上市公司內部控制的風險評估解析

翟艷+黃解宇

【摘 要】 風險評估是上市公司內部控制的起點。然而，許多上市公司在實施內部控制時，風險評估環(huán)節(jié)卻成為內部控制工作推進的障礙。文章針對上市公司風險評估的流程進行了剖析，并就如何進行風險評估提出了相應的思路和實施方法，期望對上市公司的內部控制工作有所幫助。

【關鍵詞】 風險評估； 上市公司； 風險控制

中圖分類號：F832文獻標識碼：A文章編號：1004-5937（2014）19-0067-04

一、引言

在日益激烈的市場競爭中，企業(yè)的生產經營過程面臨著各種各樣的風險，因對風險認識不足、控制不當不斷導致一些企業(yè)陷入困境甚至倒閉。如何識別、度量和應對風險就成為企業(yè)最難解決的問題。企業(yè)要識別出其所面臨的風險，就必須進行風險評估。

以股票市場為主體的多層次資本市場體系，經過20多年的發(fā)展，已成為我國經濟發(fā)展的重要動力。隨著股票市場的發(fā)展，上市公司數(shù)量不斷增加，目前已達到2 500多家，其在經濟中的領導地位也不容忽視。股票市場是高風險市場，為了加強上市公司的風險防范意識，規(guī)范上市公司的經營管理活動，2008年以來財政部等五部委聯(lián)合發(fā)布了《企業(yè)內部控制基本規(guī)范》及其配套指引，作為上市公司建立內部控制體系的指導性文件框架。我國的內部控制體系是以風險評估為核心導向，其中包含風險識別、風險評估、風險防范和風險控制，并且風險評估是整個內控體系的關鍵。上市公司實施內部控制首先面臨的問題就是風險評估，這也是上市公司實施內部控制工作的切入點和起點。

風險評估是上市公司對篩選出的主要風險組織公司的管理層、各職能部門負責人以及業(yè)務骨干進行風險識別、系統(tǒng)分析，確定相應的風險應對策略；也是上市公司實施內部控制工作、構建內部控制體系的關鍵和基礎。這就要求上市公司在進行內部控制的風險評估時，既要識別、分析和關注阻礙實現(xiàn)內部控制目標的風險（純粹風險），更要善于發(fā)現(xiàn)對實現(xiàn)內部控制目標具有促進作用的風險（機會風險），結合公司經營管理狀況科學分析風險、制定切合公司經營管理實際的風險應對策略，達到分散、弱化以至化解風險的目標，實現(xiàn)上市公司整體價值的提升。

由于風險的不確定性以及風險評估過程復雜且不易操作，風險評估就成為上市公司內部控制實施成功與否的關鍵，如何進行風險評估就成為一個難點。本文結合上市公司實施內部控制的實踐，對風險評估操作過程中的難點進行探討，以期對上市公司的風險評估工作提供參考。

二、上市公司內部控制風險評估的操作解析

在實施、建立內部控制體系的工作實踐中，上市公司的風險評估應重點圍繞公司經營管理的主要環(huán)節(jié)進行，通常應將銷售、采購、生產和財務等經營管理活動的主要環(huán)節(jié)作為開展風險評估工作的重點和總綱，在重點和總綱的統(tǒng)領下，抓住各個環(huán)節(jié)的關鍵控制點，即實施內部控制工作過程中的風險點。尤為重要的是，在初始風險評估時，對風險環(huán)節(jié)和關鍵控制點的把握宜粗不宜細。若開始時對風險環(huán)節(jié)和關鍵控制點要求的過細、過于完美，風險評估工作可能會陷于繁瑣細微的事務性工作而難以進行下去，甚至導致上市公司風險評估工作的整體失敗。因此，進行風險評估時，首先需要建立上市公司內部控制風險評估工作的總體框架，確立風險評估工作的整體思路；其次，充實和完善風險評估內容：一方面結合內部控制工作的深入不斷補充、豐富，另一方面應隨著上市公司業(yè)務發(fā)展和外部環(huán)境的變化定期、持續(xù)改進、完善，為實施內部控制、構建內部控制體系工作創(chuàng)造有利的條件。

