前两篇我们介绍了风险管理流程的前两个环节：

1、风险管理第一步，收集风险信息

2、如何识别并登记风险，建立风险数据库

风险识别了之后，需要对风险进行分析，这部分内容非常重要，需要考验的是风险分析的经验和能力，还有具体分析工作的组织方式。

按照《中央企业全面风险管理指引》中的要求：

风险分析应包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理。

《中央企业全面风险管理指引》 第二十三条

这里面提到的风险分析没有提具体需要分析的内容，而是侧重在风险和风险之间的关系角度，分析风险之间的相关性，制定统一的风险策略。

风险的相关性总体来看可以归纳为三种，正相关、负相关和不相关，有时根据风险颗粒度的不同和时间发展演变的不同阶段，会出现风险之间相关性不唯一的情形。

摘自全球风险报告

上图是达沃斯经济论坛发布的2019年《全球风险报告》中的风险关联关系分析图，就是这种风险分析的一个样例。

按照2022年最新发布的国家标准《风险管理指南》中的要求：

风险分析包括对不确定性、风险源、后果、可能性、事件、情境、控制措施及其有效性进行详尽考虑。一个事件可能有多种原因和后果，可能影响多个目标。

风险分析可考虑以下因素：

事件的可能性及后果；

后果的性质及影响程度；

复杂性和关联性；

时间相关因素及波动性；

现有控制措施的有效性；

敏感性和置信水平。

GB/T 24353《风险管理指南》

国标的这个要求比央企指引中的要求要更全面一些，央企指引中的要求仅是其第三个因素的一部分内容。

大家知道，风险评估包含三个步骤，风险识别、风险分析、风险评价，而风险分析的部分内容和下一步的风险评价密切相关，或者说有些内容有一定交叉，而这三个步骤的关系也不是一成不变的，按照ISO 31000的表述，这是一个“循环迭代”的过程，根据需要，可以从任何一个开始、或者反复其中一个或几个步骤。

风险分析可以使用定性和/或定量的手段进行，在2019年新发布的ISO 31010《风险评估技术》中，适用于风险分析的技术有很多个，比如：

情景分析法（Scenario analysis）

业务冲击分析法（Business impact analysis）

因果分析法（Cause-consequence analysis）

决策树分析法（Decision tree analysis）

在险值分析（Value at risk)

蝴蝶结分析法（Bow-tie Analysis）

Bow-tie Analysis

给大家整理了一个风险分析的工具方法大全，一共27种，分别适用于不同的风险分析内容，每种的具体用法大家可以去网上查一下，供大家参考。