商事专栏｜企业内部控制（2013版）要素之二--风险评估

企业作为商事活动主体，在商事交易过程中无时不刻地面临着各种风险。因此风险评估是企业内部控制必做的风险管理科目之一。风险评估是指对相关风险进行鉴别和分析，形成风险管理的基础，以实现企业内部控制。风险评估的前提是确立目标，这些目标在不同的层次上相互联系并具有内在的一致性。由于经济环境、行业、法规、和经营状况的不断变化，制定一个与这些变化相关的风险机制是必不可少的。

2009年7月1日起施行的由财政部会同证监会、审计署、银监会、保监会制定的《企业内部控制基本规范》中，明确提出了类同COSO框架下的基本要素，其中当然包括风险评估，并就风险评估内容在《规范》中进行了单独释明。由此可见国家层面已经意识到风险评估在内部控制中的重要作用。那作为商事活动主体到底应该如何进行风险评估，改善内部控制呢？

一、

确定企业风险管理整体框架和目标 

《中央企业全面风险管理指引》中将“企业风险”定义为：“未来的不确定性对企业实现其经营目标的影响”。将“全面风险管理”定义为：“企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法”。

风险管理作为一项系统性、持续性的活动，确定整体管理框架和目标，对于实施风险管理具有指导性意义。只有确定了清晰、可实现性的框架和目标，风险管理具体实施者、参与者才能有针对性的采取行动来完成管理活动。

构建框架和设立目标主要应基于以下三个方面进行：

（1）经营目标。包括业绩、盈利目标和保护资产避免损失。

（2）财务报告目标。包括防止公开财务报告的欺诈。

（3）遵循性目标。包括企业应适用的法律和法规。

二、

梳理企业现存的风险管理信息

发现问题才能解决问题。实施风险管理，最为关键的环节就是对现存的风险问题进行梳理。至少包括外部问题和内部问题两大方面，具体操作过程中应分解给各个业务部门。如财务部门负责财务风险搜集汇总，市场部门负责外部风险信息搜集等。

三、

风险识别

根据搜集整理的风险信息，利用科学的方法进行风险筛选和识别。风险识别是一个重复的过程，与框架和目标紧密结合。现在使用的风险识别方法，可以分为宏观领域中的决策分析（可行性分析、投入产出分析等）和微观领域的具体分析（资产负债分析、损失清单分析等）。本文主要介绍以下几种方法：

（1）生产流程分析法，又称流程图法。生产流程又叫工艺流程或加工流程，是指在生产工艺中，从原料投入到成品产出，通过一定的设备按顺序连续地进行加工的过程。该种方法强调根据不同的流程，对每一阶段和环节，逐个进行调查和分析，并找出风险存在的原因。

（2）风险专家调查列举法。是指由风险管理人员将该企业、单位可能面临的风险逐一列出，并根据不同的标准进行分类。专家所涉及的面应尽可能广泛些，且有一定的代表性。一般的分类标准为：直接或间接；财务或非财务；政治性或经济性等。

（3）资产财务状况分析法。即按照企业的资产负债表及损益表、财产目录等财务资料，由风险管理人员经过实际调查研究，对企业财务状况进行分析，发现其潜在风险。

在具体识别风险过程中，需要综合利用一些专门技术和工具，以保证高效率地识别风险且不发生遗漏，可以运用的方法包括德尔菲法、头脑风暴法、检查表法、SWOT 技术、检查表和图解技术等。

四、

风险分析

经过搜集信息和风险识别后，企业需要进行风险分析。风险分析的过程通常包括：分析风险的重要性程度；评估风险发生的可能性或频率；提出发生风险事件时应采取何种措施。风险分析的方法有很多种，其中，采用定量分析法，特别是利用数学模型进行风险分析，是目前实践中被经常使用的方法。

风险分析的过程如果能够涵盖在所有重大业务链条之中，则此时的风险分析最为有效。这中间可能涉及到过程分析，如：主要依赖方面、关键控制点的识别和明确职责的确定。有效的过程识别特别关注组织架构内的横向关联，对例如数据的来源、储存、如何转化为有用信息以及谁使用这些信息加以确定识别。

五、

风险管理机制

1. 明确风险管理目标

风险管理机制的建立，其目的在于风险管理目标的实现，风险管理机制的开展也都是围绕着风险管理目标进行的。企业应当根据自身实际需求和条件，确定风险管理工作的目标和重点。比如，针对公司近几年的运营效益的数据进行分析和掌控，又或者组织一定的人员在公司范围内开展风险识别、风险分析和风险评估等工作。

2. 加强风险评估管理

企业在确定自身的风险管理目标后，应当以此为基础，并将其作为自身风险管理的行动原则，加强自身的风险管理措施。措施包括：督促和指导企业定期评估风险发生的可能性及影响程度，评价现有控制措施的执行情况及效果。同时企业应当根据外部条件和内部条件(如市场环境、国家政策法规、自身人员的增减)及时采取相关措施，保障风险管理的可行性、适用性，将风险管理与企业日常工作有效结合，对工作中所发现的问题和薄弱环节采取有效、必要的措施，确保将风险控制在可接受的范围内。

3. 完善风险预警管理体系

企业经营活动中存在的风险具有突发性、偶然性和不预定性，即便企业已有相关的量化预警方案，也不一定能够及时预防监控，因此企业应当在原有基础上，进一步完善自身的风险识别手段，通过调查、分析、评审等方法，探索建立更加规范、更加完善的风险预警体系。（如：定期开展数据调查和事件跟踪等。）

结论：风险评估是确认并估计相关风险，从而实现各项管理目标，确定如何形成管理风险依据的重要机制，对于形成有效的企业内部控制至关重要。