3.2.3　风险识别与评价工具

在风险识别过程中，企业可借助对已有风险信息的发现与积累、相关分析工具等，及时、全面和准确地获取风险信息。典型的风险识别工具如下所述，具体的应用实操过程可参看第3.3.4节“综合案例：风险识别、评价与措施制定实例”。

1.企业内外部风险基础信息收集

企业内部风险信息收集来源通常包括（不限于）：

●企业内部审计或内控评价工作中发现的风险信息。

●企业内部各项工作、事件、事故的记录及报告。

●利用企业内部风险评估问卷调查等手段识别的风险信息。

●企业管理制度、流程等文件中所体现的风险信息。

另外，外部环境的风险因素（如2020年新冠肺炎疫情）可能会对企业产生重大影响。企业外部风险信息收集渠道通常包括（不限于）：

●通过公开渠道（例如新闻、行业会议、行业通报、法院公告等）获取风险信息。

●通过调研考察、座谈交流等方式获取外部风险信息。

●通过与专业平台（如舆情监控平台、咨询顾问、第三方审计）合作、利用企业信用查询工具等，获取外部风险信息。

2.风险识别与评价的工具及方法

在基本确定风险框架和颗粒度的基础上，企业可利用下述识别与评价实施工具（见表3-3）开展具体工作。在企业的实际操作过程中，下述工具可以组合使用，具体可参看第3.3.4节“综合案例：风险识别、评价与措施制定实例”。

表3-3　风险识别与评价实施工具

在实施上述活动的过程中，企业可以灵活应用下列风险识别与评价方法（见表3-4）。

表3-4　风险识别与评价方法