風險是普遍存在的，任何經(jīng)濟組織，不論其規(guī)模、結(jié)構(gòu)、性質(zhì)或產(chǎn)業(yè)如何，其運營及組織內(nèi)的不同層級都會面臨來自內(nèi)部或外部的不同風險。風險影響著每個經(jīng)濟單位的生存能力和競爭能力，影響著它們維持自己財務(wù)方面的穩(wěn)固、正面的公共形象，也影響著它們的產(chǎn)品、服務(wù)及員工的整體品質(zhì)。風險與經(jīng)濟組織的運營相隨相伴。管理者永遠不可能消除風險，因為管理者的每一決策本身即蘊含著風險。管理者能夠做到的是建立有效的風險管理機制，將風險控制在一個合理的水平。

         第一節(jié) 風險的概念和風險管理的重要性

  理解風險的概念和風險管理的重要性是有效進行風險管理的前提，本節(jié)將從風險概念的起源談起，介紹風險的概念和風險管理的重要性。

 一、風險的一般概念

 風險是無時不在的，但人們對風險和風險管理的認識卻是隨著社會的進步和經(jīng)濟的發(fā)展而日漸成熟的。

  風險的概念起源于意大利，十七世紀由法國傳人英國，十九世紀早期傳人美國。風險在英文詞典中的定義是“遭受損失或傷害的機會或可能性”。換句話說，每次當我們所進行的活動可能使我們遭受損失時，我們就面臨某種程度的風險。風險是高還是低，取決于預(yù)計的損失的大小和發(fā)生損失的可能性。如果預(yù)計損失很小或者發(fā)生損失的可能性微乎其微，風險就很低。

  國際內(nèi)部審計師協(xié)會對風險的定義是：風險是發(fā)生某種影響目標完成的事件的不確定性。風險的大小可用該事件的后果和可能性來計量。因此，在有可能發(fā)生使企事業(yè)單位的經(jīng)營目標不能實現(xiàn)的事件時，就存在著經(jīng)營風險。比如，如果企業(yè)銷售采用的是賒銷方式，在審核銷售收入的風險時，只有在預(yù)計某個客戶有可能不能如期償付貨款時，該筆銷售收入才有風險。

  風險具有以下特點：

   1．風險的不確定性

  風險不是一定會發(fā)生的損失，只是有可能發(fā)生的損失。必定會發(fā)生的損失，即使還未發(fā)生，也不再是風險，因為結(jié)果已經(jīng)確定。因此，如果某項決定的結(jié)果是確定的，則不論將來的結(jié)果是損失慘重還是收入豐厚，都不再存在風險。所以，某項行為或決定是否有風險，取決于其是否可能帶來損失。比如，投資建廠，將來可能盈利，也可能虧損，這種發(fā)生虧損的可能性就是風險。而購買國債，基本上投資風險為零，因為將來的收益——國債利息收入在購買時已經(jīng)是確定的。

  2．風險的絕對性

  但是，從絕對意義上來說，任何行動的結(jié)果都是不可能事先完全確定的，總有不確定的影響因素存在，可能對預(yù)計的結(jié)果產(chǎn)生不利的影響，因此總是存在某種程度的風險的。從極端的角度考慮，即使是購買國債，也可能由于將來發(fā)生異常事件，比如發(fā)生全國范圍的地震或其他自然災(zāi)害，給國家和人民造成巨大損失，政府可能需要資金救災(zāi)和重建家園，因而降低國債利息支出，使投資者的利息收入比預(yù)期的要低。這種可能性是完全存在的，只是因其發(fā)生的可能性極小，我們在考慮問題時可以忽略不計，因此視同沒有風險。

  3．風險判斷的主觀性

  對于風險的評價也是因人而異的。在某個人看來有極大的風險的情況，可能對于另外一個人來說沒什么風險或者風險極低，因為對于風險的評價取決于評價者對于風險的可能性的估計和對風險的承受能力。比如，對于是否需要簽訂長期的商場租賃合同，有的商家認為很重要，因為他們預(yù)測銷售業(yè)務(wù)將蒸蒸日上，而租金會上漲，業(yè)主將來不同意續(xù)約的可能性極大，如果合同租賃期不夠長，將導致商場被迫中斷經(jīng)營，搬遷出去，這種情況所造成的損失是他們完全不能接受的，因此一定要簽訂長期的租約以作保障。而有些商家則認為他們與業(yè)主的租賃關(guān)系良好，不能續(xù)約的可能性極��；或者即使不能續(xù)約而被迫搬遷所帶來的損失是可以接受的；或者企業(yè)在商業(yè)領(lǐng)域的發(fā)展未必很長久，以后需要續(xù)約的可能性不大，因此，只簽訂了相對較短的租賃期。可見，租賃合同的長短，取決于商家對于未來不能續(xù)約所造成的損失的評價，這種評價基于其對未來的經(jīng)營情況和租賃關(guān)系做出的判斷。

 二、風險管理的意義

 一個單位的經(jīng)營管理活動是有明確的目標的，比如，一般而言，企業(yè)的經(jīng)營活動是為了實現(xiàn)股東價值的最大化，即實現(xiàn)最大的利潤。但是，在企事業(yè)單位的經(jīng)營管理活動中，由于存在各種內(nèi)部和外部的不確定因素，諸如法治環(huán)境、市場競爭、消費者的消費習慣、科技發(fā)展等的變化，使單位的經(jīng)營活動有可能不能達到預(yù)期的目標。比如，政府投資建設(shè)某種通訊設(shè)施，可能還未投入使用，就由于另外一種新技術(shù)的迅速發(fā)展而被淘汰；或者，政府的研究部門進口某套先進的設(shè)備，以外幣定價，可能由于外匯升值超過預(yù)期水平而需要以更多的人民幣兌換支付，超過了預(yù)算；或者，某部分稅法的規(guī)定可能改變，使某些企業(yè)不再享受某些優(yōu)惠政策，導致這些企業(yè)的利潤下降甚至虧損而不能實現(xiàn)預(yù)期的利潤；或者，競爭對手可能采取高薪策略吸引企業(yè)的大批高級技術(shù)人才外流，導致企業(yè)產(chǎn)品的質(zhì)量下降，失去競爭力，影響銷售收入，等等。總之，由于各種不確定因素的影響，企事業(yè)單位的經(jīng)營活動難免存在各種各樣的風險。各個單位必須對各種風險進行分析和控制，及時采取必要的措施以降低風險，才能確保實現(xiàn)經(jīng)營目標。因此，有效地管理各種風險對于企事業(yè)單位實現(xiàn)經(jīng)營目標具有重要意義，這表現(xiàn)在以下方面：

