我們上一期介紹了如何在內(nèi)控體系中開展風險識別�����,這一期繼續(xù)談?wù)勶L險識別后的下一步——風險評估。
在風險識別之后�����,風險評估是確定風險優(yōu)先級和制定應(yīng)對措施的關(guān)鍵步驟�。它通過分析風險發(fā)生的可能性和潛在影響���,幫助企業(yè)合理分配資源�。以下是風險評估的具體步驟和方法:
一�����、風險評估的核心目標
風險評估的核心目標是“量化風險”�����,通過系統(tǒng)化的方法將風險的不確定性轉(zhuǎn)化為可衡量的指標����?珊饬康闹笜酥饕秋L險發(fā)生的概率�,以及發(fā)生后可能造成的損失或后果。綜合二者后對風險事件進行風險等級排序����,確定風險優(yōu)先級,為后續(xù)的風險應(yīng)對策略提供依據(jù)��。
二��、風險評估的具體步驟
完整的評估過程需要遵循嚴謹?shù)倪壿嬁蚣���,涵蓋從前期準備到動態(tài)更新的全生命周期管理�。以下從五個核心階段展開詳細說明�����。
1.確定評估標準
風險評估的起點是明確評估的邊界與目標。企業(yè)首先需要確定評估對象的范圍���,是針對特定項目��、業(yè)務(wù)線還是全公司��。這一階段要明確風險類別(如戰(zhàn)略�����、財務(wù)�、操作風險)����、時間跨度(短期項目風險或長期戰(zhàn)略風險)及利益相關(guān)方(如管理層、技術(shù)團隊��、外部審計機構(gòu))�����。
制定評估標準是準備階段的關(guān)鍵任務(wù)���。企業(yè)需要定義風險可能性與影響的分級體系�,可以是定性的等級劃分���,也可以時定量的數(shù)值劃分�����。同時��,建立風險等級計算公式來統(tǒng)一評估標準���。此階段的難點在于平衡主觀判斷與客觀數(shù)據(jù),如果缺乏歷史數(shù)據(jù)可以通過德爾菲法或情景分析法提出假設(shè)����,同時明確標注假設(shè)條件,并在后續(xù)階段驗證合理性�����。
2.分析風險的可能性和影響
分析風險發(fā)生的可能性和影響可以采用定性或定量的方法��,定性方法側(cè)重描述性評估(如等級劃分)��,而定量方法依賴數(shù)值計算����。常用的定性方法有風險矩陣法����、德爾菲法等�����,定量方法有預(yù)期貨幣價值����、蒙特卡洛模擬等。
風險矩陣法是將可能性與影響分別劃分為幾個等級�����,交叉生成矩陣���,確定風險等級�。比如���,某事件發(fā)生可能性為“中”(3)與影響程度“嚴重”(4)交叉對應(yīng)風險值為12���。
德爾菲法是通過專家匿名投票���,迭代收斂至共識。例如�����,某企業(yè)邀請5位行業(yè)專家評估某項新技術(shù)失敗的的可能性���,經(jīng)過三輪反饋后,綜合概率評定為25%�,發(fā)生概率低。
定量分析適用于數(shù)據(jù)充足的場景����。預(yù)期貨幣價值(EMV)是計算風險事件的概率×損失/收益。比如���,某公司項目有30%概率因原材料短缺導致延期�����,延期成本為200萬元�,則EMV=0.3×200=60萬元�。
蒙特卡洛模擬是輸入變量概率分布��,模擬數(shù)千次場景����,輸出風險分布曲線�����。例如���,某企業(yè)通過模擬發(fā)現(xiàn)����,某事件發(fā)生的概率為40%���,平均損失利潤80萬元/月�。
3.確定風險優(yōu)先級
對上一步驟分析出的風險發(fā)生可能性與影響程度量化后相乘���,可以得出綜合風險值�,這里我們建議生成風險矩陣��。風險矩陣是一種用于風險等級評估和優(yōu)先級排序的工具��,通過將風險的可能性和影響進行可視化組合,以表格或網(wǎng)格形式呈現(xiàn)�����,將可能性與影響交叉形成風險等級分區(qū)���,從而直觀展示哪些風險需要優(yōu)先處理���。
假設(shè)我們將風險事件發(fā)生的概率分為5級(如“極低�����、低����、中、高�、極高”),影響程度也分為5級(如“輕微�、中度、重大�����、嚴重、災(zāi)難性”)�����,那么風險矩陣示意圖如下:
|
|
輕微(1)
|
中度(2)
|
重大(3)
|
嚴重(4)
|
災(zāi)難性(5)
|
|
極高(5)
|
中風險(5)
|
高風險(10)
|
高風險(15)
|
災(zāi)難性風險(20)
|
災(zāi)難性風險(25)
|
|
高(4)
|
低風險(4)
|
中風險(8)
|
高風險(12)
|
極高風險(16)
