在国外,COSO内部控制报告:由于经济环境、行业、法规和经营状况不断变化,需要一个确认和处理与这些变化相关风险的机制。评估者会重点关注管理层设立目标、风险分析和应对变化的过程,包括它们的联系和与业务活动的相关性。
巴塞尔委员会发布的《银行组织内部控制系统框架》:风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。
[美]COSO制定发布、方红星和王宏译的《企业风险管理—整合框架》:风险评估要对识别的风险进行分析,以便形成确定应该如何对它们进行管理的依据。
在国内,《内部审计具体准则第 5 号——内部控制审计》:风险管理,包括风险识别和风险分析。任何一个企业乃至其中的各个责任中心,无时无刻不面临着诸多风险的侵袭。企业的各个部门应该能够及时识别来自于企业内、外部的各种风险,并针对每 一种风险采取科学的措施加以防范,以使企业规避风险,减少损失。
《上海证券交易所上市公司内部控制指引》:风险确认,指董事会和管理层确认影响公司目标实现的内部和外部风险因素。风险评估,指董事会和管理层根据风险因素发生的可能性和影响,确定管理风险的方法。风险管理策略选择,指董事会和管理层根据公司风险承受能力和风险偏好选择风险管理策略。
《深圳证券交易所上市公司内部控制指引》:事项识别:公司管理层对影响公司目标实现的内外事件进行识别,分清风险和机会。风险评估:公司管理层对影响其目标实现的内、外各种风险进行分析,考虑其可能性和影响程度,以便公司制定必要的对策。风险对策:公司管理层按照公司的风险偏好和风险承受能力,采取规避、降低、分担或接受的风险应对方式,制定相应的风险控制措施。
《中国注册会计师审计准则第1211号--了解被审计单位及其环境并评估重大错报风险》:风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。在评价被审计单位风险评估过程的设计和执行时,注册会计师应当确定管理层如何识别与财务报告相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。在审计过程中,如果识别出管理层未能识别的重大错报风险,注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。在小型被审计单位,管理层可能没有正式的风险评估过程,注册会计师应当与管理层讨论其如何识别经营风险以及如何应对这些风险。
《中央企业全面风险管理指引》:风险评估包括:风险辨识、风险分析、风险评价。
《企业内部控制基本规范》:企业开展风险评估,应当准确识别实现与控制目标相关的内部风险和外部风险,确定相应的风险承受度。企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。
由此看来, 国外内内部控制规范关于风险评估的要素不统一。COSO内部控制报告中的风险评估要素包括设立目标、风险分析和应对变化,COSO《企业风险管理—整合框架》把目标设定、事件识别、风险应对从风险评估细分出来作为独立要素。巴塞尔委员会发布的《银行组织内部控制系统框架》:风险评估要素包括目标设定、风险识别与分析、风险应变。我国《内部审计具体准则第5号——内部控制审计》:风险评估要素包括风险识别和风险分析。《上海证券交易所上市公司内部控制指引》把风险评估、风险确认和风险管理策略选择并列为独立的要素。《深圳证券交易所上市公司内部控制指引》把事项识别、风险评估、风险对策并列为独立的要素。《中央企业全面风险管理指引》:风险评估包括:风险辨识、风险分析、风险评价。《企业内部控制基本规范》:风险评估包括风险识别、风险分析和风险应对策略。