歡迎進入：2009年注冊會計師報套餐班，享受五折優(yōu)惠！更多信息訪問：考試大注冊會計師論壇

第三節(jié) 風險管理程序

風險管理程序可分為四個步驟:第一步是風險識別;第二步是對主要風險進行評估;第三步是確定風險評級和應對計劃;第四步是風險監(jiān)察。
風險管理程序要求識別和了解企業(yè)面臨的各種風險，以評估風險的成本、影響及發(fā)生的可能性，并針對出現(xiàn)的風險制定應對辦法，制定文件記錄程序以描述發(fā)生的情況以及實施的糾正舉措。
風險管理程序應覆蓋整個企業(yè)，包括各級人員和各個部門。大型企業(yè)可能會組建一個由風險管理專業(yè)人員構成的專門小組，而小型企業(yè)亦會安排一些人員負責管理整個企業(yè)內(nèi)部的風險管理程序。無論是設立了正規(guī)的風險管理部門或是指定了專門的管理者，企業(yè)風險管理均涉及眾多人員。上述風險管理程序中的四個步驟應在企業(yè)的各層面得以執(zhí)行，并且不同工種的人員均應參與。無論是設在小地方且各種設施不完善的小型企業(yè)還是大型企業(yè)，均應制定常見的風險管理方法。這對于當今普遍出現(xiàn)的全球機構來說尤為重要。全球機構可能設立了多個經(jīng)營單位，開展不同的商業(yè)經(jīng)營活動，并在不同國家建立多種設施。一個單位內(nèi)的風險可能直接對另一單位的風險產(chǎn)生影響或與之相關，但是對其他風險的考慮卻可能實際上是獨立的。這些常見風險可能在多種情況下出現(xiàn)，比如財務決策失誤、客戶口昧的變化以及新的政府監(jiān)管規(guī)定。以下將對風險識別、評級及分析作出詳解。
一、風險識別
管理層需要充分了解企業(yè)所面臨的風險。風險管理中最大的問題是沒有認識到潛在的障礙威脅。企業(yè)需要知道損失來自何處并能夠找出受益于損失控制程序的問題領域。然而，風險管理人員不能對未能識別和計量的風險因素采取行動。作為起點，企業(yè)應通過正式的檢查程序來全面分析風險和損失。這種風險審查允許企業(yè)評估真正的成本驅(qū)動因素，以便設計適當?shù)膿p失控制和預防計劃，來減少高風險的活動和高成本的損失事件。
因此，管理層應盡力識別所有可能對企業(yè)取得成功產(chǎn)生影響的風險，包括整個業(yè)務面臨的較大或重大的風險，以及與每個項目或較小的業(yè)務單位關聯(lián)的不太主要的風險。風險識別程序要求采用一種有計劃的、經(jīng)過深思熟慮的方法，來識別業(yè)務的每個方面存在的潛在風險，并識別可能在合理的時間段內(nèi)影響每項業(yè)務的較為重大的風險。目的并不只是羅列每個可能的風險，而是識別那些可能對運營產(chǎn)生影響的風險。即在合理的時間段內(nèi)，發(fā)生風險的可能性的大小。如果企業(yè)不得不面對某種風險，而又不知道發(fā)生風險的可能性或后果，則對風險進行識別可能比較困難。
風險識別程序應在企業(yè)內(nèi)的多個層級得以執(zhí)行。對每個業(yè)務單位或項目有影響的風險，可能不會對整個企業(yè)產(chǎn)生同樣大甚至更大的影響。因此，對整個經(jīng)濟體產(chǎn)生影響的主要風險會分流到各個企業(yè)及其獨立的業(yè)務單位。某些主要風險發(fā)生時會產(chǎn)生很大的影響，但發(fā)生的頻率不高，所以這種風險較難認定。
風險識別的方法之一是集體討論可能的風險領域。通過這種方法動員知悉情況的人員迅速給予答復，把他們腦子里第一個想到的事情說出來。指定的主持人向每個小組提出一個與風險有關的問題，然后要求小組成員依次說出他們的想法。之后由風險管理小組對集體討論后識別的所有風險進行復核，并且認定核心風險。由于風險識別程序一直伴隨著討論和分析活動進行，最后認定的風險與最初識別的一組風險相比，可能會有所改變。企業(yè)及具體的經(jīng)營單位最后認定的組織風險，應提供給負責經(jīng)營和財務管理的人員，以及參與集體討論的小組。在開始風險評估前，可恰當?shù)貙φJ定結果進行更改。
