风险的内涵及分类

《中央企业全面风险管理指引》（国资发改革[2006]108号）（以下简称《指引》）所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。

《企业内部控制基本规范》（财会[2008]7号）（以下简称《基本规范》）指出，内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。因此，为了实现内部控制的目标，企业对应地需要有效管理合法合规风险、资产安全风险、财务报告及相关信息真实完整风险、经营效率和效果风险以及战略风险等五大风险。

对于风险分类，企业在梳理风险清单时，各有各的分法。但是个人认为，无论是《指引》，还是《基本规范》，都只是为企业开展风险评估工作提供了一种可行的思路和方法。问题的关键不是看企业对风险到底如何分类，而是看企业对风险的范围界定是否完整，风险的内容认定是否准确，以及对评估出来的风险能否采用针对性的风险应对策略加以有效管理。

《基本规范》第二十一条指出：“企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。”因此，我们在开展风险评估时，应当首先将风险划分为公司层面的风险和业务层面的风险。所谓公司层面的风险，主要包括内部环境、风险评估、信息与沟通和内部监督等影响公司整体的风险，需要站在企业整体战略和整体利益高度，从企业经营管理层面审视风险。业务层面的风险，通常是指控制活动层面的具体经营事项，主要基于业务流程层面发现风险。鉴于公司层面的风险和业务层面的风险对企业的影响程度千差万别，通常会将两个层面的风险予以区分和归类。

风险评估的重要作用

1992年COSO发布的《内部控制整合框架》突出了风险评估作为五要素之一的重要性。2004年9月发布的《企业风险管理整合框架》，更是将风险评估提高了前所未有的高度，将风险评估细分为目标设定、事项识别、风险评估和风险应对，由原来的五要素变为八要素，强调在整个企业范围内识别和管理风险的重要性。风险评估对于企业经营管理的作用，不言而喻。个人认为，风险评估的重要作用主要体现在以下三个方面。

1. 风险评估是内部控制建设的重要步骤

根据《基本规范》的规定，控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。从这句话可以看出，企业所采取的各类控制措施，是目的性和有针对性的，是为了有效控制该节点所评估出来的风险而专门设置的。因为我们在开展内部控制建设时，首先要评估企业在哪些环节存在风险，然后再开展风险管理工作。这种思路与国际流行的说法不谋而合。国际上普遍认为，内部控制被认为应当与风险管理相融合，建立基于风险导向的内部控制框架是企业有效应对所面临风险以提高公司治理水平进而为组织目标的实现提供合理保证的有效途径。

2. 风险评估有助于企业资源的优化配置

风险评估的核心内容在于对识别的风险进行系统分析，并按照风险对企业实现目标的影响程度划分风险重要性等级，针对重大和重要风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。这种风险评估的思路，本身意味着就是企业资源的二次分配。如何将有限的企业资源，投放到最需要的地方，是风险评估的重要意义所在。

3. 风险评估是企业可持续发展的必要保障

纵观2013年度上市公司内控经典案例，究其原因，其出现的内控缺陷大部分原因在于对风险的漠视。对风险的漠视，一方面在于对风险认识不够，另一方面在于对风险重视不够。他们总是抱着侥幸的心理认为他们不会被风险砸中脑袋，红宝丽（002165）收到7000多万元的假银行承兑汇票就是一个很好的例证。红宝丽现在有三大主要业务：聚氨酯硬泡组合聚醚、异丙醇胺、新材料（包括太阳能EVA胶膜、聚氨酯建筑保温板材），主要客户是冰箱类企业。对于这种制造型企业来说，最重要风险点是货款回收，“假票据”的爆出表明其在与客户间的协作存在风险，但公司却没能很好地评估和应对。如何及时发现风险、有效管理风险，是企业可持续发展的必要保障。任何无视风险、漠视风险的短视行为，也终有一天会被风险的陷阱所打垮。MOTOROLA总裁加利·吐克曾经说过：“内部控制能够帮助我们绕过途中的陷阱，到达目的地。”

如何开展风险评估

企业需要按照《基本规范》和《企业内部控制应用指引》的要求，以主营业务为主线，重要业务循环为重点，包括明确《基本规范》要求的企业内部控制五要素（内部环境、风险评估、控制活动、信息与沟通、内部监督），对重要业务流程进行梳理，梳理风险，编制风险清单，建立流程与风险、制度、责任人的映射关系，并与现行制度进行对比分析，确定当前阶段公司的风险与缺陷，制订相应的风险应对措施，有针对性的对现有制度进行修订或补充。根据《指引》的要求，企业开展风险评估工作，一般可遵循以下路径：

1. 搜集信息

实施全面风险管理，企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。

2. 辨识并规整风险

企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险辨识和规整。

（1）区分公司层面风险和业务层面风险，建立风险清单

①公司层面风险：根据公司的战略目标，进行内外部环境分析，识别公司层面的重大风险，并建立公司层面的重大风险清单。

②业务层面风险：根据行业标准与公司管理实际，确定具体业务流程的控制目标；根据已确定的目标，确定各业务节点影响目标实现的风险，并建立业务层面的重大风险清单。

3. 分析并评价风险

风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。企业应结合定性和定量分析方法，对识别的风险进行全面评价，并按照风险对目标的影响程度，按照重要性原则对风险进行排序，界定重大及重要风险，确定企业关键控制领域和关键控制点。

4. 制度比对，认定缺陷

根据上述风险清单，建立流程与风险、制度、责任人的映射关系，并与现行制度进行对比分析，确定当前阶段公司的风险与缺陷。

5. 风险管理，优化提升

围绕企业发展战略，根据评估的风险及认定的制度或流程缺陷，提出针对性地整改方案，修订或补充现行内控制度或流程体系。同时，建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施。

作者：范炜琪 杭州博观企业管理咨询有限公司