风险评估方法概论(PPT 37页)

风险评估概述
COSO《内部控制框架》
设定目标
即狭义的风险评估
风险识别
风险分析
估计风险的严重性
评估风险发生的可 能性
评估应采取的措 施
建立识别环境变 化的机制
风险评估概述
COSO2004《企业风险管理框架》
风险评估就是要对识别的风险进行分析，以形成确定 如何对其进行管理的依据。
风险评估概述
COSO2004《企业风险管理框架》
风险分析的内容
◎风险发生的可能性分析
可能性分析是指假定企业不采取任何 措施去影响经营管理过程，将会发生风 险的概率。它通常是通过实际情况的收 集和利用专业判断来完成。
风险可能性分析的结果一般有“很 少”“不太可能”“可能”“很可能” 和“几乎确定”五种情况。
◎风险产生的影响程度分析
影响程度分析主要是指对目标现实 的负面影响程度分析。
风险识别
风险分析
风险源自文库对
A
B
C
D
风险评估原则
风险评估原则
组织需制定足够清晰的目标，确保风险识别和评 估与其相关
组织应当识别影响其目标实现的相关风险，对此 类风险的分析是风险评估的决策基础
企业应当考虑潜在的影响目标实现的舞弊风险
企业应当识别与评估对内部控制有效性产生重大 影响的变化因素
风险评估步骤
（1）目标的种类
经营目标
• 经营目标与企业的经营效果和效率有关。 • 经营目标包括相关的经营子目标，旨在增强经营效果和效率，推动企业实现最终目标。 • 经营目标更多地是建立在偏好、判断和管理风格的基础上，它们在各个企业中具有很
大的差异。
• 财务报告目标与编制可靠的公开财务报表有关。 • “可靠性”要求依据公认的或其他相关和适用的会计原则和法规
三、风险评估的步骤
风险评估的 前提条件
评估过程必须考虑到可 对风险发生的可能性和
能发生的风险
风险的重要性进行分析
风险评估的本质是识 别风险并采取措施的
过程
设定目标
风险识别
风险分析
风险应对
1、设定目标
• 设定目标是风险评估的前提条件。只有先确立了目标，管理层才能针对目标确定风险并采 取必要的行动来管理风险。
• 在企业层面上，目标常常表现为企业的使命和价值。伴随着对企业强势和弱势、机会和威 胁的分析，目标最终表现为企业整体战略。在操作层面上，即更加专门化的目标，是针对 企业不同“活动”更加专门化的目标，包括确立目的和实现产品线、市场、财务和利润指 标等，以保证目标在企业层面和操作层面上的统一。
• 通过设立企业层面和操作层面的目标，企业不仅能够确定关键的成功因素，同时还有利于 管理层将重点放在关键的成功因素上，以此确立业绩衡量的标准。
• 企业经营活动的性质、员工对资产的 接触途径可能对资源的挪用产生影响。
• 非强硬的或无效的董事会或审计委员 会可能为轻率的行为提供机会。
➢ 操作层面
• 应对操作层面的风险有助于将风险评 估的重点放在重要的业务和职能部门 上，如销售、生产、营销、技术发展 和研究开发。
• 对操作层面风险的成功评估还有助于 将企业层面风险保持在可以接受的水 平。
（3）目标的实现
• 在合理保证的范围内，内部控制的目标主要关注于：培养贯穿整个企业的目标的一贯 性，辨别主要成功因素以及及时向管理层报告业绩和期望。虽然不能确保成功，管理 层应能合理保证——当目标存在不能实现的危险时可及时得到警告。
2、风险识别
• 识别风险的过程是一个不断重复 的过程，并且是有效内部控制制 度的关键组成部分。管理层必须 仔细关注企业各层次的风险并采 取行动来管理风险。
• 风险识别应该是全面而复杂的， 无论一项风险是显性还是隐性的， 企业在风险评估的过程都应该考 虑到可能会发生的所有风险。
（1）风险的来源
➢ 企业层面
• 信息系统运行的中断会对经营产生负 面影响。
• 雇员的素质和培训、激励的方法可能 对企业中的控制理念产生影响。
• 管理层职责的改变可能影响实施某些 控制的方式。
目录 CONTENTS
01 风险评估概述
02 风险评估原则
03 风险评估步骤
04 信息化下风险评估 05 风险评估案例分析
风险评估概述
一、风险评估概述
广义
目标设定、风险识别、 风险分析、风险应对
狭义
风险分析
风险评估概述
COSO《内部控制框架》
美国COSO委员会《内部控制框架》所使用的风险评估 概念属于广义的风险评估。 《内部控制框架》将风险评估作为内部控制的关键构成 要素。
风险分析的目的在于为企业风险应对 提供依据。由于企业董事、经理和其他 高级管理人员在企业经营活动中的特殊 地位，其个人风险偏好对经营活动等具 有重大影响，企业应当合理分析、准确 掌握董事、经理及其他高级管理人员、 关键岗位员工的风险偏好，并予以特别 关注，避免因个人风险偏好给企业经营 带来重大损失。
3、风险分析
概念
风险分析是在风险识别的基础上，确定相应 的风险评价标准，对有关因素进行量化，计算出 风险概率、风险后果和风险值，进而判断该风险 是否被接受，是否需要采取进一步的安全措施。
风险分析的要求和目的
《基本规范》要求企业采用定性与 定量相结合的方法，按照风险发生的可 能性及其影响程度等，对识别的风险进 行分析和排序，确定关注重点和优先控 制的风险。鉴于风险分析的专业性和复 杂性，要求企业进行风险分析时充分吸 收专业人员，组成风险分析团队，按照 严格规范的程序开展工作，确保风险分 析结果的准确性。
A
B
预期事项和非预期事项
固有风险和剩余风险
C
D
内部环境
E
目标设定 前提
F
事项识别
G
风险评估
H
风险应对
控制活动
信息与沟 通
监控
风险评估概述
我国《企业风险12..人管管力理理资因框源素架因》素
3.自主创新因素 4.财务因素 5.安全环保因素
定性与定量 相结合
风险规避 风险降低 风险分组 风险承受
目标设定
来编制公允披露的财务报表。
财务报告目 标
遵循性 目标
• 企业在从事经营和其他特定活动时必须遵守适用的法规。 • 企业遵纪守法的记录——无论是正面的，还是负面的——都会极大地影响企业在社
会上的形象。
（2）目标之间的联系
• 目标之间应该是互补和相互联系的。企业层面的目标不仅应该与企业的潜能和未来发 展相符，而且必须与各业务部门和职能单位的目标相一致。企业层面的目标须分成一 些子目标，这些子目标应与总体策略相符、且和贯穿企业的操作层目标相联系。