之后，為識別風險進行的集體討論的結果，應提供給未參與討論的其他單位。應按照來自整個企業(yè)的評論和討論，增加己識別風險。風險識別并非詳盡的分析和討論活動，但是每個人在短時間內(nèi)產(chǎn)生的想法或評論，會對其他人的想法和評論起到拋磚引玉的作用。
啟動風險識別程序的一種不錯的方法是，找出列明屬于企業(yè)層面的重要設施及經(jīng)營單位的高層級的組織結構圖。每個重要的經(jīng)營單位都可能在全球許多地方建立了設施，也可能開展丁多種不同的業(yè)務。每個單獨的設施也會有其自己的部門或職能，其中一些部門相互之間是密切關聯(lián)的，而另外一些部門與企業(yè)投資幾無差別。應在整個企業(yè)范圍內(nèi)實施風險識別程序以識別各獨立領域的所有風險。誠然，這很困難，有時甚至是比較復雜的任務。而且，企業(yè)內(nèi)處于不同級別的不同成員將從不同的角度考慮某些相同的風險。更高級的管理層一般會注意與經(jīng)營相關的一組風險，但這些風險的水平不盡相同。但是，所有這些風險至少應被識別出來，并分別按照每一個經(jīng)營單位及整個企業(yè)層面考慮這些風險。
要使風險識別程序生效，就要求不只是簡單地向所有經(jīng)營單位發(fā)出郵件，還應要求列出其單位面對的主要風險。對這種要求的一般反應將是給出的答復不一致且涉及范圍廣泛，并且沒有通用的方法。更好的方式是，弄清楚企業(yè)內(nèi)各級別的人員，要求他們擔任風險評估人。對每個重大的經(jīng)營單位，應識別負責運營、財務、會計、信息技術和單位管理的各類主要人員。這些人員將以識別及幫助評估其所在單位的風險為目標，而這些單位應該是被包括在風險識別模型架構之內(nèi)的。這樣的方式可由企業(yè)風險管理小組或類似的部門來牽頭，比如內(nèi)部審計部。
二、對主要風險的評估
風險通常是相互依存的。應依據(jù)組織結構考慮和評價風險間的相互依存關系。企業(yè)應關注企業(yè)內(nèi)各層級的風險，但實際上各層級可能僅對其范圍內(nèi)的風險實施了控制。每個經(jīng)營單位負責管理其面臨的風險，但是可能受到組織結構中上一級單位或下一單位的風險事件的影響。企業(yè)的每個經(jīng)營單位應認識到，自身遇到的許多風險，均可能對企業(yè)內(nèi)其他單位產(chǎn)生影響。
1 識別出對企業(yè)的各個層級有影響的重大風險后，下一步是對風險發(fā)生的可能性及相對重大程度進行評估。這對于通過集體討論快速識別的風險尤為重要。可用于評估風險的方法有很多，包括最佳猜想定性法( best-guess qualitative approach，這種方法相對比較快)，以及一些詳盡的、非常精確的定量方法。
用以評估風險影響的常見的定性方法是制作風險評估系圖。風險評估系圖識別某一風險是否會對企業(yè)產(chǎn)生重大影響，并將此結論與風險發(fā)生的可能性聯(lián)系起來。這種方法能夠為確定業(yè)務風險的優(yōu)先次序提供框架。如圖 9 -1所示，與影響較小且發(fā)生的可能性較低的風險(在圖中的點 2)相比，具有重大影響且發(fā)生的可能性較高的風險(在圖中的點 1)更加亟待關注。每種風險的重大程度及影響會因企業(yè)結構的不同而有所差別。

圖9 -1 風險評估系圖

此外，還有大量工具可用來確定風險對企業(yè)的影響，比如情景設計、敏感性分析、決策樹 (decision tree)、計算機模擬、軟件包和對現(xiàn)有數(shù)據(jù)的分析。
(1)情景設計。通常借助企業(yè)內(nèi)部的討論，形成關于未來情況的各種可能的看法。
