內部控制中的風險評估

　　我國《企業內部控制基本規范》（以下簡稱《基本規范》）提出我國內部控制的基本要素包括內部環境、風險評估、控制活動、信息與溝通和內部監督等五項，并在《基本規范》中單辟一章，就風險評估的有關內容進行了規定。
　　在市場經濟條件下，每個企業都面臨著來自外部和內部的風險。企業內部控制就是通過對風險的控制以實現其目標的，風險評估是企業內部控制的重要內容之一。內部控制中的風險評估的概念有廣義和狹義之分。廣義的風險評估包括目標設定、風險識別、風險分析、風險應對等；狹義的風險評估僅僅是指風險分析，即通過采用定性分析和定量分析，按照企業風險發生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優先控制的風險。
　　
　　一、《內部控制框架》中的風險評估
　　
　　美國COSO委員會《內部控制框架》所使用的風險評估概念屬于廣義風險評估，《內部控制框架》將其作為內部控制的關鍵構成要素。
　?。ㄒ唬┰O定目標
　　根據《內部控制框架》，風險評估首先要設定目標。設定目標是風險評估的前提條件。風險是與目標伴隨的，首先必須有目標，管理層才能對實現目標的風險進行識別。根據《內部控制框架》，目標設定不屬于內部控制的構成要素，但它是內部控制的前提條件，為此《內部控制框架》專門對目標設定進行了論述。目標包括企業層面的目標和業務層面的目標。管理層通過目標設定來明確業績衡量標準，目標具體分為經營目標、財務報告目標和合規目標。經營目標是管理層基于企業所處特定經營環境所設定的業績衡量標準；財務報告目標在于對外公布的財務報告的可靠性；合規性目標則要求企業的經營活動遵循適用的法律法規。這些目標是相互補充和相互關聯的。
　　（二）風險識別
　　1.風險識別必須與目標聯系，無論目標是明確的還是隱含的，企業的風險識別應當考慮到目標實現面臨的各種可能出現的風險。2.風險識別是一個持續性、反復的過程。3.進行風險識別時應當關注企業各個層面的風險，包括企業層面的風險和業務層面的風險。對主體層面的風險進行識別時，既要關注外部風險，也要關注內部風險。來自外部的風險主要有技術進步引起的風險、客戶需求變化風險、市場競爭風險、法律法規變動風險、自然災害風險以及經濟環境變化風險等;來自內部的風險包括信息系統故障風險、員工素質能力等方面的風險、管理層變動風險以及董事會或審計委員會不作為的風險等。對業務層面的風險進行識別時，應當將該層面的風險評估集中于主要業務流程和主要職能上，如銷售、生產、營銷、研究開發等。應當識別對企業有重大影響的較為明顯的風險。
　?。ㄈ╋L險分析，即狹義的風險評估
　　企業在對企業層面的風險和業務層面的風險識別后，則需要進行風險分析。風險分析的方法多種多樣。風險分析的過程通常包括估計風險的嚴重性、評估風險發生的可能性、評估應采取的措施等三個步驟。應當注意的是，作為內部控制一部分的風險評估，與作為管理過程應對措施而采取的計劃、方案及其他措施存在著區別。
　?。ㄋ模┙⒆R別環境變化的機制
　　風險評估本質上是一個識別變化并采取必要措施的過程。隨著經濟、行3f3e90e0f8378de6d963c3e8fc984e6e業和監管等外部環境的變化，企業的經營活動也將發生相應的調整，企業應當建立一套正式或非正式的程序，對可能影響企業目標實現的風險進行識別。管理層應當特別關注以下對環境影響的因素，這些因素包括已變化的經營環境、管理層人員更換及員工大規模更換、使用新的或調整后的信息系統、經營業務快速增長、采用新技術、開拓新的經營領域、進行公司重組等。企業應當建立一定的機制，對發生變化的外部環境進行識別。
　　
　　二、《企業風險管理框架》中的風險評估
　　
　　美國COSO委員會2004年發布的《企業風險管理框架》中將風險管理的要素劃分為內部環境、目標設定、事項識別、風險評估、風險應對、信息與溝通和監控等八要素。根據《企業風險管理框架》，風險評估就是要對識別的風險進行分析，以形成確定如何對其進行管理的依據。這實際就是《內部控制框架》中的風險分析，屬于狹義上的風險評估概念?！秲炔靠刂瓶蚣堋分械娘L險評估實際上包括事項識別、風險評估、風險應對三項內容，而目標設定則作為內部控制的前提條件，不屬于內部控制要素的范圍。
　　風險總是與特定目標的實現相聯系。如不出國旅游，則不會涉及到飛機失事的風險。根據《企業風險管理框架》，實施風險管理首先就涉及到設定目標。目標設定是事項識別、風險評估和風險應對的前提?！镀髽I風險管理框架》正是出于風險管理的需要將目標設定作為風險管理的構成要素之一。《企業風險管理框架》中的目標包括戰略目標和相關目標，戰略目標是最高層次的目標，而相關目標則是建立在戰略目標基礎上的企業層面等的目標，企業層面的目標與更為具9a328d9fd97f68d6b3a16fea8f9823e4體的目標