风险评估在企业中的应用分析

1、风险评估在企业中的应用分析摘要： 文章从企业风险评估必要性出发，结合企业风险评估现状，研究分析了风险评估在企业中应用的程序和具体方法，以对风险评估在企业中的落实完善提供若干可行性建议关键词：企业风险评估；现状；必要性；评估方法企业风险评估是企业风险管理的基础性工作，同企业运营风险的应对、降低企业风险等密切相关，是提高企业内部控制效果和效率的关键。然而当前理论界和实务界在研究企业内部控制时对风险评估不够重视，我国中央企业和中小企业的风险管理现状同国际水平仍存在差距。如何完善企业风险评估程序，使企业能选择适合自己的评估方法和流程，本文拟通过对风险评估在企业中的应用程序及具体应用方法的研究，对上述问

2、题进行讨论分析一、我国企业风险评估现状中央企业全面风险管理指引出台。央企代表着我国企业最优的管理水平。但由于风险意识较弱，央企风险事件频繁发生。尽管我国有些企业在国外上市，而企业内部也相应地建立了内部控制体系，但与国际大企业相比，我国企业风险管理水平依旧较弱，究其原因是没有很好地将国际先进方法引入其中。我国一些企业正在酝酿建立风险管理体系，急需一个指导性文件，此时中央企业全面风险管理指引出台。国务院国资委对国内外风险管理学术成果和管理实践经验进行了深入研究，在此基础上，国资委进一步对部分央企风险管理状况进行了深入的实际调研，摸清了央企风险管理现状。央企风险管理现状。虽然央企风险管理在我国已经较

3、为成熟和完善，但是与国外大公司相比，央企风险管理还存在一定的差距，具体表现在：一半以上的企业风险管理还处于传统的风险管理阶段，也就是说，各个职能部分负责各个部门的风险管理，企业缺乏对整个公司的风险管理；完全或部分建立全面风险管理体系的企业仅占20%左右。中小企业风险管理。中小企业资产规模虽然不及央企，但却与央企一道成为我国国民经济的基础力量。相对大型企业和国有企业，中小企业更容易摆脱改革前的生产束缚，更容易融入到新的市场经济中，进而得到快速发展。中小企业风险管理的特点如下：一方面，中小企业的风险管理理念较为落后，风险管理意识淡薄。中小企业在发展和管理过程中有一个明显的特征就是重速度、重量轻质。

4、中小企业完善的内部控制体系相对较少，使得这些企业当中的管理者和员工普遍缺乏风险意识。另一方面，中小企业抗风险能力较弱，在资金、管理、技术等方面都无法与大型企业相比，这些弱势使其更容易产生风险。另外，中小企业抗风险能力有限，一旦产生较大风险，容易造成巨大损失，甚至对企业发展产生较大的阻碍作用。再者，中小企业风险管理水平滞后，中小企业虽然在很多方面都无法与大企业相比，但是其灵活性较强也是一大优势。首先，投资少、规模小、组织结构简单，相对来说，投资回报周期就短；其次，灵活性强，其可以根据市场的变化而调整自己的战略；再次，中小企业生存和发展所需要的环境要求较低，更容易存活。尽管如此，中小企业组织结构简

5、单在一定程度上也阻碍了风险管理工作的开展。在中小企业中，一般很难设置专门的部门和专门的人员来负责风险管理工作，而且，中小企业软硬件基础也相对薄弱，没有建立好完善的内部控制制度和风险管理机制，进而中小企业是很难进行全面风险管理的。二、我国企业风险评估的必要性（一）风险的定义风险是对目标实现产生负面影响事项发生的不确定性。所谓目标是指人们通过实践活动期望达到的境地或最终结果。企业风险管理的目标就是对风险进行管控。但是在风险管理过程中，当进行风险识别时，最常见的一个错误就是把不是风险的事物误认为是风险。很显然，如果风险管理过程的这一最先步骤失败了，接下来的步骤就会注定失败，风险管理也就不可能产生效果

6、。因此，确保风险识别这一步骤能够识别出真正的风险是至关重要的。很多人在理解风险时，往往会把风险和不确定性相混淆。事实上，风险与不确定性并不相同，风险的定义只能与目标相联系，它能够影响一个或多个目标。风险并不是存在于真空中，如果风险发生的话，某些目标将会受到影响。因此，风险的一个更加完整的定义是“能够影响一个或多个目标的不确定性”。也就是说有些不确定性与目标并不相关，它们应该被排除在风险管理过程之外。（二）风险评估的定义及具体内容风险评估，是指及时识别、科学分析影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程。在实际操作中，可以把企业风险评估过程分为目标设定，风险识别、风险分析和风险

