个组织在风险分析方面最先要做的事情就是明确组织能够承担哪种类型的风险(风险偏好) 以及风险的承受能 力，使组织的所有成员了解组织的“风观”。这一点确定后，可采用一些工具或方法以确定风险等级并对识别出的风险进行管理。关键工具之一就是组织的控制措施。对于与萨班斯-奥克斯利法案相关的内容来说，组织的控制措施尤其重要。不仅在组织层面的财务控制要合规，活动层面的财务控制也要合规。 

风险偏好是从大的角度来看一个组织所愿意承受的风险总量，即承受风险所能带来的利益与抵消风险的代价的比较。正如特雷得韦委员会(反欺诈财务报告委员会) 的赞助委员会 5 所指出的，这是建立控制措施的主要切入点。在风险评估中，对于超出风险偏好的情况，应该得出采取预防措施的结论。 

明确风险偏好有助于决定如何根据识别出的风险进行资金分配。加深对其了解有助于更有效地进行管理。风险偏好与承担风险的能力之间可有函数关系。为维持组织的信用评级或达到监管资金要求所需的资金存量往往是制约风险偏好的因素。 

相对风险偏好来说，风险承受能力与组织的特定目标相关，它是一个实体所愿意承受的与实现其目标有关的各种变化的总和。一个组织中，对不同风险的承受能力不同。 

风险偏好是一个较广的组织层面的概念，而风险承受能力往往关注点更集中。一个组织对其不同业务可有不同的风险承受能力，但是当这些不同的风险承受能力进行叠加的时候，它们不能超出最高管理层和董事会确定的风险偏好。  

对风险进行管理的一种重要的工具是组织建立的一整套控制措施。对于萨班斯-奥克斯利法案的合规要求来说，控制尤其重要。在该法规的合规审核过程中，审核员非常重视对控制措施的测试。财务和质量的控制分两个层级，即实体层面和活动层面，且在 ISO 9001 和 ISO 14001 标准中，质量控制是以“应”语句出现的，这种“应”语句通常伴随着提交数据的要求。一些过程绩效要求也会包括对结果的记录，这些记录可用来识别迫切的风险。

实体层级的控制措施包括：

• 人力资源政策

• 行为准则

• 沟通策略

• 会计原则

• 管理层的风险评估过程

• 组织结构和合同评审。在 ISO 9001：2015 中，合同评 审的要求和质量要求是相互关联的，参见条款 8.2.3 与 产品和服务有关要求的评审。 

活动层面的控制措施包括进行总账与明细分类账的对账分析、数据的自动验证和编辑性检查、限制保密信息的获取、在录入前对交易进行编号、在输入系统前对纸面信息进行审查和批准等方式。 

活动层面的质量控制措施包括生产控制(8.6.1 条款)、 成文信息—不合格产品和服务的纠正(8.8 条款) 以及识别 重要环境因素(ISO 14001：2004 条款 4.3.1)。  

有效的风险评估活动包括：

• 明确组织的可测量目标；

• 确保上述目标的兼容性；

• 识别实现目标的风险；

• 判断关键风险———可采用风险分析矩阵确定风险的关键程度；

• 采用风险管理工具来降解风险，比如目标—风险——— 控制措施———调节法 (ORCA 法)、ISO 9001 的改进 过程、失效模式和有效性分析(FMEA)以及风险控制矩阵。  

风险分析矩阵是一种关键的分析工具，即对于识别出的每一种风险，估算风险产生的后果和风险发生的可能性，然后将这些信息输入到风险分析矩阵中。 

对每一个风险的关注程度进行判断之后，可对极端的和高危的风险采取措施 。ISO 9001：2015 要求建立一个程序以实施以下活动：

• 采取措施控制并纠正不符合；

• 评估是否需要采取措施消除风险源；

• 实施纠正措施；

• 评估措施的有效性；

• 在需要时对质量管理体系进行修订；  

风险专家格雷格·哈金斯建议考虑采用 ORCA 作为组织的风险评估方法。他认为， “这种方法的接受度和适用性很好，它结合了其他一些类型的评估因素，包括过程、内部控制和体系审核等。另外，它也符合当今公司治理实践中对风险管理和运营效率的关注。”

ORCA 要求组织做到以下各项：

• 清晰说明组织的目标；

• 全面识别并评估风险；

• 建立平衡的控制方式以管理组织的风险； 

• 确保整个企业的目标、风险和控制的一致性。 

在完成风险评估之后，高级和运营管理层可制定风险管理方面的策略并执行相关的业务决定。风险管理策略包括避免、减轻、接受、分散及控制等方法。  

ISO 9001：2015 的第 10.2 款说的是组织宜对以下情况 有所反馈，以改进其质量管理体系：

• 数据分析的结果；

• 组织状况的改变；

• 识别出的风险的变化(条款 6.1)；

• 新的机会。