我們上一期介紹了如何在內(nèi)控體系中開(kāi)展風(fēng)險(xiǎn)識(shí)別,這一期繼續(xù)談?wù)勶L(fēng)險(xiǎn)識(shí)別后的下一步——風(fēng)險(xiǎn)評(píng)估�。
在風(fēng)險(xiǎn)識(shí)別之后���,風(fēng)險(xiǎn)評(píng)估是確定風(fēng)險(xiǎn)優(yōu)先級(jí)和制定應(yīng)對(duì)措施的關(guān)鍵步驟�。它通過(guò)分析風(fēng)險(xiǎn)發(fā)生的可能性和潛在影響�����,幫助企業(yè)合理分配資源���。以下是風(fēng)險(xiǎn)評(píng)估的具體步驟和方法:
一�、風(fēng)險(xiǎn)評(píng)估的核心目標(biāo)
風(fēng)險(xiǎn)評(píng)估的核心目標(biāo)是“量化風(fēng)險(xiǎn)”��,通過(guò)系統(tǒng)化的方法將風(fēng)險(xiǎn)的不確定性轉(zhuǎn)化為可衡量的指標(biāo)��?�?珊饬康闹笜?biāo)主要是風(fēng)險(xiǎn)發(fā)生的概率���,以及發(fā)生后可能造成的損失或后果�。綜合二者后對(duì)風(fēng)險(xiǎn)事件進(jìn)行風(fēng)險(xiǎn)等級(jí)排序��,確定風(fēng)險(xiǎn)優(yōu)先級(jí)���,為后續(xù)的風(fēng)險(xiǎn)應(yīng)對(duì)策略提供依據(jù)�����。
二、風(fēng)險(xiǎn)評(píng)估的具體步驟
完整的評(píng)估過(guò)程需要遵循嚴(yán)謹(jǐn)?shù)倪壿嬁蚣?����,涵蓋從前期準(zhǔn)備到動(dòng)態(tài)更新的全生命周期管理。以下從五個(gè)核心階段展開(kāi)詳細(xì)說(shuō)明��。
1.確定評(píng)估標(biāo)準(zhǔn)
風(fēng)險(xiǎn)評(píng)估的起點(diǎn)是明確評(píng)估的邊界與目標(biāo)�。企業(yè)首先需要確定評(píng)估對(duì)象的范圍,是針對(duì)特定項(xiàng)目���、業(yè)務(wù)線還是全公司��。這一階段要明確風(fēng)險(xiǎn)類別(如戰(zhàn)略��、財(cái)務(wù)�����、操作風(fēng)險(xiǎn))�、時(shí)間跨度(短期項(xiàng)目風(fēng)險(xiǎn)或長(zhǎng)期戰(zhàn)略風(fēng)險(xiǎn))及利益相關(guān)方(如管理層�、技術(shù)團(tuán)隊(duì)、外部審計(jì)機(jī)構(gòu))��。
制定評(píng)估標(biāo)準(zhǔn)是準(zhǔn)備階段的關(guān)鍵任務(wù)���。企業(yè)需要定義風(fēng)險(xiǎn)可能性與影響的分級(jí)體系�,可以是定性的等級(jí)劃分,也可以時(shí)定量的數(shù)值劃分��。同時(shí)���,建立風(fēng)險(xiǎn)等級(jí)計(jì)算公式來(lái)統(tǒng)一評(píng)估標(biāo)準(zhǔn)�����。此階段的難點(diǎn)在于平衡主觀判斷與客觀數(shù)據(jù)�����,如果缺乏歷史數(shù)據(jù)可以通過(guò)德?tīng)柗品ɑ蚯榫胺治龇ㄌ岢黾僭O(shè)���,同時(shí)明確標(biāo)注假設(shè)條件,并在后續(xù)階段驗(yàn)證合理性���。
2.分析風(fēng)險(xiǎn)的可能性和影響
分析風(fēng)險(xiǎn)發(fā)生的可能性和影響可以采用定性或定量的方法����,定性方法側(cè)重描述性評(píng)估(如等級(jí)劃分)�����,而定量方法依賴數(shù)值計(jì)算���。常用的定性方法有風(fēng)險(xiǎn)矩陣法�����、德?tīng)柗品ǖ?����,定量方法有預(yù)期貨幣價(jià)值����、蒙特卡洛模擬等�����。
風(fēng)險(xiǎn)矩陣法是將可能性與影響分別劃分為幾個(gè)等級(jí)����,交叉生成矩陣,確定風(fēng)險(xiǎn)等級(jí)���。比如��,某事件發(fā)生可能性為“中”(3)與影響程度“嚴(yán)重”(4)交叉對(duì)應(yīng)風(fēng)險(xiǎn)值為12����。
