随着市场经济的发展成熟和市场开放程度的加大，风险己经成为企业关注和管理的焦点。企业内部控制要想发挥其应有的作用，必须不断充实和发展，以求跟上市场发展的步伐，正是基于这个基础，风险的概念逐步进入了内部控制的范围。减轻或避免风险是内部控制活动的目标，各种风险因素是内部控制的对象。所以，企业要实施有效的内部控制，就要识别和衡量它所面临的风险及其风险因素，这是采取有效控制活动的依据和前提，这里的识别和衡量风险就是风险评估。
风险评估是内部控制系统的基础组成部分，要使控制制度发挥其应有的作用，企业必须清楚所面临的风险，并对整个企业的风险进行定性或定量的评估，然后针对风险评估的结果采取相应的控制活动。企业风险的存在是控制的原因所在，进行风险评估就成为整个内部控制制度的基础和关键。
鉴于风险评估在我国内部控制中的运用，我们从风险评估的组织架构，风险评估流程等主要方面，探讨风险评估中的实务操作问题。
一、组织架构
企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。
风险评估组织之间职能关系可以概括为：风险管理委员会在董事会领导下，审议并提交风险管理各项方案、报告；总经理主持全面风险管理日常工作；风险管理专职部门提出风险管理工作报告、提出风险管理策略、研究提出跨部门重大风险评估报告、研究提出跨部门重大风险管理方案、负责有效性评估提出改进方案、组织协调日常工作；董事会审议工作报告、确定风险管理总体目标和策略、批准重大风险评估报告、做出重大风险控制决策、批准监督评价报告；其他职能部门执行风险管理基本流程和制度规范，负责本部门工作，监督部门开展监督、评价，出具评价报告。
二、风险评估主要评估和防范的内容
1.经营效益和效率性风险。由于投资决策或经营决策失误以及运营效率不高可能导致公司运营效益及效率低下的风险。
2.财务报告失真风险。由于各项经营管理不到位，可能造成经营数据不准确，导致会计核算的依据不真实；或未完全按会计准则、会计制度等规定进行会计核算和信息披露，反映的财务状况和经营成果不符合实际情况而造成财务报告失真的风险。
 3.法律法规遵循性风险。公司经营管理活动是否全面执行国家法律、法规和政策规定；或国家法律法规及政策的改变可能对公司业务发展和经济利益产生较大影响的风险。
根据已明确的风险控制措施，评估现有风险控制措施设计的完整性和执行的有效性，认真分析现有控制措施是否存在缺失和缺陷，能否有效防范和控制各种风险；如控制措施完善，要重点检查现有控制措施是否在经营管理中得到有效执行，并留存了完整规范的执行文档记录；同时要结合市场竞争的变化，以及新业务推出、现有业务管理职责及业务流程等变化，分析判断是否出现新的风险。对风险评估发现的主要问题，包括控制措施的缺失和执行不到位的问题，要认真组织分析研究，并结合实际，提出补充完善控制措施，确保有效控制风险；同时对预见或发现的新的风险，要明确控制目标，并制定具体的控制措施。在制定控制措施后要落实风险控制的责任，提出控制措施实施及整改的责任部门，将风险控制的责任和控制目标落实到具体的处室、工作岗位和人员；并要加大监督检查的力度，确保各项经营活动能够严格按照内控措施规范执行。
 由此我们可以看出，组织风险评估，揭示风险问题，是加强公司内控建设的前提；而对经营管理中存在的风险定期组织评估，是组织内控建设的依据。
三、企业要建立动态风险管理机制
1.要明确风险管理目标。根据企业经营发展目标，围绕企业当前影响效益提升的主要风险以及以前年度内外部审计发现问题，审计部门在公司范围内全面组织风险识别、风险分析和风险评估，确定风险管理工作的目标和重点。按照风险重要性及控制效益要大于控制成本的原则，明确年度风险管理的优先顺序和有效性标准，确保影响经营效益提升的重要风险得到控制。
 2.加强风险评估管理。根据年度风险管理目标，督促和指导企业定期评估风险发生的可能性及影响程度，评价现有控制措施的执行情况及效果。同时要根据市场竞争环境、国家政策变化及业务管理职责变更以及降低企业所得税等，将风险管理与日常工作相结合，对发现的问题和薄弱环节及时提示企业采取有效措施，确保将风险控制在可接受的范围内，为经营决策提供有效参考依据。
 3.完善风险预警管理体系。审计部门要结合月度经营和财务情况，针对经营活动中存在的风险，在企业已有的量化预警指标的基础上，进一步完善风险识别手段，特别是对不能量化的风险，通过调查、分析、评审等方法，探索建立更加规范、完善的风险预警体系。如：采取定期通报和跟踪检查等方法，加强对企业风险控制的监督力度，努力实现风险的事前事中控制。
四、风险管理流程
风险管理流程包括确定全面风险管理目标、收集风险管理初始信息、风险识别、风险分析、风险评价、风险管理策略等主要环节，对识别出来重大风险及其相应的控制措施进行评价，从而在关键领域制定切实可行的应对方案。
（一）确定全面风险管理目标
风险是指企业在未来经营中面临的、可能影响其经营目标实现的所有不确定性。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，并合理确定风险应对策略。全面风险管理是指企业围绕总体目标，制定风险管理策略，在企业经营管理的各个方面和业务过程中的各个环节进行风险管理的基本流程，落实风险理财措施，培育良好的风险管理文化，建立健全风险管理的组织体系、信息系统和内部控制系统的过程和方法。
企业目标是企业宗旨的具体化，是企业各项业务和管理活动所指向的终点。企业风险管理的首要任务，就是确定目标。只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。确定全面风险管理目标要做到：企业风险管理目标的确定应与员工沟通；企业计划和预算与风险管理目标、战略计划及当前情况具有一致性；业务活动风险目标要具体；领导层参与制定企业风险目标并对其负责。
