风险分析小组风险识别方法的实践逻辑与进阶应用

CICS内控学习 2025年08月18日 10:06 9 admin

本文内容基于国际注册内部控制师CICS资格认证项目中“技能六：执行风险评估”中有关“风险分析小组风险识别方法”的内容。风险分析小组所采用的头脑风暴法、风险暴露- 威胁图与威胁点矩阵，是风险识别阶段的三种方法。三者并非孤立存在，而是呈现"从发散到聚焦、从定性到定量" 的递进关系，共同构成了风险识别的完整认知路径。深入理解每种方法的底层逻辑、操作规范与进阶技巧，是提升风险识别质量的关键所在。

一、头脑风暴法：基于群体认知的风险发散机制

头脑风暴法作为风险识别的基础性方法，其核心价值在于通过破除个体思维定式与群体认知盲区，激活隐性风险的识别潜能。该方法的有效性并非源于简单的观点叠加，而是基于"认知碰撞 - 联想激发 - 跨界融合" 的群体智慧生成机制。

核心操作原则

奥斯本原创理论中的"四不原则"（不批评、不打断、不设限、求数量）构成了方法的基础框架，但在专业风险识别场景中需进一步细化：

延迟评判机制要求在观点收集阶段（通常设定为40-60 分钟）完全禁止任何否定性评价，包括 "这不可能发生"" 我们已经有措施了 " 等看似合理的质疑，避免过早收缩思考边界。研究表明，这种机制可使风险点提出数量提升 30%-50%，尤其是非传统风险的占比显著增加。

联想激发规则需通过"观点接龙" 实现思维延续，即每个新观点需基于前一个观点的某个维度延伸（如从 "系统宕机风险" 联想到 "备用电源切换延迟风险"），形成结构化的思维链条。这种规则能有效避免讨论陷入碎片化，使风险识别呈现出 "主风险 - 衍生风险 - 关联风险" 的层级特征。

异质化参与设计强调成员构成的跨域性，需覆盖业务操作、技术支持、内控审计、法务合规等不同领域，且应包含不同层级人员（如基层执行者与高层管理者）。这种构成确保了风险识别既能触及操作细节（如"单据录入错误"），又能关联战略层面（如 "业务模式合规性"），形成全方位的风险视角。

进阶操作要点

议题聚焦技术：为避免讨论泛化，需将核心议题拆解为具体的"风险场景"，明确 "时间 - 空间 - 业务环节" 三要素。例如，将 "供应链风险" 细化为 "疫情期间东南亚供应商断供的风险识别"，通过限定场景使思维聚焦，提升风险点与业务的贴合度。

成果结构化处理：对产出的风险点需进行标准化记录，每个风险点应包含"触发条件 - 影响对象 - 潜在后果" 三要素，为后续分析奠定基础。可采用 "风险清单矩阵" 进行初步归类，按 "业务领域 - 风险类型 - 影响程度" 三维度排序，筛选出需重点关注的高价值风险点。

迭代式应用机制：单次头脑风暴难以穷尽所有风险，需建立"多轮递进" 模式。首轮侧重发散，收集尽可能多的原始观点；第二轮进行合并与补充，完善风险描述；第三轮则聚焦关联关系，识别风险间的传导路径。这种迭代过程能使风险识别的完整性提升 40% 以上。

二、风险暴露- 威胁图：基于因果逻辑的风险解构工具

风险暴露- 威胁图通过可视化的因果关系建模，将复杂的风险系统拆解为可追溯、可分析的层级结构，其核心功能是揭示风险暴露（潜在损失）与威胁（触发因素）之间的内在关联，为控制措施的精准设计提供依据。

核心构成要素

风险暴露：即风险事件可能导致的损失，需从"资产价值 - 业务影响 - 声誉损害" 多维度定义，既包括直接损失（如设备损坏的维修成本），也包括间接损失（如业务中断导致的客户流失）。在图示中通常作为顶层结果呈现，明确分析的最终指向。

威胁因素：构成风险暴露的直接触发条件，需按"内部威胁 - 外部威胁" 分类。内部威胁包括流程缺陷、人员操作失误、系统漏洞等；外部威胁包括自然灾害、市场波动、政策变化等。每个威胁因素需具备明确的 "发生载体"（如 "数据泄露" 的载体可能是 "未加密的传输信道"）。

因果关联强度：需通过"关联系数" 标注威胁与风险暴露之间的影响程度，可采用 "强 - 中 - 弱" 三级划分。例如，"黑客攻击" 与 "数据泄露" 的关联强度为 "强"，而 "极端高温" 与 "服务器宕机" 的关联强度可能为 "中"（取决于机房散热系统效能）。