由于上市公司所處行業(yè)不同、發(fā)展階段及經營環(huán)境的差異，加之風險不易識別、量化，所以上市公司在進行內部控制風險評估時應特別注意與本公司經營管理活動的有機結合，切忌為了風險評估而進行評估的形式主義。具體進行風險評估時，主要從以下方面來進行：

（一）設定風險評估和風險控制目標的難點

進行風險評估前，上市公司應先設定風險評估和風險控制的目標，這是進行風險評估的必備條件，也是風險評估的標準。只有明確了風險評估和風險控制目標，才能有針對性、有標準的搜集、整理和取舍相關的風險信息和數(shù)據(jù)，才能對已顯現(xiàn)的和潛在的風險進行識別、篩選、整理和歸納。

風險評估和風險控制的目標設定，主要根據(jù)證監(jiān)會的監(jiān)管要求來進行。依據(jù)《企業(yè)內部控制基本規(guī)范》及配套指引的要求，設定風險評估目標通常從公司經營戰(zhàn)略、經營目標、報告目標、資產安全目標和經營合規(guī)目標等方面來考慮。首先，經營戰(zhàn)略比較宏觀，在風險評估中不宜定性操作和定量把握。由于大多數(shù)員工只是把經營戰(zhàn)略作為公司發(fā)展的美好愿景和長遠奮斗目標，只有公司的高層管理核心人員對其有比較深入的理解和領悟，因此，上市公司的經營戰(zhàn)略在風險評估目標中所占比例通常不能太大。其次，經營目標和報告目標是公司日常經營管理活動的指導，最容易被公司經營管理層和廣大員工理解和感知，也比較具體且易于量化和識別，因此，風險評估目標和風險控制目標多從這兩方面來考慮和提煉。最后，上市公司只要依法經營，按照規(guī)章制度和流程去運作和管理，即可保證經營合規(guī)目標和資產安全目標的實現(xiàn)，因而對上市公司風險評估和控制目標的設定，就轉化為對公司規(guī)章制度和運作流程風險控制目標和風險評估目標的設定，實務中更易把握和操作。

（二）收集風險信息的難點和途徑

風險信息收集的主要是與上市公司相關的內外部風險信息。風險信息收集的質量關系到整個風險評估的結果。

從收集影響公司經營外圍環(huán)境信息的實踐來看，上市公司通常對這方面的信息比較困惑：一方面是公司經營外部環(huán)境信息的涵蓋范圍比較廣，不易確定應由哪些部門牽頭組織和具體實施，并且各部門在收集信息過程中很難把握相關信息對公司經營管理有無影響及影響大小，結果導致收集信息時無所適從，最終難以確定應該收集哪些信息。另一方面，由于日常經營活動多限于具體的事務性工作，上市公司很難準確把握和獲得與經營管理活動相匹配的外部環(huán)境信息。在收集風險信息時，上市公司應注重外部經營環(huán)境與實際經營管理工作的結合、與內部控制關鍵點和風險點的結合，并在這些交集中尋找切入點和信息點。

上市公司收集影響經營的內部環(huán)境信息時，應主要考慮經營戰(zhàn)略、經營目標、報告目標、資產安全目標和經營合規(guī)目標，并結合各部門的工作職責、制度和工作流程、業(yè)務流程，立足于日常的經營管理工作，考慮可能影響經營管理目標實現(xiàn)的內部信息和條件，來收集相關的內部風險信息。

