第12章 风险评估

一、正确理解风险及风险评估的内涵

风险即不确定性。从内部控制的角度看，风险即是影响控制目标实现的各种不确定性。所有企业，无论规模、性质或所属行业，在各个层级都会面临风险。风险影响每个企业的生存和可持续发展能力，包括社会形象和产品、服务和员工的整体质量，从而保持在竞争中存在的优势。

风险按照不同的分类标准，可以有多种分类：根据风险对控制目标实现产生的影响，可将风险分为战略风险、经营风险、资产安全风险、财务报告风险、合规风险等；根据风险的来源，将风险分为内部风险和外部风险；根据对风险作出应对策略所在的层面不同，可以将风险分为企业层面风险和业务活动层面风险；以是否为企业带来盈利等机会为标志，可以将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。

风险评估是企业及时识别、系统分析经营管理活动中与实现内部控制目标相关的风险，合理确定风险应对策略的过程，具体包括目标设定、确认风险事件、风险分析和风险应对等四个环节。

二、充分认识风险评估在内部控制的重要性

1.风险评估是内部控制的主线。现代企业内部控制是以全面风险管理为导向的内部控制，其要“控”的就是风险，而要“控”风险，就必须对风险先行进行评估。没有风险评估作主线，内部控制将无所作为。

2.风险评估将控制目标和其他内部控制要素紧密联为一体。风险评估所要评估的风险只能是影响控制目标实现的风险，而要实现风险的评估，需要评估企业的内部环境，需要借助于信息与沟通来收集风险信息、传递风险理念，需要利用内部监督评价风险应对措施是否健全、是否有效，等等。由此表明，风险评估既贯穿于内部控制的始终，包括内部环境、控制活动、信息与沟通和内部监督，又将内部控制要素联结成一个有机整体。

三、扎实做好风险评估相关工作

（一）健全风险评估的机制

风险评估的有效性需要相应的机制来保证。从以全面风险管理为导向的内部控制角度看，风险评估覆盖企业各层级、各分部、各业务条线，相关工作较为复杂，需要强有力的领导和严密的组织。通常情况下，企业可从以下三个层面来建立健全风险评估机制。一是高管层，承担领导、审批和把握全局的职责，主要包括：确定统一的评估标准和评估时间跨度；审批各职能部门、分（子）公司提交的风险评估表；确定企业层面重大和主要的风险；定期对企业层面的重大和主要风险进行回顾和更新。二是风险管理部门（或类似职能部门），承担业务指导和汇总职责，主要包括：建立和完善用于风险事项评估的方法和工具；指导风险评估有关的有关工作并开展业务培训；组织协调跨部门的风险研讨活动；汇总审阅各职能部门、分（子）公司准备的风险评估表初稿，并形成企业总的风险评估表；持续更新风险数据库等。三是其他职能部门或分（子）公司，承担执行职能，主要包括：组织本部门、分（子）公司的风险评估研讨活动；分析识别有关风险事件；根据分析结果确定风险高低并排序；准备有关的风险评估表初稿；定期对本部门、本分（子）公司风险评估结果进行回顾和更新等。

（二）把握风险评估原则

一般而言，做好风险评估工作，应当把握以下基本原则：

1.前瞻性原则。风险评估立足于事前控制，预防第一。为此，企业管理层及各层级员工应当树立风险意识，建立健全相应的组织机构，将风险可能引起不利因素控制在事前。

2.适应管理变化的机制原则。企业外部受经济、市场、政治等影响，内部受到组织机构、人员等变化影响，内外部环境处于不断的变化中，企业目标也应当随之调整。如果风险评估一成不变，必将导致风险管理偏离企业的控制目标，不能适应企业的发展。为此，建立适应管理变化的机制是风险评估必须遵循的原则。

3.风险与收益平衡原则。没有风险，就没有收益。如果承担过度的风险，虽然收益增加，风险可能带来的损失也随之增加，因此，应根据风险与收益平衡的原则，确定风险管理的优先顺序、资金预算、组织体系、人力资源等总体安排。

4.全要素、全过程、全主体（人员）原则。前已述及，风险评估贯穿内部控制的所有要素，同时也渗透于企业生产经营管理的各个环节，各个层级的员工均应参与风险评估。董事会、经理层更多地涉及决策风险的管理，而不同部门及其专业技术人员，则涉及自身职责范围内的风险管理。

（三）设定控制目标

设定控制目标是风险评估的前提条件。只有先设定目标，企业管理层才能识别实现这些目标的风险，并采取必要的控制措施来管理风险。

企业如何设定目标？至少应把握以下几个方面：

1.将战略目标放在优先考虑的位置。一个企业的存在应当有其使命，否则其存在的意义就要打折扣。理论上讲，企业的使命应该确定企业希望成为什么、希望实现什么。由此，企业才需要设定战略目标，进行战略规划，并为企业确定相关的经营、资产安全、财务报告和合规目标。显然，这些目标中，战略目标是最高层次的目标，其他目标要“低”一个层次。为此，企业在设定目标过程中，应当将战略目标摆在优先考虑的地位。

在此有两点需要补充说明：一是，企业的战略目标应当与企业的使命始终相协调并支持后者，应当反映企业高管层就企业如何努力为其利益相关者创造价值所作出的选择。二是，企业的战略目标通常应保持稳定，但也不排除适时调整。因为战略目标的设定受制于企业经济社会自然环境等因素，而这些因素又总是处在变化中。当这些因素发生剧烈变化时，比如美国次贷危机引发的国际金融危机后，中央提出的转变经济方式，可能促使企业战略目标适时而动、因势而变。

2.健全战略目标制定机制。制定或设定战略目标需要有机制作保障。从董事会层面讲，应当设立战略委员会，对企业长期发展战略和重大投资决策进行研究并提出建议。同时，经理层及其相关职能部门、分（子）公司也应在战略目标制定过程中充分发挥各自积极作用。《企业内部控制配套指引》中的“发展战略”应用指引及其有关讲解对此有较多阐述，此处不多述及。示例3-1：《×××公司董事会战略委员会议事细则》

