企业内部控制中风险评估的关键环节

蒋敏

为提升企业经营效率，确保财务报告可靠，具体业务合法合规，公司必须进行有效的内部控制。作为内部控制五大要素之一，风险评估工作开展的好与坏，直接决定企业内部控制的成败。风险评估要重点做好风险管理组织和目标、风险识别、风险分析评估、风险应对与控制、风险信息沟通与监督等关键环节，确保企业内部控制能够有效实施。

《企业内部控制基本规范》第20条规定，公司在实时控制的过程中，必须按照既定的控制目标进行管理，全面、持续地搜集有关资料，并根据具体的情况，对风险进行及时的评价。风险评价是企业对经营活动中与内部控制目标有关的各种风险进行及时识别、科学分析、合理地选择应对策略、实施内部控制的关键，企业在开展风险评估时应着重把握以下几个环节：

一、加强组织领导，营造良好的内部环境

人始终是决定性因素。做好风险评估工作，首先就要健全组织，更新观念，落实责任制，创造一个良好的内部环境。在通常情况下，企业全面风险管理组织体系包括董事会、董事会审计委员会、总经理、企业法务以及各部门。避免因为没有一个具备相应知识储备、组织能力的风险管理机构和职能部门，使风险管理责任不能得到有效落实，使风险管理工作难以顺利推进。

董事会作为企业内部控制和风险管理的决策机构，负责建立健全和落实风险管理和内部控制制度，向股东大会报告关于企业风险管理、内部控制的有关情况，并对此负责，董事会要确定好企业能够承担的风险限度。公司总经理向董事会负责全面风险管理及内部控制工作的有效性；总经理委任的高级管理人员负责日常风险管理；董事会审计委员会主要负责风险管理与内部控制方面的研究，提出企业内部控制与风险管理的监督与评价体系，制定相关的监督评价制度，对企业的风险管理进行监督评价，要确保管理层采取恰当的程序和方法去设定目标。

企业应设置风险管理人员，专门负责体系的建设、运行以及维护，有条件的企业也可成立全面风险管理小组，统一领导企业风险防范和内控体系建设工作。为便于协调、提升效率，全面风险管理小组建议由总经理或其委任的高层主管领导，其主要工作内容有：建立健全风险管理体系；承办风险管理请示报告；协调跨部门之间的风险管理工作；组织公司重大风险管理方案撰写；指导、监督各部门和下属企业的风险管理；归口办理其他风险管理日常工作。

企业各部门根据职能职责分工开展各自职能范围内的风险管理工作，其主要职责包括：根据情况建立健全其业务风险管理工作相关的制度流程，在其职责范围内指导、监督所属相关业务的风险管理工作；主导制定与其业务密切相关、应由其负主要责任的重大风险管理方案；持续关注该管理方案的执行、相应风险的变化等情况，并及时反馈报告，同时要负责办理与其职责相关的其他风险管理工作。

二、精确风险识别，确定明晰的工作目标

风险识别是在确定风险承受度的基础上，对与控制目标有关的内部和外部风险进行正确识别，识别可能对企业产生影响的各种不确定因素。企业必须从全局和总体层面上出发，自上而下梳理组织内企业所有层面的活动，研究这些活动过程中存在什么风险，哪些风险超出企业风险承受度，产生这些风险的主要因素是什么，这些风险所带来的后果及严重程度如何，有哪些风险识别的方法等。防止由于缺乏有效、系统化的风险评估流程、机制、技术方法和工具，不能对风险进行系统化的评估，从而使风险管理不能涵盖企业的经营管理全过程。

企业全体员工是风险信息收集的责任主体，企业各部门应建立健全风险信息的传递路径及共享机制，确保风险信息收集的及时性及完整性，提高信息质量。风险管理人员要不间断地搜集与企业发展、业务开展相关的信息，及时准确地进行风险辨识与分析，建好风险识别台账，及时向企业管理层报告，公司要根据风险变化情况适时调整应对策略。

