對組織有影響的風險主要有以下 4 類： 

1、組織風險：發(fā)生在組織實體及其活動層面； 

2. 戰(zhàn)略風險：發(fā)生在組織的戰(zhàn)略或業(yè)務計劃制定不夠周 密時； 

3. 合規(guī)風險：發(fā)生不符合法律法規(guī)要求的情形時；

4. 運營風險：分為與組織的程序和措施有關的 7 個分類 別。 

1、組織風險 

實體層面的風險可以是外來的也可以是內(nèi)部存在的。外來因素包括技術、競爭以及法律環(huán)境；內(nèi)部因素包括安保、信息系統(tǒng)、收發(fā)貨物遺失、人員能力和責任變化等方面。 活動層面的風險對個人和部門發(fā)生影響，包括在系統(tǒng)中輸入信息或材料時的疏漏；收發(fā)貨記錄遺失；安?？刂扑尚?；缺少熟練技術人員以及員工的疏忽大意等。如果在組織的各個環(huán)節(jié)活動層面的風險不斷，最后勢必形成實體層面的風險。 

2. 戰(zhàn)略風險 

戰(zhàn)略風險指的是因執(zhí)行一項不成功的商業(yè)計劃或戰(zhàn)略而可能發(fā)生的損失。其原因可能是由于做了糟糕的業(yè)務決策、執(zhí)行決定不力、資源不足或者是因為業(yè)務環(huán)境發(fā)生了變化而未及時進行調(diào)整。 

3. 合規(guī)風險 

合規(guī)風險是與法律法規(guī)要求有關的風險。環(huán)境、健康和安全要求一直是人們關注的問題，因為一旦這些方面出現(xiàn)問題，輕則罰款，重則停業(yè)甚至追究刑事責任都是可能出現(xiàn)的后果。遵守質(zhì)量和環(huán)境方面的標準和規(guī)范也在這個范疇之內(nèi)。

環(huán)境風險包括液體危險品遺撒、危險氣體排放以及固態(tài)廢棄物的不當處理，包括的情況還可能有以下情形：

• 采購部將從國內(nèi)采購改為向國外供應商采購；

• 負責環(huán)境的關鍵管理人員離崗未及時替補；

• 引入新的物料卻未編制有關的安全管控記錄。 

4. 運營風險 

運營的風險可以具體從以下 7 個方面說明： 

（1）管理體系風險。由于制定的戰(zhàn)略、制度規(guī)定和工具、數(shù)據(jù)處理、呼叫(電話) 中心、合同管理、設計與開發(fā)等層面的效率低下，都可能造成管理體系的效率低下。比如說，一個重度依賴外包的供應鏈，可能有很大風險。 

管理體系的其他風險包括不正確的收入確定；違反國家安全規(guī)定；不符合環(huán)境法規(guī)以及薩班斯-奧克斯利法案(美國的一部涉及會計職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管方面的重要法律) 的要求。這些行為將可能導致罰款、停業(yè)甚至追究刑責的后果。為了降低此類風險，組織的最高管理層以及董事會必須對管理體系有透徹的了解，并努力提高其有效性。如果下述的活動效率低下，則組織的管理體系必受其累：

• 人力資源管理制度

• 各種管理工具

• 數(shù)據(jù)處理

• 呼叫(電話)中心

• 營銷活動

• 合同管理

• 顧客溝通

• 設計和開發(fā) 

  
  

總而言之，組織的最高管理層和董事會要了解自身的管理體系并不斷提高其有效性。 

（2） 顧客滿意風險。顧客溝通、送貨、產(chǎn)品本身、設計維修以及對顧客反饋的回應方式都會影響顧客滿意風險。為降低此類風險，宜將相關的產(chǎn)品質(zhì)量數(shù)據(jù)、產(chǎn)品和過程監(jiān)控數(shù)據(jù)以及供應商供貨質(zhì)量等數(shù)據(jù)也一并納入分析過程。

（3） 供應鏈風險。采購經(jīng)理必須對外購產(chǎn)品和服務、獨家供應商、送貨時間庫存管理以及文檔管理等保持關注。信息溝通是確保供應鏈有效運行的關鍵。用來管理供應鏈風險的數(shù)值包括送貨時間、庫存水平及成本等。 

（4） 收入確認風險對利潤的影響。對此類風險的管理包括追蹤產(chǎn)品從生產(chǎn)、銷售到發(fā)貨以及應收賬款的全過程。收入的確認受到諸如應付款、應收賬、交付前貨值記錄、現(xiàn)金報價錯誤、計算表錯誤以及價格信息不完整等原因影響。 

質(zhì)量經(jīng)理在控制收入確認過程的有效性方面負有重要責任。質(zhì)量體系和財務管理體系在此有交集，涉及產(chǎn)品實現(xiàn)、成本、銷售、開發(fā)票、付款、庫存管理以及發(fā)貨等過程。發(fā)貨信息是對應收賬款和收入確認的直接輸入。對于許多公司

來說，收入確認對其收入有著直接影響，甚至可能影響其股票價格。 

由于不正確的收入確認，還可能出現(xiàn)背離事實的虛假聲明的風險。審核員宜對已建立的用以檢查收入確認中問題的控制措施進行測試。 

（5） 信息安全風險。信息安全風險的情況包括病毒、未加防范的文件、不正確的財務記錄和報告、糟糕的修改控制、信息檢索錯誤、數(shù)據(jù)表格濫用、臨時工和咨詢師的使用、新技術的引入以及遭遇工業(yè)間諜和欺詐行為等現(xiàn)象。ISO/IEC27001：2005 《信息技術安全技術信息安全管 理體系要求》 包括了建立、實施、運營、監(jiān)視、評價、維 護并提高信息安全管理的要求。 

（6） 物流風險。當今組織關注的一個風險問題是與國家安全威脅因素相關的。運輸過程可能由于需要檢查是否藏有大規(guī)模殺傷性武器而拖慢。 

如何篩查、識別、并追蹤從貨源地到購買方組織的全過程一直是個難點。以下因素影響物流風險：

• 原材料和成品的運輸；

• 運輸中的貨損；

• 途中延誤造成的無法按期交貨；

• 運輸延誤造成的原材料庫存不足；

• 國家安全信息上報要求。 

有必要開發(fā)出新的工具以減少篩查和追蹤等必須過程對供應鏈的干擾?？傊?，產(chǎn)品生產(chǎn)完成后，送到顧客手中之前，上述各種問題都可能出現(xiàn)，組織應該有所準備。 

（7） 自然災害風險。過去幾年間，我們這個星球上自然災害頻發(fā)。業(yè)務連續(xù)性要求對應保護的存儲信息進行安全保障，并對災后復原進行策劃。