實(shí)體層面的風(fēng)險(xiǎn)。
2.戰(zhàn)略風(fēng)險(xiǎn)戰(zhàn)略風(fēng)險(xiǎn)指的是因執(zhí)行一項(xiàng)不成功的商業(yè)計(jì)劃或戰(zhàn)略而可能發(fā)生的損失。其原因可能是由于做了糟糕的業(yè)務(wù)決策、執(zhí)行決定不力、資源不足或者是因?yàn)闃I(yè)務(wù)環(huán)境發(fā)生了變化而未及時(shí)進(jìn)行調(diào)整。
3.合規(guī)風(fēng)險(xiǎn)合規(guī)風(fēng)險(xiǎn)是與法律法規(guī)要求有關(guān)的風(fēng)險(xiǎn)。環(huán)境、健康和安全要求一直是人們關(guān)注的問(wèn)題，因?yàn)橐坏┻@些方面出現(xiàn)問(wèn)題，輕則罰款，重則停業(yè)甚至追究刑事責(zé)任都是可能出現(xiàn)的后果。遵守質(zhì)量和環(huán)境方面的標(biāo)準(zhǔn)和規(guī)范也在這個(gè)范疇之內(nèi)。環(huán)境風(fēng)險(xiǎn)包括液體危險(xiǎn)品遺撒、危險(xiǎn)氣體排放以及固態(tài)廢棄物的不當(dāng)處理，包括的情況還可能有以下情形：采購(gòu)部將從國(guó)內(nèi)采購(gòu)改為向國(guó)外供應(yīng)商采購(gòu)；負(fù)責(zé)環(huán)境的關(guān)鍵管理人員離崗未及時(shí)替補(bǔ)；引入新的物料卻未編制有關(guān)的安全管控記錄。
4.運(yùn)營(yíng)風(fēng)險(xiǎn)運(yùn)營(yíng)的風(fēng)險(xiǎn)可以具體從以下7個(gè)方面說(shuō)明：（1）管理體系風(fēng)險(xiǎn)由于制定的戰(zhàn)略、制度規(guī)定和工具、數(shù)據(jù)處理、呼叫（電話）中心、合同管理、iso認(rèn)證與開(kāi)發(fā)等層面的效率低下，都可能造成管理體系的效率低下。比如說(shuō)，一個(gè)重度依賴(lài)外包的供應(yīng)鏈，可能有很大風(fēng)險(xiǎn)。管理體系的其他風(fēng)險(xiǎn)包括不正確的收入確定；違反單位安全規(guī)定；不符合環(huán)境法規(guī)以及薩班斯-奧克斯利法案（美國(guó)的一部涉及iso認(rèn)證老師職業(yè)監(jiān)管、公司治理、證券市場(chǎng)監(jiān)管方面的重要法律）的要求。這些行為將可能導(dǎo)致罰款、停業(yè)甚至追究刑責(zé)的后果。為了降低此類(lèi)風(fēng)險(xiǎn)，組織的較高管理層以及董事會(huì)必須對(duì)管理體系有透徹的了解，并努力提高其有效性。如果人力資源管理制度、各種管理工具、數(shù)據(jù)處理、呼叫（電話）中心、營(yíng)銷(xiāo)活動(dòng)、合同管理、顧客溝通、iso認(rèn)證和開(kāi)發(fā)等活動(dòng)效率低下，則組織的管理體系必受其累。總而言之，組織的較高管理層和董事會(huì)要了解自身的管理體系并不斷提高其有效性。（2）顧客滿(mǎn)意風(fēng)險(xiǎn)顧客溝通、送貨、iso三體系認(rèn)證本身、iso認(rèn)證維修以及對(duì)顧客反饋的回應(yīng)方式都會(huì)影響顧客滿(mǎn)意風(fēng)險(xiǎn)。為降低此類(lèi)風(fēng)險(xiǎn)，宜將相關(guān)的iso三體系認(rèn)證質(zhì)量數(shù)據(jù)、iso三體系認(rèn)證和過(guò)程監(jiān)控?cái)?shù)據(jù)以及供應(yīng)商供貨質(zhì)量等數(shù)據(jù)也一并納入分析過(guò)程。（3）供應(yīng)鏈風(fēng)險(xiǎn)采購(gòu)經(jīng)理必須對(duì)外購(gòu)iso三體系認(rèn)證和服務(wù)、獨(dú)家供應(yīng)商、送貨時(shí)間庫(kù)存管理以及文檔管理等保持關(guān)注。信息溝通是確保供應(yīng)鏈有效運(yùn)行的關(guān)鍵。用來(lái)管理供應(yīng)鏈風(fēng)險(xiǎn)的數(shù)值包括送貨時(shí)間、庫(kù)存水平及成本等。（4） 收入確認(rèn)風(fēng)險(xiǎn)對(duì)利潤(rùn)的影響對(duì)此類(lèi)風(fēng)險(xiǎn)的管理包括追蹤iso三體系認(rèn)證從生產(chǎn)、銷(xiāo)售到寄證以及應(yīng)收賬款的全過(guò)程。收入的確認(rèn)受到諸如應(yīng)付款、應(yīng)收賬、交付前貨值記錄、現(xiàn)金報(bào)價(jià)錯(cuò)誤、計(jì)算表錯(cuò)誤以及價(jià)格信息不完整等原因影響。質(zhì)量經(jīng)理在控制收入確認(rèn)過(guò)程的有效性方面負(fù)有重要責(zé)任。質(zhì)量體系和認(rèn)證老師管理體系在此有交集，涉及iso三體系認(rèn)證實(shí)現(xiàn)、成本、銷(xiāo)售、辦理其他體系的iso認(rèn)證、付款、庫(kù)存管理以及寄證等過(guò)程。寄證信息是對(duì)應(yīng)收賬款和收入確認(rèn)的直接輸入。對(duì)于許多公司來(lái)說(shuō)，收入確認(rèn)對(duì)其收入有著直接影響，甚至可能影響其股票價(jià)格。由于不正確的收入確認(rèn)，還可能出現(xiàn)背離事實(shí)的虛聲明的風(fēng)險(xiǎn)。審核員宜對(duì)已建立的用以檢查收入確認(rèn)中問(wèn)題的控制措施進(jìn)行測(cè)試。（5）信息安全風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)的情況包括病毒、未加防范的iso三體系認(rèn)證、不正確的認(rèn)證老師記錄和報(bào)告、糟糕的修改控制、信息申報(bào)錯(cuò)誤、數(shù)據(jù)表格濫用、臨時(shí)工和咨詢(xún)師的使用、新技術(shù)的引入以及遭遇工業(yè)間諜和欺詐行為等現(xiàn)象。ISO/IEC27001：2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》包括了建立、實(shí)施、運(yùn)營(yíng)、監(jiān)視、評(píng)價(jià)、維護(hù)并提高信息安全管理的要求。（6）物流風(fēng)險(xiǎn)當(dāng)今組織關(guān)注的一個(gè)風(fēng)險(xiǎn)問(wèn)題是與單位安全威脅因素相關(guān)的。運(yùn)輸過(guò)程可能由于需要檢查是否藏有大規(guī)模殺傷性武器而拖慢。如何篩查、識(shí)別、并追蹤從貨源地到辦理方組織的全過(guò)程一直是個(gè)難點(diǎn)。以下因素影響物流風(fēng)險(xiǎn)：原材料和成品的運(yùn)輸；運(yùn)輸中的貨損；途中延誤造成的無(wú)法按期交貨；運(yùn)輸延誤造成的原材料庫(kù)存不足；單位安全信息上報(bào)要求。有必要開(kāi)發(fā)出新的工具以減少篩查和追蹤等必須過(guò)程對(duì)供應(yīng)鏈的干擾。總之，iso三體系認(rèn)證生產(chǎn)完成后，送到顧客手中之前，上述各種問(wèn)題都可能出現(xiàn)，組織應(yīng)該有所準(zhǔn)備。（7） 自然災(zāi)害風(fēng)險(xiǎn)過(guò)去幾年間，我們這個(gè)星球上自然災(zāi)害頻發(fā)。