（三）識別經營風險

風險識別是風險評估的重要環(huán)節(jié)，識別風險更多的是憑借識別者的判斷能力、經驗積累和識別方法。風險識別是把收集到的風險信息通過對公司高層管理人員、中層管理骨干和基層業(yè)務骨干的問卷調查、測試、訪談等方式，經過比較、歸類、提煉、組合等方法，并充分考慮國家各部委對內部控制風險評估的具體要求來進行的。風險有多種表現(xiàn)形式，經營風險是風險識別的重點，主要包括核心風險、業(yè)務風險和工作風險。

核心風險的識別，主要應從公司的經營目標出發(fā)，圍繞戰(zhàn)略核心，從公司整體及其職能部門層面、經營管理現(xiàn)狀層面等方面進行綜合考慮，主要通過對公司高層管理人員的問卷調查、訪談等方式，整理出公司的核心風險，這是上市公司高層管理者最關注的風險。

業(yè)務風險的識別，主要應從銷售、采購、生產、財務等主要業(yè)務環(huán)節(jié)的風險入手，通過對制度、流程的穿行測試及中層管理骨干和基層業(yè)務骨干的問卷調查、測試，識別出最主要的業(yè)務風險環(huán)節(jié)和關鍵控制點，然后再通過穿行測試來檢驗主要風險環(huán)節(jié)和關鍵控制點的收集和查找是否全面，并對測試過程中發(fā)現(xiàn)疏漏的風險點和控制點予以補充和完善。

工作風險的識別，主要是通過適用性測試來進行，在適用性測試過程中，識別出主要的風險環(huán)節(jié)和關鍵控制點，并予以補充和完善。

從上市公司識別經營風險的實踐來看，主板上市公司至少應梳理出100種以上的風險，才可能比較全面的涵蓋上市公司面臨的風險。

（四）進行風險評估

風險評估是對上市公司經營管理活動中可能存在的各種風險進行分析和估量，其結果關系到風險應對策略的制定。由于風險的錯綜復雜，要比較客觀和全面地反映和衡量上市公司的整體風險，需將各種風險評估方法綜合使用。

具體來講，風險評估主要通過多次循環(huán)問卷調查的形式開展，并且應經過至少兩輪多次的循環(huán)驗證，同時要求時間間隔在兩周以上，最終使管理層對風險的認知和理解逐步趨于一致。在風險評估過程中，上市公司應根據(jù)自身的經營特點，考慮公司所處的發(fā)展階段，采用定性與定量相結合的方法構建其風險評估體系。

1.確定風險評估的范圍及參與主體

由于風險存在于上市公司經營管理活動的各個環(huán)節(jié)，因而，上市公司風險評估應涵蓋其主要的生產經營管理活動，各主要職能部門和業(yè)務部門就成為參與主體，上市公司高層管理人員、職能部門負責人、主要業(yè)務部門負責人和業(yè)務骨干人員是主要參與者。

2.確定風險評估的評分標準

風險評估的評分標準是風險評估過程中定性與定量方法銜接的紐帶和橋梁，也是風險評估的難點和重點。實務中，風險評估指標體系應結合上市公司的實際情況來設定。具體來講，主要應結合公司的發(fā)展階段、業(yè)務特點、風險發(fā)生頻率及對公司經營管理活動的影響程度等來確定。

通常，把風險發(fā)生的可能性和影響程度劃分為5個等級。表1和表2分別從定性、定量兩方面描述了風險發(fā)生的可能性及影響程度，并把風險的定性標準定量化，從而實現(xiàn)了定性標準與定量標準的銜接和轉換。從表中可以看出，風險的影響程度隨著風險發(fā)生概率的逐級加大也越來越嚴重。

3.調查問卷的設計

問卷調查是比較常用和有效的風險評估方法之一。科學、合理的問卷設計關系到風險評估的準確度，調查問卷設計一般從風險發(fā)生的可能性和風險影響程度兩個維度去考慮和設計，一般需要設計200—500個風險事項，力求全面客觀地反映上市公司當前面臨的主要風險。

