企業(yè)內(nèi)部控制中風險評估的關(guān)鍵環(huán)節(jié)

蔣敏

為提升企業(yè)經(jīng)營效率，確保財務(wù)報告可靠，具體業(yè)務(wù)合法合規(guī)，公司必須進行有效的內(nèi)部控制。作為內(nèi)部控制五大要素之一，風險評估工作開展的好與壞，直接決定企業(yè)內(nèi)部控制的成敗。風險評估要重點做好風險管理組織和目標、風險識別、風險分析評估、風險應(yīng)對與控制、風險信息溝通與監(jiān)督等關(guān)鍵環(huán)節(jié)，確保企業(yè)內(nèi)部控制能夠有效實施。

《企業(yè)內(nèi)部控制基本規(guī)范》第20條規(guī)定，公司在實時控制的過程中，必須按照既定的控制目標進行管理，全面、持續(xù)地搜集有關(guān)資料，并根據(jù)具體的情況，對風險進行及時的評價。風險評價是企業(yè)對經(jīng)營活動中與內(nèi)部控制目標有關(guān)的各種風險進行及時識別、科學(xué)分析、合理地選擇應(yīng)對策略、實施內(nèi)部控制的關(guān)鍵，企業(yè)在開展風險評估時應(yīng)著重把握以下幾個環(huán)節(jié)：

一、加強組織領(lǐng)導(dǎo)，營造良好的內(nèi)部環(huán)境

人始終是決定性因素。做好風險評估工作，首先就要健全組織，更新觀念，落實責任制，創(chuàng)造一個良好的內(nèi)部環(huán)境。在通常情況下，企業(yè)全面風險管理組織體系包括董事會、董事會審計委員會、總經(jīng)理、企業(yè)法務(wù)以及各部門。避免因為沒有一個具備相應(yīng)知識儲備、組織能力的風險管理機構(gòu)和職能部門，使風險管理責任不能得到有效落實，使風險管理工作難以順利推進。

董事會作為企業(yè)內(nèi)部控制和風險管理的決策機構(gòu)，負責建立健全和落實風險管理和內(nèi)部控制制度，向股東大會報告關(guān)于企業(yè)風險管理、內(nèi)部控制的有關(guān)情況，并對此負責，董事會要確定好企業(yè)能夠承擔的風險限度。公司總經(jīng)理向董事會負責全面風險管理及內(nèi)部控制工作的有效性；總經(jīng)理委任的高級管理人員負責日常風險管理；董事會審計委員會主要負責風險管理與內(nèi)部控制方面的研究，提出企業(yè)內(nèi)部控制與風險管理的監(jiān)督與評價體系，制定相關(guān)的監(jiān)督評價制度，對企業(yè)的風險管理進行監(jiān)督評價，要確保管理層采取恰當?shù)某绦蚝头椒ㄈピO(shè)定目標。

企業(yè)應(yīng)設(shè)置風險管理人員，專門負責體系的建設(shè)、運行以及維護，有條件的企業(yè)也可成立全面風險管理小組，統(tǒng)一領(lǐng)導(dǎo)企業(yè)風險防范和內(nèi)控體系建設(shè)工作。為便于協(xié)調(diào)、提升效率，全面風險管理小組建議由總經(jīng)理或其委任的高層主管領(lǐng)導(dǎo)，其主要工作內(nèi)容有：建立健全風險管理體系；承辦風險管理請示報告；協(xié)調(diào)跨部門之間的風險管理工作；組織公司重大風險管理方案撰寫；指導(dǎo)、監(jiān)督各部門和下屬企業(yè)的風險管理；歸口辦理其他風險管理日常工作。

企業(yè)各部門根據(jù)職能職責分工開展各自職能范圍內(nèi)的風險管理工作，其主要職責包括：根據(jù)情況建立健全其業(yè)務(wù)風險管理工作相關(guān)的制度流程，在其職責范圍內(nèi)指導(dǎo)、監(jiān)督所屬相關(guān)業(yè)務(wù)的風險管理工作；主導(dǎo)制定與其業(yè)務(wù)密切相關(guān)、應(yīng)由其負主要責任的重大風險管理方案；持續(xù)關(guān)注該管理方案的執(zhí)行、相應(yīng)風險的變化等情況，并及時反饋報告，同時要負責辦理與其職責相關(guān)的其他風險管理工作。

