企业如何进行风险分类、识别及描述？

——“五要素”闭环风险分析模型应用

根据“风险导向”管理理念，企业应该根据风险评价结果配置管理资源、开展管理活动。为了对风险进行有效评价，企业需要对风险进行高质量的分类、识别和描述。“高质量”可以具体表现在如下几个方面：

•“分类”:风险分类标准统一、满足MECE/金字塔等原则；

•“识别”:不存在重大风险遗漏；

•“描述”:对特定风险的描述完整、清晰、具体。

请注意，基于主题，本文中的“风险”系指“纯粹风险”（即只有带来损失一种可能性）而非“机会风险”（即带来损失和盈利的可能性并存）。

一、“五要素”闭环风险分析模型的提出

在企业的实际风险管理操作中，风险分类逻辑混乱、风险识别不全面、风险描述模糊不清等现象仍然普遍存在，在很大程度上制约了企业风险管理工作的效果。笔者认为，风险作为一个相对抽象的感念，本身涉及多个相关关联的核心要素，这些要素相互关联，对企业风险的分类、识别与描述产生了干扰。建立一个综合考虑各类要素的风险分析框架，能够为这些工作的开展提供有力支撑。对风险涉及的核心要素分析如下：

1、企业目标

对风险的分析，必须建立在一定企业目标的前提下。如企业期望达到一定的业绩目标，才会关注对业绩可能产生不利影响的风险因素。不同行业的企业，目标类型及其优先级分布也会存在差异。例如，安全生产固有风险高、面临强安全监管压力的企业（如资源采掘类企业），其安全生产目标往往具备高优先级。

2、业务活动

围绕企业目标，企业需要实施一定的业务活动。典型的业务活动包括采购、生产、销售、工程、合同、资金等。企业在各类业务活动场景下，需要充分识别并考虑风险的影响。从企业的视角，这些风险会对企业的业务活动开展产生负面影响，并进而影响企业目标的实现，需要进行识别、分类及描述，为后续风险应对提供基础。例如，企业在进行采购时，会实施供应商选择、价格确认、质量验收业务活动，也就会面临供应商选择风险、采购价格风险，原材料质量风险，最终的后果往往包括企业利润水平下滑、品牌形象受损。

3、风险诱因

在理想条件下，“一切尽如人意”、各类假设都能成立的前提下，企业的所有活动都能顺利开展、所有的目标都能够实现，企业并不需要关注风险，例如，对于一台“不会发生故障”的设备，企业不需要考虑其由于故障无法工作的情况。然而在现实经营场景下，这种理想状态是不存在的，由于零部件损耗、保养不及时、员工不当操作等风险诱因，都会导致设备故障。

风险诱因往往具备的特点包括：a.其发生的可能性客观存在，但最终是否导致风险后果存在不确定性；b.其一旦发生，会对企业业务开展、目标实现产生负面影响；c.在特定时点，对于企业而言，风险诱因既可能是已知的、也可能是未知的。其中，对于已知的风险诱因，企业需要进行分析并酌情制定控制措施；对于未知的风险诱因，企业应保持必要敏感性并积极主动的进行识别。

4、控制措施

企业风险管理中有一个基本假设：企业能够对风险施加影响，即在其他条件不变的前提下，企业通过有针对性的设计并执行控制措施，能够降低风险。如企业通过加强信用评审、持续跟踪账龄及债务人经营情况等措施，降低坏账风险。在特定控制措施非常普遍、甚至“约定俗成”的情况下，特定控制措施的缺失或执行不到位，往往被直接描述为一类风险。如“资金收支操作、账务记录和银行对账未实现职务分离”会被视为一项风险，其后果为资金被侵占、账实不符。

5、风险后果

企业对风险的关注，本质上来自于对于风险后果的担忧。从逻辑上讲，风险后果可以理解为对企业目标的反向描述。如当企业发生严重工伤事件时，企业会面临劳动赔偿、监管处罚及社会舆论压力，企业相关人员甚至可能面临刑事诉讼。与这些风险后果相对应，企业经营符合安全规范、规避劳动赔偿及监管处罚、提高企业社会美誉度、企业人员免于牢狱之灾，则是常见的企业目标。

