我們上一期介紹了如何在內(nèi)控體系中開展風(fēng)險識別���,這一期繼續(xù)談?wù)勶L(fēng)險識別后的下一步——風(fēng)險評估�����。
在風(fēng)險識別之后,風(fēng)險評估是確定風(fēng)險優(yōu)先級和制定應(yīng)對措施的關(guān)鍵步驟����。它通過分析風(fēng)險發(fā)生的可能性和潛在影響,幫助企業(yè)合理分配資源���。以下是風(fēng)險評估的具體步驟和方法:
一、風(fēng)險評估的核心目標(biāo)
風(fēng)險評估的核心目標(biāo)是“量化風(fēng)險”���,通過系統(tǒng)化的方法將風(fēng)險的不確定性轉(zhuǎn)化為可衡量的指標(biāo)?�?珊饬康闹笜?biāo)主要是風(fēng)險發(fā)生的概率���,以及發(fā)生后可能造成的損失或后果�。綜合二者后對風(fēng)險事件進行風(fēng)險等級排序,確定風(fēng)險優(yōu)先級�����,為后續(xù)的風(fēng)險應(yīng)對策略提供依據(jù)��。
二��、風(fēng)險評估的具體步驟
完整的評估過程需要遵循嚴(yán)謹(jǐn)?shù)倪壿嬁蚣埽w從前期準(zhǔn)備到動態(tài)更新的全生命周期管理��。以下從五個核心階段展開詳細說明���。
1.確定評估標(biāo)準(zhǔn)
風(fēng)險評估的起點是明確評估的邊界與目標(biāo)����。企業(yè)首先需要確定評估對象的范圍,是針對特定項目�、業(yè)務(wù)線還是全公司�����。這一階段要明確風(fēng)險類別(如戰(zhàn)略、財務(wù)����、操作風(fēng)險)、時間跨度(短期項目風(fēng)險或長期戰(zhàn)略風(fēng)險)及利益相關(guān)方(如管理層、技術(shù)團隊、外部審計機構(gòu))�。
制定評估標(biāo)準(zhǔn)是準(zhǔn)備階段的關(guān)鍵任務(wù)�����。企業(yè)需要定義風(fēng)險可能性與影響的分級體系,可以是定性的等級劃分,也可以時定量的數(shù)值劃分。同時��,建立風(fēng)險等級計算公式來統(tǒng)一評估標(biāo)準(zhǔn)�����。此階段的難點在于平衡主觀判斷與客觀數(shù)據(jù)���,如果缺乏歷史數(shù)據(jù)可以通過德爾菲法或情景分析法提出假設(shè)�����,同時明確標(biāo)注假設(shè)條件���,并在后續(xù)階段驗證合理性���。
2.分析風(fēng)險的可能性和影響
分析風(fēng)險發(fā)生的可能性和影響可以采用定性或定量的方法���,定性方法側(cè)重描述性評估(如等級劃分)�����,而定量方法依賴數(shù)值計算。常用的定性方法有風(fēng)險矩陣法��、德爾菲法等�����,定量方法有預(yù)期貨幣價值、蒙特卡洛模擬等��。
風(fēng)險矩陣法是將可能性與影響分別劃分為幾個等級���,交叉生成矩陣�����,確定風(fēng)險等級�����。比如,某事件發(fā)生可能性為“中”(3)與影響程度“嚴(yán)重”(4)交叉對應(yīng)風(fēng)險值為12。
德爾菲法是通過專家匿名投票���,迭代收斂至共識。例如,某企業(yè)邀請5位行業(yè)專家評估某項新技術(shù)失敗的的可能性,經(jīng)過三輪反饋后,綜合概率評定為25%�����,發(fā)生概率低���。
定量分析適用于數(shù)據(jù)充足的場景����。預(yù)期貨幣價值(EMV)是計算風(fēng)險事件的概率×損失/收益。比如�,某公司項目有30%概率因原材料短缺導(dǎo)致延期�,延期成本為200萬元����,則EMV=0.3×200=60萬元�����。
蒙特卡洛模擬是輸入變量概率分布�����,模擬數(shù)千次場景,輸出風(fēng)險分布曲線����。例如���,某企業(yè)通過模擬發(fā)現(xiàn)�����,某事件發(fā)生的概率為40%,平均損失利潤80萬元/月��。
