陳　芳　許良虎

【摘要】 文章對國內(nèi)外企業(yè)風險評估的現(xiàn)狀進行分析。根據(jù)企業(yè)的特點和發(fā)展趨勢,指出進行內(nèi)部控制風險評估的現(xiàn)實意義,并從全面風險管理目標、收集風險管理初始信息、風險識別、風險分析、風險評價、風險管理策略等方面,探討了如何建立我國企業(yè)內(nèi)部控制中的風險評估體系。

【關鍵詞】 內(nèi)部控制; 風險評估; 管理策略

為了加強和規(guī)范企業(yè)內(nèi)部控制,提高企業(yè)經(jīng)營管理水平和風險防范能力,根據(jù)國家有關法律法規(guī),財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會制定了《企業(yè)內(nèi)部控制基本規(guī)范》。該規(guī)范自2009年7月1日起在上市公司范圍內(nèi)施行,鼓勵非上市的大中型企業(yè)執(zhí)行。我國《企業(yè)內(nèi)部控制基本規(guī)范》提出我國內(nèi)部控制的基本要素包括內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通和內(nèi)部監(jiān)督等五項,并在《基本規(guī)范》中單辟一章,就風險評估的有關內(nèi)容進行了規(guī)定。這說明國家和企業(yè)已經(jīng)意識到風險評估在企業(yè)內(nèi)部控制中的重要作用,那么企業(yè)應該從哪些方面來加強識別企業(yè)風險,建立風險評估系統(tǒng),進一步改善內(nèi)部控制呢?

一、國內(nèi)外企業(yè)風險評估體系研究綜述

國外對內(nèi)部控制的研究已有很長的歷史。1988年美國注冊會計師協(xié)會發(fā)布《審計準則公告第55號》,該公告提出內(nèi)部控制結(jié)構(gòu)的三個要素:控制環(huán)境、會計制度、控制程序。進入90年代以后,COSO提出《內(nèi)部控制—整體框架》的報告,將內(nèi)部控制分為控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)督五個部分,實現(xiàn)了內(nèi)部控制由三要素向五要素的飛躍。自此風險評估被納入內(nèi)部控制系統(tǒng)之中。最新內(nèi)部控制研究結(jié)果表明,內(nèi)部控制與風險管理愈發(fā)趨向目標一致,某些內(nèi)容也有較大重合,COSO也于2001年起著手進行風險管理研究,從最初的將風險評估作為一個要素納入內(nèi)部控制整體框架中到目前的著手進行風險管理研究,足可以看出內(nèi)部控制與風險管理的趨同性和風險這一因素在內(nèi)部控制中的作用和地位越來越重要。

近年,我國理論界和實務界越來越重視內(nèi)部控制的研究和應用,學者們在理論觀念的引進和研究方面做了大量的工作。由財政部、證監(jiān)會等五部委聯(lián)合發(fā)布的我國第一部《企業(yè)內(nèi)部控制基本規(guī)范》就是很好的證明。

二、進行內(nèi)部控制風險評估研究的現(xiàn)實意義

史學家湯因比曾說過:“一個國家乃至一個民族,其衰亡是從內(nèi)部開始的,外部力量不過是其死亡前的最后一擊”。企業(yè)的存亡又何嘗不是如此呢。既然一個企業(yè)的衰亡也是從其內(nèi)部開始的,那若要尋求企業(yè)的生存發(fā)展之路就必須從其內(nèi)部抓起,內(nèi)部控制正是基于這一點才得到了世界各國理論界和實務界的重視。同時,市場經(jīng)濟從微觀角度來說是一種風險經(jīng)濟,企業(yè)作為市場的基本單位時刻置身于風險之中,越是開放發(fā)達的市場經(jīng)濟,其中蘊藏的風險和不確定性越大。隨著市場經(jīng)濟的發(fā)展成熟和市場開放程度的加大,風險己經(jīng)成為企業(yè)關注和管理的焦點,作為企業(yè)內(nèi)部管理核心的內(nèi)部控制要想發(fā)揮其應有的作用,必須不斷充實和發(fā)展,以求跟上市場發(fā)展的步伐,正是基于這個基礎,風險的概念逐步進入了內(nèi)部控制的范圍。減輕或避免風險是內(nèi)部控制活動的目標,各種風險因素是內(nèi)部控制的對象。所以,企業(yè)要實施有效的內(nèi)部控制,就要識別和衡量它所面臨的風險及其風險因素,這是采取有效控制活動的依據(jù)和前提,這里的識別和衡量風險就是風險評估。目前COSO整體框架和我國《企業(yè)內(nèi)部控制基本規(guī)范》把風險評估作為一項基礎要素納入到內(nèi)部控制框架之中,這一發(fā)展是理論順應客觀實際發(fā)展的必然結(jié)果。