  1．有利于作出正確的決策

  世界經(jīng)濟的全球化發(fā)展，使各國市場日益聯(lián)成一體，一個國家的政治、經(jīng)濟情況的變化就可能影響其他國家的經(jīng)濟，導致經(jīng)營環(huán)境中不確定的因素增加，決策更加復(fù)雜和困難。單位只有建立有效的風險管理機制，充分分析各種風險，才能在變幻莫測的經(jīng)濟環(huán)境中作出正確的決策。比如，一個國家的貨幣貶值或經(jīng)濟政策的調(diào)整，不僅影響國內(nèi)的經(jīng)濟，還勢必直接或間接地影響貿(mào)易伙伴國家的商品進口和出口及其國內(nèi)市場。因此，生產(chǎn)廠家和貿(mào)易公司在分析國內(nèi)外市場對商品的需求時，還要考慮?E率的變化趨勢和其他貿(mào)易伙伴國家的經(jīng)濟政策對國內(nèi)外市場的影響，確定不同情況下的市場銷售策略，并對匯率的變化進行監(jiān)控，才能根據(jù)不同情況及時作出正確的決策。

  2．有利于保護資產(chǎn)的安全與完整

  一個單位的資產(chǎn)包括有形資產(chǎn)、無形資產(chǎn)和人力資源，這些資源的安全和完整是存在風險的。為了保證企業(yè)有足夠的資源進行經(jīng)營生產(chǎn)，實現(xiàn)預(yù)期的利潤，企業(yè)必須采取各種有效的風險控制措施才能保證各項資產(chǎn)的安全。比如，企業(yè)創(chuàng)立的品牌商標，本來是企業(yè)的無形資產(chǎn)，而如果被他人搶先注冊了，企業(yè)則失去了所有權(quán)和使用權(quán)，不再擁有這項資產(chǎn)，也不能再獲得該商標帶來的超額利潤。企業(yè)為了避免這種風險都會及時注冊商標，并監(jiān)控是否有其他企業(yè)仿冒本企業(yè)的商標，侵害本企業(yè)的市場份額和銷售利潤。

   3．有利于實現(xiàn)營運活動的目標

  任何單位的營運活動都可以用“3E”來衡量業(yè)績，“3E”即經(jīng)濟(Economy——產(chǎn)出一定，投人最少)，效率(Efficiency——投入一定，產(chǎn)出最高)和效果(Effectiveness——產(chǎn)品符合要求)，任何一方面可能發(fā)生的損失都是風險，只有做好風險管理，才有可能實現(xiàn)“3E"。企業(yè)追求股東價值最大化、利潤最大化，必須以最有效率的方式進行生產(chǎn)經(jīng)營，才能利用有限的資源獲得盡可能多的利潤。但是，企業(yè)在經(jīng)營管理活動中對資源難免存在因利用不當而浪費的情況、低效使用的情況，不合格產(chǎn)品的返工成本就是一種損失。風險管理，就是要減少或控制這種可能產(chǎn)生損失的因素，比如，采取一定的質(zhì)量管理措施，減少原材料質(zhì)量不合格的風險、降低生產(chǎn)加工質(zhì)量不合格的風險等，以減少產(chǎn)品不合格的風險和返工的成本。

  綜上所述，隨著市場經(jīng)濟的發(fā)展和國內(nèi)外政治、經(jīng)濟環(huán)境的變化，企事業(yè)單位的經(jīng)營管理所面臨的風險因素增加了，而且在不斷變化，任何風險管理方法都不可能監(jiān)控或消除所有的風險。經(jīng)營管理者只有認識到風險管理的重要性，才能通過建立適當?shù)膬?nèi)部控制系統(tǒng)，采用一些風險管理方法，并不斷隨著內(nèi)部、外部風險因素的變化而做調(diào)整。只有這樣，才能減少和控制風險因素的影響，將損失控制在可以承受的范圍內(nèi)，從而實現(xiàn)單位的經(jīng)營管理目標。

           第二節(jié) 風險環(huán)境和風險分類

 一、風險環(huán)境

 任何一個企事業(yè)單位都是在一定的環(huán)境中開展經(jīng)營管理活動的，而這一環(huán)境存在的各種不確定的因素可能使單位不能實現(xiàn)其經(jīng)營目標，這種有風險的經(jīng)營環(huán)境就是單位的風險環(huán)境。外部的法律、政治、經(jīng)濟環(huán)境會給單位帶來風險，內(nèi)部的經(jīng)營管理活動也會產(chǎn)生風險。來自外部的風險主要是法律風險、政治風險和經(jīng)濟風險；來自內(nèi)部的風險主要是單位的戰(zhàn)略風險、財務(wù)風險、營運風險及誠信風險。單位的內(nèi)部風險和外部風險是相關(guān)聯(lián)的，外部的經(jīng)營環(huán)境的變化影響單位的內(nèi)部管理和決策上的風險，單位內(nèi)部管理和決策也會增加或降低外部的風險。建立健全內(nèi)部風險控制系統(tǒng)可以減少外部風險對單位經(jīng)營活動的影響，降低經(jīng)營風險。

