《企业内部控制基本规范解读及应用指南》第七讲.docx
《《企业内部控制基本规范解读及应用指南》第七讲.docx》由会员分享,可在线阅读,更多相关《《企业内部控制基本规范解读及应用指南》第七讲.docx(14页珍藏版)》请在冰点文库上搜索。
《企业内部控制基本规范解读及应用指南》第七讲
《企业内部控制基本规范解读及应用指南》第七讲
《企业内部控制基本规范解读及应用指南》第七讲
第七讲 基本规范解读、实施与操作(风险评估1)
7.1风险评估
7.1.1风险评估
1.风险
(1)风险的定义
对风险的理解,择代表性的观点如下:
观点1:
根据《韦氏新国际大辞典》(WileyPublishing第三版)的解释,风险(Risk)有两层含义:
其一,易变化的特性或状态,缺乏肯定性,即具有不确定性(Uncertainty);其二,具有无常的、含糊的或未知性质的事物。
观点2:
《辞海》(上海辞书出版社1989)的解释,风险是人们在生产建设和日常生活中遭遇可能导致人身伤亡、财产受损及其他经济损失的自然灾害、意外事故和其他不测事件的可能性。
观点3:
小阿瑟·威廉姆斯,理查德·M·汉斯将风险定义为,在给定情况下和特定时间内,那些可能发生的结果间的差异。
这种差异越大,风险就越大。
观点4:
风险“指特定客观情况下,特定期间内,某一结果(Outcome)发生之可能差异程度而言,亦即指实际结果与预期结果之变动程度而言,变动程度越大,风险却越大;反之,则越小”。
观点5:
风险是指某一不利事件将会发生的概率。
观点6:
风险是引起损失的不确定性。
观点7:
风险是指人们在事先能够肯定采取某种行动所有可能的后果,以及每种后果出现的可能性的状况。
观点8:
风险是对企业目标实现有不利影响的某一事件发生的可能性。
不同的看法,都基于不同的理解、在不同程度上对风险的含义作了阐述。
其共性在于它们都将风险与事件的结果及其发生的可能性联系起来。
笔者通过分析认为:
①风险既可能使出现的结果好于预期目标,也可能差于预期目标。
风险是由于未来事项的不确定性导致一个组织或机构发生不利事件,并使其遭受损失的可能性。
②风险特征是风险本质及其发生规律的表现。
一般风险具有以下特征:
不确定性。
客观条件的不断变化以及人们对未来环境认识的不充分性,导致人们对未来事件结果不能完全确定。
风险是各种不确定因素的伴随物。
不确定性决定了风险的特定出现只是一种可能,这种可能要变为现实还有赖于相关条件。
概率可预测性。
风险是由各种不确定性因素综合作用的结果,但人们可以通过经验和历史数据的分析来判断不确定性发生的概率。
概率可预测性为风险控制提供了量化的依据。
决策相关性。
风险的发生是与行为决策密切相关的,不同的决策导致不同的策略行为和管理手段,从而导致不同的风险结果。
③明确风险定义需要明确的关键
风险是指在一定的客观情形之下,在某一特定期间内,那些可能发生的结果之间的差异。
显然,这种差异是实际结果与预期结果的变动程度。
所谓风险大,就是指这种变动程度大;风险小,就是指这种变动程度小。
基本规范涉及的风险是指对实现内部控制目标可能产生负面影响的不确定性因素。
因此,在这个概念的界定上,需要明确内部控制目标和不确定因素两个关键词。
第一,内部控制的目标
内部控制有三大主要目标,即运营的效率和效果、财务报告的可靠性以及法律法规的遵循性。
内部环境、风险评估、控制措施、信息与沟通以及监督检查均服务于三大目标。
对于经营的效率和效果而言,这是一个公司基本的业务目标,包括业绩和盈利目标以及资产的保护,它们因管理者对结构和业绩的选择而异;可靠的财务报告与公认会计准则编制的财务报表以及相关陈述有关,所以会涉及财务和非财务信息;同时,遵循相关的法律法规,公司可以避免对其名誉造成损害或者遭受其他不利后果。
