话里话外：通过流程实现企业内控的风险识别

延展咨询的客户曾发生过这样一个生产事故：技术部门借用其他产品的图纸，并在此基础上进行了一些修改，但这个修改并没有通知到位。生产部门看到图纸后以为是其他产品工艺，并按此执行了生产工艺，结果直到生产完成后才发现工艺做错，所做的所有产品报废。发生事故后，企业当然会非常紧急的排查、解决、整改，但是对于企业而言，更重要的不是等待事故的到来，而是防患于未然，这也是为何企业内控中非常强调风险评估的原因。企业的内控管理常常都是风险导向，因此，延展咨询认为：对于企业来说，企业内控的基础工作应该是风险识别。在企业内控的五大要素中，风险评估分别包括风险识别、风险分析以及风险应对这三个过程，而风险识别则是风险评估的第一步。

对于业务风险和管理风险而言，最方便的风险识别载体就是流程，因为固化过的流程有明确的步骤和责任主体，便于按节点的进行风险识别。这也是延展咨询为何在做企业内控的时候，很强调企业是否具有健全完整的流程体系，通过流程作为载体，可以更快捷有效的进行企业内控的工作。

利用流程来进行风险识别的步骤主要有三步：筛选、模拟以及归类。

对于一个有着完整流程体系的企业来说，首先要从其固化流程的风险筛选开始做起。这种筛选往往采用的是经验法，即由相关部门对其所熟悉的流程中可能产生风险的节点进行汇总上报。在筛选的过程中，需要关注几点：1、针对流程的每一个步骤，考量其是否为重要风险节点，尤其是资料交付、产品转序等涉及人、财、物的重要活动；2、重点关注过去曾经发生过的事故节点；3、在前期流程梳理或是优化过程中，重点改动的活动节点。以上面发生的事故为例，其风险节点应该在图纸借用流程中技术部借用信息记录这个节点，对于需要记录的信息是否有确切的记录方式得以保存，以及图纸下发流程中技术部通知相关部门这个节点上，是否将应有的信息传递给相关部门。

在获得初步的风险节点清单以后，则需要由内控主体部门开始进行风险的模拟，通过模拟活动来甄别风险节点的可能危害程度以及产生危害的几率。这种模拟活动需要让流程从正常、异常和紧急状态这三种活动状态出发，分别模拟这三种活动的情况发生后对流程过程和结果可能带来的影响，对于其危害结果要同时考虑其对过去、现在和未来三种时态，并同时评估产生这些危害的几率。在评估危害几率的过程中，可以考虑采用专家评估法或是问卷调查，通过估计危害可能发生的频率、是否有检查活动、是否已经受到控制、是否有规范性的制度以及员工能力这几个角度来评估危害可能发生的几率。

在获得风险节点危害程度以及发生几率数据以后，则对风险节点进行排序分类，通过计算风险预期危害数值，按照一定的划分标准，对前期风险节点清单中的节点进行划分，一般以重大、一般以及较轻三种类型区别（根据企业实际情况决定）。通过内控部门以及相关领导的最终评审后，获得最终的风险管控表清单。

显然对于前面所描述的那个案例来说，是一个比较重要的风险管控点。延展咨询强调：如果企业能够在前期就对这类风险点加以识别，并通过后期的其他风险评估过程，设计并执行应有的控制活动，则可以为企业大大降低运营风险，从而起到节约成本，增强企业生存能力的作用。