3.確定風(fēng)險優(yōu)先級
對上一步驟分析出的風(fēng)險發(fā)生可能性與影響程度量化后相乘,可以得出綜合風(fēng)險值�,這里我們建議生成風(fēng)險矩陣����。風(fēng)險矩陣是一種用于風(fēng)險等級評估和優(yōu)先級排序的工具�����,通過將風(fēng)險的可能性和影響進行可視化組合����,以表格或網(wǎng)格形式呈現(xiàn)����,將可能性與影響交叉形成風(fēng)險等級分區(qū)�,從而直觀展示哪些風(fēng)險需要優(yōu)先處理。
假設(shè)我們將風(fēng)險事件發(fā)生的概率分為5級(如“極低���、低、中���、高、極高”)����,影響程度也分為5級(如“輕微����、中度���、重大����、嚴(yán)重、災(zāi)難性”)���,那么風(fēng)險矩陣示意圖如下:
|
|
輕微(1)
|
中度(2)
|
重大(3)
|
嚴(yán)重(4)
|
災(zāi)難性(5)
|
|
極高(5)
|
中風(fēng)險(5)
|
高風(fēng)險(10)
|
高風(fēng)險(15)
|
災(zāi)難性風(fēng)險(20)
|
災(zāi)難性風(fēng)險(25)
|
|
高(4)
|
低風(fēng)險(4)
|
中風(fēng)險(8)
|
高風(fēng)險(12)
|
極高風(fēng)險(16)
|
災(zāi)難性風(fēng)險(20)
|
|
中(3)
|
低風(fēng)險(3)
|
中風(fēng)險(6)
|
中高風(fēng)險(9)
|
高風(fēng)險(12)
|
高風(fēng)險(15)
|
|
低(2)
|
低風(fēng)險(2)
|
低風(fēng)險(4)
|
中風(fēng)險(6)
|
高風(fēng)險(8)
|
高風(fēng)險(10)
|
|
極低(1)
|
低風(fēng)險(1)
|
低風(fēng)險(2)
|
低風(fēng)險(3)
|
中風(fēng)險(4)
|
高風(fēng)險(5)
|
企業(yè)可以依據(jù)自身風(fēng)險承受能力自行設(shè)置各等級風(fēng)險閾值,并進行優(yōu)先級標(biāo)識���。比如,風(fēng)險值≥20為紅色區(qū)域�����,需要優(yōu)先處理�;風(fēng)險值≤12為綠色區(qū)域���,進行常規(guī)管理��;剩余為黃色區(qū)域�,后續(xù)重點關(guān)注���。
當(dāng)然�����,數(shù)值并非是風(fēng)險優(yōu)先級排序的唯一標(biāo)準(zhǔn)���,還可以結(jié)合企業(yè)的業(yè)務(wù)背景�、業(yè)務(wù)戰(zhàn)略����、資源約束情況等進行調(diào)整。風(fēng)險優(yōu)先級的核心在于識別“哪些風(fēng)險的減輕能為企業(yè)帶來最大價值”,從而指導(dǎo)企業(yè)將有限事的資源精準(zhǔn)投入關(guān)鍵領(lǐng)域,實現(xiàn)風(fēng)險管理的成本效益最大化�����。比如金融機構(gòu)可能對合規(guī)類風(fēng)險更為敏感����,即使分值屬于中等,也可以賦予更高的優(yōu)先級,因其可能引發(fā)巨額罰款或聲譽損失�����;比如某新能源車企在評估“電池技術(shù)迭代延遲”與“競爭對手價格戰(zhàn)”時,盡管前者風(fēng)險值略低����,但因涉及核心專利布局,管理層將其優(yōu)先級提升至首位,此類決策需要管理層參與,確保風(fēng)險應(yīng)對與長期愿景一致��。
優(yōu)先級不是固定不變的�����,需要定期復(fù)審��,結(jié)合新數(shù)據(jù)或環(huán)境變化更新排序。比如某電商在“雙十一”前將“服務(wù)器崩潰”風(fēng)險優(yōu)先級調(diào)至最高,但活動結(jié)束后恢復(fù)常態(tài)���。
