风险管理评价

风险管理评价可用以检查，评价风险管理过程的充分性和有效性：

1．评价风险管理主要目标的完成情况

主要表现在评价公司以及同行业的发展情况和趋势，确定是否可能存在影响企业发展的风险；检查公司的经营战略，了解公司能够接受的风险水平；与相关管理层讨论部门的目标，存在的风险，以及对降低风险和加强控制的活动评价其有效性；评价风险监控报告制度是否恰当；评价风险管理结果的充分性和及时性；评价管理层对风险的分析是否全面，为防止风险而采取的措施是否完善，建议是否有效；对管理层的自我评估进行实地观察、直接测试，检查自我评占所搜集的信息是否准确，以及审计技术的应用；评占与风险管理有关的薄弱环节，并与管理层、董事会、审计委员会讨论，提出意见并监督实施。

2．评价管理层选择的风险管理方式的适当性

每个公司应根据自身活动来设计风险管理过程。一般说来，规模大的、有市场融资能力的公司必须用正式的定量风险管理方法：规模小的，业务不太复杂的，则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。

一、企业风险管理机制评价指标

评价企业对风险是否能够进行有效的管理，首要问题是考察企业的风管理机制。概括地说，企业风险管理机制主要寓于决策机制和内控机制中。企业的投资风险管理，取决于决策机制。企业实际运营与操作中的险管理，取决于内部控制机制。

(一)评价决策机制

主要关注三点：一是进行权力结构科学合理性分析，对其制衡机制的有效性作出判断；二是进行决策程序的可行性分析，考察具体执行过程中是否常有“例外”情况发生；三是进行决策责任的确定性分析，即考察决策责任是否落实到具体人，发生决策失误时，能否找到应该承担责任的人。良好的决策机制主要表现为：权力结构合理，责任与权力统一，制衡机制有效，决策程序能够严格执行，出现决策失误责任人明确具体。

(二)评价内部控制机制

主要关注四点：一是内控制度是否健全，企业运营的所有操作都要有据可依，内部控制不能基于“天网恢恢，疏而不漏”的概念之上，内部控制制度必须全面、严密、明确、具体；二是内控制度执行是否严格，“有法不依”是风险防范的“天敌”，比“无法可依”危害更大，在企业运营中，任何人、任何行为都不能有“例外”；三是组织结构是否有利于内控机制的正常运转，不相容的职务是否分设，制约制衡机制是否的效；四是“罚则”是否具体，能否落实。

二、企业经营风险管理评价指标

通常，对企业经营风险可以从生产、市场、资源、管理、财务、环境等方面进行考察和分析评价。具体做法可采取企业自测和专家分析相结合的方法。经过分析研究，对可能发生的风险列表，由企业相关人员对这些风险作出自测分析，在风险度上给出“高、中、低”三个层次等级的预测，然后再由有关专家进行鉴别。这种方法一般用来评价企业风险意识及风险管理的敏感程度。

(一)生产风险分析

主要分析设备(装备)的适用性，能否满足当前生产经营需要，能否满足企业发展需要；产品(或经营服务)的市场定位和市场地位，客户的满意程度；主要产品所处的技术寿命周期和市场寿命周期；产品(或经营服务)的质量状况；技术储备和新产品开发情况；生产(经营)成本的竞争能力；工艺合理性及先进程度。

(二)市场风险分析

主要分析本企业竞争优势、销售策略、销售网络、价格策略、市场份额，并与主要竞争对手进行对标分析。

(三)资源风险分析

主要分析人力、资本、原材料、能源、技术等重要资源的来源、价格、质量，以及资源占有率、地域分布等。

(四)管理风险分析

主要分析企业组织结构对企业发展战略的适应性，决策程序的合理性，对所属企业(分支机构)控制制度和控制方法的有效性，分配制度(激励机制)的合理有效性，业绩考核方式的合理合规性，内控制度的完备性和执行有效性。

(五)财务风险分析

主要分析资产结构的合理性，与本企业主业经营性质的适应性；根据财务报告，分析资产的可流动性和偿债能力；汇率、利率变动对企业的影响；财务信息的客观可靠性、及时性、完整性；财务信息对决策的影响力；投资评价制度的科学合理性，以及对投资主体的激励作用等。

(六)环境风险分析

主要分析企业外部因素变化给企业带来的风险，包括资金的供应状况对企业融资的影响；社会上能够满足企业发展需要的人力资源的质量、价格对企业的影响；国家法律和政策变化(如产业政策、金融政策、税收政策、环保政策、资源政策等)对企业发展的影响；重要客户、供应商的资信状况；社会技术进步状况及发展趋势对企业发展的影响；经济全球化的现状和发展趋势对企业生存空间及未来发展的影响；国际市场与国内市场变化对企业的影响等。

进行风险管理评价，如同启动正式的风险管理工作一样重要。因为，所有工作都是围绕企业的目标进行展开的。是否能够达到预期的设计，需要有明确的目标导向引导工作的进行。如此一来，树立清晰和可操作的标杆，就可以根据工作进展，及时界定风险管理工作的有效性。

实施风险管理工作类似计划假期旅行：除非选择了目的地，否则不能随意上路。同样，企业不能开始就计划风险管理工作，除非已经知道最终的目的。当管理层在年度报告中向董事会出具风险管理的报告时，如果肯定地回答出本年度对风险管理的工作卓有成效，并且企业的风险管理系统运行正常、管理有效，则意味着企业年度风险管理工作取得了满意的成绩。

