風險評估分為哪幾個階段?從風險評估的三個環節來看不同的階段內容：

一、風險的識別——風險評估的第一階段

從風險管理的流程可以看到，風險評估是企業進行風險管理的必經流程。風險評估對風險管理過程有直接的推動作用。風險評估又是由風險識別、風險分析及風險評價構成的一個完整過程。

風險識別是風險評估全過程的第一步。風險識別是發現、承認和描述、記錄風險的過程。對于一個風險，首先是發現，然后是認可、承認，最后是對其進行描述和記錄。風險識別的輸入是風險環境的描述和建立，輸出是一些記錄，把這些識別出來的風險匯集起來，就構成了企業的風險庫。

風險識別是識別可能影響企業目標得以實現的事件或情況，也就是可能發生什么?可能存在什么狀況?其主要目的是建立一個基于風險事件的、綜合的、廣泛的風險清單，這些事件可能創造、加強、阻礙、降低、加速或推遲目標的實現。事件是風險的載體，風險清單也以風險事件為基礎。風險清單應廣泛、全面。廣泛的風險清單非常關鍵，因為在這一過程未被識別的風險將不會被包含在進一步的風險分析中。

風險識別過程包括對風險源、風險原因、風險事件識別，對于可能對目標產生重大影響的狀況、影響的性質進行識別。

根據ISO31000，風險識別的方法包括：基于證據的方法，如檢查表法;基于結構化的提示或問題的方法，如訪談法或問卷調查法;歸納推理的方法，如危險與可操作性分析法。實際識別過程中，應注意多種方法的組合，但無論采用哪種技術和方法，在風險識別過程中應關注人的因素。

風險識別的輸出，經常表現為數據庫的形式，這些數據庫可以是簡單的EXCEL表格，也可以是Access數據庫、SQL數據庫等。數據庫的字段一般包括以下基本項：風險編號、風險名稱、風險事件、對應的業務名稱、風險源、風險原因、風險后果、影響范圍、影響性質、現有的控制措施等。

二、風險的分析——風險評估的第二階段

風險分析是理解風險性質和確定風險等級的過程。風險分析為風險評價和風險應對提供了基礎。風險分析在風險評估過程中起到承上啟下的作用。

風險分析的目的在于，第一，揭示對風險的理解;第二，為風險評價和風險應對提供輸入，以確定風險是否需要處理以及最適當的處理策略和方法。

風險分析是對“已識別的風險”進行“后果和發生可能性”分析，這就提示風險分析的具體工作內容是包括對風險源、風險原因、以及風險的正面、負面的結果，和這些結果發生可能性的考慮。同時，還要考慮現有的風險應對措施及其有效性，然后結合風險發生的可能性及后果確定風險等級。

企業可根據風險分析的目的，可獲得的數據，組織決策的需要等因素，采用定性的、半定量的、定量的方法或以上方法的組合來進行風險分析。

定性分析是通過重要性等級“高、中、低”這樣的表述來界定風險事件的后果、可能性及風險等級，然后將后果和可能性結合起來，并與定性的風險準則相比較，從而得出企業最終的風險等級。半定量分析是利用數字分級尺度來測量風險的可能性及后果，然后運用公式將兩者結合起來，得出風險等級。常見的公式有四分量表、五分量表、七分量表等。定量分析是估計出風險后果及其可能性的實際數值，計算出風險等級。

由于相關信息不可能完全窮盡，受此影響，或定量分析無法確保或沒有必要，全面地定量分析在經濟上或實際操作層面上也不一定可行。因此，此種情況下，由經驗豐富的專家對風險進行半定量或定性的分析，顯得尤為重要。但要定性分析，就應對使用的術語進行明確界定，并對風險準則的設定進行詳細記錄。

三、風險的評價——風險評估的第三階段

風險評價是風險評估全過程的第三步，本步驟是把風險分析的結果與預先設定的風險準則相比較，或在各種風險的分析結果之間進行比較，以確定風險的重要性等級。

風險評價的目的在于協助決策，這個決策是考慮風險是否需要應對以及實施應對的優先順序方面的決策。

簡言之，風險評價就是要完成以下工作：一，檢查風險分析的輸出結果，并把得到的風險等級與風險準則相比較;二，決定是否需要風險應對;三，對需要進行風險應對的風險按優先次序進行排序。

最簡單的風險評價結果是僅將風險分成兩種：需要處理的與無需處理的。這樣的處理方式無疑簡單，但其結果通常難以反映出風險估計時的不確定性因素。常見的方法是將風險劃分為三個等級段，即不可容忍的、可接受的、介與兩者之間的。對于不可容忍的，必須不惜一切代價進行風險應對。對于可接受的，則無需采取應對措施，保持監測即可。對于介與兩者之間的，則是風險管理的核心任務之一。應著重考慮實施風險應對的成本與效益，并權衡機遇對目標的影響。

風險評價的結果應滿足風險應對的需要，風險評價的結果要有足夠的可信性、準確性、完整性，否則應做進一步的分析。當然，風險評價也可能導致除了維持現有的控制措施外，不進行任何風險應對的決定。

推薦閱讀：