企业iso9001风险分析一般哪个部门来分析

1. 企业iso9001风险分析一般哪个部门来分析

由于ISO9000分析分析涉及的内容比较多，应当由主管部门组织公司所有部门依照部门职责对部门存在的风险进行分析，而不仅仅是哪一个部门的事情，应当是所有部门的事情。
对组织有影响的风险主要有以下4类：
1.组织风险：发生在组织实体及其活动层面；
2.战略风险：发生在组织的战略或业务计划制定不够周密时；
3.合规风险：发生不符合法律法规要求的情形时；
4.运营风险：分为与组织的程序和措施有关的7个分类别。
仅供参考：
1.组织风险
实体层面的风险可以是外来的也可以是内部存在的。外来因素包括技术、竞争以及法律环境；内部因素包括安保、信息系统、收发货物遗失、人员能力和责任变化等方面。
活动层面的风险对个人和部门发生影响，包括在系统中输入信息或材料时的疏漏；收发货记录遗失；安保控制松懈；缺少熟练技术人员以及员工的疏忽大意等。如果在组织的各个环节活动层面的风险不断，最后势必形成实体层面的风险。
2.战略风险
战略风险指的是因执行一项不成功的商业计划或战略而可能发生的损失。其原因可能是由于做了糟糕的业务决策、执行决定不力、资源不足或者是因为业务环境发生了变化而未及时进行调整。
3.合规风险
合规风险是与法律法规要求有关的风险。环境、健康和安全要求一直是人们关注的问题，因为一旦这些方面出现问题，轻则罚款，重则停业甚至追究刑事责任都是可能出现的后果。遵守质量和环境方面的标准和规范也在这个范畴之内。
环境风险包括液体危险品遗撒、危险气体排放以及固态废弃物的不当处理，包括的情况还可能有以下情形：
采购部将从国内采购改为向国外供应商采购；
负责环境的关键管理人员离岗未及时替补；
引入新的物料却未编制有关的安全管控记录。
4.运营风险
运营的风险可以具体从以下7个方面说明：
（1）管理体系风险
由于制定的战略、制度规定和工具、数据处理、呼叫（电话）中心、合同管理、设计与开发等层面的效率低下，都可能造成管理体系的效率低下。比如说，一个重度依赖外包的供应链，可能有很大风险。
管理体系的其他风险包括不正确的收入确定；违反国家安全规定；不符合环境法规以及萨班斯-奥克斯利法案（美国的一部涉及会计职业监管、公司治理、证券市场监管方面的重要法律）的要求。这些行为将可能导致罚款、停业甚至追究刑责的后果。为了降低此类风险，组织的最高管理层以及董事会必须对管理体系有透彻的了解，并努力提高其有效性。如果人力资源管理制度、各种管理工具、数据处理、呼叫（电话）中心、营销活动、合同管理、顾客沟通、设计和开发等活动效率低下，则组织的管理体系必受其累。
总而言之，组织的最高管理层和董事会要了解自身的管理体系并不断提高其有效性。
（2）顾客满意风险
顾客沟通、送货、产品本身、设计维修以及对顾客反馈的回应方式都会影响顾客满意风险。为降低此类风险，宜将相关的产品质量数据、产品和过程监控数据以及供应商供货质量等数据也一并纳入分析过程。
（3）供应链风险
采购经理必须对外购产品和服务、独家供应商、送货时间库存管理以及文档管理等保持关注。信息沟通是确保供应链有效运行的关键。用来管理供应链风险的数值包括送货时间、库存水平及成本等。
（4） 收入确认风险对利润的影响
对此类风险的管理包括追踪产品从生产、销售到发货以及应收账款的全过程。收入的确认受到诸如应付款、应收账、交付前货值记录、现金报价错误、计算表错误以及价格信息不完整等原因影响。
质量经理在控制收入确认过程的有效性方面负有重要责任。质量体系和财务管理体系在此有交集，涉及产品实现、成本、销售、开发票、付款、库存管理以及发货等过程。发货信息是对应收账款和收入确认的直接输入。对于许多公司来说，收入确认对其收入有着直接影响，甚至可能影响其股票价格。
由于不正确的收入确认，还可能出现背离事实的虚假声明的风险。审核员宜对已建立的用以检查收入确认中问题的控制措施进行测试。
（5）信息安全风险
信息安全风险的情况包括病毒、未加防范的文件、不正确的财务记录和报告、糟糕的修改控制、信息检索错误、数据表格滥用、临时工和咨询师的使用、新技术的引入以及遭遇工业间谍和欺诈行为等现象。
ISO/IEC27001：2005《信息技术安全技术信息安全管理体系要求》包括了建立、实施、运营、监视、评价、维护并提高信息安全管理的要求。
（6）物流风险
当今组织关注的一个风险问题是与国家安全威胁因素相关的。运输过程可能由于需要检查是否藏有大规模杀伤性武器而拖慢。
如何筛查、识别、并追踪从货源地到购买方组织的全过程一直是个难点。以下因素影响物流风险：
原材料和成品的运输；
运输中的货损；
途中延误造成的无法按期交货；
运输延误造成的原材料库存不足；
国家安全信息上报要求。
有必要开发出新的工具以减少筛查和追踪等必须过程对供应链的干扰。总之，产品生产完成后，送到顾客手中之前，上述各种问题都可能出现，组织应该有所准备。
（7） 自然灾害风险
过去几年间，我们这个星球上自然灾害频发。业务连续性要求对应保护的存储信息进行安全保障，并对灾后复原进行策划。
信息技术在业务连续性中扮演着重要角色，宜专门设计相关的信息技术程序，以确保业务连续性运行的及时性和有效性。组织的业务连续性开发团队中不可缺少负责信息技术的成员。
信息技术部门必须提供可将信息妥善有效存储的保护措施，并对各种灾害进行管理、防范并提供安全保护措施。可采用的方法包括信息的定期复制，并将备份信息存储于安全的另外一个地点。并且，宜对存放在该地点的数据进行定期测试，以确保其正确无误。