4.問卷調查數(shù)據(jù)的整理

問卷調查結束后，需要對問卷調查的結果進行分類、匯總及處理。理論上，風險評估至少應進行兩次問卷調查，要求參與問卷調查的人員基本不變，并且兩次問卷調查的時間間隔至少在兩周以上，然后再測算兩次問卷調查統(tǒng)計結果的離散度。若離散度較低（通常以標準差小于1來認定），則取兩次調查問卷的平均值作為問卷調查結果；若離散度較高（通常以標準差大于等于1來認定）時，則公司管理層應組織參與風險評估的人員進行探討、溝通與交流，努力使大家對風險的認識趨于一致，然后再進行第三次問卷調查，并將這次問卷調查結果作為最終問卷調查結果。

需要注意的是，實務中，在統(tǒng)計問卷時，需將調查問卷分成高層領導、中層干部和基層骨干三個小組，分別進行統(tǒng)計匯總取各組的平均值。對于公司戰(zhàn)略層面等較為宏觀的風險，運用三組平均值時適當加大高層領導小組數(shù)據(jù)的權重；對于管理職能類、重要業(yè)務類風險，運用三組平均值時適當加大中層干部小組數(shù)據(jù)的權重；對于具體業(yè)務、操作類風險，運用三組平均值時適當加大基層骨干小組數(shù)據(jù)的權重。權重的調整幅度需要通過開會溝通、討論，由參與風險評估的主要人員共同做出決定。

5.繪制風險地圖

為了比較直觀地反映風險分類，根據(jù)數(shù)據(jù)統(tǒng)計匯總調整結果，從風險發(fā)生的可能性及影響程度兩個維度繪制風險地圖，如圖1所示。處于黑色區(qū)域的為重大風險，處在白色區(qū)域的為重要風險，處在灰色區(qū)域的為一般風險。通過圖1，可以直觀地識別出重大風險、重要風險和一般風險。需要注意的是，風險的認定就高不就低，即處在重大風險和重要風險臨界點上的風險，劃為重大風險，處在重要風險和一般風險臨界點上的風險，劃為重要風險，充分體現(xiàn)風險評估中風險就高不就低的原則和理念。

風險往往是相互交織、相互轉化的，上市公司不但要進行風險評估，還需要進行風險管理。通常，對重大風險應予以高度關注，還應制定出重大風險預案，確保風險被有效管理，當重大風險發(fā)生時，立即啟動預案，應對風險，降低損失。對重要風險要加強監(jiān)控，防止其進一步發(fā)展為重大風險。對一般風險要予以適度關注。

三、結語

風險評估是上市公司實施內部控制工作的起點和源頭，只有扎實做好風險評估，才能為應對風險、防范和控制風險做好準備和鋪墊，為順利實施內部控制工作奠定基礎。我國上市公司內部控制實施的時間還不長，由于風險本身的不確定性和復雜性、風險評估的不易操作等特點，上市公司的風險評估工作還存在許多不足，加之行業(yè)不同導致的風險差異，使得風險評估的方法和過程具有差異性，需要進一步探索，才能逐步完善。●

【參考文獻】

［1］ 能昌欣.論企業(yè)會計內部控制［J］.金融經濟，2010 （10）：187.

［2］ 企業(yè)內部控制配套指引解讀與案例分析［M］.立信會計出版社，2010：18-33.

［3］ 財政部，等.企業(yè)內部控制基本規(guī)范［S］.2008.

［4］ 王保平，等.企業(yè)內部控制操作實務與案例分析［M］.中國財政經濟出版社，2010:3-38.

