一个组织在风险分析方面要做的事情就是明确组织能够承担哪种类型的风险(风险偏好) 以及风险的承受能 力，使组织的成员了解组织的“风观”。这一点可采用一些工具或方法以风险等并对识别出的风险进行管理。关键工具之一就是组织的控制措施。对于与萨班斯-奥克斯利法案相关的内容来说，组织的控制措施重要。在组织层面的财务控制要合规，活动层面的财务控制也要合规。

风险偏好和风险承受能力 

风险偏好是从大的角度来看一个组织所愿意承受的风险总量，即承受风险所能带来的利益与抵消风险的代价的比较。正如特雷得韦委员会(反欺诈财务报告委员会) 的赞助委员会 5 所指出的，这是建立控制措施的主要切入点。在风险评估中，对于风险偏好的情况，应该得出采取措施的结论。

明确风险偏好助于决定如何根据识别出的风险进行资金分配。加深对其了解助于进行管理。风险偏好与承担风险的能力之间可有函数关系。为维持组织的信用评*或达到资金要求所需的资金存量往往是制约风险偏好的因素。

相对风险偏好来说，风险承受能力与组织的特定目标相关，它是一个实体所愿意承受的与实现其目标有关的变化的总和。一个组织中，对不同风险的承受能力不同。

风险偏好是一个较广的组织层面的概念，而风险承受能力往往关注点集中。一个组织对其不同业务可有不同的风险承受能力，但是当这些不同的风险承受能力进行叠加的时候，管理层和董事会的风险偏好。 

采取控制措施

对风险进行管理的一种重要的工具是组织建立的一整套控制措施。对于萨班斯-奥克斯利法案的合规要求来说，控制重要。在该法规的合规审核过程中，审核员重视对控制措施的测试。财务和质量的控制分两个层，即实体层面和活动层面，且在 ISO 9001 和 ISO 14001 标准中，质量控制是以“应”语句出现的，这种“应”语句通常伴随着提交数据的要求。一些过程绩效要求也会包括对结果的记录，这些记录可用来识别迫切的风险。

实体层的控制措施包括：

人力资源政策 

行为准则 

沟通策略 

会计原则 

管理层的风险评估过程 

组织结构和合同评审。在 ISO 9001：2015 中，合同评 审的要求和质量要求是相互关联的，参见条款 8.2.3 与 产品和服务有关要求的评审。

活动层面的控制措施包括进行总账与明细分类账的对账分析、数据的自动验证和编辑性检查、限制保密信息的获取、在录入前对交易进行编号、在输入系统前对纸面信息进行审查和批准等方式。

活动层面的质量控制措施包括生产控制(8.6.1 条款)、 成文信息—不合格产品和服务的纠正(8.8 条款) 以及识别 重要环境因素(ISO 14001：2004 条款 4.3.1)。

风险和措施

风险评估活动包括：

明确组织的可测量目标；

上述目标的兼容性；

识别实现目标的风险；

判断关键风险———可采用风险分析矩阵风险的关键程度；

采用风险管理工具来降解风险，比如目标—风险——— 控制措施———调节法 (ORCA 法)、ISO 9001 的改进 过程、失效模式和分析(FMEA)以及风险控制矩阵。 

风险分析矩阵 

风险分析矩阵是一种关键的分析工具，即对于识别出的每1种风险，估算风险产生的后果和风险发生的可能，然后将这些信息输入到风险分析矩阵中，如表 1 所示。

对每1个风险的关注程度进行判断之后，风险采取措施 。ISO 9001：2015 要求建立1个程序以实施以下活动：

采取措施控制并纠正不符合；

评估是否需要采取措施风险源；

实施纠正措施；

评估措施；

在需要时对质量管理体系进行修订；  

ORCA 

风险家格雷格·哈金斯建议考虑采用 ORCA 作为组织的风险评估方法。他认为， “这种方法的接受度和适用好，它结合了其他一些类型的评估因素，包括过程、控制和体系审核等。另外，它也符合当今公司治理实践中对风险管理和运营的关注。”

ORCA 要求组织做到以下各项：

清晰说明组织的目标；

识别并评估风险；

建立平衡的控制方式以管理组织的风险； 

整个企业的目标、风险和控制的1致性。 

在完成风险评估之后，运营管理层可制定风险管理方面的策略并执行的业务决定。风险管理策略包括避、接受、分散等方法。  

ISO 9001 改进过程 

ISO 9001：2015 的第 10.2 款说的是组织宜对以下情况 有所反馈，以改进其质量管理体系：

数据分析的结果；

组织状况的改变；

识别出的风险的变化(条款 6.1)；

新的机会。  

失效模式与影响分析(FMEA) 

失效模式与影响分析是一种通过风险排序并采取措施以减少风险的方法。这种方法用来检查产品或过程潜在的故障，以便采取补救措施来减少风险。 

FMEA 的1步是描述系统的各个组成部分，第2步是明确如各个组成部分发生失效时的后果，并采用风险分析矩阵来评估失效发生的严重程度和可能，同时也明确相关控制措施对于故障的察觉能力。 

接着是识别能够或减少故障发生或改进故障察觉能力的措施。FMEA 帮助实施对过程或产品进行调整 或改进，以避潜在的失效发生。 ReliaSoft 集团的卡尔.S.卡尔森先生提出了1个建立失效模式与影响分析的“十一步过程法”。他认为，要做的就是制定1个涉及策略和资源的总体计划，将涉及管理评审、质量审核、供应商 FMEA 以及建议措施的实施和跟进活动中的通用方案进行明确描述。他提出的后几个步骤中包括软件方面的支持，与其他过程和测试的关联，以及对现场失效进行的及时跟踪。  

风险控制矩阵  

风险控制矩阵是用来管理1个特定过程风险的工具。制定一系列的控制措施以过程的风险的状况。通过风险控制矩阵，管理层可以直观地了解各项控制与评估的新结果。 表 2 是对“结账”过程所进行的分析。

ISO 9001：2015 版标准是一部具有很强风险导向的标准。一个组织要建立基于风险的方式，须对其可测量的目标进行定义，因为风险本是对实现目标的进步的阻。 

一个组织须自身的风险偏好和风险承受能力，这样才能形成上下1致的风险观。在此基础上，组织可以采用风险分析矩阵，通过综合考虑事的可能及其后果/严重程度风险等。 

为符合萨班斯-奥克斯利法案的要求，宜采用自上而下、基于风险的方法来选择适宜的控制措施，通过检验识别可能的偏差或大的虚报问题。据了解，ISO 9001 和 ISO 14001标准到目前为止的修订稿中，都有意提供了一些有用的工具，帮助组织改进其风险管理策略。