 二、外部風險

 外部風險主要有法律風險、政治風險和經(jīng)濟風險。首先是法律風險。從宏觀上說，法律環(huán)境包括法律體系是否健全、法律的強制性和透明度、執(zhí)法的獨立性等。微觀上看，法律環(huán)境包括涉及各種契約關(guān)系、侵權(quán)行為等直接與單位的經(jīng)營活動相關(guān)的明細法律法規(guī)是否明確和完善。如果這些方面不是非常明確，或者經(jīng)常改變，無法預(yù)測，單位的決策面臨的法律風險就會非常大，以前合法的決策會由于法律的改變而變成不合法的，給單位造成巨大損失。比如新環(huán)境保護政策，可能要求企業(yè)必須淘汰原有的設(shè)備，購買新的無污染的設(shè)備，企業(yè)不得不損失已投資的設(shè)備，因此，企業(yè)作決策時必須考慮法律的調(diào)整方向所帶來的風險。政治風險是指社會變革、國家行為、政府的穩(wěn)定性及國有化趨勢等帶來的風險，主要關(guān)系到單位的社會環(huán)境是否長期安全穩(wěn)定。政治環(huán)境如果不穩(wěn)定，單位就必須考慮如何采取措施減少風險損失。比如在兩個國家之間可能發(fā)生戰(zhàn)爭的情況下，貿(mào)易公司為了避免貨物損失，會向保險公司增加投保戰(zhàn)爭險。經(jīng)濟風險包括市場競爭狀況、消費者的消費傾向、電子商務(wù)、總體經(jīng)濟發(fā)展情況等方面的變化帶來的風險。不同的經(jīng)濟環(huán)境，組織機構(gòu)面臨的風險是不同的，經(jīng)營決策也是不同的。比如，企業(yè)在計劃經(jīng)濟條件下的經(jīng)營方式與在完全競爭的自由經(jīng)濟條件下的經(jīng)營方法是完全不一樣的，在經(jīng)濟蕭條時期和經(jīng)濟快速增長時期的增長決策也是不同的。電子商務(wù)的發(fā)展，會使部分消費者從傳統(tǒng)方式經(jīng)營的企業(yè)轉(zhuǎn)向采用網(wǎng)絡(luò)交易的供應(yīng)商。企業(yè)如果不能及時把握新的經(jīng)濟趨勢，了解經(jīng)濟環(huán)境中發(fā)生的變化及變化給企業(yè)帶來的風險，就可能由于無法應(yīng)對沒有預(yù)料到的風險而喪失發(fā)展的機會，甚至破產(chǎn)倒閉。

  法律風險、政治風險和經(jīng)濟風險是相互影響、相互關(guān)聯(lián)的。法律健全穩(wěn)定，政治也會相應(yīng)地比較穩(wěn)定，相對而言市場競爭會公平一些，單位的整體經(jīng)營環(huán)境會清晰二些，決策的可行性、可靠性會高一些。所以，單位在分析外部風險時，要從局部人手，作整體的系統(tǒng)的考慮，才能對外部風險有全面的把握，作出正確的決策。

  三、內(nèi)部風險

  企事業(yè)單位的內(nèi)部風險源自企事業(yè)單位的經(jīng)營業(yè)務(wù)，與外部風險相比，一般來說更容易分析和管理，也比較容易辨識，可以通過一定的控制程序?qū)⑵浣档偷娇梢越邮艿乃�平。首先是�?zhàn)略風險，它包括單位的發(fā)展戰(zhàn)略、市場戰(zhàn)略、投資戰(zhàn)略，品牌戰(zhàn)略等，是單位經(jīng)營管理的宏觀決策，決定單位發(fā)展的方向，如果發(fā)生決策性失誤，可能導致單位遭受不可挽回的損失。比如，有許多企業(yè)在發(fā)展過程中，制定多元化經(jīng)營策略，投資不熟悉的領(lǐng)域，結(jié)果不僅不能收回投資，反而損失了盈利項目的利潤。其次是財務(wù)風險，包括融資風險、利率風險、匯率風險、投資回報率等。企事業(yè)單位的一切經(jīng)營活動都需要資金，財務(wù)上的風險控制不當，也會導致巨大的損失。比如，擴大經(jīng)營規(guī)模需要追加投資，如果不能及時獲得需要的資金，不能按時履行合同，不僅有可能失去擴大市場的時機，還有可能導致合約對方的巨額罰款。另外一個內(nèi)部風險是經(jīng)營風險，如財產(chǎn)損失、信息管理風險、供貨風險、人才流失、物流風險、營運風險等。這些風險是由企事業(yè)單位的經(jīng)營特點決定的。比如，對于零售企業(yè)來說，不能及時采購到保質(zhì)保量、市場所需的商品是企業(yè)的重要風險。而對于傳統(tǒng)生產(chǎn)企業(yè)而言，由于原料采購相對穩(wěn)定，更為重要的風險可能是由于市場的變化而失去銷售訂單，產(chǎn)品銷售不出去。最后，喪失誠信也是企業(yè)的重大風險。企事業(yè)單位的不法行為、舞弊、貪污、不良信用等，都會給單位帶來負面影響，也有可能導致重大損失，例如企業(yè)的某些嚴重違法行為不僅可能導致政府的巨額處罰，還可能被迫停業(yè)整頓或永久關(guān)閉。

  與各種外部風險一樣，單位內(nèi)部的各種風險也是相互作用的，財務(wù)風險、營運風險和喪失誠信的風險都會影響單位的決策，單位在決策上的風險也會增加財務(wù)風險、營運風險和誠信風險。比如，企業(yè)的增長戰(zhàn)略是兼并，那么就相應(yīng)地增加了財務(wù)融資的風險和營運上融合其他企業(yè)的風險。如果財務(wù)不能融通需要的并購資金或者營運上不能成功地經(jīng)營管理被兼并的企業(yè)，都會導致企業(yè)增長目標的失敗。

  四、外部風險與內(nèi)部風險的關(guān)系

  作為一個整體，企事業(yè)單位的經(jīng)營管理活動是在存在著各種風險的內(nèi)部和外部環(huán)境中進行的，單位內(nèi)部和外部的風險都是相互關(guān)聯(lián)、相互作用的，外部的經(jīng)營環(huán)境的變化影響單位的內(nèi)部管理和決策上的風險，單位內(nèi)部的管理和決策也會增加或降低外部的風險，單位的內(nèi)部風險如果控制不當，必然會影響單位的經(jīng)營結(jié)果。因此，企事業(yè)單位必須建立合適的風險管理系統(tǒng)，對這些風險進行分析和控制，才能減少風險的影響，實現(xiàn)其經(jīng)營管理目標。

