本文分析了國內外企業風險評估的現狀。根據企業的特點和發展趨勢,指出了內部控制風險評估的現實意義,並從全面風險管理目標、收集風險管理初始信息、風險識別、風險分析、風險評估和風險管理策略等方面探討了如何建立我國企業內部控制風險評估體系。關鍵詞內部控制;風險評估;管理策略為加強和規範企業內部控制,提高企業管理水平和風險防範能力,根據國家有關法律法規,財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制基本規範》。本準則自2009年7月1日起在上市公司實施,鼓勵大中型非上市企業執行。我國《企業內部控制基本規範》提出,我國內部控制的基本要素包括內部環境、風險評估、控制活動、信息與溝通和內部監督等。,並在《基本標準》中單列壹章規定了風險評估的相關內容。這說明國家和企業已經意識到風險評估在企業內部控制中的重要作用。那麽企業應該從哪些方面加強對企業風險的識別,建立風險評估體系,進壹步完善內部控制呢?壹、國內外企業風險評估體系研究概述國外對內部控制的研究由來已久。1988美國註冊會計師協會發布了關於審計準則的55號公告,提出了內部控制結構的三要素:控制環境、會計制度和控制程序。進入90年代後,COSO提出了《內部控制——總體框架》報告,將內部控制分為控制環境、風險評估、控制活動、信息與溝通、監督五個部分,實現了從三要素到五要素的跨越。此後,風險評估被納入內部控制系統。內部控制的最新研究成果表明,內部控制和風險管理趨於壹致,有些內容也有很大重疊。COSO也從2001開始進行風險管理研究。從最初將風險評估作為壹個要素納入內部控制的整體框架到現在的風險管理研究,可以看出內部控制與風險管理的趨同以及風險作為壹個要素在內部控制中的作用和地位越來越重要。近年來,我國理論界和實務界對內部控制的研究和應用越來越重視,學者們在理論概念的引入和研究方面做了大量工作。財政部、證監會等五部委聯合發布的首個《企業內部控制基本規範》就是很好的證明。二、內部控制風險評估的現實意義研究歷史學家湯因比曾說過:“壹個國家乃至壹個民族的衰亡是從內部開始的,外力只是其死亡前的最後壹擊。”企業的生存也是如此。既然企業的衰亡也是從內部開始的,那麽要尋求企業的生存發展之路,就必須從內部開始。正是基於此,內部控制引起了世界各國理論界和實務界的關註。同時,市場經濟從微觀上看是壹種風險經濟。企業作為市場的基本單位,總是暴露在風險之中。市場經濟越開放、越發達,包含的風險和不確定性就越大。隨著市場經濟的成熟和市場開放程度的提高,風險已經成為企業關註和管理的焦點。內部控制作為企業內部管理的核心,必須不斷豐富和發展,才能跟上市場發展的步伐。正是在這個基礎上,風險的概念逐漸進入了內部控制的範疇。降低或規避風險是內部控制活動的目標,各種風險因素是內部控制的對象。因此,企業要實施有效的內部控制,就必須識別和計量所面臨的風險及其風險因素,這是采取有效控制活動的基礎和前提。這裏識別和度量風險就是風險評估。目前,COSO的總體框架和我國的《企業內部控制基本規範》都將風險評估作為基本要素納入內部控制框架,這是理論適應客觀和實踐發展的必然結果。研究內部控制和風險評估具有重要的現實意義:內部控制的缺失和不完善是導致會計舞弊泛濫的根本原因之壹;內控制度的極度缺失和對風險的忽視是中國企業生命周期短的根本原因;國企改革的成功離不開完善的內控制度和風險管控;風險評估是內部控制系統設計控制活動並發揮其應有作用的基礎。風險評估是內部控制系統的基本組成部分。為了使控制系統發揮應有的作用,企業必須明確所面臨的風險,對整個企業的風險進行定性或定量的評估,然後根據風險評估的結果采取相應的控制活動。