3.2.2　风险分类及颗粒度

1.风险分类框架的选择

风险的识别和评价，需要在合适的风险分类框架上完成。例如，金融行业企业通常按照《巴塞尔协议》（Basel Accord），依据诱发风险的原因将风险分为信用风险、市场风险、操作风险、流动性风险、国家风险、法律风险、声誉风险和战略风险。从企业实际操作角度，风险主要有三种分类方式，其各有利弊（见表3-2）。

表3-2　企业风险分类方式

企业为了充分利用不同风险分类方式的优势，也可以采取多维分类的方式，即将一个具体风险点，采用不同的分类方式分别进行划分。例如“由于缺乏有效的实物与账务管理导致存货账实不符”的风险，可以分别按内外部风险来源划分为财务风险，按企业具体业务领域划分为资产管理风险，按管理对象类别划分为存货风险。

除了上述风险分类方式，风险还可以进行其他方式的分类，例如：

（1）可控风险vs.不可控风险。

（2）纯粹风险（如企业仓库面临的火灾风险）vs.投机风险（如企业在股票市场上的投资风险）。

（3）“无意行为”导致的风险vs.“故意行为”导致的风险。

企业在进行风险分析时，也可以同时参考这些分类方式。

2.风险颗粒度的选择

企业在实施风险识别与评价过程中，还需要考虑风险颗粒度的大小。风险颗粒度可以理解为对风险描述的细化程度，例如在“企业风险——企业经营风险——企业经营中的采购风险——采购计划风险——采购计划及时性与准确性风险”系列风险描述中，从前到后，风险颗粒度依次逐渐减小。

具体而言，对风险颗粒度的调整，至少可以从以下几个方面入手。

（1）风险所处业务环节：通过对经营过程的细分，逐步减小风险颗粒度。例如存货账实不符风险，可以分解为入库、出库、核算、日常实物接触等多个风险点，进而减小风险颗粒度。

（2）风险对应业务范围：通过减小风险对应的业务范围，逐步减小风险颗粒度。例如从“销售业务整体信用风险”到“特定销售订单信用风险”，即减小了风险颗粒度。

（3）风险对应责任主体：如企业可将各类风险划分为“企业级”“部门级”和“岗位级”，下级风险是上级风险的分解，风险颗粒度依次变小。

风险颗粒度的“大”和“小”各有利弊，颗粒度大涵盖范围广，风险描述宽泛（如“战略风险”“运营风险”等），更多地用于体现风险类别，但难以有针对性地设计控制措施。相对而言，颗粒度小则利于设计控制措施，但可能遗漏风险事项。

首先，企业应根据具体管理目的来选择风险颗粒度，例如：

（1）企业在制定整体采购目标时，应从“采购风险”角度出发，而在制定具体控制措施时，则应该选择“采购订单差错风险”“采购发票规范性风险”等更小的风险颗粒度。

（2）企业在制定整体信用政策时，应从“整体销售业务的信用风险”角度出发，而在具体销售业务中的信用评审过程中，则可以从“特定销售订单信用风险”角度出发。

其次，通常风险颗粒度越小，越容易找到风险责任主体，越能落实控制责任。例如，在“企业核算准确性风险”颗粒度下，风险责任可能需要归属到整个财务部门及与核算相关的各个业务部门，而在“××分类账科目录入准确性风险”颗粒度下，风险责任则能归属到一位具体的会计人员。因此，风险颗粒度的选择也会受到企业责任体系的影响。

[1] 《巴塞尔协议》全名为《资本充足协议》（Capital Accord），是巴塞尔委员会制定的在全球范围内主要的银行资本和风险监管标准，于1988年7月制定。