经营的效率和效果及报告的目标更多地建立在偏好、判断和管理风格的基础上。
它们在不同的主体之间存在着很大的区别,因为不同的主体可能会选择不同的目标。
所以,对所有主体而言,都是最优的目标模式是不存在的。
第二,不确定性
所谓不确定性,即当风险存在时,至少存在两种可能的结果,只是我们面对风险时无法知道哪种结果将出现。
不确定性分为主观上的不确定和客观上的不确定。
主观上的不确定。
不确定性,大多定义为基于对未来会发生或不会发生什么事情的情况缺乏认识、产生怀疑的思维状态。
不确定性是一种对于未来将发生的事情的简单心理反应。
当风险存在时,就产生了不确定性。
而这种不确定性往往是主观的,与实际情形不相符合。
客观上的不确定。
客观上的不确定有两个层次的含义:
首先,不确定的客观存在性。
如果不确定性是由一些偶然因素导致的结果,那么其存在就具有了客观性。
举一个简单的例子,当我们将两个球(一个红色一个白色)放置在一个袋子中,从袋子中随意取出一球,那么是红是白的概率均为50%。
(2)风险的分类
企业风险是普遍存在的,企业风险有以下几种分类方法:
①按风险形成的原因,可将风险分为自然风险、市场风险、制度风险、技术风险
自然风险,是指自然环境的各种变化作用于企业的生产经营活动,从而使企业的预期收益、扩张目标无法实现的可能性。
如风灾、旱涝等自然灾害为企业(特别是农业企业)经营、规模扩张带来很大的不确定性因素。
市场风险,是指市场因素、市场环境、价格因素的变化作用于企业的生产经营活动,而使企业既定的扩张目标、财务目标无法实现的可能性。
引起市场风险的主要原因:
第一是经济周期的波动。
第二是通货膨胀。
第三是利率和汇率的变动。
利率的变动会给利息收支及资本市场价值带来不确定性,从而使企业的筹资成本和收益不确定。
汇率的变动则会给企业的国外筹资和投资、国际贸易等各项活动带来风险。
此外,商业欺诈行为也会加大市场风险。
制度风险,是制度(或政策)在变革或实施过程中,由于其结果的不可预见性,使制度(或政策)的实际收益与预期收益发生背离的可能性。
技术风险,是指企业由于研究、开发、应用新技术,而使其实际收益与预期收益发生背离的可能性。
技术作为一个内生变量在经济发展中的作用被理论和实践一再地证实。
但是,技术的研发、应用也具有一定的风险,主要是技术开发风险和技术应用风险。
②按风险能否分散,可将风险分为系统性风险和非系统性风险
系统性风险,是一种不可分散的风险,它是指由于政治、经济及社会环境等企业外部环境某些因素的不确定性而造成的对企业扩张行为的风险。
系统性风险的特征是由共同的因素导致的,如通货膨胀、利率和汇率的变动、国家宏观经济政策变化、战争冲突、政权更替、所有制改造、经济周期等等,而且这些因素都是个别企业无法控制的,会给企业扩张带来较大的影响。
非系统性风险,是一种可分散的风险,它是指由于经营失误、消费者偏好改变、劳资纠纷、工人罢工、新产品试制失败等因素影响产生的个别企业扩张行为的风险。
非系统性风险的特点是它只发生在个别企业中,由单个的特殊因素所引起的,由于这些因素的发生是随机的,因此可以通过多样化投资来分散,也就是说,发生于某一企业的不利可以被其他企业的有利因素所抵消。
非系统性风险包括行业风险、经营风险、财务风险等。
③按风险管理科学对风险的分类,企业风险可以划分为市场风险、产品风险、经营风险等等十二种风险
表3-1
企业风险分类表(按风险管理科学对风险的分类)
风险类别
基本涵义
市场风险
市场风险是指因市场突变、人为分割、竞争加剧、通货膨胀或紧缩、消费者购买力下降、原料采购供应等事先未预测到的因素,导致市场份额急剧下降,或出现反倾销、反垄断指控的风险等。
产品风险
产品风险是指因企业新产品、服务品种开发不对路,产品有质量和缺陷问题,产品陈旧,或更新换代不及时等导致的风险。
经营风险