業(yè)務(wù)連續(xù)性要求對(duì)應(yīng)保護(hù)的存儲(chǔ)信息進(jìn)行安全保障，并對(duì)災(zāi)后復(fù)原進(jìn)行策劃。信息技術(shù)在業(yè)務(wù)連續(xù)性中扮演著重要角色，宜專(zhuān)門(mén)iso認(rèn)證相關(guān)的信息技術(shù)程序，以確保業(yè)務(wù)連續(xù)性運(yùn)行的及時(shí)性和有效性。組織的業(yè)務(wù)連續(xù)性開(kāi)發(fā)團(tuán)隊(duì)中不可缺少負(fù)責(zé)信息技術(shù)的成員。信息技術(shù)部門(mén)必須提供可將信息妥善有效存儲(chǔ)的保護(hù)措施，并對(duì)各種災(zāi)害進(jìn)行管理、防范并提供安全保護(hù)措施。可采用的方法包括信息的定期復(fù)制，并將備份信息存儲(chǔ)于安全的另外一個(gè)地點(diǎn)。并且，宜對(duì)存放在該地點(diǎn)的數(shù)據(jù)進(jìn)行定期測(cè)試，以確保其正確無(wú)誤。ISO/IEC27001標(biāo)準(zhǔn)提供了業(yè)務(wù)連續(xù)性的管理控制措施，以下是業(yè)務(wù)連續(xù)性計(jì)劃（BCP）的相關(guān)因素：業(yè)務(wù)風(fēng)險(xiǎn)及影響分析；災(zāi)害事件初始反應(yīng)活動(dòng)；緊急事件和業(yè)務(wù)恢復(fù)過(guò)程管理程序；各層級(jí)培訓(xùn)計(jì)劃；保持業(yè)務(wù)連續(xù)性計(jì)劃及時(shí)更新的程序。業(yè)務(wù)連續(xù)性計(jì)劃宜定期演練，組織可以用以下問(wèn)題進(jìn)行BCP的自查：是否已制定確保信息連續(xù)性的書(shū)面計(jì)劃？上述計(jì)劃是否每年進(jìn)行更新和檢驗(yàn)？何時(shí)對(duì)計(jì)算機(jī)硬件、軟件或應(yīng)用系統(tǒng)進(jìn)行過(guò)重要的調(diào)整或改變？是否對(duì)用以備份的介質(zhì)進(jìn)行了定期測(cè)試？是否對(duì)應(yīng)用程序、應(yīng)用數(shù)據(jù)和運(yùn)行系統(tǒng)軟件進(jìn)行了定期備份？是否將該計(jì)劃和信息進(jìn)行了異地備份？風(fēng)險(xiǎn)分析方法一個(gè)組織在風(fēng)險(xiǎn)分析方面最先要做的事情就是明確組織能夠承擔(dān)哪種類(lèi)型的風(fēng)險(xiǎn)（風(fēng)險(xiǎn)偏好）以及風(fēng)險(xiǎn)的承受能力，使組織的所有成員了解組織的“風(fēng)險(xiǎn)觀”。這一點(diǎn)確定后，可采用一些工具或方法以確定風(fēng)險(xiǎn)等級(jí)并對(duì)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行管理。關(guān)鍵工具之一就是組織的控制措施。對(duì)于與薩班斯-奧克斯利法案相關(guān)的內(nèi)容來(lái)說(shuō)，組織的控制措施尤其重要。不僅在組織層面的認(rèn)證老師控制要合規(guī)，活動(dòng)層面的認(rèn)證老師控制也要合規(guī)。風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受能力風(fēng)險(xiǎn)偏好是從大的角度來(lái)看一個(gè)組織所愿意承受的風(fēng)險(xiǎn)總量，即承受風(fēng)險(xiǎn)所能帶來(lái)的利益與抵消風(fēng)險(xiǎn)的代價(jià)的比較。正如特雷得韋委員會(huì)（反欺詐認(rèn)證老師報(bào)告委員會(huì)）的贊助委員會(huì)所指出的，這是建立控制措施的主要切入點(diǎn)。在風(fēng)險(xiǎn)評(píng)估中，對(duì)于超出風(fēng)險(xiǎn)偏好的情況，應(yīng)該得出采取預(yù)防措施的結(jié)論。明確風(fēng)險(xiǎn)偏好有助于決定如何根據(jù)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行資金分配。加深對(duì)其了解有助于更有效地進(jìn)行管理。風(fēng)險(xiǎn)偏好與承擔(dān)風(fēng)險(xiǎn)的能力之間可有函數(shù)關(guān)系。為維持組織的評(píng)級(jí)或達(dá)到監(jiān)管資金要求所需的資金存量往往是制約風(fēng)險(xiǎn)偏好的因素。相對(duì)風(fēng)險(xiǎn)偏好來(lái)說(shuō)，風(fēng)險(xiǎn)承受能力與組織的特定目標(biāo)相關(guān)，它是一個(gè)實(shí)體所愿意承受的與實(shí)現(xiàn)其目標(biāo)有關(guān)的各種變化的總和。一個(gè)組織中，對(duì)不同風(fēng)險(xiǎn)的承受能力不同。風(fēng)險(xiǎn)偏好是一個(gè)較廣的組織層面的概念，而風(fēng)險(xiǎn)承受能力往往關(guān)注點(diǎn)更集中。一個(gè)組織對(duì)其不同業(yè)務(wù)可有不同的風(fēng)險(xiǎn)承受能力，但是當(dāng)這些不同的風(fēng)險(xiǎn)承受能力進(jìn)行疊加的時(shí)候，它們不能超出較高管理層和董事會(huì)確定的風(fēng)險(xiǎn)偏好。采取控制措施對(duì)風(fēng)險(xiǎn)進(jìn)行管理的一種重要的工具是組織建立的一整套控制措施。對(duì)于薩班斯-奧克斯利法案的合規(guī)要求來(lái)說(shuō)，控制尤其重要。在該法規(guī)的合規(guī)審核過(guò)程中，審核員非常重視對(duì)控制措施的測(cè)試。認(rèn)證老師和質(zhì)量的控制分兩個(gè)層級(jí)，即實(shí)體層面和活動(dòng)層面，且在ISO9001和ISO14001標(biāo)準(zhǔn)中，質(zhì)量控制是以“應(yīng)”語(yǔ)句出現(xiàn)的，這種“應(yīng)”語(yǔ)句通常伴隨著提交數(shù)據(jù)的要求。一些過(guò)程績(jī)效要求也會(huì)包括對(duì)結(jié)果的記錄，這些記錄可用來(lái)識(shí)別迫切的風(fēng)險(xiǎn)。實(shí)體層級(jí)的控制措施包括：人力資源政策、行為準(zhǔn)則、溝通策略、iso認(rèn)證老師原則、管理層的風(fēng)險(xiǎn)評(píng)估過(guò)程、組織結(jié)構(gòu)和合同評(píng)審。在ISO9001：2015中，合同評(píng)審的要求和質(zhì)量要求是相互關(guān)聯(lián)的，參見(jiàn)條款
8.
2.3與iso三體系認(rèn)證和服務(wù)有關(guān)要求的評(píng)審。活動(dòng)層面的控制措施包括進(jìn)行總賬與明細(xì)分類(lèi)賬的對(duì)賬分析、數(shù)據(jù)的自動(dòng)驗(yàn)證和編輯性檢查、限制保密信息的獲取、在錄入前對(duì)交易進(jìn)行編號(hào)、在輸入系統(tǒng)前對(duì)紙面信息進(jìn)行審查和批準(zhǔn)等方式?；顒?dòng)層面的質(zhì)量控制措施包括生產(chǎn)控制（
8.
