個組織在風險分析方面最先要做的事情就是明確組織能夠承擔哪種類型的風險(風險偏好) 以及風險的承受能 力，使組織的所有成員了解組織的“風觀”。這一點確定后，可采用一些工具或方法以確定風險等級并對識別出的風險進行管理。關鍵工具之一就是組織的控制措施。對于與薩班斯-奧克斯利法案相關的內容來說，組織的控制措施尤其重要。不僅在組織層面的財務控制要合規，活動層面的財務控制也要合規。 

風險偏好是從大的角度來看一個組織所愿意承受的風險總量，即承受風險所能帶來的利益與抵消風險的代價的比較。正如特雷得韋委員會(反欺詐財務報告委員會) 的贊助委員會 5 所指出的，這是建立控制措施的主要切入點。在風險評估中，對于超出風險偏好的情況，應該得出采取預防措施的結論。 

明確風險偏好有助于決定如何根據識別出的風險進行資金分配。加深對其了解有助于更有效地進行管理。風險偏好與承擔風險的能力之間可有函數關系。為維持組織的信用評級或達到監管資金要求所需的資金存量往往是制約風險偏好的因素。 

相對風險偏好來說，風險承受能力與組織的特定目標相關，它是一個實體所愿意承受的與實現其目標有關的各種變化的總和。一個組織中，對不同風險的承受能力不同。 

風險偏好是一個較廣的組織層面的概念，而風險承受能力往往關注點更集中。一個組織對其不同業務可有不同的風險承受能力，但是當這些不同的風險承受能力進行疊加的時候，它們不能超出最高管理層和董事會確定的風險偏好。  

對風險進行管理的一種重要的工具是組織建立的一整套控制措施。對于薩班斯-奧克斯利法案的合規要求來說，控制尤其重要。在該法規的合規審核過程中，審核員非常重視對控制措施的測試。財務和質量的控制分兩個層級，即實體層面和活動層面，且在 ISO 9001 和 ISO 14001 標準中，質量控制是以“應”語句出現的，這種“應”語句通常伴隨著提交數據的要求。一些過程績效要求也會包括對結果的記錄，這些記錄可用來識別迫切的風險。

實體層級的控制措施包括：

• 人力資源政策

• 行為準則

• 溝通策略

• 會計原則

• 管理層的風險評估過程

• 組織結構和合同評審。在 ISO 9001：2015 中，合同評 審的要求和質量要求是相互關聯的，參見條款 8.2.3 與 產品和服務有關要求的評審。 

活動層面的控制措施包括進行總賬與明細分類賬的對賬分析、數據的自動驗證和編輯性檢查、限制保密信息的獲取、在錄入前對交易進行編號、在輸入系統前對紙面信息進行審查和批準等方式。 

活動層面的質量控制措施包括生產控制(8.6.1 條款)、 成文信息—不合格產品和服務的糾正(8.8 條款) 以及識別 重要環境因素(ISO 14001：2004 條款 4.3.1)。  

有效的風險評估活動包括：

• 明確組織的可測量目標；

• 確保上述目標的兼容性；

• 識別實現目標的風險；

• 判斷關鍵風險———可采用風險分析矩陣確定風險的關鍵程度；

• 采用風險管理工具來降解風險，比如目標—風險——— 控制措施———調節法 (ORCA 法)、ISO 9001 的改進 過程、失效模式和有效性分析(FMEA)以及風險控制矩陣。  

風險分析矩陣是一種關鍵的分析工具，即對于識別出的每一種風險，估算風險產生的后果和風險發生的可能性，然后將這些信息輸入到風險分析矩陣中。 

對每一個風險的關注程度進行判斷之后，可對極端的和高危的風險采取措施 。ISO 9001：2015 要求建立一個程序以實施以下活動：

• 采取措施控制并糾正不符合；

• 評估是否需要采取措施消除風險源；

• 實施糾正措施；

• 評估措施的有效性；

• 在需要時對質量管理體系進行修訂；  

風險專家格雷格·哈金斯建議考慮采用 ORCA 作為組織的風險評估方法。他認為， “這種方法的接受度和適用性很好，它結合了其他一些類型的評估因素，包括過程、內部控制和體系審核等。另外，它也符合當今公司治理實踐中對風險管理和運營效率的關注。”

ORCA 要求組織做到以下各項：

• 清晰說明組織的目標；

• 全面識別并評估風險；

• 建立平衡的控制方式以管理組織的風險； 

• 確保整個企業的目標、風險和控制的一致性。 

在完成風險評估之后，高級和運營管理層可制定風險管理方面的策略并執行相關的業務決定。風險管理策略包括避免、減輕、接受、分散及控制等方法。  

ISO 9001：2015 的第 10.2 款說的是組織宜對以下情況 有所反饋，以改進其質量管理體系：

• 數據分析的結果；

• 組織狀況的改變；

• 識別出的風險的變化(條款 6.1)；

• 新的機會。