风险评估流程图:识别和降低业务风险
学习如何构建识别、分析和降低业务风险的风险评估流程图。包含 IT、财务和项目风险的模板。
每个企业都面临风险——运营失败、财务损失、合规违规、网络攻击。处理风险好的组织不是那些避免不确定性的组织;而是那些有系统性流程来识别和应对风险的组织。风险评估流程图将这个流程转化为可重复、可审计和可培训的东西。
本指南带你构建完整的风险评估流程图,从初始识别到监控和审查。涵盖主要风险类别、每个阶段的决策标准,以及你可以立即调整应用的行业特定示例。
风险评估流程图的作用
风险评估流程图记录组织评估潜在威胁并决定如何处理的流程。与静态的风险登记册或电子表格不同,流程图使决策逻辑变得显式——谁在什么条件下做什么,下一步是什么。
价值在于流程本身,而非仅仅是输出:
- 新团队成员遵循与老员工相同的步骤
- 审计人员可以看到已定义的流程存在且被遵循
- 当没有步骤处理特定场景时,覆盖空白变得可见
- 跨部门和风险类型的一致处理
核心风险评估框架
无论行业或风险类型,大多数风险框架都遵循相同的一般结构:
┌──────────────┐
│ 识别 │
│ 风险 │
└──────┬───────┘
│
▼
┌──────────────┐
│ 分析 │
│ 概率 │
│ 和影响 │
└──────┬───────┘
│
▼
┌──────────────┐
│ 评估 │
│ 风险级别 │
└──────┬───────┘
│
▼
┌──────────────────────────────────────────────────────┐
│ 处置:接受 / 降低 / 转移 / 规避 │
└──────┬───────────────────────────────────────────────┘
│
▼
┌──────────────┐
│ 实施 │
│ 控制措施 │
└──────┬───────┘
│
▼
┌──────────────┐
│ 监控 │
│ 和审查 │
└──────────────┘
每个阶段都有自己的决策逻辑,而且流程是循环的——监控将新信息输入到下一个识别周期。
第一阶段:风险识别
第一步是在风险实现之前将其浮出水面。这个阶段回答的问题是:什么可能出错?
风险识别的常见来源:
- 历史事件 — 过去在内部或同行组织中发生了什么?
- 流程映射 — 演练每个业务流程,询问哪里可能发生失败
- 专家访谈 — 部门负责人和一线员工通常知道不出现在报告中的风险
- 外部来源 — 行业报告、监管指南、威胁情报
- 变更事件 — 新系统、收购、市场转变、监管变化
这个阶段的输出是原始风险列表。此时不进行过滤——在评估之前捕获所有内容。
┌─────────────────────┐
│ 触发器:发现 │
│ 新风险 │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ 这是已知的 │
│ 风险变体吗? │
└──────────┬──────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌───────────┐ ┌───────────────┐
│ 更新 │ │ 创建新的 │
│ 现有 │ │ 风险记录 │
│ 记录 │ └───────┬───────┘
└───────────┘ │
▼
┌────────────────┐
│ 指定风险 │
│ 负责人 │
└────────┬───────┘
│
▼
┌────────────────┐
│ 进入 │
│ 分析阶段 │
└────────────────┘
每个已识别的风险都应该有一个负责人——一个负责跟踪和应对它的具名人员。
第二阶段:风险分析
分析使用两个维度量化风险:概率(发生的可能性有多大?)和影响(如果发生会有多糟糕?)。
概率 x 影响矩阵
| 影响 \ 概率 | 极少(1) | 不太可能(2) | 可能(3) | 可能性大(4) | 几乎肯定(5) |
|---|---|---|---|---|---|
| 灾难性(5) | 5 | 10 | 15 | 20 | 25 |
| 重大(4) | 4 | 8 | 12 | 16 | 20 |
| 中等(3) | 3 | 6 | 9 | 12 | 15 |
| 轻微(2) | 2 | 4 | 6 | 8 | 10 |
| 可忽略(1) | 1 | 2 | 3 | 4 | 5 |
评分 = 概率 x 影响。此评分驱动第三阶段的评估。
┌─────────────────────┐
│ 评估概率 │
│ (1-5 量表) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ 评估影响 │
│ (1-5 量表) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ 计算风险 │
│ 评分 = P x I │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ 记录固有 │
│ 风险(控制前) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ 已有控制 │
│ 措施吗? │
└──────────┬──────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌─────────────┐ ┌────────────────┐
│ 记录剩余 │ │ 记录未受控 │
│ 风险评分 │ │ 风险评分 │
└─────┬───────┘ └───────┬────────┘
└──────────────────┘
│
▼
┌─────────────────────┐
│ 进入 │
│ 评估阶段 │
└─────────────────────┘
评估固有风险(控制前)和剩余风险(控制后)显示你现有的控制措施是否真正有效。
第三阶段:风险评估
评估将评分转化为决策:这个风险目前是否可接受,还是需要采取行动?
