如何识别并登记风险，建立风险数据库

前几天我们和大家分享了《风险管理**步，收集风险信息》，今天和大家聊一聊如何找风险并建立风险数据库。风险数据库和风险信息收集提到的风险信息库不同，风险数据库是用来登记识别出来的按照一定分类框架、一定格式描述出来的风险信息及相关属性。简单的风险数据库一般通俗的可以称为风险清单或风险事件库，在国际企业中称为Risk Register（风险登记/注册表）。
风险数据库是查找风险这项工作的成果，这项工作也称为风险辨识或风险识别，是风险评估的**个步骤。在企业里建立和维护好一套高质量的风险数据库，是一切风险管理工作开展的前提和基础，所以这项工作非常重要。如果风险信息没找对，工作的方向就会出现偏差，风险管理工作不可能做好。如何建立企业的风险数据库？首先，每个单位、每个部门都面临各自的风险，他们都是找风险这项工作的**责任人。

风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险评估包括风险辨识、风险分析、风险评价三个步骤。
风险评估（风险辨识、风险分析、风险评价）应由企业组织有关职能部门和业务单位实施。
中央企业全面风险管理指引

但是，如果对风险管理工作不熟悉、没有经过培训、又没有一定的规则指导，让各单位、部门自己去识别风险时，一定会出现各种各样、五花八门的样式，所以，在风险识别前，有几个工作需要完成。
1、梳理企业目标及目标分解体系从风险的定义可以看出：不确定性对目标的影响，风险随着目标的变化而变化的。所以，想要找风险，首先要盯住目标，这样才能防止出现“泛风险”或“散风险”的现象，把风险穿到企业的目标体系中去。
2、建立风险分类框架
企业的风险分类就像一张网，把所有的风险信息按照一个分类逻辑收集到这个网里来。风险分类有很多种，目前比较常用的是《中央企业全面风险管理指引》中的五大风险类别。

企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。中央企业全面风险管理指引

但是，风险的分类没有**标准，也没有**好坏，既符合一定规则，又适合企业自身情况的就好。

另外，风险分类的颗粒度可以进一步细化，分为一级风险、二级风险，甚至是三级风险。

企业的牵头部门可以根据企业情况，在充分调研征求管理层、各部门意见的基础上，初步拟定一个框架和草稿，通过召开研讨会的形式经充分讨论确定下来。

之前国资委公布过一个5大类，73子类，88小类的风险分类参考，中央企业风险分类及监控指标参考。

除了常规的风险分类的方式，也欢迎企业探索和企业管理更贴近的风险分类，请参考：风险分类越简单、越贴近企业管理越好

3、明确各类风险的责任主体原则上讲，每类风险的管控都应该分配责任主体，明确其管理责任。
但是，有些风险涉及多个责任主体，比如现金流风险、信用风险、投资风险等，日常管理部门可能并不是风险的源头部门或者整个流程涉及多个责任主体，这时就需要按照风险从产生到发展过程中的责任分段划分责任主体。4、确定风险描述方式
风险从产生到最终演变成结果（丢掉机会或承受损失），本身就是一个不确定演变成确定的过程，虽然在单线条上都遵循因果关系，但因参杂了不同场景的不同概率，有时这个因果图会变得非常复杂。风险发生过程有多条可能路径，而且之间的因果层次根据颗粒度不同，可以分出若干层次。
在这样的情况下，有时完整的描述风险会变得异常困难，从管理的角度，只能抓大放小，选取其中的一段或选取头尾简化中间过程。确定风险描述的方式，也是在统一企业的风险语言，一般情况下会描述一种风险状态，并向前分析一层驱动因素，并向后描述一层影响。
之间经常使用的一个风险登记表给大家参考。

上一篇：如何打开风险、内控、合规、审计、监察的职能边界？
下一篇：一本被中国企业忽略的内控经典，新版COSO内部控制整合框架

【查看更多】