……

第三条战略委员会成员由五名董事组成，其中应至少包括1名独立董事。

第四条战略委员会委员由董事长、二分之一以上独立董事或者全体董事的三分之一提名，并由董事会选举产生。

第五条战略委员会设主任委员（召集人）1名，由公司董事长担任。

第六条战略委员会任期与董事会任期一致，委员任期届满，连选可以连任。期间如有委员不再担任公司董事职务，自动失去委员资格，并由委员会根据上述第三至第五条规定补足委员人数。

第七条根据实际情况的需要，战略委员会下设战略工作小组，由公司董事长任战略工作小组组长，另设副组长1名。

第八条战略委员会的主要职责权限：

（一）对公司长期发展战略规划进行研究并提出建议；

（二）对《公司章程》规定须经董事会批准的重大投资融资方案进行研究并提出建议；

（三）对《公司章程》规定须经董事会批准的重大资本运作、资产经营项目进行研究并提出建议；

（四）对其他影响公司发展的重大事项进行研究并提出建议；

（五）对以上事项的实施进行检查；

（六）董事会授权的其他事宜。

第九条战略委员会对董事会负责，委员会的提案提交董事会审议决定。

……

第十七条战略委员会会议应由三分之二以上的委员出席方可举行；每一名委员只有一票表决权；会议做出的决议，必须经全体委员的过半数通过。

第十八条战略委员会会议应当有记录，出席会议的委员应当在会议记录上签名；会议记录由公司董事会秘书保存。

第十九条战略委员会会议通过的议案及表决结果，应以书面形式报公司董事会。

……3.在战略目标已设定的基础上设定相关目标。战略目标需要相关目标作支撑才能“落地”。事实上，相对于企业所有的活动，制订支持选定的战略并与之协调的目标是成功的关键。通过首先关注战略目标和战略，企业可以建立企业层次的相关目标。这些目标的实现将有助于创造和保持企业价值。而企业层面的目标又与更多的具体目标相关联和融合，贯穿于整个企业，细化为针对诸如销售、生产和工程设计等各项活动和基层职能机构所确立的次级目标。

由于不同行业、不同规模的企业的相关目标不尽相同，所以制定适合所有企业、层次较低的相关目标是很难的。但是，我们仍然可以概括地在较高层次上，将相关目标归纳合并成四类，即《企业内部控制基本规范》所明确的经营效率与效果目标（即经营目标）、资产安全目标、财务报告及相关信息真实可靠目标（即报告目标）和合法合规目标（即合规目标）等。

相对而言，经营目标更复杂和更难把握一些，其制定过程也需要有良好的机制做保证。以下是某企业经营目标设定流程。

4.在设定目标过程中注重考虑风险偏好和风险承受度因素。企业在确定各类目标时，不能只是选择目标，还应考虑这些目标如何支持企业使命的实现。这就会遇到目标设定过程中风险偏好和风险可承受度问题。目标与企业的风险偏好整合得不好，可能会使企业为实现目标承担过多的风险，或者接受过小的风险。目标设定是否合适、风险管控是否有效等，主要不体现在选择的这些目标看上去多么雄心勃勃，而在于这些目标的选择因循了适当的程序，较好地实现了战略目标与企业使命相协调，保证了企业的战略目标与相关目标、企业的风险偏好相统一。

（1）风险偏好。风险偏好就是企业在实现其价值过程中所愿意承受的风险水平，是企业制定战略的指针。风险偏好可以视作是企业在增长、风险和收益之间的一种平衡。风险偏好反映了企业的风险管理理念，进而影响企业的文化和经营风格。具有较高风险偏好的企业可能愿意把大部分资本配置到诸如新兴市场等高风险领域；反之，具有低风险偏好的企业可能仅仅投资于成熟的、稳定的市场，以便限制短期的巨额资本损失风险。风险偏好可以采用定性或定量的方法来表达。示例3-4：某企业在考虑其风险偏好时可能要考虑的问题清单——哪些风险企业可以接受，哪些风险企业不愿接受。比如，企业是否准备承受由于偷窃而导致的实物存货的微小损失，但不愿承受由于损坏、陈旧过时或自然灾害导致的实物存货的巨大损失？

——企业对各业务单元已接受或将要接受的风险总量是否满意？

——对企业准备采用的使投入资本收益率（ROIC）达到15%的一些新举措，企业准备接受多大的风险？

——企业是否准备接受比目前接受的风险更多的风险？如果是，要求的回报率是多高？

——在给定的特定置信水平下，企业愿意接受什么水平的资本或收益风险。比如，在95%置信度下，企业是否会接受50%的资本损失风险？

——基于对主要风险发生的可能性与后果的估计，企业愿意以多少资本来抵补“最糟糕情况下”的风险损失？对发生可能性不大但一旦发生会影响企业生存的风险，企业是否愿意接受？

——是否存在企业不准备接受特定风险？例如，导致不遵守保密法保密规定的风险。

——企业愿意接受竞争风险的程度是多大？比如，为了取得更大的市场份额而降低毛利率的风险。

——企业有多强的愿望准备开展成功可能性较低但有潜在回报较高的项目？

——相对于定量描述来说，企业对定性描述更满意吗？

某企业风险地图上述“风险地图”中，“超过风险偏好”区域内的任何残余风险因为超过了企业的风险偏好，从而要求企业采取措施以降低风险的可能性，并将其置于企业的风险偏好内。示例3-6：某公司风险偏好、回报和风险资某公司风险偏好、回报和风险资本（2）风险可承受度。风险可承受度是相对于目标的实现而言所能接受的偏离程度。风险可承受度可以计量，且最好采用与相关目标相同的计量单位来计量。以下几点值得说明：