(2)敏感性分析。該分析從改變可能影響分析結果的不同因素的數(shù)值人手，估計結果對這些變量的變動的敏感程度。
(3)決策樹。常用于目標管理中，以證實每個階段存在的不確定性，根據(jù)每種可能的結果出現(xiàn)的可能性及包含的現(xiàn)金流量，評估項目的期望值。
(4)計算機模擬。利用概率分布，并重復運行，為某項目識別許多可能的情景和結果。
(5 )軟件包。旨在協(xié)助風險識別和分析程序。
(6)對現(xiàn)有數(shù)據(jù)的分析。對現(xiàn)有數(shù)據(jù)作出分析能夠有效地掌握過去風險的影響。
在評估風險時，應留意的是概率與不確定性。特別是在識別出大量風險后，評估小組應逐個考慮風險、可能性以及發(fā)生的情況(以概率表示，范圍為 0-1 )。需要強調(diào)的是，本質(zhì)上來說，風險可能不會保持不變，也不是 100%會發(fā)生。關于概率的另外一個基本規(guī)則是，不得將獨立的概率估計相加，得出綜合估值。
三、確定風險評級和應對策略
1.確定風險評級風險無處不在。企業(yè)的成功常?？梢詺w結為確認和管理伴隨潛在機會及收益的可能風險。大多數(shù)企業(yè)面臨的風險類型是不同的，且范圍廣泛。風險一般分為財務和運營風險兩大類別。風險類型包括市場價格波動的敞口、對手信貸違約和法律責任等。在采取風險管理行動之前，識別風險是至關重要的。
接下來，企業(yè)的典型做法是檢查風險評級，并得出一份列明潛在風險的清單。系統(tǒng)化的程序有助于識別風險以及按照數(shù)量對風險評級，這可以作為關鍵的第一步，但是有效的風險管理策略一般取決于量化的風險，而這常常通過概率模型技術得到。風險的計量和估值是風險管理中最有難度的工作，但是這對于具成本效益的風險管理及精明的決策是至關重要的。花費一定的時間和資轆，利用工具和專門技術，正確地量化公司的主要風險，對于后期的風險管理程序是有幫助的。此外，在識別、量化和緩解風險時，需要注意的一個關鍵要素是風險之間的相五影響和相互關系。例如，信貸風險的敞口還可能影響市場價格風險;而運營風險，比如舞弊可能造成法律及名譽風險。應認識到不同公司活動的風險相互影響，這是現(xiàn)在大企業(yè)廣泛采用的適合企業(yè)范圍的風險管理方法的一個基礎。
下一步是按照已確定的重大程度和可能性估值，計算風險評分，并識別最為重大的風險。根據(jù)影響及可能性，對風險進行優(yōu)先次序的排列。評分較高的風險，將被記人如圖 9 -1所示的右上角的象限中，這被稱作風險推動因素或主要風險。然后，企業(yè)應將注意力繼續(xù)放在這些主要風險上。
進行優(yōu)先次序排列時，不應僅考慮財務方面的影響，更重要的是考慮對實現(xiàn)企業(yè)目標的潛在影響。并非所有的風險經(jīng)過識別后都是重大風險。非重大的風險應定期復核，特別是在外部事項發(fā)生變化時，應檢查這些風險是否仍為非重大風險。
企業(yè)風險評估小組應逐個識別各個單位，以確定各層級的風險已評估完畢，而且從整個企業(yè)來說，風險的可能性和重要估值是適當?shù)摹Ｖ档昧粢獾氖?，遠離企業(yè)總部、在偏遠的地方發(fā)生的風險事件可能常常給整個企業(yè)帶來重大問題 C
然后，風險評估小組要監(jiān)察每一被識別的風險，估計承擔風險的成本。之后用戚本乘以風險因素概率，得出風險的期望值。風險評估小組應與企業(yè)內(nèi)的其他專業(yè)人員合作計算風險估值。計算期望值時，無需對成本進行詳細的研究，也不需要使用大量的歷史趨勢和估計作為支持。己識別風險的估值可作為持續(xù)的風險矯正決策的基礎。