ISO/IEC27001标准提供了业务连续性的管理控制措施，以下是业务连续性计划（BCP）的相关因素：
业务风险及影响分析；
灾害事件初始反应活动；
紧急事件和业务恢复过程管理程序；
各层级培训计划；
保持业务连续性计划及时更新的程序。

业务连续性计划宜定期演练，组织可以用以下问题进行BCP的自查：
是否已制定确保信息连续性的书面计划？
上述计划是否每年进行更新和检验？
何时对计算机硬件、软件或应用系统进行过重要的调整或改变？
是否对用以备份的介质进行了定期测试？
是否对应用程序、应用数据和运行系统软件进行了定期备份？
是否将该计划和信息进行了异地备份？

风险分析方法
一个组织在风险分析方面最先要做的事情就是明确组织能够承担哪种类型的风险（风险偏好）以及风险的承受能力，使组织的所有成员了解组织的“风险观”。这一点确定后，可采用一些工具或方法以确定风险等级并对识别出的风险进行管理。关键工具之一就是组织的控制措施。对于与萨班斯-奥克斯利法案相关的内容来说，组织的控制措施尤其重要。不仅在组织层面的财务控制要合规，活动层面的财务控制也要合规。

风险偏好和风险承受能力
风险偏好是从大的角度来看一个组织所愿意承受的风险总量，即承受风险所能带来的利益与抵消风险的代价的比较。正如特雷得韦委员会（反欺诈财务报告委员会）的赞助委员会所指出的，这是建立控制措施的主要切入点。在风险评估中，对于超出风险偏好的情况，应该得出采取预防措施的结论。
明确风险偏好有助于决定如何根据识别出的风险进行资金分配。加深对其了解有助于更有效地进行管理。风险偏好与承担风险的能力之间可有函数关系。为维持组织的信用评级或达到监管资金要求所需的资金存量往往是制约风险偏好的因素。
相对风险偏好来说，风险承受能力与组织的特定目标相关，它是一个实体所愿意承受的与实现其目标有关的各种变化的总和。一个组织中，对不同风险的承受能力不同。
风险偏好是一个较广的组织层面的概念，而风险承受能力往往关注点更集中。一个组织对其不同业务可有不同的风险承受能力，但是当这些不同的风险承受能力进行叠加的时候，它们不能超出最高管理层和董事会确定的风险偏好。

