风险评估方法和标准Word下载.doc
《风险评估方法和标准Word下载.doc》由会员分享,可在线阅读,更多相关《风险评估方法和标准Word下载.doc(7页珍藏版)》请在冰点文库上搜索。
风险接受程度是指公司在追求目标实现过程中愿意接受的风险程度。
它反映了企业风险管理理念,反过来又影响企业文化和经营风格。
在制定企业战略时要对风险接受程度加以考虑,同时,公司的风险接受程度选择也应与制定的公司战略相一致。
一般来讲,风险接受程度分为三类:
“高”、“中”或“低”。
公司从定性角度考虑风险接受程度,整体上讲,公司把风险接受程度确定为“低”类,即公司在经营管理过程中,采取谨慎的风险管理态度,可以接受较低程度的风险发生。
2、目标制定
目标制定是风险识别、风险分析和风险对策的前提。
公司必须首先制定目标,在此之后,才能识别和评估影响目标实现的风险并且采取必要的行动对这些风险实施控制。
公司目标包括四个方面:
战略目标、经营目标、合规性目标和财务报告目标。
目标的确定必须符合国家的法律法规和行业发展规划,符合公司战略发展计划。
(1)战略目标
战略目标是公司高层次的目标,体现了公司的长远发展目标和方向。
(2)经营目标
经营目标是关于公司经营的效果和效率,包括业绩和利润性目标以及公司生产经营持续进行的资源保障等。
制定符合实际的经营目标是保证战略目标实现的要求。
(3)财务报告目标
报告目标是关于编制可靠的报告,包括内部和外部报告目标,可能涉及财务和非财务信息。
公司确立的报告目标是:
为公司管理层提供准确、完整的经营管理信息,为对外披露提供真实、准确、完整、及时的财务会计报告及其相关资料。
(4)合规性目标
公司必须遵守中国法律法规监管规定,而且采取必要的具体行动。
各种适用的法律法规确立了公司融入其合规性目标的最低的行为准则。
3、风险识别
风险识别就是识别可能阻碍实现公司目标、阻碍公司创造价值或侵蚀现有价值的因素。
公司风险识别的方法:
小组讨论。
内控项目组与相关部门,分成若干个小组,对相关流程的风险进行集中讨论。
在分组时,尽可能考虑各小组人员构成使之具有一定的广泛性。
讨论中,小组成员充分发表意见,确保被识别的风险全面、准确。
同时,在进行小组讨论前,将通过发放风险调查表等形式向相关管理部门或所属单位收集在日常经营管理活动中,与风险识别的相关情况、建议和意见。
4、风险分析
风险识别后,公司对风险进行分析,分析的目的是确定识别出的风险哪些应该引起我们的关注,哪些风险我们可以不予关注。
对于那些发生可能性较低且潜在影响程度很小的风险我们一般不予关注,对于那些发生可能性较高且具有重大潜在影响的风险,我们则需要给予更多的关注。
风险分析主要从风险发生的可能性和对公司目标的影响程度两个角度来分析。
风险分析方法一般采用定性和定量方法组合而成。
公司现阶段风险分析使用定性分析法。
(1)可能性分析
可能性分析是指假定不采取任何措施去影响经营管理进程的情况下,将会发生风险的概率大小的分析。
风险发生的可能性划分标准:
按照风险发生的概率将其分为五类:
“极高”、“高”、“中”、“低”、“极低”。
对于风险发生的概率的估计,一般考虑以下因素:
一是与风险相关的资产的变现能力(主要指变现难易程度),如果资产变现能力越强,则风险发生的概率就高,反之,风险发生的概率就低。
二是经营管理中人工参与的程度,凡是人工参与程度越高,而自动化程度越低,则风险发生的概率就越高,反之,风险发生的概率就低。
三是经营管理中是否涉及大量的、繁杂的人工计算。
凡是涉及大量的、繁杂的人工计算,风险发生的概率就高,反之,风险发生的概率就低。
(2)影响程度分析
风险分析中,除了进行风险发生可能性分析外,还要对风险影响程度进行分析。
风险影响程度分析主要指风险对目标实现的负面影响程度,公司将风险对目标实现的影响程度也分为五类:
“极大”、“大”、“中”、“小”、“极小”。
风险影响程度是相对某一个既定目标而言的,所以在进行影响程度分析前,必须明确风险分析相对应的目标是什么。
如果风险对于目标的实现,将会产生直接的、决定性的影响,就属于风险影响程度“大”;
反之,如果风险对于目标的实现,只是产生间接、非决定性的影响,就属于风险影响程度“小”。
重要风险与一般风险的判断:
公司经过上述风险分析后,应当确认哪些风险应当引起重视、哪些风险予以一般关注,对于需要重视的风险,再进一步划分,分别确认为“重要风险”与“一般风险”,从而为风险对策奠定基础。
风险的重要程度的判断主要根据风险发生的可能性和影响程度来确定的。
判断标准:
①如果风险发生的可能性属于“极小可能发生”的,该风险就可不被关注。
②如果风险发生的可能性高于或等于“可能发生”,且风险的影响程度小,就将该类风险确定为一般风险。
③如果风险发生的可能性等于或高于“风险可能发生”,且风险的影响程度大,就将该类风险确定为重要风险。