事實上,內部控制也是壹種風險管理和控制活動。如果沒有風險,就沒有必要花費大量的人力、財力、物力去搞內部控制。由於風險的存在是控制的原因,因此風險評估成為整個內部控制體系的基礎和關鍵。無論是從國際環境還是從我國的具體情況來看,內部控制的研究和應用都是非常重要的。然而,風險評估作為有效實施內部控制的基本條件,尚未得到充分發展。學習會計和審計的人早已熟悉基於制度的審計,但基於風險的控制概念仍然是壹個新概念,尚未建立壹個相對完善的制度。因此,研究內部控制和風險評估無疑具有重要的現實意義。三。風險評估體系的構建鑒於風險評估在我國內部控制中的應用,筆者認為可以通過以下步驟建立風險評估體系。(壹)確定全面風險管理的目標風險是指企業在未來經營中將面臨的、可能影響經營目標實現的所有不確定性。風險評估是指對經營活動中與實現內部控制目標相關的風險進行及時識別和系統分析,並合理確定風險應對策略。全面風險管理是指企業圍繞總體目標制定風險管理戰略,在企業管理的各個方面和經營過程的各個環節貫徹風險管理的基本流程,實施風險財務管理措施,培育良好的風險管理文化,建立健全風險管理的組織體系、信息系統和內部控制體系的過程和方法。企業目標是企業宗旨的具體化,是企業壹切經營管理活動的終點。企業風險管理的首要任務是確定目標。只有首先確立目標,管理層才能根據目標確定風險,並采取必要的行動管理風險。確定全面風險管理目標,應該:在確定企業風險管理目標時,與員工進行溝通;企業計劃和預算與風險管理目標、戰略計劃和當前形勢相壹致;業務活動的風險目標應當具體;領導層參與制定企業風險目標並對其負責。(二)收集風險管理初始信息,實施全面風險管理。企業應當廣泛、持續地收集與自身風險和風險管理相關的內外部初始信息,包括歷史數據和未來預測。收集初始信息的職責分工應落實到所有相關職能部門和業務單位。1.在財務風險方面,企業至少應收集以下信息(1)負債、或有負債、負債率和償債能力。(2)現金流量、應收賬款及其占主營業務收入的比例、資金周轉率。(3)應付賬款及其占購貨金額的比例。(4)成本及管理費用、財務費用和營業費用。(5)在成本核算、資金結算、現金管理等方面已經發生或容易發生錯誤的業務流程或環節。2.在市場風險方面,企業應至少收集以下有關產品價格和供求變化的信息(1)。(2)產品供應的充足性、穩定性和價格變化。(3)主要客戶和供應商的信用狀況。(4)潛在競爭對手、競爭對手及其主要產品。3.在經營風險方面,企業至少應收集以下信息:(1)新的市場開發和營銷策略。(2)重要業務流程中的中高層管理人員和專業人員的組織效率、管理狀況、企業文化、知識結構和專業經驗。(3)在質量、安全、環保和信息安全管理方面已經發生或容易發生錯誤的業務流程或環節。(4)因內外部人員道德風險導致企業遭受損失或業務控制系統失效。(5)企業風險管理的現狀和能力。企業應對收集的初始信息進行篩選、提煉、比較、分類和組合,以便進行風險評估。(三)風險識別企業風險的識別應當以系統的方式進行,確保公司的所有主要活動和風險都被包含在內並得到有效分類。根據企業的實際情況和技術水平,風險識別以定性識別方法為主,定量識別方法適當結合。同時,根據業務發展和管理水平的不斷提高,逐步引入和增加定量識別方法。企業應選擇合適的風險識別方法,確保風險識別的規範性和科學性。具體措施是:1。建立科學的風險識別方法體系,為企業和職能部門隨時關註企業活動中存在的風險提供指導。2.將風險識別方法標準化、制度化,確保企業和職能部門使用統壹的識別方法體系描述風險識別結果。3.