|
災(zāi)難性風險(20)
|
|
中(3)
|
低風險(3)
|
中風險(6)
|
中高風險(9)
|
高風險(12)
|
高風險(15)
|
|
低(2)
|
低風險(2)
|
低風險(4)
|
中風險(6)
|
高風險(8)
|
高風險(10)
|
|
極低(1)
|
低風險(1)
|
低風險(2)
|
低風險(3)
|
中風險(4)
|
高風險(5)
|
企業(yè)可以依據(jù)自身風險承受能力自行設(shè)置各等級風險閾值�,并進行優(yōu)先級標識。比如���,風險值≥20為紅色區(qū)域��,需要優(yōu)先處理��;風險值≤12為綠色區(qū)域����,進行常規(guī)管理���;剩余為黃色區(qū)域�,后續(xù)重點關(guān)注�����。
當然���,數(shù)值并非是風險優(yōu)先級排序的唯一標準����,還可以結(jié)合企業(yè)的業(yè)務(wù)背景、業(yè)務(wù)戰(zhàn)略���、資源約束情況等進行調(diào)整�。風險優(yōu)先級的核心在于識別“哪些風險的減輕能為企業(yè)帶來最大價值”���,從而指導企業(yè)將有限事的資源精準投入關(guān)鍵領(lǐng)域�,實現(xiàn)風險管理的成本效益最大化���。比如金融機構(gòu)可能對合規(guī)類風險更為敏感,即使分值屬于中等��,也可以賦予更高的優(yōu)先級����,因其可能引發(fā)巨額罰款或聲譽損失;比如某新能源車企在評估“電池技術(shù)迭代延遲”與“競爭對手價格戰(zhàn)”時���,盡管前者風險值略低�����,但因涉及核心專利布局��,管理層將其優(yōu)先級提升至首位�����,此類決策需要管理層參與���,確保風險應(yīng)對與長期愿景一致���。
優(yōu)先級不是固定不變的,需要定期復(fù)審���,結(jié)合新數(shù)據(jù)或環(huán)境變化更新排序���。比如某電商在“雙十一”前將“服務(wù)器崩潰”風險優(yōu)先級調(diào)至最高,但活動結(jié)束后恢復(fù)常態(tài)����。
需要注意的是,確定風險優(yōu)先級要達成利益相關(guān)者共識,通過跨部門會議溝通�����,避免單一視角偏差��。例如��,法務(wù)部門可能強調(diào)訴訟風險��,而銷售部門更關(guān)注客戶流失風險�����,需要通過數(shù)據(jù)對比調(diào)和分歧����。在資源有限時,企業(yè)應(yīng)當聚焦于“高風險且可干預(yù)”的領(lǐng)域�����。
4.評估現(xiàn)有控制措施
在風險評估中��,評估現(xiàn)有控制措施是驗證已實施策略的有效性并量化剩余風險的關(guān)鍵環(huán)節(jié)�。此步驟的核心目標是系統(tǒng)性審查當前已部署的風險緩解措施,分析其對降低風險發(fā)生可能性或減輕后果嚴重程度的實際效果����,進而計算未被完全消除的剩余風險值,為后續(xù)決策提供依據(jù)�。
中天華溥管理咨詢集團咨詢服務(wù)矩陣
我們首先要全面梳理已采取的風險控制措施,通常措施分為三類:
(1)預(yù)防性措施:旨在降低風險發(fā)生的可能性��,例如制造業(yè)通過設(shè)備冗余設(shè)計減少故障概率�����,金融業(yè)通過多重身份驗證防范賬戶盜用��;
(2)緩解性措施:旨在減少風險發(fā)生后的影響�����,例如企業(yè)購買保險轉(zhuǎn)移財務(wù)損失��,醫(yī)院建立應(yīng)急電源防止手術(shù)中斷��。
(3)恢復(fù)性措施:用于風險發(fā)生后快速恢復(fù)��,例如數(shù)據(jù)備份��。
其次通過數(shù)據(jù)或模擬手段評估控制措施對風險可能性和影響的削弱程度。若某措施理論上可降低風險概率50%����,但實際執(zhí)行中因人為疏忽未達到,則需修正有效性系數(shù)��。比如某物流企業(yè)通過路徑優(yōu)化系統(tǒng)將運輸延誤概率從20%降至12%�,實際有效性系數(shù)為0.6(12%/20%)。若量化措施對企業(yè)損失金額或業(yè)務(wù)中斷時間的有效縮減���,則影響程度也相應(yīng)降低�����。例如��,某數(shù)據(jù)中心部署備份后�,數(shù)據(jù)丟失導致的停工時間從72小時縮短至24小時���,影響程度從“災(zāi)難性”(5級)降至“嚴重”(4級)����,實際有效性系數(shù)為0.8(4/5)����。
