第三章风险评估

•本章概要第一节目标设立第二节风险识别第三节风险评估第四节风险应对第五节coso新框架中风险评估的原则与要素第三章风险评估案例引入从中航油事件看企业风险管理•中国航油（新加坡）股份有限公司于1993年在新加坡成立，是中国航空油料集团有限公司的海外控股公司，石油类跨国公司。公司于2001年12月6日在新加坡股票交易所主板挂牌上市。该公司自1997年以来，凭借对国内进口航油市场的实质性垄断，净资产由16.8万美元增至2003年1.28亿美元，6年增长762倍，成为股市上的明星企业。2002年公司被新交所评为“最具透明度的上市公司”奖，并且是唯一入选的中资公司。公司总裁陈久霖被《世界经济论坛》评选为“亚洲经济新领袖”。•然而，正是这样一家明星公司，在2004年12月1日，宣布向法庭申请破产保护令，原因是因为公司在之前的石油衍生品交易中出现5.54亿美元的巨额亏损。事件披露后，新加坡投资者称其为1995年巴林事件后最大的金融丑闻。•经国家有关部门批准，新加坡公司在中国航油集团公司授权后，自2003年开始做油品套期保值业务。•在此期间，新加坡公司总裁陈久霖擅自扩大业务范围，从2003年开始从事石油衍生品期权交易，同日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外，签订了合同。陈久霖买了“看跌”期权赌注每桶38美元，没想到国际油价一路攀升—2004年10月以后，新加坡公司所持石油衍生品盘位已远远超过预期价格。根据合同，中航油需向交易方（银行和金融机构）支付保证金，每桶油价每上涨1美元，中航油新加坡公司要向这些银行支付5000万美元的保证金，其结果导致中航油新加坡公司现金流量的枯竭，实际损失和潜在损失总计5.54亿美元。中航油的失败除了内部环境原因之外，在风险评估方面也存在一些非常值得关注的问题:1.关注企业风险比关注企业细节控制更为重要•ERM框架要求董事会与管理层将精力主要放在可能产生重大风险环节上,而不是所有细小环节上,将风险管理作为内部控制的最主要内容•中航油公司曾在2003年被新加坡证券监督部门列为最具透明的企业,说明该企业确实在细节方面的内部控制做得非常周到。但是,从事后暴露出的结果来看,恰恰是在经营风险管理上出了问题。2.公司目标设定的随意性导致经营风险加大•内部控制体系要求管理人员要设立适当的目标，并且使选择的目标能支持、连接企业的使命，并与其风险偏好相一致。企业整体目标的设立形成了一个组织风险偏好，即从高处展望董事会和管理层将接受多大的风险。•2001年，在母公司支持下，中航油以中国航油垄断采购的概念成功登陆新加坡市场。然而，中航油总裁陈久霖并不满足单纯的油品现货交易，在董事会不知情的情况下，擅自将企业战略目标移位于不合规的风险极大的投机性期货交易，这种目标设定的随意性，最终导致了中航油的毁灭性打击。3.通过事项识别区分机会与风险•一个组织必须识别影响其目标实现的内、外部事项,区分哪些是风险、哪些是机会。可能有负面影响的事项代表了风险。可能有正面影响的事项代表了能抵消负面作用的机会,通过事项识别,能引导管理层战略或者目标始终能保持不被偏离。•2002年中航油新加坡公司的年报显示其当年的投机交易盈利,2003年下半年,中航油新加坡公司进入石油期权交易市场,到年底也赚了钱。事实上,这正是事项识别中的机会与风险问题。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估目标设定风险识别风险分析风险应对第一节目标设立企业内部控制学（第二版）65一、内部控制目标的含义二、如何设定内部控制目标1.制订战略目标(1)明确企业发展目标。(2)制订实现目标的战略规划。(3)制订年度计划及资金预算。(4)企业编制《企业预算管理办法》,明确编制预算的基本原则、内容、编制依据等。企业内部控制学（第二版）66(2)根据企业的发展变化,定期更新业务活动的目标。