在进行内部风险识别时，应着重注意以下几个方面：①董事、监事、经理及其他高层主管的职业道德、雇员的专业素质等；②组织结构、运作模式、资金、商业过程等方面的管理要素；③自主创新要素，包括研发、技术投资、信息技术应用等；④公司的财政情况、业绩、资金流动情况等；⑤作业、人员身体及环境等方面的安全及环保要素；⑥与内部危险相关的其他要素。

在进行外部风险识别时，应着重注意以下几个方面：①经济环境、产业政策、融资环境、市场竞争和资源供给等方面的影响；②法律、法规要求；③社会安全稳定，文化传统，社会信用，教育水平，消费者行为等；④技术进步和工艺改进等科技要素；⑤自然灾害、环境条件等；⑥与外部风险相关的其他要素。

三、深入分析评估，提供扎实的管理基础

风险分析是风险评估中的核心环节，对于识别出来的风险要进行深入分析，为后续制定管理标准、采取应对措施等提供基本依据。避免由于没有明确的风险评价标准，或对风险评价的描述不够科学合理，对公司的风险偏好定义模糊，或者风险评估脱离实际。风险评估过小会导致公司没有将一些高风险的业务或者环节纳入公司的监管范围，影响企业发展；风险评估过大会将大量的企业资源投入到风险较小的业务中，增加企业成本，降低运营效率。

在建立风险评价指标时，首先要考虑到企业的风险偏好，并确定其风险承受能力。风险评价标准一般由风险管理机构或者风险管理专员制订，经企业管理层批准后实施。如果内部或者外部环境发生明显变化，使企业的风险偏好或者风险承受能力出现较大变化时，则需要及时调整风险评价的具体标准。其次在进行风险分析时，应当充分听取吸纳相关业務专业人员的专业意见，尊重科学、遵循规律、实事求是，以保证分析结果的正确性。

风险分析应当根据风险发生的原因、风险发生的概率、影响的大小等因素，对所识别的风险进行定性和定级，从而确定处理不同风险时的轻重缓急顺序。风险分析应当建立工作底稿，工作底稿通常以一套完整的评估表格为基础资料，将各要素的核心指标进一步分解、细化、评估，再将评估结果汇总融合，最后得出综合评价的结果。相关人员都要在自己经手、负责的底稿上签字确认，最终经企业管理层审定。对风险评估、监督、诊断和评价过程中出现的问题，要对其性质、原因、影响程度进行分析，提出相应的解决办法，并及时整改完善。

企业风险评价通常是由风险主管单位或财务部门发起和组织，当然，公司也可以聘请具有专业资质、口碑好、熟悉企业所处行业和具体业务的专业团队，对企业进行风险分析和评估。在进行风险评估时，特别要注意对董事、经理和其他高级管理人员、关键岗位人员的风险偏好进行合理分析和准确地掌握，并制定相应的防范措施，以防止由于个体的风险偏好而造成的巨大亏损。

四、积极科学应对，采取有效的行动方案

风险应对是企业风险分析和评估之后，企业选择适当的应对策略和针对性措施，以达到变动风险大小的目的。选择应对策略的前提之一是企业当前的发展战略，不同的企业、企业在不同发展阶段，针对相同的风险评估结果，会选择不同的应对策略，同时还要考虑企业的风险偏好、风险承受度等因素。在选定的应对策略的基础上，针对具体的风险分析和评估，结合企业业务实际，制定应对风险的解决方案，并将方案进一步细化、具体化，落实到具体部门、具体岗位、具体环节和应用场景中，形成具有较强操作性的工作计划，并在实施计划的过程中不断调整优化应对方案和计划，如果遇到较大变化或者偏差时，应及时重新选择风险应对策略。