             第三節(jié) 風險管理的方法

  風險存在于整個單位的經(jīng)營活動中，企事業(yè)單位既要對各項風險進行分別管理，也要對總體風險進行綜合管理。美國國家虛假財務(wù)報告委員會贊助機構(gòu)研究小組(COSO，內(nèi)容介紹見下一章節(jié))對企業(yè)風險管理的定義是：企業(yè)風險管理是由企業(yè)的董事會、管理層和其他人員實施的、從戰(zhàn)略層面開始的、并貫穿整個企業(yè)的一個過程。這個過程的設(shè)計是為了及時識別可能影響企業(yè)的潛在事件并按企業(yè)接受風險的態(tài)度管理風險，為實現(xiàn)企業(yè)目標提供合理的保證。以下介紹風險管理的內(nèi)容和方法。

 一、風險管理的內(nèi)容與方法

 企事業(yè)單位風險管理的目的是為了有效地經(jīng)營、提供可靠的財務(wù)報告、遵守適用法律法規(guī)、實現(xiàn)單位的經(jīng)營目標。企事業(yè)單位風險管理的范圍很廣，包括傳統(tǒng)意義上的對交易、財產(chǎn)和營運的內(nèi)部控制系統(tǒng)，還包括向董事會提供企業(yè)風險管理方面的信息，主要是關(guān)于企事業(yè)單位最重要的風險及管理的情況。董事會負責監(jiān)督管理層的風險管理系統(tǒng)設(shè)計和運作，管理層負責設(shè)計和運作風險管理系統(tǒng)，企事業(yè)單位所有人員都對保證風險管理措施的成功實施負有責任。

  根據(jù)COSO的分析，企事業(yè)單位的風險管理活動包括七個基本要素：控制環(huán)境，事件識別，風險評估，風險反應(yīng)，控制活動，信息和溝通，監(jiān)控。

  1．風險環(huán)境分析

  這里的環(huán)境是指企事業(yè)單位風險管理的環(huán)境，包括前面所講的單位的風險環(huán)境、經(jīng)營目標、實現(xiàn)經(jīng)營目標的戰(zhàn)略措施以及涉及具體操作程序的經(jīng)營模式，還包括董事會和管理層的“風險管理哲學(理念或態(tài)度)”及冒風險的“欲望”，因為董事會和管理層對風險的態(tài)度將影響企事業(yè)單位對業(yè)務(wù)活動的選擇和為使風險被控制在可以接受的水平而采取的措施。比如，如果董事會和管理層對風險的態(tài)度是非常保守的，那么企事業(yè)單位有可能只選擇在一些風險非常低的領(lǐng)域里投資，當然收益也可能相對較低。

  2．風險事件識別和風險評估

  在了解企事業(yè)單位的經(jīng)營目標，考慮了企事業(yè)單位的內(nèi)、外部環(huán)境的情況下，能辨別出所有可能發(fā)生的、影響單位實現(xiàn)其目標的重要事件(情況)，即所有的風險。然后進行風險評估，分析風險發(fā)生的可能性(概率)和影響(損失)，包括定量和定性分析。除了做個別風險分析，還要考慮同時發(fā)生某些風險的情況。

  3．風險反應(yīng)

  了解了風險的重要程度后，企事業(yè)單位可以做出“反應(yīng)”，決定是接受風險、避免風險，還是減輕風險。對于企事業(yè)單位完全不能接受的風險，比如違法經(jīng)營的風險，一般是避免這種風險，即放棄帶來這個風險的計劃或行動，因為任何風險控制的措施都不可能完全消除風險。某些風險在企事業(yè)單位可以承受的范圍內(nèi)，單位可以接受，不必再采取額外的措施。其他的風險有相對的風險回報，單位可以考慮接受，但要采取減輕風險的措施，才能將風險降到可以接受的水平，獲得希望的回報。減輕風險的措施包括減少風險、轉(zhuǎn)移風險或分擔風險。比如在匯率波動較大的時期，單位的大額進出口貿(mào)易會導致較大的匯率風險，單位一般會采用外匯期貨或其他方式來保證將匯率損失控制在可以接受的范圍內(nèi)。

  4．控制活動和風險信息溝通

  控制是指管理層設(shè)計的一系列工作控制程序和政策，其目的是為了減少日常工作中的風險以及意外事件帶來的風險�？刂曝灤┱麄�組織，主要包括企事業(yè)單位的各項內(nèi)部控制制度，比如批準、授權(quán)、審核、分工、財產(chǎn)安全保護等。這些程序和行動的目的是為了確保工作正常進行，質(zhì)量得到保證，各項降低風險的措施得以貫徹實施。另外，為了有效地控制風險，風險信息要及時準確地傳遞給相關(guān)人員。雖然在風險識別、評估、反應(yīng)和控制行動過程中，柑關(guān)人員已了解了必要的信息，但由于風險信息的復(fù)雜和微妙，企事業(yè)單位要確定恰當?shù)男问絺鬟f風險信息，并及時在工作人員、管理層和董事會之間進行有效溝通，使各層面的人員能及時了解情況，履行相應(yīng)的控制職責，也使其他外部利益相關(guān)者獲得適當?shù)男畔�，對企事業(yè)單位在風險管理方面的能力建立信心。

  5．監(jiān)控風險管理的有效性

  企事業(yè)單位還要建立對風險管理系統(tǒng)的監(jiān)控。與前面的控制某一具體工作的控制程序不同，這是對單位風險管理是否有效進行監(jiān)控，包括對內(nèi)部控制系統(tǒng)運行情況的持續(xù)監(jiān)控。比如，系統(tǒng)會自動核對不同部門手工錄入的有勾稽關(guān)系的報表，將核對不上的報表體現(xiàn)在例外報告中。審核人員既檢查例外報告中的報表以確認其是否正確，也抽查系統(tǒng)自動處理的不在例外報告中的報表以確認其是否正確，確保系統(tǒng)控制正常，沒有發(fā)生錯誤和遺漏的情況。監(jiān)控也包括對定期檢查結(jié)果的評價和對異常事件處理情況的評價，這是對日�？刂频恼�體有效性的監(jiān)控和對單位的意外事項的風險管理水平的監(jiān)控。