第一，通常情况下，绩效计量可用于确保实际结果在已确立的风险承受度之内。比如说，某公司的目标是商品98%按时送达，可接受的时间偏差范围为97%～100%；该公司培训目标是通过率为90%，可接受的通过率至少为75%。再比如，该公司对客户的抱怨要求在24小时内及时作出反应，可接受的程度是至多25%的客户抱怨在24～36小时内得到答复。

第二，企业的风险承受度有时是在整个企业层面上考虑的，并在各个业务单元之间进行分配。例如，某企业设定公司整体上从合作伙伴处取得的销售收入不得超过20%。该企业有A、B两个业务单元，其下一年的营运与市场计划表明来自该合作伙伴的收入均超过20%。企业管理层决定，A业务单元来自合伙人的收入至多不超过30%，B业务单位的此类收入不超过15%，这样公司来自该合作伙伴的整体销售收入就可保持在20%的风险承受度之内。

第三，在确定风险承受度时，企业经理层需要考虑相关目标的相对重要性，并将风险承受度与企业的风险偏好相协调。企业在风险承受度内良好运行可以确保公司的发展未超出风险偏好范围，促进企业实现其战略目标。

（四）确认风险事件

目标设定后，应当确认各种影响目标实现的风险事件。它是风险评估过程中不可或缺的一个环节。确认风险事件应紧紧围绕目标进行，搜集有关风险因素、风险事故和风险损失等方面的信息，以发现导致风险产生、造成风险损失的源头（原因和过程）。确认风险事件也称作“风险识别”。

如何确认风险事件？至少应把握以下几个方面：

1.完整理解风险事件的内涵。完整理解风险事件确认的本质，应着力关注以下几点：（1）确认风险事件应结合战略目标和相关目标，不能泛泛地讲确认风险事件。实务中，可能需要将经营目标、资产安全目标、报告目标和合规目标分解成若干子目标，并以此进行风险事件确认。（2）确认风险事件是一个复杂的系统工程。即使是一个规模较小的企业，不仅包括识别实物资产风险、金融资产风险，还需要确认或识别人力资源方面的风险等。同时，风险事件确认不仅是企业内部控制或风险管理部门的事，还须牵涉生产部门、财务部门、信息部门等职能部门，以及分（子）公司等；否则，难以全面、准确地确认风险事件。（3）确认风险事件是一个连续、不间断的过程。企业经营所面临的内外部环境持续地在变化。处在这样复杂多变的环境中，企业要求得发展，就必须不间接地确认或识别各种相关风险，分析其对企业目标实现的影响。从这个意义上讲，风险事件确认也是一个动态过程。（4）确认风险事件工作本身的重点在于识别引发风险的源头。因为正是风险源不断集聚才可能从量变向质变转化，由潜在风险转化为实实在在的损失。

2.明确风险事件确认流程。由于风险事件确认的复杂性，企业可以从组织角度和技术角度两个度来设计风险事件确认流程。

（1）从组织角度看，一般从企业高级管理层和各职能部门、分（子）公司分别收集信息开始，逐级汇总确认或更新风险事件，即通常所说的从企业层面和业务活动层面确认风险事件。

首先，企业层面风险由内部和外部因素引起。这些因素通常对企业构成严重影响，甚至影响到企业发展战略的改变。外部因素包括但不限于：

一是技术进步所带来的风险，包括对自身研发的冲击、原材料升级换代而不能适应生产线等；

二是客户需求不断变化的风险，使得在产品开发、生产工艺、客户服务、定价或质量方面不能满足需要，客户需求风险在激烈的市场环境下越来越显得重要；

三是同行业竞争风险，使得企业面临改变营销策略；

四是法律风险，新的法律法规可能使企业必须改变经营政策甚至企业战略；

五是自然灾害风险，使得企业的经营场所、信息系统遭到破坏和损失，无法正常经营；

六是经济变化风险，在国内外经济变化的情况下，企业筹资、投资成本均不同，经济不景气，可能会面临银根紧缩的风险，或商品价格下跌风险；

七是汇率风险，汇率变化给企业带来直接的损失或收益；

八是自然资源风险，对于依靠自然资源经营的企业，这个风险非常重要，没有了资源，也就失去了市场。

内部因素包括但不限于：

一是人力资源风险，员工能力或职业道德不足、或企业激励机制不科学的风险，都使得控制意识下降，比如财务员工缺乏专业知识，随意处理数据差异，财务报告失真；

二是管理层责任的改变引起相应控制方式改变的风险；

三是企业性质以及员工接近资产的能力可能会导致资源的不当使用风险，比如珠宝商店比一家从事咨询的公司面临更多这种风险，银行业员工如果对银行账户接触没有足够的控制，也会面临这种风险；

四是缺乏良好的信息沟通及决策机制风险，使得公司决策不当；

五是管理能力不足风险，比如营销、生产、技术开发的能力等方面不能满足实现战略目标的需要；信息系统瘫痪而灾备不足，使得生产经营及财务数据风险无法恢复风险，例如一个信用卡系统丢失客户数据，则对企业造成无法弥补的损失；

六是财务资源不足风险，比如资金集中能力差，缺乏足够的现金流；

七是无形资产不足风险，比如没有商誉、关键技术专利权使得企业在市场竞争中处于被动；

八是董事会或审计委员会不能有效行使职责风险，如大股东控制公司经营政策风险，企业无法自主经营决策，甚至执行错误的决策。

其次，业务活动层面风险事件确认，主要是由职能部门或生产经营一线进行，评估的焦点集中在职能部门和业务单元上，这些部门（或单元）直接接触生产经营，风险确认具有一定的专业性、严谨性、针对性、具体性、灵活性，能够更为准确、快速地判断企业内外部风险。业务活动层面的风险一般包括销售、采购、投资、生产、工程、研发等，可以层层细化分解为更小的风险。如其中销售风险又可以细分为销售计划准确性、客户选择、信用审核和执行、发票开具、发货、财务核算等风险，而每一个风险又可以进一步细分，比如发票开具面临的风险有：开具虚假发票，发票开具与发货不一致，在信息系统开票环境下，实际开票与系统内发票不一致的风险，等等。

