所有企业,无论规模、结构、性质或所属行业,在其企业内部的所有层面都面临着风险。风险影响着每个企业生存的能力;影响着在其所属行业内的竞争;影响着企业的金融实力和积极的公众形象;影响着企业产品、服务和员工的整体质量。在实践当中没有把发生风险的几率减至为零的方法。的确,经营决策造成了风险。企业的管理层必须决定准备谨慎地承担多大的风险,并且努力使风险维持在这些层面内。
风险评估的前提条件是设定目标。首先必须确定目标,在此之后管理层才能针对目标确定风险并采取必要的行动来管理风险。因此,设定目标是管理过程的一个关键部分。尽管它不是内部控制的一个要素,但它是内部控制的前提,为内部控制提供了条件。
一、风险评估步骤
COSO报告中对公司的风险评估进行了总体的要求,即:每个公司都面临着内外部风险,这些风险必须被评估。要客观正确地评估这些风险,必须按照一定的步骤来进行。风险评估的步骤分为以下四步。
(一)企业必须确定目标
目标设定可以是高度结构化的过程,或者是一种非规范化的过程。目标可以明确地陈述,或者很含蓄。在公司层面,目标常常通过公司的总目标和价值陈述来体现。要对企业的实力和弱点以及机会和威胁进行评估,这些评估使企业制定出总体战略。一般来说,战略计划陈述的面宽但比较泛,主要讲述高层次的资源分配和优先利用次序。
更具体的目标源自企业主要的战略。企业层次的目标相互关联并与各种业务活动中确立的更具体的目标相结合;确认这些目标都是一致的。这些子目标或业务层面目标包括建立目标并处理生产线、市场、融资和利润目标。
通过在企业层面和业务活动场面层面设定目标,企业就可以识别出关键的成功因素。如果要达到目标,这些就是必须正确实施的关键因素。对企业、一个业务单位、一个职能、一个部门或一个人来说都存在着关键的成功因素。目标设定可以使管理层识别业绩的衡量标准,同时把重点放在关键的成功因素上。
这些目标包括:
1.经营目标——运行的效率和效果。
这类目标包括业绩和利润性目标以及企业亏损的保障资源。基于管理层对企业结构和业绩的选择,此类目标彼此间会有所不同。
经营目标与实现企业的基本总目标相关,这也是其能够生存的根本原因。经营目标包括经营业务的相关子目标,强调在企业向其最终目标迈进的过程中增强效果和效率。
经营目标需要反映出企业发挥其职能所处的特定的商业、产业和经济环境。管理层必须意识到,目标要基于市场地的实际和需求情况,并且目标可以用有意义的业绩衡量措施来表达。一套清晰的与子目标相关联的经营目标和策略对企业经营的成功是极为重要的。它们提供了企业将要配置其重要资源的重点。如果一家企业经营目标不明确或者未经过深思熟虑,其资源可能会投向错误的方向。
2.财务报告目标——财务报表的可靠性。
这类目标是关于企业编制可靠的公开发表的财务报表,包括防止虚假的公开财务报告。这类目标的驱动力主要来自于外部的要求。
财务报告目标涉及编制可靠的公开财务报表,包括期中和简明财务报表以及源自这些报表的经过选择的财务数据等。企业需要实现财务报告的目标以便满足偿付外部债务的需要。可靠的财务报表是获得投资者或债权人资本的先决条件,而且对被授予合同或与一些供应商进行交易也是至关重要的。投资者、债权人、客户和供应商通常依靠财务报表来评估企业管理层的业绩,并将该业绩与相关企业管理层的业绩以及替代性投资对照。
与其他目标类别一样,财务报告目标也有一系列目标和子目标。体现公平提交财务报表的因素可以看成是基本的财务报告目标;通过财务报表认定所体现的子目标则对这些目标进行支持;而子目标则受到通过企业各种各样的活动识别出的相关目标的支持。
3.合规性目标——法律法规的遵循性。
这类目标涉及对企业必须遵守的法律法规的合规性,主要取决于外部因素,并且在有些情况下所有企业的此类目标都基本相似,而在另一些情况下全行业的合规性目标都相似。
