风险评估的内容、程序与方法
风险评估概念有广义和狭义之别。广义的风险评估相当于风险管理,包括目标确定、风险识别、风险评估(风险计价、风险分析、风险评价)以及风险应对等主要内容。笔者认为,可以将风险评估直接细化为风险计价、风险分析、风险评价。狭义的风险评估是在风险识别的基础上对风险进行计量、分析、判断、排序的过程,包括风险计价、风险分析、风险评价等步骤,是风险应对、风险控制的主要依据。此外,还有更狭义的风险评估的定义,是指在风险识别的基础上,企业进一步分析风险发生的可能性和对目标实现的可能影响程度,即风险分析。
需要说明的是,广义风险评估即为风险管理,也是内部控制中管理控制的重要内容之一。狭义风险评估可作为内部控制构建和实施的一个流程,并要与具体业务流程相结合,离开具体业务的风险评估是没有现实意义的。笔者认为,风险管理可作为管理控制的内容,风险评估可作为内部控制的流程,且应当以风险管理来统领所有风险评估的内容。
风险评估的内容
简单来说,风险评估的内容就是评估风险发生的可能性和影响。可能性表示一个给定事项将会发生的概率,影响则代表它的后果。笔者认为,对于风险发生概率的估计要考虑以下因素:风险相关资产的变现能力、经营管理中人工参与的程度以及经营管理中是否涉及大量繁杂的人工计算等。影响程度分析主要是指对目标实现的负面影响程度分析。风险影响程度大小是针对既定目标而言的,因此对于不同的目标,企业应采取不同的衡量标准。
基于风险管理的内部控制,主要是对固有风险和剩余风险进行评估,也就是既考虑固有风险,也考虑剩余风险。固有风险是在没有采取任何措施改变风险的可能性或影响的情况下,企业所面临的风险。剩余风险是在风险应对之后所残余的风险。对剩余风险的评估是指对企业风险控制或日常的管理活动中采取应对措施之后的风险进行的评估。
从严格意义上来说,风险评估主要是对剩余风险的评估。明确针对风险应对之后的剩余风险进行评估,就要树立一个风险评估持续性和重复性的互动过程,风险评估不是一次性的管理活动。无论是对固有风险的评估还是对剩余风险的评估,始终不变的是要从可能性和影响两个方面来进行。
当然,风险评估不能只把注意力集中在危险上,而是既要考虑因危险而退缩的风险,也要考虑未抓住机会的风险。也就是说,在评估风险发生的可能性和影响的同时,还要评估机会失去的可能性和影响。
一般来说,对识别出来的风险,从可能性和影响两个方面进行评估后,就可以根据评估的结果采取应对措施。
风险评估的程序
风险评估程序,是对风险进行有效评估的基本过程。从狭义的风险评估定义看,风险评估的实施步骤可分为风险计价、风险分析、风险评价等阶段。
风险计价,是对企业面临的各种风险进行量化的过程,是给风险定价的专门方法和措施,也就是风险的量化过程。当然,风险的量化,不能像会计工具那样主要量化“过去”,而是要量化“未来”,过去的数据只能是依据。
实际上,到目前为止,风险计价还是世界难题。尽管很难,但风险计价的作用毋庸置疑,即使是不太精准的估计。风险计量是帮助董事局、管理当局制定战略方案时进行风险控制的适当考虑。同时,它更是审计人员合理地制定审计计划的基础和关键。风险估价需要比较专业的方法和技能,更需要不断创新。除了技术难以掌握外,一个重要的原因是,没有可供分析的资料,更谈不上有系统的风险数据库。当然,这一切更有赖于计量者的专业判断。
风险计价主要是对风险幅度和风险发生频率的估价。按照全面风险理论的观点,风险可能是损失,也可能是机会。事实上,对风险计价主要是对风险损失幅度的计价。对风险损失幅度计价,需考虑同一危险事故所致各种损失的形态、一个危险事故牵连的风险暴露数目、损失的时间性和金额等事项。实际工作中,直接损失通常较容易确认及计价,损失程度也相对明显,而间接损失则较难确认与度量。
对企业不同层面的风险识别后,进行风险分析是需要的。风险分析,是风险评估的重要步骤,目的是为风险评价提供依据。风险分析通常对企业的成功很重要。而当它涵盖了所有重大业务过程中的风险识别时,最为有效。
在实际工作中,风险分析应该是一个基本方法,要贯穿风险评估始终,当然也可以独立出来做。如果把风险分析独立出来,风险分析就可以定义为在风险识别的基础上对风险发生的可能性、风险发生的条件以及影响程度等进行描述、分析、判断,并确定风险重要性水平的过程。
风险评价,是在风险识别、风险计价、风险分析的基础上对风险发生的可能性、影响程度等进行综合评价的过程,是风险评估的重要环节,是企业采取风险控制措施的直接依据。风险评价在实际工作中应该贯穿于风险评估的始终。
风险评估的方法
风险评估方法包括定性方法和定量方法。常用的风险评估定性方法包括:访谈、集体讨论、专家咨询、问卷调查、标杆分析等。
常用的风险评估定量方法包括:概率技术(风险模型、损失事项评估和事后检验)、情景分析、压力测试、敏感性分析等。
笔者认为,风险评估的定性方法和定量方法应该相互结合。当然,有些风险只能用定性的方法来评估,有些则需用定量的方法来评估。
这里还需要特别说明,风险评价方法运用选择应该考虑不同企业的特征,要反映对精确度的需要和该业务单位的文化。