内部控制中的风险评估

我国《企业内部控制基本规范》（以下简称《基本规范》）提出我国内部控制的基本要素包括内部环境、风险评估、控制活动、信息与沟通和内部监督等五项，并在《基本规范》中单辟一章，就风险评估的有关内容进行了规定。

在市场经济条件下，每个企业都面临着来自外部和内部的风险。企业内部控制就是通过对风险的控制以实现其目标的，风险评估是企业内部控制的重要内容之一。内部控制中的风险评估的概念有广义和狭义之分。广义的风险评估包括目标设定、风险识别、风险分析、风险应对等；狭义的风险评估仅仅是指风险分析，即通过采用定性分析和定量分析，按照企业风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

一、《内部控制框架》中的风险评估

美国COSO委员会《内部控制框架》所使用的风险评估概念属于广义风险评估，《内部控制框架》将其作为内部控制的关键构成要素。

（一）设定目标

根据《内部控制框架》，风险评估首先要设定目标。设定目标是风险评估的前提条件。风险是与目标伴随的，首先必须有目标，管理层才能对实现目标的风险进行识别。根据《内部控制框架》，目标设定不属于内部控制的构成要素，但它是内部控制的前提条件，为此《内部控制框架》专门对目标设定进行了论述。目标包括企业层面的目标和业务层面的目标。管理层通过目标设定来明确业绩衡量标准，目标具体分为经营目标、财务报告目标和合规目标。经营目标是管理层基于企业所处特定经营环境所设定的业绩衡量标准；财务报告目标在于对外公布的财务报告的可靠性；合规性目标则要求企业的经营活动遵循适用的法律法规。这些目标是相互补充和相互关联的。

（二）风险识别

1.风险识别必须与目标联系，无论目标是明确的还是隐含的，企业的风险识别应当考虑到目标实现面临的各种可能出现的风险。2.风险识别是一个持续性、反复的过程。3.进行风险识别时应当关注企业各个层面的风险，包括企业层面的风险和业务层面的风险。对主体层面的风险进行识别时，既要关注外部风险，也要关注内部风险。来自外部的风险主要有技术进步引起的风险、客户需求变化风险、市场竞争风险、法律法规变动风险、自然灾害风险以及经济环境变化风险等;来自内部的风险包括信息系统故障风险、员工素质能力等方面的风险、管理层变动风险以及董事会或审计委员会不作为的风险等。对业务层面的风险进行识别时，应当将该层面的风险评估集中于主要业务流程和主要职能上，如销售、生产、营销、研究开发等。应当识别对企业有重大影响的较为明显的风险。

（三）风险分析，即狭义的风险评估

企业在对企业层面的风险和业务层面的风险识别后，则需要进行风险分析。风险分析的方法多种多样。风险分析的过程通常包括估计风险的严重性、评估风险发生的可能性、评估应采取的措施等三个步骤。应当注意的是，作为内部控制一部分的风险评估，与作为管理过程应对措施而采取的计划、方案及其他措施存在着区别。

（四）建立识别环境变化的机制

风险评估本质上是一个识别变化并采取必要措施的过程。随着经济、行业和监管等外部环境的变化，企业的经营活动也将发生相应的调整，企业应当建立一套正式或非正式的程序，对可能影响企业目标实现的风险进行识别。管理层应当特别关注以下对环境影响的因素，这些因素包括已变化的经营环境、管理层人员更换及员工大规模更换、使用新的或调整后的信息系统、经营业务快速增长、采用新技术、开拓新的经营领域、进行公司重组等。企业应当建立一定的机制，对发生变化的外部环境进行识别。

二、《企业风险管理框架》中的风险评估

美国COSO委员会2004年的《企业风险管理框架》中将风险管理的要素划分为内部环境、目标设定、事项识别、风险评估、风险应对、信息与沟通和监控等八要素。根据《企业风险管理框架》，风险评估就是要对识别的风险进行分析，以形成确定如何对其进行管理的依据。这实际就是《内部控制框架》中的风险分析，属于狭义上的风险评估概念。《内部控制框架》中的风险评估实际上包括事项识别、风险评估、风险应对三项内容，而目标设定则作为内部控制的前提条件，不属于内部控制要素的范围。

风险总是与特定目标的实现相联系。如不出国旅游，则不会涉及到飞机失事的风险。根据《企业风险管理框架》，实施风险管理首先就涉及到设定目标。目标设定是事项识别、风险评估和风险应对的前提。《企业风险管理框架》正是出于风险管理的需要将目标设定作为风险管理的构成要素之一。《企业风险管理框架》中的目标包括战略目标和相关目标，战略目标是最高层次的目标，而相关目标则是建立在战略目标基础上的企业层面等的目标，企业层面的目标与更为具体的目标相关联,贯穿于整个企业，并具体为各项业务和各项职能的次级目标。《企业风险管理框架》要求设定的目标应当是可计量的，并要求企业各个层次人员根据各自所影响的范围了解企业设定的目标。设定的目标分为经营目标、报告目标、合规目标等三项。作为风险管理的一部分，企业在选择目标时要确保其目标与企业的风险容量相协调。风险容量是企业管理当局在董事会的监督下确定的，反映着企业的风险管理理念，并影响企业的文化和经营风格，是制定战略目标的风向标。战略目标应当选择与其风险容量一致的目标，并使风险反映于战略目标之中。