企业必须依照适用的法律法规开展其业务活动,而且通常采取具体的行动。这些法律法规要求与企业的多种行为有关。
(二)识别与上述目标相关的风险
由于内部或外部的因素,一个企业的运作可能处于风险之中。这些因素可以影响既定或隐含的目标。随着目标越来越不同于以往的企业运作,风险也在增大。在许多的业绩领域中,企业往往没有设定明确的企业总体目标,因为它认为自己的业绩还是可以接受的。尽管在这些情形中可能并没有一个明确的或书面的目标,但是有一个隐含的目标“不变”或“保持现状”。这并不意味着隐含的目标不存在内部或外部风险。
如果不考虑一个目标是否是既定的或是隐含的,企业的风险评估过程应考虑可能出现的风险。风险识别应是全面的,这一点非常重要。应考虑企业和相关外部各方之间所有重要的交互关系。风险识别是一个重复的过程,通常与计划流程结合在一起。
1.企业层面的风险。
导致企业经营风险的因素包括外部和内部两个方面。研究表明,有许多方法去识别风险。识别可导致企业范围内风险的外部和内部因素对有效的风险评估是极为重要的。在识别出主要起作用的风险因素后,管理层就可以考虑它们的严重性,并在可能的情况下将风险因素与企业活动联系起来。
2.业务活动中的风险。
除了识别企业层面的风险外,还应识别业务活动层面的风险。在这个层面处理风险有助于将风险评估的重点放在主要的业务单位或职能上,如销售、生产、市场营销、技术开发以及研发。成功地评估业务活动层面的风险也有助于在企业层面维持风险的可接受水平。
对于既定或隐含的目标来说,在许多情况下能够识别出许多不同的风险。例如,在采购活动中,企业可能有一个与维持足够的原材料库存有关的目标。不能实现该活动目标的风险可能包括:物资未能满足技术规格的要求,或者未能按所需数量准时交货或未按可接受价格供货。这些风险可能会影响向供货商说明拟购货技术规格的方式、采用生产预测及其适合性、确定替代供货源以及采购谈判。
造成企业目标无法实现的潜在原因从显而易见到模糊不清,其潜在的影响从严重到不严重。肯定的是,应识别出严重影响企业的较明显的风险。为了避免忽略相关的风险,在识别时最好还对该风险出现的可能性进行评估。
(三)评估上述识别出的风险的后果和可能性
在识别出企业和活动层面的风险后就需要进行风险分析。分析风险的方法多种多样,这主要是因为许多风险很难量化。这一过程主要包括以下两方面内容:
(1)估计风险的严重性。
(2)评估风险发生的可能性。
对企业没有重大影响以及发生的可能性较低的风险通常不需要特别关注。另外,发生的可能性较高的重大风险则需要给予极大的关注。在这两个极端之间的情景则常常很难判断。重要的是,风险分析应合理审慎。
(四)针对风险评估的结果,考虑适当的控制活动
在评估了风险的严重性和可能性之后,管理层需要考虑怎样去管理风险。其中包括:基于对风险的假设做出判断,合理分析与减少风险等级有关的费用,为了减少风险发生的严重性或可能性而可能采取的措施等。
二、风险评估实施过程
根据COSO上述总体性的要求,结合公司的实际情况,风险评估的具体实施过程如下:
1.描述公司所有的业务流程。
(1)制定业务流程目录。
(2)制定流程描述(包括流程图和文字描述)的规范。
(3)进行流程的具体描述。
2.识别与业务流程相关的风险。
(1)确定重要会计科目和披露事项。
(2)识别与重要会计科目、披露事项相关的财务报表认定。
(3)确定与这些重要会计科目和披露事项相关的流程——重要业务流程。
3.对重要业务流程进行风险评估。评估重要风险,建立风险数据库。
4.根据上述风险评估的结果,建立风险评估制度体系。
(1)完善制度和标准。
(2)持续改进。