经营风险是指由于企业内部管理混乱、股东撤资、资产负债率高、资金流转困难、三角债困扰、资金回笼慢、资产沉淀等,造成企业经营业绩不佳、资不抵债或亏损的困境等风险。
投资风险
投资风险是指由于各类投资项目论证不力、收益低下亏损、股东间不合作或环境变化导致项目失败或达不到预期目的的风险。
外汇风险
外汇风险是指因外汇汇率波动而使以外币计价的企业资产与负债价值上涨或下降的风险。
人事风险
人事风险是指由于企业对董事、监事、经理和管理人员任用不当,无充分授权,或精英人才流失,无合格员工,员工多数或者集体辞职等造成损失的风险。
体制风险
体制风险是指企业因选择企业制度、法人治理结构、组织体系、激励机制等不当而导致运作困难或内耗增大,使公司高管任期届满后面临解散清算的风险。
购并风险
购并风险是指由于企业的股权发生变化或转移,而引起善意或恶意的收购和企业间的合并等风险。
自然灾害风险
自然灾害风险是指因自然环境恶化、地震、洪水、火灾、台风、暴雨、沙暴、雪暴、天文异变、地质(地基)变动等造成损失的风险。
公关危机
公关危机是指企业因多种原因,如产品质量不合格、劳资纠纷、法律纠纷、重大事故案被公众媒体曝光,而使企业公信力和美誉急剧下降的风险。
政策风险
政策风险是指因政府法律、法规、政策、管理体制、规划的变动,税率、利率变化或行业专项整治,加入世贸组织、双边或多边贸易摩擦等造成影响的风险。
外交风险
外交风险是指由于本国与其他国家之间政治、外交关系的恶化,导致正常经贸和技术合作的中断或终止的风险。
④按影响环节分类
根据企业风险的定义:
“企业风险是指由于各种不确定性因素的存在,而使企业生产经营活动的未来实际结果与企业预期目标不一致的可能性。
”这里的可能性大小主要受到决策和执行两个重要环节的影响,因此,企业风险可分为决策风险与执行风险。
决策风险,决策风险是指由于决策失误原因所引起的,而使企业预期目标不能实现的可能性。
而决策和风险是联系在一起的,只要某种活动的未来结果有两种或两种以上,就存在风险。
企业在进行决策(规模扩张决策)时,面对自然和经济规律的不规则性、经营环境的复杂性,不可能完全准确地预计经营活动的变化,因而做出完全正确的决策是非常困难的,若信息略有偏误,决策略有偏差,就有可能招致风险。
例如,史玉柱和巨人集团的致命失误就是盲目决策,结果是公司发展方向失误,不仅丧失大好发展前程,而且引发财务危机,被巨人大厦拖垮。
执行风险,是指企业的经营决策在执行过程中发生偏差,而使企业预期目标不能实现的可能性。
执行风险与执行能力相联系,执行能力是企业各种能力的集合,如组织能力、市场开拓能力、管理能力等。
一个执行能力较弱的企业,即使其决策再正确,也存在预期目标不能如期实现的风险。
(3)风险的特征
风险具有三个明显的特征:
偶然性、可变性和客观性。
2.风险评估
(1)风险评估概述
不同的企业、同一企业的不同时期以及同一企业内部不同的内部环境、外部环境、业务层面和工作环节,都可能面临不同的风险,企业应当有针对性地开展风险评估。
风险评估,是及时识别、科学分析影响企业内部控制目标实现的各种不确定因素同时采取应对策略的过程。
要对识别的风险进行分析,以便形成确定如何对它们进行管理的依据。
风险与可能被影响的目标相关联。
既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
风险评估的主要任务有以下几点:
识别企业面临的各种风险;评估风险概率和可能带来的负面影响;确定组织承受风险的能力;确定风险消减和控制的优先等级;推荐风险消减对策,适时调整应对策略。
(2)风险评估方法
不论采用何种方法来进行风险评估,无论是基于固有风险还是剩余风险的评估,都主要从损失频率(可能性)以及损失程度(影响)两个方面进行。
①损失频率的评估
