【摘要】文章對國內外企業(yè)風險評估的現(xiàn)狀進行分析。根據(jù)企業(yè)的特點和發(fā)展趨勢，指出進行內部控制風險評估的現(xiàn)實意義，并從全面風險管理目標、收集風險管理初始信息、風險識別、風險分析、風險評價、風險管理策略等方面，探討了如何建立我國企業(yè)內部控制中的風險評估體系。

　　【關鍵詞】內部控制；風險評估；管理策略

　　為了加強和規(guī)范企業(yè)內部控制，提高企業(yè)經營管理水平和風險防范能力，根據(jù)國家有關法律法規(guī)，財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會制定了《企業(yè)內部控制基本規(guī)范》。該規(guī)范自2009年7月1日起在上市公司范圍內施行，鼓勵非上市的大中型企業(yè)執(zhí)行。我國《企業(yè)內部控制基本規(guī)范》提出我國內部控制的基本要素包括內部環(huán)境、風險評估、控制活動、信息與溝通和內部監(jiān)督等五項，并在《基本規(guī)范》中單辟一章，就風險評估的有關內容進行了規(guī)定。這說明國家和企業(yè)已經意識到風險評估在企業(yè)內部控制中的重要作用，那么企業(yè)應該從哪些方面來加強識別企業(yè)風險，建立風險評估系統(tǒng)，進一步改善內部控制呢？

　　一、國內外企業(yè)風險評估體系研究綜述

　　國外對內部控制的研究已有很長的歷史。1988年美國注冊會計師協(xié)會發(fā)布《審計準則公告第55號》，該公告提出內部控制結構的三個要素：控制環(huán)境、會計制度、控制程序。進入90年代以后，COSO提出《內部控制—整體框架》的報告，將內部控制分為控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)督五個部分，實現(xiàn)了內部控制由三要素向五要素的飛躍。自此風險評估被納入內部控制系統(tǒng)之中。最新內部控制研究結果表明，內部控制與風險管理愈發(fā)趨向目標一致，某些內容也有較大重合，COSO也于2001年起著手進行風險管理研究，從最初的將風險評估作為一個要素納入內部控制整體框架中到目前的著手進行風險管理研究，足可以看出內部控制與風險管理的趨同性和風險這一因素在內部控制中的作用和地位越來越重要。

　　近年，我國理論界和實務界越來越重視內部控制的研究和應用，學者們在理論觀念的引進和研究方面做了大量的工作。由財政部、證監(jiān)會等五部委聯(lián)合發(fā)布的我國第一部《企業(yè)內部控制基本規(guī)范》就是很好的證明。

　　二、進行內部控制風險評估研究的現(xiàn)實意義

　　史學家湯因比曾說過：“一個國家乃至一個民族，其衰亡是從內部開始的，外部力量不過是其死亡前的最后一擊”。企業(yè)的存亡又何嘗不是如此呢。既然一個企業(yè)的衰亡也是從其內部開始的，那若要尋求企業(yè)的生存發(fā)展之路就必須從其內部抓起，內部控制正是基于這一點才得到了世界各國理論界和實務界的重視。同時，市場經濟從微觀角度來說是一種風險經濟，企業(yè)作為市場的基本單位時刻置身于風險之中，越是開放發(fā)達的市場經濟，其中蘊藏的風險和不確定性越大。隨著市場經濟的發(fā)展成熟和市場開放程度的加大，風險己經成為企業(yè)關注和管理的焦點，作為企業(yè)內部管理核心的內部控制要想發(fā)揮其應有的作用，必須不斷充實和發(fā)展，以求跟上市場發(fā)展的步伐，正是基于這個基礎，風險的概念逐步進入了內部控制的范圍。減輕或避免風險是內部控制活動的目標，各種風險因素是內部控制的對象。所以，企業(yè)要實施有效的內部控制，就要識別和衡量它所面臨的風險及其風險因素，這是采取有效控制活動的依據(jù)和前提，這里的識別和衡量風險就是風險評估。目前COSO整體框架和我國《企業(yè)內部控制基本規(guī)范》把風險評估作為一項基礎要素納入到內部控制框架之中，這一發(fā)展是理論順應客觀實際發(fā)展的必然結果。

　　進行內部控制和風險評估研究具有重要的現(xiàn)實意義：內部控制的缺失和不健全是導致會計舞弊泛濫的根本原因之一；內部控制制度的極度缺失和對風險的忽視是導致我國企業(yè)生命周期短的根本原因； 國有企業(yè)改革的成功離不開健全的內部控制制度及風險的管理和控制；風險評估是內部控制制度設計控制活動和發(fā)揮應有作用的基礎。

