風險評估流程圖:識別與降低業務風險
學習如何建立識別、分析和降低業務風險的風險評估流程圖。包含 IT、財務和專案風險的模板。
每家企業都面臨風險——運營故障、財務損失、合規違規、網路攻擊。處理風險出色的組織,不是那些能夠避免不確定性的組織;而是那些擁有系統化流程來識別和回應風險的組織。風險評估流程圖將這個流程轉變為可重複、可稽核和可培訓的工具。
本指南介紹如何建立完整的風險評估流程圖,從初始識別到監控和審查。它涵蓋了主要風險類別、每個階段的決策標準,以及你可以立即調整的行業特定範例。
風險評估流程圖的作用
風險評估流程圖記錄了你的組織評估潛在威脅並決定如何應對的流程。與靜態的風險登記冊或試算表不同,流程圖使決策邏輯明確——誰做什麼、在什麼條件下,以及下一步是什麼。
價值在於流程,而不只是輸出:
- 新團隊成員遵循與資深人員相同的步驟
- 稽核人員可以看到已定義的流程存在並被遵循
- 當沒有步驟處理特定情境時,覆蓋範圍的差距變得清晰
- 跨部門和風險類型的一致處理
核心風險評估框架
無論行業或風險類型如何,大多數風險框架都遵循相同的一般結構:
┌──────────────┐
│ 識別 │
│ 風險 │
└──────┬───────┘
│
▼
┌──────────────┐
│ 分析 │
│ 概率和影響 │
└──────┬───────┘
│
▼
┌──────────────┐
│ 評估 │
│ 風險等級 │
└──────┬───────┘
│
▼
┌──────────────────────────────────────────────────────┐
│ 處理:接受 / 降低 / 轉移 / 避免 │
└──────┬───────────────────────────────────────────────┘
│
▼
┌──────────────┐
│ 實施 │
│ 控制 │
└──────┬───────┘
│
▼
┌──────────────┐
│ 監控 │
│ 和審查 │
└──────────────┘
每個階段都有自己的決策邏輯,流程會循環回來——監控將新資訊饋送到下一個識別週期。
第一階段:風險識別
第一步是在風險實現之前浮現潛在風險。這個階段回答的問題是:什麼可能出問題?
風險識別的常見來源:
- 歷史事件 — 過去發生了什麼問題,無論是內部還是同行組織?
- 流程映射 — 逐步遍歷每個業務流程,詢問哪裡可能發生故障
- 專家訪談 — 部門主管和第一線員工通常了解不會出現在報告中的風險
- 外部來源 — 行業報告、監管指導、威脅情報饋送
- 變更事件 — 新系統、收購、市場轉變、監管變更
這個階段的輸出是一個原始風險列表。此時不進行過濾——在評估之前先捕獲所有內容。
┌─────────────────────┐
│ 觸發:識別新風險 │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ 這是已知的風險變體嗎?│
└──────────┬──────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌───────────┐ ┌───────────────┐
│ 更新現有 │ │ 建立新風險記錄│
│ 記錄 │ └───────┬───────┘
└───────────┘ │
▼
┌────────────────┐
│ 分配風險 │
│ 擁有者 │
└────────┬───────┘
│
▼
┌────────────────┐
│ 進入 │
│ 分析階段 │
└────────────────┘
每個已識別的風險都應有一個擁有者——負責追蹤和回應的具名人員。
第二階段:風險分析
分析使用兩個維度量化風險:概率(發生的可能性有多大?)和影響(如果發生了會有多糟糕?)。
概率 × 影響矩陣
| 影響 \ 概率 | 罕見 (1) | 不太可能 (2) | 可能 (3) | 很可能 (4) | 幾乎確定 (5) |
|---|---|---|---|---|---|
| 災難性 (5) | 5 | 10 | 15 | 20 | 25 |
| 重大 (4) | 4 | 8 | 12 | 16 | 20 |
| 中等 (3) | 3 | 6 | 9 | 12 | 15 |
| 輕微 (2) | 2 | 4 | 6 | 8 | 10 |
| 可忽略 (1) | 1 | 2 | 3 | 4 | 5 |
評分 = 概率 × 影響。此評分驅動第三階段的評估。
┌─────────────────────┐
│ 評估概率 │
│ (1-5 評分) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ 評估影響 │
│ (1-5 評分) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ 計算風險評分 │
│ 評分 = 概率 × 影響 │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ 記錄固有風險 │
│ (控制前) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ 是否已有控制措施? │
└──────────┬──────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌─────────────┐ ┌────────────────┐
│ 記錄殘留 │ │ 記錄未受控 │
│ 風險評分 │ │ 風險評分 │
└─────┬───────┘ └───────┬────────┘
└──────────────────┘
│
▼
┌─────────────────────┐
│ 進入 │
│ 評估階段 │
└─────────────────────┘
同時評估固有風險(控制前)和殘留風險(控制後),可以顯示你現有的控制措施是否真的有效。
第三階段:風險評估
評估將評分轉化為決策:這個風險是否可以按現狀接受,還是需要採取行動?