需要注意的是,確定風(fēng)險優(yōu)先級要達成利益相關(guān)者共識,通過跨部門會議溝通���,避免單一視角偏差。例如,法務(wù)部門可能強調(diào)訴訟風(fēng)險�����,而銷售部門更關(guān)注客戶流失風(fēng)險���,需要通過數(shù)據(jù)對比調(diào)和分歧����。在資源有限時,企業(yè)應(yīng)當(dāng)聚焦于“高風(fēng)險且可干預(yù)”的領(lǐng)域。
4.評估現(xiàn)有控制措施
在風(fēng)險評估中,評估現(xiàn)有控制措施是驗證已實施策略的有效性并量化剩余風(fēng)險的關(guān)鍵環(huán)節(jié)����。此步驟的核心目標(biāo)是系統(tǒng)性審查當(dāng)前已部署的風(fēng)險緩解措施�,分析其對降低風(fēng)險發(fā)生可能性或減輕后果嚴(yán)重程度的實際效果�����,進而計算未被完全消除的剩余風(fēng)險值��,為后續(xù)決策提供依據(jù)�。
中天華溥管理咨詢集團咨詢服務(wù)矩陣
我們首先要全面梳理已采取的風(fēng)險控制措施,通常措施分為三類:
(1)預(yù)防性措施:旨在降低風(fēng)險發(fā)生的可能性���,例如制造業(yè)通過設(shè)備冗余設(shè)計減少故障概率,金融業(yè)通過多重身份驗證防范賬戶盜用��;
(2)緩解性措施:旨在減少風(fēng)險發(fā)生后的影響�,例如企業(yè)購買保險轉(zhuǎn)移財務(wù)損失,醫(yī)院建立應(yīng)急電源防止手術(shù)中斷�。
(3)恢復(fù)性措施:用于風(fēng)險發(fā)生后快速恢復(fù)�����,例如數(shù)據(jù)備份。
其次通過數(shù)據(jù)或模擬手段評估控制措施對風(fēng)險可能性和影響的削弱程度�。若某措施理論上可降低風(fēng)險概率50%�����,但實際執(zhí)行中因人為疏忽未達到,則需修正有效性系數(shù)���。比如某物流企業(yè)通過路徑優(yōu)化系統(tǒng)將運輸延誤概率從20%降至12%,實際有效性系數(shù)為0.6(12%/20%)���。若量化措施對企業(yè)損失金額或業(yè)務(wù)中斷時間的有效縮減,則影響程度也相應(yīng)降低����。例如��,某數(shù)據(jù)中心部署備份后,數(shù)據(jù)丟失導(dǎo)致的停工時間從72小時縮短至24小時�,影響程度從“災(zāi)難性”(5級)降至“嚴(yán)重”(4級)�,實際有效性系數(shù)為0.8(4/5)��。
最后進行剩余風(fēng)險的計算與分級���。剩余風(fēng)險是原始風(fēng)險值扣除控制措施效果后的殘余部分�,剩余風(fēng)險值的計算有以下兩種主流方法���,可根據(jù)數(shù)據(jù)可得性選擇適用模型:
定性評估法(基于等級調(diào)整)
剩余風(fēng)險值=原風(fēng)險等級×控制措施有效性系數(shù)(原風(fēng)險等級為可能性等級與影響等級的乘積)���。
示例:某數(shù)據(jù)泄露風(fēng)險原等級為12(3*4)�����,現(xiàn)有加密技術(shù)控制風(fēng)險����,其有效性為70%���,則剩余風(fēng)險值=12×0.7=8.4��。
定量模型法(基于概率與影響拆分)
剩余風(fēng)險值=(控制措施降低后的風(fēng)險發(fā)生概率*控制措施降低后的風(fēng)險影響程度)或(控制風(fēng)險后的可能性*影響等級)��。
示例:某設(shè)備故障原可能性20%,影響500萬元�。安裝冗余部件后�����,故障可能性降至8%,影響降至200萬元��,則剩余風(fēng)險值=8%×200萬=16萬��。
