3.2.2　风险分类及颗粒度1.风险分类框架的选择

风险的识别和评价，需要在合适的风险分类框架上完成。例如，金融行业企业通常按照《巴塞尔协议》（Basel Accord），依据诱发风险的原因将风险分为信用风险、市场风险、操作风险、流动性风险、国家风险、法律风险、声誉风险和战略风险。从企业实际操作角度，风险主要有三种分类方式，其各有利弊（见表3-2）。

表3-2　企业风险分类方式

企业为了充分利用不同风险分类方式的优势，也可以采取多维分类的方式，即将一个具体风险点，采用不同的分类方式分别进行划分。例如“由于缺乏有效的实物与账务管理导致存货账实不符”的风险，可以分别按内外部风险来源划分为财务风险，按企业具体业务领域划3.2.2　风险分类及颗粒度1.风险分类框架的选择

风险的识别和评价，需要在合适的风险分类框架上完成。例如，金融行业企业通常按照《巴塞尔协议》（Basel Accord），依据诱发风险的原因将风险分为信用风险、市场风险、操作风险、流动性风险、国家风险、法律风险、声誉风险和战略风险。从企业实际操作角度，风险主要有三种分类方式，其各有利弊（见表3-2）。

表3-2　企业风险分类方式

企业为了充分利用不同风险分类方式的优势，也可以采取多维分类的方式，即将一个具体风险点，采用不同的分类方式分别进行划分。例如“由于缺乏有效的实物与账务管理导致存货账实不符”的风险，可以分别按内外部风险来源划分为财务风险，按企业具体业务领域划分为资产管理风险，按管理对象类别划分为存货风险。

除了上述风险分类方式，风险还可以进行其他方式的分类，例如：

（1）可控风险vs.不可控风险。

（2）纯粹风险（如企业仓库面临的火灾风险）vs.投机风险（如企业在股票市场上的投资风险）。

（3）“无意行为”导致的风险vs.“故意行为”导致的风险。

企业在进行风险分析时，也可以同时参考这些分类方式。

2.风险颗粒度的选择

企业在实施风险识别与评价过程中，还需要考虑风险颗粒度的大小。风险颗粒度可以理解为对风险描述的细化程度，例如在“企业风险——企业经营风险——企业经营中的采购风险——采购计划风险——采购计划及时性与准确性风险”系列风险描述中，从前到后，风险颗粒度依次逐渐减小。

具体而言，对风险颗粒度的调整，至少可以从以下几个方面入手。

（1）风险所处业务环节：通过对经营过程的细分，逐步减小风险颗粒度。例如存货账实不符风险，可以分解为入库、出库、核算、日常实物接触等多个风险点，进而减小风险颗粒度。

（2）风险对应业务范围：通过减小风险对应的业务范围，逐步减小风险颗粒度。例如从“销售业务整体信用风险”到“特定销售订分为资产管理风险，按管理对象类别划分为存货风险。

除了上述风险分类方式，风险还可以进行其他方式的分类，例如：

（1）可控风险vs.不可控风险。

（2）纯粹风险（如企业仓库面临的火灾风险）vs.投机风险（如企业在股票市场上的投资风险）。

（3）“无意行为”导致的风险vs.“故意行为”导致的风险。

企业在进行风险分析时，也可以同时参考这些分类方式。

2.风险颗粒度的选择

企业在实施风险识别与评价过程中，还需要考虑风险颗粒度的大小。风险颗粒度可以理解为对风险描述的细化程度，例如在“企业风险——企业经营风险——企业经营中的采购风险——采购计划风险——采购计划及时性与准确性风险”系列风险描述中，从前到后，风险颗粒度依次逐渐减小。

具体而言，对风险颗粒度的调整，至少可以从以下几个方面入手。

（1）风险所处业务环节：通过对经营过程的细分，逐步减小风险颗粒度。例如存货账实不符风险，可以分解为入库、出库、核算、日常实物接触等多个风险点，进而减小风险颗粒度。

（2）风险对应业务范围：通过减小风险对应的业务范围，逐步减小风险颗粒度。例如从“销售业务整体信用风险”到“特定销售订单信用风险”，即减小了风险颗粒度。

（3）风险对应责任主体：如企业可将各类风险划分为“企业级”“部门级”和“岗位级”，下级风险是上级风险的分解，风险颗粒度依次变小。

风险颗粒度的“大”和“小”各有利弊，颗粒度大涵盖范围广，风险描述宽泛（如“战略风险”“运营风险”等），更多地用于体现风险类别，但难以有针对性地设计控制措施。相对而言，颗粒度小则利于设计控制措施，但可能遗漏风险事项。