6.1條款）、成文信息—不合格iso三體系認(rèn)證和服務(wù)的糾正（
8.8條款）以及識(shí)別重要環(huán)境因素（ISO 14001：2004條款
4.
3.1）。風(fēng)險(xiǎn)和預(yù)防措施有效的風(fēng)險(xiǎn)評(píng)估活動(dòng)包括：明確組織的可測(cè)量目標(biāo)；確保上述目標(biāo)的兼容性；識(shí)別實(shí)現(xiàn)目標(biāo)的風(fēng)險(xiǎn)；判斷關(guān)鍵風(fēng)險(xiǎn)———可采用風(fēng)險(xiǎn)分析矩陣確定風(fēng)險(xiǎn)的關(guān)鍵程度；采用風(fēng)險(xiǎn)管理工具來(lái)降解風(fēng)險(xiǎn)，比如目標(biāo)—風(fēng)險(xiǎn)———控制措施———調(diào)節(jié)法（ORCA法）、ISO9001的改進(jìn)過(guò)程、失效模式和有效性分析（FMEA)以及風(fēng)險(xiǎn)控制矩陣。

由于ISO9000分析分析涉及的內(nèi)容比較多，應(yīng)當(dāng)由主管部門(mén)組織公司所有部門(mén)依照部門(mén)職責(zé)對(duì)部門(mén)存在的風(fēng)險(xiǎn)進(jìn)行分析，而不僅僅是哪一個(gè)部門(mén)的事情，應(yīng)當(dāng)是所有部門(mén)的事情。 對(duì)組織有影響的風(fēng)險(xiǎn)主要有以下4類(lèi)：
1.組織風(fēng)險(xiǎn)：發(fā)生在組織實(shí)體及其活動(dòng)層面；
2.戰(zhàn)略風(fēng)險(xiǎn)：發(fā)生在組織的戰(zhàn)略或業(yè)務(wù)計(jì)劃制定不夠周密時(shí)；
3.合規(guī)風(fēng)險(xiǎn)：發(fā)生不符合法律法規(guī)要求的情形時(shí)；
4.運(yùn)營(yíng)風(fēng)險(xiǎn)：分為與組織的程序和措施有關(guān)的7個(gè)分類(lèi)別。 僅供參考：
1.組織風(fēng)險(xiǎn) 實(shí)體層面的風(fēng)險(xiǎn)可以是外來(lái)的也可以是內(nèi)部存在的。外來(lái)因素包括技術(shù)、競(jìng)爭(zhēng)以及法律環(huán)境；內(nèi)部因素包括安保、信息系統(tǒng)、收寄證物遺失、人員能力和責(zé)任變化等方面。 活動(dòng)層面的風(fēng)險(xiǎn)對(duì)個(gè)人和部門(mén)發(fā)生影響，包括在系統(tǒng)中輸入信息或材料時(shí)的疏漏；收寄證記錄遺失；安?？刂扑尚?；缺少熟練技術(shù)人員以及員工的疏忽大意等。如果在組織的各個(gè)環(huán)節(jié)活動(dòng)層面的風(fēng)險(xiǎn)不斷，最后勢(shì)必形成實(shí)體層面的風(fēng)險(xiǎn)。
2.戰(zhàn)略風(fēng)險(xiǎn) 戰(zhàn)略風(fēng)險(xiǎn)指的是因執(zhí)行一項(xiàng)不成功的商業(yè)計(jì)劃或戰(zhàn)略而可能發(fā)生的損失。其原因可能是由于做了糟糕的業(yè)務(wù)決策、執(zhí)行決定不力、資源不足或者是因?yàn)闃I(yè)務(wù)環(huán)境發(fā)生了變化而未及時(shí)進(jìn)行調(diào)整。
3.合規(guī)風(fēng)險(xiǎn) 合規(guī)風(fēng)險(xiǎn)是與法律法規(guī)要求有關(guān)的風(fēng)險(xiǎn)。環(huán)境、健康和安全要求一直是人們關(guān)注的問(wèn)題，因?yàn)橐坏┻@些方面出現(xiàn)問(wèn)題，輕則罰款，重則停業(yè)甚至追究刑事責(zé)任都是可能出現(xiàn)的后果。遵守質(zhì)量和環(huán)境方面的標(biāo)準(zhǔn)和規(guī)范也在這個(gè)范疇之內(nèi)。 環(huán)境風(fēng)險(xiǎn)包括液體危險(xiǎn)品遺撒、危險(xiǎn)氣體排放以及固態(tài)廢棄物的不當(dāng)處理，包括的情況還可能有以下情形： 采購(gòu)部將從國(guó)內(nèi)采購(gòu)改為向國(guó)外供應(yīng)商采購(gòu)； 負(fù)責(zé)環(huán)境的關(guān)鍵管理人員離崗未及時(shí)替補(bǔ)； 引入新的物料卻未編制有關(guān)的安全管控記錄。
4.運(yùn)營(yíng)風(fēng)險(xiǎn) 運(yùn)營(yíng)的風(fēng)險(xiǎn)可以具體從以下7個(gè)方面說(shuō)明： （1）管理體系風(fēng)險(xiǎn) 由于制定的戰(zhàn)略、制度規(guī)定和工具、數(shù)據(jù)處理、呼叫（電話）中心、合同管理、iso認(rèn)證與開(kāi)發(fā)等層面的效率低下，都可能造成管理體系的效率低下。比如說(shuō)，一個(gè)重度依賴(lài)外包的供應(yīng)鏈，可能有很大風(fēng)險(xiǎn)。 管理體系的其他風(fēng)險(xiǎn)包括不正確的收入確定；違反單位安全規(guī)定；不符合環(huán)境法規(guī)以及薩班斯-奧克斯利法案（美國(guó)的一部涉及iso認(rèn)證老師職業(yè)監(jiān)管、公司治理、證券市場(chǎng)監(jiān)管方面的重要法律）的要求。這些行為將可能導(dǎo)致罰款、停業(yè)甚至追究刑責(zé)的后果。為了降低此類(lèi)風(fēng)險(xiǎn)，組織的較高管理層以及董事會(huì)必須對(duì)管理體系有透徹的了解，并努力提高其有效性。如果人力資源管理制度、各種管理工具、數(shù)據(jù)處理、呼叫（電話）中心、營(yíng)銷(xiāo)活動(dòng)、合同管理、顧客溝通、iso認(rèn)證和開(kāi)發(fā)等活動(dòng)效率低下，則組織的管理體系必受其累。 總而言之，組織的較高管理層和董事會(huì)要了解自身的管理體系并不斷提高其有效性。 （2）顧客滿(mǎn)意風(fēng)險(xiǎn) 顧客溝通、送貨、iso三體系認(rèn)證本身、iso認(rèn)證維修以及對(duì)顧客反饋的回應(yīng)方式都會(huì)影響顧客滿(mǎn)意風(fēng)險(xiǎn)。為降低此類(lèi)風(fēng)險(xiǎn)，宜將相關(guān)的iso三體系認(rèn)證質(zhì)量數(shù)據(jù)、iso三體系認(rèn)證和過(guò)程監(jiān)控?cái)?shù)據(jù)以及供應(yīng)商供貨質(zhì)量等數(shù)據(jù)也一并納入分析過(guò)程。 （3）供應(yīng)鏈風(fēng)險(xiǎn) 采購(gòu)經(jīng)理必須對(duì)外購(gòu)iso三體系認(rèn)證和服務(wù)、獨(dú)家供應(yīng)商、送貨時(shí)間庫(kù)存管理以及文檔管理等保持關(guān)注。信息溝通是確保供應(yīng)鏈有效運(yùn)行的關(guān)鍵。用來(lái)管理供應(yīng)鏈風(fēng)險(xiǎn)的數(shù)值包括送貨時(shí)間、庫(kù)存水平及成本等。 （4） 收入確認(rèn)風(fēng)險(xiǎn)對(duì)利潤(rùn)的影響 對(duì)此類(lèi)風(fēng)險(xiǎn)的管理包括追蹤iso三體系認(rèn)證從生產(chǎn)、銷(xiāo)售到寄證以及應(yīng)收賬款的全過(guò)程。收入的確認(rèn)受到諸如應(yīng)付款、應(yīng)收賬、交付前貨值記錄、現(xiàn)金報(bào)價(jià)錯(cuò)誤、計(jì)算表錯(cuò)誤以及價(jià)格信息不完整等原因影響。 質(zhì)量經(jīng)理在控制收入確認(rèn)過(guò)程的有效性方面負(fù)有重要責(zé)任。質(zhì)量體系和認(rèn)證老師管理體系在此有交集，涉及iso三體系認(rèn)證實(shí)現(xiàn)、成本、銷(xiāo)售、辦理其他體系的iso認(rèn)證、付款、庫(kù)存管理以及寄證等過(guò)程。寄證信息是對(duì)應(yīng)收賬款和收入確認(rèn)的直接輸入。對(duì)于許多公司來(lái)說(shuō)，收入確認(rèn)對(duì)其收入有著直接影響，甚至可能影響其股票價(jià)格。 由于不正確的收入確認(rèn)，還可能出現(xiàn)背離事實(shí)的虛聲明的風(fēng)險(xiǎn)。審核員宜對(duì)已建立的用以檢查收入確認(rèn)中問(wèn)題的控制措施進(jìn)行測(cè)試。 （5）信息安全風(fēng)險(xiǎn) 信息安全風(fēng)險(xiǎn)的情況包括病毒、未加防范的iso三體系認(rèn)證、不正確的認(rèn)證老師記錄和報(bào)告、糟糕的修改控制、信息申報(bào)錯(cuò)誤、數(shù)據(jù)表格濫用、臨時(shí)工和咨詢(xún)師的使用、新技術(shù)的引入以及遭遇工業(yè)間諜和欺詐行為等現(xiàn)象。 ISO/IEC27001：2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》包括了建立、實(shí)施、運(yùn)營(yíng)、監(jiān)視、評(píng)價(jià)、維護(hù)并提高信息安全管理的要求。 （6）物流風(fēng)險(xiǎn) 當(dāng)今組織關(guān)注的一個(gè)風(fēng)險(xiǎn)問(wèn)題是與單位安全威脅因素相關(guān)的。運(yùn)輸過(guò)程可能由于需要檢查是否藏有大規(guī)模殺傷性武器而拖慢。 如何篩查、識(shí)別、并追蹤從貨源地到辦理方組織的全過(guò)程一直是個(gè)難點(diǎn)。以下因素影響物流風(fēng)險(xiǎn)： 原材料和成品的運(yùn)輸； 運(yùn)輸中的貨損； 途中延誤造成的無(wú)法按期交貨； 運(yùn)輸延誤造成的原材料庫(kù)存不足； 單位安全信息上報(bào)要求。 有必要開(kāi)發(fā)出新的工具以減少篩查和追蹤等必須過(guò)程對(duì)供應(yīng)鏈的干擾?？傊琲so三體系認(rèn)證生產(chǎn)完成后，送到顧客手中之前，上述各種問(wèn)題都可能出現(xiàn)，組織應(yīng)該有所準(zhǔn)備。 （7） 自然災(zāi)害風(fēng)險(xiǎn) 過(guò)去幾年間，我們這個(gè)星球上自然災(zāi)害頻發(fā)。業(yè)務(wù)連續(xù)性要求對(duì)應(yīng)保護(hù)的存儲(chǔ)信息進(jìn)行安全保障，并對(duì)災(zāi)后復(fù)原進(jìn)行策劃。 信息技術(shù)在業(yè)務(wù)連續(xù)性中扮演著重要角色，宜專(zhuān)門(mén)iso認(rèn)證相關(guān)的信息技術(shù)程序，以確保業(yè)務(wù)連續(xù)性運(yùn)行的及時(shí)性和有效性。組織的業(yè)務(wù)連續(xù)性開(kāi)發(fā)團(tuán)隊(duì)中不可缺少負(fù)責(zé)信息技術(shù)的成員。 信息技術(shù)部門(mén)必須提供可將信息妥善有效存儲(chǔ)的保護(hù)措施，并對(duì)各種災(zāi)害進(jìn)行管理、防范并提供安全保護(hù)措施?？刹捎玫姆椒òㄐ畔⒌亩ㄆ趶?fù)制，并將備份信息存儲(chǔ)于安全的另外一個(gè)地點(diǎn)。并且，宜對(duì)存放在該地點(diǎn)的數(shù)據(jù)進(jìn)行定期測(cè)試，以確保其正確無(wú)誤。 ISO/IEC27001標(biāo)準(zhǔn)提供了業(yè)務(wù)連續(xù)性的管理控制措施，以下是業(yè)務(wù)連續(xù)性計(jì)劃（BCP）的相關(guān)因素： 業(yè)務(wù)風(fēng)險(xiǎn)及影響分析； 災(zāi)害事件初始反應(yīng)活動(dòng)； 緊急事件和業(yè)務(wù)恢復(fù)過(guò)程管理程序； 各層級(jí)培訓(xùn)計(jì)劃； 保持業(yè)務(wù)連續(xù)性計(jì)劃及時(shí)更新的程序。 業(yè)務(wù)連續(xù)性計(jì)劃宜定期演練，組織可以用以下問(wèn)題進(jìn)行BCP的自查： 是否已制定確保信息連續(xù)性的書(shū)面計(jì)劃？ 上述計(jì)劃是否每年進(jìn)行更新和檢驗(yàn)？ 何時(shí)對(duì)計(jì)算機(jī)硬件、軟件或應(yīng)用系統(tǒng)進(jìn)行過(guò)重要的調(diào)整或改變？ 是否對(duì)用以備份的介質(zhì)進(jìn)行了定期測(cè)試？ 是否對(duì)應(yīng)用程序、應(yīng)用數(shù)據(jù)和運(yùn)行系統(tǒng)軟件進(jìn)行了定期備份？ 是否將該計(jì)劃和信息進(jìn)行了異地備份？ 風(fēng)險(xiǎn)分析方法 一個(gè)組織在風(fēng)險(xiǎn)分析方面最先要做的事情就是明確組織能夠承擔(dān)哪種類(lèi)型的風(fēng)險(xiǎn)（風(fēng)險(xiǎn)偏好）以及風(fēng)險(xiǎn)的承受能力，使組織的所有成員了解組織的“風(fēng)險(xiǎn)觀”。這一點(diǎn)確定后，可采用一些工具或方法以確定風(fēng)險(xiǎn)等級(jí)并對(duì)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行管理。關(guān)鍵工具之一就是組織的控制措施。對(duì)于與薩班斯-奧克斯利法案相關(guān)的內(nèi)容來(lái)說(shuō)，組織的控制措施尤其重要。不僅在組織層面的認(rèn)證老師控制要合規(guī)，活動(dòng)層面的認(rèn)證老師控制也要合規(guī)。 風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受能力 風(fēng)險(xiǎn)偏好是從大的角度來(lái)看一個(gè)組織所愿意承受的風(fēng)險(xiǎn)總量，即承受風(fēng)險(xiǎn)所能帶來(lái)的利益與抵消風(fēng)險(xiǎn)的代價(jià)的比較。正如特雷得韋委員會(huì)（反欺詐認(rèn)證老師報(bào)告委員會(huì)）的贊助委員會(huì)所指出的，這是建立控制措施的主要切入點(diǎn)。在風(fēng)險(xiǎn)評(píng)估中，對(duì)于超出風(fēng)險(xiǎn)偏好的情況，應(yīng)該得出采取預(yù)防措施的結(jié)論。 