7、应对四个步骤。目标设定是企业制定的战略目标以及与之相联系的合规目标，资产目标，报告目标和运营目标等业务层面目标，并层层分解和落实。风险识别是识别企业面临的风险，并将风险归类。风险分析是将识别出的风险放进统一的模型中进行分析处理，进一步作出定性和定量的分析，包括风险对企业目标实现的可能影响、这些风险物化的多重情境分析和统计特性、可能的影响因素和方式风险应对是指评价风险对企业目标的影响，影响企业最大的风险将成为企业风险管理的重点。（三）风险评估对企业的意义每个企业在运营过程中都会出现不同程度的风险，这些风险有些对企业运营不会产生较大影响，但有些风险会威胁企业生存，因此，为了企业能够健康稳定地发展，

8、风险评估是非常重要的。企业有可能出现的风险有战略风险、市场风险、资产风险等，有效评估这些风险是企业经营者提高经营能力的重要内容。风险评估与企业效益前景关系密切，风险评估能预测、判断企业的战略选择、组织架构，资产配置和政策环境等很多方面，确保企业在发生损失之前能够做好应对准备，进而减少损失的程度。市场经济产生后，企业需要自行承担风险，但我国绝大多数企业并未意识到风险的危害性，没有形成风险评估意识，风险评估工作的开展一直处于初级阶段，对市场以及内外部风险所带来的风险常常无法很好应对。近年来，我国企业经常会发生无法及时有效应对风险而造成较大损失的情况。企业必须要重视风险管理工作，而在整个风险管理过程

9、中，起最基础作用的就是风险评估。我国企业只有做好风险评估工作，才能更好地应对风险的到来，风险管理工作也才能有的放矢地进行。三、企业风险评估方法和程序（一）设置企业目标。设置企业目标是风险评估基础工作的核心和难点。作为企业风险管理的一部分，管理层已经为企业选定了目标以及与之相衔接的企业使命和战略，但是风险管理却要求企业的目标与使命和战略相匹配，既企业目标必须和企业的风险偏好相一致。因此企业的战略目标和具体目标的实现不完全是企业可控的，一些目标有合理的保证能够实现，而另一些目标则具有很大的不确定性。借鉴COSO框架以及中央企业全面风险管理指引，企业的目标可以分为两个层次：一是战略目标，二是相关（具

10、体的）目标。企业首先要确定它的战略目标，然后再确定具体的经营目标、报告目标、资产目标和合规目标。企业战略目标的确定需要与企业的使命（远景、存在的目的）相一致。使命指企业存在的目的，它告知人们该公司将向社会提供什么产品或服务。企业在明确战略目标后，还需要制定一些相关的具体目标，相关目标的设定应以战略目标为指导，将公司各职能部门（如生产、营销、工程设计等）的目标与战略目标关联起来并整合一致。相关目标大致可分为以下几类：经营目标，与经营的效率和效果有关，包括绩效、获利能力目标, 以及资产的安全与完整；报告目标，与报告的可靠性有关, 包括内部与外部报告, 涉及财务与非财务数据。具体可使用平衡计分卡法，

11、即通过对企业在财务，客户，内部运营和学习与成长4个维度的共同绩效评测，将抽象的战略目标层层分解，有效的转化为具体的行动计划，从而大大提高战略的执行能力和绩效表现。目标设定是否科学有效取决于其是否符合企业的风险偏好和风险承受度。企业的战略目标必须与企业的风险偏好相结合，以帮助企业管理者在不同的战略之间选择与企业的风险偏好相一致的战略。而风险承受度是企业目标实现的过程中对差异的可承受风险限度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可接受水平。（二）风险识别风险辨识工作是风险评估工作的基础，在广泛收集企业风险信息的基础上，确定风险事件评价维度和评价标准，以设计风险辨识工具。

