一、评估企业的管理环境 1.评价高层管理人员的知识、经验是否与企业战略目标相一致。高层管理人员如总经理或总裁的理念、知识、经验以及平常的行为习惯和冒险性,这些因素都是企业战略目标实现过程中的重要风险要素。由此,内部审计人员应当对决策人员的观念、知识、经验等要素进行考量,判断其是否可能制定出不适宜的战略,而使企业丧失发展机会,进而影响组织效率和业绩。如果战略决策层的组织结构、经验等与组织发展发生矛盾,由此产生的不和谐因素构成风险将有可能羁绊企业管理体系发展进步的脚步,进而提高决策成本、降低投资回报。 2.判断管理层的风险偏好是否与决策战略相符。对管理层风险偏好的评价是最为关键也是最困难的一环,这直接关系到后续对企业营销、财务、组织、控制和信息等方面风险的评估判断,甚至有可能影响到组织风险管理战略的判断。这就要求内部审计人员从企业环境、目标、文化,管理层尤其是决策层的专业、经验、心理特质,企业利害关系人的要求等方面测算度量管理层的风险偏好,再与企业应当选择的风险偏好匹配判断其是否将作出合适的战略。 二、评估目标设定的合理性 企业战略的实施、经营程序的实现以及商业模式的选择除了与企业利害关系人的决定相关联外,更与管理层尤其是董事会愿为企业目标的实现承受多大风险紧密相连。如果有较高的收益,组织管理层可能愿意为其目标的实现承受风险可能带来的成本,这种风险承担的态度便是“风险偏好”。应当说管理层的风险偏好为企业风险管理设置了基本标准,同时也就要求内部审计人员要将组织战略、商业模式与可能出现的风险结合起来进行系统而细致的评估,尤其要注意考虑将组织战略、经营与财务目标以及组织内部各个部门目标的合理性、有效性结合起来进行评估。 三、评估风险事件识别的充分性 风险事件的识别主要以详尽描述企业所处环境为要义。内部审计人员需要深刻了解企业内外部环境,如寿命周期、经营战略等,然后采取独立有效的分析方法综合分析推断企业发展中潜在的重大风险,为进一步评价企业管理策略以及风险处理方案的合理性提供重要依据。我们将企业发展中的重大潜在风险称为“风险征兆”,“风险征兆”综合风险要素与风险事件的特征,内部审计人员可以利用寿命周期分析法、盈亏临界点分析法等工具来捕捉将有可能出现的重大风险。 1.寿命周期分析法。这种分析评估的方法以企业组织不同的寿命周期所体现的经营、财务风险为考察对象,对不同企业发展阶段所表现出的特征进行风险评估。企业不同生命周期表现出的经营、财务风险如表1所示。 2.SWOT分析法。SWOT分析法将企业内外部环境中的有利及不利的条件放置于同一框架下加以考量,进行综合系统的分析,进而作出企业某项决策可行性与风险的评价,SWOT分析模型如图1所示。
3.盈亏临界点分析法。风险分析评估中的盈亏临界点分析借鉴了管理会计中的盈亏临界点的观点,评估之前依据企业战略决策推算盈亏的临界点,内部审计人员搜集企业的实际会计数据,然后分析各类风险是否达到或者接近临界点,并对风险进行定级,及时向管理和决策层进行报告。 四、评价风险评估的合理性 对风险事件识别工作完成后,应当对可能发生风险事件负面程度的定量值以及概率进行测算。对于已经建立风险预警机制的企业,风险评估可以为其提供合理的预警;对于已经形成的风险,可以对风险处理的执行状况进行评价,并找出不足,明确需承担的责任。 1.分析风险发生的可能性及频率。内部审计人员应当根据收集的实际数据对风险事件发生的可能性以及频率进行分析,借助二项分布、泊松分布等数理统计模型,根据数据及现象特征,遵循“大树定律”法则,对风险事件发生的可能性进行衡量。 2.风险性质与影响后果的分析。可以根据量化的数值将风险影响程度划分为“灾难性”、“主要”、“中等”、“次要”、“不重要”等级别,并根据这些级别,将各种情况进行详细描述。 3.风险事件的综合分析。根据风险管理部门的分析结果,内部审计人员可以利用收集得来的风险事件信息,对风险性质与程度进行综合评价界定,为企业制定科学有效的风险控制政策提供依据,如表2所示。 五、评估风险反应措施的恰当性 在风险策略的制定选择中,“风险反应”包括规避、控制、接受和转移等四种措施,每种方式的选择都应建立在风险与收益衡量的基础上。COSO风险管理框架有三种风险收益类别:一是现有量值与概率基本可以接受,这类风险可被评价为可接受的风险;二是风险发生概率与量值达到很大,无法通过有效手段加以抑制,并且组织无法接受,突破了企业的风险容忍度,这种风险应当选择从源头杜绝或规避;三是企业常见的风险类别,风险收益成本权衡后可以接受,这些风险可通过保险、套期保值或者其他衍生金融工具予以转移,或者通过联营、合作定价等手段进行分摊。内部审计人员对“风险反应”进行评估之时,需与管理层的风险偏好结合加以考虑。