明確風(fēng)險(xiǎn)偏好有助于決定如何根據(jù)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行資金分配。加深對(duì)其了解有助于更有效地進(jìn)行管理。風(fēng)險(xiǎn)偏好與承擔(dān)風(fēng)險(xiǎn)的能力之間可有函數(shù)關(guān)系。為維持組織的評(píng)級(jí)或達(dá)到監(jiān)管資金要求所需的資金存量往往是制約風(fēng)險(xiǎn)偏好的因素。 相對(duì)風(fēng)險(xiǎn)偏好來(lái)說(shuō)，風(fēng)險(xiǎn)承受能力與組織的特定目標(biāo)相關(guān)，它是一個(gè)實(shí)體所愿意承受的與實(shí)現(xiàn)其目標(biāo)有關(guān)的各種變化的總和。一個(gè)組織中，對(duì)不同風(fēng)險(xiǎn)的承受能力不同。 風(fēng)險(xiǎn)偏好是一個(gè)較廣的組織層面的概念，而風(fēng)險(xiǎn)承受能力往往關(guān)注點(diǎn)更集中。一個(gè)組織對(duì)其不同業(yè)務(wù)可有不同的風(fēng)險(xiǎn)承受能力，但是當(dāng)這些不同的風(fēng)險(xiǎn)承受能力進(jìn)行疊加的時(shí)候，它們不能超出較高管理層和董事會(huì)確定的風(fēng)險(xiǎn)偏好。 采取控制措施 對(duì)風(fēng)險(xiǎn)進(jìn)行管理的一種重要的工具是組織建立的一整套控制措施。對(duì)于薩班斯-奧克斯利法案的合規(guī)要求來(lái)說(shuō)，控制尤其重要。在該法規(guī)的合規(guī)審核過(guò)程中，審核員非常重視對(duì)控制措施的測(cè)試。認(rèn)證老師和質(zhì)量的控制分兩個(gè)層級(jí)，即實(shí)體層面和活動(dòng)層面，且在ISO9001和ISO14001標(biāo)準(zhǔn)中，質(zhì)量控制是以“應(yīng)”語(yǔ)句出現(xiàn)的，這種“應(yīng)”語(yǔ)句通常伴隨著提交數(shù)據(jù)的要求。一些過(guò)程績(jī)效要求也會(huì)包括對(duì)結(jié)果的記錄，這些記錄可用來(lái)識(shí)別迫切的風(fēng)險(xiǎn)。 實(shí)體層級(jí)的控制措施包括：人力資源政策、行為準(zhǔn)則、溝通策略、iso認(rèn)證老師原則、管理層的風(fēng)險(xiǎn)評(píng)估過(guò)程、組織結(jié)構(gòu)和合同評(píng)審。 在ISO9001：2015中，合同評(píng)審的要求和質(zhì)量要求是相互關(guān)聯(lián)的，參見(jiàn)條款
8.
2.3與iso三體系認(rèn)證和服務(wù)有關(guān)要求的評(píng)審。 活動(dòng)層面的控制措施包括進(jìn)行總賬與明細(xì)分類(lèi)賬的對(duì)賬分析、數(shù)據(jù)的自動(dòng)驗(yàn)證和編輯性檢查、限制保密信息的獲取、在錄入前對(duì)交易進(jìn)行編號(hào)、在輸入系統(tǒng)前對(duì)紙面信息進(jìn)行審查和批準(zhǔn)等方式。 活動(dòng)層面的質(zhì)量控制措施包括生產(chǎn)控制（
8.
6.1條款）、成文信息—不合格iso三體系認(rèn)證和服務(wù)的糾正（
8.8條款）以及識(shí)別重要環(huán)境因素（ISO 14001：2004條款
4.
3.1）。 風(fēng)險(xiǎn)和預(yù)防措施 有效的風(fēng)險(xiǎn)評(píng)估活動(dòng)包括： 明確組織的可測(cè)量目標(biāo)； 確保上述目標(biāo)的兼容性； 識(shí)別實(shí)現(xiàn)目標(biāo)的風(fēng)險(xiǎn)； 判斷關(guān)鍵風(fēng)險(xiǎn)———可采用風(fēng)險(xiǎn)分析矩陣確定風(fēng)險(xiǎn)的關(guān)鍵程度； 采用風(fēng)險(xiǎn)管理工具來(lái)降解風(fēng)險(xiǎn)，比如目標(biāo)—風(fēng)險(xiǎn)———控制措施———調(diào)節(jié)法（ORCA法）、ISO9001的改進(jìn)過(guò)程、失效模式和有效性分析（FMEA)以及風(fēng)險(xiǎn)控制矩陣。

iso是標(biāo)準(zhǔn)化管理.在最新版中,風(fēng)險(xiǎn)管理也基本沒(méi)有完全列進(jìn)范圍.在體系中,可以嘗試列風(fēng)險(xiǎn)管理,也可以按照體系要求不列進(jìn)范圍.

企業(yè)iso9001風(fēng)險(xiǎn)分析一般哪個(gè)部門(mén)來(lái)分析？

由于ISO9000分析分析涉及的內(nèi)容比較多，應(yīng)當(dāng)由主管部門(mén)組織公司所有部門(mén)依照部門(mén)職責(zé)對(duì)部門(mén)存在的風(fēng)險(xiǎn)進(jìn)行分析，而不僅僅是哪一個(gè)部門(mén)的事情，應(yīng)當(dāng)是所有部門(mén)的事情。對(duì)組織有影響的風(fēng)險(xiǎn)主要有以下4類(lèi)：
1.組織風(fēng)險(xiǎn)：發(fā)生在組織實(shí)體及其活動(dòng)層面；
2.戰(zhàn)略風(fēng)險(xiǎn)：發(fā)生在組織的戰(zhàn)略或業(yè)務(wù)計(jì)劃制定不夠周密時(shí)；
3.合規(guī)風(fēng)險(xiǎn)：發(fā)生不符合法律法規(guī)要求的情形時(shí)；
4.運(yùn)營(yíng)風(fēng)險(xiǎn)：分為與組織的程序和措施有關(guān)的7個(gè)分類(lèi)別。僅供參考：
1.組織風(fēng)險(xiǎn)實(shí)體層面的風(fēng)險(xiǎn)可以是外來(lái)的也可以是內(nèi)部存在的。外來(lái)因素包括技術(shù)、競(jìng)爭(zhēng)以及法律環(huán)境；內(nèi)部因素包括安保、信息系統(tǒng)、收發(fā)貨物遺失、人員能力和責(zé)任變化等方面?；顒?dòng)層面的風(fēng)險(xiǎn)對(duì)個(gè)人和部門(mén)發(fā)生影響，包括在系統(tǒng)中輸入信息或材料時(shí)的疏漏；收發(fā)貨記錄遺失；安?？刂扑尚?；缺少熟練技術(shù)人員以及員工的疏忽大意等。如果在組織的各個(gè)環(huán)節(jié)活動(dòng)層面的風(fēng)險(xiǎn)不斷，最后勢(shì)必形成實(shí)體層面的風(fēng)險(xiǎn)。
2.戰(zhàn)略風(fēng)險(xiǎn)戰(zhàn)略風(fēng)險(xiǎn)指的是因執(zhí)行一項(xiàng)不成功的商業(yè)計(jì)劃或戰(zhàn)略而可能發(fā)生的損失。其原因可能是由于做了糟糕的業(yè)務(wù)決策、執(zhí)行決定不力、資源不足或者是因?yàn)闃I(yè)務(wù)環(huán)境發(fā)生了變化而未及時(shí)進(jìn)行調(diào)整。
