張學紅

摘要：本文主要介紹風險評估和風險的概念、風險的目標，進一步去了解風險評估和風險在實際工作當中的運用。

關鍵詞：如何；理解；風險評估；風險

一、風險

風險是指在一定的客觀情形下，在某一特定期間內，那些可能發(fā)生的結果之間的差異。顯然，這種差異是實際結果與預期結果的變動程度。所謂風險大，就是指這種變動程度大；風險小，就是指這種變動程度小?；疽?guī)范涉及的風險是指對實現(xiàn)內部控制目標可能產生負面影響的不確定因素。因此，在這個概念的界定上，需要明確內部控制目標和不確定因素兩個關鍵詞。

1.內部控制的目標

內部控制有五大主要目標，即運營的效率和效果、財務報告的可靠性、資產的安全完整、法律法規(guī)的遵循性以及實現(xiàn)企業(yè)的戰(zhàn)略目標。內部環(huán)境、風險評估、控制措施、信息與溝通以及監(jiān)督檢查均服務于五大目標。

對于經營的效率和效果而言，這是一個公司基本的業(yè)務目標，包括業(yè)績和盈利目標以及資產的保護，它們因管理者對結構和業(yè)績的選擇而異；可靠的財務報告與公認會計準則編制的財務報表以及相關陳述有關，所以會涉及賬務和非賬務信息；同時，遵循相關的法律法規(guī)，公司可以避免對其名譽造成損害或者遭受其他不利后果。

經營的效率和效果及報告的目標更多地建立在偏好、判斷和管理風格的基礎上。它們在不同的主體之間存在著很大的區(qū)別，因為不同的主體可能會選擇不同的目標。所以對所有主體而言，都是最優(yōu)的目標模式是不存在的。

2.不確定性

風險是不確定的，否則，就不能稱之為風險。所謂不確定性，即當風險存在時，至少存在兩種可能的結果，只是我們面對風險時無法知道哪種結果將出現(xiàn)。不確定性分為主觀上的不確定和客觀上的不確定。

（1）主觀上的不確定

不確定性大多定義為基于對未來發(fā)生或不會發(fā)生什么事情的情況缺乏認識、產生懷疑的思維狀態(tài)。不確定性是一種對于未來將發(fā)生的事情的簡單心理反應。當風險存在時，就產生了不確定性。而這種不確定性往往是主觀的，與實際情形不相符合。

（2）客觀上的不確定

客觀上的不確定的兩個層次的含義：

第一，不確定的客觀存在性。如果不確定性是由一些偶然因素導致的結果，那么其存在就具有了客觀性。第二，有些情況在客觀上是確定的，但是人們總體上認知能力不足，無法得到確定狀態(tài)所必要的信息。因此也可以認為由此導致的對未來的無法判斷是客觀的。

（3）風險的特征

風險具有三個明顯的特征：偶然性、可變性和客觀性。

風險具有偶然性。從全社會看，風險是具有必然性的。但是，對特定的個體而言，風險事故的發(fā)生是偶然的。這種偶然性其實是由事件的隨機性決定的。因為風險事故的發(fā)生與否不確定，風險事故何時發(fā)生也不能確定，風險事故將會怎樣發(fā)生，其損失有多大，也不能確定。

風險具有可變性。風險的可變性是指在一定條件下風險具有可轉化的特性。而世界上任何事物都是互相聯(lián)系、互相依存、互相制約的，世界萬物都處在運動變化的狀態(tài)之中，這些變化必然會引起風險的變化。新風險產生和舊風險的消亡，也有量的增減和質的改變。風險的變化是由某些因素引起的，這些因素可以歸結為科技的進步、政治和社會結構的改變、經濟體制與結構的轉變。

風險具有客觀性。風險是由客觀存在的自然現(xiàn)象和社會現(xiàn)象引起的。自然界的運動如洪水、泥石流、雷電、暴雨等形成自然災害，對人類的生命和財產構成威脅。戰(zhàn)爭、沖突等是受社會發(fā)展規(guī)律支配的，人們認識和掌握規(guī)律可以預防意外事故，但是不能完全消除風險的存在。因此，風險是客觀存在的，人們只能在一定的范圍內改變風險發(fā)生和發(fā)展的條件，采取辦法降低其發(fā)生的概率，減少風險帶來的損失程度，但是卻不能徹底消除風險。

二、風險評估

不同的企業(yè)、同一企業(yè)的不同時期以及同一企業(yè)內部不同的內部環(huán)境、外部環(huán)境、業(yè)務層面和工作環(huán)節(jié)，都可能面臨不同的風險，企業(yè)應當有針對性地開展風險評估。

風險評估，是指及時識別、科學分析影響企業(yè)內部控制目標實現(xiàn)的各種不確定因素，同時采取應對策略的過程。要對識別的風險進行分析，形成風險管理的依據(jù)。風險與可能被影響的目標相關聯(lián)。既要對固有風險進行評估，也要對剩余風險進行評估，評估要考慮到風險的可能性和影響。

通常來講，企業(yè)進行風險評估的目的主要有：了解和評價企業(yè)的經營環(huán)境和經營現(xiàn)狀；提出組織發(fā)展的安全需求；擇取最優(yōu)的風險控制措施；建立安全管理體系；制定有效的安全策略。

風險評估的主要任務有以下幾點：識別企業(yè)面臨的各種風險；評估風險概率和可能帶來的負面影響；確定組織承受風險的能力；確定風險消減和控制的優(yōu)先等級；推薦風險消減對策，適時調整應對策略。

在風險評估過程中，有幾個關鍵的問題需要考慮：第一，確定評估對象或者資產，明確它的直接和間接價值；第二，分析資產面臨的潛在威脅和導致威脅的問題所在以及威脅發(fā)生的可能性；第三，資產中存在哪些弱點可能會被威脅所利用，利用的難易程度如何；第四，一旦威脅事件發(fā)生，企業(yè)會遭受怎樣的損失或者面臨怎樣的負面影響；第五，組織應該采取怎樣的安全措施以便將風險帶來的損失降低到最低程度。解決以上問題的過程，就是風險評估的過程。另外，在進行風險評估時，有幾個對應關系必須考慮：（1）每項資產可能面臨多種威脅，（2）威脅源（威脅代理）可能不止一個，（3）每種威脅可能利用一個或多個弱點。

風險評估要按照一定的程序來進行，有目標設定、風險識別、風險分析、風險應對四個步驟。

風險評估的操作范圍可以是整個組織，也可以是組織中的某一部門，或者獨立的信息系統(tǒng)、特定系統(tǒng)組件和服務。影響風險評估進展的某些因素，包括評估時間、力度、展開幅度和深度，都應與組織的環(huán)境和安全要求相符合。組織應該針對不同的情況來選擇恰當?shù)娘L險評估途徑。

參考文獻：

[1]2008年5月財政部等五部委發(fā)布《企業(yè)內部控制基本規(guī)范》.