進行內(nèi)部控制和風險評估研究具有重要的現(xiàn)實意義:內(nèi)部控制的缺失和不健全是導致會計舞弊泛濫的根本原因之一;內(nèi)部控制制度的極度缺失和對風險的忽視是導致我國企業(yè)生命周期短的根本原因; 國有企業(yè)改革的成功離不開健全的內(nèi)部控制制度及風險的管理和控制;風險評估是內(nèi)部控制制度設計控制活動和發(fā)揮應有作用的基礎。

風險評估是內(nèi)部控制系統(tǒng)的基礎組成部分,要使控制制度發(fā)揮其應有的作用,企業(yè)必須清楚所面臨的風險,并對整個企業(yè)的風險進行定性或定量的評估,然后針對風險評估的結(jié)果采取相應的控制活動。其實內(nèi)部控制也就是風險的管理與控制活動,如果毫無風險,也就不需耗費大量的人力財力物力去搞什么內(nèi)部控制。既然風險的存在是控制的原因所在,進行風險評估就成為整個內(nèi)部控制制度的基礎和關鍵。無論是從國際大環(huán)境來看還是從我國的具體情況出發(fā),內(nèi)部控制的研究和應用都是非常重要的。但是,作為有效實施內(nèi)部控制的基礎條件的風險評估卻還沒有得到足夠的發(fā)展,研究會計和審計的人都早已熟知制度基礎上的審計,但風險基礎上的控制觀念還是個新概念,還沒有建立起比較完善的體系。因此,進行內(nèi)部控制和風險評估研究無疑具有非常重要的現(xiàn)實意義。

三、風險評估體系的構(gòu)建

鑒于風險評估在我國內(nèi)部控制中的運用,筆者認為可以通過以下幾個步驟來建立風險評估系統(tǒng)。

(一)確定全面風險管理目標

風險是指企業(yè)在未來經(jīng)營中面臨的、可能影響其經(jīng)營目標實現(xiàn)的所有不確定性。風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關的風險,并合理確定風險應對策略。全面風險管理是指企業(yè)圍繞總體目標,制定風險管理策略,在企業(yè)經(jīng)營管理的各個方面和業(yè)務過程中的各個環(huán)節(jié)進行風險管理的基本流程,落實風險理財措施,培育良好的風險管理文化,建立健全風險管理的組織體系、信息系統(tǒng)和內(nèi)部控制系統(tǒng)的過程和方法。

企業(yè)目標是企業(yè)宗旨的具體化,是企業(yè)各項業(yè)務和管理活動所指向的終點。企業(yè)風險管理的首要任務,就是確定目標。只有先確立了目標,管理層才能針對目標確定風險并采取必要的行動來管理風險。確定全面風險管理目標要做到:企業(yè)風險管理目標的確定應與員工溝通;企業(yè)計劃和預算與風險管理目標、戰(zhàn)略計劃及當前情況具有一致性;業(yè)務活動風險目標要具體;領導層參與制定企業(yè)風險目標并對其負責。

(二)收集風險管理初始信息

實施全面風險管理,企業(yè)應廣泛、持續(xù)不斷地收集與本企業(yè)風險和風險管理相關的內(nèi)部、外部初始信息,包括歷史數(shù)據(jù)和未來預測。應把收集初始信息的職責分工落實到各有關職能部門和業(yè)務單位。