二、精確風險識別，確定明晰的工作目標

風險識別是在確定風險承受度的基礎(chǔ)上，對與控制目標有關(guān)的內(nèi)部和外部風險進行正確識別，識別可能對企業(yè)產(chǎn)生影響的各種不確定因素。企業(yè)必須從全局和總體層面上出發(fā)，自上而下梳理組織內(nèi)企業(yè)所有層面的活動，研究這些活動過程中存在什么風險，哪些風險超出企業(yè)風險承受度，產(chǎn)生這些風險的主要因素是什么，這些風險所帶來的后果及嚴重程度如何，有哪些風險識別的方法等。防止由于缺乏有效、系統(tǒng)化的風險評估流程、機制、技術(shù)方法和工具，不能對風險進行系統(tǒng)化的評估，從而使風險管理不能涵蓋企業(yè)的經(jīng)營管理全過程。

企業(yè)全體員工是風險信息收集的責任主體，企業(yè)各部門應(yīng)建立健全風險信息的傳遞路徑及共享機制，確保風險信息收集的及時性及完整性，提高信息質(zhì)量。風險管理人員要不間斷地搜集與企業(yè)發(fā)展、業(yè)務(wù)開展相關(guān)的信息，及時準確地進行風險辨識與分析，建好風險識別臺賬，及時向企業(yè)管理層報告，公司要根據(jù)風險變化情況適時調(diào)整應(yīng)對策略。

在進行內(nèi)部風險識別時，應(yīng)著重注意以下幾個方面：①董事、監(jiān)事、經(jīng)理及其他高層主管的職業(yè)道德、雇員的專業(yè)素質(zhì)等；②組織結(jié)構(gòu)、運作模式、資金、商業(yè)過程等方面的管理要素；③自主創(chuàng)新要素，包括研發(fā)、技術(shù)投資、信息技術(shù)應(yīng)用等；④公司的財政情況、業(yè)績、資金流動情況等；⑤作業(yè)、人員身體及環(huán)境等方面的安全及環(huán)保要素；⑥與內(nèi)部危險相關(guān)的其他要素。

在進行外部風險識別時，應(yīng)著重注意以下幾個方面：①經(jīng)濟環(huán)境、產(chǎn)業(yè)政策、融資環(huán)境、市場競爭和資源供給等方面的影響；②法律、法規(guī)要求；③社會安全穩(wěn)定，文化傳統(tǒng)，社會信用，教育水平，消費者行為等；④技術(shù)進步和工藝改進等科技要素；⑤自然災(zāi)害、環(huán)境條件等；⑥與外部風險相關(guān)的其他要素。

三、深入分析評估，提供扎實的管理基礎(chǔ)

風險分析是風險評估中的核心環(huán)節(jié)，對于識別出來的風險要進行深入分析，為后續(xù)制定管理標準、采取應(yīng)對措施等提供基本依據(jù)。避免由于沒有明確的風險評價標準，或?qū)︼L險評價的描述不夠科學(xué)合理，對公司的風險偏好定義模糊，或者風險評估脫離實際。風險評估過小會導(dǎo)致公司沒有將一些高風險的業(yè)務(wù)或者環(huán)節(jié)納入公司的監(jiān)管范圍，影響企業(yè)發(fā)展；風險評估過大會將大量的企業(yè)資源投入到風險較小的業(yè)務(wù)中，增加企業(yè)成本，降低運營效率。

在建立風險評價指標時，首先要考慮到企業(yè)的風險偏好，并確定其風險承受能力。風險評價標準一般由風險管理機構(gòu)或者風險管理專員制訂，經(jīng)企業(yè)管理層批準后實施。如果內(nèi)部或者外部環(huán)境發(fā)生明顯變化，使企業(yè)的風險偏好或者風險承受能力出現(xiàn)較大變化時，則需要及時調(diào)整風險評價的具體標準。其次在進行風險分析時，應(yīng)當充分聽取吸納相關(guān)業(yè)務(wù)專業(yè)人員的專業(yè)意見，尊重科學(xué)、遵循規(guī)律、實事求是，以保證分析結(jié)果的正確性。