（2）从技术角度看，一般应遵循以下流程：第一，从目标设置开始，层层分解确立为实现目标的各个关键业务或事项；第二，针对各个关键业务或事项，分析能够使得目标实现的成功因素；第三，从外部环境及内部环境两个角度，通过对实现关键成功因素的分析，考虑和寻找在实现目标过程中的内外部风险。这里所指外部环境至少包括：自然环境、法律环境、经环境、政治环境、行业环境、技术、竞争、外部利益方需求和其他关键因素；第四，从企业目标出发针对关键业务或事项，整合识别出影响企业目标实现的风险。示例3-8：某上市公司针对战略目标确认风险事件一家大型能源公司，为实现在同行中处于“一流”位置的战略目标，首要的一项关键业务是关于油气资源的业务，该项业务影响目标实现的因素有：油气资源储备充足且勘探能力充足；针对两个关键事项，从企业油气资源面临的内外部环境考虑，内部风险可能包括勘探项目前期论证不充分，勘探技术、装备和人员不足等原因存在缺陷，外部风险是油气储备不足、油气所在国政治、经济等剧烈变化，无法持续经营；通过以上分析，油气资源业务风险事件总结确认为：项目论证不足，导致后期开采困难或失败，油气储量缺乏或不落实，海外开发失败，等等。示例3-9：某上市公司针对财务报告目标进行的风险事件确认（1）明确财务报告目标。财务报告目标既为公司及时提供真实、准确、完整的经营管理信息，同时按照《企业会计准则》及上市地法律监管的相关规定及时提供真实、准确、完整的财务报告，满足国家相关部门和上市地证券监管机构对财务报告的报送要求，防止资产未经授权购置、使用或转让出售。在此基础上，进一步确定与具体业务流程相关的、影响财务报告目标的子目标。比如，在产品销售业务流程中，准确地获取销售数据并及时传递到相关部门、准确确认销售收入等目标；在对外投资流程中，投资成本的确认符合相关准则的规定、投资收益及时取得并准确确认等目标。

（2）确认重要会计科目和披露事项。公司内部控制管理部门根据《重要会计科目和披露事项确认有关规定》，确认公司重要会计科目和披露事项，为确定业务流程目录作准备。

（3）确定业务流程目录。公司按主要业务类别，结合重要会计科目和披露事项与流程的对应关系，确定统一的通用业务流程，地区公司结合本单位的具体业务进行修改和完善。

（4）描述业务流程。通过分析流程现状，梳理流程步骤，按照公司统一描述规范和描述工具，以流程图的形式对业务流程进行描述。

（5）确定财务报表认定。财务报表认定是公司按重要的会计科目和披露事项确定的满足财务报告目标的判断标准，通过识别重要的会计科目和披露事项中影响财务报表错报的主要方面，为识别财务报告风险作准备。财务报表认定包括存在或发生、完整性、估价与分摊、权利与义务、表达与披露五个方面的认定。

（6）确认风险事件。以业务流程为主线，根据确认的各业务流程的具体目标，结合重要会计科目和披露事项相关的财务报表认定，关注影响财务报告目标的主要因素，逐步识别各流程中存在的影响目标实现的负面因素（即财务报告风险事件）及其发生的原因。公司在确认财务报告风险事件时，主要关注以下因素：一是相关岗位设置、职责和权限划分；二是会计政策、程序和方法，内部稽核程序；三是来源于业务流程的财务信息的及时性、合规性、真实性和准确性；四是资产购置、处置、转让出售等程序；五是财务报告流程，财务报告及相关信息的披露。

3.掌握确认风险事项的方法。确认风险事件的方法有很多，以下是常用的几种方法：

（1）风险清单识别法。专业人员事先设计好的清单（或表格）和问卷，由企业员工对照所列内容逐一问答和补充。清单应详细列出企业可能面临的全部风险因素。以下是运用这种方法的一个例子。示例3-10：某企业所列风险清单序号风险事宜风险类别责任风险管理者风险成因原因类别1对新兴市场缺乏认识，未能掌握市场变化，丧失该等市场高增长、高利润的潜能战略计划建设部缺乏有效的市场发展策略，资源不能有计划地被分配人员，策略，政策，流程2……战略……3流动资金风险：由于资产的可变现性和融资问题导致企业无法满足其现金流量需求的风险财务资金部没有周详的现金流量预算流程和程序4……财务……5商品价格风险：商品价格变动带给企业的不利影响（例如煤、燃料、燃气、热能等）市场资金部市场因素外部事件6……市场……7员工共同分享用户签入名称和密码运营信息科技部员工缺乏信息保安意识及违反工作守则人员8……运营……9因公司进入新的市场和推出新产品所带来的潜在的法律风险，包括产品责任，违反有关国际贸易的法例和规则，违反当地对外资企业的法律、指令和社会环境方面的限制法律法律部贸易法制的改变；进入新的市场；或推出新的产品战略及政策10……法律……

（2）财务报表分析识别法。利用财务报表数据识别企业风险。主要可以利用趋势分析法、比率分析法、因素分析法等。这种方法需要对每个会计科目进行深入的研究和分析，可以识别企业潜在风险，但是专业性较强，且受报表真实性的限制。

（3）流程分析识别法。将企业生产经营过程及其内在的逻辑关系绘成流程图，从中找出关键环节的方法。流程分析识别法的基本步骤为：第一，充分了解企业生产经营活动的各个环节及其运作过程；第二，设计流程图，将每一流程中的风险揭示出来；第三，解释流程图，寻找可能的事故和损失原因。

