在国外,COSO内部控制报告:下面所列的是评估者可能会考虑的事项。这一列示并非涵盖了全部,也不是对每个企业都适用;但是,可以作为一个起点。
企业层面目标:企业层面目标对企业需要实现什么提供充分广泛声明和指导,且足够明确并直接与本企业相关。企业层面目标向雇员和董事会传递的有效性。企业层面目标和企业策略的相关性和一致性。企业计划和预算与企业层面目标、战略规划和现时条件的一致性。
操作层面目标:操作层面目标和企业层面目标以及战略规划之间的联系。操作层面目标之间的一致性。操作层面目标与所有重大业务流程的相关性。操作层面目标的专属性。
与目标相关的资源的充分性:识别对实现企业层面目标的重要目标(关键成功因素)。各级管理层对制定目标的参与及其对于目标的义务。
风险:识别来自外部风险的机制的充分性。识别来自内部风险的机制的充分性。识别与每个重大操作层面目标相关的重要风险。风险分析过程的周详性和相关性,包括估计风险的重要性程度、发生概率和决定所采取的措施。
应对变化:存在机制,对影响企业或操作层面目标实现的日常事件或行为进行预测、识别和反应(通常由负责那些最受变化影响行为的经理来执行)。存在机制,对那些于企业有巨大和深远影响,可能需要高层管理人员关注的变化进行识别和反应。
巴塞尔委员会发布的《银行组织内部控制系统框架》:风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险(如银行要面对信贷风险、国家和转移支付风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉风险)。需要不时调整内控,以便恰当地处理任何新的或过去不加控制的风险。
《联邦政府内部控制准则》:管理者应该综合地识别那些风险,在考虑政府机构和其他关联政府机构之间重要的内部交易的同时,还要考虑政府机构范围内的内部因素。风险识别方法包括定性和定量分析高级行动、管理谈判、预测和战略计划以及对在审计和其他评估中发现的问题的考虑。一旦风险被识别,就应该立即分析可能出现的结果。风险分析一般包括估计风险的重要性,估计风险发生的可能性,决定怎样去管理风险,应该采取什么样的措施。不同的政府机构有不同的风险分析方法,因为各个政府机构活动内容有所差别,因此较难定性或定量地确定风险水平。由于政府管制、经济、行业、规则以及经营条件是不断改变的,所以应该建立可以识别并处理任何由这种改变带来的风险的机制。
[美]COSO制定发布、方红星和王宏译的《企业风险管理—整合框架》:风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
在国内,《商业银行内部控制指引》:商业银行应当设立履行风险管理职能的专门部门,制定并实施识别、计量、监测和管理风险的制度、程序和方法,以确保风险管理和经营目标的实现。商业银行应当建立涵盖各项业务、全行范围的风险管理系统,开发和运用风险量化评估的方法和模型,对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。商业银行应当对各项业务制定全面、系统、成文的政策、制度和程序,并在全行范围内保持统一的业务标准和操作要求,避免因管理层的变更而影响其连续性和稳定性。商业银行设立新的机构或开办新的业务,应当事先制定有关的政策、制度和程序,对潜在的风险进行计量和评估,并提出风险防范措施。
《寿险公司内部控制评价办法(试行)》:风险评估要覆盖公司经营的各个环节。寿险公司应根据发生频率识别并确定经常性和非经常性的业务和管理活动,识别这些活动中的风险(无论是否由内部产生),考虑其类型、来源及其影响范围。充分考虑内部和外部因素。其中内部因素包括公司治理、组织结构以及人力资源管理的复杂程度,公司资产的规模、流动性或业务总量,公司的财务状况以及经营活动的地理分布,内部控制系统的健全性、合理性和有效性等。外部因素包括国家法律、法规及政策的变化,经济形势的变化,科技的快速发展,行业竞争及市场变化等。 持续识别法律法规、监管和其他要求。寿险公司应建立并保持政策和程序,确保及时识别和取得适用的法律法规、监管要求和其他要求,并作为风险识别与评估、制订控制目标和控制方案的依据。寿险公司应及时更新法律法规、监管要求和其他要求的信息,并将有关信息传达给相关员工和其他风险关联方。 运用适当的方法和技术对风险的概率、后果进行评估,确定风险级别。 持续识别和评估风险。当环境和条件发生变化时,应及时对风险进行再识别和再评估,以确保任何新的和以前未曾予以控制的风险得到识别和控制。 对已识别的风险,寿险公司应依据法律法规、监管要求以及内部控制政策确定是否可接受,以确定是否进一步采取措施。风险可接受时,应监测并定期评估,以确保其持续可接受;风险不可接受时,应制定内部控制方案。内部控制方案应包括以下内容:明确控制风险的相关职责与权限。 控制的策略、方法、资源需求和时限要求。 重大、突发事项应急预案,明确责任人、处理流程和措施。 内部控制方案若涉及到组织结构、流程、信息技术等方面的重大变更,应考虑可能产生的新风险。