風險分析應(yīng)當根據(jù)風險發(fā)生的原因、風險發(fā)生的概率、影響的大小等因素，對所識別的風險進行定性和定級，從而確定處理不同風險時的輕重緩急順序。風險分析應(yīng)當建立工作底稿，工作底稿通常以一套完整的評估表格為基礎(chǔ)資料，將各要素的核心指標進一步分解、細化、評估，再將評估結(jié)果匯總?cè)诤希詈蟮贸鼍C合評價的結(jié)果。相關(guān)人員都要在自己經(jīng)手、負責的底稿上簽字確認，最終經(jīng)企業(yè)管理層審定。對風險評估、監(jiān)督、診斷和評價過程中出現(xiàn)的問題，要對其性質(zhì)、原因、影響程度進行分析，提出相應(yīng)的解決辦法，并及時整改完善。

企業(yè)風險評價通常是由風險主管單位或財務(wù)部門發(fā)起和組織，當然，公司也可以聘請具有專業(yè)資質(zhì)、口碑好、熟悉企業(yè)所處行業(yè)和具體業(yè)務(wù)的專業(yè)團隊，對企業(yè)進行風險分析和評估。在進行風險評估時，特別要注意對董事、經(jīng)理和其他高級管理人員、關(guān)鍵崗位人員的風險偏好進行合理分析和準確地掌握，并制定相應(yīng)的防范措施，以防止由于個體的風險偏好而造成的巨大虧損。

四、積極科學(xué)應(yīng)對，采取有效的行動方案

風險應(yīng)對是企業(yè)風險分析和評估之后，企業(yè)選擇適當?shù)膽?yīng)對策略和針對性措施，以達到變動風險大小的目的。選擇應(yīng)對策略的前提之一是企業(yè)當前的發(fā)展戰(zhàn)略，不同的企業(yè)、企業(yè)在不同發(fā)展階段，針對相同的風險評估結(jié)果，會選擇不同的應(yīng)對策略，同時還要考慮企業(yè)的風險偏好、風險承受度等因素。在選定的應(yīng)對策略的基礎(chǔ)上，針對具體的風險分析和評估，結(jié)合企業(yè)業(yè)務(wù)實際，制定應(yīng)對風險的解決方案，并將方案進一步細化、具體化，落實到具體部門、具體崗位、具體環(huán)節(jié)和應(yīng)用場景中，形成具有較強操作性的工作計劃，并在實施計劃的過程中不斷調(diào)整優(yōu)化應(yīng)對方案和計劃，如果遇到較大變化或者偏差時，應(yīng)及時重新選擇風險應(yīng)對策略。

其中，應(yīng)對策略包括風險規(guī)避、風險降低、風險分擔和風險承受等四種基本類型。風險規(guī)避是指企業(yè)為了避免或減少與風險有關(guān)的經(jīng)營行為而采取的一種戰(zhàn)略；風險降低是指在衡量了成本和收益后，企業(yè)采取相應(yīng)的控制措施來減少損失，使其處于可接受的范圍內(nèi)；風險分攤是指企業(yè)通過業(yè)務(wù)分包、購買保險等手段以及采取相應(yīng)的控制手段來將風險控制在可接受范圍內(nèi)；風險承受是指在風險容忍度范圍內(nèi)的一種風險，在衡量了成本和收益后，沒有采取任何控制措施來減少損失。企業(yè)各部門研究確定風險管理策略的適用規(guī)則，風險管理策略的適用規(guī)則應(yīng)按規(guī)定程序進行審批。一般風險及重要風險的管理策略由總經(jīng)理或其委托的高級管理人員批準，重大風險的管理策略應(yīng)由董事會或董事會審計委員會審批，調(diào)整風險管理策略應(yīng)視同重新確定風險管理策略。

風險應(yīng)對解決方案主要包括完善制度、流程，調(diào)整部門和崗位職責、完善授權(quán)體系等，單部門業(yè)務(wù)流程層面的風險應(yīng)對方案由業(yè)務(wù)部門負責人確定，跨部門的風險應(yīng)對方案通常是由風險管理小組或者專職人員擬定，并與有關(guān)部門溝通協(xié)商后，由總經(jīng)理或其授權(quán)的高層主管批準，企業(yè)層面重大風險解決方案由董事會或董事會審計委員會審批。

