3.2.5　风险评价成果输出

1.关键输出：风险清单

企业在完成前述风险识别及评价工作中，应形成以风险清单为代表的成果输出。风险清单是指企业根据自身战略、业务特点和风险管理要求，以清单形式进行风险识别、风险分析、风险应对措施制定、风险报告和沟通的工具方法。企业应用风险清单的主要目标是使企业系统掌握自身存在的重大风险，明晰各相关部门的风险管理责任，规范风险管理流程，并为企业构建风险预警和风险考评机制奠定基础。其中，风险清单应采用恰当的风险分类框架及风险颗粒度，涵盖企业重要业务领域及风险源，并确保风险信息准确且更新及时。

企业风险清单基本框架一般包括风险识别结果、风险分析情况、风险应对措施三部分。其中，风险识别结果部分主要包括风险描述、风险类型、关键风险指标等要素；风险分析情况部分主要包括风险责任主体、风险发生可能性、风险后果严重程度、风险重要性等级等要素；风险应对措施部分主要包括风险控制措施等要素（见表3-5）。

表3-5　典型风险清单示例

2.风险清单的核心要素

（1）风险描述。

1）风险描述结构。

风险描述是指采用一定的结构方式描述风险，通常为“在何种情况下，导致何种后果”，体现风险形成的原因和将导致的后果。

2）风险承担者。

根据《中央企业全面风险管理指引》，企业开展风险管理需要建立三道防线，以各有关职能部门和业务单位为第一道防线，以风险管理职能部门和董事会下设的风险管理委员会为第二道防线，以内部审计部门和董事会下设的审计委员会为第三道防线。

为了将上述理念落地，企业通常会设置风险管理部门进行风险归口管理，并将风险管理责任层层分解。在风险清单中，“风险责任主体”则指应对各项具体风险负责的主体，通常同时也是执行控制措施的主体。

（2）风险评价结果。

风险事件发生的概率和如果发生可能导致的后果是两个常见的风险衡量维度。从风险事件后果的角度来看，风险事件既有灾难性的，也有损害企业于无形的（如采购过程中的管理失控、工程实施中的管理失控等）。需要指出，企业在评价风险的后果和频率以及设置重要性水平标准时，均需要考虑风险的颗粒度。比如对企业整个的销售额而言，100万元的坏账损失风险可能重要性水平不高，但对于一单总额为200万元的销售订单而言，100万元的坏账损失风险显然重要性水平较高。

风险评价一方面需要对风险本身进行评价，另一方面还应对风险的管理现状进行评价。因此，企业可采取“两步法”：首先，根据风险特征评价风险的“固有风险”水平；然后，基于企业已采取的控制措施评价“剩余风险”水平。例如，公园杨树树枝断裂掉落导致人员受伤的“固有风险”很高，因此需要通过加强警示等手段降低风险，使得“剩余风险”在可接受的范围内（见图3-3）。

具体而言，风险评价的顺序为：①先在假设不存在风险控制措施的情况下判断风险发生的概率及可能的后果水平，并综合得出风险的固有风险水平；②对现有的风险控制措施的有效性进行评价，评价经过风险控制后的剩余风险水平（即企业在已实施各项控制措施的条件下，经过“缓释”之后的风险水平）；③综合各项具体风险的固有风险水平和剩余风险水平，得出最终风险评价结论。

图3-3　某公园风险警示牌

（3）一个风险评价结果的典型示例。

1）设定风险发生频率评价标准（见表3-6）。

表3-6　风险发生频率评价标准示例

说明：设置风险发生频率时，需要考虑“风险颗粒度”的大小。

2）设定风险后果评价标准（见表3-7）。

表3-7　风险后果评价标准示例

（续）

说明：某项具体风险往往会导致多种后果。在评价其后果严重程度时，应以其导致的最严重后果作为评判标准，同时考虑风险颗粒度的大小。

案例：山东诸城发生违法倾倒化工废料导致严重后果

2021年1月31日，山东诸城市舜王街道发生一起违法倾倒化工废料事件，已致使4名中毒人员死亡，经相关专家紧急进行现场勘查初步确定，中毒系违法倾倒的化工废料挥发产生的有害气体所致。这个事件会同时在经济（损失）、声誉、安全和环境四个方面产生严重后果，同时考虑其业务发生的频繁程度，可以得出企业危废品贮存、转移以及处置风险属于典型“高风险”领域。

资料来源：山东诸城发生违法倾倒化工废料事件，2021年2月2日，中国安全生产网。

3）形成风险评价矩阵，确定风险等级，得出固定风险水平（见图3-4）。

图3-4　风险评价矩阵示例

说明：风险评价矩阵可分别用于评价“固有风险”和“剩余风险”。其中，各风险具体内容如下。

●高风险（深色区域，后果与频率相乘在6分及以上的风险）：管理优先级为高，需要重点关注，优先调配资源进行管理，从而把风险排序降低。

●中风险[中间色区域，后果与频率相乘在2分（不含）至6分（不含）的风险]：管理优先级为中。另外，中风险区域又可以细分为中低级[2分（不含）至3分（不含）]、中级[3分（含）至4分（不含）]、中高级[4分（含）至6分（不含）]三个级别。需要关注风险趋势变化，适当地调整资源进行管理，以有效的成本代价降低风险排序。

●低风险（浅色区域，后果与频率相乘在2分及以下的风险）：管理优先级为低，可维持现有管理水平，适当地调配资源用以管理其他风险。

4）画出剩余风险与固有风险关系矩阵（见图3-5）并对其进行分析（见表3-8）。

图3-5　剩余风险vs.固有风险关系矩阵示例

结合风险评价的整个过程，风险的评价工作尽管能够得出量化的结果，但在整个过程中不可避免地存在主观判断的因素。企业从落地管理的角度出发，完全可以采用主观判断和客观数据相结合的方式。当然，做出主观判断的人员必须对企业情况充分了解，同时具备足够的专业性。

表3-8　剩余风险vs.固有风险关系矩阵分析

3.关键风险指标

基于风险评价结果，企业可以实施风险排序，明确风险控制优先级，关注重要风险。在此基础上，企业可以通过下述步骤分析得出重点风险领域或事件变化情况的统计指标，形成关键风险指标，并予以定期监控。

（1）通过分析重要风险的成因，找出关键成因。

（2）量化关键成因，确定导致风险事件发生的关键风险指标（阈值）。

（3）持续跟踪监控关键风险成因的数值变化，当关键风险成因数值达到阈值时，发出风险预警信息，启动风险控制措施。

其中，关键风险指标的风险颗粒度较小，具备易辨识、可量化、自动化及可视化（结合信息系统）的特点，在企业风险管控中具有较强的实用性。但需要注意，关键风险指标一方面具有实时性，一旦达到风险阈值，必须及时采取措施；另一方面具有动态性，随着企业内外部环境的变化，关键风险指标应及时得到调整。一家企业的关键风险指标示例如表3-9所示。

表3-9　一家企业的关键风险指标示例

（续）

[1] 资料来源：关于印发《中央企业全面风险管理指引》的通知，国资发改革〔2006〕108号，国务院国有资产监督管理委员会网站。