我们上一期介绍了如何在内控体系中开展风险识别,这一期继续谈谈风险识别后的下一步——风险评估。
在风险识别之后,风险评估是确定风险优先级和制定应对措施的关键步骤。它通过分析风险发生的可能性和潜在影响,帮助企业合理分配资源。以下是风险评估的具体步骤和方法:
一、风险评估的核心目标
风险评估的核心目标是“量化风险”,通过系统化的方法将风险的不确定性转化为可衡量的指标。可衡量的指标主要是风险发生的概率,以及发生后可能造成的损失或后果。综合二者后对风险事件进行风险等级排序,确定风险优先级,为后续的风险应对策略提供依据。
二、风险评估的具体步骤
完整的评估过程需要遵循严谨的逻辑框架,涵盖从前期准备到动态更新的全生命周期管理。以下从五个核心阶段展开详细说明。
1.确定评估标准
风险评估的起点是明确评估的边界与目标。企业首先需要确定评估对象的范围,是针对特定项目、业务线还是全公司。这一阶段要明确风险类别(如战略、财务、操作风险)、时间跨度(短期项目风险或长期战略风险)及利益相关方(如管理层、技术团队、外部审计机构)。
制定评估标准是准备阶段的关键任务。企业需要定义风险可能性与影响的分级体系,可以是定性的等级划分,也可以时定量的数值划分。同时,建立风险等级计算公式来统一评估标准。此阶段的难点在于平衡主观判断与客观数据,如果缺乏历史数据可以通过德尔菲法或情景分析法提出假设,同时明确标注假设条件,并在后续阶段验证合理性。
2.分析风险的可能性和影响
分析风险发生的可能性和影响可以采用定性或定量的方法,定性方法侧重描述性评估(如等级划分),而定量方法依赖数值计算。常用的定性方法有风险矩阵法、德尔菲法等,定量方法有预期货币价值、蒙特卡洛模拟等。
风险矩阵法是将可能性与影响分别划分为几个等级,交叉生成矩阵,确定风险等级。比如,某事件发生可能性为“中”(3)与影响程度“严重”(4)交叉对应风险值为12。
德尔菲法是通过专家匿名投票,迭代收敛至共识。例如,某企业邀请5位行业专家评估某项新技术失败的的可能性,经过三轮反馈后,综合概率评定为25%,发生概率低。
定量分析适用于数据充足的场景。预期货币价值(EMV)是计算风险事件的概率×损失/收益。比如,某公司项目有30%概率因原材料短缺导致延期,延期成本为200万元,则EMV=0.3×200=60万元。
蒙特卡洛模拟是输入变量概率分布,模拟数千次场景,输出风险分布曲线。例如,某企业通过模拟发现,某事件发生的概率为40%,平均损失利润80万元/月。
3.确定风险优先级
对上一步骤分析出的风险发生可能性与影响程度量化后相乘,可以得出综合风险值,这里我们建议生成风险矩阵。风险矩阵是一种用于风险等级评估和优先级排序的工具,通过将风险的可能性和影响进行可视化组合,以表格或网格形式呈现,将可能性与影响交叉形成风险等级分区,从而直观展示哪些风险需要优先处理。
假设我们将风险事件发生的概率分为5级(如“极低、低、中、高、极高”),影响程度也分为5级(如“轻微、中度、重大、严重、灾难性”),那么风险矩阵示意图如下:
企业可以依据自身风险承受能力自行设置各等级风险阈值,并进行优先级标识。比如,风险值≥20为红色区域,需要优先处理;风险值≤12为绿色区域,进行常规管理;剩余为黄色区域,后续重点关注。
当然,数值并非是风险优先级排序的唯一标准,还可以结合企业的业务背景、业务战略、资源约束情况等进行调整。风险优先级的核心在于识别“哪些风险的减轻能为企业带来最大价值”,从而指导企业将有限事的资源精准投入关键领域,实现风险管理的成本效益最大化。比如金融机构可能对合规类风险更为敏感,即使分值属于中等,也可以赋予更高的优先级,因其可能引发巨额罚款或声誉损失;比如某新能源车企在评估“电池技术迭代延迟”与“竞争对手价格战”时,尽管前者风险值略低,但因涉及核心专利布局,管理层将其优先级提升至首位,此类决策需要管理层参与,确保风险应对与长期愿景一致。
优先级不是固定不变的,需要定期复审,结合新数据或环境变化更新排序。比如某电商在“双十一”前将“服务器崩溃”风险优先级调至最高,但活动结束后恢复常态。
需要注意的是,确定风险优先级要达成利益相关者共识,通过跨部门会议沟通,避免单一视角偏差。例如,法务部门可能强调诉讼风险,而销售部门更关注客户流失风险,需要通过数据对比调和分歧。在资源有限时,企业应当聚焦于“高风险且可干预”的领域。