（4）动因分析法。按引发风险产生的动因分析形成风险的源泉，以便制定应对方案。动因分析法能够将复杂的事物分解为多个比较简单的事物，将大系统分解为具体的组成要素，从中分析可能存在的风险及潜在损失的威胁。可以采用失误树分析方法，即将出现的损失作为“树干”，引申相关的原因分析。

此外，还有将定性和定量结合起来的层次分析法、目标风险识别法、现场调查识别法及自我评估控制等方法。这些方法需要企业根据具体的事项确定或综合使用。

应该说明的是，运用哪种方法不是最重要的。最重要的是企业管理层应综合考虑可能会引发或增加风险的因素，尽量避免在不做任何调查了解的情况下凭经验做事、拍脑袋决策。在此前提下，应该选取适合本企业的技术或方法，并保证企业已经具备确认潜在风险事件的能力以及相应的技术支持。财政部等五部委联合发布的《企业内部控制配套指引》运用上述方法，结合具体业务或事项，创造性地确认或识别出若干业务或事项相关的主要风险事件择其部分列示如下：

“组织架构”应用指引确认的主要风险事件：

（1）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

（2）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。

“发展战略”应用指引确认的主要风险事件：

（1）缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。

（2）发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。

（3）发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。

“资金活动”应用指引确认的主要风险事件：

（1）筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机。

（2）投资决策失误，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下。

（3）资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余。

（4）资金活动管控不严，可能导致资金被挪用、侵占、抽逃或遭受欺诈。

“业务外包”应用指引确认的主要风险事件：

（1）外包范围和价格确定不合理，承包方选择不当，可能导致企业遭受损失。

（2）业务外包监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势。

（3）业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案。

“合同管理”应用指引确认的主要风险事件：

（1）未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈，可能导致企业合法权益受到侵害。

（2）合同未全面履行或监控不当，可能导致企业诉讼失败、经济利益受损。

（3）合同纠纷处理不当，可能损害企业利益、信誉和形象。

“信息系统”应用指引确认的主要风险事件：

（1）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。

（2）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。

（3）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

……4.做好风险事件的分类和整合。企业根据目标确认出风险事件后，还有一项工作值得做，即将事件进行分类和整合。通过风险事件的分类，可以对企业各个分部面临的风险进行横向加总，或者对某一业务单元、某一职能部门面临的风险进行纵向加总，既可为今后的风险评估取得更有效的信息，也可以避免遗漏重大风险事件。此外，将相同类型的风险事件整合为一类，有利于企业更好地确定事件所带来的机遇与风险。

（五）全面开展风险分析

在确认风险事件之后，需要对这些事件进行风险分析，以便采取相应的应对策略。风险分析把握不准确，将导致选择不恰当的风险应对策略，从而作出错误的决策。如：经过风险分析，市场上出现的一项新技术被认为是无关紧要的，没有采取研发等相应的应对策略，但是，事实证明这项新技术可能对企业市场造成较大的冲击，从而使得企业难以为继。可见，风险分析是非常重要的，它是对确认的风险事件进行再一次的梳理，从而发现其中哪些风险是最重要的，哪些风险是其次的，等等。

如何全面展开风险分析？至少应把握以下几个方面：

1.准确理解风险分析内涵

风险分析是指对辨识出的风险及其特征进行分析，分析风险发生的条件和风险的高低，分析风险之间的关系，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一管理。从风险分析的概念来看，风险分析应从两个方面来进行：一是风险发生的可能性；二是影响程度。

企业面临的风险从定性的方面考虑，分为固有风险和剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下，企业所面临的风险；剩余风险则是在管理层采取了风险应对措施之后仍然残存的风险，反映了管理层用来减轻固有风险的措施有效实施后仍然存在的风险。

通过风险分析，能够对确认的风险事件发生可能性的大小，以及影响程度作出判断，从而为企业管理层所面临的固有风险和剩余风险，以及应采取的措施提供依据。也就是说，对发生的可能性小、对目标实现的影响不大的事件，管理者并不需要花太多的时间考虑。相反，发生可能性大、影响严重的事件，管理者需要慎重应对。在两者之间，需要管理者理性、谨慎的分析和判断。最终实现通过控制活动的实施使剩余风险降低至企业的风险承受度之内的内部控制的目的。

2.明确风险分析流程

从技术角度，进行全面风险分析，其一般流程应为：

（1）根据确认的风险事项，有针对性地调查、收集有关资料，捕捉风险发生的征兆及发生损失的数据资料，其中捕捉风险发生的征兆包括寿命周期分析法、SWOFT法、损益临界点法、财务会计与统计指标分析法、财务危机的“五率”衡量法（即流动率、速动率、固定率、固定长期适合率、自有资本率）等等；损失的数据资料收集需要利用数理统计的方法，收集每一方面损失信息，并对其进行频数分布，加以累计的方法。

（2）根据调研结果和经验，运用定量和定性的方法，预测发生的可能性、频率和影响结果。

第一，风险发生的可能性，一般描述为：“很少的”、“不太可能的”、“可能的”、“很可能”、“几乎确定”几种情况，“很少的”是几乎不可能发生，发生概率很小，“几乎确定”是多数情况下会发生，其余按可能性程度从低到高排列。风险发生的可能性还可以包括风险发生后可能带来的损失，通过概率的方法求得。

在每日一千笔交易中有一笔在处理上出现错误0.1%的可能性-可能性低；

在一年中重要信息系统出现两次错误-可能性中等；

在每日的营运中经常发生的事故-可能性高；

偶尔发生的事故-可能性低。需要说明的是，这些示例是相对的，每个企业对风险发生可能性有不同的评估方式，通常称之为风险评估标准。企业应该开发一套适合自身身业务内容的风险影响程度的评估标准。