工作風險的識別，主要是通過適用性測試來進行，在適用性測試過程中，識別出主要的風險環(huán)節(jié)和關鍵控制點，并予以補充和完善。

從上市公司識別經營風險的實踐來看，主板上市公司至少應梳理出100種以上的風險，才可能比較全面的涵蓋上市公司面臨的風險。

（四）進行風險評估

風險評估是對上市公司經營管理活動中可能存在的各種風險進行分析和估量，其結果關系到風險應對策略的制定。由于風險的錯綜復雜，要比較客觀和全面地反映和衡量上市公司的整體風險，需將各種風險評估方法綜合使用。

具體來講，風險評估主要通過多次循環(huán)問卷調查的形式開展，并且應經過至少兩輪多次的循環(huán)驗證，同時要求時間間隔在兩周以上，最終使管理層對風險的認知和理解逐步趨于一致。在風險評估過程中，上市公司應根據(jù)自身的經營特點，考慮公司所處的發(fā)展階段，采用定性與定量相結合的方法構建其風險評估體系。

1.確定風險評估的范圍及參與主體

由于風險存在于上市公司經營管理活動的各個環(huán)節(jié)，因而，上市公司風險評估應涵蓋其主要的生產經營管理活動，各主要職能部門和業(yè)務部門就成為參與主體，上市公司高層管理人員、職能部門負責人、主要業(yè)務部門負責人和業(yè)務骨干人員是主要參與者。

2.確定風險評估的評分標準

風險評估的評分標準是風險評估過程中定性與定量方法銜接的紐帶和橋梁，也是風險評估的難點和重點。實務中，風險評估指標體系應結合上市公司的實際情況來設定。具體來講，主要應結合公司的發(fā)展階段、業(yè)務特點、風險發(fā)生頻率及對公司經營管理活動的影響程度等來確定。

通常，把風險發(fā)生的可能性和影響程度劃分為5個等級。表1和表2分別從定性、定量兩方面描述了風險發(fā)生的可能性及影響程度，并把風險的定性標準定量化，從而實現(xiàn)了定性標準與定量標準的銜接和轉換。從表中可以看出，風險的影響程度隨著風險發(fā)生概率的逐級加大也越來越嚴重。

3.調查問卷的設計

問卷調查是比較常用和有效的風險評估方法之一。科學、合理的問卷設計關系到風險評估的準確度，調查問卷設計一般從風險發(fā)生的可能性和風險影響程度兩個維度去考慮和設計，一般需要設計200—500個風險事項，力求全面客觀地反映上市公司當前面臨的主要風險。

4.問卷調查數(shù)據(jù)的整理

問卷調查結束后，需要對問卷調查的結果進行分類、匯總及處理。理論上，風險評估至少應進行兩次問卷調查，要求參與問卷調查的人員基本不變，并且兩次問卷調查的時間間隔至少在兩周以上，然后再測算兩次問卷調查統(tǒng)計結果的離散度。若離散度較低（通常以標準差小于1來認定），則取兩次調查問卷的平均值作為問卷調查結果；若離散度較高（通常以標準差大于等于1來認定）時，則公司管理層應組織參與風險評估的人員進行探討、溝通與交流，努力使大家對風險的認識趨于一致，然后再進行第三次問卷調查，并將這次問卷調查結果作為最終問卷調查結果。

需要注意的是，實務中，在統(tǒng)計問卷時，需將調查問卷分成高層領導、中層干部和基層骨干三個小組，分別進行統(tǒng)計匯總取各組的平均值。對于公司戰(zhàn)略層面等較為宏觀的風險，運用三組平均值時適當加大高層領導小組數(shù)據(jù)的權重；對于管理職能類、重要業(yè)務類風險，運用三組平均值時適當加大中層干部小組數(shù)據(jù)的權重；對于具體業(yè)務、操作類風險，運用三組平均值時適當加大基層骨干小組數(shù)據(jù)的權重。權重的調整幅度需要通過開會溝通、討論，由參與風險評估的主要人員共同做出決定。

5.繪制風險地圖

為了比較直觀地反映風險分類，根據(jù)數(shù)據(jù)統(tǒng)計匯總調整結果，從風險發(fā)生的可能性及影響程度兩個維度繪制風險地圖，如圖1所示。處于黑色區(qū)域的為重大風險，處在白色區(qū)域的為重要風險，處在灰色區(qū)域的為一般風險。通過圖1，可以直觀地識別出重大風險、重要風險和一般風險。需要注意的是，風險的認定就高不就低，即處在重大風險和重要風險臨界點上的風險，劃為重大風險，處在重要風險和一般風險臨界點上的風險，劃為重要風險，充分體現(xiàn)風險評估中風險就高不就低的原則和理念。