首先，企业应根据具体管理目的来选择风险颗粒度，例如：

（1）企业在制定整体采购目标时，应从“采购风险”角度出发，而在制定具体控制措施时，则应该选择“采购订单差错风险”“采购发票规范性风险”等更小的风险颗粒度。

（2）企业在制定整体信用政策时，应从“整体销售业务的信用风险”角度出发，而在具体销售业务中的信用评审过程中，则可以从“特定销售订单信用风险”角度出发。

其次，通常风险颗粒度越小，越容易找到风险责任主体，越能落实控制责任。例如，在“企业核算准确性风险”颗粒度下，风险责任可能需要归属到整个财务部门及与核算相关的各个业务部门，而在“××分类账科目录入准确性风险”颗粒度下，风险责任则能归属到一位具体的会计人员。因此，风险颗粒度的选择也会受到企业责任体系的影响。单信用风险”，即减小了风险颗粒度。

（3）风险对应责任主体：如企业可将各类风险划分为“企业级”“部门级”和“岗位级”，下级风险是上级风险的分解，风险颗粒度依次变小。

风险颗粒度的“大”和“小”各有利弊，颗粒度大涵盖范围广，风险描述宽泛（如“战略风险”“运营风险”等），更多地用于体现风险类别，但难以有针对性地设计控制措施。相对而言，颗粒度小则利于设计控制措施，但可能遗漏风险事项。

首先，企业应根据具体管理目的来选择风险颗粒度，例如：

（1）企业在制定整体采购目标时，应从“采购风险”角度出发，而在制定具体控制措施时，则应该选择“采购订单差错风险”“采购发票规范性风险”等更小的风险颗粒度。

（2）企业在制定整体信用政策时，应从“整体销售业务的信用风险”角度出发，而在具体销售业务中的信用评审过程中，则可以从“特定销售订单信用风险”角度出发。

其次，通常风险颗粒度越小，越容易找到风险责任主体，越能落实控制责任。例如，在“企业核算准确性风险”颗粒度下，风险责任可能需要归属到整个财务部门及与核算相关的各个业务部门，而在“××分类账科目录入准确性风险”颗粒度下，风险责任则能归属到一位具体的会计人员。因此，风险颗粒度的选择也会受到企业责任体系的影响。3.2.3　风险识别与评价工具在风险识别过程中，企业可借助对已有风险信息的发现与积累、相关分析工具等，及时、全面和准确地获取风险信息。典型的风险识别工具如下所述，具体的应用实操过程可参看第3.3.4节“综合案例：风险识别、评价与措施制定实例”。

1.企业内外部风险基础信息收集

企业内部风险信息收集来源通常包括（不限于）：

●企业内部审计或内控评价工作中发现的风险信息。

●企业内部各项工作、事件、事故的记录及报告。

●利用企业内部风险评估问卷调查等手段识别的风险信息。

●企业管理制度、流程等文件中所体现的风险信息。

另外，外部环境的风险因素（如2020年新冠肺炎疫情）可能会对企业产生重大影响。企业外部风险信息收集渠道通常包括（不限于）：

●通过公开渠道（例如新闻、行业会议、行业通报、法院公告等）获取风险信息。

●通过调研考察、座谈交流等方式获取外部风险信息。

●通过与专业平台（如舆情监控平台、咨询顾问、第三方审计）3.2.3　风险识别与评价工具在风险识别过程中，企业可借助对已有风险信息的发现与积累、相关分析工具等，及时、全面和准确地获取风险信息。典型的风险识别工具如下所述，具体的应用实操过程可参看第3.3.4节“综合案例：风险识别、评价与措施制定实例”。

1.企业内外部风险基础信息收集

企业内部风险信息收集来源通常包括（不限于）：

●企业内部审计或内控评价工作中发现的风险信息。

●企业内部各项工作、事件、事故的记录及报告。

●利用企业内部风险评估问卷调查等手段识别的风险信息。

●企业管理制度、流程等文件中所体现的风险信息。

另外，外部环境的风险因素（如2020年新冠肺炎疫情）可能会对企业产生重大影响。企业外部风险信息收集渠道通常包括（不限于）：

●通过公开渠道（例如新闻、行业会议、行业通报、法院公告等）获取风险信息。

●通过调研考察、座谈交流等方式获取外部风险信息。

●通过与专业平台（如舆情监控平台、咨询顾问、第三方审计）合作、利用企业信用查询工具等，获取外部风险信息。

2.风险识别与评价的工具及方法

在基本确定风险框架和颗粒度的基础上，企业可利用下述识别与评价实施工具（见表3-3）开展具体工作。在企业的实际操作过程中，下述工具可以组合使用，具体可参看第3.3.4节“综合案例：风险识别、评价与措施制定实例”。

表3-3　风险识别与评价实施工具

在实施上述活动的过程中，企业可以灵活应用下列风险识别与评价方法（见表3-4）。

表3-4　风险识别与评价方法合作、利用企业信用查询工具等，获取外部风险信息。

2.风险识别与评价的工具及方法

在基本确定风险框架和颗粒度的基础上，企业可利用下述识别与评价实施工具（见表3-3）开展具体工作。在企业的实际操作过程中，下述工具可以组合使用，具体可参看第3.3.4节“综合案例：风险识别、评价与措施制定实例”。

表3-3　风险识别与评价实施工具

在实施上述活动的过程中，企业可以灵活应用下列风险识别与评价方法（见表3-4）。

表3-4　风险识别与评价方法