可能性

评分12345定量方法10%以下10%～30%30%～70%70%～90%90%以上定性方法描述极低低中等高极高一般情况下不会发生在极少的情况下才会发生会在某些情况下发生在较多情况下发生常常会发生几乎从不很少经常很经常持续在之后10年内发生的可能少于1次在之后5至10年内可能发生1次在之后2至5年内可能发生1次在之后1年内可能发生1次在之后1年内至少发生1次这个评估标准是企业风险共同语言的一部分，必须要在开展风险评估的初始阶段制定，并获得企业各方面的认同。

第二，风险发生的频率可以分为高级、较高、低等级。

第三，按照对企业影响的结果，可以分为“不重要的”、“次要的”、“中等的”、“主要的”、“灾难性的”。“不重要的”可以看作对企业造成很低的损失，“灾难性的”则是企业的持续经营存在困难。以下为某企业风险影响程度标准：示例3-14：对某企业而言：

1000万元的财务损失-影响中等；

低于100元的财务损失-影响极低；

只有一个客户所作的投诉对于企业声誉而言-影响极低；

国际传媒的不利报道对于企业声誉而言-影响极高。

以下为风险发生损失影响的可能性的定性、定量评估标准及其相互对应关系示例。

影响程度

评分12345定量方法描述税前利润1%以下税前利润的

1%～5%税前利润的

6%～10%税前利润的

11%～20%税前利润20%以上定性方法描述极轻微的轻微的中等的重大的灾难性的极低低中等高极高不会影响企业的日常运行，较低的财务损失，无人身伤亡对企业日常运营有轻度影响，造成轻微的人身伤害，情况立刻受到控制，轻微的财务损失对企业日常运营有中度影响，需要医疗救援，情况需要外部支持才能得到控制，中等的财务损失企业失去一些业务能力，造成严重人身伤害，情况失去控制但无致命影响，重大的财务损失重大业务失误及人身伤亡，极大的财务损失适用于所有行业财务影响较低的财务损失轻微的财务损失中等的财务损失重大的财务损失极大的财务损失声誉影响负面消息在企业内部流传，企业声誉没有受损负面消息在当地局部流传，对企业声誉造成轻微损害负面消息在某区域上流传，对企业声誉造成中等损害负面消息在全国各地流传，对企业声誉造成重大损害负面消息流传至世界各地，政府或监管机构进行调查，引起公众关注。

影响程度

评分12345安全短暂影响职工或公众的健康严重影响一位职工或公众健康严重影响多位职工或公众健康引致一位职工或公众死亡引致多位职工或公众死亡营运

-对营运影响微弱

-在时间、人力或成本方面不超出预算1%-对营运影响轻微

-受到监管者责难

-在时间、人力或成本方面超出预算1%～5%-减慢营业运作

-受到法规惩罚或被罚款等

-在时间、人力或成本方面超出预算6%～10%-无法达到部分营运目标/关键业绩指标

-受到监管者的限制

-在时间、人力及成本方面超出预算11%～20%环境-对环境或社会造成短暂的影响

-可不采取行动-对环境或社会造成一定的影响

-应通知环境保护局

-例如噪音、污染-对环境造成中等影响

-需一定时间才能恢复

-出现个别投诉事件

-应执行一定程序的补救措施-造成主要环境损害

-需要相当长的时间来恢复

-大规模的公众投诉

-应执行重大的补救措施-无法弥补的灾难性环境损害

-激起公众的愤怒

-潜在的大规模公众法律投诉

这些示例也是相对的，每个企业对影响的严重程度有不同的评估方式，称为风险评估标准。

在确定风险影响程度时，注意不应仅仅用量化指标，因为一些财务金额损失可能很小，但是性质却严重，甚至可能传递了企业管理层“纵容”舞弊事件的信息，比如一家零售企业员工可以随意将日常用品用于自身，一家银行普通员工同时持有进入银行系统的卡片和密码，等等。

（3）根据风险程度的高低排定次序并进行综合评价。

根据风险发生的可能性、频率和影响成果，可以确定风险的高低并进行排序。发生可能性大、发生频率高、影响大的一定是高风险事项。当然，在实务中，这种事项可能少之又少，比如一些企业的大宗期货交易具有这个特点，而绝大部分引起损失的风险应综合考虑以上方面的因素进行，同时充分考虑定量和定性的因素，进行排序。

从组织角度看，风险分析也是从企业层面和业务活动层面分别进行。以下为风险分析流程某上市公司风险事项分析流程图。

3.掌握风险分析技术

风险分析主要分为定量和定性的方法。当风险无法定量，或者定量分析的数据可靠性太差，或者数据采集成本大于收益时，管理者一般会使用定性分析法对风险进行评估。

（1）定性方法

定性方法适用于风险的影响程度不值得花时间和精力作更全面分析的风险；数字数据不足以作定量分析的风险，比如某些运营方面的风险和声誉风险。评估风险和控制有三种常用的实施方法：

一是问卷调查。对流程/风险的负责人和/或高管层进行风险评估问卷调查。使用问卷调查能够得到的优势包括：更有效及公允地由企业内不同级别人员评估风险；以高效的方式召集大批的参加者；以不记名方式，更容易识别较多高管层不清楚的风险问题。

在进行问卷调查应该注意：不要因为匿名的调查问卷有时候带来的“噪音”，而花时间关注不是与风险评估相关的信息；关于保密方面和能否披露某些反馈意见的问题；在统计及分析问卷结果的时候需要谨慎处理太极端的意见。

除了沿用传统的方式，手动发放和收集以及汇总问卷之外，也可以考虑参考某些先进企业利用互联网或者企业内联网进行问卷调查，这种方法的优势包括：通过网络在最短的时间内通知、追踪及提示参加者，可以把收集得到的信息有效地与企业内的其他部门作比较，能够在最短的时间内作出综合报告。这种利用互联网或企业内联网进行的问卷调查最适合企业的业务单位和职能部门都分布在全国各地甚至于多个国家。

