風險評估的三個環(huán)節(jié)

風險評估分為哪幾個階段?從風險評估的三個環(huán)節(jié)來看不同的階段內(nèi)容：

一、風險的識別——風險評估的第一階段

從風險管理的流程可以看到，風險評估是企業(yè)進行風險管理的必經(jīng)流程。風險評估對風險管理過程有直接的推動作用。風險評估又是由風險識別、風險分析及風險評價構(gòu)成的一個完整過程。

風險識別是風險評估全過程的第一步。風險識別是發(fā)現(xiàn)、承認和描述、記錄風險的過程。對于一個風險，首先是發(fā)現(xiàn)，然后是認可、承認，最后是對其進行描述和記錄。風險識別的輸入是風險環(huán)境的描述和建立，輸出是一些記錄，把這些識別出來的風險匯集起來，就構(gòu)成了企業(yè)的風險庫。

風險識別是識別可能影響企業(yè)目標得以實現(xiàn)的事件或情況，也就是可能發(fā)生什么?可能存在什么狀況?其主要目的是建立一個基于風險事件的、綜合的、廣泛的風險清單，這些事件可能創(chuàng)造、加強、阻礙、降低、加速或推遲目標的實現(xiàn)。事件是風險的載體，風險清單也以風險事件為基礎。風險清單應廣泛、全面。廣泛的風險清單非常關鍵，因為在這一過程未被識別的風險將不會被包含在進一步的風險分析中。

風險識別過程包括對風險源、風險原因、風險事件識別，對于可能對目標產(chǎn)生重大影響的狀況、影響的性質(zhì)進行識別。

根據(jù)ISO31000，風險識別的方法包括：基于證據(jù)的方法，如檢查表法;基于結(jié)構(gòu)化的提示或問題的方法，如訪談法或問卷調(diào)查法;歸納推理的方法，如危險與可操作性分析法。實際識別過程中，應注意多種方法的組合，但無論采用哪種技術(shù)和方法，在風險識別過程中應關注人的因素。

風險識別的輸出，經(jīng)常表現(xiàn)為數(shù)據(jù)庫的形式，這些數(shù)據(jù)庫可以是簡單的EXCEL表格，也可以是Access數(shù)據(jù)庫、SQL數(shù)據(jù)庫等。數(shù)據(jù)庫的字段一般包括以下基本項：風險編號、風險名稱、風險事件、對應的業(yè)務名稱、風險源、風險原因、風險后果、影響范圍、影響性質(zhì)、現(xiàn)有的控制措施等。

二、風險的分析——風險評估的第二階段

風險分析是理解風險性質(zhì)和確定風險等級的過程。風險分析為風險評價和風險應對提供了基礎。風險分析在風險評估過程中起到承上啟下的作用。

風險分析的目的在于，第一，揭示對風險的理解;第二，為風險評價和風險應對提供輸入，以確定風險是否需要處理以及最適當?shù)奶幚聿呗院头椒ā?/p>

風險分析是對“已識別的風險”進行“后果和發(fā)生可能性”分析，這就提示風險分析的具體工作內(nèi)容是包括對風險源、風險原因、以及風險的正面、負面的結(jié)果，和這些結(jié)果發(fā)生可能性的考慮。同時，還要考慮現(xiàn)有的風險應對措施及其有效性，然后結(jié)合風險發(fā)生的可能性及后果確定風險等級。

企業(yè)可根據(jù)風險分析的目的，可獲得的數(shù)據(jù)，組織決策的需要等因素，采用定性的、半定量的、定量的方法或以上方法的組合來進行風險分析。

定性分析是通過重要性等級“高、中、低”這樣的表述來界定風險事件的后果、可能性及風險等級，然后將后果和可能性結(jié)合起來，并與定性的風險準則相比較，從而得出企業(yè)最終的風險等級。半定量分析是利用數(shù)字分級尺度來測量風險的可能性及后果，然后運用公式將兩者結(jié)合起來，得出風險等級。常見的公式有四分量表、五分量表、七分量表等。定量分析是估計出風險后果及其可能性的實際數(shù)值，計算出風險等級。

由于相關信息不可能完全窮盡，受此影響，或定量分析無法確?；驔]有必要，全面地定量分析在經(jīng)濟上或?qū)嶋H操作層面上也不一定可行。因此，此種情況下，由經(jīng)驗豐富的專家對風險進行半定量或定性的分析，顯得尤為重要。但要定性分析，就應對使用的術(shù)語進行明確界定，并對風險準則的設定進行詳細記錄。

三、風險的評價——風險評估的第三階段

風險評價是風險評估全過程的第三步，本步驟是把風險分析的結(jié)果與預先設定的風險準則相比較，或在各種風險的分析結(jié)果之間進行比較，以確定風險的重要性等級。

風險評價的目的在于協(xié)助決策，這個決策是考慮風險是否需要應對以及實施應對的優(yōu)先順序方面的決策。

簡言之，風險評價就是要完成以下工作：一，檢查風險分析的輸出結(jié)果，并把得到的風險等級與風險準則相比較;二，決定是否需要風險應對;三，對需要進行風險應對的風險按優(yōu)先次序進行排序。

最簡單的風險評價結(jié)果是僅將風險分成兩種：需要處理的與無需處理的。這樣的處理方式無疑簡單，但其結(jié)果通常難以反映出風險估計時的不確定性因素。常見的方法是將風險劃分為三個等級段，即不可容忍的、可接受的、介與兩者之間的。對于不可容忍的，必須不惜一切代價進行風險應對。對于可接受的，則無需采取應對措施，保持監(jiān)測即可。對于介與兩者之間的，則是風險管理的核心任務之一。應著重考慮實施風險應對的成本與效益，并權(quán)衡機遇對目標的影響。

風險評價的結(jié)果應滿足風險應對的需要，風險評價的結(jié)果要有足夠的可信性、準確性、完整性，否則應做進一步的分析。當然，風險評價也可能導致除了維持現(xiàn)有的控制措施外，不進行任何風險應對的決定。

推薦閱讀：