需要注意的是有效性系數(shù)存在局限性�,若控制措施僅部分有效時需要單獨評估剩余風(fēng)險的嚴(yán)重性����。假設(shè)某系統(tǒng)漏洞修復(fù)率為90%,但未修復(fù)的10%漏洞可能導(dǎo)致100%系統(tǒng)崩潰����,此時有效性系數(shù)為0%,因為剩余風(fēng)險不可接受。但當(dāng)多種控制措施并行時����,需要計算綜合有效性:[綜合有效性=1?(1-有效系數(shù)1)*(1-有效系數(shù)2)*...n]����,假設(shè)某風(fēng)險同時使用控制措施A和B��,A的有效性90%����,B的有效性80%���,則綜合有效性=1 - (1-0.9)×(1-0.8)=98%�����。
5.記錄并溝通結(jié)果
風(fēng)險評估的最終成果需要通過系統(tǒng)化的記錄與溝通轉(zhuǎn)化為可執(zhí)行的行動指南����。這一步驟不僅是風(fēng)險管理的閉環(huán)��,更是推動組織協(xié)同應(yīng)對風(fēng)險的核心環(huán)節(jié)�。
(1)編制書面報告���,結(jié)構(gòu)化呈現(xiàn)風(fēng)險信息
書面報告是風(fēng)險評估的最終交付物��,要兼顧專業(yè)性與可讀性�,通常包含以下核心模塊:
①風(fēng)險概述
風(fēng)險清單:按優(yōu)先級排序��,列出所有已識別的風(fēng)險,包括編號�����、名稱�、風(fēng)險值(如風(fēng)險矩陣評分)、等級(高/中/低)
|
風(fēng)險ID
|
風(fēng)險名稱
|
可能性
|
影響程度
|
風(fēng)險值
|
等級
|
|
MR001
|
供應(yīng)鏈中斷
|
高
|
災(zāi)難
|
25
|
災(zāi)難性風(fēng)險
|
|
MR002
|
數(shù)據(jù)泄露
|
中
|
嚴(yán)重
|
18
|
高風(fēng)險
|
風(fēng)險描述:對每個風(fēng)險進行簡明定義���,包括觸發(fā)因素�����、潛在后果及關(guān)聯(lián)性
②風(fēng)險分析結(jié)果
風(fēng)險矩陣圖:以可視化表格展示風(fēng)險的可能性、影響及等級分布,標(biāo)注高風(fēng)險區(qū)域。
剩余風(fēng)險表:列出現(xiàn)有控制措施后的剩余風(fēng)險值及容忍度對比(示意)
|
風(fēng)險ID
|
原風(fēng)險值
|
控制措施有效性
|
剩余風(fēng)險值
|
容忍度閾值
|
結(jié)論
|
|
MR001
|
25
|
70%
|
7.5
|
≤10
|
可接受
|
③應(yīng)對建議
策略選擇:針對每個風(fēng)險提出具體行動方案(如規(guī)避�����、減輕����、轉(zhuǎn)移、接受)
責(zé)任分配:明確執(zhí)行主體與時間節(jié)點,形成任務(wù)清單(示意)
|
風(fēng)險ID
|
風(fēng)險名稱
|
應(yīng)對措施
|
負(fù)責(zé)人
|
截止日期
|
資源需求
|
|
MR001
|
供應(yīng)鏈中斷
|
增加供應(yīng)商
|
XX
|
XXXX
|
50萬預(yù)算
|
④附錄與支持?jǐn)?shù)據(jù)
原始數(shù)據(jù)來源:引用風(fēng)險評估中使用的歷史數(shù)據(jù)�、模型參數(shù)
工具輸出:附上風(fēng)險矩陣圖���、敏感性分析圖表等����,增強報告可信度
(2)分層傳遞信息�����,達成共識
書面報告完成后���,通過多維度溝通方式將結(jié)果傳遞給相關(guān)方,確保管理層���、執(zhí)行團隊與外部利益相關(guān)者各取所需。信息傳遞的終極目標(biāo)是推動相關(guān)方對風(fēng)險評估結(jié)果與應(yīng)對策略達成共識����,避免“紙上談兵”�����。可以通過簽署責(zé)任書的方式����,要求部門負(fù)責(zé)人簽署風(fēng)險應(yīng)對承諾��,明確資源投入與時間節(jié)點,同時將風(fēng)險管控納入考核����。
當(dāng)前位置:新聞中心>HR動態(tài)>在內(nèi)控體系建設(shè)中如何開展風(fēng)險評估工作