由于市場條件和波動性水平會改變，對手的財力會變化，物理環(huán)境會變化，地緣政治形勢也會變化。所有這些變化可能突然出現(xiàn)，也可能悄悄出現(xiàn)，不易被發(fā)現(xiàn)。企業(yè)活動產(chǎn)生的風險敞口也可能發(fā)生改變。有效的風險管理要求企業(yè)持續(xù)對風險進行重新評估，并且在企業(yè)風險管理架構中加入程序，以評估當前存在的及預期的風險敞口。預測未來敞口是必要的，原因是
風險管理的決策是以預期風險水平為基礎的。
2.應對策略
管理層可針對己評估的關鍵性風險作出回應?？蛇x的應對風險策略有風險降低、風險消除、風險轉移和風險保留。管理層可以選擇一個或多個策略結合使用。
(1)風險降低。"風險降低"的風險應對策略，亦稱作風險緩解。不同的實際情況適用不同的風險降低方法。常用的一種形式是風險分散，即通過分散的形式來降低風險，比如在多種股票而非單一股票上投資。不愿"將所有的雞蛋放在一個籃子里"的企業(yè)會采用的是風險分散策略。
風險降低的概念是基于企業(yè)不愿意被動接受特定的后果分布狀態(tài)，而通過自身努力改變不利后果的概率。為改變后果分布狀態(tài)所做的努力，稱為風險緩解。企業(yè)成功地降低風險后，其成果分布狀態(tài)將不再是極端的。
緩解風險可以采取多種形式，包括采用套期。套期是交易商建立證券、商品或貨幣對沖持倉，從而抵消所面臨的風險。企業(yè)還可以采用其他許多方法降低風險敞口，包括市場研究、地區(qū)及。產(chǎn)品線的多樣化、篩選和監(jiān)控客戶、外包、給產(chǎn)品定價時分配風險酬金、存貨或股權計入生產(chǎn)量中，以及推行巳制定的程序，以將經(jīng)營風險降至最低。但這種策略在很大程度上取決于套期成本、企業(yè)承受風險及潛在損失的能力。為進行套期開展的交易活動，不應出于交易可能被誤解為投機行為的擔憂而放棄。但是，不同的套期工具對于各個公司及環(huán)境來說，成本效益可能不同，是否合適也另當別論。
(2)風險消除。"風險消除"策略包括風險避免、風險化解、風險排斥和/或風險終止。采用風險消除的目的是，預期出現(xiàn)不利后果時，一并化解風險。
(3)風險轉移。采用風險轉移的目的是，將風險轉移給另一家企業(yè)、公司或機構。合同及財務協(xié)議是轉移風險的主要方式。轉移風險并不會降低其可能的嚴重程度，只是從一方移除后轉移給另外一方。
轉移風險時，管理層應考慮各方的目標、轉移的能力、存在風險的情景以及成本效益。其中一種轉移風險的方式是購買保險，購買保險具體來說就是企業(yè)通過向非關聯(lián)的第三方付款，讓其代為承擔風險。接受被轉移風險的一方，通常要收取保費。問題是，所支付的保費是否低于風險發(fā)生時吸收風險的財務影響的可能成本。即使企業(yè)相信其轉移了風險，但通常它并不能完全不受影響。比如，如果將某一工程項目的風險轉移給承包人，而承包人未能管理風險，導致項目推遲交付。即使承包人可能因推遲交付而面臨處罰，但是項目推遲已是在所難免。
(4)風險保留。風險保留包括風險接受、風險吸收和風險容忍。采取風險保留的策略，或者是因為這是比較經(jīng)濟的策略，或者是因為沒有其他備選方法(比如降低、消除或轉移)。采用風險保留時，管理層需考慮所有的方案，即如果沒有其他備選方案，管理層需確定已對所有可能的消除、降低或轉移方法進行分析來決定保留風險。此外，商業(yè)環(huán)境從來不是一成不變的，因此，企業(yè)在短期內(nèi)可能出現(xiàn)新的備選方法，比如保險合同、外包或開發(fā)其他市場斗通過定期風險復核，控制風險情景并清楚何時應作出決策，這是非常重要的。要確保不會與備選措施失之交臂，需進行積極的風險管理。而且，如果已經(jīng)特意作出了保留風險的決策，那么管理層應對付諸實施的影響及風險發(fā)生的可能性十分清楚。
