如何理解风险和风险评估

摘要：本文主要介绍风险评估和风险的概念、风险的目标，进一步去了解风险评估和风险在实际工作当中的运用。

关键词：如何；理解；风险评估；风险

一、风险

风险是指在一定的客观情形下，在某一特定期间内，那些可能发生的结果之间的差异。显然，这种差异是实际结果与预期结果的变动程度。所谓风险大，就是指这种变动程度大；风险小，就是指这种变动程度小。基本规范涉及的风险是指对实现内部控制目标可能产生负面影响的不确定因素。因此，在这个概念的界定上，需要明确内部控制目标和不确定因素两个关键词。

1.内部控制的目标

内部控制有五大主要目标，即运营的效率和效果、财务报告的可靠性、资产的安全完整、法律法规的遵循性以及实现企业的战略目标。内部环境、风险评估、控制措施、信息与沟通以及监督检查均服务于五大目标。

对于经营的效率和效果而言，这是一个公司基本的业务目标，包括业绩和盈利目标以及资产的保护，它们因管理者对结构和业绩的选择而异；可靠的财务报告与公认会计准则编制的财务报表以及相关陈述有关，所以会涉及账务和非账务信息；同时，遵循相关的法律法规，公司可以避免对其名誉造成损害或者遭受其他不利后果。

经营的效率和效果及报告的目标更多地建立在偏好、判断和管理风格的基础上。它们在不同的主体之间存在着很大的区别，因为不同的主体可能会选择不同的目标。所以对所有主体而言，都是最优的目标模式是不存在的。

2.不确定性

风险是不确定的，否则，就不能称之为风险。所谓不确定性，即当风险存在时，至少存在两种可能的结果，只是我们面对风险时无法知道哪种结果将出现。不确定性分为主观上的不确定和客观上的不确定。

（1）主观上的不确定

不确定性大多定义为基于对未来发生或不会发生什么事情的情况缺乏认识、产生怀疑的思维状态。不确定性是一种对于未来将发生的事情的简单心理反应。当风险存在时，就产生了不确定性。而这种不确定性往往是主观的，与实际情形不相符合。

（2）客观上的不确定

客观上的不确定的两个层次的含义：

第一，不确定的客观存在性。如果不确定性是由一些偶然因素导致的结果，那么其存在就具有了客观性。第二，有些情况在客观上是确定的，但是人们总体上认知能力不足，无法得到确定状态所必要的信息。因此也可以认为由此导致的对未来的无法判断是客观的。

（3）风险的特征

风险具有三个明显的特征：偶然性、可变性和客观性。

风险具有偶然性。从全社会看，风险是具有必然性的。但是，对特定的个体而言，风险事故的发生是偶然的。这种偶然性其实是由事件的随机性决定的。因为风险事故的发生与否不确定，风险事故何时发生也不能确定，风险事故将会怎样发生，其损失有多大，也不能确定。

风险具有可变性。风险的可变性是指在一定条件下风险具有可转化的特性。而世界上任何事物都是互相联系、互相依存、互相制约的，世界万物都处在运动变化的状态之中，这些变化必然会引起风险的变化。新风险产生和旧风险的消亡，也有量的增减和质的改变。风险的变化是由某些因素引起的，这些因素可以归结为科技的进步、政治和社会结构的改变、经济体制与结构的转变。

风险具有客观性。风险是由客观存在的自然现象和社会现象引起的。自然界的运动如洪水、泥石流、雷电、暴雨等形成自然灾害，对人类的生命和财产构成威胁。战争、冲突等是受社会发展规律支配的，人们认识和掌握规律可以预防意外事故，但是不能完全消除风险的存在。因此，风险是客观存在的，人们只能在一定的范围内改变风险发生和发展的条件，采取办法降低其发生的概率，减少风险带来的损失程度，但是却不能彻底消除风险。

二、风险评估

不同的企业、同一企业的不同时期以及同一企业内部不同的内部环境、外部环境、业务层面和工作环节，都可能面临不同的风险，企业应当有针对性地开展风险评估。

风险评估，是指及时识别、科学分析影响企业内部控制目标实现的各种不确定因素，同时采取应对策略的过程。要对识别的风险进行分析，形成风险管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。

通常来讲，企业进行风险评估的目的主要有：了解和评价企业的经营环境和经营现状；提出组织发展的安全需求；择取最优的风险控制措施；建立安全管理体系；制定有效的安全策略。

风险评估的主要任务有以下几点：识别企业面临的各种风险；评估风险概率和可能带来的负面影响；确定组织承受风险的能力；确定风险消减和控制的优先等级；推荐风险消减对策，适时调整应对策略。

在风险评估过程中，有几个关键的问题需要考虑：第一，确定评估对象或者资产，明确它的直接和间接价值；第二，分析资产面临的潜在威胁和导致威胁的问题所在以及威胁发生的可能性；第三，资产中存在哪些弱点可能会被威胁所利用，利用的难易程度如何；第四，一旦威胁事件发生，企业会遭受怎样的损失或者面临怎样的负面影响；第五，组织应该采取怎样的安全措施以便将风险带来的损失降低到最低程度。解决以上问题的过程，就是风险评估的过程。另外，在进行风险评估时，有几个对应关系必须考虑：（1）每项资产可能面临多种威胁，（2）威胁源（威胁）可能不止一个，（3）每种威胁可能利用一个或多个弱点。

风险评估要按照一定的程序来进行，有目标设定、风险识别、风险分析、风险应对四个步骤。

风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。

参考文献：

[1]2008年5月财政部等五部委《企业内部控制基本规范》.