在国外,COSO内部控制报告:风险评估指对相关风险进行鉴别和分析,以实现目标,形成风险管理的基础。
巴塞尔委员会发布的《银行组织内部控制系统框架》:风险评估是识别和分析那些妨碍实现经营管理目标的困难因素的活动,对风险的分析评估构成风险管理决策的基础。
美国《联邦政府内部控制准则》:风险评估准则要求建立的内部控制应该能够提供对政府机构所面对的来自内部或外部的风险进行评估。风险评估就是要鉴定和分析一些相关风险,这些风险和获得某些目标以及在政府业绩与法案中所确定的年度业绩计划相关,并且为如何进行风险管理制订一个基础。
[美]COSO制定发布、方红星和王宏译的《企业风险管理—整合框架》:虽然“风险评估”这个术语有时与一次性活动联系起来使用,但是在企业风险管理中,风险评估这个构成要素是在整个主体中所发生的活动的一个持续性和重复性的互动。
在国内,《证券公司内部控制指引》:风险识别与评估,及时识别、确认证券公司在实现经营目标过程中的风险,并通过合理的制度安排和风险度量方法对经营环境持续变化所产生的风险及证券公司的承受能力进行适时评估。
《寿险公司内部控制评价办法(试行)》:寿险公司应建立和保持书面程序,以持续对各类风险进行有效的识别、计量、监测与评估。
中国内部审计协会制定的《内部审计具体准则第 5 号——内部控制审计》:所谓风险管理,是指企业各级管理层对企业内部和外部风险的确认。
《上海证券交易所上市公司内部控制指引》:风险评估,指董事会和管理层根据风险因素发生的可能性和影响,确定管理风险的方法。
《深圳证券交易所上市公司内部控制指引》:风险评估:公司管理层对影响其目标实现的内、外各种风险进行分析,考虑其可能性和影响程度,以便公司制定必要的对策。
《中央企业全面风险管理指引》:企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。风险评估是为识别、分析、管理与企业活动相关的市场风险、政策风险、法律风险、汇率风险、经营风险等各种风险而建立的机制。
《企业内部控制规范——基本规范》(征求意见稿):风险评估,是指及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程。
《企业内部控制基本规范》:风险评估,是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。
由此看来, 国外内内部控制规范关于风险评估的定义是比较宽泛的。在有些内部控制或风险管理标准中,风险评估就是风险管理,包括了风险管理的全过程,可以说是风险管理的代名词。而有些的内部控制或风险管理标准中,风险评估是全面风险管理的一个步骤,包括的内容有多有少,有的包括目标确定、风险识别、风险分析、风险评价以及风险应对等,有的只包括其中的一部分。
“3C框架”认为风险评估是全面风险管理的一个重要组成部分,是在风险识别的基础上对风险进行计量、分析、判断、排序的过程,包括风险计价、风险分析、风险评价等步骤,是风险应对的主要依据,应立足于对固有风险和剩余风险的评估。风险评估就是风险评估,代替不了风险管理,只是全面风险管理的一个重要部分或重要步骤。从全面风险管理的实际工作考虑,在风险管理刚刚起步阶段的企业或小型企业,不必要进行具体细分细,可统称风险评估,对已经开展全面风险管理工作的企业,尤其是大型企业可以将风险评估的内容细分为风险计价、风险分析、风险评价等或取消风险评估的概念,用风险计价、风险分析和风险评价来代替。