采取控制措施
对风险进行管理的一种重要的工具是组织建立的一整套控制措施。对于萨班斯-奥克斯利法案的合规要求来说，控制尤其重要。在该法规的合规审核过程中，审核员非常重视对控制措施的测试。财务和质量的控制分两个层级，即实体层面和活动层面，且在ISO9001和ISO14001标准中，质量控制是以“应”语句出现的，这种“应”语句通常伴随着提交数据的要求。一些过程绩效要求也会包括对结果的记录，这些记录可用来识别迫切的风险。
实体层级的控制措施包括：人力资源政策、行为准则、沟通策略、会计原则、管理层的风险评估过程、组织结构和合同评审。
在ISO9001：2015中，合同评审的要求和质量要求是相互关联的，参见条款8.2.3与产品和服务有关要求的评审。
活动层面的控制措施包括进行总账与明细分类账的对账分析、数据的自动验证和编辑性检查、限制保密信息的获取、在录入前对交易进行编号、在输入系统前对纸面信息进行审查和批准等方式。
活动层面的质量控制措施包括生产控制（8.6.1条款）、成文信息—不合格产品和服务的纠正（8.8条款）以及识别重要环境因素（ISO 14001：2004条款4.3.1）。
风险和预防措施
有效的风险评估活动包括：
明确组织的可测量目标；
确保上述目标的兼容性；
识别实现目标的风险；
判断关键风险———可采用风险分析矩阵确定风险的关键程度；
采用风险管理工具来降解风险，比如目标—风险———控制措施———调节法（ORCA法）、ISO9001的改进过程、失效模式和有效性分析（FMEA)以及风险控制矩阵。

2. iso9001内审是由哪个部门申请

ISO9001是一个国际品质管理体系的标准，在该标准中并没有明确对体系的内审是由谁去做。首先，纠正一个问题，其实不是对ISO9001的内审，是对组织（企业等）的品质管理体系进行内审，哪为什么要内审呢？因为组织（企业等）出于某种目的，依据ISO9001标准建立了品质管理体系，并且得到了第三方的认证（资格），而ISO9001标准要求，组织必须实施品质管理体系的内审。下面回答由哪个部门去做这个问题，刚才已经说了，ISO9001标准中并没有规定由哪个部门去做，但是有要求要任命管理者代表，管理者代表的其中一项职责，就是组织内审。但是，通常在企业中，担当管理者代表的人往往难以发挥其作用。为什么呢？通常担当该职的人员，要么位高权重（副总级），这样便于业务展开（能够调动资源），但是往往无法具备应有的专业素养，最终只是流于形式。另一种情况，担当者为部门经理，好处是能够具备一定的专业素养，弊端是和其他部门平级，如果企业整体素质不高，难以获取资源。而内审在ISO9001标准中，由管理者代表负责的，但是具体的事情肯定由管理者代表向实施部门发出指示。如果是由部门经理担当管理者代表，为了便于业务的展开，一般往往就落到了管理者代表的所属部门，如：很多企业由品质领域的负责人担当，品质管理体系就由品质领域的部门统筹管理。如果管理者代表是有凌驾于各部门之上的人员担当，一般有两种结果：专门有负责体系管理的部门或组织；另一种还是由品质部门负责具体事务。以上的回答只是从资源职责等的合理性进行的回答。但从标准上讲，企业中任何一个部门去做，都是可以的！

3. 公司的ISO9001认证应该由公司的哪个部门负责

ISO认证由那个部门负责没有统一的规定，一般由具有全面协调能力的质管部门负责，当然高管层需指定一人担任管理者代表来领导认证工作。没有内审员可以向管理者代表汇报，送去培训，人数看企业规模大小而定。没有内审员或具有相当能力素质的人，是无法开展认证工作的，通过认证更是难。更何况后面的持续改进呢？

4. 企业搞ISO认证一般是谁ISO9000还是认证ISO9001呢

ISO是国际标准化组织的英文简称。其全称是Internationa1 Standards Organization。
      ISO9000系列标准，从1974年、2000年、2008年修改修订后，在2008年11月15日，ISO第三次正式发布了最新版本的ISO9001:2008国际标准。
    企业一般搞9001质量管理体系。整套的程序文件：组织架构和职责；管理职责；资源管理；产品实现；测量分析和改进等等 。