　　風險評估是內部控制系統(tǒng)的基礎組成部分，要使控制制度發(fā)揮其應有的作用，企業(yè)必須清楚所面臨的風險，并對整個企業(yè)的風險進行定性或定量的評估，然后針對風險評估的結果采取相應的控制活動。其實內部控制也就是風險的管理與控制活動，如果毫無風險，也就不需耗費大量的人力財力物力去搞什么內部控制。既然風險的存在是控制的原因所在，進行風險評估就成為整個內部控制制度的基礎和關鍵。無論是從國際大環(huán)境來看還是從我國的具體情況出發(fā)，內部控制的研究和應用都是非常重要的。但是，作為有效實施內部控制的基礎條件的風險評估卻還沒有得到足夠的發(fā)展，研究會計和審計的人都早已熟知制度基礎上的審計，但風險基礎上的控制觀念還是個新概念，還沒有建立起比較完善的體系。因此，進行內部控制和風險評估研究無疑具有非常重要的現(xiàn)實意義。

　　三、風險評估體系的構建

　　鑒于風險評估在我國內部控制中的運用，筆者認為可以通過以下幾個步驟來建立風險評估系統(tǒng)。

　　(一)確定全面風險管理目標

　　風險是指企業(yè)在未來經營中面臨的、可能影響其經營目標實現(xiàn)的所有不確定性。風險評估是企業(yè)及時識別、系統(tǒng)分析經營活動中與實現(xiàn)內部控制目標相關的風險，并合理確定風險應對策略。全面風險管理是指企業(yè)圍繞總體目標，制定風險管理策略，在企業(yè)經營管理的各個方面和業(yè)務過程中的各個環(huán)節(jié)進行風險管理的基本流程，落實風險理財措施，培育良好的風險管理文化，建立健全風險管理的組織體系、信息系統(tǒng)和內部控制系統(tǒng)的過程和方法。

　　企業(yè)目標是企業(yè)宗旨的具體化，是企業(yè)各項業(yè)務和管理活動所指向的終點。企業(yè)風險管理的首要任務，就是確定目標。只有先確立了目標，管理層才能針對目標確定風險并采取必要的行動來管理風險。確定全面風險管理目標要做到：企業(yè)風險管理目標的確定應與員工溝通；企業(yè)計劃和預算與風險管理目標、戰(zhàn)略計劃及當前情況具有一致性；業(yè)務活動風險目標要具體；領導層參與制定企業(yè)風險目標并對其負責。

　　(二)收集風險管理初始信息

　　實施全面風險管理，企業(yè)應廣泛、持續(xù)不斷地收集與本企業(yè)風險和風險管理相關的內部、外部初始信息，包括歷史數(shù)據(jù)和未來預測。應把收集初始信息的職責分工落實到各有關職能部門和業(yè)務單位。

　　1.在財務風險方面，企業(yè)至少收集以下信息

　　(1)負債、或有負債、負債率、償債能力。(2)現(xiàn)金流、應收賬款及其占主營業(yè)務收入的比重、資金周轉率。(3)應付賬款及其占購貨額的比重。(4)成本和管理費用、財務費用、營業(yè)費用。(5)成本核算、資金結算和現(xiàn)金管理業(yè)務中曾發(fā)生或易發(fā)生錯誤的業(yè)務流程或環(huán)節(jié)。

　　2.在市場風險方面，企業(yè)至少收集以下信息

　　(1)產品的價格及供需變化。(2)產品供應的充足性、穩(wěn)定性和價格變化。(3)主要客戶、主要供應商的信用情況。(4)潛在競爭者、競爭者及其主要產品情況。

　　3.在運營風險方面，企業(yè)至少收集以下信息：

　　(1)新市場開發(fā)，市場營銷策略。(2)企業(yè)組織效能、管理現(xiàn)狀、企業(yè)文化，中、高層管理人員和重要業(yè)務流程中專業(yè)人員的知識結構、專業(yè)經驗。(3)質量、安全、環(huán)保、信息安全等管理中曾發(fā)生或易發(fā)生失誤的業(yè)務流程或環(huán)節(jié)。(4)因企業(yè)內、外部人員的道德風險致使企業(yè)遭受損失或業(yè)務控制系統(tǒng)失靈。(5)企業(yè)風險管理的現(xiàn)狀和能力。

　　企業(yè)對收集的初始信息應進行必要的篩選、提煉、對比、分類、組合，以便進行風險評估。

　　(三)風險識別

　　企業(yè)風險的識別應當以一種系統(tǒng)方法來進行，以確保公司的所有主要活動及其風險都被囊括進來，并進行有效的分類。根據(jù)企業(yè)實際情況和技術水平，風險識別主要以定性識別方法為主，適當結合定量識別方法，同時根據(jù)業(yè)務發(fā)展和管理水平的不斷提高，逐步引進和加大定量識別方法。

