如何开展风险评估

风险评估是一套结构化流程，用于识别可能影响您目标的风险、评估其严重程度，并决定应对措施。无论评估对象是网络安全、职业安全、项目风险还是业务风险，其核心流程都是一致的。

风险管理的国际标准是 ISO 31000:2018。该标准描述了一个通用流程（识别、分析、评价、处置、监控），适用于任何组织和任何类型的风险。它本身不可认证，但却是其他标准（ISO 27001、NIS2、DORA）所依据的参考框架。

在瑞典，系统性工作环境管理（SAM）通过瑞典工作环境管理局的条例 AFS 2001:1 加以规范。雇主有义务持续调查、评估、处置并跟踪工作环境——这不是一次性项目，而是持续循环的工作。

风险评估必须形成书面记录（员工超过十人时适用），至少每年审查一次，并在发生重大变化前进行：新设备、新组织架构、新任务、搬迁或影响工作的采购活动。

• 调查

  梳理工作条件。安全巡查、员工问卷、病假统计与事件报告是典型的信息来源。

• 评估

  根据可能性和严重性评估每项已识别的风险。应涵盖物理、人体工学、化学、生物、心理社会及组织等各类风险。

• 处置

  书面行动计划，包括措施、责任人、截止日期和跟踪。未能立即解决的事项均纳入计划。

• 跟踪

  检查措施是否已执行并达到预期效果。在发生变更时或至少每年修订评估。

安全代表的参与是强制性的。 若企业设有安全代表，必须让其参与评估（瑞典《工作环境法》第6章第4条）。相关文档必须可供工作环境管理局检查。

工作场所风险与信息安全风险常有重叠（如事件期间的压力、GDPR对员工监控的要求）。整合式评估可节省时间——但需要跨职能的专业能力。

• 高层支持

  缺乏管理层支持的风险评估，只会沦为无人阅读的文件。务必确保管理层有人负责该流程。由CEO签字的一页风险管理政策便已足够。

• 界定范围

  要评估什么？整个企业、特定领域、某个项目，还是某一具体流程（如个人数据处理）？

• 界定风险容忍度

  您愿意接受哪些风险？哪些需要采取措施？写下三到四个级别（例如，得分 1–3 = 接受，4–7 = 观察，8–14 = 制定行动计划，15–25 = 立即行动）。

• 召集合适的人员

  由一人完成的风险评估只代表一人意见。邀请 3–6 名来自不同角度的关键人员：运营、财务、IT、客户关系。

这是最关键的一步。遗漏的风险比评估偏差的风险更危险。

风险识别的一些技巧：

• 结构化头脑风暴

  召集团队，逐一业务领域进行梳理。提问：”此处可能出现什么问题？”

• 以 AI 建议为起点

  RiskNote 等工具使用 AI 为每次分析建议 5 项与行业相关的风险，有助于发现您从未见过的风险。

• 回顾过往事件

  过去发生过什么问题？您、竞争对手、行业内都发生过什么？

• 参考标准清单

  ISO 27005 提供了典型信息安全风险的目录。职业安全法规也给出了工作场所风险的示例。可作为清单使用。

• 流程走查

  逐步走查关键流程（如开票、招聘、系统运维），并提问：”此处可能出现什么问题？”

对每项已识别的风险，评估其可能性和后果。标准做法是 5×5 矩阵（可能性 1–5 × 后果 1–5 = 得分 1–25）。

关键在于一致地使用评级标准。事先定义每个等级，使所有评估人员的理解保持一致。

• 可能性 1–5

  1 = 罕见（每 10 年一次），3 = 有可能（每 2–3 年一次），5 = 几乎肯定（每年多次）。

• 后果 1–5

  1 = 可忽略（正常运营中即可处理），3 = 中等（需管理层介入），5 = 灾难性（威胁生存）。

• 集体评估

  个人评估具有主观性。集体评估能获得细致观点与共识。

• 记录推理过程

  为所选择的可能性和后果等级写下一句理由。便于日后复核。

每项风险都有得分后，将其与您的风险容忍度进行对比。关键风险（例如 15–25 分）需立即制定行动计划。高风险（8–14 分）需结构化应对。中低风险可进行监控。

警惕黑天鹅——可能性低但后果灾难性的风险（L=1、C=5 得分为 5，看似很低，却可能威胁生存）。应结合定性判断，而非仅依据分数。

• 接受

  风险在容忍范围内。做好记录并继续。

• 降低（缓解）

  采取措施降低可能性或后果。最常见的选择。记录措施、责任人和截止日期。

• 转移

  通过保险、外包或合同条款将风险转出。注意：某些风险（如声誉）无法转移。

• 规避

  放弃产生该风险的活动。有时是唯一合理的选择。

风险会变化。新风险出现，旧风险失去相关性，措施也会改变局面。风险评估具有时效性。

实践建议：运营风险每季度审查，战略风险每年审查。项目风险按冲刺或指导会议更新。发生重大变化时（新供应商、法规变动、系统切换），则始终启动新一轮评估。