對組織有影響的風險主要有以下 4 類： 

1、組織風險：發生在組織實體及其活動層面； 

2. 戰略風險：發生在組織的戰略或業務計劃制定不夠周 密時； 

3. 合規風險：發生不符合法律法規要求的情形時；

4. 運營風險：分為與組織的程序和措施有關的 7 個分類 別。 

1、組織風險 

實體層面的風險可以是外來的也可以是內部存在的。外來因素包括技術、競爭以及法律環境；內部因素包括安保、信息系統、收發貨物遺失、人員能力和責任變化等方面。 活動層面的風險對個人和部門發生影響，包括在系統中輸入信息或材料時的疏漏；收發貨記錄遺失；安?？刂扑尚福蝗鄙偈炀毤夹g人員以及員工的疏忽大意等。如果在組織的各個環節活動層面的風險不斷，最后勢必形成實體層面的風險。 

2. 戰略風險 

戰略風險指的是因執行一項不成功的商業計劃或戰略而可能發生的損失。其原因可能是由于做了糟糕的業務決策、執行決定不力、資源不足或者是因為業務環境發生了變化而未及時進行調整。 

3. 合規風險 

合規風險是與法律法規要求有關的風險。環境、健康和安全要求一直是人們關注的問題，因為一旦這些方面出現問題，輕則罰款，重則停業甚至追究刑事責任都是可能出現的后果。遵守質量和環境方面的標準和規范也在這個范疇之內。

環境風險包括液體危險品遺撒、危險氣體排放以及固態廢棄物的不當處理，包括的情況還可能有以下情形：

• 采購部將從國內采購改為向國外供應商采購；

• 負責環境的關鍵管理人員離崗未及時替補；

• 引入新的物料卻未編制有關的安全管控記錄。 

4. 運營風險 

運營的風險可以具體從以下 7 個方面說明： 

（1）管理體系風險。由于制定的戰略、制度規定和工具、數據處理、呼叫(電話) 中心、合同管理、設計與開發等層面的效率低下，都可能造成管理體系的效率低下。比如說，一個重度依賴外包的供應鏈，可能有很大風險。 

管理體系的其他風險包括不正確的收入確定；違反國家安全規定；不符合環境法規以及薩班斯-奧克斯利法案(美國的一部涉及會計職業監管、公司治理、證券市場監管方面的重要法律) 的要求。這些行為將可能導致罰款、停業甚至追究刑責的后果。為了降低此類風險，組織的最高管理層以及董事會必須對管理體系有透徹的了解，并努力提高其有效性。如果下述的活動效率低下，則組織的管理體系必受其累：

• 人力資源管理制度

• 各種管理工具

• 數據處理

• 呼叫(電話)中心

• 營銷活動

• 合同管理

• 顧客溝通

• 設計和開發 

  
  

總而言之，組織的最高管理層和董事會要了解自身的管理體系并不斷提高其有效性。 

（2） 顧客滿意風險。顧客溝通、送貨、產品本身、設計維修以及對顧客反饋的回應方式都會影響顧客滿意風險。為降低此類風險，宜將相關的產品質量數據、產品和過程監控數據以及供應商供貨質量等數據也一并納入分析過程。

（3） 供應鏈風險。采購經理必須對外購產品和服務、獨家供應商、送貨時間庫存管理以及文檔管理等保持關注。信息溝通是確保供應鏈有效運行的關鍵。用來管理供應鏈風險的數值包括送貨時間、庫存水平及成本等。 

（4） 收入確認風險對利潤的影響。對此類風險的管理包括追蹤產品從生產、銷售到發貨以及應收賬款的全過程。收入的確認受到諸如應付款、應收賬、交付前貨值記錄、現金報價錯誤、計算表錯誤以及價格信息不完整等原因影響。 

質量經理在控制收入確認過程的有效性方面負有重要責任。質量體系和財務管理體系在此有交集，涉及產品實現、成本、銷售、開發票、付款、庫存管理以及發貨等過程。發貨信息是對應收賬款和收入確認的直接輸入。對于許多公司

來說，收入確認對其收入有著直接影響，甚至可能影響其股票價格。 

由于不正確的收入確認，還可能出現背離事實的虛假聲明的風險。審核員宜對已建立的用以檢查收入確認中問題的控制措施進行測試。 

（5） 信息安全風險。信息安全風險的情況包括病毒、未加防范的文件、不正確的財務記錄和報告、糟糕的修改控制、信息檢索錯誤、數據表格濫用、臨時工和咨詢師的使用、新技術的引入以及遭遇工業間諜和欺詐行為等現象。ISO/IEC27001：2005 《信息技術安全技術信息安全管 理體系要求》 包括了建立、實施、運營、監視、評價、維 護并提高信息安全管理的要求。 

（6） 物流風險。當今組織關注的一個風險問題是與國家安全威脅因素相關的。運輸過程可能由于需要檢查是否藏有大規模殺傷性武器而拖慢。 

如何篩查、識別、并追蹤從貨源地到購買方組織的全過程一直是個難點。以下因素影響物流風險：

• 原材料和成品的運輸；

• 運輸中的貨損；

• 途中延誤造成的無法按期交貨；

• 運輸延誤造成的原材料庫存不足；

• 國家安全信息上報要求。 

有必要開發出新的工具以減少篩查和追蹤等必須過程對供應鏈的干擾?？傊?，產品生產完成后，送到顧客手中之前，上述各種問題都可能出現，組織應該有所準備。 

（7） 自然災害風險。過去幾年間，我們這個星球上自然災害頻發。業務連續性要求對應保護的存儲信息進行安全保障，并對災后復原進行策劃。