基于上述要素分析，本文提出“五要素”闭环风险分析模型如下图（图1）及下表（表1）所示：

图1：“五要素”闭环风险分析模型

表1：“五要素”闭环风险分析模型各要素说明

二、模型应用：优化风险分类

风险的分类应服务于企业管理需要，企业可根据自身情况灵活选择分类方式，但应尽可能提高分类标准一致性，努力实现逻辑严谨、“不重不漏”。与之对应，当前一些常见的风险分类方式需要改进。例如一些企业将“采购风险”与“声誉风险”并列，前者指在采购活动中存在的风险，而后者则侧重于对企业市场声誉造成负面影响的风险。即前者强调特定管理过程，后者强调特定风险损失类型，两者并不在同一个逻辑维度上。例如在采购过程中，如果不关注供应商社会责任履行状态（如存在雇佣童工、虐待员工等现象，如耐克20世纪90年代“血汗工厂”案例），则会可能对企业社会声誉造成损失，按照前面所描述的分类方式，这一项风险会被同时划分至采购风险和声誉风险。

基于“五要素”闭环风险分析模型，企业可选择的风险分类方式可以归纳为下表（表2）：

表2：“五要素”闭环风险分析模型下的风险分类

在《中央企业全面风险管理指引》文件中，一级风险分类为五类，分别是战略风险、市场风险、财务风险、法律风险、运营风险，这种分类事实上体现了上述多种要素的组合。以国资委2020年度中央企业风险分类参考标准为例（详见表3）：

•“战略风险”体现了“风险诱因”（如宏观经济风险、政策风险等）、“业务活动”（如科技创新风险）和“控制措施”（集团管控风险等）

•“财务风险”体现了“业务活动”（如金融业务与衍生品交易风险等）和“风险后果”（如现金流风险）

•“运营风险”/“法律风险”体现了“企业目标”（如经营效益风险、合规风险等）和“业务活动”（如采购及供应链管理、合同风险等）

•“市场风险”主要体现了“风险诱因”（如汇率波动风险、利率波动风险、客户信用风险等）。

表3：2020年度中央企业风险分类参考标准

在实际应用中，为了实现突出重点、全面覆盖等目的，企业可先按照一定逻辑先划分类别，进行穷举，然后在各个类别范畴内根据目标、业务活动、风险诱因、控制措施及后果进行分类。例如：

•先按照业务类型（如国内业务风险、海外业务风险等）进行分类，然后在各类业务范畴内再进行风险分类；

•先按照期限（如短期风险、长期风险等）进行分类，然后在不同期限范畴内进行风险分类。

“五要素”风险闭环模型除了可以在风险分类中应用，同样可以在风险识别、风险描述等环节中拥有广泛应用场景。

三、模型应用：优化风险识别

为了实现全面的风险识别，企业应该在上述框架下，围绕各个要素进行系统的“扫描”，具体可以归纳为下表（表4）：

表4：基于“五要素”闭环风险分析模型的风险识别

四、模型应用：优化风险描述

风险描述应能够完整、清晰揭示风险产生的具体原因和后果，进而为风险评价、控制措施设计/执行等具体工作的开展奠定基础。但在风险管理实践中，各利益相关方往往会受到其背景、知识、信息等多方面因素的影响，对同一风险存在认知偏差，进而影响风险应对措施的有效执行。

通过“五要素”闭环风险分析模型，可以优化风险描述，展现风险本质内容，为风险沟通创造统一语言。基于五要素”闭环风险分析模型，可以通过简化或详细方式进行风险描述，具体可以归纳为下表（表5）。企业可以根据自身管理需要灵活选择不同描述方式。

表5：基于“五要素”闭环风险分析模型的风险描述

五、企业场景下的实操示例

A公司准备启动国内主板上市规划，根据中介机构的建议，根据上文框架，A公司开展了风险评价工作。具体如下表（表6）：

表6：基于“五要素”闭环风险分析模型应用示例

注1：这里的“部分展示”是指：1）仅展示部分目标；2）围绕所展示的目标，仅展示部分业务活动、风险诱因、控制措施及风险后果。

结合前表所示的分析模型输出，A公司在其“风险矩阵”中的典型风险描述示例为下表（表7）：

表7：基于“五要素”闭环风险分析模型应用风险矩阵示例

结  语

风险导向管理的核心在于围绕风险做到“有的放矢”，为了实现这一目标，企业必须对其所面临的各类风险进行有效的分类、识别与描述。基于对风险内在要素的分析，本文提出的“五要素”闭环风险分析模型，能够为企业完成上述工作提供有效的工具支持，提高工作成果质量。来源：综合互联网

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。