风险评估的趋同与创新
财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》(以下简称“基本规范”)明确,科学界定风险评估是企业实施内部控制的前提。《基本规范》对于风险评估的界定,实现了国际趋同及创新。
国内外风险评估概念表述与要素不统一
国内外的“内部控制规范”中涉及到的风险评估,其定义是一个比较宽泛的概念。国内外有关论述对此表述不一。在有些内部控制或风险管理标准中,风险评估就是风险管理,包括了风险管理的全过程,可以说是风险管理的代名词。
而在另外一些内部控制或风险管理标准中,风险评估是全面风险管理的一个步骤,包括的内容有多有少,有的包括目标确定、风险识别、风险分析、风险评价以及风险应对等,有的只包括其中的一部分。
笔者认为,风险评估是全面风险管理的一个重要组成部分,是在风险识别的基础上对风险进行计量、分析、判断、排序的过程,包括风险计价、风险分析、风险评价等步骤,是风险应对的主要依据,应立足于对固有风险和剩余风险的评估。风险评估就是风险评估,代替不了风险管理,只是全面风险管理的一个重要部分或重要步骤。
笔者认为,从全面风险管理的实际工作考虑,小型企业不必进行具体细分,可统称风险评估,对已经开展全面风险管理工作的企业,尤其是大型企业可以将风险评估的内容细分为风险计价、风险分析、风险评价等或取消风险评估的概念,用风险计价、风险分析和风险评价来代替。
此外,国内外“内部控制规范”中关于风险评估的要素也不统一。美国全国虚假财务报告委员会下属的发起人委员会(COSO)内部控制报告中的风险评估要素包括设立目标、风险分析和应对变化。COSO制定发布、方红星和王红翻译的《企业风险管理—整合框架》(以下简称《企业风险管理———整合框架》)把目标设定、事件识别、风险应对从风险评估中细分出来作为独立要素。巴塞尔委员会发布的《银行组织内部控制系统框架》中,将风险评估要素划分为目标设定、风险识别与分析、风险应变。我国《内部审计具体准则第5号———内部控制审计》中明确,风险评估要素包括风险识别和风险分析。《中央企业全面风险管理指引》中明确,风险评估包括:风险辨识、风险分析、风险评价。《企业内部控制基本规范》指出,风险评估包括风险识别、风险分析和风险应对策略。
国内外风险评估的内容是多种多样的
国内外的“内部控制规范”中关于风险评估内容的描述是多种多样的。的确,风险评估内容是复杂多样的。简单说,风险评估内容就是评估风险发生的可能性和影响。可能性表示一个给定事项将会发生的概率,影响则代表它的后果。一般来说,对识别出来的风险,从可能性和影响两个方面进行评估后,就可以根据评估的结果采取应对措施。当然,不论怎么细分,贯穿始终的都是要从可能性和影响两个方面进行评估。
从可能性和影响两个方面对风险或机会进行评估看着似乎简单,但实际上风险评估工作难度很大。对不确定性的评估本身就充满着不确定性,充满了各种假设、情感和完全不可思议的东西。不同的人对风险的感受是不一样的,人们的风险感受至少与价值观、前景、收入、失败的机会、工作与生活的平衡等有关。正因为影响风险感受的因素不同,人们对风险发生的可能性和影响程度就不可能一致。
企业的管理当局通常对不确定性会作出主观判断。这必然使得风险评估工作一路上充满着主观判断。在实际工作中,对风险的可能性和影响的估计值通常利用过去的可观察事项的数据来确定,它提供了一个比完全主观的估计值更加客观的依据。但对大多数企业而言,过去可观察事项的数据资料不全或没有,这使得科学的风险评估的方法难以使用。此外,历史数据终归是过去的事实,在瞬息万变的信息时代,肯定更会随着时间的推移而发生变化。
定性和定量技术的结合
国内外“内部控制规范”中关于风险评估方法普遍认为,风险评估方法包括定性方法和定量方法,定性方法和定量方法应结合进行。比较常用的定性方法主要有:访谈、集体讨论、专家咨询、问卷调查、政策分析、标杆分析、由专人主持的工作访谈和调查研究等。企业的在风险评估中比较常用的定量方法主要有:概率技术(风险模型、损失事项评估和事后检验)、情景分析、压力测试、敏感性分析、设定基准、统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。
在国外,《企业风险管理———整合框架》中描述:一个企业的风险评估方法包含定性和定量技术的结合。
在国内,《中央企业全面风险管理指引》中明确,进行风险辨识、分析、评价,应将定性与定量方法相结合。《企业内部控制基本规范》明确,企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
笔者认为,风险评估的定性方法和定量方法应该相结合。当然,有些风险只能用定性的方法来评估,有些则用定量的方法来评估。在不要求进行定量化的地方,风险评估者通常采用定性的评估技术。
大多定性风险评估是用文字来描述的。如对风险发生可能性,一般通过实际情况的收集,利用专业判断取得。风险可能性的结果一般有“很少的”、“不太可能的”、“可能的”、“很可能的”、“几乎是确定的”等几种情况。对风险可能产生的影响,一般将风险性质划分为“不重要的”、“次要的”、“中等的”、“主要的”、“灾难性的”等几级。定性评估的质量主要取决于评估者的知识和判断能力、对潜在事项的了解以及相关背景和动态变化等。
一般来说,如果存在充分的信息以应用间隔或比率计量来估计风险的可能性或影响时,就可以使用定量技术。定量技术能带来更高的精确度,通常应用在更加复杂和深奥的活动中,以便对定性方法进行补充。能够使用定量技术的地方应尽可能是使用定量技术。定量评估技术一般需要更高程度的努力和严密性,有时采用数学模型。定量技术高度依赖于支持性数据和假设的质量,并且与有着已知历史和允许作可靠预测的风险暴露高度相关。在定量评估中,需要考虑从内部或外部获得准确数据的可能性,而且,使用这些技术面临的挑战之一是获得充分有效的数据。
事实上,刚刚开始全面风险管理的企业,风险评估往往是从使用定性方法进行风险评估的。(作者:李三喜 来源:财会信报)