大多數框架使用三個風險等級:
| 風險評分 | 等級 | 預設行動 |
|---|---|---|
| 15-25 | 高 | 需要立即採取行動 |
| 8-14 | 中 | 需要在規定時間內採取行動 |
| 1-7 | 低 | 監控;如果不存在具成本效益的控制,則接受 |
┌─────────────────┐
│ 風險評分 │
└────────┬────────┘
│
┌───────────────┼───────────────┐
│ │ │
評分 1-7 評分 8-14 評分 15-25
│ │ │
▼ ▼ ▼
┌────────────┐ ┌─────────────┐ ┌────────────┐
│ 低 │ │ 中 │ │ 高 │
│ 接受或 │ │ 90 天內 │ │ 需要立即 │
│ 監控 │ │ 採取行動 │ │ 行動 │
└────────────┘ └─────────────┘ └────────────┘
│ │ │
└───────────────┴───────────────┘
│
▼
┌─────────────────────┐
│ 選擇處理策略 │
└─────────────────────┘
第四階段:風險處理
一旦評估了風險,你就要選擇如何處理它。有四種標準處理選項:
| 處理 | 定義 | 何時使用 |
|---|---|---|
| 接受 | 承認風險,不採取行動 | 控制成本超過潛在損失的低評分風險 |
| 降低 | 實施控制以降低概率或影響 | 大多數中等和高風險 |
| 轉移 | 將風險轉移給另一方(保險、合約) | 具有可量化財務影響的風險 |
| 避免 | 停止產生風險的活動 | 沒有具成本效益的降低措施的高風險 |
┌─────────────────────┐
│ 處理成本是否 │
│ 低於預期損失? │
└──────────┬──────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌──────────┐ ┌──────────────────────┐
│ 降低 │ │ 接受、轉移 │
│ │ │ 或避免 │
└────┬─────┘ └──────────┬───────────┘
│ │
└─────────┬─────────┘
│
▼
┌────────────────────────┐
│ 風險能否 │
│ 轉移(投保、 │
│ 外包)? │
└───────────┬────────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌─────────┐ ┌────────────────────┐
│ 轉移 │ │ 能否停止產生風險的 │
└─────────┘ │ 活動? │
└────────┬───────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌────────┐ ┌────────┐
│ 避免 │ │ 接受 │
└────────┘ │ 並審查 │
└────────┘
第五階段:降低規劃
對於你選擇降低的風險,下一步是定義具體的控制措施並分配責任。
降低計劃回答四個問題:
- 什麼控制措施將被實施?
- 誰負責實施?
- 何時將完成?
- 如何衡量有效性?
┌─────────────────────────┐
│ 定義控制類型: │
│ - 預防性 │
│ - 偵測性 │
│ - 矯正性 │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ 分配控制擁有者 │
│ 和截止日期 │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ 定義成功指標 │
│ (如何知道 │
│ 它正在運作?) │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ 估計控制後 │
│ 的殘留風險 │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ 殘留風險 │
│ 可以接受嗎? │
└──────────┬──────────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌──────────┐ ┌────────────────┐
│ 進入 │ │ 添加額外控制 │
│ 實施 │ │ 或重新考慮 │
│ │ │ 處理方式 │
└──────────┘ └────────────────┘
第六階段:監控和審查
風險評估不是一次性的練習。隨著業務變化,風險也會改變,控制措施也會隨時間退化。
┌─────────────────────┐
│ 設置審查頻率: │
│ 高:季度 │
│ 中:半年 │
│ 低:年度 │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ 觸發事件? │
│ (事件、稽核、 │
│ 重大變更) │
└──────────┬──────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌──────────┐ ┌──────────────────┐
│ 立即 │ │ 等待 │
│ 審查 │ │ 排程審查 │
└────┬─────┘ └────────┬─────────┘
└─────────────────┘
│
▼
┌─────────────────────┐
│ 控制措施仍然 │
│ 有效嗎? │
