第二节 风险评估

一、风险评估概述

（一）风险的概念

“风险”一词来自意大利语“rischio”，主要是指冒险。风险因不同原因而异，对风险的理解也应该是相对的，因为它既可以是积极的概念，也可以是消极的概念，一方面是可能性、不可预测性和偶然性，另一方面，它们也与危险、损失和破坏相互结合。

通过对风险的不同理解可以得出，风险由两个相互结合的因素构成，一个是这种风险发生的可能性，另一个是事件发生后产生的后果。

（二）风险的分类

风险分为非系统风险和系统风险两类，其中，非系统风险又可以分为经营风险和财务风险。非系统风险也被称为企业风险或不可分割风险，这种风险可以通过证券投资组合来分散，最终可以通过增加集团内的资产数量来进行清算。经营风险是指由于企业生产活动而对企业原定目标产生不好影响的可能性。财务风险也被称为金融风险，因为金融风险是通过偿还债务情况对企业目标的潜在影响的反应，这种风险影响范围很广，可能对所有资产的风险或多或少有作用，但是无法通过资产组合来消除。而系统风险的影响因素包括宏观经济形势的变化、国家经济政策的变化、税收改革、企业会计准则的改革、世界能源状况、政治因素等。

如果细致地划分，还可以按照风险产生原因，将风险分为政治风险、社会风险、经济风险、自然风险、技术风险；按照风险来源，将风险分为内部风险、外部风险；按照经营活动，将风险分为人力资源风险、财务风险、市场风险、审计风险、信息披露风险；按照风险的后果，将风险分为纯风险、投机风险；按照影响范围，将风险分为基本风险、特殊风险等。

（三）风险评估的概念

企业在生产经营活动中，面临着诸多风险，如果没有妥善处理好这些风险，就可能给企业带来不同程度的损失。风险评估就是对某一事件或事物带来的影响或损失的可能程度进行量化测评。按照《企业内部控制基本规范》中的定义，风险评估是指单位及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略。它是实施内部控制的重要环节。

在风险评估过程中，企业需要考虑目标设定、风险识别、风险分析和风险应对四个方面，首先，确定保护的对象或者资产，明确它们的直接和间接价值，识别企业资产可能面临的潜在威胁，分析导致威胁的原因及威胁发生的可能性、资产中存在的可能会被威胁所利用的弱点等。其次，一旦威胁事件发生，企业会遭受怎样的损失或者面临怎样的负面影响。最后，企业应该采取怎样的安全措施才能将风险带来的损失降到最低程度。

二、目标设定

《企业内部控制基本规范》第二十条规定，企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。

风险评估的先决条件是组织各个层级的目标的确立。管理层应根据既有的战略目标制定相关的业务经营目标、财务报告目标、合规目标，以及资产安全与完整性目标，明确相应的具体目标，以便识别和分析相关的风险。管理层也要考虑这些目标对于组织的可持续性。

目标设定是企业风险评估的起点，也是风险识别、风险分析和风险应对的前提。企业应当根据设定的目标，合理地确定企业整体风险承受能力和具体业务层次上的可接受的风险水平，并努力将风险控制在这个水平范围内。而目标设定是否科学、有效，取决于它是否符合企业的风险偏好和风险承受度。

（一）风险偏好

风险偏好是指企业在实现其目标的过程中愿意接受的风险水平。可以从定性和定量两个角度对风险偏好加以度量。

（二）风险承受度

风险承受度是指企业在目标实现的过程中对差异的可承受风险限度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可接受水平，也被称作风险承受能力。风险承受度包括整体风险承受能力和业务层面的可接受风险水平。

三、风险识别

风险识别是指对企业面临的尚未发生的潜在的各种风险进行系统的归类分析，并对风险性质进行鉴定的过程。

（一）风险识别的特征

（1）风险识别是一个重复的过程。风险识别需要针对企业内外部环境的变化而持续进行，是一个动态的过程。随着主体活动的增加，新的风险也会不断出现，这需要企业时刻保持警惕，识别企业当前或未来所面临和潜在的风险。

（2）风险识别是一个复杂、全面的过程。风险识别过程不可能局限在某一部门或某一个环节，因此这需要企业自上而下各个部门全面参与并积极配合。不同层次的员工看待同一项风险的角度不同，他们所感受到的风险水平并不相同，因此对企业风险进行评估必须是一个全面系统的过程。