德?tīng)柗品ㄊ峭ㄟ^(guò)專家匿名投票,迭代收斂至共識(shí)��。例如����,某企業(yè)邀請(qǐng)5位行業(yè)專家評(píng)估某項(xiàng)新技術(shù)失敗的的可能性,經(jīng)過(guò)三輪反饋后��,綜合概率評(píng)定為25%���,發(fā)生概率低��。
定量分析適用于數(shù)據(jù)充足的場(chǎng)景��。預(yù)期貨幣價(jià)值(EMV)是計(jì)算風(fēng)險(xiǎn)事件的概率×損失/收益���。比如,某公司項(xiàng)目有30%概率因原材料短缺導(dǎo)致延期����,延期成本為200萬(wàn)元����,則EMV=0.3×200=60萬(wàn)元�����。
蒙特卡洛模擬是輸入變量概率分布�����,模擬數(shù)千次場(chǎng)景�,輸出風(fēng)險(xiǎn)分布曲線�。例如,某企業(yè)通過(guò)模擬發(fā)現(xiàn)��,某事件發(fā)生的概率為40%����,平均損失利潤(rùn)80萬(wàn)元/月。
3.確定風(fēng)險(xiǎn)優(yōu)先級(jí)
對(duì)上一步驟分析出的風(fēng)險(xiǎn)發(fā)生可能性與影響程度量化后相乘�����,可以得出綜合風(fēng)險(xiǎn)值�����,這里我們建議生成風(fēng)險(xiǎn)矩陣。風(fēng)險(xiǎn)矩陣是一種用于風(fēng)險(xiǎn)等級(jí)評(píng)估和優(yōu)先級(jí)排序的工具��,通過(guò)將風(fēng)險(xiǎn)的可能性和影響進(jìn)行可視化組合����,以表格或網(wǎng)格形式呈現(xiàn),將可能性與影響交叉形成風(fēng)險(xiǎn)等級(jí)分區(qū)����,從而直觀展示哪些風(fēng)險(xiǎn)需要優(yōu)先處理。
假設(shè)我們將風(fēng)險(xiǎn)事件發(fā)生的概率分為5級(jí)(如“極低���、低�����、中��、高���、極高”),影響程度也分為5級(jí)(如“輕微����、中度�����、重大���、嚴(yán)重�����、災(zāi)難性”)����,那么風(fēng)險(xiǎn)矩陣示意圖如下:
企業(yè)可以依據(jù)自身風(fēng)險(xiǎn)承受能力自行設(shè)置各等級(jí)風(fēng)險(xiǎn)閾值,并進(jìn)行優(yōu)先級(jí)標(biāo)識(shí)�。比如,風(fēng)險(xiǎn)值≥20為紅色區(qū)域�,需要優(yōu)先處理;風(fēng)險(xiǎn)值≤12為綠色區(qū)域����,進(jìn)行常規(guī)管理;剩余為黃色區(qū)域�����,后續(xù)重點(diǎn)關(guān)注。
當(dāng)然���,數(shù)值并非是風(fēng)險(xiǎn)優(yōu)先級(jí)排序的唯一標(biāo)準(zhǔn)��,還可以結(jié)合企業(yè)的業(yè)務(wù)背景�、業(yè)務(wù)戰(zhàn)略�����、資源約束情況等進(jìn)行調(diào)整����。風(fēng)險(xiǎn)優(yōu)先級(jí)的核心在于識(shí)別“哪些風(fēng)險(xiǎn)的減輕能為企業(yè)帶來(lái)最大價(jià)值”,從而指導(dǎo)企業(yè)將有限事的資源精準(zhǔn)投入關(guān)鍵領(lǐng)域�,實(shí)現(xiàn)風(fēng)險(xiǎn)管理的成本效益最大化。比如金融機(jī)構(gòu)可能對(duì)合規(guī)類風(fēng)險(xiǎn)更為敏感���,即使分值屬于中等�����,也可以賦予更高的優(yōu)先級(jí)���,因其可能引發(fā)巨額罰款或聲譽(yù)損失��;比如某新能源車企在評(píng)估“電池技術(shù)迭代延遲”與“競(jìng)爭(zhēng)對(duì)手價(jià)格戰(zhàn)”時(shí)�,盡管前者風(fēng)險(xiǎn)值略低���,但因涉及核心專利布局��,管理層將其優(yōu)先級(jí)提升至首位���,此類決策需要管理層參與��,確保風(fēng)險(xiǎn)應(yīng)對(duì)與長(zhǎng)期愿景一致����。
優(yōu)先級(jí)不是固定不變的,需要定期復(fù)審�,結(jié)合新數(shù)據(jù)或環(huán)境變化更新排序。比如某電商在“雙十一”前將“服務(wù)器崩潰”風(fēng)險(xiǎn)優(yōu)先級(jí)調(diào)至最高����,但活動(dòng)結(jié)束后恢復(fù)常態(tài)。