《企业风险管理框架》中的事项识别要求管理当局对源于内部或外部的影响战略实施或目标实现的事故或事件进行识别，对企业目标实现将带来负面影响的确定为风险，并对其进行评估和应对；将存在正面影响的确定为机会，将其反馈到战略或目标的制定过程之中。在对事项进行识别时，必须考虑企业整体范围内可能带来风险和机会的所有内部和外部因素。外部因素需要考虑的通常包括经济因素、自然环境因素、政治因素、社会因素、技术因素等；而内部因素需要考虑的通常包括人员、流程、技术等因素。

《企业风险管理框架》中的风险评估（即风险分析）要求进行风险评估时，既要考虑预期事项也要考虑非预期事项，对可能对企业存在重大影响的非预期的潜在事项和预期事项的风险进行评估；既要考虑固有风险，也要考虑剩余风险。固有风险是指管理当局未采取任何措施的情况下企业所面临的风险；而剩余风险则是在管理当局进行风险应对之后所残余的风险。确定相应的风险应对后，则集中考虑剩余风险的管理。

《企业风险管理框架》中的风险应对要求企业管理当局评估风险的可能性和影响，并在成本效益比较的基础上，选择能够使剩余风险处于期望的风险容限范围之内的应对策略。风险应对策略包括风险回避、风险降低、风险分担和风险承受。管理当局应当在企业范围内识别风险并确定企业总体剩余风险处于企业风险容量之内。

三、我国《企业内部控制基本规范》中的风险评估

我国《企业内部控制基本规范》中的风险评估使用的是广义上的风险评估概念，包括目标设定、风险识别、风险分析和风险应对。《基本规范》要求企业应当根据设定的控制目标，全面、系统、持续地收集相关信息，结合实际情况，及时进行风险评估。根据《基本规范》。风险评估的具体过程包括：

（一）控制目标的设定

设定控制目标是进行内部控制，特别是风险评估的前提。企业应当根据自身的实际情况，按照本身的发展规划合理确定战略目标。设定的目标应当尽可能量化，并细化为各业务活动和各职能部门的具体目标。内部控制目标的设定要切实可行，与内部控制发展的不同阶段相适应，设定不同要求的内部控制目标，并随着内部控制的发展，逐步提升内部控制目标。

（二）风险识别

《基本规范》要求企业进行风险评估时，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度即风险容量，是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

企业在识别内部风险时，应当关注和考虑的因素包括：1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素；2.组织机构、经营方式、资产管理、业务流程等管理因素；3.研究开发、技术投入、信息技术运用等自主创新因素；4.财务状况、经营成果、现金流量等财务因素；5.营运安全、员工健康、环境保护等安全环保因素；6.其他有关内部风险因素。上述因素的现状往往是风险存在的基础，上述因素的变动则往往会诱发新风险的产生。

企业识别外部风险，应当关注和考虑的因素包括：1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；2.法律法规、监管要求等法律因素；3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；4.技术进步、工艺改进等科学技术因素；5.自然灾害、环境状况等自然环境因素；6.其他有关外部风险因素。上述因素实际上是企业经营活动所处的外部环境，外部环境的变动必然会影响到企业的经营活动，有可能给企业带来新的风险，如一项新的技术被其他同行所采用，有可能导致企业所占有的市场份额发生变化而带来风险。再如政府颁布实施较过去更为严格的监管法律，由此可能导致本企业传统加工方法无法继续使用，从而导致风险的产生。

（三）风险分析

《基本规范》要求企业采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。鉴于风险分析的专业性和复杂性，要求企业进行风险分析时充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。风险分析的目的在于为企业风险应对提供依据。由于企业董事、经理和其他高级管理人员在企业经营活动中的特殊地位，其个人风险偏好对经营活动等具有重大影响，企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，并予以特别关注，避免因个人风险偏好给企业经营带来重大损失。

（四）风险应对

《基本规范》要求企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。风险应对策略包括风险规避、风险降低、风险分担和风险承受等。风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。如某国政治动荡、政局不稳，对该国的投资存在重大的风险，企业可以放弃对该国家的投资计划。风险降低是企业在权衡成本效益之后，采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担是企业借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。上述风险策略必须基于风险分析的结果，根据企业的实际情况选择进行使用，可以选择使用某一风险应对策略，也可以选择两种或两种以上的应对策略进行组合，综合使用。选择合理风险应对策略的关键是要有针对性，要实现对风险的有效控制。

企业风险评估是一个持续的反复的过程，风险评估一次并不能一劳永逸。企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，根据情况的变化及时调整风险应对策略，以避免原来选择使用的风险应对策略无效，影响内部目标的实现。特别是当企业经营活动所处的外部环境发生变化时，企业必须保持应有灵敏度，针对变化的外部环境进行相应的风险评估，以使企业的目标在变化了的外部环境中得以实现。