（3）风险识别是一个科学系统的过程。企业在进行风险识别时，可以采取座谈讨论、问卷调查、案例分析、咨询专业机构的意见等方法，科学地识别相关的风险因素，并注意总结、吸取企业过去的经验教训和同行业的经验教训，加强对高危性、多发性风险的关注。在充分调研和科学分析的基础上，企业应准确识别影响内部控制目标实现的内部风险因素和外部风险因素（见表2-1）。

（二）风险识别的方法

目前使用频繁的风险识别方法都是从宏观和微观两个角度出发，具体的方法在实际应用过程中应当交互使用。以下是一些具体的识别方法。

（1）风险因素分析法。风险因素分析法是对可能导致风险的因素进行分析，从而确定风险发生概率低的风险评估方法。总体思路是：调查风险源→确定风险转化条件→确定是否具备转换条件→评估风险影响→评估风险。

（2）内部控制评价法。内部控制评价法是通过对企业内部控制结构的评价，确定内部风险的方法之一。

（3）分析性复核法。分析性复核是注册会计师对被审计单位的基本比率或趋势进行分析，包括调查反常的变化以及重要比率或趋势与预期金额和相关信息之间的差异，以推断会计报表中是否存在重大错报或漏报的可能性。最常用的方法有比较分析法、比率分析法、趋势分析法。

（4）定性风险评价法。定性风险评价法是通过观测、调查和分析，能够对审计风险进行评估，并借助注册会计师的经验、专业标准和司法判决进行定性评估的方法。它具有简单有效的优点，可以评估各种审计风险。主要方法包括观察法、调查法、逻辑分析法、类似估计法。

（5）风险率风险评价法。其基本思路是先计算风险发生率，然后与风险安全指标进行比较，如果风险发生率高于风险安全指标，则系统处于风险状态，两个数据相差越大则风险越大。风险安全指标能够考虑到已经确定了科学技术水平、社会经济条件、法律和心理因素等最低限度的公认风险。而风险率风险评价法可用于会计服务，也可用于注册会计师行业的风险管理。

四、风险分析

在风险识别的基础上，企业应当根据实际情况，针对不同的风险类别确定科学合理的定性、定量分析标准。根据风险识别的结果，依据风险的重要性水平，运用专业判断，采用定性与定量相结合的方法，按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序，确定应当重点关注和优先控制的风险。

五、风险应对

企业应当根据风险分析的结果，结合风险承受度，综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，进而实现对风险的有效控制。

（1）风险规避。风险规避是指企业对超出整体风险承受能力或者具体业务层次上的可接受风险水平的风险，通过放弃或者停止与该风险相关的业务活动，以避免和减轻损失的策略。风险规避是四种风险应对策略中最为简单也最为消极的一种策略。它是通过远离风险源和潜在风险来规避风险，虽然规避了风险，但某种程度上也规避了潜在的获得收益的可能性。此外，在采取此策略的同时还应该考虑企业规避风险所花费的成本。

（2）风险降低。风险降低是指企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意单独采取进一步的控制措施以降低风险、提高收益或者减轻损失的策略。风险降低策略可以积极改善风险的特性，使风险可以被企业接受，同时又不丧失获得收益的机会。常见的风险降低途径有预防风险和减少风险两种，主要是通过与预防措施、控制措施和补救措施相衔接，实现事前、事中和事后的风险降低。

（3）风险分担。企业通过对风险的分析、评估，确定风险类别及危害，进而确定合作主体，以便风险发生时共同抵御。常见的合作主体有投资者之间、投资者与创业投资家之间、创业投资家内部、创业投资公司之间、创业投资家与创业企业家之间、创业企业家内部、外部机构与各创业投资主体之间等。分担风险的合作主体按照约定的合同条款，在风险发生时，分别履行各自的义务，共同承担风险，从而实现风险的现实分担。

（4）风险承受。风险承受是指企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后不准备采取进一步控制措施的，可以自行进行风险承担。

风险应对策略的制定是一个持续、连续的过程，应该与企业的具体业务或者事项相联系，针对不同的业务、不同的发展阶段，持续收集与风险变化相关的各种信息，定期或者不定期地开展风险评估，及时调整风险应对策略。