└──────────┬──────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌────────────┐ ┌────────────────┐
│ 繼續 │ │ 更新控制措施 │
│ 監控 │ │ 或重新評估 │
│ │ │ 風險評分 │
└────────────┘ └────────┬───────┘
│
▼
┌─────────────────┐
│ 返回第三階段: │
│ 評估 │
└─────────────────┘
風險類別和領域特定範例
運營風險
運營風險來自人員、流程、系統和外部事件。
| 風險範例 | 概率 | 影響 | 處理 |
|---|---|---|---|
| 關鍵員工離職 | 很可能 | 重大 | 降低:交叉培訓,記錄流程 |
| 供應商失敗 | 可能 | 重大 | 降低:雙重來源;轉移:合約罰款 |
| 資料輸入錯誤 | 幾乎確定 | 輕微 | 降低:驗證控制 |
| 辦公室淹水 | 罕見 | 災難性 | 轉移:保險;降低:備援場所 |
IT 安全風險評估流程圖:
┌───────────────────────┐
│ 識別安全威脅 │
└──────────┬────────────┘
│
▼
┌───────────────────────┐
│ 系統是否對外暴露? │
└──────────┬────────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌──────────┐ ┌──────────────────┐
│ 高暴露 │ │ 系統是否在 │
│ 風險 │ │ 內部網路上? │
└────┬─────┘ └────────┬─────────┘
│ ┌──────┴──────┐
│ 是 否
│ │ │
│ ▼ ▼
│ ┌────────┐ ┌──────────┐
│ │ 中等 │ │ 低 │
│ │ 風險 │ │ 風險 │
│ └────────┘ └──────────┘
│ │ │
└──────────┴─────────────┘
│
▼
┌─────────────────────┐
│ 應用控制措施: │
│ 修補程式、MFA、 │
│ 網路分段、 │
│ 監控 │
└─────────────────────┘
財務風險
財務風險影響現金流、盈利能力或資產負債表。
常見的財務風險流程圖決策點:
- 貨幣暴露:風險是否超過定義的門檻?如果是,考慮對沖工具。
- 信用風險:交易對手是否符合信用標準?如果否,要求擔保或拒絕。
- 流動性風險:流動資產是否足以覆蓋 90 天的運營費用?如果否,觸發現金管理審查。
專案風險
專案風險是有時間限制的。在第 1 週重要的風險到第 10 週可能無關緊要。
┌───────────────────────┐
│ 識別新的專案風險 │
└──────────┬────────────┘
│
▼
┌───────────────────────┐
│ 風險是否在關鍵路徑上?│
└──────────┬────────────┘
│
┌──────┴──────┐
是 否
│ │
▼ ▼
┌──────────┐ ┌────────────────────┐
│ 需要 │ │ 加入風險登記冊, │
│ 立即 │ │ 在每週會議中監控 │
│ 行動 │ └────────────────────┘
└──────────┘
合規風險
合規風險來自監管要求、合約和內部政策。
關鍵決策:是否有具體的監管截止日期?如果是,降低時間表是不可商量的——合規不是可選的。
聲譽風險
聲譽風險更難量化,但通常是最重要的。一個有用的替代指標:如果這個風險實現了並變成公開消息,它將如何影響客戶信任、股價或招募?
對於聲譽風險,處理決策通常涉及溝通規劃以及運營控制。
使用 Flowova 建立你的風險評估流程圖
從頭建立全面的風險評估流程圖非常耗時。Flowova 的文字轉流程圖工具可以讓你用純文字描述你的風險流程,在幾秒鐘內生成結構化的流程圖。然後你可以直接編輯節點,添加決策分支,並調整版面配置,而無需手動觸摸圖表畫布。
對於正在調整現有風險框架(ISO 31000、COSO ERM、NIST RMF)的組織,Flowova 的流程圖模板提供了一個起點,你可以根據你的具體行業和風險承受度進行調整。
風險評估流程圖中的常見錯誤
混淆概率和影響。 高概率、低影響的風險(如印表機卡紙)的評分低於低概率、高影響的風險(如資料外洩)。在你的評分邏輯中清楚地區分這兩個維度。
沒有明確的擁有權。 沒有擁有者的風險是沒有人的問題。每條風險記錄都應有一個具名的個人,而不是部門或委員會。
將監控視為可選的。 監控迴圈是使風險評估持續而非一次性合規練習的關鍵。將其構建到流程圖中並明確分配責任。
過時的風險評分。 兩年前有效的控制措施現在可能不再有效。安排審查,並在重大事件上觸發它們——新系統部署、監管變更、行業事件。
二元通過/失敗。 真正的風險處理很少是接受/拒絕。將四個處理選項(接受、降低、轉移、避免)構建為不同的路徑,每個路徑都有自己的決策標準。
結語
風險評估流程圖將抽象的治理義務轉化為具體的、可重複的流程。通過記錄每個階段——識別、分析、評估、處理、實施和監控——你建立了一個任何團隊成員都可以遵循、任何稽核人員都可以驗證的系統。
從核心六階段流程開始,然後為你最高優先級的風險類別添加領域特定的決策邏輯。每年至少審查一次流程圖本身:如果你的業務發生了變化,風險流程應該反映這一點。
相關資源
- 流程映射指南 — 映射和改善運營工作流程
- 泳道圖指南 — 流程圖中的跨功能責任制
- 決策樹 vs 流程圖 — 選擇正確的圖表類型
- 文字轉流程圖工具 — 即時將風險描述轉換為圖表
