在線客服 X

新聞中心

CONTACT US 聯系我們

陜西西安市含光門外含光大廈7層

受理熱線:029-85236551

咨詢電話:15102932751

QQ:52994269


ISO 9001:2015 打算搞定風險,你準備好了嗎?

發布日期:2016-07-15來源:閱讀次數 (1768)

        一個組織在風險分析方面最先要做的事情就是明確組織能夠承擔哪種類型的風險(風險偏好)以及風險的承受能 力,使組織的所有成員了解組織的“風觀”。這一點確定后,可采用一些工具或方法以確定風險等級并對識別出的風險進行管理。關鍵工具之一就是組織的控制措施。對于與薩班斯-奧克斯利法案相關的內容來說,組織的控制措施尤其重要。不僅在組織層面的財務控制要合規,活動層面的財務控制也要合規。 

◆  ◆  ◆

風險偏好和風險承受能力 

風險偏好是從大的角度來看一個組織所愿意承受的風險總量,即承受風險所能帶來的利益與抵消風險的代價的比較。正如特雷得韋委員會(反欺詐財務報告委員會)的贊助委員會5所指出的,這是建立控制措施的主要切入點。在風險評估中,對于超出風險偏好的情況,應該得出采取預防措施的結論。 

明確風險偏好有助于決定如何根據識別出的風險進行資金分配。加深對其了解有助于更有效地進行管理。風險偏好與承擔風險的能力之間可有函數關系。為維持組織的信用評級或達到監管資金要求所需的資金存量往往是制約風險偏好的因素。 

相對風險偏好來說,風險承受能力與組織的特定目標相關,它是一個實體所愿意承受的與實現其目標有關的各種變化的總和。一個組織中,對不同風險的承受能力不同。 風險偏好是一個較廣的組織層面的概念,而風險承受能力往往關注點更集中。一個組織對其不同業務可有不同的風險承受能力,但是當這些不同的風險承受能力進行疊加的時候,它們不能超出最高管理層和董事會確定的風險偏好。 

◆  ◆  ◆

采取控制措施

對風險進行管理的一種重要的工具是組織建立的一整套控制措施。對于薩班斯-奧克斯利法案的合規要求來說,控制尤其重要。在該法規的合規審核過程中,審核員非常重視對控制措施的測試。財務和質量的控制分兩個層級,即實體層面和活動層面,且在ISO 9001和ISO 14001標準中,質量控制是以“應”語句出現的,這種“應”語句通常伴隨著提交數據的要求。一些過程績效要求也會包括對結果的記錄,這些記錄可用來識別迫切的風險。

實體層級的控制措施包括:

·        人力資源政策

·        行為準則

·        溝通策略

·        會計原則

·        管理層的風險評估過程

·        組織結構和合同評審。在ISO 9001:2015中,合同評 審的要求和質量要求是相互關聯的,參見條款8.2.3與 產品和服務有關要求的評審。 

活動層面的控制措施包括進行總賬與明細分類賬的對賬分析、數據的自動驗證和編輯性檢查、限制保密信息的獲取、在錄入前對交易進行編號、在輸入系統前對紙面信息進行審查和批準等方式。 活動層面的質量控制措施包括生產控制(8.6.1條款)、 成文信息—不合格產品和服務的糾正(8.8條款)以及識別 重要環境因素(ISO 14001:2004條款4.3.1)。 

◆  ◆  ◆

風險和預防措施

有效的風險評估活動包括:

o   明確組織的可測量目標;

o   確保上述目標的兼容性;

o   識別實現目標的風險;

o   判斷關鍵風險———可采用風險分析矩陣確定風險的關鍵程度;

o   采用風險管理工具來降解風險,比如目標—風險——— 控制措施———調節法(ORCA法)、ISO 9001的改進 過程、失效模式和有效性分析(FMEA)以及風險控制矩陣。 

◆  ◆  ◆

風險分析矩陣 

 

風險分析矩陣是一種關鍵的分析工具,即對于識別出的每一種風險,估算風險產生的后果和風險發生的可能性,然后將這些信息輸入到風險分析矩陣中,如表1所示。 


對每一個風險的關注程度進行判斷之后,可對極端的和高危的風險采取措施 。ISO 9001:2015要求建立一個程序以實施以下活動:

·        采取措施控制并糾正不符合;

·        評估是否需要采取措施消除風險源;

·        實施糾正措施;

·        評估措施的有效性;

·        在需要時對質量管理體系進行修訂; 

◆  ◆  ◆

ORCA 

風險專家格雷格·哈金斯建議考慮采用ORCA作為組織的風險評估方法。他認為, “這種方法的接受度和適用性很好,它結合了其他一些類型的評估因素,包括過程、內部控制和體系審核等。另外,它也符合當今公司治理實踐中對風險管理和運營效率的關注。”

ORCA 要求組織做到以下各項:

§  清晰說明組織的目標;

§  全面識別并評估風險;

§  建立平衡的控制方式以管理組織的風險; 

§  確保整個企業的目標、風險和控制的一致性。 

在完成風險評估之后,高級和運營管理層可制定風險管理方面的策略并執行相關的業務決定。風險管理策略包括避免、減輕、接受、分散及控制等方法。 

◆  ◆  ◆

ISO 9001改進過程 

ISO 9001:2015的第10.2款說的是組織宜對以下情況 有所反饋,以改進其質量管理體系:

·        數據分析的結果;

·        組織狀況的改變;

·        識別出的風險的變化(條款6.1);

·        新的機會。 

◆  ◆  ◆

失效模式與影響分析(FMEA) 

失效模式與影響分析是一種通過風險排序并采取預防措施以減少風險的方法。這種方法用來檢查產品或過程潛在的故障,以便采取補救措施來減少風險。 

FMEA 的第一步是描述系統的各個組成部分,第二步是明確如各個組成部分發生失效時的后果,并采用風險分析矩陣來評估各種失效發生的嚴重程度和可能性,同時也明確相關控制措施對于故障的察覺能力。 

接著是識別能夠消除或減少故障發生或改進故障察覺能力的措施。最終,FMEA幫助實施對過程或產品進行調整 或改進,以避免潛在的失效發生。ReliaSoft集團的卡爾.S.卡爾森先生提出了一個建立失效模式與影響分析的“十一步過程法”。他認為,首先要做的就是制定一個涉及策略和資源的總體計劃,將涉及管理評審、質量審核、供應商FMEA以及建議措施的實施和跟進活動中的通用方案進行明確描述。他提出的最后幾個步驟中包括軟件方面的支持,與其他過程和測試的關聯,以及對現場失效進行的及時跟蹤。 

◆  ◆  ◆

風險控制矩陣  

風險控制矩陣是用來管理一個特定過程風險的工具。制定一系列的控制措施以確定過程的各種風險的狀況。通過風險控制矩陣,管理層可以直觀地了解各項控制與評估的最新結果。 表2是對“結賬”過程所進行的分析。

◆  ◆  ◆

采取基于風險的方法 

ISO 9001:2015版標準是一部具有很強風險導向的標準。一個組織要建立基于風險的思維方式,首先必須對其可測量的目標進行定義,因為風險本是對實現目標的各種進步的阻礙。

一個組織必須確定自身的風險偏好和風險承受能力,這樣才能形成上下一致的風險觀。在此基礎上,組織可以采用風險分析矩陣,通過綜合考慮事件的可能性及其后果嚴重程度來確定風險等級。 

為符合薩班斯-奧克斯利法案的要求,宜采用自上而下、基于風險的方法來選擇適宜的控制措施,通過檢驗識別可能的偏差或重大的虛報問題。據了解,ISO 9001和ISO 14001標準到目前為止的修訂稿中,都有意提供了一些有用的工具,幫助組織改進其風險管理策略。 

本文由美國質量學會(ASQ)供稿,ASQ 是一個全球質量人的團體,在150 個國家/地區擁有數百萬的個人和企業會員。ASQ 北亞區為ASQ 全球會員、本地會員及潛在客戶提供全方位的服務,服務區域覆蓋中國大陸、日本、韓國、蒙古、中國香港、澳門及臺灣地區。

 

白小姐一码中特期期准