風險往往是相互交織、相互轉化的，上市公司不但要進行風險評估，還需要進行風險管理。通常，對重大風險應予以高度關注，還應制定出重大風險預案，確保風險被有效管理，當重大風險發(fā)生時，立即啟動預案，應對風險，降低損失。對重要風險要加強監(jiān)控，防止其進一步發(fā)展為重大風險。對一般風險要予以適度關注。

三、結語

風險評估是上市公司實施內部控制工作的起點和源頭，只有扎實做好風險評估，才能為應對風險、防范和控制風險做好準備和鋪墊，為順利實施內部控制工作奠定基礎。我國上市公司內部控制實施的時間還不長，由于風險本身的不確定性和復雜性、風險評估的不易操作等特點，上市公司的風險評估工作還存在許多不足，加之行業(yè)不同導致的風險差異，使得風險評估的方法和過程具有差異性，需要進一步探索，才能逐步完善。●

【參考文獻】

［1］ 能昌欣.論企業(yè)會計內部控制［J］.金融經濟，2010 （10）：187.

［2］ 企業(yè)內部控制配套指引解讀與案例分析［M］.立信會計出版社，2010：18-33.

［3］ 財政部，等.企業(yè)內部控制基本規(guī)范［S］.2008.

［4］ 王保平，等.企業(yè)內部控制操作實務與案例分析［M］.中國財政經濟出版社，2010:3-38.

工作風險的識別，主要是通過適用性測試來進行，在適用性測試過程中，識別出主要的風險環(huán)節(jié)和關鍵控制點，并予以補充和完善。

從上市公司識別經營風險的實踐來看，主板上市公司至少應梳理出100種以上的風險，才可能比較全面的涵蓋上市公司面臨的風險。

（四）進行風險評估

風險評估是對上市公司經營管理活動中可能存在的各種風險進行分析和估量，其結果關系到風險應對策略的制定。由于風險的錯綜復雜，要比較客觀和全面地反映和衡量上市公司的整體風險，需將各種風險評估方法綜合使用。

具體來講，風險評估主要通過多次循環(huán)問卷調查的形式開展，并且應經過至少兩輪多次的循環(huán)驗證，同時要求時間間隔在兩周以上，最終使管理層對風險的認知和理解逐步趨于一致。在風險評估過程中，上市公司應根據(jù)自身的經營特點，考慮公司所處的發(fā)展階段，采用定性與定量相結合的方法構建其風險評估體系。

1.確定風險評估的范圍及參與主體

由于風險存在于上市公司經營管理活動的各個環(huán)節(jié)，因而，上市公司風險評估應涵蓋其主要的生產經營管理活動，各主要職能部門和業(yè)務部門就成為參與主體，上市公司高層管理人員、職能部門負責人、主要業(yè)務部門負責人和業(yè)務骨干人員是主要參與者。

2.確定風險評估的評分標準

風險評估的評分標準是風險評估過程中定性與定量方法銜接的紐帶和橋梁，也是風險評估的難點和重點。實務中，風險評估指標體系應結合上市公司的實際情況來設定。具體來講，主要應結合公司的發(fā)展階段、業(yè)務特點、風險發(fā)生頻率及對公司經營管理活動的影響程度等來確定。

通常，把風險發(fā)生的可能性和影響程度劃分為5個等級。表1和表2分別從定性、定量兩方面描述了風險發(fā)生的可能性及影響程度，并把風險的定性標準定量化，從而實現(xiàn)了定性標準與定量標準的銜接和轉換。從表中可以看出，風險的影響程度隨著風險發(fā)生概率的逐級加大也越來越嚴重。

