风险评估的内容.doc

风险评估的内容 在国外，COSO内部控制报告：下面所列的是评估者可能会考虑的事项。这一列示并非涵盖了全部，也不是对每个企业都适用；但是，可以作为一个起点。 　　企业层面目标：企业层面目标对企业需要实现什么提供充分广泛声明和指导，且足够明确并直接与本企业相关。企业层面目标向雇员和董事会传递的有效性。企业层面目标和企业策略的相关性和一致性。企业计划和预算与企业层面目标、战略规划和现时条件的一致性。操作层面目标：操作层面目标和企业层面目标以及战略规划之间的联系。操作层面目标之间的一致性。操作层面目标与所有重大业务流程的相关性。操作层面目标的专属性。 　　与目标相关的资源的充分性：识别对实现企业层面目标的重要目标（关键成功因素）。各级管理层对制定目标的参与及其对于目标的义务。 　　风险：识别来自外部风险的机制的充分性。识别来自内部风险的机制的充分性。识别与每个重大操作层面目标相关的重要风险。风险分析过程的周详性和相关性，包括估计风险的重要性程度、发生概率和决定所采取的措施。 　　应对变化：存在机制，对影响企业或操作层面目标实现的日常事件或行为进行预测、识别和反应（通常由负责那些最受变化影响行为的经理来执行）。存在机制，对那些于企业有巨大和深远影响，可能需要高层管理人员关注的变化进行识别和反应。 　　巴塞尔委员会发布的《银行组织内部控制系统框架》：风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险(如银行要面对信贷风险、国家和转移支付风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉风险)。需要不时调整内控，以便恰当地处理任何新的或过去不加控制的风险。 　　《联邦政府内部控制准则》：管理者应该综合地识别那些风险，在考虑政府机构和其他关联政府机构之间重要的内部交易的同时，还要考虑政府机构范围内的内部因素。风险识别方法包括定性和定量分析高级行动、管理谈判、预测和战略计划以及对在审计和其他评估中发现的问题的考虑。一旦风险被识别，就应该立即分析可能出现的结果。风险分析一般包括估计风险的重要性，估计风险发生的可能性，决定怎样去管理风险，应该采取什么样的措施。不同的政府机构有不同的风险分析方法，因为各个政府机构活动内容有所差别，因此较难定性或定量地确定风险水平。由于政府管制、经济、行业、规则以及经营条件是不断改变的，所以应该建立可以识别并处理任何由这种改变带来的风险的机制。? 　　[美]COSO制定发布、方红星和王宏译的《企业风险管理—整合框架》：风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。 　　在国内，《商业银行内部控制指引》:商业银行应当设立履行风险管理职能的专门部门，制定并实施识别、计量、监测和管理风险的制度、程序和方法，以确保风险管理和经营目标的实现。商业银行应当建立涵盖各项业务、全行范围的风险管理系统，开发和运用风险量化评估的方法和模型，对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。商业银行应当对各项业务制定全面、系统、成文的政策、制度和程序，并在全行范围内保持统一的业务标准和操作要求，避免因管理层的变更而影响其连续性和稳定性。商业银行设立新的机构或开办新的业务，应当事先制定有关的政策、制度和程序，对潜在的风险进行计量和评估，并提出风险防范措施。 　　《寿险公司内部控制评价办法（试行）》：风险评估要覆盖公司经营的各个环节。寿险公司应根据发生频率识别并确定经常性和非经常性的业务和管理活动，识别这些活动中的风险（无论是否由内部产生），考虑其类型、来源及其影响范围。充分考虑内部和外部因素。其中内部因素包括公司治理、组织结构以及人力资源管理的复杂程度，公司资产的规模、流动性或业务总量，公司的财务状况以及经营活动的地理分布，内部控制系统的健全性、合理性和有效性等。外部因素包括国家法律、法规及政策的变化，经济形势的变化，科技的快速发展，行业竞争及市场变化等。持续识别法律法规、监管和其他要求。寿险公司应建立并保持政策和程序，确保及时识别和取得适用的法律法规、监管要求和其他要求，并作为风险识别与评估、制订控制目标和控制方案的依据。寿险公司应及时更新法律法规、监管要求和其他要求的信息，并将有关信息传达给相关员工和其他风险关联方。运用适当的方法和技术对风险的概率、后果进行评估，确定风险级别。持续识别和评估风险。当环境和条件发生变化时，应及时对风险进行再识别和再评估，以确保任何新的和以前未曾予以控制的风险得到识别和控制。对已识