5. ISO9001质量管理体系证书是由哪个部门发放

是由第三方认证机构审核通过后颁发，认证机构比较多，国内认证机构，相对审核通过率高，品牌知名度较低，国际认证机构，审核严格，知名度高

6. ISO9001对于企业来说有什么实际的用处呢？

公司实施ISO9001的作用? 
1、采购控制 
帮助公司建立一套完善对供方选择和评价的方法，以合理的价格买到满意的产品。 
2．降低成本，提高质量 
以服务顾客为中心，建立完善的制度化管理体系，建立公司工作流程，提高工作效率，降低成本，持续改进企业产品质量和服务质量。 
3．顾客满意，开拓市场 
准确的识别顾客需要，并不断满足顾客需要，争取超越顾客期望和增强顾客满意，扩展顾客网络。 
4、 树立品牌企业形象 
通过ISO国际标准化认证，公司具备了满足顾客质量要求的能力，从而取得顾客的信任，扩大了企业的知名度，促进了业务的发展。 
5、 开拓国内外市场的需要 
WTO世贸组织的加入，商机已无国界，由于我国ISO9001认证已取得了国际互认，因此也就为通过认证企业的产品打入国际市场开辟了通道。现在大多数国外厂商和在国内企业进行业务洽谈时，明确要求供方要通过ISO9001认证。随着中国加入WTO，各行各业将进一步推进国际标准化进程，ISO9001认证工作会变得十分迫切。 
总之，贯彻ISO9000族标准并通过认证是企业生存发展的需要，也是顾客的要求和产品顺利进入国际市场的需要。 

质量永恒——质量是人类永恒的追求，也是公司生产的发展的基础。

7. iso9001质量管理体系认证流程，最好详细点

ISO9001质量管理体系认证流程，如以下所示：
1、前期准备工作：建立了文件化的质量管理体系；质量管理体系运行三个月以上；至少进行过一次内部质量管理体系审核与管理评审，且内审已覆盖所有的 场所和标准条款；提供质量手册及程序文件。
 2、与相关人士进行信息交流。通过人员互访、电话、传真、电子邮件等方式相互了解，确定实施认证的初步意向和可行性。
3、提交认证申请。有意向的申请组织填写《质量管理体系认证申请表》及其附件《认证信息调 查表》，认证公司进行评审通过后，将与申请组织进一步联系，必要时进行现场访问， 了解受审核方的基本情况和质量管理体系的建立与实施情况， 并作出书面报价。
4、签订合同。在获得申请组织明确的合同签定意向并通过了合同评审后，双方签订《质量 管理体系认证服务合同》 ， 认证公司将指定审核组长自合同生效日起负责审核活动的开展与实施。
5、进入第一阶段审核（预评审）。受审核方将正式发布的质量管理体系手册、程序文件送交认证公司，由审核 组长根据认证要求在组织现场进行文件审查，并将审查结果书面告知受审核方。 如有不符合处，受审核方应作修改直至满足相应要求为止。 
7、进入第二阶段审核（现场审核）。审核组将按照认证计划实施现场审核。审核要求覆盖申请认证全部范围并符 合 ISO9001 质量管理体系标准的全部要求。以抽样审核的方式进行。第二阶段 审核将开出不符合项，并要求实施纠正。现场审核将给出书面的审核报告，宣布现场审核结果，告知是否予以推荐注册。
8、进入发证后的监督（监督审核）。在证书有效期内安排3次监督审核。第一次监督审核在 6-9 个月内进行(从初审完成日期计算)，以后每一次不超过 12 个月，基本程序参照初次现场审核进行。根据监督审核结果，认证公司将作出保持、扩大、缩小、暂停、注消认证的决定。
9、进入复评（换证审核）。认证证书有效期届满时， 获证方至少应提前 3 个月向认证公司提出复评申请， 复评合格后，换发新证书，复评程序与认证程序一致。复评可与有效期内的最后一次监督审核结合进行。 

扩展资料ISO9001质量管理体系是被全球认可的质量管理体系标准。ISO9001是国际标准化组织融合现代管理学最新的理念精华，推出的最新质量管理体系标准，更加适用于各种类型、各种行业的组织。
ISO9001为组织提供了一种切实可行的的方法，以体系化模式来管理组织的质量活动，并将“以顾客为中心”的理念贯穿到标准的每一元素中去，使产品或服务可持续地符合顾客的期望，从而拥有持续满意的顾客。
参考资料百度百科：ISO9001

8. ISO9001质量管理体系的具体内容是啥？

ISO质量管理体系具体内容有：\x0d\x0a1.范围\x0d\x0a2.规范性引用文件\x0d\x0a3.术语和定义\x0d\x0a4.质量管理体系\x0d\x0a5.管理职责\x0d\x0a6.资源管理\x0d\x0a7.产品实现\x0d\x0a8.测量分析和改进\x0d\x0aISO9000质量管理体系是由国际标准化组织（ISO）制定,该组织是世界上最主要的非政府间国际标准化机构，成立于二次世界大战以后，总部位于瑞士日内瓦。该组织成立的目的是在世界范围内促进标准化及有关工作的发展，以利于国际贸易的交流和服务，并发展在知识、科学、技术和经济活动中的合作，以促进产品和服务贸易的全球化。ISO组织制定的各项国际标准是在全球范围内得到该组织的100多个成员国家和地区的认可。