《审计机关内部控制测评准则》:审计人员对被审计单位的风险评估进行了解的内容主要有:被审计单位如何确定风险、评估风险的重要性,如何将风险发生的可能性与管理目标、经营计划和财务报告的相关内容联系起来并采取相应的措施。
中国内部审计协会制定的《内部审计具体准则第 5 号——内部控制审计》:风险管理主要包括以下内容:识别影响组织目标实现的各类风险和建立风险管理机制。中国内部审计协会风险管理审计准则:风险评估,即对已识别的风险,评估其发生的可能性及影响程度。
《中国注册会计师审计准则第1211号--了解被审计单位及其环境并评估重大错报风险》:在评价被审计单位风险评估过程的设计和执行时,注册会计师应当确定管理层如何识别与财务报告相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。在审计过程中,如果识别出管理层未能识别的重大错报风险,注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。在小型被审计单位,管理层可能没有正式的风险评估过程,注册会计师应当与管理层讨论其如何识别经营风险以及如何应对这些风险。
《企业内部控制基本规范》:
风险识别:企业开展风险评估,应当准确识别实现与控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。企业识别内部风险,应当关注下列因素:
(1)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
(2)组织机构、经营方式、资产管理、业务流程等管理因素。
(3)研究开发、技术投入、信息技术运用等自主创新因素。
(4)财务状况、经营成果、现金流量等财务因素。
(5)营运安全、员工健康、环境保护等安全环保因素。
(6)其他有关内部风险因素。
企业识别外部风险,应当关注下列因素:
(1)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
(2)法律法规、监管要求等法律因素。
(3)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
(4)技术进步、工艺改进等科学技术因素。
(5)自然灾害、环境状况等自然环境因素。
(6)其他有关外部风险因素。
风险分析:企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
风险应对策略:企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。
风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。
风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。
风险分担是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。
风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
由此看来, 国外内内部控制规范关于风险评估内容的规范是多种多样的。的确风险评估内容是复杂多样的,简单说就是评估风险发生的可能性和影响。可能性表示一个给定事项将会发生的或然率,影响则代表它的后果。一般来说,对识别出来的风险,从可能性和影响两个方面进行评估后,就可以根据评估的结果采取应对措施。当然,不论怎么细分,贯穿始终的是要从可能性和影响两个方面进行评估。
对风险或机会从可能性和影响两个方面进行评估,说起来是简单的,实际上风险评估工作难度很大。对不确定性的评估本身就充满着不确定性,冲满了各种假设、情感和完全不可思议的东西。不同的人对风险的感受是不一致的,人们的风险感受至少与价值观、前景、收入、失败的机会、工作与生活的平衡等有关。正因为影响风险感受的因素不同,人们对风险发生的可能性和影响程度就不可能一致。人们,尤其是企业的管理当局通常对不确定性会作出主观判断,这必然使得风险评估工作一路上充满着主观判断。在实际工作中,对风险的可能性和影响的估计值通常利用来自过去的可观察事项的数据来确定,它提供了一个比完全主观的估计值更加客观的依据。但对大多数企业而言,过去可观察事项的数据资料不全或没有,这使得科学的风险评估的方法难以使用。还有,历史数据终归是过去的事实,在瞬息万变的信息时代,肯定更会随着时间的推移而发生变化。