商事专栏|企业内部控制(2013版)要素之二--风险评估
✎ 第 517 篇 原创
文 | 稼轩律师 吴世军
预计预览时间:8分钟
企业作为商事活动主体,在商事交易过程中无时不刻地面临着各种风险。因此风险评估是企业内部控制必做的风险管理科目之一。风险评估是指对相关风险进行鉴别和分析,形成风险管理的基础,以实现企业内部控制。风险评估的前提是确立目标,这些目标在不同的层次上相互联系并具有内在的一致性。由于经济环境、行业、法规、和经营状况的不断变化,制定一个与这些变化相关的风险机制是必不可少的。
2009年7月1日起施行的由财政部会同证监会、审计署、银监会、保监会制定的《企业内部控制基本规范》中,明确提出了类同COSO框架下的基本要素,其中当然包括风险评估,并就风险评估内容在《规范》中进行了单独释明。由此可见国家层面已经意识到风险评估在内部控制中的重要作用。那作为商事活动主体到底应该如何进行风险评估,改善内部控制呢?
一、
确定企业风险管理整体框架和目标
《中央企业全面风险管理指引》中将“企业风险”定义为:“未来的不确定性对企业实现其经营目标的影响”。将“全面风险管理”定义为:“企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法”。
风险管理作为一项系统性、持续性的活动,确定整体管理框架和目标,对于实施风险管理具有指导性意义。只有确定了清晰、可实现性的框架和目标,风险管理具体实施者、参与者才能有针对性的采取行动来完成管理活动。
构建框架和设立目标主要应基于以下三个方面进行:
(1)经营目标。包括业绩、盈利目标和保护资产避免损失。
(2)财务报告目标。包括防止公开财务报告的欺诈。
(3)遵循性目标。包括企业应适用的法律和法规。
二、
梳理企业现存的风险管理信息
发现问题才能解决问题。实施风险管理,最为关键的环节就是对现存的风险问题进行梳理。至少包括外部问题和内部问题两大方面,具体操作过程中应分解给各个业务部门。如财务部门负责财务风险搜集汇总,市场部门负责外部风险信息搜集等。
三、
风险识别
根据搜集整理的风险信息,利用科学的方法进行风险筛选和识别。风险识别是一个重复的过程,与框架和目标紧密结合。现在使用的风险识别方法,可以分为宏观领域中的决策分析(可行性分析、投入产出分析等)和微观领域的具体分析(资产负债分析、损失清单分析等)。本文主要介绍以下几种方法:
(1)生产流程分析法,又称流程图法。生产流程又叫工艺流程或加工流程,是指在生产工艺中,从原料投入到成品产出,通过一定的设备按顺序连续地进行加工的过程。该种方法强调根据不同的流程,对每一阶段和环节,逐个进行调查和分析,并找出风险存在的原因。
(2)风险专家调查列举法。是指由风险管理人员将该企业、单位可能面临的风险逐一列出,并根据不同的标准进行分类。专家所涉及的面应尽可能广泛些,且有一定的代表性。一般的分类标准为:直接或间接;财务或非财务;政治性或经济性等。
(3)资产财务状况分析法。即按照企业的资产负债表及损益表、财产目录等财务资料,由风险管理人员经过实际调查研究,对企业财务状况进行分析,发现其潜在风险。
在具体识别风险过程中,需要综合利用一些专门技术和工具,以保证高效率地识别风险且不发生遗漏,可以运用的方法包括德尔菲法、头脑风暴法、检查表法、SWOT 技术、检查表和图解技术等。
四、
风险分析
经过搜集信息和风险识别后,企业需要进行风险分析。风险分析的过程通常包括:分析风险的重要性程度;评估风险发生的可能性或频率;提出发生风险事件时应采取何种措施。风险分析的方法有很多种,其中,采用定量分析法,特别是利用数学模型进行风险分析,是目前实践中被经常使用的方法。
风险分析的过程如果能够涵盖在所有重大业务链条之中,则此时的风险分析最为有效。这中间可能涉及到过程分析,如:主要依赖方面、关键控制点的识别和明确职责的确定。有效的过程识别特别关注组织架构内的横向关联,对例如数据的来源、储存、如何转化为有用信息以及谁使用这些信息加以确定识别。
五、
风险管理机制
1. 明确风险管理目标
风险管理机制的建立,其目的在于风险管理目标的实现,风险管理机制的开展也都是围绕着风险管理目标进行的。企业应当根据自身实际需求和条件,确定风险管理工作的目标和重点。比如,针对公司近几年的运营效益的数据进行分析和掌控,又或者组织一定的人员在公司范围内开展风险识别、风险分析和风险评估等工作。
2. 加强风险评估管理
企业在确定自身的风险管理目标后,应当以此为基础,并将其作为自身风险管理的行动原则,加强自身的风险管理措施。措施包括:督促和指导企业定期评估风险发生的可能性及影响程度,评价现有控制措施的执行情况及效果。同时企业应当根据外部条件和内部条件(如市场环境、国家政策法规、自身人员的增减)及时采取相关措施,保障风险管理的可行性、适用性,将风险管理与企业日常工作有效结合,对工作中所发现的问题和薄弱环节采取有效、必要的措施,确保将风险控制在可接受的范围内。
3. 完善风险预警管理体系
企业经营活动中存在的风险具有突发性、偶然性和不预定性,即便企业已有相关的量化预警方案,也不一定能够及时预防监控,因此企业应当在原有基础上,进一步完善自身的风险识别手段,通过调查、分析、评审等方法,探索建立更加规范、更加完善的风险预警体系。(如:定期开展数据调查和事件跟踪等。)
结论:风险评估是确认并估计相关风险,从而实现各项管理目标,确定如何形成管理风险依据的重要机制,对于形成有效的企业内部控制至关重要。
- END -