需要注意的是�����,確定風(fēng)險(xiǎn)優(yōu)先級(jí)要達(dá)成利益相關(guān)者共識(shí),通過(guò)跨部門(mén)會(huì)議溝通�,避免單一視角偏差。例如��,法務(wù)部門(mén)可能強(qiáng)調(diào)訴訟風(fēng)險(xiǎn)��,而銷售部門(mén)更關(guān)注客戶流失風(fēng)險(xiǎn)�����,需要通過(guò)數(shù)據(jù)對(duì)比調(diào)和分歧���。在資源有限時(shí)�,企業(yè)應(yīng)當(dāng)聚焦于“高風(fēng)險(xiǎn)且可干預(yù)”的領(lǐng)域����。
4.評(píng)估現(xiàn)有控制措施
在風(fēng)險(xiǎn)評(píng)估中,評(píng)估現(xiàn)有控制措施是驗(yàn)證已實(shí)施策略的有效性并量化剩余風(fēng)險(xiǎn)的關(guān)鍵環(huán)節(jié)�。此步驟的核心目標(biāo)是系統(tǒng)性審查當(dāng)前已部署的風(fēng)險(xiǎn)緩解措施,分析其對(duì)降低風(fēng)險(xiǎn)發(fā)生可能性或減輕后果嚴(yán)重程度的實(shí)際效果����,進(jìn)而計(jì)算未被完全消除的剩余風(fēng)險(xiǎn)值����,為后續(xù)決策提供依據(jù)�。
我們首先要全面梳理已采取的風(fēng)險(xiǎn)控制措施,通常措施分為三類:
(1)預(yù)防性措施:旨在降低風(fēng)險(xiǎn)發(fā)生的可能性�����,例如制造業(yè)通過(guò)設(shè)備冗余設(shè)計(jì)減少故障概率��,金融業(yè)通過(guò)多重身份驗(yàn)證防范賬戶盜用�����;
(2)緩解性措施:旨在減少風(fēng)險(xiǎn)發(fā)生后的影響�����,例如企業(yè)購(gòu)買(mǎi)保險(xiǎn)轉(zhuǎn)移財(cái)務(wù)損失��,醫(yī)院建立應(yīng)急電源防止手術(shù)中斷���。
(3)恢復(fù)性措施:用于風(fēng)險(xiǎn)發(fā)生后快速恢復(fù),例如數(shù)據(jù)備份。
其次通過(guò)數(shù)據(jù)或模擬手段評(píng)估控制措施對(duì)風(fēng)險(xiǎn)可能性和影響的削弱程度���。若某措施理論上可降低風(fēng)險(xiǎn)概率50%�,但實(shí)際執(zhí)行中因人為疏忽未達(dá)到���,則需修正有效性系數(shù)����。比如某物流企業(yè)通過(guò)路徑優(yōu)化系統(tǒng)將運(yùn)輸延誤概率從20%降至12%���,實(shí)際有效性系數(shù)為0.6(12%/20%)����。若量化措施對(duì)企業(yè)損失金額或業(yè)務(wù)中斷時(shí)間的有效縮減�����,則影響程度也相應(yīng)降低��。例如����,某數(shù)據(jù)中心部署備份后��,數(shù)據(jù)丟失導(dǎo)致的停工時(shí)間從72小時(shí)縮短至24小時(shí)��,影響程度從“災(zāi)難性”(5級(jí))降至“嚴(yán)重”(4級(jí))��,實(shí)際有效性系數(shù)為0.8(4/5)��。
最后進(jìn)行剩余風(fēng)險(xiǎn)的計(jì)算與分級(jí)���。剩余風(fēng)險(xiǎn)是原始風(fēng)險(xiǎn)值扣除控制措施效果后的殘余部分,剩余風(fēng)險(xiǎn)值的計(jì)算有以下兩種主流方法���,可根據(jù)數(shù)據(jù)可得性選擇適用模型:
定性評(píng)估法(基于等級(jí)調(diào)整)
剩余風(fēng)險(xiǎn)值=原風(fēng)險(xiǎn)等級(jí)×控制措施有效性系數(shù)(原風(fēng)險(xiǎn)等級(jí)為可能性等級(jí)與影響等級(jí)的乘積)���。
示例:某數(shù)據(jù)泄露風(fēng)險(xiǎn)原等級(jí)為12(3*4),現(xiàn)有加密技術(shù)控制風(fēng)險(xiǎn)�����,其有效性為70%�,則剩余風(fēng)險(xiǎn)值=12×0.7=8.4��。
定量模型法(基于概率與影響拆分)
剩余風(fēng)險(xiǎn)值=(控制措施降低后的風(fēng)險(xiǎn)發(fā)生概率*控制措施降低后的風(fēng)險(xiǎn)影響程度)或(控制風(fēng)險(xiǎn)后的可能性*影響等級(jí))����。