1.在財務風險方面,企業(yè)至少收集以下信息

(1)負債、或有負債、負債率、償債能力。(2)現(xiàn)金流、應收賬款及其占主營業(yè)務收入的比重、資金周轉(zhuǎn)率。(3)應付賬款及其占購貨額的比重。(4)成本和管理費用、財務費用、營業(yè)費用。(5)成本核算、資金結(jié)算和現(xiàn)金管理業(yè)務中曾發(fā)生或易發(fā)生錯誤的業(yè)務流程或環(huán)節(jié)。

2.在市場風險方面,企業(yè)至少收集以下信息

(1)產(chǎn)品的價格及供需變化。(2)產(chǎn)品供應的充足性、穩(wěn)定性和價格變化。(3)主要客戶、主要供應商的信用情況。(4)潛在競爭者、競爭者及其主要產(chǎn)品情況。

3.在運營風險方面,企業(yè)至少收集以下信息:

(1)新市場開發(fā),市場營銷策略。(2)企業(yè)組織效能、管理現(xiàn)狀、企業(yè)文化,中、高層管理人員和重要業(yè)務流程中專業(yè)人員的知識結(jié)構(gòu)、專業(yè)經(jīng)驗。(3)質(zhì)量、安全、環(huán)保、信息安全等管理中曾發(fā)生或易發(fā)生失誤的業(yè)務流程或環(huán)節(jié)。(4)因企業(yè)內(nèi)、外部人員的道德風險致使企業(yè)遭受損失或業(yè)務控制系統(tǒng)失靈。(5)企業(yè)風險管理的現(xiàn)狀和能力。

企業(yè)對收集的初始信息應進行必要的篩選、提煉、對比、分類、組合,以便進行風險評估。

(三)風險識別

企業(yè)風險的識別應當以一種系統(tǒng)方法來進行,以確保公司的所有主要活動及其風險都被囊括進來,并進行有效的分類。根據(jù)企業(yè)實際情況和技術水平,風險識別主要以定性識別方法為主,適當結(jié)合定量識別方法,同時根據(jù)業(yè)務發(fā)展和管理水平的不斷提高,逐步引進和加大定量識別方法。

企業(yè)應選擇適當?shù)娘L險識別方法,保證風險識別的規(guī)范性和科學性,具體措施有:

1.建立科學的風險識別方法體系,對企業(yè)和各職能部門隨時關注企業(yè)活動中存在的風險提供指導。

2.對風險識別方法進行規(guī)范化和制度化,確保企業(yè)和各職能部門使用統(tǒng)一的識別方法體系對風險識別結(jié)果進行描述。

3.利用歷史事件諸如違約支付、產(chǎn)品價格變動等,關注未來事件諸如人口變動、新市場條件以及競爭者行為等對風險進行趨勢分析和關注。

4.建立損失事件數(shù)據(jù)庫,通過事件列表、事件分類、內(nèi)部分析、推動討論和會談、流程分析等方法進行風險識別,確定風險因素發(fā)展趨勢和根源。

(四)風險分析

企業(yè)風險分析評估的方法多種多樣,采用定量分析方法,特別是利用數(shù)學模型進行風險分析,可以使風險管理建立在科學的基礎上,并為最終的決策提供可靠的依據(jù)。風險分析及度量,需要充分地獲得企業(yè)在歷史年度內(nèi)發(fā)生的各種風險的次數(shù)以及所導致的損失,統(tǒng)計時段越長,風險評估的準確性越高。風險評估不僅要了解歷史上各種風險發(fā)生的頻率,還要充分考慮風險的客觀環(huán)境是否改變,如果有變化,就要在歷史數(shù)據(jù)的趨勢分析上進行修正。在實際操作中,許多風險發(fā)生的可能性實際上難以量化,它們至多只能定性地被描述為“大的”、“中的”、或“小的”風險。

企業(yè)在分析風險發(fā)生的可能性(或頻率、概率)和風險發(fā)生的條件方面,可采取如下措施:

