风险评估的三个步骤
发布时间:2023-08-23 阅读量:
一、风险的识别——风险评估的第一步
从风险管理的流程可以看到,风险评估是企业进行风险管理的必经流程。风险评估对风险管理过程有直接的推动作用。风险评估又是由风险识别、风险分析及风险评价构成的一个完整过程。
风险识别是风险评估全过程的第一步。风险识别是发现、承认和描述、记录风险的过程。对于一个风险,首先是发现,然后是认可、承认,最后是对其进行描述和记录。风险识别的输入是风险环境的描述和建立,输出是一些记录,把这些识别出来的风险汇集起来,就构成了企业的风险库。
风险识别是识别可能影响企业目标得以实现的事件或情况,也就是可能发生什么?可能存在什么状况?其主要目的是建立一个基于风险事件的、综合的、广泛的风险清单,这些事件可能创造、加强、阻碍、降低、加速或推迟目标的实现。事件是风险的载体,风险清单也以风险事件为基础。风险清单应广泛、全面。广泛的风险清单非常关键,因为在这一过程未被识别的风险将不会被包含在进一步的风险分析中。
风险识别过程包括对风险源、风险原因、风险事件识别,对于可能对目标产生重大影响的状况、影响的性质进行识别。
根据ISO31000,风险识别的方法包括:基于证据的方法,如检查表法;基于结构化的提示或问题的方法,如访谈法或问卷调查法;归纳推理的方法,如危险与可操作性分析法。实际识别过程中,应注意多种方法的组合,但无论采用哪种技术和方法,在风险识别过程中应关注人的因素。
风险识别的输出,经常表现为数据库的形式,这些数据库可以是简单的EXCEL表格,也可以是Access数据库、SQL数据库等。数据库的字段一般包括以下基本项:风险编号、风险名称、风险事件、对应的业务名称、风险源、风险原因、风险后果、影响范围、影响性质、现有的控制措施等。
二、风险的分析——风险评估的第二步
风险分析是理解风险性质和确定风险等级的过程。风险分析为风险评价和风险应对提供了基础。风险分析在风险评估过程中起到承上启下的作用。
风险分析的目的在于,第一,揭示对风险的理解;第二,为风险评价和风险应对提供输入,以确定风险是否需要处理以及最适当的处理策略和方法。
风险分析是对“已识别的风险”进行“后果和发生可能性”分析,这就提示风险分析的具体工作内容是包括对风险源、风险原因、以及风险的正面、负面的结果,和这些结果发生可能性的考虑。同时,还要考虑现有的风险应对措施及其有效性,然后结合风险发生的可能性及后果确定风险等级。
企业可根据风险分析的目的,可获得的数据,组织决策的需要等因素,采用定性的、半定量的、定量的方法或以上方法的组合来进行风险分析。
定性分析是通过重要性等级“高、中、低”这样的表述来界定风险事件的后果、可能性及风险等级,然后将后果和可能性结合起来,并与定性的风险准则相比较,从而得出企业最终的风险等级。半定量分析是利用数字分级尺度来测量风险的可能性及后果,然后运用公式将两者结合起来,得出风险等级。常见的公式有四分量表、五分量表、七分量表等。定量分析是估计出风险后果及其可能性的实际数值,计算出风险等级。
由于相关信息不可能完全穷尽,受此影响,或定量分析无法确保或没有必要,全面地定量分析在经济上或实际操作层面上也不一定可行。因此,此种情况下,由经验丰富的专家对风险进行半定量或定性的分析,显得尤为重要。但要定性分析,就应对使用的术语进行明确界定,并对风险准则的设定进行详细记录。
三、风险的评价——风险评估的第三步
风险评价是风险评估全过程的第三步,本步骤是把风险分析的结果与预先设定的风险准则相比较,或在各种风险的分析结果之间进行比较,以确定风险的重要性等级。
风险评价的目的在于协助决策,这个决策是考虑风险是否需要应对以及实施应对的优先顺序方面的决策。
简言之,风险评价就是要完成以下工作:一,检查风险分析的输出结果,并把得到的风险等级与风险准则相比较;二,决定是否需要风险应对;三,对需要进行风险应对的风险按优先次序进行排序。
最简单的风险评价结果是仅将风险分成两种:需要处理的与无需处理的。这样的处理方式无疑简单,但其结果通常难以反映出风险估计时的不确定性因素。常见的方法是将风险划分为三个等级段,即不可容忍的、可接受的、介与两者之间的。对于不可容忍的,必须不惜一切代价进行风险应对。对于可接受的,则无需采取应对措施,保持监测即可。对于介与两者之间的,则是风险管理的核心任务之一。应着重考虑实施风险应对的成本与效益,并权衡机遇对目标的影响。
风险评价的结果应满足风险应对的需要,风险评价的结果要有足够的可信性、准确性、完整性,否则应做进一步的分析。当然,风险评价也可能导致除了维持现有的控制措施外,不进行任何风险应对的决定。