　　企業(yè)應選擇適當?shù)娘L險識別方法，保證風險識別的規(guī)范性和科學性，具體措施有：

　　1.建立科學的風險識別方法體系，對企業(yè)和各職能部門隨時關注企業(yè)活動中存在的風險提供指導。

　　2.對風險識別方法進行規(guī)范化和制度化，確保企業(yè)和各職能部門使用統(tǒng)一的識別方法體系對風險識別結果進行描述。

　　3.利用歷史事件諸如違約支付、產品價格變動等，關注未來事件諸如人口變動、新市場條件以及競爭者行為等對風險進行趨勢分析和關注。

　　4.建立損失事件數(shù)據(jù)庫，通過事件列表、事件分類、內部分析、推動討論和會談、流程分析等方法進行風險識別，確定風險因素發(fā)展趨勢和根源。

　　(四)風險分析

　　企業(yè)風險分析評估的方法多種多樣，采用定量分析方法，特別是利用數(shù)學模型進行風險分析，可以使風險管理建立在科學的基礎上，并為最終的決策提供可靠的依據(jù)。風險分析及度量，需要充分地獲得企業(yè)在歷史年度內發(fā)生的各種風險的次數(shù)以及所導致的損失，統(tǒng)計時段越長，風險評估的準確性越高。風險評估不僅要了解歷史上各種風險發(fā)生的頻率，還要充分考慮風險的客觀環(huán)境是否改變，如果有變化，就要在歷史數(shù)據(jù)的趨勢分析上進行修正。在實際操作中，許多風險發(fā)生的可能性實際上難以量化，它們至多只能定性地被描述為“大的”、“中的”、或“小的”風險。

　　企業(yè)在分析風險發(fā)生的可能性(或頻率、概率)和風險發(fā)生的條件方面，可采取如下措施：

　　1.企業(yè)基于風險識別的結果對風險的發(fā)生概率進行分析評估，選擇采用諸如預期估計或情況評價等術語來表達潛在的可能性，或采用數(shù)據(jù)或圖表的形式來描述和評價風險發(fā)生的概率。

　　2.企業(yè)建立風險分析模型，通過關鍵風險指標管理方法、壓力測試和情景分析等定量技術手段和會談、工作組會議等定性評價技術對風險發(fā)生的條件因素進行分析，以確定風險發(fā)生的具體條件。

　　3.企業(yè)自查與外部檢查、事前與事后檢查相結合。

　　4.企業(yè)引進技術手段，由日常業(yè)務數(shù)據(jù)、財務數(shù)據(jù)入手，按照既定的模型做預警提示。

　　(五)風險評價

　　企業(yè)風險評價是在風險識別、風險分析的基礎上，評估風險對企業(yè)可能產生的影響以及確定風險的重要性水平的過程。企業(yè)風險評價包括兩個方面的內容，即分析風險可能產生的影響和確定風險的重要性水平。企業(yè)風險評價通常是和風險分析同步進行的，因而其方法也和風險分析相同。

　　企業(yè)風險評價的控制措施有：

　　1.企業(yè)對于重要事項面臨的重要風險可能帶來的重大影響，應當通過定量分析技術，確定各種可能性造成影響的數(shù)量，從而為企業(yè)采取恰當?shù)娘L險對策提供科學的依據(jù)。

　　2.企業(yè)應當按照風險可能帶來的影響程度的大小，對風險進行排序，明確重要風險和一般風險。

　　3.企業(yè)應當對重要風險予以特別的關注，避免重要風險可能給企業(yè)帶來的重大損失。

　　(六)風險管理策略

　　一般情況下，對戰(zhàn)略、財務、運營和法律風險，可采取風險承擔、風險規(guī)避、風險轉換、風險控制等方法。

　　1.企業(yè)針對各種風險建立確定風險應對措施的程序和方法，對具有較高發(fā)生概率、影響重大的風險優(yōu)先考慮。

　　2.建立一套廣泛適應的風險決策判斷標準，即根據(jù)風險嚴重程度和企業(yè)的風險承受程度確定不同的決策。

　　3.企業(yè)對降低風險水平所需成本進行合理分析，評估風險應對措施的成本與效益。

　　4.企業(yè)選定風險處理措施后，根據(jù)剩余風險重新校訂風險。

　　5.企業(yè)要持續(xù)獲得風險變化信息，有效地控制、管理風險，防范新風險的產生。

　　6.對重要風險進行實時監(jiān)控。

　　四、結論

　　企業(yè)風險評估是一個持續(xù)反復的過程，一次風險評估并不能一勞永逸。企業(yè)應當結合不同發(fā)展階段和業(yè)務拓展情況，持續(xù)收集與風險變化相關的信息，進行風險識別和風險分析，根據(jù)情況的變化及時調整風險應對策略，以避免由于原來選擇使用的風險應對策略無效而影響內部目標的實現(xiàn)。特別是當企業(yè)經營活動所處的外部環(huán)境發(fā)生變化時，企業(yè)必須保持應有的靈敏度，針對變化的外部環(huán)境進行相應的風險評估，以使企業(yè)的目標在變化了的外部環(huán)境中得以實現(xiàn)。我國企業(yè)只有建立比較完善的風險評估系統(tǒng)，才能真正完善我國企業(yè)的內部控制，真正促進我國企業(yè)的進一步發(fā)展。

　　【參考文獻】

　　[1] 李玉環(huán).內部控制中的風險評估[J].會計之友，2008 (10).

　　[2] 馬宏杰.企業(yè)內部控制制度存在的問題與對策[J].財會研究，2007(4).

　　[3] 印發(fā)《企業(yè)內部控制基本規(guī)范》的通知[J].安徽水利財會， 2008(4).

　　[4] 王立勇.企業(yè)內部控制中的風險評估研究[J].交通財會，2002(2).