   以上是企事業(yè)單位風險管理的模式。由于單位資源的有限性和管理控制的成本考慮，單位在設(shè)計內(nèi)部控制機制時應(yīng)以風險識別和分析為基礎(chǔ)，在必要的環(huán)節(jié)設(shè)置控制點，才能達到風險管理的有效性和有效率。風險管理是一項系統(tǒng)工作，貫穿于企事業(yè)單位的所有經(jīng)營管理活動中，從日常的質(zhì)量控制到突發(fā)事件的防范，都包含風險管理的概念。企事業(yè)單位必須建立有效的、有效率的風險管理機制，以便及時發(fā)現(xiàn)風險和控制風險，才能實現(xiàn)單位的經(jīng)營目標。

 二、風險管理的一般過程

 企事業(yè)單位的風險管理同時還是一個全面的、系統(tǒng)的過程，它不僅僅限于對某一件事情和情況的處理，而是一個動態(tài)的、持續(xù)的過程，滲透到單位的每個方面，涉及每個層面的人員。單位通過在日常工作中嵌入風險管理機制，可以更好地識別風險和管理風險。從具體操作上來說，一般單位的風險管理的程序包括確定風險管理環(huán)境、識別風險、分析風險、評估風險和處理風險。

   在這個程序中貫穿始終的是風險信息溝通和監(jiān)控／結(jié)果評價。需要強調(diào)的是風險識別包括識別日常工作中的風險也包括預(yù)計發(fā)生意外事件的風險，比如日常應(yīng)付賬款處理時發(fā)生支付虛假供應(yīng)商的風險，以及發(fā)生意外火災(zāi)導致財產(chǎn)損失的風險。為了避免遺漏重要的風險因素，需要單位的各級管理人員參與風險識別和分析，篩選出各部門的重要的風險，然后根據(jù)單位的整體經(jīng)營目標對各部門的風險的影響進行評估，并排列出對單位有重要影響的風險，為這些重要的風險制定控制方案，由相關(guān)部門制定具體的行動計劃付諸實施，以達到降低風險的目的。當然，企事業(yè)單位還要不斷地對這些風險管理的情況和結(jié)果進行評價，提高風險管理水平。  ’

           第四節(jié) COSO風險管理模式介紹

  COSO是美國國家反虛假財務(wù)報告委員會贊助機構(gòu)研究小組Committee of Sponsoring Organization of the Treadway Commission的英文縮寫，是該委員會 (又稱杜德威委員會，以該委員會主席杜德威得名)的主辦機構(gòu)于1985年自發(fā)成立的另一個民間專業(yè)組織。它的主辦機構(gòu)主要是美國五個財務(wù)會計方面的專業(yè)協(xié)會，包括美國會計協(xié)會、國家會計師協(xié)會(現(xiàn)為管理會計師協(xié)會)、美國注冊會計師協(xié)會、國際內(nèi)部審計師協(xié)會和財務(wù)執(zhí)行官協(xié)會。COSO主要由這五個機構(gòu)設(shè)立，也獨立于這五個機構(gòu)。

  COSO最初是這些贊助機構(gòu)為了輔助美國國家虛假財務(wù)報告委員會而成立的，致力于通過加強職業(yè)道德(行為準則)、有效的內(nèi)部控制和公司治理來提高財務(wù)報告的質(zhì)量。COSO的主要研究報告包括《虛假財務(wù)報告：1987—1997上市公司》，《衍生工具使用的內(nèi)部控制問題》，《內(nèi)部控制：整合性架構(gòu)》和《企業(yè)風險管理架構(gòu)》等。本文主要介紹《企業(yè)風險管理架構(gòu)》中的主要內(nèi)容，即常稱的COSO風險管理模式。

  一、COSO報告的目的

  COSO風險管理模式從分析風險管理的相關(guān)性開始，指出由于企業(yè)經(jīng)營環(huán)境和經(jīng)營決策中存在可能帶來風險也可能帶來機遇的不確定因素。管理層面臨的挑戰(zhàn)是要決定為了獲得利益相關(guān)者(包括股東、企業(yè)所在社區(qū)、員工、顧客和供應(yīng)商等受企業(yè)影響的各方)的價值增長而準備接受的不確定因素的程度。利益相關(guān)者的價值只有在企業(yè)的管理戰(zhàn)略、增長目標、風險控制和有效地使用企業(yè)資源四者之間達到最佳平衡點時才實現(xiàn)最大值。風險管理有助于企業(yè)識別阻礙其實現(xiàn)戰(zhàn)略目標的各種風險，并使企業(yè)的價值增長、風險和投資回報相聯(lián)系，使企業(yè)戰(zhàn)略和企業(yè)對風險的接受態(tài)度一致，加強企業(yè)的風險反應(yīng)決策，降低損失和減少發(fā)生突發(fā)事件的情況。企業(yè)風險管理與公司治理是緊密相連的，管理層負責向董事會提供重要風險以及如何管理風險的信息。企業(yè)風險管理與內(nèi)部控制也是緊密相聯(lián)的，內(nèi)部控制是企業(yè)風險管理不可分割的一部分�？傊�，企業(yè)風險管理的目的在于幫助企業(yè)實現(xiàn)利潤目標，防止損失，提高財務(wù)報告的質(zhì)量；遵紀守法，避免信譽損害等，幫助企業(yè)到達目的地并避開沿途的險境。然而，不同的人對于風險管理有不同的理解。COSO企業(yè)風險管理模式的重要目的之一是整合不同的觀點形成一個框架，確定通用的定義和基本要素，為企業(yè)評估風險管理和法律制定者制定法規(guī)提供一個起點。

