内部控制中风险评估.docVIP

内部控制中的风险评估 　　我国《企业内部控制基本规范》（以下简称《基本规范》）提出我国内部控制的基本要素包括内部环境、风险评估、控制活动、信息与沟通和内部监督等五项，并在《基本规范》中单辟一章，就风险评估的有关内容进行了规定。 　　在市场经济条件下，每个企业都面临着来自外部和内部的风险。企业内部控制就是通过对风险的控制以实现其目标的，风险评估是企业内部控制的重要内容之一。内部控制中的风险评估的概念有广义和狭义之分。广义的风险评估包括目标设定、风险识别、风险分析、风险应对等；狭义的风险评估仅仅是指风险分析，即通过采用定性分析和定量分析，按照企业风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。 　　 　　一、《内部控制框架》中的风险评估 　　 　　美国COSO委员会《内部控制框架》所使用的风险评估概念属于广义风险评估，《内部控制框架》将其作为内部控制的关键构成要素。 　　（一）设定目标 　　根据《内部控制框架》，风险评估首先要设定目标。设定目标是风险评估的前提条件。风险是与目标伴随的，首先必须有目标，管理层才能对实现目标的风险进行识别。根据《内部控制框架》，目标设定不属于内部控制的构成要素，但它是内部控制的前提条件，为此《内部控制框架》专门对目标设定进行了论述。目标包括企业层面的目标和业务层面的目标。管理层通过目标设定来明确业绩衡量标准，目标具体分为经营目标、财务报告目标和合规目标。经营目标是管理层基于企业所处特定经营环境所设定的业绩衡量标准；财务报告目标在于对外公布的财务报告的可靠性；合规性目标则要求企业的经营活动遵循适用的法律法规。这些目标是相互补充和相互关联的。 　　（二）风险识别 　　1.风险识别必须与目标联系，无论目标是明确的还是隐含的，企业的风险识别应当考虑到目标实现面临的各种可能出现的风险。2.风险识别是一个持续性、反复的过程。3.进行风险识别时应当关注企业各个层面的风险，包括企业层面的风险和业务层面的风险。对主体层面的风险进行识别时，??要关注外部风险，也要关注内部风险。来自外部的风险主要有技术进步引起的风险、客户需求变化风险、市场竞争风险、法律法规变动风险、自然灾害风险以及经济环境变化风险等;来自内部的风险包括信息系统故障风险、员工素质能力等方面的风险、管理层变动风险以及董事会或审计委员会不作为的风险等。对业务层面的风险进行识别时，应当将该层面的风险评估集中于主要业务流程和主要职能上，如销售、生产、营销、研究开发等。应当识别对企业有重大影响的较为明显的风险。 　　（三）风险分析，即狭义的风险评估 　　企业在对企业层面的风险和业务层面的风险识别后，则需要进行风险分析。风险分析的方法多种多样。风险分析的过程通常包括估计风险的严重性、评估风险发生的可能性、评估应采取的措施等三个步骤。应当注意的是，作为内部控制一部分的风险评估，与作为管理过程应对措施而采取的计划、方案及其他措施存在着区别。 　　（四）建立识别环境变化的机制 　　风险评估本质上是一个识别变化并采取必要措施的过程。随着经济、行业和监管等外部环境的变化，企业的经营活动也将发生相应的调整，企业应当建立一套正式或非正式的程序，对可能影响企业目标实现的风险进行识别。管理层应当特别关注以下对环境影响的因素，这些因素包括已变化的经营环境、管理层人员更换及员工大规模更换、使用新的或调整后的信息系统、经营业务快速增长、采用新技术、开拓新的经营领域、进行公司重组等。企业应当建立一定的机制，对发生变化的外部环境进行识别。 　　 　　二、《企业风险管理框架》中的风险评估 　　 　　美国COSO委员会2004年发布的《企业风险管理框架》中将风险管理的要素划分为内部环境、目标设定、事项识别、风险评估、风险应对、信息与沟通和监控等八要素。根据《企业风险管理框架》，风险评估就是要对识别的风险进行分析，以形成确定如何对其进行管理的依据。这实际就是《内部控制框架》中的风险分析，属于狭义上的风险评估概念。《内部控制框架》中的风险评估实际上包括事项识别、风险评估、风险应对三项内容，而目标设定则作为内部控制的前提条件，不属于内部控制要素的范围。 　　风险总是与特定目标的实现相联系。如不出国旅游，则不会涉及到飞机失事的风险。根据《企业风险管理框架》，实施风险管理首先就涉及到设定目标。目标设定是事项识别、风险评估和风险应对的前提。《企业风险管理框架》正是出于风险管理的需要将目标设定作为风险管理的构成要素之一。《企业风险管理框架》中的目标包括战略目标和相关目标，战略目标是最高层次的目标，而相关目标则是建立在战略目标基础上的企业层面等的目标，企业层面的目标与更为具体的目标相关联,贯穿于整个企业，并具体为各项业务和各项职能的次