对损失频率的测定可以估算某一风险单位因为某种损失原因而受损的概率,具体方法有定性分级和概率测算两种。
②损失程度的评估
损失程度衡量是公司风险衡量中重要的部分。
损失程度指每次损失可能的规模,即损失金额大小。
损失程度衡量实际上就是对损失的严重性进行估算。
(3)实际评估技术
不同类型的风险具有自己的特征,因此要使用不同的测量方式。
实际评估技术有概率统计方法、敏感度分析、行业杠杆比较法、情景分析法、风险指标分析法等。
①概率统计方法
第一,概率
在经济活动中,某一事件在相同的条件下可能发生也可能不发生,这种事件称为随机事件。
概率就是用来表示随机事件发生可能性大小的数值。
通常,把必然发生的事件的概率定为1,把不可能发生的事件的概率定为0,一般随机事件的概率是介于0与1之间的一个数。
一般,概率越大就表示该事件发生的可能性越大。
期望值(均值)
随机变量的各个取值,以相应的概率为权数的加权平均数,即是随机变量的预期值(均值),它反映的是随机变量取值的平均化。
式中:
E(R)一一随机变量的期望值;
i——随机变量的序数i=1,2,3,…n;
R——随机变量值;
P——随机变量发生的概率。
第二,离散程度
方差和标准差。
表示随机变量离散程度的量数,最常用的就是方差和标准差。
方差、标准差反映了各种可能结果对期望水平的偏离程度。
方差σ2(或标准差σ)衡量风险的思路是以各期收益的波动性(与均值的偏差)大小来代表风险。
方差σ2(或标准差σ)衡量风险的思路是以各期收益的波动性(与均值的偏差)大小来代表风险。
【案例】假设你是一家公司的财务经理,准备进行对外投资,现有甲、乙和丙三家公司可供选择,三家公司的年报酬率及其概率的资料如表所示。
问题:
作为一名稳健的投资者,应投资于期望报酬率较高而风险较低的公司,试通过计算作出选择。
表3-1
甲、乙和丙三家公司投资报酬率一览表
市场状况
发生概率
投资报酬率
甲公司
乙公司
丙公司
繁荣
0.3
40%
50%
60%
一般
0.5
20%
20%
20%
衰退
0.2
0
-15%
-30%
首先,计算三家公司的期望报酬率。
甲公司
乙公司
丙公司
因为三个公司的期望报酬率相同,因此可利用标准离差衡量风险大小
其次,计算各公司期望报酬率的标准离差
从以上计算可知,三家公司的期望报酬率都为22%,但甲公司的标准离差最小,说明甲公司的风险同时也最低,作为一个稳健的投资者,应投资于甲公司。
第三,概率分布
概率论中的分布理论可以有效地刻画风险事件。
概率分布根据变量的性质可划分为离散型随机变量的概率分布和连续性随机变量的概率分市两种。
其中二项分布和泊松分布是最常用的离散型分布,正态分布和指数分布是最常用的连续性分布。
②行业杠杆比较法
行业标杆比较法是通过将本企业与可比较企业某些具体领域的做法、指标结果等作定量的比较,来寻找差距。
设定基准的方法相当于行业标杆比较法。
一些公司适用设定基准技术从可能性和影响方面来评价一个特定的风险,从而使管理当局寻求提高其风险应对决策以降低可能性或影响。
基准数据能使管理当局根据其他组织的经验了解风险的可能性或影响。
③敏感度分析
敏感度分析是指在合理范围内,通过改变输入参数的数值来观察并分析相应输出结果的分析模式。
敏感性分析用来评价潜在事项的正常或日常变化的影响。
由于计算相对容易,敏感性度量方法又是用来补充概率的方法。
通过敏感度定量分析,可以帮助公司明确自身对相关风险的接受程度。
④风险价值法
风险价值(VAR)法是在风险管理领域应用颇为广泛的风险定量分析方法。
所谓风险价值,是指市场正常波动下,在一定的概率水平下,某一投资组合在未来特定期间内在给定的置信水平下面临的最大可能损失。
所谓风险值,是指在既定容忍水平下,市场最坏时投资组合最大的不可预期损失。
它是综合市场风险、信用风险、利率风险与外汇风险等财务风险于一体的统一性标尺。