最后進行剩余風險的計算與分級。剩余風險是原始風險值扣除控制措施效果后的殘余部分�����,剩余風險值的計算有以下兩種主流方法�,可根據(jù)數(shù)據(jù)可得性選擇適用模型:
定性評估法(基于等級調(diào)整)
剩余風險值=原風險等級×控制措施有效性系數(shù)(原風險等級為可能性等級與影響等級的乘積)。
示例:某數(shù)據(jù)泄露風險原等級為12(3*4)���,現(xiàn)有加密技術(shù)控制風險�����,其有效性為70%�����,則剩余風險值=12×0.7=8.4��。
定量模型法(基于概率與影響拆分)
剩余風險值=(控制措施降低后的風險發(fā)生概率*控制措施降低后的風險影響程度)或(控制風險后的可能性*影響等級)�。
示例:某設(shè)備故障原可能性20%����,影響500萬元�。安裝冗余部件后�,故障可能性降至8%,影響降至200萬元����,則剩余風險值=8%×200萬=16萬。
需要注意的是有效性系數(shù)存在局限性�,若控制措施僅部分有效時需要單獨評估剩余風險的嚴重性。假設(shè)某系統(tǒng)漏洞修復(fù)率為90%��,但未修復(fù)的10%漏洞可能導致100%系統(tǒng)崩潰�����,此時有效性系數(shù)為0%�,因為剩余風險不可接受。但當多種控制措施并行時�����,需要計算綜合有效性:[綜合有效性=1−(1-有效系數(shù)1)*(1-有效系數(shù)2)*...n]��,假設(shè)某風險同時使用控制措施A和B���,A的有效性90%�����,B的有效性80%�����,則綜合有效性=1 - (1-0.9)×(1-0.8)=98%�。
5.記錄并溝通結(jié)果
風險評估的最終成果需要通過系統(tǒng)化的記錄與溝通轉(zhuǎn)化為可執(zhí)行的行動指南����。這一步驟不僅是風險管理的閉環(huán),更是推動組織協(xié)同應(yīng)對風險的核心環(huán)節(jié)�����。
(1)編制書面報告����,結(jié)構(gòu)化呈現(xiàn)風險信息
書面報告是風險評估的最終交付物,要兼顧專業(yè)性與可讀性�����,通常包含以下核心模塊:
①風險概述
風險清單:按優(yōu)先級排序����,列出所有已識別的風險�����,包括編號�����、名稱����、風險值(如風險矩陣評分)���、等級(高/中/低)
|
風險ID
|
風險名稱
|
可能性
|
影響程度
|
風險值
|
等級
|
|
MR001
|
供應(yīng)鏈中斷
|
高
|
災(zāi)難
|
25
|
災(zāi)難性風險
|
|
MR002
|
數(shù)據(jù)泄露
|
中
|
嚴重
|
18
|
高風險
|
風險描述:對每個風險進行簡明定義���,包括觸發(fā)因素、潛在后果及關(guān)聯(lián)性
②風險分析結(jié)果
風險矩陣圖:以可視化表格展示風險的可能性�、影響及等級分布,標注高風險區(qū)域���。
剩余風險表:列出現(xiàn)有控制措施后的剩余風險值及容忍度對比(示意)
|
風險ID
|
原風險值
|
控制措施有效性
|
剩余風險值
|
容忍度閾值
|
結(jié)論
|
|
MR001
|
25
|
70%
|
7.5
|
≤10
|
可接受
|
③應(yīng)對建議
策略選擇:針對每個風險提出具體行動方案(如規(guī)避�����、減輕��、轉(zhuǎn)移�、接受)
責任分配:明確執(zhí)行主體與時間節(jié)點,形成任務(wù)清單(示意)
|
風險ID
|
風險名稱
|
應(yīng)對措施
|
負責人
|
截止日期
|
資源需求
|
|
MR001
|
供應(yīng)鏈中斷
|
增加供應(yīng)商
|
XX
|
XXXX
|
50萬預(yù)算
|
④附錄與支持數(shù)據(jù)
原始數(shù)據(jù)來源:引用風險評估中使用的歷史數(shù)據(jù)����、模型參數(shù)
工具輸出:附上風險矩陣圖���、敏感性分析圖表等��,增強報告可信度
(2)分層傳遞信息���,達成共識
書面報告完成后,通過多維度溝通方式將結(jié)果傳遞給相關(guān)方����,確保管理層、執(zhí)行團隊與外部利益相關(guān)者各取所需�。信息傳遞的終極目標是推動相關(guān)方對風險評估結(jié)果與應(yīng)對策略達成共識,避免“紙上談兵”��������?梢酝ㄟ^簽署責任書的方式�,要求部門負責人簽署風險應(yīng)對承諾,明確資源投入與時間節(jié)點���,同時將風險管控納入考核�。
服務(wù)熱線
400-0473-006