(3)配置资源以保证业务层面目标的顺利实现。(4)分解业务目标并下达。3.合理确定风险承受能力(1)风险偏好。(2)风险容忍度。(3)风险组合观。2.确定业务层面目标(1)制订业务层面目标。第二节风险识别企业内部控制学（第二版）67一、什么是风险识别二、风险因素的构成三、风险识别的方法1.现场调查法2.风险清单分析法3.财务状况分析法4.组织结构图分析法5.流程图法6.事故树法7.可行性研究企业内部控制学（第二版）68四、如何建立风险识别系统1.建立企业层面的风险识别系统（1）从外部专家处获得有关企业层面的风险意见（2）从内部管理人员处获得有关企业层面的风险意见2.建立业务层面的风险识别系统（1）从外部供应商、客户等相关利益方获取风险信息（2）从业务管理人员处获得风险信息第三节风险评估企业内部控制学（第二版）69一、什么是风险评估(一)风险评估的概念(二)风险评估的维度1.风险发生的可能性分析2.风险企业目标的影响程度分析二、风险评估的程序企业内部控制学（第二版）70图3—1风险评估的具体工作步骤企业内部控制学（第二版）712.确定风险评估的时间范围3.确定风险评估的空间范围4.运用风险评估技术及方法5.风险评估的结果描述1.确定风险评估实施主体第四节风险应对企业内部控制学（第二版）72一、风险应对策略1.风险回避2.风险降低3.风险承受4.风险分担二、如何选择风险应对策略(一)基本原则企业内部控制学（第二版）73(2)对在整体风险承受能力和具体业务层面上的可接受风险水平之内的风险,在权衡成本—效益之后无意采取进一步控制措施的,可以实施风险承受策略。(3)对在整体风险承受能力和具体业务层面上的可接受风险水平之内的风险,在权衡成本—效益之后愿意单独采取进一步的控制措施以降低风险、提高收益或者减轻损失的,可以实施风险降低策略。(4)对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险,在权衡成本—效益之后愿意借助他人力量,采取包括业务分包、购买保险等进一步的控制措施以降低风险、提高收益或者减轻损失的,可以实施风险分担策略。(1)对超出整体风险承受能力或者具体业务层面上的可接受风险水平的风险,应当实施风险回避策略。(二)结合不同业务选择风险应对方案(1)一般情况下,对战略、财务、运营和法律风险,可采取风险承受、风险回避、风险分担等方法。(2)通常情况下,对能够通过保险、期货、对冲等金融手段进行理财的风险,可以采用风险分担、风险降低等方法。(3)风险应对的选择还应从企业范围内组合的角度去考虑。第五节coso新框架中风险评估的原则与要素原则要素（关注点）1企业制定足够清晰的目标，以便识别和评估有关目标所涉及的风险——运营目标1a反映管理层决策2a考虑风险忍受度3涵盖运营和财务目标4形成投入资源的基准——外部财务报告目标1b符合会计准则2b考虑重要性水平5反映企业活动——外部非财务报告目标1c符合外部标准和框架2c考虑精准度要求5反映企业活动——内部报告1a反映管理层决策2c考虑精准度要求5反映企业活动——合规目标1d反映外部法律法规2a考虑风险忍受度原则要素（关注点）2企业从整体角度来识别和分析实现目标所涉及的风险，并据此决定应如何管理风险6涵盖总公司、子公司、分支机构、事业部和职能部门7分析内部和外部因素8涵盖适当层级的管理9评估风险识别的重要性10决定如何应对风险3企业在评估影响目标实现的风险时，考虑潜在的舞弊行为11考虑不同类型的舞弊12评估员工承受的压力和激励手段13评估舞弊发生的机会14评估态度和合理性4企业识别并评估可能会对内部控制系统产生重大影响的变更15评估外部环境辩护16评估商业务模型变化17评估领导层变化一、目标设定的含义目标设定是企业在识别和分析实现目标的风险并采取行动来管理风险之前，采取恰当的程序去设定目标，确保所选定的目标支持和切合企业的发展使命，并且与企业的风险承受能力相一致。•风险是不能实现目标的可能性，目标设定是风险识别、风险分析和风险应对的前提。