VAR可以应用在不同的风险项目而且能保持量度的稳定性和一致性,令不同项目的风险都可以直接比较。
采用VAR量度自然分布的数据时,VAR依赖两个重要的数值:
量度的时段和选取的信心水平。
虽然不同的量度标准下VAR的数值会有差别,但是可以通过公式换算将不同的标准相互转换。
比较VAR量度的结果需要同一标准,缺乏共同标准会使比较没有意义,而且会带来错误的结果。
⑤情景分析法
情景分析法是一种自上而下“如果——什么”的分析方法,可以计量某事件或事件组合对企业将会产生的影响。
它通过想象、联想和猜想来构思和描绘未来可能的情况,从而为指定风险应对策略提供支持。
情景分析的主要程序是:
确定分析的主题、明确分析的范围;
建立风险数据库,并将风险按其对主题的影响进行分类;
构思风险各种可能的未来图景;
设想一些突发事件,看其对未来情景可能的影响;
描述到未来各种状态的发展演变途径。
在适用情景分析的过程中应明确以下三点:
因变量:
所关注的目标是什么。
自变量:
影响该目标的风险因素,该风险因素的波动范围和发生的概率,风险因素之间的关系,在分析中应该尽量避免强相关关系的存在。
因变量和自变量之间的关系:
该风险是如何影响目标的实现的,其变动对 目标的变动方向与程度如何。
情景分析是评估一个或多个事项的目标的影响。
情景分析可以结合经营连续性计划、估计系统故障或网络故障的影响来适用,它反映对经营的全面影响。
⑥压力测试法
压力测试法,是情景分析的一种形式,专门用于特定的风险因子,是指在极端情景下,分析评估风险管理模型或内控流程的有效性,发现问题,制定改进措施的方法,目的是防止出现重大损失事件。
⑦风险指标分析法
风险指标,是用具体的数值来表示风险程度的方法,最常用的是道氏火灾与爆炸指数(即道指)。
其基本原理是衡量损失可能性并以数值表示出来,用于比较并对每年的变化进行管理。
风险指标,是设计用来及时给出有关风险状况变动的信息,以便让管理层采取适当的行动去转移风险。
一项风险事件的发生可能有多种成因,但关键成因往往只有几种。
关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。
该方法既可以管理单项风险的多个关键成因指标,也可以管理影响企业主要目标的多个主要风险。
使用该方法,要求风险关键成因分析准确,且易量化、易统计、易跟踪监测。
⑧蒙特卡罗方法
蒙特卡罗方法用来分析评估风险发生可能性、风险的成因、风险造成的损失或带来的机会等变量在未来变化的概率分布。
正态分布是蒙特卡罗方法中适用最广泛的一类模型。
一般,如果一个变量受到很多相互独立的随机因素的影响,而其中每一个因素的影响都很小,则该变量服从正态分布。
描述正态分布需要两个特征值:
均值和标准差。
⑨风险级别分析法
风险级别提供了一种测量和比较金融资产(如债券和股票)风险的参考依据。
作为一种测量手段,它允许对所有类型的金融资产进行比较,以及对世界各地和各种货币的金融资产进行比较。
一个金融资产或一组资产组合的风险时时都在变化,而风险级别是通过测量它们的回报率波动来测量它们的风险。
波动越大,风险级别越高。
金融资产的风险级别因此使这些资产的回报波动和国际投资组合的回报波动进行比较。
这表明了一个事实:
债券的回报率波动通常要低于股票的回报率波动。
⑩风险坐标图分析法
风险坐标图是把风险发生可能性的高低、风险发生后对目标的影响程度,作为两个维度绘制在同一个平面上(即绘制成直角坐标系)。
对风险发生可能性的高低、风险对目标影响程度的评估有定性、定量等方法。
7.1.2控制目标
1.基本规范规定
基本规范第二十条规定“企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。
”
2.基本规范解读