大多数框架使用三个风险带:
| 风险评分 | 风险带 | 默认行动 |
|---|---|---|
| 15-25 | 高 | 需要立即采取行动 |
| 8-14 | 中 | 在规定时间内需要采取行动 |
| 1-7 | 低 | 监控;如果没有成本效益控制则接受 |
┌─────────────────┐
│ 风险评分 │
└────────┬────────┘
│
┌───────────────┼───────────────┐
│ │ │
评分 1-7 评分 8-14 评分 15-25
│ │ │
▼ ▼ ▼
┌────────────┐ ┌─────────────┐ ┌────────────┐
│ 低 │ │ 中 │ │ 高 │
│ 接受或 │ │ 90 天内 │ │ 需要立即 │
│ 监控 │ │ 采取行动 │ │ 采取行动 │
└────────────┘ └─────────────┘ └────────────┘
│ │ │
└───────────────┴───────────────┘
│
▼
┌─────────────────────┐
│ 选择处置 │
│ 策略 │
└─────────────────────┘
第四阶段:风险处置
一旦评估了风险,你就要选择如何处理它。有四种标准处置选项:
| 处置 | 定义 | 何时使用 |
|---|---|---|
| 接受 | 承认风险,不采取行动 | 控制成本超过潜在损失的低评分风险 |
| 降低 | 实施控制措施以降低概率或影响 | 大多数中等和高风险 |
| 转移 | 将风险转移给另一方(保险、合同) | 具有可量化财务影响的风险 |
| 规避 | 停止造成风险的活动 | 没有成本效益降低措施的高风险 |
┌─────────────────────┐
│ 处置成本是否 │
│ 低于预期损失? │
└──────────┬──────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌──────────┐ ┌──────────────────────┐
│ 降低 │ │ 接受、转移 │
│ │ │ 或规避 │
└────┬─────┘ └──────────┬───────────┘
│ │
└─────────┬─────────┘
│
▼
┌────────────────────────┐
│ 风险能否 │
│ 转移(投保、 │
│ 外包)? │
└───────────┬────────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌─────────┐ ┌────────────────────┐
│转移 │ │ 能停止产生风险 │
└─────────┘ │ 的活动吗? │
└────────┬───────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌────────┐ ┌────────┐
│ 规避 │ │ 接受 │
└────────┘ │ 并审查 │
└────────┘
第五阶段:降低计划
对于选择降低的风险,下一步是定义具体的控制措施并分配责任。
降低计划回答四个问题:
- 什么控制措施将被实施?
- 谁负责实施?
- 何时完成?
- 如何衡量有效性?
┌─────────────────────────┐
│ 定义控制类型: │
│ - 预防性 │
│ - 检测性 │
│ - 纠正性 │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ 分配控制负责人 │
│ 和截止日期 │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ 定义成功指标 │
│ (你怎么知道 │
│ 它在发挥作用?) │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ 估计控制后 │
│ 的剩余风险 │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ 剩余风险 │
│ 可以接受吗? │
└──────────┬──────────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌──────────┐ ┌────────────────┐
│ 进入 │ │ 添加额外 │
│ 实施 │ │ 控制措施或 │
│ │ │ 重新考虑处置 │
└──────────┘ └────────────────┘
第六阶段:监控和审查
风险评估不是一次性的工作。随着业务变化,风险也会变化,控制措施也会随时间退化。
┌─────────────────────┐
│ 设定审查 │
│ 频率: │
│ 高:每季度 │
│ 中:半年度 │
│ 低:每年 │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ 触发事件? │
│ (事件、审计、 │
│ 重大变更) │
└──────────┬──────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌──────────┐ ┌──────────────────┐
│ 立即 │ │ 等待 │
│ 审查 │ │ 计划审查 │
└────┬─────┘ └────────┬─────────┘
└─────────────────┘
│
▼
┌─────────────────────┐