  二、COSO對企業(yè)風險管理的定義

  COSO確定的企業(yè)風險管理的定義是：企業(yè)風險管理是由企業(yè)的董事會、管理層和其他人員實施的，從戰(zhàn)略層面開始并貫穿整個企業(yè)的一個過程。這個過程的設(shè)計是為了識別可能影響企業(yè)的潛在事件并按企業(yè)接受風險的態(tài)度管理風險，為實現(xiàn)企業(yè)目標提供合理的保證。內(nèi)部控制是企業(yè)風險管理的一個組成部分，《內(nèi)部控制；整合性架構(gòu)》的全部內(nèi)容都在企業(yè)風險管理框架中。

  三、COSO確定的企業(yè)風險管理基本要素

  COSO確定的企業(yè)風險管理的7個基本要素是控制環(huán)境、事件識別、風險評估、風險反應(yīng)、控制活動、信息和溝通、監(jiān)控。COSO對每個部分給出了明確的解釋和詳細說明。

  四、風險管理和企業(yè)目標的關(guān)系

  COSO指出企業(yè)風險管理是企業(yè)管理程序中的一部分，企業(yè)通過評判風險管理在4個層面的目標(戰(zhàn)略目標、經(jīng)營目標、可靠的報告、遵守法律)中的有效性可以得到實現(xiàn)企業(yè)經(jīng)營目標的合理保證。評判的內(nèi)容包括：了解企業(yè)戰(zhàn)略目標實現(xiàn)的進度，了解企業(yè)經(jīng)營目標實現(xiàn)的進度，確定企業(yè)的報告是可靠的，相關(guān)的法律得到遵守。COSO指出企業(yè)四個層面的目標與這七個部分之間的關(guān)系是：企業(yè)風險管理的每一個要素都適用于四個層面的目標，每個目標都與七個基本要素相關(guān)。

  五、風險管理的限制因素

  COSO指出了企業(yè)風險管理的限制因素：經(jīng)營決策者的人性弱點的現(xiàn)實，多個人員的合謀作弊，風險控制的高成本／效益比率，控制程序沒有正常運行，管理人員超越控制程序，等。因此，風險管理可以有助于確保管理層知道企業(yè)的進屜，但不能確保經(jīng)營目標本身的實現(xiàn)，對企業(yè)的任何目標都不能提供絕對的保證。

  六、相關(guān)人員在風險管理中的責任

  企業(yè)中的每個人都對風險管理負有責任，COSO提出了相關(guān)責任人的角色和責任：董事會和企業(yè)的首席執(zhí)行官負有最終的責任，其他管理人員要支持企業(yè)的風險管理并負責職責范圍內(nèi)的風險控制程序的有效運作，其他人員負責執(zhí)行制定的風險管理指示。COSO進一步詳細說明丁財務(wù)執(zhí)行官、風險執(zhí)行官和內(nèi)部審計人員的責任。董事會負責監(jiān)督企業(yè)的風險管理，外部審計師、執(zhí)法人員、顧客、供應(yīng)商，商業(yè)伙伴，財務(wù)分析師、債券等級評價機構(gòu)、新聞媒體等可以提供有用的信息給企業(yè)。最后，COSO提出了各方應(yīng)采取的行動：董事會要與管理層討論企業(yè)風險管理的狀況并進行監(jiān)督；高層管理人員、首席執(zhí)行官、財務(wù)執(zhí)行官及主要部門的負責人要討論企業(yè)風險管理的能力和有效性并確保存在持續(xù)的監(jiān)控程序；企業(yè)的其他人員要考慮如何執(zhí)行風險管理及加強風險管理；執(zhí)法人員可以考慮采用本企業(yè)風險管理框架的定義和內(nèi)容對企業(yè)的管理加以規(guī)范；對財務(wù)管理、審計等提供指導的專業(yè)組織應(yīng)根據(jù)本框架的精神考慮他們的標準和指引；教育者應(yīng)考慮將本報告中的概念作為課程的內(nèi)容。

         第五節(jié) 內(nèi)部審計人員在風險管理中的角色

  國際內(nèi)部審計師協(xié)會對內(nèi)部審計職能有如下明確定義： “內(nèi)部審計是一項獨立的、客觀的保證和咨詢活動，其目的在于為組織增加價值并提高組織的運作效率。它采取系統(tǒng)化和規(guī)范化的方法，對風險管理、控制和治理過程進行評估和改善，從而幫助組織實現(xiàn)其目標�！�

   以下就內(nèi)部審計在風險管理的七項活動中的職能作分別說明。

  一、在風險環(huán)境分析中的作用

  在環(huán)境分析活動中，企事業(yè)單位的目標、戰(zhàn)略和計劃要合理地反映外部環(huán)境、可使用的資源，要考慮主要的風險(威脅)。內(nèi)部審計要評價單位的“固有風險”和“剩余風險”(采取控制行動后可以接受的風險)。由于信息技術(shù)的發(fā)展，辦公自動化的程度日益提高，控制人員逐步減少，單位的風險的性質(zhì)和影響程度也發(fā)生了變化。比如，有些單位將工資核算或者電腦系統(tǒng)的設(shè)計維護工作外包，雖然減少了資本投入，但使單位面臨這些合作者不能完成任務(wù)的風險，因此，管理層還需要知道合作者的風險。辦公自動化還將監(jiān)控的重心從發(fā)現(xiàn)和糾正錯誤轉(zhuǎn)移到預(yù)防錯誤，防患于未然，因為如果自動控制程序不能在錯誤輸人系統(tǒng)的環(huán)節(jié)進行控制，那么有可能導致后面一系列自動的錯誤處理。比如，如果系統(tǒng)沒有設(shè)計供應(yīng)商的身份驗證控制，那么，系統(tǒng)可能會按自動付款程序付款給虛假的供應(yīng)商。內(nèi)部審計人員要分析這些環(huán)境因素的變化，才能進一步考慮組織機構(gòu)的風險的變化和控制是否與形勢變化相符，并將分析結(jié)果反映于給管理層的審計報告中供他們作決策時參考。