1.企業(yè)基于風險識別的結(jié)果對風險的發(fā)生概率進行分析評估,選擇采用諸如預期估計或情況評價等術語來表達潛在的可能性,或采用數(shù)據(jù)或圖表的形式來描述和評價風險發(fā)生的概率。

2.企業(yè)建立風險分析模型,通過關鍵風險指標管理方法、壓力測試和情景分析等定量技術手段和會談、工作組會議等定性評價技術對風險發(fā)生的條件因素進行分析,以確定風險發(fā)生的具體條件。

3.企業(yè)自查與外部檢查、事前與事后檢查相結(jié)合。

4.企業(yè)引進技術手段,由日常業(yè)務數(shù)據(jù)、財務數(shù)據(jù)入手,按照既定的模型做預警提示。

(五)風險評價

企業(yè)風險評價是在風險識別、風險分析的基礎上,評估風險對企業(yè)可能產(chǎn)生的影響以及確定風險的重要性水平的過程。企業(yè)風險評價包括兩個方面的內(nèi)容,即分析風險可能產(chǎn)生的影響和確定風險的重要性水平。企業(yè)風險評價通常是和風險分析同步進行的,因而其方法也和風險分析相同。

企業(yè)風險評價的控制措施有:

1.企業(yè)對于重要事項面臨的重要風險可能帶來的重大影響,應當通過定量分析技術,確定各種可能性造成影響的數(shù)量,從而為企業(yè)采取恰當?shù)娘L險對策提供科學的依據(jù)。

2.企業(yè)應當按照風險可能帶來的影響程度的大小,對風險進行排序,明確重要風險和一般風險。

3.企業(yè)應當對重要風險予以特別的關注,避免重要風險可能給企業(yè)帶來的重大損失。

(六)風險管理策略

一般情況下,對戰(zhàn)略、財務、運營和法律風險,可采取風險承擔、風險規(guī)避、風險轉(zhuǎn)換、風險控制等方法。

1.企業(yè)針對各種風險建立確定風險應對措施的程序和方法,對具有較高發(fā)生概率、影響重大的風險優(yōu)先考慮。

2.建立一套廣泛適應的風險決策判斷標準,即根據(jù)風險嚴重程度和企業(yè)的風險承受程度確定不同的決策。

3.企業(yè)對降低風險水平所需成本進行合理分析,評估風險應對措施的成本與效益。

4.企業(yè)選定風險處理措施后,根據(jù)剩余風險重新校訂風險。

5.企業(yè)要持續(xù)獲得風險變化信息,有效地控制、管理風險,防范新風險的產(chǎn)生。

6.對重要風險進行實時監(jiān)控。

四、結(jié)論

企業(yè)風險評估是一個持續(xù)反復的過程,一次風險評估并不能一勞永逸。企業(yè)應當結(jié)合不同發(fā)展階段和業(yè)務拓展情況,持續(xù)收集與風險變化相關的信息,進行風險識別和風險分析,根據(jù)情況的變化及時調(diào)整風險應對策略,以避免由于原來選擇使用的風險應對策略無效而影響內(nèi)部目標的實現(xiàn)。特別是當企業(yè)經(jīng)營活動所處的外部環(huán)境發(fā)生變化時,企業(yè)必須保持應有的靈敏度,針對變化的外部環(huán)境進行相應的風險評估,以使企業(yè)的目標在變化了的外部環(huán)境中得以實現(xiàn)。我國企業(yè)只有建立比較完善的風險評估系統(tǒng),才能真正完善我國企業(yè)的內(nèi)部控制,真正促進我國企業(yè)的進一步發(fā)展?！?/p>

【參考文獻】

[1] 李玉環(huán).內(nèi)部控制中的風險評估[J].會計之友,2008 (10).

[2] 馬宏杰.企業(yè)內(nèi)部控制制度存在的問題與對策[J].財會研究,

2007(4).

[3] 印發(fā)《企業(yè)內(nèi)部控制基本規(guī)范》的通知[J].安徽水利財會, 2008(4).

[4] 王立勇.企業(yè)內(nèi)部控制中的風險評估研究[J].交通財會,2002(2).