从第二十条可以指出,目标设定是进行其他程序的前提。
在管理当局识别和分析风险并采取行动来管理风险之前,首先必须有目标。
目标是有层级的,可以分为战略目标和具体目标。
(1)战略目标
战略目标明确了企业存在的意义和价值,所以管理当局设定战略目标,进行战略规划,并为组织确定具体目标。
尽管一个企业战略目标一般是稳定的,但是它的具体目标却是动态的。
具体目标会随着内部和外部条件的变化而重新调整,以便和战略目标相协调。
作为高层次的目标,战略目标反映了管理当局就企业如何努力创造价值所做出的选择。
在考虑战略目标的备选时,管理当局要识别与一系列战略选择相关联的风险,并考虑它们的影响。
通常情况下,企业希望以最小的风险管理成本获得最大的安全保障,从而实现企业价值最大化。
这里的成本,是指企业各项资源的投入,包括了人、财、物以及放弃收益的机会成本。
从人的方面来讲,包括聘请有关技术人员、配备专职风险管理人员、建立风险管理机构等;从物的角度出发,有为预防和减少可能出现的风险损失而配置的必要的技术和设施等;从财的角度来讲,除了与人力、物力直接相关的投入以外,还有对风险进行财务处理的支出,诸如借款利息支出等等。
(2)具体目标
具体目标大致可分为三类:
①经营目标
经营目标与企业经营的有效性相关,设立经营目标的目的在于在推动主体实现最终目标的过程中提高经营的有效性和效率。
经营目标需要反映主体所处的特定的经营、行业和经济环境。
②财务报告目标
一份可靠的财务报告为管理者提供适合既定目标的准确而完整的信息。
它支持管理者的决策并对主体活动进行监控,包括生产质量、员工与客户满意度结果、市场营销计划的成果等等。
其中对外的报告还涉及财务报表和报表附注、管理当局的讨论和分析以及向监督机构提交的报告等。
③合规性目标
法律和法规确定了最低的行为准则,企业从事活动必须符合相关的法律和法规,同时企业的合规记录可能会对它在市场和社会上的声誉产生极大的正面或负面影响。
恰当的目标设定过程是至关重要的环节。
尽管目标为企业从事活动提供了可计量的标准,但是它们的重要性和优先程度各不相同。
所以,企业应该合理保证实现特定的目标,并不是对所有的目标而言。
应当确保战略目标、具体目标和企业的风险容量相一致,不合适的目标会使企业承受太多不必要的风险,或者风险过小影响到了企业的经营状况。
【案例】大德公司的风险评估
风险评估是及时识别、系统分析经营活动中与实现内部控制目标相关的各种不确定因素并制定应对策略的过程。
(1)大德公司根据设定的控制目标,全面系统持续地收集相关信息,识别与实现控制目标相关的内部风险和外部风险,结合实际情况确定相应的风险承受度,及时进行风险评估。
(2)大德公司可能面临的内部风险因素包括但不限于:
董事、监事、总裁及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
组织机构、经营方式、资产管理、业务流程等管理因素。
研究开发、技术投入、信息技术运用等自主创新因素。
财务状况、经营成果、现金流量等财务因素。
运营安全、员工健康、环境保护等安全环保因素。
其他有关内部风险因素。
(3)大德公司可能面临的外部风险因素包括但不限于:
经济形势、融资环境、资源供给、国内及国际同行的竞争、政府行业监管政策变动、国际原油价格波动、石油和石化市场周期性变化等经济因素。
法律法规、监管要求等法律因素。
安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
技术进步、工艺改进等科学技术因素。
自然灾害、环境状况等自然环境因素。
其他有关外部风险因素。
(4)大德公司建立适当的风险评估机制。
总部各职能部门、各事业部和各分(子)公司针对各业务流程,配备专门部门或负责人定期分析及记录潜在风险的变化。
根据风险分析
升级会员 