影响目标实现的因素即为风险。要确认风险首先应评估风险,其程序是:(1)识别风险。识别风险需要考虑所有可能发生的风险,并且需要考虑企业和相关外界之间所有重大的相互影响。识别风险是一个重复的过程,需要针对环境的变化持续进行。(2)分析风险。识别风险后,需要进行风险分析,其主要内容有分析风险的重要性程度、评估风险发生的可能性或频率/概率、如何管理风险及评估需要采取何种措施。
一、风险识别的概念
风险识别就是风险主体逐渐认识到自身存在哪些风险的过程。风险识别所要关注的问题是:存在哪些风险,哪些风险应予以考虑,引起风险的原因是什么,这些风险引起的后果及严重程度,风险识别的方法有哪些等。
二、风险识别的阶段
1.感知风险,即通过调查和了解,识别风险的存在,是风险识别的基础。
2.分析风险,即通过归类分析,掌握风险产生的原因和条件,以及风险所具有的性质,是风险识别的关键。
三、风险识别的方法
风险的确定是风险管理流程中的关键阶段,风险的确定可以采取多种方式。
1.头脑风暴(小组讨论、集思广益)。
2.访谈。
3.参考专业机构的风险数据库。
4.讨论。
5.调查问卷法。
6.流程图分析法。
7.财务报表分析法。
8.相关规律、经验及专业判断。
四、建立风险数据库
根据公司实际,通过以下五种方式确定风险数据库。
1.小组讨论,即召集与业务风险管理相关的人员,讨论某一特定流程或业务的风险。在事前规定讨论议题,由一个主持人(通常,但不是必须,由参与讨论的级别最高的人员担当)协调讨论的话题、内容、节奏和进度,防止跑题或不必要的争执。讨论后,要有书面的讨论结论总结,就该流程或业务讨论出的风险逐一记录,并发给小组讨论的参加人确认。
2.访谈,即通过一到两个风险管理的负责人,通过访谈的形式,与某一流程或业务的具体负责人进行小范围的交流与沟通。在访谈人的引导下进行,有目的地、有针对性地收集“一线”人员对具体操作业务风险的观点。这样收集的风险点更贴近实际工作。针对相关的风险,提出的控制更具可操作性。
3.头脑风暴,即定义一个讨论的主题(某一流程、某一业务)在一个小组或者大组中选择一位主持人和一位记录员(他们可以是同一个人)。通过集思广益的方法来确认流程、业务和相关的风险。与小组讨论相比,头脑风暴更注重每一个人的声音,确保每个人对将要探索的问题都有清晰的了解。头脑风暴要求事先声明没有一个答案是错误的。公平地对待每一个人的每一个答案。在讨论结束以前不评价或不批评任何回答。
4.问卷调查,通常是由风险管理的负责人自行或在纪监审计部门的指导下,根据需要识别风险的业务或流程的特性,编制一套识别风险的调查问卷。在保证与业务或流程相关的前提下,问卷的问题多多益善,以保证识别(提示)的风险点的完整性。这些问题通常是是非问题,即答案是“是/否/不相关”三种。这些问题,不管答案是“是”还是“否”,都是该业务或流程相关的风险点,应当汇总起来。
5.与他人讨论,主要是指与非本部门的同事讨论本部门的风险。这种方法强调的是跨部门的合作和互补。
通过上述方法,围绕重要流程,逐步归集出中国石油的风险数据库。这个风险数据库是风险评估工作的基础,更是评估控制活动的起点。根据公司经营活动的发展变化,风险数据库还需要不断地更新与维护,这就需要建立一套具有中国石油特色的风险评估体系。
五、风险数据库的举例
根据以上分析,结合中国石油的实际情况,中国石油的风险数据库就可以编制出来。其中以财务资产大类下的资金管理、费用管理和固定资产内部控制风险数据库的编制见附录三。