其中，应对策略包括风险规避、风险降低、风险分担和风险承受等四种基本类型。风险规避是指企业为了避免或减少与风险有关的经营行为而采取的一种战略；风险降低是指在衡量了成本和收益后，企业采取相应的控制措施来减少损失，使其处于可接受的范围内；风险分摊是指企业通过业务分包、购买保险等手段以及采取相应的控制手段来将风险控制在可接受范围内；风险承受是指在风险容忍度范围内的一种风险，在衡量了成本和收益后，没有采取任何控制措施来减少损失。企业各部门研究确定风险管理策略的适用规则，风险管理策略的适用规则应按规定程序进行审批。一般风险及重要风险的管理策略由总经理或其委托的高级管理人员批准，重大风险的管理策略应由董事会或董事会审计委员会审批，调整风险管理策略应视同重新确定风险管理策略。

风险应对解决方案主要包括完善制度、流程，调整部门和岗位职责、完善授权体系等，单部门业务流程层面的风险应对方案由业务部门负责人确定，跨部门的风险应对方案通常是由风险管理小组或者专职人员拟定，并与有关部门沟通协商后，由总经理或其授权的高层主管批准，企业层面重大风险解决方案由董事会或董事会审计委员会审批。

方案计划制定好之后，要采取有力措施进行控制，确保风险应对能够有效实施。对于一般的风险，可以采用现行的制度和程序进行有效的控制，但是在发生危险的时候，要对其进行分析和汇总，并将其记录在案。对于重大风险，风险主管单位要对现行的系统和过程进行评价，发现存在的问题和缺陷，并在必要的时候补充和改进控制措施，添加其他的管理手段。针对重大风险，一般应由风险主责部门研究提出风险解决方案，并报请总经理办公会审议，同时加大资源投入，细化控制措施，明确职责分工，设定预警指标，加大跟踪力度，确保重大风险的防控效果。企业各部门应认真组织实施风险解决方案，企业法务应加强监督和检查，确保各项风险应对措施落实到位。

五、持续沟通监督，确保健康的动态反馈

有效的信息与沟通对于企业处理风险、减少损失至关重要。企业只有及时、准确地获取来自内部和外部的充足的真实信息，才能进行有效地分析处理，做出最有利于企业发展的决策和制定措施。一定要防止信息不能顺畅地在企业中向上、向下和平行流动，从而使得企业对于企业业绩、重要风险、内部控制运作和其他重要信息不能及时准确地交流、传递、反馈和应对，从而造成决策和操作失误。

企业应根据监管部门要求和生产经营需要建立风险管理报告机制。风险管理报告是指将风险管理的年度报告提交给董事会和审计委员会，其可以划分为定期报告和不定期报告。企业应按照外部有关监管要求，向监管机构报送风险管理报告。企业各部门对发生的重大风险或突发事件应及时向经营管理层逐级报告。

风险管理专员定期将风险评估报告提交董事会及高级经理层审批，并将审批通过的风险评估报告下发至企业内部相关的责任部门。遇到重大风险及突发事件时应及时向董事会、经营管理层和企业内部相关的责任单位报告。董事会及高级经理层审批风险评估报告的主要关注点包括风险资讯是否及时、精确、有无重大风险，风险分析是否合理、风险对企业经营情况的影响程度等。

风险管理人员对风险的持续监督，包括风险控制的实施、风险控制效果、风险变化等。财务部门应当指派专门人员，搜集有关政策法规变更的资讯，以保证有能力确认有关当局所发布的会计标准发生重大变更，并了解這些变更对公司会计实践的影响。如果有任何改变，都会影响到公司的业务，这时请及时告知财务部，并与独立的公司审核或其他第三方进行讨论。

结语：

公司的风险评估是一个长期而又复杂的过程，一次风险评估就可以一劳永逸，这是一种不切实际的做法。在内部控制中，要不断地进行风险评估，根据自身的发展和业务的发展，对风险进行系统地识别、分析、评估和应对。因此，我们必须构建一个完善的、完整的风险评估体系，才能使企业的内部控制得到真正的完善，从而促进企业健康发展。