控制中风险评估的探讨

关于内部控制中风险评估的探讨撰稿人:苏金岩完成日期：2012年 2月3日 / 文档可自由编辑打印 目 录一、内部控制与风险评估的关系- 1 -二、内部控制中风险评估的重要性- 1 -三、如何进行风险评估- 2 -、目标设定- 2 -、风险识别- 2 -、风险分析- 3 -、风险应对- 5 -四、如何利用风险评估结果- 6 -五、结论- 6 -关于内部控制中风险评估的探讨摘要: 企业要实施有效的内部控制，就要识别和衡量它所面临的风险及可能产生的影响，然后采取有效的控制措施对风险进行管理。因此，风险评估就成为企业内部控制活动的关键环节。风险评估一般包括目标设定、风险识别、风险分析和风险应对等几个环节。合理利用风险评估结果，权衡控制成本与效益，对流程进行梳理与再造，然后有针对性地进行风险管控设计能最大限度降低企业经营风险。 关键词：内部控制 风险评估 风险管控一、 内部控制与风险评估的关系内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。企业在经营过程中面临着各种各样的风险，按照中央企业全面风险管理指引的有关描述，一般将企业风险划分为战略风险、财务风险、市场风险、运营风险、法律风险等五个方面。风险已成为影响企业目标实现的重要因素。内部控制的目的在于对威胁其目标实现的上述风险进行管理。企业要实施有效的内部控制，就要识别和衡量它所面临的风险及其产生的原因和影响，然后采取有效的控制措施对风险进行管理。这里识别和衡量企业所面临的风险及风险产生原因和影响的过程就是风险评估。企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险水平，包括整体风险承受能力和业务层面风险承受水平。二、 内部控制中风险评估的重要性风险评估作为内控五要素之一有着举足轻重的作用，可以说在内控五要素中内部环境是基础，风险评估是关键，控制活动是核心。内部控制就是对风险的管理与控制活动，风险的存在是控制产生的前提和基础，因此，风险评估就成为整个内部控制活动的关键。企业组织风险评估，发现经营管理中存在的风险，是加强内控建设的前提；而在内控体系建成以后，不断对经营管理中存在的风险进行定期评估，则是企业持续完善内控体系的依据。风险评估可以有效地防范战略风险、经营效益和效率性风险、财务报告失真风险，以及法律法规的遵循性等风险。所以，企业必须清楚所面临的风险，采用定性与定量相结合的方法，按照风险发生的可能性及影响程度，对识别的风险进行分析和排序，确定需要重点关注的环节和优先控制的风险，然后针对风险评估的结果，结合风险承受度，权衡风险与收益，确定风险应对策略，进而通过梳理、设计与固化控制流程，保证整个内部控制体系的有效性、针对性、完整性和成本效益原则。 三、 如何进行风险评估风险评估是对企业面临的风险的认识与客观评价，能及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。根据企业内部控制基本规范的有关规定，风险评估一般包括目标设定、风险识别、风险分析和风险应对等几个环节。 、 目标设定控制目标的设定是进行风险评估的前提。企业应结合自身的发展阶段和实际情况，在充分论证的基础上合理确定公司整体发展战略目标。在整体目标确定的基础上要进行分解与细化，细化为各部门和各业务活动的具体目标，目标具体可分为经营目标、财务报告目标和合规目标等，并尽可能予以量化，要与企业的信息化管理相结合，以便于对风险的管理、预警与控制的考核。内部控制目标的设定要切实可行，要与企业内部控制发展的不同阶段相适应，并随着内部控制的发展与管理的需要，逐步完善提高。、 风险识别企业进行风险评估时要结合目标的设定，从企业层面和业务层面准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。 企业层面企业层面既要关注外部风险，也要关注内部风险。对于识别外部风险，应当主要从政治因素、经济因素、法律因素、社会因素、科学技术因素、自然环境因素等方面予以关注。主要有政策风险、经济环境变化风险、法律法规变动风险、技术进步风险、客户需求变化风险、市场竞争风险、自然灾害风险等。对于识别内部风险，应当主要从董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素；组织机构、经营方式、资产管理、业务流程因素；研究开发、技术投入、信息技术运用等自主创新因素；财务因素和安全环保因素等方面予以关注。如：管理层变动风险以及董事会或审计委员会不作为风险、员工素质能力风险、运营风险、环境保护风险、财务状况、经营成果和现金流量风险等。例如：在财务方面注意收集资产负债率、流动比率、速动比率、净资产收益率、毛利率指标；现金流量、应收账款及占主营业务收入的比重、营业收入增长率、资金周转率指标；成本和期间费用数据等。可利用上述指标分析企业的偿债能力、盈利性、安全性、成长性，进行风险识别与预警。 业务层面对业务层面的风险进行识别时，应当主要关注业务流程和主要职能，如研发、采购、生产、营销、财务等。应当识别对企业有重大影响的较为明显的风险。如财务方面注意关注成本核算、资金结算和现金管理中曾发生或易发生错误的业务流程或环节。运营方面注意关注质量、安全生产、环保、信息系统等管理中曾发生失误或控制明显薄弱的业务流程与环节。 