二是集体讨论。由专人主持的研讨会，以集体讨论方式进行，并由流程/风险的负责人和/或高管层参与。通过集体讨论这种形式能够得到的优势包括：对于意见上的差异和分歧能够立即解决，因此可以减轻对于解决意见分歧方面的跟进工作；与多次会议只能解决一个问题相比，一次集体讨论能够节省较多时间；所有参与者能够对风险得到共同的理解；能够促进不同的意见交流。

在进行集体讨论时应该注意：避免因为有上级领导在场的情况下有些参与者不愿表达自己的观点；避免由高层领导影响讨论结果；必须要利用充足的时间计划和组织集体讨论。

成功的集体讨论需要具备以下条件才能取得最佳效果：必须要完成收集风险管理初始信息；必须要有足够经验的集体讨论主持者；获得管理层的支持。

三是企业管理层访谈。与企业流程/风险的负责人、高管层进行一对一的讨论。

在选择具体实施方法进行风险分析时需要考虑各种因素，包括完成风险分析的时间限制及企业的管理文化。常见的做法是采用这三种实施方法的组合，例如，对一组流程/风险负责人进行问卷调查，然后与业务单元和/或职能部门负责人进行访谈来验证风险评估结果。透过调查问卷可以有效地获取从高管层访谈中不易得到的信息，然后与企业内恰当级别的管理层进行访谈或集体讨论，对这些信息进行复核、验证和讨论。

（2）定量方法

这种方法用于分析，结果更为精确，适用于比较复杂的业务、且容易取得相关数据的事项。定量分析耗时耗力，也更为严格，有时需要使用复杂的数学模型。定量分析主要有：标杆法、概率模型、非概率模型等。

标杆法（Benchmarking）指管理者将衡量指标与本公司其他部门或竞争对手、行业平均水平、行业内最优秀公司的指标值进行比较，以评估某一或某类事件发生的可能性和影响程度。

概率模型包括损失分布法、风险定价法等。其中，损失分布法主要用于预测损失的可能性，包括利用二项分布、泊松估测等方法估测损失次数，用正态分布、对数分布和帕累托分布等方法估测损失金额；风险定价法主要用于风险排定高低次序后进行综合评价，是风险管理部门对纳入风险范围的组织及活动的相关重要特征和要求，所作的最低和最高要求的标准。

非概率模型包括情景分析法、风险坐标图、蒙特卡罗方法、关键风险指标分析、压力测试及敏感性分析等方法。以下做简要介绍：

情景分析是指通过假设、预测、模拟等手段生成未来情景，并分析其对目标产生影响的一种分析方法。

风险坐标图法是把风险发生可能性的高低、风险发生后对目标的影响程度，作为两个维度绘制在同一个平面上（绘制成直角坐标系）。

风险①显示低的影响程度及极低的发生可能性

风险②显示中等的影响程度及高的发生可能性

风险③显示极高的影响程度及极高的发的可能性蒙特卡罗方法是一种随机模拟数学方法。该方法用来分析评估风险发生的可能性、风险的成因、风险造成的损失或带来的机会等变量在未来变化的概率分布。

关键指标管理是对引起风险事件发生的关键成因指标进行管理的方法。

压力测试是指评估那些具有极端影响事件的情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法。通常用于评估经营事项或金融市场中各种变化的影响。

敏感性分析是通过分析，预测项目主要因素发生变化时对经济评价指标的影响，从中找出敏感因素，并确定其影响程度。

需要强调的是，在利用这些定量方法之前，需要制定一些基本控制措施和程序，包括针对风险评估定量模型及其他关于定量方法的重要控制：一是定期进行返回测试，把风险评估定量模型的估算结果与实际结果进行对比，据此对风险评估定量模型进行调整和改进；二是文档记录模型的假设前提、参数、数据来源和定量分析程序，并定期作出更新以确保其合理性和适用性；三是审阅和定期评估模型是否已经考虑外部及内部环境的变化；四是权限设置防止业务单位及信息技术职能部门随时变更模型。

此外，风险分析定量方法还应该对以下重要领域进行控制：一是输入数据的完整性；二是应用模型的范围（如概率分布种类）；三是选择模型的参数（如利息差、利率、置信水平、假设前提、参数的相关性等）。

定量方法使用数字价值（而非定性方法中使用的描述性等级）分析影响程度和可能性，采用来自多个来源的数据。包括：历史记录，行业相关做法和经验，相关文献资料，市场研究及市场试点推广结果。这种方法可以通过模拟某事件或一组事件的结果的方式作出估计或按经验或历史的数字推断风险的价值。

但是，定量方法的缺点也在于很大程度上依靠历史经验等进行估计，其结果与实际往往有一定的差异，因此，最好作为对定性分析方法的补充。

企业在选择风险分析方法时，应当综合考虑同行业情况及企业自身特点，同时在对企业内各组成部分进行风险分析时，不一定均采用相同的分析方法。分析方法的选择应考虑对分析结果的精确度要求和有关组成部分的特点，如企业在对内部业务流程进行风险分析时，一个流程可能采用问卷调查法，另一个则可能采用研讨会等其他方法。

4.清晰描述风险分析结果

对风险发生的可能性及影响程度进行定性或定量评估后，可以采用如风险图、数量表等方式将其描述出来，以利于企业管理者针对不同的风险类型采用不同的风险应对策略。示例3-17：续前例，某公司对3项事件发生的可能性和影响程度进行了定性评估，通过风险图可以直观地看出各类风险的大小，从而确定风险管理的优先顺序和策略。对风险①公司可以采用风险接受的策略，即不再增加相应的管理措施；对风险③应给予高度重视，可以采用风险规避或风险转移策略；对②可以通过优化控制流程等管理方式来减少或控制风险。