3.合規(guī)風(fēng)險(xiǎn)合規(guī)風(fēng)險(xiǎn)是與法律法規(guī)要求有關(guān)的風(fēng)險(xiǎn)。環(huán)境、健康和安全要求一直是人們關(guān)注的問(wèn)題，因?yàn)橐坏┻@些方面出現(xiàn)問(wèn)題，輕則罰款，重則停業(yè)甚至追究刑事責(zé)任都是可能出現(xiàn)的后果。遵守質(zhì)量和環(huán)境方面的標(biāo)準(zhǔn)和規(guī)范也在這個(gè)范疇之內(nèi)。環(huán)境風(fēng)險(xiǎn)包括液體危險(xiǎn)品遺撒、危險(xiǎn)氣體排放以及固態(tài)廢棄物的不當(dāng)處理，包括的情況還可能有以下情形：采購(gòu)部將從國(guó)內(nèi)采購(gòu)改為向國(guó)外供應(yīng)商采購(gòu)；負(fù)責(zé)環(huán)境的關(guān)鍵管理人員離崗未及時(shí)替補(bǔ)；引入新的物料卻未編制有關(guān)的安全管控記錄。
4.運(yùn)營(yíng)風(fēng)險(xiǎn)運(yùn)營(yíng)的風(fēng)險(xiǎn)可以具體從以下7個(gè)方面說(shuō)明：（1）管理體系風(fēng)險(xiǎn)由于制定的戰(zhàn)略、制度規(guī)定和工具、數(shù)據(jù)處理、呼叫（電話）中心、合同管理、設(shè)計(jì)與開(kāi)發(fā)等層面的效率低下，都可能造成管理體系的效率低下。比如說(shuō)，一個(gè)重度依賴(lài)外包的供應(yīng)鏈，可能有很大風(fēng)險(xiǎn)。管理體系的其他風(fēng)險(xiǎn)包括不正確的收入確定；違反國(guó)家安全規(guī)定；不符合環(huán)境法規(guī)以及薩班斯-奧克斯利法案（美國(guó)的一部涉及會(huì)計(jì)職業(yè)監(jiān)管、公司治理、證券市場(chǎng)監(jiān)管方面的重要法律）的要求。這些行為將可能導(dǎo)致罰款、停業(yè)甚至追究刑責(zé)的后果。為了降低此類(lèi)風(fēng)險(xiǎn)，組織的最高管理層以及董事會(huì)必須對(duì)管理體系有透徹的了解，并努力提高其有效性。如果人力資源管理制度、各種管理工具、數(shù)據(jù)處理、呼叫（電話）中心、營(yíng)銷(xiāo)活動(dòng)、合同管理、顧客溝通、設(shè)計(jì)和開(kāi)發(fā)等活動(dòng)效率低下，則組織的管理體系必受其累。總而言之，組織的最高管理層和董事會(huì)要了解自身的管理體系并不斷提高其有效性。（2）顧客滿(mǎn)意風(fēng)險(xiǎn)顧客溝通、送貨、產(chǎn)品本身、設(shè)計(jì)維修以及對(duì)顧客反饋的回應(yīng)方式都會(huì)影響顧客滿(mǎn)意風(fēng)險(xiǎn)。為降低此類(lèi)風(fēng)險(xiǎn)，宜將相關(guān)的產(chǎn)品質(zhì)量數(shù)據(jù)、產(chǎn)品和過(guò)程監(jiān)控?cái)?shù)據(jù)以及供應(yīng)商供貨質(zhì)量等數(shù)據(jù)也一并納入分析過(guò)程。（3）供應(yīng)鏈風(fēng)險(xiǎn)采購(gòu)經(jīng)理必須對(duì)外購(gòu)產(chǎn)品和服務(wù)、獨(dú)家供應(yīng)商、送貨時(shí)間庫(kù)存管理以及文檔管理等保持關(guān)注。信息溝通是確保供應(yīng)鏈有效運(yùn)行的關(guān)鍵。用來(lái)管理供應(yīng)鏈風(fēng)險(xiǎn)的數(shù)值包括送貨時(shí)間、庫(kù)存水平及成本等。（4） 收入確認(rèn)風(fēng)險(xiǎn)對(duì)利潤(rùn)的影響對(duì)此類(lèi)風(fēng)險(xiǎn)的管理包括追蹤產(chǎn)品從生產(chǎn)、銷(xiāo)售到發(fā)貨以及應(yīng)收賬款的全過(guò)程。收入的確認(rèn)受到諸如應(yīng)付款、應(yīng)收賬、交付前貨值記錄、現(xiàn)金報(bào)價(jià)錯(cuò)誤、計(jì)算表錯(cuò)誤以及價(jià)格信息不完整等原因影響。質(zhì)量經(jīng)理在控制收入確認(rèn)過(guò)程的有效性方面負(fù)有重要責(zé)任。質(zhì)量體系和財(cái)務(wù)管理體系在此有交集，涉及產(chǎn)品實(shí)現(xiàn)、成本、銷(xiāo)售、開(kāi)發(fā)票、付款、庫(kù)存管理以及發(fā)貨等過(guò)程。發(fā)貨信息是對(duì)應(yīng)收賬款和收入確認(rèn)的直接輸入。對(duì)于許多公司來(lái)說(shuō)，收入確認(rèn)對(duì)其收入有著直接影響，甚至可能影響其股票價(jià)格。由于不正確的收入確認(rèn)，還可能出現(xiàn)背離事實(shí)的虛假聲明的風(fēng)險(xiǎn)。審核員宜對(duì)已建立的用以檢查收入確認(rèn)中問(wèn)題的控制措施進(jìn)行測(cè)試。（5）信息安全風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)的情況包括病毒、未加防范的文件、不正確的財(cái)務(wù)記錄和報(bào)告、糟糕的修改控制、信息檢索錯(cuò)誤、數(shù)據(jù)表格濫用、臨時(shí)工和咨詢(xún)師的使用、新技術(shù)的引入以及遭遇工業(yè)間諜和欺詐行為等現(xiàn)象。ISO/IEC27001：2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》包括了建立、實(shí)施、運(yùn)營(yíng)、監(jiān)視、評(píng)價(jià)、維護(hù)并提高信息安全管理的要求。（6）物流風(fēng)險(xiǎn)當(dāng)今組織關(guān)注的一個(gè)風(fēng)險(xiǎn)問(wèn)題是與國(guó)家安全威脅因素相關(guān)的。運(yùn)輸過(guò)程可能由于需要檢查是否藏有大規(guī)模殺傷性武器而拖慢。如何篩查、識(shí)別、并追蹤從貨源地到購(gòu)買(mǎi)方組織的全過(guò)程一直是個(gè)難點(diǎn)。以下因素影響物流風(fēng)險(xiǎn)：原材料和成品的運(yùn)輸；運(yùn)輸中的貨損；途中延誤造成的無(wú)法按期交貨；運(yùn)輸延誤造成的原材料庫(kù)存不足；國(guó)家安全信息上報(bào)要求。有必要開(kāi)發(fā)出新的工具以減少篩查和追蹤等必須過(guò)程對(duì)供應(yīng)鏈的干擾?？傊?，產(chǎn)品生產(chǎn)完成后，送到顧客手中之前，上述各種問(wèn)題都可能出現(xiàn)，組織應(yīng)該有所準(zhǔn)備。（7） 自然災(zāi)害風(fēng)險(xiǎn)過(guò)去幾年間，我們這個(gè)星球上自然災(zāi)害頻發(fā)。業(yè)務(wù)連續(xù)性要求對(duì)應(yīng)保護(hù)的存儲(chǔ)信息進(jìn)行安全保障，并對(duì)災(zāi)后復(fù)原進(jìn)行策劃。