•目标设定流程：设定战略目标设定经营目标设定财务报告目标设定合规性目标设定资产安全目标确定企业整体风险承受能力可接受风险水平确定具体业务层次上的（一）战略目标•战略目标反映了管理层就主体如何努力为其利益相关者创造价值所作出的选择，是高层次的目标，与其使命相关联并支撑其使命。•企业在考虑实现战略目标的各种方案时，必须考虑与各种战略相伴的风险及其影响。影响战略选择的因素内外部环境因素公司在行业中所处的地位机遇和挑战当前的目标和使命当前的经营状况战略目标方面的关注点主要包括：1.管理层对企业绩效现状进行的评估。2.对内部和外部环境的监测分析。3.战略目标体系。4.战略选择遵循必要的流程，以及获得了充分的讨论。5.对目标实现与现有资源状况之间的匹配程度进行的评估。6.设定战略目标可接受程度。7.就战略目标与企业内部员工和外部相关利益集团之间的沟通。（二）经营目标•经营目标与企业经营的有效性和效率有关，包括业绩和盈利目标的实现，需要反映企业运营所处的特定经营、行业和经济环境。•经营目标来自公司的战略目标和战略计划，并与之紧密联系，是随着具体对象和不同时段制定的，这些目标应针对每个重要业务活动并与其他业务活动保持一致。经营目标方面的关注点主要包括：1.经营目标与公司战略目标及战略计划一致；2.经营目标适应公司所处的特定经营环境、行业和经济环境等；3.各个业务活动目标之间保持一致；4.所有重要业务流程与业务活动目标相关；5.适当的资源及有效配置；6.管理层制定的公司经营目标及他们对目标的负责程度。（三）报告目标•报告目标与报告的可靠性有关。•可靠的报告能够：1、为管理层提供适合其既定目标的准确而完整的信息。（也是外部监管的要求）2、支持管理层的决策。3、并对主体活动和业绩实施有效监控。报告目标方面的关注点主要包括：•1.管理层决策及对公司活动、业绩监控的准确、及时、完整的信息的对内报告。•2.满足投资者、监管部门及其他相关信息需求者真实、可靠、完整的信息的对外报告。•3.信息的全面性，不仅是财务信息。（四）合规目标•合规目标与企业活动的合法性有关。•企业从事活动必须符合相关的法律和法规，并有必要采取具体措施。•企业需要根据相关的法律法规制定最低的行为标准并作为企业的遵循目标，企业的合规记录可能对它在社会上的声誉产生极大的正面或负面影响。合规目标方面的关注点主要包括：•公司的各项活动符合法律法规确定的要求，通常涉及知识产权、市场、价格、税收、环境、员工福利以及国际贸易等。（五）资产安全目标•资产安全目标是我国内部控制体系在COSO框架基础上结合国情的创新。•包括防止企业在经授权下无效率经营，损失资产；防止员工舞弊、防止本公司资产被盗等。•资产的安全与完整对于我国企业尤其是国有企业有非常重要的现实意义，近年来国有资产流失的案件屡有发生，内部控制应该把资产安全作为一个重要的目标来加以实现。资产安全目标方面的关注点主要包括：关注企业日常经营活动的效率提高企业的生产力和竞争力防止资产缩水关注资产使用及处置的授权情况。二、制定目标制定战略目标确定业务层目标合理确定风险承受能力风险管理目标的设计过程：（一）制定战略目标明确企业发展目标制定实现目标的战略规划编制预算管理办法制定年度计划及资金预算1243战略目标需要通过董事会及员工的相互沟通后确定，同时还要有支持其实现的资金预算及战略计划。制定战略目标的四个阶段：（二）确定业务层目标制定业务层目标定期更新业务活动目标分解业务目标并下达资源配置1243业务层目标来自企业战略目标及战略规划，并制约或促进企业战略目标的实现。业务层面的目标应具体并具有可衡量性，且与重要业务流程密切相关。确定业务层目标的四个阶段：（三）合理确定风险承受能力•在目标设定阶段必须解决的三个问题风险偏好1风险容忍度2风险组合观3•1.风险偏好：企业在实现其目标过程中愿意接受的风险的数量，采用定性定量两种方法对风险偏好加以度量。•2.风险容忍度：在企业目标实