最后需要说明的是，风险分析的结果是企业采取风险应对措施的依据，直接影响到企业将进一步采取的应对措施及其内部控制的效果，因此风险分析应履行严格的程序，选择适当的方法，保证分析结果的准确性。由于风险分析需要搜集大量的资料，需要运用概率和数理统计等专业知识来估计和预测风险发生的概率和损失幅度，一般应由专业人士进行分析。企业在进行风险分析时，可以运用外部专业机构的力量或是在企业内部组成风险分析团队，充分吸收专业人员的参与。

（六）制订风险应对策略

通过风险分析，企业已经了解了其所面临风险发生的可能性和影响程度，接下来将进入制订风险应对策略环节。所谓风险应对，就是在对风险从单独或关联角度、企业层面和业务活动层面进行分析评价后，根据风险大小而采取的相应管理策略的过程。

如何进行风险应对？至少应把握以下几个方面：

1.设计风险应对流程

风险流程应对的流程可以分为：

（1）分别按照风险分析结果确定的大中小风险，根据公司风险偏好，从企业层面和业务活动层面分别制定相应的风险应对策略。业务活动层面应由企业各个职能部门、分（子）公司分别确定每个风险应对策略的执行人、实施要求等。风险应对策略可能会有很多种，在此环节应该一一列出。

（2）评价、选择较好的风险应对策略。在所有可能的风险应对策略中，根据成本效益的原则，寻求各种风险应对策略的最佳组合。需要说明的是，所谓最佳组合也并不是一成不变的，它是一个动态的、双向的制定过程。也就是说，在整个策略的执行过程中由于企业内外部环境变化时，将最终导致风险应对策略的改变。

（3）汇总、完善并审定风险应对策略。企业的风险是一个整体的概念，这样才能避免各个职能部门仅从专业角度出发去认定风险，从而使得部分业务存在与其他职能部门矛盾，甚至为了自身的一点“小利益”，使得企业丧失机会或遭受更大的损失。现实中，这种情况并不少见，一项很可能盈利的套期业务因为管理人员不敢承担责任而放弃，投资部门为了避免“风险”放弃一个盈利能力较强的项目，等等。这个过程就是从整体上使企业的剩余风险与企业的风险偏好相一致，从而保证企业目标的实现。

2.熟悉风险应对类型

风险应对类型一般分为四种，即规避风险、降低风险、分担风险和承受风险。

（1）规避风险。通过回避受未来可能发生事件的影响而消除风险。主要的方法包括但不限于：一是通过公司政策、限制性制度和标准，阻止高风险的经营活动、交易行为、财务损失和资产风险的发生；二是通过重新定义目标，调整战略及政策，或重新分配资源，停止某些特殊的经营活动；三是在确定业务发展和市场扩张目标时，避免追逐“偏离战略”的机会；四是审查投资方案，避免采取导致低回报、偏离战略，以及承担不可接受的高风险的行动；五是通过撤出现有市场或区域，或者通过出售、清算、剥离某个产品组合或业务，规避风险。

（2）降低风险。利用政策或措施将风险降低到可接受的水平。主要的方法包括但不限于：一是将金融资产、实物资产或信息资产分散放置在不同地方，以降低遭受灾难性损失的风险；借助内部流程或行动，将不良事件发生的可能性降低到可接受的程度，以控制风险；二是通过给计划提供支持性的证明文件并授权合适的人做决策，应对偶发事件。必要时，可定期对计划进行检查，边检查边执行。

（3）分担风险。将风险转移给资金雄厚的独立机构。分担风险的方式有：一是保险，在明确的风险战略的指导下，可以与资金雄厚的独立机构签订保险合同；二是再保险，可与其他保险公司签订合同，以减少投资风险；三是转移风险，通过结盟或合资，投资于新市场或新产品，获取回报；四是补偿风险，通过与资金雄厚的独立机构签订风险分担合同，补偿风险。

（4）承受风险。维持现有的风险水平。主要做法有：一是不采取任何行动，将风险保持在现有水平；二是根据市场情况许可等因素，对产品和服务进行重新定价，从而补偿风险成本；三是通过合理设计的组合工具，抵消风险。

3.评价风险应对策略。

对同类的风险，可以有不同的风险应对策略。比如，出口企业来说，汇率变动对其影响较大，企业可以采用套期、利率互换或者在合同中约定固定汇率等方式来管理风险。同样，对不同的风险，也可以采用相同的应对策略，比如运用风险接受策略（如部分偏远、量小营业部降低控制要求）来管理经营风险、财产风险或财务风险。

因此，对于风险应对策略的选择，需要根据风险的性质与大小确定：

（1）首先考虑风险应对策略实施后对风险可能性与后果的影响，确保这种风险应对策略与企业的风险承受度一致。

（2）对风险应对策略进行成本与效益分析。风险应对策略的成本包括直接成本、间接成本，有时还包括机会成本，导致风险应对策略的收益量化难度较大。

（3）在处理特定风险时不能忽略潜在的机遇。对风险所带来的不利方面和有利方面，均应该给予充分地考虑。

4.确定风险应对策略。

确定风险应对策略是在对风险应对策略评价的基础上，最终确定的风险应对策略或策略组合，以使风险发生的可能性与后果在企业可承受的范围内。

需要注意的是，风险应对策略并不是要将风险降低到最低。风险评估的本质是当某一风险应对策略实施后的剩余风险高于企业的风险承受度时，企业的管理者需要重新审视和相应的应对策略，因此，需要风险应对策略的选择效果评价。风险应对策略的选择效果评价，主要是指对风险应对策略的效益和适用性进行评价。一方面，风险应对策略最终方案的效果，短期内可能难以表现出来，需要时间加以验证；另一方面，由于风险的隐蔽性、复杂性、多变性等特性，可能使得风险应对策略本身不能发挥其应有的作用，达不到预期的目标和效果。因此，评价风险应对策略是必要的，对风险应对策略进行适时的评价和调整，能够使得风险应对策略更加完善，增加关于风险的经验，也使得风险评估工作本身更加具有意义。