 (二)收集风险管理初始信息
实施全面风险管理，企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。
1.在财务风险方面，企业至少收集以下信息
 (1)负债、或有负债、负债率、偿债能力。(2)现金流、应收账款及其占主营业务收入的比重、资金周转率。(3)应付账款及其占购货额的比重。(4)成本和管理费用、财务费用、营业费用。(5)成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节。
2.在市场风险方面，企业至少收集以下信息
 (1)产品的价格及供需变化。(2)产品供应的充足性、稳定性和价格变化。(3)主要客户、主要供应商的信用情况。(4)潜在竞争者、竞争者及其主要产品情况。
3.在运营风险方面，企业至少收集以下信息：
 (1)新市场开发，市场营销策略。(2)企业组织效能、管理现状、企业文化，中、高层管理人员和重要业务流程中专业人员的知识结构、专业经验。(3)质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节。(4)因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵。(5)企业风险管理的现状和能力。
企业对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。
 (三)风险识别
企业风险的识别应当以一种系统方法来进行，以确保公司的所有主要活动及其风险都被囊括进来，并进行有效的分类。根据企业实际情况和技术水平，风险识别主要以定性识别方法为主，适当结合定量识别方法，同时根据业务发展和管理水平的不断提高，逐步引进和加大定量识别方法。
企业应选择适当的风险识别方法，保证风险识别的规范性和科学性，具体措施有：
1.建立科学的风险识别方法体系，对企业和各职能部门随时关注企业活动中存在的风险提供指导。
2.对风险识别方法进行规范化和制度化，确保企业和各职能部门使用统一的识别方法体系对风险识别结果进行描述。
3.利用历史事件诸如违约支付、产品价格变动等，关注未来事件诸如人口变动、新市场条件以及竞争者行为等对风险进行趋势分析和关注。
4.建立损失事件数据库，通过事件列表、事件分类、内部分析、推动讨论和会谈、流程分析等方法进行风险识别，确定风险因素发展趋势和根源。
 (四)风险分析
企业风险分析评估的方法多种多样，采用定量分析方法，特别是利用数学模型进行风险分析，可以使风险管理建立在科学的基础上，并为最终的决策提供可靠的依据。风险分析及度量，需要充分地获得企业在历史年度内发生的各种风险的次数以及所导致的损失，统计时段越长，风险评估的准确性越高。风险评估不仅要了解历史上各种风险发生的频率，还要充分考虑风险的客观环境是否改变，如果有变化，就要在历史数据的趋势分析上进行修正。在实际操作中，许多风险发生的可能性实际上难以量化，它们至多只能定性地被描述为“大的”、“中的”、或“小的”风险。
企业在分析风险发生的可能性(或频率、概率)和风险发生的条件方面，可采取如下措施：
1.企业基于风险识别的结果对风险的发生概率进行分析评估，选择采用诸如预期估计或情况评价等术语来表达潜在的可能性，或采用数据或图表的形式来描述和评价风险发生的概率。
2.企业建立风险分析模型，通过关键风险指标管理方法、压力测试和情景分析等定量技术手段和会谈、工作组会议等定性评价技术对风险发生的条件因素进行分析，以确定风险发生的具体条件。
3.企业自查与外部检查、事前与事后检查相结合。
4.企业引进技术手段，由日常业务数据、财务数据入手，按照既定的模型做预警提示。
 (五)风险评价
企业风险评价是在风险识别、风险分析的基础上，评估风险对企业可能产生的影响以及确定风险的重要性水平的过程。企业风险评价包括两个方面的内容，即分析风险可能产生的影响和确定风险的重要性水平。企业风险评价通常是和风险分析同步进行的，因而其方法也和风险分析相同。
企业风险评价的控制措施有：
1.企业对于重要事项面临的重要风险可能带来的重大影响，应当通过定量分析技术，确定各种可能性造成影响的数量，从而为企业采取恰当的风险对策提供科学的依据。
2.企业应当按照风险可能带来的影响程度的大小，对风险进行排序，明确重要风险和一般风险。
3.企业应当对重要风险予以特别的关注，避免重要风险可能给企业带来的重大损失。
 (六)风险管理策略
一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法。
1.企业针对各种风险建立确定风险应对措施的程序和方法，对具有较高发生概率、影响重大的风险优先考虑。
2.建立一套广泛适应的风险决策判断标准，即根据风险严重程度和企业的风险承受程度确定不同的决策。
3.企业对降低风险水平所需成本进行合理分析，评估风险应对措施的成本与效益。
4.企业选定风险处理措施后，根据剩余风险重新校订风险。
5.企业要持续获得风险变化信息，有效地控制、管理风险，防范新风险的产生。
6.对重要风险进行实时监控。
企业风险评估是一个持续反复的过程，一次风险评估并不能一劳永逸。企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，根据情况的变化及时调整风险应对策略，以避免由于原来选择使用的风险应对策略无效而影响内部目标的实现。特别是当企业经营活动所处的外部环境发生变化时，企业必须保持应有的灵敏度，针对变化的外部环境进行相应的风险评估，以使企业的目标在变化了的外部环境中得以实现。我国企业只有建立比较完善的风险评估系统，才能真正完善我国企业的内部控制，真正促进我国企业的进一步发展。

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。