總之，風險策略是風險管理總體程序至關重要的一部分。應參照以前的活動制定風險對策。由于情況是不斷發(fā)生變化的，必須緊跟風險識別和評估，立即實施應對策略。應仔細分析四種風險應對策略，即風險降低、風險消除、風險轉移和風險保留，一旦為一種特殊風險確定了風險應對類型，則必須制定具體措施，以落實這一應對策略。一般來說，風險不可能被完全消除。因此，如果能將風險降低至可接受的范圍，且風險應對措施的成本未超過收益，那么，可在保留風險的同時，執(zhí)行風險降低策略。
四、風險監(jiān)察
對主要風險的識別，絕不是一個單一的、一次性的過程。經(jīng)正規(guī)的集體討論或其他程序識別的一系列風險所在的環(huán)境，將隨著這些已識別風險性質(zhì)的改變而迅速出現(xiàn)變化。某些環(huán)境條件改變后，可能使風險變成更嚴重的威脅。例如，參與集體討論的小組可能對某個欠發(fā)達國家識別出一些潛在的政治風險。但是，事情常常在短時間內(nèi)發(fā)生，這個國家發(fā)生的政治變革可能使得這樣的擔憂變得更具危險性。企業(yè)則需要設立一項機制，對已識別的風險進行監(jiān)察。監(jiān)測內(nèi)容包括目標的實現(xiàn)過程，并關注新的風險和相關損失。
風險識別程序不是連續(xù)的。正如一個機構在編制年度預算后可能在每季度對預算進行修改一樣，風險識別程序常常是每年或每季度執(zhí)行一次。一旦風險被識別，企業(yè)必須對風險進行監(jiān)察，并在需要時不斷作出調(diào)整。風險監(jiān)察者定期檢查正在發(fā)生的損失，以了解他們的控制建議得以實施，并設計過程來改善風險管理的過程，制定一項戰(zhàn)略來應對出現(xiàn)的新風險。
風險監(jiān)察可由程序的所有者或獨立審查人員執(zhí)行，如企業(yè)風險管理部門或內(nèi)部審計師。
程序的所有者或負責風險領域的企業(yè)風險管理小組的成員能不斷提供最佳的風險狀況信息。企業(yè)根據(jù)正確的信息進行分析和預測，并持續(xù)對這些風險進行調(diào)研，提供對巳識別風險的可能性的最新評估。企業(yè)應利用信息，加強跟蹤反饋，以便進行風險管理，精確調(diào)整損失控制程序，并采取新的行動進一步減少損失。如果企業(yè)能夠識別可能導致重大損失、名譽損害或經(jīng)營中斷的主要缺陷，并且可以有效減輕這些風險.避免產(chǎn)生重大影響，他們將實現(xiàn)風險評估和改進流程的最終目標。
程序的所有者常常能提供某一時點對風險性質(zhì)的最公正的評估，只有特定幾類風險，其風險識別程序的所有者可能無法提供完全公正的信息。例如，除非推刷新產(chǎn)品，否則存在喪失市場份額的風險，則程序的所有者可能由于風險解決方案太過明顯，反而無法給出完全公正的跟進評估。
內(nèi)部審計師也常常能提供非?？煽壳彝晟频男畔?，來監(jiān)察己識別風險的當前狀態(tài)。內(nèi)部審計師可通過調(diào)查或面對面的會談來收集此類信息。內(nèi)部審計師常常特別值得信賴且非常權威，因此，當他們提出有關某些已識別風險領域的狀況時，負責相關領域的人員很可能會盡量提供準確的信息。如果內(nèi)部審計師無法取得關于某些已識別風險的狀況的信息，他們還能安排實地勘察，以更好地了解風險領域的性質(zhì)。本書第八章已為內(nèi)部審計的作用和職能范圍作了更詳盡的討論，在此不再重復。
準確的監(jiān)察程序是風險管理中至關重要的一部分。企業(yè)可能已執(zhí)行了為識別較重大風險而精心設立的程序。但是仍然必須定期對風險的當前狀況進行監(jiān)察，必要時對己識別的風險作出變更。

相關推薦：
2009年注冊會計師（新制度）考試大綱公司戰(zhàn)略與風險管理
2009年注冊會計師（新制度）考試《公司戰(zhàn)略與風險管理》樣題
準CPA“備考經(jīng)驗”與（新、老）考生共享
2009年新考生應把握學習四個環(huán)節(jié)
2009年注冊會計師公司戰(zhàn)略與風險管理免費試聽！