  二、在風險事件識別活動中的作用

  在風險事件識別活動中，單位要識別內(nèi)外環(huán)境中所有的風險事件，不論大小都不遺漏，保證風險輪廓勾勒的完整性。內(nèi)部審計人員可以采用通用風險分析模板及方法，包括COSO提供的分析方法等，識別單位本身的風險和重要合作者的風險。一般而言，單位外包部分工作是因為不想投資這方面的資源，比如單位外包供應(yīng)鏈的管理工作，是為了避免對這個系統(tǒng)工程的資本投入。但是單位也會因此而缺乏熟悉供應(yīng)鏈管理公司運作的人員，不了解這種公司所面臨的風險，無法預(yù)測影響該承包商的風險事件和對單位的關(guān)聯(lián)影響。因此，內(nèi)部審計人員需要運用某些分析方法，比如“頭腦風暴”和“情景模擬”等，創(chuàng)造性地進行分析，判斷管理層是否完全識別了單位的所有風險，若有遺漏的風險要提醒管理層加以考慮。

  三、在風險評估中的作用

  在風險評估活動中，單位要對已識別的風險事件進行定量分析和定性分析，分析事件發(fā)生的可能性和影響(后果)。風險分析的復(fù)雜性和困難在于在很多情況下要主觀判斷不同結(jié)果發(fā)生的可能性。比如，訴訟損失可能會有幾種不同的結(jié)果，而每種結(jié)果發(fā)生的可能性可能不同。不同背景、經(jīng)驗、職位的人對同一風險的判斷也可能不同，帶有各自的偏見。比如，上級主管可以出于整體考慮，認為某部門經(jīng)營風險很高，而該部門負責人則認為風險已在控制范圍之內(nèi)。內(nèi)部審計人員由于特有的獨立地位，可以從客觀的角度分析風險的假設(shè)條件、計算方法來評價風險，提供專業(yè)意見。

  四、在風險反應(yīng)和控制活動中的作用

  在風險反應(yīng)活動中，單位要根據(jù)不同的風險決定要采取的策略和方法，決定是避免風險，接受風險，還是降低風險。如前面章節(jié)所述，對有相對的風險回報的風險，單位可以考慮接受，但要采取控制措施，才能將風險降到可以接受的水平，獲得希望的回報。對于這部分風險，單位會采取減少風險、轉(zhuǎn)移風險或分擔風險的辦法以降低單位承受的風險。內(nèi)部審計人員的主要工作在于分析／評價風險回報的合理性、減少風險的措施的有效性，以及接受風險轉(zhuǎn)移和風險分擔的那一方的風險。如果對方不能承受該風險，則這種風險控制的措施將是無效的。

  在控制活動中，單位通過設(shè)計業(yè)務(wù)控制程序來限制和降低風險，許多內(nèi)部控制程序都是為了這個目的而設(shè)汁的。一般而言，內(nèi)部審計人員在進行審計活動時，都要測試這些控制程序的有效性。這是內(nèi)部審計工作的重要環(huán)節(jié)，在前面章節(jié)已作詳細講解，這里就不再贅述。

  五、在風險信息溝通和風險管理系統(tǒng)監(jiān)控中的作用

  在風險信息溝通活動中，單位的風險管理要將風險信息及時有效地傳遞給內(nèi)部相關(guān)人員，以便及時采取相應(yīng)的控制措施。風險管理的某些信息還要傳遞給其他有關(guān)方面，比如董事會和審計委員會等監(jiān)督者要了解風險管理的情況，供應(yīng)商、債權(quán)人等也需要對單位的風險管理有一定的信任。內(nèi)部審計人員可以通過評價報告系統(tǒng)證明風險信息被準確、及時地傳達給相關(guān)人員，內(nèi)部審計報告可以向董事會和審計委員會傳遞風險是否得到有效管理的信息，而內(nèi)部審計職能的設(shè)立對債權(quán)人和其他外部利益相關(guān)者來說也是單位具備有效的風險管理的一個證明。

  在監(jiān)控活動中，單位要對風險管理進行持續(xù)監(jiān)控，通過對內(nèi)部控制系統(tǒng)的運行的監(jiān)控和對定期檢查結(jié)果及意外事項的處理結(jié)果的評價，保證單位對風險的管理是一直有效的。內(nèi)部審計人員可以通過分析環(huán)境和風險變化，檢查內(nèi)部控制系統(tǒng)是否已更新，是否能控制新的風險。還可以通過后續(xù)審計管理層對審計中發(fā)現(xiàn)的問題及對意外事項的處理情況，檢查新的控制措施是否有效，將分析結(jié)果和建議提供給管理層以便改進控制措施。

  總之，內(nèi)部審計在企事業(yè)單位風險管理中起著重要作用，內(nèi)部審計人員可以運用自己在風險管理方面的專業(yè)知識，從獨立客觀的角度為管理層和審計委員會提供有價值的保證和咨詢服務(wù)，提高單位的風險管理水平。

思考題

  1．風險的定義是什么?風險的特點是什么?  2．風險管理的意義是什么? 3．外部風險和內(nèi)部風險都有哪些?各種風險之間的關(guān)系是什么? 4．什么是風險管理?它的七個組成部分是什么?  5．風險管理的限制因素有哪些? 6．COSO風險管理模式建議風險管理各相關(guān)方面的責任是什么? 7．內(nèi)部審計師在風險管理中的作用是什么?  8．內(nèi)部審計師如何在風險管理中發(fā)揮作用?

