風險評估概念有廣義和狹義之別。廣義的風險評估相當於風險管理,包括目標確定、風險識別、風險評估(風險計價、風險分析、風險評價)以及風險應對等主要內容。筆者認為,可以將風險評估直接細化為風險計價、風險分析、風險評價。狹義的風險評估是在風險識別的基礎上對風險進行計量、分析、判斷、排序的過程,包括風險計價、風險分析、風險評價等步驟,是風險應對、風險控制的主要依據。此外,還有更狹義的風險評估的定義,是指在風險識別的基礎上,企業進一步分析風險發生的可能性和對目標實現的可能影響程度,即風險分析。 需要說明的是,廣義風險評估即為風險管理,也是內部控制中管理控制的重要內容之一。狹義風險評估可作為內部控制構建和實施的一個流程,並要與具體業務流程相結合,離開具體業務的風險評估是沒有現實意義的。筆者認為,風險管理可作為管理控制的內容,風險評估可作為內部控制的流程,且應當以風險管理來統領所有風險評估的內容。 風險評估的內容 簡單來說,風險評估的內容就是評估風險發生的可能性和影響。可能性表示一個給定事項將會發生的機率,影響則代表它的後果。筆者認為,對於風險發生機率的估計要考慮以下因素:風險相關資產的變現能力、經營管理中人工參與的程度以及經營管理中是否涉及大量繁雜的人工計算等。影響程度分析主要是指對目標實現的負面影響程度分析。風險影響程度大小是針對既定目標而言的,因此對於不同的目標,企業應採取不同的衡量標準。 基於風險管理的內部控制,主要是對固有風險和剩餘風險進行評估,也就是既考慮固有風險,也考慮剩餘風險。固有風險是在沒有采取任何措施改變風險的可能性或影響的情況下,企業所面臨的風險。剩餘風險是在風險應對之後所殘餘的風險。對剩餘風險的評估是指對企業風險控制或日常的管理活動中採取應對措施之後的風險進行的評估。 從嚴格意義上來說,風險評估主要是對剩餘風險的評估。明確針對風險應對之後的剩餘風險進行評估,就要樹立一個風險評估持續性和重複性的互動過程,風險評估不是一次性的管理活動。無論是對固有風險的評估還是對剩餘風險的評估,始終不變的是要從可能性和影響兩個方面來進行。 當然,風險評估不能只把注意力集中在危險上,而是既要考慮因危險而退縮的風險,也要考慮未抓住機會的風險。也就是說,在評估風險發生的可能性和影響的同時,還要評估機會失去的可能性和影響。 一般來說,對識別出來的風險,從可能性和影響兩個方面進行評估後,就可以根據評估的結果採取應對措施。
風險評估概念有廣義和狹義之別。廣義的風險評估相當於風險管理,包括目標確定、風險識別、風險評估(風險計價、風險分析、風險評價)以及風險應對等主要內容。筆者認為,可以將風險評估直接細化為風險計價、風險分析、風險評價。狹義的風險評估是在風險識別的基礎上對風險進行計量、分析、判斷、排序的過程,包括風險計價、風險分析、風險評價等步驟,是風險應對、風險控制的主要依據。此外,還有更狹義的風險評估的定義,是指在風險識別的基礎上,企業進一步分析風險發生的可能性和對目標實現的可能影響程度,即風險分析。 需要說明的是,廣義風險評估即為風險管理,也是內部控制中管理控制的重要內容之一。狹義風險評估可作為內部控制構建和實施的一個流程,並要與具體業務流程相結合,離開具體業務的風險評估是沒有現實意義的。筆者認為,風險管理可作為管理控制的內容,風險評估可作為內部控制的流程,且應當以風險管理來統領所有風險評估的內容。 風險評估的內容 簡單來說,風險評估的內容就是評估風險發生的可能性和影響。可能性表示一個給定事項將會發生的機率,影響則代表它的後果。筆者認為,對於風險發生機率的估計要考慮以下因素:風險相關資產的變現能力、經營管理中人工參與的程度以及經營管理中是否涉及大量繁雜的人工計算等。影響程度分析主要是指對目標實現的負面影響程度分析。風險影響程度大小是針對既定目標而言的,因此對於不同的目標,企業應採取不同的衡量標準。 基於風險管理的內部控制,主要是對固有風險和剩餘風險進行評估,也就是既考慮固有風險,也考慮剩餘風險。固有風險是在沒有采取任何措施改變風險的可能性或影響的情況下,企業所面臨的風險。剩餘風險是在風險應對之後所殘餘的風險。對剩餘風險的評估是指對企業風險控制或日常的管理活動中採取應對措施之後的風險進行的評估。 從嚴格意義上來說,風險評估主要是對剩餘風險的評估。明確針對風險應對之後的剩餘風險進行評估,就要樹立一個風險評估持續性和重複性的互動過程,風險評估不是一次性的管理活動。無論是對固有風險的評估還是對剩餘風險的評估,始終不變的是要從可能性和影響兩個方面來進行。 當然,風險評估不能只把注意力集中在危險上,而是既要考慮因危險而退縮的風險,也要考慮未抓住機會的風險。也就是說,在評估風險發生的可能性和影響的同時,還要評估機會失去的可能性和影響。 一般來說,對識別出來的風險,從可能性和影響兩個方面進行評估後,就可以根據評估的結果採取應對措施。