│ 控制措施是否 │
│ 仍然有效? │
└──────────┬──────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌────────────┐ ┌────────────────┐
│ 继续 │ │ 更新控制措施 │
│ 监控 │ │ 或重新评估 │
│ │ │ 风险评分 │
└────────────┘ └────────┬───────┘
│
▼
┌─────────────────┐
│ 返回 │
│ 第三阶段: │
│ 评估 │
└─────────────────┘
风险类别和特定领域示例
运营风险
运营风险来自人员、流程、系统和外部事件。
| 风险示例 | 概率 | 影响 | 处置 |
|---|---|---|---|
| 关键员工离职 | 可能性大 | 重大 | 降低:交叉培训、记录流程 |
| 供应商失败 | 可能 | 重大 | 降低:双供应源;转移:合同违约金 |
| 数据录入错误 | 几乎肯定 | 轻微 | 降低:验证控制 |
| 办公室洪水 | 极少 | 灾难性 | 转移:保险;降低:备用场地 |
IT 安全风险评估流程图:
┌───────────────────────┐
│ 识别安全威胁 │
└──────────┬────────────┘
│
▼
┌───────────────────────┐
│ 系统是否 │
│ 对外暴露? │
└──────────┬────────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌──────────┐ ┌──────────────────┐
│ 高 │ │ 系统是否在 │
│ 暴露风险 │ │ 内网上? │
└────┬─────┘ └────────┬─────────┘
│ ┌──────┴──────┐
│ 是 否
│ │ │
│ ▼ ▼
│ ┌────────┐ ┌──────────┐
│ │ 中等 │ │ 低 │
│ │ 风险 │ │ 风险 │
│ └────────┘ └──────────┘
│ │ │
└──────────┴─────────────┘
│
▼
┌─────────────────────┐
│ 应用控制措施: │
│ 补丁、MFA、 │
│ 网络分割、 │
│ 监控 │
└─────────────────────┘
财务风险
财务风险影响现金流、盈利能力或资产负债表。
常见财务风险流程图决策点:
- 货币敞口:风险是否超过定义的阈值?如果是,考虑对冲工具。
- 信用风险:对手方是否符合信用标准?如果否,要求抵押品或拒绝。
- 流动性风险:流动资产是否足以覆盖 90 天运营费用?如果否,触发现金管理审查。
项目风险
项目风险是有时间限制的。在第 1 周重要的风险到第 10 周可能无关紧要。
┌───────────────────────┐
│ 识别新的项目风险 │
└──────────┬────────────┘
│
▼
┌───────────────────────┐
│ 风险是否在 │
│ 关键路径上? │
└──────────┬────────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌──────────┐ ┌────────────────────┐
│ 需要立即 │ │ 添加到风险登记册 │
│ 采取行动 │ │ 在周例会上监控 │
└──────────┘ └────────────────────┘
合规风险
合规风险来自监管要求、合同和内部政策。
关键决策:是否有特定的监管截止日期?如果有,降低时间线是不可谈判的——合规不是可选的。
声誉风险
声誉风险更难量化,但往往是最重要的。有用的代理指标:如果这个风险实现并公开,它会如何影响客户信任、股价或招聘?
对于声誉风险,处置决策通常涉及沟通规划和运营控制。
使用 Flowova 构建你的风险评估流程图
从头开始创建全面的风险评估流程图很耗时。Flowova 的文字转流程图工具让你用简单的语言描述风险流程,并在几秒钟内生成结构化流程图。然后你可以直接编辑节点、添加决策分支,并调整布局,无需手动触摸图表画布。
对于适应现有风险框架(ISO 31000、COSO ERM、NIST RMF)的组织,Flowova 的流程图模板提供了一个起点,你可以根据你的具体行业和风险偏好进行定制。
风险评估流程图中的常见错误
混淆概率和影响。 高概率、低影响的风险(如打印机卡纸)比低概率、高影响的风险(如数据泄露)得分更低。在你的评分逻辑中清楚地区分这两个维度。
没有明确的负责人。 没有负责人的风险是没有人的问题。每个风险记录都应该有一个具名的个人,而非部门或委员会。
将监控视为可选项。 监控循环使风险评估成为持续性的,而不是一次性的合规练习。将其构建到流程图中并明确指定责任。
过时的风险评分。 两年前有效的控制措施现在可能已不再有效。安排审查,并在重大事件(新系统部署、监管变更、行业事件)时触发审查。
二元通过/失败。 真实的风险处置很少是接受/拒绝。将四种处置选项(接受、降低、转移、规避)构建为具有各自决策标准的不同路径。
结论
风险评估流程图将抽象的治理义务转化为具体的、可重复的流程。通过记录每个阶段——识别、分析、评估、处置、实施和监控——你创建了一个任何团队成员都可以遵循、任何审计人员都可以验证的系统。
从核心六阶段流程开始,然后为你的最高优先级风险类别添加特定领域的决策逻辑。至少每年审查一次流程图本身:如果你的业务已经变化,风险流程应该反映这些变化。
