（一）风险识别内容

风险识别内容，就是应识别哪些风险。风险识别应该全面，这不仅重要，而且也没有错。主体实施有效内部控制，既要考虑识别人们常说的危险，也要识别发展机会。放弃机会，实际是最大的风险。主体到底有哪些风险是不固定的，可以说世界上没有两个主体所面临的风险是一致的，即使是同一主体，不同时期所面临的风险也是不一致的。同一主体的不同部门、不同级别的人所面临的风险也是不一致的。所以，识别主体的风险是困难的，是没有固有模式可以借鉴的。

在内部控制规范和实践中，从主体层次和业务活动层次识别、评估、控制风险是一种现实的做法。正如COSO所说的，除了识别主体层次的风险以外，还应识别活动层次的风险。应对这个层次的风险有助于将风险评估的焦点集中在主要的业务单元或职能上，如销售、生产、营销、技术开发以及研究。成功地评估活动层次的风险有助于在主体层次保持可接受的风险水平。不管风险识别的内容多么广泛，也不管如何分类，要把主体的各种风险识别出来，离不开对诱发风险的各种因素的识别。识别风险因素是风险识别的一项内容或者说是手段。识别风险因素之所以重要，不仅在于有利于从风险产生的根源入手识别出主体所面临的风险，更重要的是一旦确定了主要的风险因素，主体管理当局就可以考虑它们的重要程度，尽可能将这些风险因素与业务活动联系起来，集中关注重要风险因素，有利于抓住主要矛盾，控制重要风险。

风险因素包括哪些，因主体的不同而不同，不同的风险产生的原因是不同的。根据唯物辩证法的观点，任何事物的产生和发展都是内因、外因共同作用的结果。因此，从内部和外部两方面来识别诱发风险产生的因素是科学的、正确的。但实际工作中，仅把风险因素按内部和外部来列示是没有实际意义的，比较现实的做法是针对可能存在的具体风险，按内部、外部因素来识别。按照常规做法，主体层次的风险可能是外部或内部因素引起的，活动层次的风险也可能是外部或内部因素引起的。当然，不论是主体层次的风险，还是活动层面的风险，以及两个层面的业务单元或职能部门的风险，具体诱发的内部或外部因素肯定是不一样的，要具体风险具体识别。就一般而言，不论哪种风险，都应考虑以下风险因素。

（1）内部因素。诱发风险产生的主要原因，总括起来如图5-1所示。

图5-1　内部因素

（2）外部因素。诱发风险产生的次要原因，总括起来如图5-2所示。

图5-2　　外部因素

诱发风险因素因具体风险的不同而不同，内部因素是主要原因，外部因素是次要原因，这也是相对的，不是绝对的。不论怎么样，根据可能出现的具体风险有针对性地识别是绝对正确的。

把识别出来具体的、分散的风险进行科学分类是有用的，便于后续风险评估工作的进行。至于按什么分类、如何分类，不应该有固定的、统一的要求，要根据主体具体实施有效内部控制需要来决定。因分类标准不同，风险的类别也就不同，也没有对错之分。不过从实施有效内部控制角度考虑，应先按主要风险分类，再按诱发风险的内部和外部原因分类，或直接按具体原因列示会更有用些。因为诱发风险的因素是多种多样的，有的风险既有内部原因，也有外部原因，这样分类便于管理。中天恒3C框架“鱼骨”如图5-3所示。

图5-3　中天恒3C框架“鱼骨”

（二）风险识别的流程

风险识别是整个风险管理过程中的一个环节，也是一种有时间、资金、人力、物力限制的，有交付成果要求的，且为一次性的活动，可以运用项目管理的思想对风险识别活动进行管理，以保证风险识别活动的效益和效率。

1.获得企业风险管理的整体计划

企业风险管理整体计划是风险识别工作开展的总体依据。该计划包括企业背景、风险管理目标、风险标准决策标准以及对风险识别的总体要求等。

2.确定风险识别的对象和范围(www.daowen.com)

风险识别的对象和范围包括确定必须开展风险识别的企业生产或业务活动的过程、计划、目标、具体的风险标准等，以获得风险识别对象的信息。

3.制订风险识别计划

风险识别计划包括识别方法的选择，在此基础上确定识别人员能力需求、识别工作时限、识别深度、识别费用、识别成果形式等。

4.准备识别工具

根据所选的具体识别方法，准备相应的识别工具，如风险识别对象的分解结构、风险因素调查表、情景分析会、风险的历史资料、风险登记表等。

5.开展调查

开展调查即通过调查进行风险因素相应风险事件和可能结果的描述及分类。

（三）风险识别中的关键问题

1.风险识别方法的选择

风险管理是一门发展比较成熟且具有创新活力的应用型学科，因而风险分析的方法和风险处置的措施非常多。风险识别的主要任务是定性地判断特定的风险是否存在，若存在，它的属性如何，因而风险识别方法通常是一些定性的风险分析方法。各种风险识别方法之间的分析角度、分析路线和分析的侧重点等有所区别。在风险识别过程中，应根据具体风险识别对象的各种因素权衡，选择适合的风险识别方法，这些因素包括风险特点、风险环境和现有风险管理资源等。比如，对新建企业进行风险分析，由于此时还没有生产，企业运营环境还未形成，很多风险因素还未出现，比较适合采用资料法、专家调查法等查找风险。

2.风险识别路线的选择

风险识别是一项复杂的系统工程，风险识别的路线不同，最终的识别结果也可能不同。风险识别的路线有很多条，如按照生产流程进行风险识别，以每个工序作为风险识别单位进行风险识别；按照风险性质进行风险识别，预测风险源和风险事件及其转化的条件；以相对独立的子部分为识别单位，识别其动态风险管理过程存在的风险等。

3.风险系统的预测和以往资料的利用

通常在风险识别时，风险事件尚未发生或仅有发生的迹象，风险系统尚未完全形成，而风险管理者必须事先预测这些风险，制订风险管理计划。因此，风险管理者必须通过适当的途径，预测风险系统，查找风险源，判断风险属性。风险系统的预测可以借助以往的类似资料，预测或模拟目标的风险系统。不但其他部门或本部门以前的风险管理经验可以借鉴，而且可以通过询问或调查专家的意见，预测目标工程的风险系统。