12、它是一个细致完整的系统工程，为风险分析和应对提供了重要依据。目前，较为通用的风险辨识工具和方法有三种：数据分析和资料研究法、专家意见评估法以及行业标杆对照法。辨识工作围绕企业风险框架展开，由战略风险、市场风险、法律风险、运营风险和财务风险五大类构成，辨识工作的成果整理成风险列表。常用的方法有财务报表分析法，事件树分析法，现场调查法等。虽然方法很多，但不同方法共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。（三）风险分析风险分析方法主要包括定量分析和定性分析。定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的

13、所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。简单说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。理论上讲，通过定量分析可以对安全风险进行准确的分级，但这有个前提，那就是可供参考的数据指标是准确的，事实上，在信息系统日益复杂多变的今天，定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又易出错，这就给分析的细化带来了很大困难，所以，目前的信息安全风险分析，采用定量分析或者纯定量分析方法的已经比较少了。定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的

14、经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级，例如“高”、“中”、“低”三级。定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi方法）、检查列表（Checklist）问卷（Questionnaire）、人员访谈（Interview）、调查（Survey）等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。常见的定性分析法是风险评估图法，企业可以利用坐标图法，将风险按风险发生的“可能性”及风险发生后“对经营目标的影响”两个维度，绘制成风险坐标，并将单项风险在

15、坐标图中清晰地标识出来。这一方法便于直观地展示各类风险重要性的分布情况，找到管理的重点，以采取相应的对策。风险分析的前提是，风险的特征及影响是不断变化的，风险管理的目标也是不断调整的，因此任何分析都具有一定时效性，需要定期及不定期进行更新。不同的风险其应对的风险管理策略也不同，具体分述如下：1.风险发生概率不高的区域，或即使发生，危害程度也不大的区间，宜采用“风险接受”的策略，如员工大疾病风险属于这一类型。2. 发生的可能性和影响程度均属于中等的区间，可以采用“风险缓解”的策略，比方说通过改善内部控制及流程来减少现有的风险，多数企业的外汇风险便属于这一类型。3. 风险发生可能性较高，危害程度也

16、较大的区间，应该采取“风险规避”的应对策略，如通过关闭一些业务部门或退出一些主要的市场来规避风险。通常而言，企业的人力资源风险、欺诈风险、采购风险属于这一型。4. 风险发生可能性很高，或危害程度很大的区间，是对企业危害最为严重的一类风险，如财务风险、竞争风险、产品开发风险、客户信用风险、系统故障风险、政治风险和投资风险，企业应当尽可能地通过购买保险、进行合资/ 合作或实行外包等“风险转移”策略，把风险适当转移给第三方与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析依赖大量的统计数据，而定性分

17、析没有这方面的要求；定性分析较为主观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。（四）风险应对1.风险应对方法风险应对是指在风险分析的基础上，针对企业所存在的风险因素，根据风险分析的原则和标准，运用现代科学技术知识和风险管理方面的理论与方法，提出各种风险解决方案，经过分析论证与评价从中选择最优方案并予以实施，来达到降低风险目的的过程。具体包括风险回避、风险降低、风险分担和风险承受。在考虑应对的过程中，管理当局评估对风险的可能性和影响的效果，以及成本效益，选择能够使剩余风险处于期望的风险容限以内的

18、应对。管理当局识别所有可能存在的机会，从主体范围或组合的角度去认识风险，以确定总体剩余风险是否在主体的风险容量之内。风险应对可以分为以下几种类型：（1）回避风险，或称避免风险即指企业对超出风险承受度的风险，通过放弃或停止与该风险相关的业务活动以避免或减轻损失的策略。风险回避能将特定风险造成的各种可能损失完全消除，是最彻底的风险管理技术。风险回避可能包括退出一条产品线、拒绝向一个新的地区市场拓展，或者卖掉一个分部。（2）降低（reduction）风险，或称控制风险即指企业在权衡成本效益之后，准备采取适当的控制措施降低风险或减轻风险，将风险控制在风险承受度之内的策略。风险降低的目的在于积极改善风险特性，使其能为企业所接受，从而使企业不丧失获利机会，是较为积极的风险处理策略。它几乎涉及各种日常的经营决策。（3）分担风险，或称分散与转移风险即指企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。是一种事前的风险应对策略。常见的技术包括购买保险产品、从事避险交易或外包一项业务活动。（4）承受（acceptance）风险，或称正面承担风险即指企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或减轻损失的策略。风险承受是一种风险财务技术，企业出于经济性和可行性的考虑将风险留下，若出现风险损失，则依靠自身的财