信息技術(shù)在業(yè)務(wù)連續(xù)性中扮演著重要角色，宜專(zhuān)門(mén)設(shè)計(jì)相關(guān)的信息技術(shù)程序，以確保業(yè)務(wù)連續(xù)性運(yùn)行的及時(shí)性和有效性。組織的業(yè)務(wù)連續(xù)性開(kāi)發(fā)團(tuán)隊(duì)中不可缺少負(fù)責(zé)信息技術(shù)的成員。信息技術(shù)部門(mén)必須提供可將信息妥善有效存儲(chǔ)的保護(hù)措施，并對(duì)各種災(zāi)害進(jìn)行管理、防范并提供安全保護(hù)措施?？刹捎玫姆椒òㄐ畔⒌亩ㄆ趶?fù)制，并將備份信息存儲(chǔ)于安全的另外一個(gè)地點(diǎn)。并且，宜對(duì)存放在該地點(diǎn)的數(shù)據(jù)進(jìn)行定期測(cè)試，以確保其正確無(wú)誤。ISO/IEC27001標(biāo)準(zhǔn)提供了業(yè)務(wù)連續(xù)性的管理控制措施，以下是業(yè)務(wù)連續(xù)性計(jì)劃（BCP）的相關(guān)因素：業(yè)務(wù)風(fēng)險(xiǎn)及影響分析；災(zāi)害事件初始反應(yīng)活動(dòng)；緊急事件和業(yè)務(wù)恢復(fù)過(guò)程管理程序；各層級(jí)培訓(xùn)計(jì)劃；保持業(yè)務(wù)連續(xù)性計(jì)劃及時(shí)更新的程序。業(yè)務(wù)連續(xù)性計(jì)劃宜定期演練，組織可以用以下問(wèn)題進(jìn)行BCP的自查：是否已制定確保信息連續(xù)性的書(shū)面計(jì)劃？上述計(jì)劃是否每年進(jìn)行更新和檢驗(yàn)？何時(shí)對(duì)計(jì)算機(jī)硬件、軟件或應(yīng)用系統(tǒng)進(jìn)行過(guò)重要的調(diào)整或改變？是否對(duì)用以備份的介質(zhì)進(jìn)行了定期測(cè)試？是否對(duì)應(yīng)用程序、應(yīng)用數(shù)據(jù)和運(yùn)行系統(tǒng)軟件進(jìn)行了定期備份？是否將該計(jì)劃和信息進(jìn)行了異地備份？風(fēng)險(xiǎn)分析方法一個(gè)組織在風(fēng)險(xiǎn)分析方面最先要做的事情就是明確組織能夠承擔(dān)哪種類(lèi)型的風(fēng)險(xiǎn)（風(fēng)險(xiǎn)偏好）以及風(fēng)險(xiǎn)的承受能力，使組織的所有成員了解組織的“風(fēng)險(xiǎn)觀”。這一點(diǎn)確定后，可采用一些工具或方法以確定風(fēng)險(xiǎn)等級(jí)并對(duì)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行管理。關(guān)鍵工具之一就是組織的控制措施。對(duì)于與薩班斯-奧克斯利法案相關(guān)的內(nèi)容來(lái)說(shuō)，組織的控制措施尤其重要。不僅在組織層面的財(cái)務(wù)控制要合規(guī)，活動(dòng)層面的財(cái)務(wù)控制也要合規(guī)。風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受能力風(fēng)險(xiǎn)偏好是從大的角度來(lái)看一個(gè)組織所愿意承受的風(fēng)險(xiǎn)總量，即承受風(fēng)險(xiǎn)所能帶來(lái)的利益與抵消風(fēng)險(xiǎn)的代價(jià)的比較。正如特雷得韋委員會(huì)（反欺詐財(cái)務(wù)報(bào)告委員會(huì)）的贊助委員會(huì)所指出的，這是建立控制措施的主要切入點(diǎn)。在風(fēng)險(xiǎn)評(píng)估中，對(duì)于超出風(fēng)險(xiǎn)偏好的情況，應(yīng)該得出采取預(yù)防措施的結(jié)論。明確風(fēng)險(xiǎn)偏好有助于決定如何根據(jù)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行資金分配。加深對(duì)其了解有助于更有效地進(jìn)行管理。風(fēng)險(xiǎn)偏好與承擔(dān)風(fēng)險(xiǎn)的能力之間可有函數(shù)關(guān)系。為維持組織的信用評(píng)級(jí)或達(dá)到監(jiān)管資金要求所需的資金存量往往是制約風(fēng)險(xiǎn)偏好的因素。相對(duì)風(fēng)險(xiǎn)偏好來(lái)說(shuō)，風(fēng)險(xiǎn)承受能力與組織的特定目標(biāo)相關(guān)，它是一個(gè)實(shí)體所愿意承受的與實(shí)現(xiàn)其目標(biāo)有關(guān)的各種變化的總和。一個(gè)組織中，對(duì)不同風(fēng)險(xiǎn)的承受能力不同。風(fēng)險(xiǎn)偏好是一個(gè)較廣的組織層面的概念，而風(fēng)險(xiǎn)承受能力往往關(guān)注點(diǎn)更集中。一個(gè)組織對(duì)其不同業(yè)務(wù)可有不同的風(fēng)險(xiǎn)承受能力，但是當(dāng)這些不同的風(fēng)險(xiǎn)承受能力進(jìn)行疊加的時(shí)候，它們不能超出最高管理層和董事會(huì)確定的風(fēng)險(xiǎn)偏好。采取控制措施對(duì)風(fēng)險(xiǎn)進(jìn)行管理的一種重要的工具是組織建立的一整套控制措施。對(duì)于薩班斯-奧克斯利法案的合規(guī)要求來(lái)說(shuō)，控制尤其重要。在該法規(guī)的合規(guī)審核過(guò)程中，審核員非常重視對(duì)控制措施的測(cè)試。財(cái)務(wù)和質(zhì)量的控制分兩個(gè)層級(jí)，即實(shí)體層面和活動(dòng)層面，且在ISO9001和ISO14001標(biāo)準(zhǔn)中，質(zhì)量控制是以“應(yīng)”語(yǔ)句出現(xiàn)的，這種“應(yīng)”語(yǔ)句通常伴隨著提交數(shù)據(jù)的要求。一些過(guò)程績(jī)效要求也會(huì)包括對(duì)結(jié)果的記錄，這些記錄可用來(lái)識(shí)別迫切的風(fēng)險(xiǎn)。實(shí)體層級(jí)的控制措施包括：人力資源政策、行為準(zhǔn)則、溝通策略、會(huì)計(jì)原則、管理層的風(fēng)險(xiǎn)評(píng)估過(guò)程、組織結(jié)構(gòu)和合同評(píng)審。在ISO9001：2015中，合同評(píng)審的要求和質(zhì)量要求是相互關(guān)聯(lián)的，參見(jiàn)條款
8.
2.3與產(chǎn)品和服務(wù)有關(guān)要求的評(píng)審?；顒?dòng)層面的控制措施包括進(jìn)行總賬與明細(xì)分類(lèi)賬的對(duì)賬分析、數(shù)據(jù)的自動(dòng)驗(yàn)證和編輯性檢查、限制保密信息的獲取、在錄入前對(duì)交易進(jìn)行編號(hào)、在輸入系統(tǒng)前對(duì)紙面信息進(jìn)行審查和批準(zhǔn)等方式?；顒?dòng)層面的質(zhì)量控制措施包括生產(chǎn)控制（
8.
6.1條款）、成文信息—不合格產(chǎn)品和服務(wù)的糾正（
8.8條款）以及識(shí)別重要環(huán)境因素（ISO 14001：2004條款
4.