4.评估现有控制措施
在风险评估中,评估现有控制措施是验证已实施策略的有效性并量化剩余风险的关键环节。此步骤的核心目标是系统性审查当前已部署的风险缓解措施,分析其对降低风险发生可能性或减轻后果严重程度的实际效果,进而计算未被完全消除的剩余风险值,为后续决策提供依据。
我们首先要全面梳理已采取的风险控制措施,通常措施分为三类:
(1)预防性措施:旨在降低风险发生的可能性,例如制造业通过设备冗余设计减少故障概率,金融业通过多重身份验证防范账户盗用;
(2)缓解性措施:旨在减少风险发生后的影响,例如企业购买保险转移财务损失,医院建立应急电源防止手术中断。
(3)恢复性措施:用于风险发生后快速恢复,例如数据备份。
其次通过数据或模拟手段评估控制措施对风险可能性和影响的削弱程度。若某措施理论上可降低风险概率50%,但实际执行中因人为疏忽未达到,则需修正有效性系数。比如某物流企业通过路径优化系统将运输延误概率从20%降至12%,实际有效性系数为0.6(12%/20%)。若量化措施对企业损失金额或业务中断时间的有效缩减,则影响程度也相应降低。例如,某数据中心部署备份后,数据丢失导致的停工时间从72小时缩短至24小时,影响程度从“灾难性”(5级)降至“严重”(4级),实际有效性系数为0.8(4/5)。
最后进行剩余风险的计算与分级。剩余风险是原始风险值扣除控制措施效果后的残余部分,剩余风险值的计算有以下两种主流方法,可根据数据可得性选择适用模型:
定性评估法(基于等级调整)
剩余风险值=原风险等级×控制措施有效性系数(原风险等级为可能性等级与影响等级的乘积)。
示例:某数据泄露风险原等级为12(3*4),现有加密技术控制风险,其有效性为70%,则剩余风险值=12×0.7=8.4。
定量模型法(基于概率与影响拆分)
剩余风险值=(控制措施降低后的风险发生概率*控制措施降低后的风险影响程度)或(控制风险后的可能性*影响等级)。
示例:某设备故障原可能性20%,影响500万元。安装冗余部件后,故障可能性降至8%,影响降至200万元,则剩余风险值=8%×200万=16万。
需要注意的是有效性系数存在局限性,若控制措施仅部分有效时需要单独评估剩余风险的严重性。假设某系统漏洞修复率为90%,但未修复的10%漏洞可能导致100%系统崩溃,此时有效性系数为0%,因为剩余风险不可接受。但当多种控制措施并行时,需要计算综合有效性:[综合有效性=1−(1-有效系数1)*(1-有效系数2)*...n],假设某风险同时使用控制措施A和B,A的有效性90%,B的有效性80%,则综合有效性=1 - (1-0.9)×(1-0.8)=98%。
5.记录并沟通结果
风险评估的最终成果需要通过系统化的记录与沟通转化为可执行的行动指南。这一步骤不仅是风险管理的闭环,更是推动组织协同应对风险的核心环节。
(1)编制书面报告,结构化呈现风险信息
书面报告是风险评估的最终交付物,要兼顾专业性与可读性,通常包含以下核心模块:
①风险概述
风险清单:按优先级排序,列出所有已识别的风险,包括编号、名称、风险值(如风险矩阵评分)、等级(高/中/低)
风险描述:对每个风险进行简明定义,包括触发因素、潜在后果及关联性
②风险分析结果
风险矩阵图:以可视化表格展示风险的可能性、影响及等级分布,标注高风险区域。
剩余风险表:列出现有控制措施后的剩余风险值及容忍度对比(示意)
③应对建议
策略选择:针对每个风险提出具体行动方案(如规避、减轻、转移、接受)
责任分配:明确执行主体与时间节点,形成任务清单(示意)
④附录与支持数据
原始数据来源:引用风险评估中使用的历史数据、模型参数
工具输出:附上风险矩阵图、敏感性分析图表等,增强报告可信度
(2)分层传递信息,达成共识
书面报告完成后,通过多维度沟通方式将结果传递给相关方,确保管理层、执行团队与外部利益相关者各取所需。信息传递的终极目标是推动相关方对风险评估结果与应对策略达成共识,避免“纸上谈兵”。可以通过签署责任书的方式,要求部门负责人签署风险应对承诺,明确资源投入与时间节点,同时将风险管控纳入考核。