操作实施步骤

层级解构过程：采用"多问为什么" 的溯源方法，从风险暴露反向推导至根本原因，形成至少 3-4 个层级的因果链。以 "生产中断风险" 为例，第一层威胁可能是 "设备故障"，第二层可追溯至 "维护不到位"，第三层可能是 "维保计划不合理"，第四层则指向 "资源分配失衡"。这种多层解构能穿透表面现象，触及风险的本质根源。

动态关联建模：需识别威胁之间的协同效应，即多个威胁同时发生时的叠加影响。某些威胁单独存在时影响有限，但组合后可能产生"1+1>2" 的放大效应（如 "原材料涨价" 与 "汇率波动" 叠加对进口业务的影响）。在图示中可通过 "关联线" 标注这种交互关系，明确风险传导的关键节点。

边界控制机制：为避免分析范围无限扩大，需设定合理的边界条件，明确"纳入哪些威胁"" 追溯至哪个层级 "。通常以" 与业务核心目标的关联度 "为判断标准，对于关联度低于阈值的威胁可予以排除，确保分析的针对性与效率。

三、威胁点矩阵：基于量化分析的风险聚焦方法

威胁点矩阵通过结构化的量化评估，实现对高风险点的精准定位，其核心价值在于解决"有限资源如何最优分配" 的现实问题。该方法将风险识别从定性描述推向定量决策，为控制措施的优先级排序提供科学依据。

核心构成维度

控制目标维度：需基于业务系统的核心功能设定，体现"保障什么" 的价值导向。应符合 "具体、可衡量、与业务匹配" 的原则，避免抽象表述。通常可从 "资产安全 - 流程合规 - 业务连续 - 数据完整" 等维度分解，形成多层级的控制目标体系。每个目标需明确 "期望状态"（如 "核心系统年可用率≥99.99%"），作为评估基准。

威胁点维度：基于业务流程的关键节点设定，体现"风险在哪里" 的空间分布。需覆盖交易处理的全生命周期，包括 "交易发起 - 数据输入 - 传输处理 - 存储检索 - 输出应用" 等阶段，并结合数字化特征补充 "系统接口 - 权限管理 - 日志审计" 等新型节点。每个威胁点需明确 "可能发生的风险类型"（如 "数据输入阶段可能出现的伪造单据风险"）。

风险概率评估：对控制目标与威胁点的交叉点进行量化赋值，通常采用3-5 级评分制（如 1-3 分代表 "低 - 中 - 高" 概率）。评分依据需包括 "历史发生频率 - 类似案例参考 - 现有控制强度" 等多方面因素，避免主观臆断。对于缺乏历史数据的新型风险，可采用 "德尔菲专家调查法" 进行综合判定，通过多轮匿名评估收敛结果。

操作实施流程

控制目标细化：将宏观目标分解为可操作的具体指标，形成"总目标 - 子目标 - 具体指标" 的层级结构。例如，"保障资金安全" 可分解为 "支付指令验证有效"" 对账差异及时处理 ""异常交易实时预警" 等子目标，每个子目标对应明确的评估标准（如 "对账差异处理时效≤24 小时"）。

威胁点优先级排序：基于"发生概率 - 影响程度 - 控制难度" 三维度对威胁点进行排序，筛选出 "高风险 - 高影响 - 易控制" 的优先干预点。可采用 "加权评分法" 计算综合得分，其中权重分配需结合组织的风险偏好（如对合规风险敏感的企业可提高 "影响程度" 的权重）。

矩阵结果应用：根据交叉点的评分结果，识别"高风险区域"（通常为评分最高的前 20% 交叉点），作为控制措施的重点投向。对于这些区域，需制定 "针对性控制方案"，明确 "谁来做 - 做什么 - 怎么做"；对于低风险区域，可采用 "常规控制 + 定期监测" 的模式，实现资源的优化配置。同时需建立 "矩阵动态更新机制"，随业务变化与控制效果调整评分，确保风险聚焦的时效性。

结语：

三种方法的协同应用需遵循"发散 - 解构 - 聚焦" 的逻辑：头脑风暴法打开风险识别的广度，确保不遗漏潜在风险；风险暴露 - 威胁图深化分析的深度，理清风险的因果关联；威胁点矩阵提升决策的精度，实现资源的最优分配。三者共同构成了风险识别的 "方法论闭环"，其价值不仅在于识别风险本身，更在于培养风险分析小组的结构化思维能力，使风险识别从经验驱动转向体系化运作。

国际注册内部控制师CICS资格认证项目

如果你渴望在企业管理中脱颖而出，突破职业发展的瓶颈，借助内部控制的专业能力在激烈的职场竞争中掌握主动，欢迎了解国际注册内部控制师项目，实现个人成长与企业发展的双赢。

国际注册内部控制师（CICS）认证项目，专为志在内部控制、风险管理与合规领域深耕的专业人士打造，将帮助你快速提升专业影响力，赢得企业高管及行业认可，成为引领组织稳健发展的关键力量。

4.8.png