利用違約支付、產品價格變動等歷史事件,關註人口變化、新的市場情況、競爭對手行為等未來事件,分析並關註風險。4.建立損失事件數據庫,通過事件列表、事件分類、內部分析、促進討論和會談、過程分析等手段識別風險。,並確定風險因素的發展趨勢和根本原因。(四)風險分析對企業進行風險分析和評估的方法有多種。運用定量分析方法,特別是運用數學模型進行風險分析,可以使風險管理建立在科學的基礎上,為最終決策提供可靠的依據。風險分析和計量需要全面獲取企業在壹個歷史年度內遭受各種風險和損失的次數。統計周期越長,風險評估的準確性越高。風險評估不僅要知道歷史上各種風險發生的頻率,還要充分考慮風險的客觀環境是否發生了變化。如果有變化,就要對歷史數據的趨勢分析進行修正。在實踐中,很多風險發生的可能性其實很難量化,最多只能定性為“大”、“中”或“小”風險。企業在分析風險發生的可能性(或頻率、概率)和條件時,可以采取以下措施:1。企業根據風險識別的結果對風險發生的概率進行分析和評估,選擇使用預期估計或情景評估等術語來表達潛在的可能性,或者使用數據或圖表來描述和評估風險發生的概率。2.企業建立風險分析模型,通過關鍵風險指標管理方法、壓力測試和情景分析等定量技術手段,以及談話、工作組會議等定性評估技術,分析風險發生的條件因素,確定風險發生的具體條件。3.企業自檢與外檢相結合,事前檢查與事後檢查相結合。4.企業引入技術手段,從日常業務數據和財務數據入手,根據建立的模型做出預警提示。(五)風險評估企業風險評估是在風險識別和風險分析的基礎上,評估風險對企業可能產生的影響,確定風險重要程度的過程。企業風險評估包括兩個方面,即分析風險可能產生的影響和確定風險的重要程度。企業風險評估通常與風險分析同時進行,因此其方法與風險分析相同。企業風險評估的控制措施為:1。企業應通過定量分析技術確定各種可能性造成的影響數量,從而為企業采取相應的風險對策提供科學依據。2.企業應當根據風險可能帶來的影響程度對風險進行排序,明確重要風險和壹般風險。3.企業應當特別關註重要風險,避免重要風險可能給企業帶來的重大損失。(六)風險管理策略壹般來說,對於戰略、財務、操作和法律風險,可以采用承擔風險、規避風險、轉換風險和控制風險等方法。1.企業針對各種風險建立確定風險應對措施的程序和方法,優先考慮發生概率大、影響重大的風險。2.建立壹套廣泛適用的風險決策標準,即根據風險的嚴重程度和企業的風險承受能力,確定不同的決策。3.企業對降低風險水平所需的成本進行合理分析,評估風險應對措施的成本和收益。4.企業選擇風險處理措施後,應當根據剩余風險對風險進行修正。5.企業應持續獲取風險變化信息,有效控制和管理風險,防止新風險的出現。6.重要風險的實時監控。四。結論企業風險評估是壹個不斷重復的過程,壹次風險評估不可能壹勞永逸。企業應結合不同的發展階段和業務拓展,持續收集與風險變化相關的信息,進行風險識別和風險分析,並根據形勢變化及時調整風險應對策略,避免因最初選擇的風險應對策略無效而影響內部目標的實現。特別是當企業經營的外部環境發生變化時,企業必須保持應有的敏感性,針對變化了的外部環境做出相應的風險評估,從而在變化了的外部環境中實現企業的目標。中國企業只有建立相對完善的風險評估體系,才能真正完善內部控制,促進企業進壹步發展。參考文獻[1]李玉環。內部控制中的風險評估[J].會計之友,2008 (10)。[2]馬·。企業內部控制制度存在的問題及對策[J].財務與會計研究,2007(4)。[3]發布《企業內部控制基本規範》。
上一篇:青監管字{ 2011 } 8號《關於加強建設工程造價風險控制的通知》是什麽時候生效的?下一篇:人工智能的兩面性,我們應該如何應對?