企业建设全面风险管理体系是为了达到以下目标：

(1)从企业经营战略出发，统一风险度量，建立风险预控机制和应对策略；

(2)明确企业不同层面的风险管理职责，保证风险管理体系的落实；

(3)形成风险信息的收集、分析、报告系统，为风险的实时有效监控和应对提供依据；

(4)有效地规避或减轻可能给企业造成重大损失的风险，保证企业战略目标的实现；

(5)企业利益相关者能够了解企业的风险，满足股东、债权人以及监管机构的要求；

(6)形成一套自我运行、自我完善的风险管理机制；

(7)管理风险，创造价值。

企业全面风险管理体系是从企业整体层面建设企业的风险管理的整体架构，包括制定企业的风险管理战略、完善企业的内控体系、设计与优化企业的风险管理流程、设计企业风险管理组织结构及其职能，从而使企业建立起风险管理的长效机制，从根本上提升风险管理的效率和效果。

风险管理评价是根据风险管理的理想模式，对企业现行风险管理体系的健全性、遵循性与有效性进行的检测、分析和评定，其实质是评价企业风险管理体系的设计与执行情况。进行风险管理评价的意义主要体现在三个方面。

1．对风险管理制度可行性检测和改进

由于不同的企业，其经营规模、所面临的外部经营环境和内部经营环境不同，同样的风险管理体系在不同单位所产生的效果不尽相同，即使在同一单位，由于内外部各项条件的变化，其不同时期的风险管理与内部控制的效果也不相同。因此，定期或不定期地开展风险管理评价，不断地调整和完善企业的风险管理体系及内部控制制度，是有效实施全面风险管理的重要手段和必要环节。

2．对风险管理制度贯彻执行情况的检查和强化

通过风险管理与内部控制评价，不但能够发现和检测风险管理与企业内部控制制度的缺陷，而且可以了解员工对风险管理与内部控制制度的执行程度和执行结果，从而提高企业的经营管理水平。

3. 对企业审计和自律监管重点的选择和确定

随着现代企业的经营规模和经营业务的不断扩展，内部审计工作的业务量也不断加大，监督领域逐步拓宽，涉及企业经营管理的方方面面。在这样的情况下，如果再采取过去那种事无巨细全面审计的方式，是不可取的。通过风险管理与内部控制评价，可以首先发现风险管理与内部控制失控点和风险点，然后，有所侧重地集中力量，针对重点进行审计，从而提高审计工作的准确性和针对性，并降低审计成本。现阶段，西方先进的审计理论和方法已经相当科学和完善，内部审计已经发展到以风险管理与内部控制评价为主体、以风险防范为目标、以提高绩效为目的的高级阶段。

风险管理评价程序包括评价准备、评价实施、评价报告、评价等级认定、评价结果利用和后续审计等步骤。

1．收集评价资料

为全面掌握评价期内被评价单位风险管理与内部控制状况，评价机构应收集整理评价期内被评价单位的以下资料：上级单位向被评价单位授权的文件，以及被评价单位制定的规章制度；被评价单位主要业务经营指标的完成情况和风险指标控制情况；对被评价单位的内外部审计及监管检查报告、通报、整改通知书等；被评价单位及其下属单位发生的案件和责任事故情况等。

收集评价资料的方式一般有三种：一是向被评价单位有关管理人员和当事人询问有关风险管理与内部控制的现状情况；二是查阅被评价单位有关风险管理与内部控制的规章制度和文件资料，如果被评价单位编有风险管理与内部控制流程图或其他专门描述其风险管理与内部控制的文件资料，可直接索取并加以利用；三是查阅以前年度有关被评价单位风险管理与内部控制方面的审计或评价档案。如果以前曾对该单位进行过风险管理与内部控制评价，那么，以前的档案也是评价人员了解被评价单位风险管理与内部控制现状的一项主要依据。

2．非现场评价结果汇总分析

对评价期内收集的评价资料进行综合汇总分析，在此基础上，对非现场评价未涉及和需要进一步核实的评价点，确定为现场评价的重点内容。

3．制定评价方案

在对被评价单位风险管理进行了解分析和非现场评价的基础上，制定评价实施方案，明确评价的目的、时间、内容、范围、方法等。

4．组成评价

组抽调审计人员、企业管理专家与专业技术人员等组成评价组。评价人员应经过风险管理与内部控价的培训，具备相应的评价能力，掌握评价方法和标准。

5．征求上级单位有关部门对被评价单位的评价意见

评价前向被评价单位的上级单位各有关部门发出《风险管理与内部控制评价征求意见表》(表1)，了解上级单位有关部门对被评价单位风险管理与内部控制状况的意见。

表1 　　　　　　　　风险管理与内部控制评价征求意见表

处室名称：　　　　　　　　　　　　　　　　　　　　　　　　评价年度：　　年度

6．发出《风险管理与内部控制评价通知书》

现场评价前，上级单位向被评价单位发出《风险管理与内部控制评价通知书》(参考格式见表2)，同时发出“被评价单位提供资料清单”(参考格式见表3)、“被评价单位各部门提供资料清单”(参考格式见表4)和“风险管理与内部控制评价问卷'，要求被评价单位及其各部门按照资料清单的要求提供有关资料。问卷的内容在对被评价单位首次评价时，要求被评价单位全部回答。在之后的评价中，可根据实际情况，选择问卷的全部或部分内容进行调查。

表2 　　　　　　　　　　　　风险管理与内部控制评价通知书

被评价单位：

发文单位：(公章)

年 月 日

表3 　　　　　　　　　　　　被评价单位提供资料清单

表4 　　　　　　　　　　　　被评价单位各部门提供资料清单