3.1）。風(fēng)險(xiǎn)和預(yù)防措施有效的風(fēng)險(xiǎn)評(píng)估活動(dòng)包括：明確組織的可測(cè)量目標(biāo)；確保上述目標(biāo)的兼容性；識(shí)別實(shí)現(xiàn)目標(biāo)的風(fēng)險(xiǎn)；判斷關(guān)鍵風(fēng)險(xiǎn)———可采用風(fēng)險(xiǎn)分析矩陣確定風(fēng)險(xiǎn)的關(guān)鍵程度；采用風(fēng)險(xiǎn)管理工具來(lái)降解風(fēng)險(xiǎn)，比如目標(biāo)—風(fēng)險(xiǎn)———控制措施———調(diào)節(jié)法（ORCA法）、ISO9001的改進(jìn)過(guò)程、失效模式和有效性分析（FMEA)以及風(fēng)險(xiǎn)控制矩陣。

ISO9001-2015風(fēng)險(xiǎn)識(shí)別及分析控制措施？

風(fēng)險(xiǎn)識(shí)別及分析和控制措施列表（QMS）風(fēng)險(xiǎn)分析評(píng)價(jià)序號(hào)過(guò)程風(fēng)險(xiǎn)點(diǎn)
1.插單，影響原排單計(jì)劃，造成交期達(dá)不成；
2.特殊需要，前期未理解到位，未預(yù)算到成本里，造成虧本；可后果能(嚴(yán)重性度)4224SO等級(jí)88現(xiàn)有控制措施加強(qiáng)措施市場(chǎng)接單/評(píng)審過(guò)程1根據(jù)插單項(xiàng)目的大小及影響程度，由銷(xiāo)售總經(jīng)理決定是否接此單。特殊iso三體系認(rèn)證，由技術(shù)主任組織廠內(nèi)各部門(mén)做特殊評(píng)審、成本核算，避免不可預(yù)知情況而發(fā)生費(fèi)用漏預(yù)算。
1、新人培訓(xùn)上崗；
2、工作分配時(shí)考慮人員經(jīng)驗(yàn)；
3、對(duì)經(jīng)驗(yàn)不夠人員加強(qiáng)審核；
4、由經(jīng)驗(yàn)豐富者做iso認(rèn)證前指引。
1、加強(qiáng)前期審核把關(guān)；
2、制作方案表達(dá)規(guī)范、指引。制作關(guān)鍵技術(shù)要求指引。制作及完善物料預(yù)算指引及規(guī)范。制作評(píng)審驗(yàn)證指引。制作客戶(hù)反饋、安裝反饋問(wèn)題分類(lèi)收集及措施匯集冊(cè)。
1.人的經(jīng)驗(yàn)不夠；46242iso認(rèn)證與開(kāi)發(fā)過(guò)程
2.前期技術(shù)方案表達(dá)不充分；
3.圖紙關(guān)鍵技術(shù)要求表達(dá)不充分；
4.BOM漏預(yù)算、預(yù)算錯(cuò)物料；
5.評(píng)審、驗(yàn)證不夠充分；
6.既往經(jīng)驗(yàn)、客戶(hù)反饋未能儲(chǔ)存及形成知識(shí).64442446442416241683
4.1生產(chǎn)過(guò)程見(jiàn)PMFMEA22210420教育跟單人員做事嚴(yán)謹(jǐn)，最大限度避免此類(lèi)事情發(fā)生。多培訓(xùn)新進(jìn)廠員工，熟練使用設(shè)備，確保人員熟練上崗，并由老員工帶新員工，降低風(fēng)險(xiǎn)。在出貨前要同客人再次確認(rèn)相關(guān)信息及核實(shí)生產(chǎn)同銷(xiāo)售所發(fā)資料是否吻合？iso三體系認(rèn)證交付過(guò)程（交付計(jì)劃）客戶(hù)寄證信息有誤，

可從哪幾方面來(lái)分析公司債券的信用風(fēng)險(xiǎn)？

您好，公司債券的風(fēng)險(xiǎn)主要從以下四方面：盈利與現(xiàn)金流、資產(chǎn)流動(dòng)性、舉債空間和專(zhuān)業(yè)與抵押。

IATF16949風(fēng)險(xiǎn)和機(jī)遇評(píng)估分析表？

IATF16949風(fēng)險(xiǎn)和機(jī)遇評(píng)估分析表類(lèi)別：?■質(zhì)量?□環(huán)境?■過(guò)程序號(hào)｜風(fēng)險(xiǎn)和機(jī)遇來(lái)源（內(nèi)部/外部）｜風(fēng)險(xiǎn)和機(jī)遇來(lái)源內(nèi)容｜風(fēng)險(xiǎn)分析｜管理措施｜責(zé)任部門(mén)/人｜實(shí)施時(shí)間（開(kāi)始-完成）｜評(píng)價(jià)措施有效性｜嚴(yán)重程度｜發(fā)生概率｜可探測(cè)性｜RPN｜風(fēng)險(xiǎn)級(jí)別｜1｜MP01｜經(jīng)營(yíng)計(jì)劃管理｜
1、經(jīng)營(yíng)風(fēng)險(xiǎn)：｜1）由于投資經(jīng)營(yíng)失策導(dǎo)致的風(fēng)險(xiǎn)；｜2）由于管理不當(dāng)導(dǎo)致的公司內(nèi)耗增加，失去市場(chǎng)競(jìng)爭(zhēng)力。｜
2、市場(chǎng)風(fēng)險(xiǎn)：｜1）由于對(duì)客戶(hù)及經(jīng)營(yíng)情況了解不夠?qū)е碌馁Y金損失；｜2）和競(jìng)爭(zhēng)對(duì)手相比的優(yōu)劣勢(shì)分析失誤，導(dǎo)致業(yè)務(wù)萎縮。｜
3、認(rèn)證老師風(fēng)險(xiǎn)：｜1）由于現(xiàn)金周轉(zhuǎn)不靈導(dǎo)致的風(fēng)險(xiǎn)；｜2）由于投資不當(dāng)導(dǎo)致的資金風(fēng)險(xiǎn)；｜3）由于管理導(dǎo)致的認(rèn)證老師合規(guī)風(fēng)險(xiǎn)；｜8｜2｜3｜48｜高風(fēng)險(xiǎn)｜
1、定期召開(kāi)投資經(jīng)營(yíng)會(huì)議，多方面聽(tīng)取投資經(jīng)營(yíng)意見(jiàn)；｜聘任高素質(zhì)職業(yè)經(jīng)理人對(duì)公司進(jìn)行經(jīng)營(yíng)管理。｜
2、對(duì)客戶(hù)每年進(jìn)行等級(jí)調(diào)查分析；｜ 對(duì)競(jìng)爭(zhēng)對(duì)手的調(diào)查分析應(yīng)嚴(yán)謹(jǐn)細(xì)致，加強(qiáng)公司內(nèi)部的研發(fā)能力和技術(shù)積累，隨時(shí)保持在行業(yè)頂尖水準(zhǔn)。｜
3、對(duì)現(xiàn)金流進(jìn)行控制，嚴(yán)格執(zhí)行預(yù)決算制度；｜ 對(duì)短期的投資行為進(jìn)行分析，尋找有實(shí)力的投資公司進(jìn) 行委托處理；｜聘請(qǐng)專(zhuān)業(yè)的認(rèn)證老師人員，對(duì)認(rèn)證老師進(jìn)行合規(guī)化管理，聘請(qǐng)專(zhuān) 專(zhuān)業(yè)iso認(rèn)證老師，進(jìn)行合規(guī)風(fēng)險(xiǎn)分析預(yù)防。｜ ｜總經(jīng)理/｜綜合部｜201
6.
8.25｜有效｜2｜MP02｜內(nèi)部審核｜
1.審核人員業(yè)務(wù)技能不熟悉，導(dǎo)致審核浮于表面。｜
2.審核發(fā)現(xiàn)的不符合項(xiàng)目未能及時(shí)改善和更近，導(dǎo)