对于企业进行风险识别的总体架构见下表：序号风险类别风险层面内/外部风险分析1战略风险企业层面外部风险内部风险业务层面外部风险内部风险2财务风险企业层面外部风险内部风险业务层面外部风险内部风险3市场风险企业层面外部风险内部风险业务层面外部风险内部风险4运营风险企业层面外部风险内部风险业务层面外部风险内部风险5法律风险企业层面外部风险内部风险业务层面外部风险内部风险表1：风险识别表、 风险分析风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。风险分析的目的在于为企业进行风险应对，为提出风险解决方案提供依据。企业进行风险分析，应吸收企业经营管理中各方面的专业人员，组成风险分析团队，听取各方意见，进行充分论证，确保风险分析结果的准确性。风险分析应在风险识别的基础上对风险及其特征进行明确定义，然后结合内、外部因素进行风险成因分析。进而可利用风险坐标图、蒙特卡罗方法、关键风险指标管理技术等对数据进行整理与技术分析。其中风险坐标图分析简便易行，通过对风险因素从发生的可能性和影响程度两个方面设定指标，然后发放调查问卷广泛采集数据，在考虑相应权重的基础上对数据进行统计计算，据以绘制二维坐标图，对于其中风险发生的可能性和影响程度均高的风险事件即列为重大风险予以关注和管理。但实务操作过程中，由于受受访者的主观因素、不同受访者对风险的把握尺度与理解的差异、样本量、权重设置等多方面因素的影响，直接按统计结果排序和界定重大风险难免存在偏差，这就需要风险分析人员（负责咨询工作的项目经理）进行再分析与再界定。所以，我认为进行风险分析与评估，确定公司重大风险的时候，应在风险坐标图分析的基础上借鉴关键风险指标管理技术对重大风险进行再评估与再界定。关键风险指标管理技术就是对引起风险事件发生的关键成因指标进行管理的方法。一项风险事件的发生可能有多种成因，但关键成因往往只有一种或几种。比如，建筑质量合格的砖混结构房屋在正常使用情况下发生毁损倒塌的安全性风险，其影响因素一般包括：日常维修保养不够、地震、灾害性天气等不可抗力影响、人为破坏、超龄使用等，但一般情况下超龄使用应该是主要因素，所以当其接近50年正常设计使用年限时就应及时预警，采取相应措施，防范危险发生。但如果是建在地震带上的房屋，那么加强抗震烈度设防，防范地震灾害的破坏则成为主要风险因素。企业在经营管理中也应据此原理建立风险预警系统，当关键成因及其数值达到关键风险指标时，即发出风险预警，以便及时实施风险控制措施。 所以，当我们进行重大风险分析时，也一定要站在全局的角度，纵观各种风险的影响和重要性、发生的可能性，抓住其中的关键风险，确定为公司重大风险。对行业风险分析也是一个道理。例如，对我国金融行业进行风险分析时，根据对2010年我国金融业上市公司相关资料研究发现，目前我国金融业已经发展成为以国有商业银行为主体、多种金融机构分工协作、各种融资渠道并存、功能互补、协调发展的金融服务体系，金融业抗风险能力大大增强。但面对全球金融一体化和金融危机，2010年金融企业仍然面临着宏观经济风险、信用风险、流动性风险、资金管理风险、合规风险、利率风险、汇率风险、竞争风险、操作风险、技术风险等若干项风险因素，但其中主要风险依排名分别为信用风险、流动性风险、利率风险、汇率风险。也就是说2010年对于国内金融行业来说，首先要控制住信用风险、流动性风险、利率风险和汇率风险，这四项风险可以说对于我国金融业的稳健发展是极其重要的，一旦发生重大风险也必将是致命的。、 风险应对 在对风险进行科学、准确地分析基础上，就要制定相应的风险应对措施。企业内部控制基本规范指出：企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。 风险规避有些风险超出了企业的风险承受度，对于企业来讲是要坚决避免的，就要采取风险规避策略。例如，在国旅的咨询项目中，面对企业重大风险中的环境风险，我们就提出了“对一些可控可防的风险因素（如疾病疫情的传播、食物中毒、交通事故的发生等），应做好事前的防控措施。如慎选合作单位，谨慎签订合作协议，明确相关责任，并且在合作期间按相关规定检查对方是否严格履约，加强各方面的安全管理与防范等”的风险规避应对策略，坚决避免此类事件的发生。 风险降低有些风险通过适度控制，可以将其产生的不利影响控制在风险承受度之内，那么企业就可以采取风险降低的风险应对策略。风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险降低我们可以认为是在适度控制前提下的风险接受。采用这种策略一定要注意权衡控制成本是否低于可能造成的损失。 风险分担风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。例如，在国旅的咨询项目中，面对企业重大风险中的环境风险，我们提出了“对不可抗力因素可能产生的风险（如旅游业务），严格执行购买保险的相关规定，对风险进行分散和转移”的风险应对策略。 风险承受有些风险对于企业来讲，风险发生的概率较低，即使发生风险事件，可能产生的影响也较小，也就没有必要投入相应的成本对风险进行控制，这类风险多为我们风险评估中的一般风险。那么，我们就可以采取风险承受的风险应对策略，适当地接受风险，降低风险控制成本。以上风险应对策略必须是在对企业风险进行充分分析的基础上，依据企业的实际管理需要和内、外部环境的变化选择使用，可以只选用一种策略，也可以选择两种或两种以上的风险应对策略进行组合使用。风险应对策略的选择，关键是要有针对性和有效性。同时，既要实现对风险的有效控制，又要尽可能降低控制成本