方案計劃制定好之后，要采取有力措施進行控制，確保風險應(yīng)對能夠有效實施。對于一般的風險，可以采用現(xiàn)行的制度和程序進行有效的控制，但是在發(fā)生危險的時候，要對其進行分析和匯總，并將其記錄在案。對于重大風險，風險主管單位要對現(xiàn)行的系統(tǒng)和過程進行評價，發(fā)現(xiàn)存在的問題和缺陷，并在必要的時候補充和改進控制措施，添加其他的管理手段。針對重大風險，一般應(yīng)由風險主責部門研究提出風險解決方案，并報請總經(jīng)理辦公會審議，同時加大資源投入，細化控制措施，明確職責分工，設(shè)定預(yù)警指標，加大跟蹤力度，確保重大風險的防控效果。企業(yè)各部門應(yīng)認真組織實施風險解決方案，企業(yè)法務(wù)應(yīng)加強監(jiān)督和檢查，確保各項風險應(yīng)對措施落實到位。

五、持續(xù)溝通監(jiān)督，確保健康的動態(tài)反饋

有效的信息與溝通對于企業(yè)處理風險、減少損失至關(guān)重要。企業(yè)只有及時、準確地獲取來自內(nèi)部和外部的充足的真實信息，才能進行有效地分析處理，做出最有利于企業(yè)發(fā)展的決策和制定措施。一定要防止信息不能順暢地在企業(yè)中向上、向下和平行流動，從而使得企業(yè)對于企業(yè)業(yè)績、重要風險、內(nèi)部控制運作和其他重要信息不能及時準確地交流、傳遞、反饋和應(yīng)對，從而造成決策和操作失誤。

企業(yè)應(yīng)根據(jù)監(jiān)管部門要求和生產(chǎn)經(jīng)營需要建立風險管理報告機制。風險管理報告是指將風險管理的年度報告提交給董事會和審計委員會，其可以劃分為定期報告和不定期報告。企業(yè)應(yīng)按照外部有關(guān)監(jiān)管要求，向監(jiān)管機構(gòu)報送風險管理報告。企業(yè)各部門對發(fā)生的重大風險或突發(fā)事件應(yīng)及時向經(jīng)營管理層逐級報告。

風險管理專員定期將風險評估報告提交董事會及高級經(jīng)理層審批，并將審批通過的風險評估報告下發(fā)至企業(yè)內(nèi)部相關(guān)的責任部門。遇到重大風險及突發(fā)事件時應(yīng)及時向董事會、經(jīng)營管理層和企業(yè)內(nèi)部相關(guān)的責任單位報告。董事會及高級經(jīng)理層審批風險評估報告的主要關(guān)注點包括風險資訊是否及時、精確、有無重大風險，風險分析是否合理、風險對企業(yè)經(jīng)營情況的影響程度等。

風險管理人員對風險的持續(xù)監(jiān)督，包括風險控制的實施、風險控制效果、風險變化等。財務(wù)部門應(yīng)當指派專門人員，搜集有關(guān)政策法規(guī)變更的資訊，以保證有能力確認有關(guān)當局所發(fā)布的會計標準發(fā)生重大變更，并了解這些變更對公司會計實踐的影響。如果有任何改變，都會影響到公司的業(yè)務(wù)，這時請及時告知財務(wù)部，并與獨立的公司審核或其他第三方進行討論。

結(jié)語：

公司的風險評估是一個長期而又復(fù)雜的過程，一次風險評估就可以一勞永逸，這是一種不切實際的做法。在內(nèi)部控制中，要不斷地進行風險評估，根據(jù)自身的發(fā)展和業(yè)務(wù)的發(fā)展，對風險進行系統(tǒng)地識別、分析、評估和應(yīng)對。因此，我們必須構(gòu)建一個完善的、完整的風險評估體系，才能使企業(yè)的內(nèi)部控制得到真正的完善，從而促進企業(yè)健康發(fā)展。