3.調查問卷的設計

問卷調查是比較常用和有效的風險評估方法之一。科學、合理的問卷設計關系到風險評估的準確度，調查問卷設計一般從風險發(fā)生的可能性和風險影響程度兩個維度去考慮和設計，一般需要設計200—500個風險事項，力求全面客觀地反映上市公司當前面臨的主要風險。

4.問卷調查數(shù)據(jù)的整理

問卷調查結束后，需要對問卷調查的結果進行分類、匯總及處理。理論上，風險評估至少應進行兩次問卷調查，要求參與問卷調查的人員基本不變，并且兩次問卷調查的時間間隔至少在兩周以上，然后再測算兩次問卷調查統(tǒng)計結果的離散度。若離散度較低（通常以標準差小于1來認定），則取兩次調查問卷的平均值作為問卷調查結果；若離散度較高（通常以標準差大于等于1來認定）時，則公司管理層應組織參與風險評估的人員進行探討、溝通與交流，努力使大家對風險的認識趨于一致，然后再進行第三次問卷調查，并將這次問卷調查結果作為最終問卷調查結果。

需要注意的是，實務中，在統(tǒng)計問卷時，需將調查問卷分成高層領導、中層干部和基層骨干三個小組，分別進行統(tǒng)計匯總取各組的平均值。對于公司戰(zhàn)略層面等較為宏觀的風險，運用三組平均值時適當加大高層領導小組數(shù)據(jù)的權重；對于管理職能類、重要業(yè)務類風險，運用三組平均值時適當加大中層干部小組數(shù)據(jù)的權重；對于具體業(yè)務、操作類風險，運用三組平均值時適當加大基層骨干小組數(shù)據(jù)的權重。權重的調整幅度需要通過開會溝通、討論，由參與風險評估的主要人員共同做出決定。

5.繪制風險地圖

為了比較直觀地反映風險分類，根據(jù)數(shù)據(jù)統(tǒng)計匯總調整結果，從風險發(fā)生的可能性及影響程度兩個維度繪制風險地圖，如圖1所示。處于黑色區(qū)域的為重大風險，處在白色區(qū)域的為重要風險，處在灰色區(qū)域的為一般風險。通過圖1，可以直觀地識別出重大風險、重要風險和一般風險。需要注意的是，風險的認定就高不就低，即處在重大風險和重要風險臨界點上的風險，劃為重大風險，處在重要風險和一般風險臨界點上的風險，劃為重要風險，充分體現(xiàn)風險評估中風險就高不就低的原則和理念。

風險往往是相互交織、相互轉化的，上市公司不但要進行風險評估，還需要進行風險管理。通常，對重大風險應予以高度關注，還應制定出重大風險預案，確保風險被有效管理，當重大風險發(fā)生時，立即啟動預案，應對風險，降低損失。對重要風險要加強監(jiān)控，防止其進一步發(fā)展為重大風險。對一般風險要予以適度關注。

三、結語

風險評估是上市公司實施內部控制工作的起點和源頭，只有扎實做好風險評估，才能為應對風險、防范和控制風險做好準備和鋪墊，為順利實施內部控制工作奠定基礎。我國上市公司內部控制實施的時間還不長，由于風險本身的不確定性和復雜性、風險評估的不易操作等特點，上市公司的風險評估工作還存在許多不足，加之行業(yè)不同導致的風險差異，使得風險評估的方法和過程具有差異性，需要進一步探索，才能逐步完善。●

【參考文獻】

［1］ 能昌欣.論企業(yè)會計內部控制［J］.金融經濟，2010 （10）：187.

［2］ 企業(yè)內部控制配套指引解讀與案例分析［M］.立信會計出版社，2010：18-33.

［3］ 財政部，等.企業(yè)內部控制基本規(guī)范［S］.2008.

［4］ 王保平，等.企業(yè)內部控制操作實務與案例分析［M］.中國財政經濟出版社，2010:3-38.