示例:某設(shè)備故障原可能性20%�,影響500萬(wàn)元�����。安裝冗余部件后���,故障可能性降至8%����,影響降至200萬(wàn)元�����,則剩余風(fēng)險(xiǎn)值=8%×200萬(wàn)=16萬(wàn)���。
需要注意的是有效性系數(shù)存在局限性��,若控制措施僅部分有效時(shí)需要單獨(dú)評(píng)估剩余風(fēng)險(xiǎn)的嚴(yán)重性。假設(shè)某系統(tǒng)漏洞修復(fù)率為90%�,但未修復(fù)的10%漏洞可能導(dǎo)致100%系統(tǒng)崩潰,此時(shí)有效性系數(shù)為0%����,因?yàn)槭S囡L(fēng)險(xiǎn)不可接受���。但當(dāng)多種控制措施并行時(shí),需要計(jì)算綜合有效性:[綜合有效性=1−(1-有效系數(shù)1)*(1-有效系數(shù)2)*...n]����,假設(shè)某風(fēng)險(xiǎn)同時(shí)使用控制措施A和B,A的有效性90%���,B的有效性80%���,則綜合有效性=1 - (1-0.9)×(1-0.8)=98%。
5.記錄并溝通結(jié)果
風(fēng)險(xiǎn)評(píng)估的最終成果需要通過(guò)系統(tǒng)化的記錄與溝通轉(zhuǎn)化為可執(zhí)行的行動(dòng)指南����。這一步驟不僅是風(fēng)險(xiǎn)管理的閉環(huán),更是推動(dòng)組織協(xié)同應(yīng)對(duì)風(fēng)險(xiǎn)的核心環(huán)節(jié)�����。
(1)編制書(shū)面報(bào)告�����,結(jié)構(gòu)化呈現(xiàn)風(fēng)險(xiǎn)信息
書(shū)面報(bào)告是風(fēng)險(xiǎn)評(píng)估的最終交付物���,要兼顧專業(yè)性與可讀性,通常包含以下核心模塊:
①風(fēng)險(xiǎn)概述
風(fēng)險(xiǎn)清單:按優(yōu)先級(jí)排序�����,列出所有已識(shí)別的風(fēng)險(xiǎn)��,包括編號(hào)��、名稱�����、風(fēng)險(xiǎn)值(如風(fēng)險(xiǎn)矩陣評(píng)分)��、等級(jí)(高/中/低)
風(fēng)險(xiǎn)描述:對(duì)每個(gè)風(fēng)險(xiǎn)進(jìn)行簡(jiǎn)明定義,包括觸發(fā)因素��、潛在后果及關(guān)聯(lián)性
②風(fēng)險(xiǎn)分析結(jié)果
風(fēng)險(xiǎn)矩陣圖:以可視化表格展示風(fēng)險(xiǎn)的可能性��、影響及等級(jí)分布���,標(biāo)注高風(fēng)險(xiǎn)區(qū)域。
剩余風(fēng)險(xiǎn)表:列出現(xiàn)有控制措施后的剩余風(fēng)險(xiǎn)值及容忍度對(duì)比(示意)
③應(yīng)對(duì)建議
策略選擇:針對(duì)每個(gè)風(fēng)險(xiǎn)提出具體行動(dòng)方案(如規(guī)避����、減輕����、轉(zhuǎn)移、接受)
責(zé)任分配:明確執(zhí)行主體與時(shí)間節(jié)點(diǎn)�,形成任務(wù)清單(示意)
④附錄與支持?jǐn)?shù)據(jù)
原始數(shù)據(jù)來(lái)源:引用風(fēng)險(xiǎn)評(píng)估中使用的歷史數(shù)據(jù)、模型參數(shù)
工具輸出:附上風(fēng)險(xiǎn)矩陣圖�����、敏感性分析圖表等���,增強(qiáng)報(bào)告可信度
(2)分層傳遞信息��,達(dá)成共識(shí)
書(shū)面報(bào)告完成后�����,通過(guò)多維度溝通方式將結(jié)果傳遞給相關(guān)方���,確保管理層��、執(zhí)行團(tuán)隊(duì)與外部利益相關(guān)者各取所需。信息傳遞的終極目標(biāo)是推動(dòng)相關(guān)方對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果與應(yīng)對(duì)策略達(dá)成共識(shí)�,避免“紙上談兵”?����?梢酝ㄟ^(guò)簽署責(zé)任書(shū)的方式�,要求部門(mén)負(fù)責(zé)人簽署風(fēng)險(xiǎn)應(yīng)對(duì)承諾���,明確資源投入與時(shí)間節(jié)點(diǎn)�����,同時(shí)將風(fēng)險(xiǎn)管控納入考核��。