对风险发生可能性的高低和风险对目标影响程度进行定性或定量评估后,依据评估结果绘制风险坐标图。
绘制风险坐标图的目的在于对多项风险进行直观的比较,从而确定各风险管理的优先顺序和策略。
如:
公司绘制了如下风险坐标图,并将该图划分为A、B、C三个区域,公司决定承担A区域中的各项风险且不再增加控制措施;
通过减少或分担风险严格控制B区域中的各项风险且专门补充制定各项控制措施;
确保规避和转移C区域中的各项风险且优先安排实施各项防范措施。
B区域
风险发生的可能性
A区域
C区域
C区域
极高
高
中等
低
极低
极低低中等高极高风险对目标的影响程度
5、风险对策
公司在进行风险分析后,应该根据风险分析结果,结合风险发生的原因选择风险应对方案:
规避风险、接受风险、减少风险或分担风险。
(1)规避风险:
退出产生风险的各种活动。
(2)减少风险:
采取行动减少风险的可能性或降低风险影响程度或两者同时降低。
减少风险一般涉及大量的日常经营决策。
(3)分担风险:
通过将风险转移或者分担部分风险来减少风险的可能性和影响。
常见的方法包括购买保险产品、实施期货的套期保值交易或者将某一活动外包。
(4)接受风险:
不采取任何行动去影响风险的可能性或影响。
风险分析后,确定风险应对方案时,公司应考虑以下因素:
(1)风险应对方案对风险可能性和风险程度的影响,风险应对方案是否与公司的风险容忍度一致。
(2)对方案的成本与收益比较。
(3)对方案中可能的机遇与相关的风险进行比较。
(4)充分考虑多种风险应对方案的组合。
四、公司层面的风险评估
1、职责分工
公司层面的风险评估由公司内控项目组牵头,公司相关管理部门(如人力资源部、生产部、总经办、技术发展部、计质监控部、财务部、原料部、供应部、营销部、期货部、法律事务部等)分别按照各自的职责范围,配合内控项目组开展公司层面的风险评估。
2、公司层面的风险评估基本程序和步骤
(1)内控项目组提出公司层面的风险数据库草案,完成公司层面风险的初步识别。
(2)公司相关管理部门根据内控项目组提出的风险数据库草案,按照各自的职责分工范围,结合公司经营管理现状和公司面临的内外部诸多因素,对公司层面风险数据库进行修改、完善,完成公司层面风险的识别。
(3)内控项目组和相关管理部门分别对公司层面的风险进行分析(包括可能性和影响程度两方面)。
(4)确定公司层面风险的反应方案。
在对公司层面的风险进行分析后,由内控项目组和相关管理部门共同参与,逐项确定相关风险的反应方案(规避风险、接受风险、减少风险或分担风险)。
在评估过程中,内控项目组和相关管理部门可以向公司外部单位和人员进行咨询。
(5)内控项目组综合相关管理部门的意见,形成公司层面风险数据库。
3、公司层面的风险评估关注的主要因素
公司层面的风险评估,主要从公司整体角度出发,从公司外部和内部两个方面,关注影响公司战略目标实现、具有全局性等方面的因素。
(1)外部因素主要包括:
①技术发展和进步。
②行业特性与不断变化的市场需求。
③外部竞争。
④新的法律和法规。
⑤自然灾害。
⑥外部融资。
(2)内部因素主要包括:
①信息系统运行的中断。
②员工的素质和培训、激励的方法。
③公司治理结构对企业发展的适应性,管理层职责。
④企业经营活动的性质以及员工对资产的接触途径。
五、财务风险评估
按照公司内控分阶段建设计划,财务风险评估是现阶段公司在业务层面风险评估优先开展的工作。
1、财务风险的范围
财务风险包括:
财务报告失真风险、资产安全受到威胁风险和舞弊风险。
(1)财务报告失真风险。
没有完全按照相关会计准则、会计制度的规定组织会计核算和编制财务会计报告,没有按规定披露相关信息,导致财务会计报告和信息披露不完整、不准确、不及时。
账实账表不符、资产和负债不真实、虚假利润等。
(2)资产安全受到威胁风险。
没有建立或实施相关资产管理制度,导致公司的资产如设备、存货、有价证券和其他资产的使用价值和变现能力的降低或消失。
货币资金被挪用、存货毁损被盗、未经授权的资产处置等。
六、风险数据库的维护与更新
风险评估是一个长期的、循环往复的过程,在实际经营管理工作中,公司业务管理部门应向同级风险管理部门反馈风险管理情况,对于新增风险或新增业务发生的风险要及时通报。
公司内控项目组定期对(一般在每年的一季度)风险数据库进行维护与更新。
风险数据库的维护与更新应重点关注下列事项的发生:
1、公司绩效与既定目标发生重大的偏离。
2、经营环境的重大变化。
3、组织结构的重大变化或公司重大资产重组。
4、经营范围扩大和经营规模的快速增长。
5、高风险业务的开展。
6、新的或经修订的信息系统。
7、新技术、新产品的出现。
七、其他未尽事宜,逐步完善。
内控项目建设委员会
二〇〇七年八月二十四日
7
升级会员 