內(nèi)部控制與規(guī)范企業(yè)風險

內(nèi)部控制的動力源于風險防范并構(gòu)成風險管理的必要環(huán)節(jié)，但內(nèi)部控制只能防范風險，不能轉(zhuǎn)嫁、承擔、化解或分散風險。

　　內(nèi)部控制的動力源自風險防范 

　　何為內(nèi)部控制?中國注冊會計師獨立審計準則第九號《內(nèi)部控制與審計風險》認為：內(nèi)部控制是指在一個單位內(nèi)部，為了保證業(yè)務(wù)活動的有效進行，保護資產(chǎn)的安全和完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，保證會計資料的真實、完整而制定和實施的政策與程序。中國證監(jiān)會發(fā)布的《證券公司內(nèi)部控制指引》指出：公司內(nèi)部控制包括內(nèi)部控制機制和內(nèi)部控制制度兩個方面。內(nèi)部控制機制是指公司的內(nèi)部組織結(jié)構(gòu)及其相互之間的運行制約關(guān)系；內(nèi)部控制制度是指公司為防范金融風險，保護資產(chǎn)的安全與完整，促進各項經(jīng)營活動的有效實施而制定的各種業(yè)務(wù)操作程序、管理方法與控制措施的總稱。國際組織(COSO)則將內(nèi)部控制定義為一個組織設(shè)計并實施的一個程序，以便為達到該組織的經(jīng)營目標提供合理保障。 

　　從上述各種定義中我們不難看出，雖然對內(nèi)部控制理解的角度各有側(cè)重，但共同的認識在于內(nèi)部控制是一個組織所設(shè)計并實施的程序(包括必要的制度和措施)，旨在為實現(xiàn)該組織的某種目標而提供合理保障。內(nèi)部控制將從三個方面提供合理保障，并有助于組織某種目標的實現(xiàn)：經(jīng)營過程有效率/效益地進行，并預(yù)防資源的損失；對外提供可靠的財務(wù)報告；相關(guān)法律法規(guī)得以遵循。良好的內(nèi)部控制可以合理保證合規(guī)經(jīng)營、財務(wù)報表的真實可靠和經(jīng)營結(jié)果的效率與效益。而合規(guī)經(jīng)營、真實的財務(wù)報告和有效益/效率的經(jīng)營也正是企業(yè)風險管理所應(yīng)該達到的基本狀態(tài)。從這個角度出發(fā)，內(nèi)部控制是風險管理的必要環(huán)節(jié)，內(nèi)部控制的動力來自企業(yè)對風險的認識和管理。 

　　對一個持續(xù)經(jīng)營的企業(yè)而言，常見的企業(yè)風險包括：戰(zhàn)略風險，即不恰當?shù)男袆泳V領(lǐng)和發(fā)展規(guī)劃導致的風險；經(jīng)營風險，即不適宜的經(jīng)營手段導致的風險；財務(wù)風險，即失去融資能力或遭致無法承受的債務(wù)而導致的風險；信息風險，即不相關(guān)、不真實信息報告導致的風險；環(huán)境與法律風險，即環(huán)境驟變和政策不明朗導致的風險；災(zāi)害風險，即由于戰(zhàn)爭、自然災(zāi)害等人為不可抗拒的因素造成的風險。 

　　正是因為風險的存在，風險管理才成為必要。企業(yè)管理的重要內(nèi)容之一就是建立風險評估系統(tǒng)，認識和分析企業(yè)整體目標及各活動層目標，以及影響這些目標實現(xiàn)的內(nèi)在和外在因素、發(fā)生的概率及可能的后果，并采取相應(yīng)的控制措施。因此，風險防范既是企業(yè)管理的必要部分，也是內(nèi)部控制機制建立的內(nèi)在動力。換句話說，內(nèi)部控制的建立是與風險管理的要求相并存的。正是因為存在各種各樣的風險，企業(yè)才應(yīng)該建立良好的內(nèi)部控制系統(tǒng)，配合風險管理，實現(xiàn)企業(yè)目標。 

　　內(nèi)部控制不等于風險管理 

　　雖然內(nèi)部控制的動力源于風險防范并構(gòu)成風險管理的必要環(huán)節(jié)，但內(nèi)部控制不等于風險管理本身。許多企業(yè)的管理者將內(nèi)部控制與企業(yè)管理和風險管理等同起來，常常產(chǎn)生這樣一些誤解：內(nèi)部控制可保證企業(yè)成功并使其財務(wù)報告絕對可靠合法；內(nèi)部控制可以防止企業(yè)決策的失誤；內(nèi)部控制可以阻止兩個或兩個以上的人相互勾結(jié)來踐踏控制系統(tǒng)；建立了內(nèi)部控制就等于實施了科學管理，等等。 

　　內(nèi)部控制只能防范風險，不能轉(zhuǎn)嫁、承擔、化解或分散風險。風險管理是由風險識別、風險評估、風險對策、風險監(jiān)測等一系列環(huán)節(jié)組成的一個循環(huán)流程，就這一循環(huán)流程而言，內(nèi)部控制僅與風險識別和評估密切相聯(lián)。對企業(yè)面臨風險的識別和評估，既是企業(yè)選用何種風險對策，實施何種管理措施的前提，亦是建立企業(yè)內(nèi)部控制的基礎(chǔ)。在風險識別和評估基礎(chǔ)上所建立的內(nèi)部控制，只能規(guī)避經(jīng)營管理活動中經(jīng)常發(fā)生的錯誤和風險，但不能解決風險管理中企業(yè)所面臨的所有風險，更不能轉(zhuǎn)嫁、承擔、化解、分散風險。例如，對于重要信息的異地備份，既是內(nèi)部控制中信息安全性的要求，也是風險管理中規(guī)避風險的必要措施。國際著名投資銀行摩根士坦利，正是嚴格遵循了這一基本要求，其雖置身于世貿(mào)大廈88層之高，但在“9·11”事件中，其所有客戶的重要資料并未隨世貿(mào)大廈的轟然倒塌而被埋葬。但是，上述內(nèi)部控制措施只能防范可能的風險，并不代表風險發(fā)生后的措施。風險發(fā)生后的自救也是風險管理的重要內(nèi)容。 

　　即使建立了合理而有效的內(nèi)部控制系統(tǒng)，科學而全面的管理仍是必不可少的，不能將它們二者混為一談。對于企業(yè)經(jīng)營活動中發(fā)生概率較大，且企業(yè)能夠承擔控制成本的風險，要力求通過企業(yè)自身的控制系統(tǒng)，并依托以財務(wù)管理為中心的企業(yè)管理體系予以控制。對于發(fā)生概率較小，或控制成本較大的風險，則應(yīng)在加強管理、增強自身素質(zhì)的基礎(chǔ)上，降低風險對企業(yè)的影響程度