前言:我们精心挑选了数篇优质风险因素的识别和评估文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
在市场经济条件下,每个企业都面临着来自外部和内部的风险。企业内部控制就是通过对风险的控制以实现其目标的,风险评估是企业内部控制的重要内容之一。内部控制中的风险评估的概念有广义和狭义之分。广义的风险评估包括目标设定、风险识别、风险分析、风险应对等;狭义的风险评估仅仅是指风险分析,即通过采用定性分析和定量分析,按照企业风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
一、《内部控制框架》中的风险评估
美国COSO委员会《内部控制框架》所使用的风险评估概念属于广义风险评估,《内部控制框架》将其作为内部控制的关键构成要素。
(一)设定目标
根据《内部控制框架》,风险评估首先要设定目标。设定目标是风险评估的前提条件。风险是与目标伴随的,首先必须有目标,管理层才能对实现目标的风险进行识别。根据《内部控制框架》,目标设定不属于内部控制的构成要素,但它是内部控制的前提条件,为此《内部控制框架》专门对目标设定进行了论述。目标包括企业层面的目标和业务层面的目标。管理层通过目标设定来明确业绩衡量标准,目标具体分为经营目标、财务报告目标和合规目标。经营目标是管理层基于企业所处特定经营环境所设定的业绩衡量标准;财务报告目标在于对外公布的财务报告的可靠性;合规性目标则要求企业的经营活动遵循适用的法律法规。这些目标是相互补充和相互关联的。
(二)风险识别
1.风险识别必须与目标联系,无论目标是明确的还是隐含的,企业的风险识别应当考虑到目标实现面临的各种可能出现的风险。2.风险识别是一个持续性、反复的过程。3.进行风险识别时应当关注企业各个层面的风险,包括企业层面的风险和业务层面的风险。对主体层面的风险进行识别时,既要关注外部风险,也要关注内部风险。来自外部的风险主要有技术进步引起的风险、客户需求变化风险、市场竞争风险、法律法规变动风险、自然灾害风险以及经济环境变化风险等;来自内部的风险包括信息系统故障风险、员工素质能力等方面的风险、管理层变动风险以及董事会或审计委员会不作为的风险等。对业务层面的风险进行识别时,应当将该层面的风险评估集中于主要业务流程和主要职能上,如销售、生产、营销、研究开发等。应当识别对企业有重大影响的较为明显的风险。
(三)风险分析,即狭义的风险评估
企业在对企业层面的风险和业务层面的风险识别后,则需要进行风险分析。风险分析的方法多种多样。风险分析的过程通常包括估计风险的严重性、评估风险发生的可能性、评估应采取的措施等三个步骤。应当注意的是,作为内部控制一部分的风险评估,与作为管理过程应对措施而采取的计划、方案及其他措施存在着区别。
(四)建立识别环境变化的机制
风险评估本质上是一个识别变化并采取必要措施的过程。随着经济、行业和监管等外部环境的变化,企业的经营活动也将发生相应的调整,企业应当建立一套正式或非正式的程序,对可能影响企业目标实现的风险进行识别。管理层应当特别关注以下对环境影响的因素,这些因素包括已变化的经营环境、管理层人员更换及员工大规模更换、使用新的或调整后的信息系统、经营业务快速增长、采用新技术、开拓新的经营领域、进行公司重组等。企业应当建立一定的机制,对发生变化的外部环境进行识别。
二、《企业风险管理框架》中的风险评估
美国COSO委员会2004年的《企业风险管理框架》中将风险管理的要素划分为内部环境、目标设定、事项识别、风险评估、风险应对、信息与沟通和监控等八要素。根据《企业风险管理框架》,风险评估就是要对识别的风险进行分析,以形成确定如何对其进行管理的依据。这实际就是《内部控制框架》中的风险分析,属于狭义上的风险评估概念。《内部控制框架》中的风险评估实际上包括事项识别、风险评估、风险应对三项内容,而目标设定则作为内部控制的前提条件,不属于内部控制要素的范围。
风险总是与特定目标的实现相联系。如不出国旅游,则不会涉及到飞机失事的风险。根据《企业风险管理框架》,实施风险管理首先就涉及到设定目标。目标设定是事项识别、风险评估和风险应对的前提。《企业风险管理框架》正是出于风险管理的需要将目标设定作为风险管理的构成要素之一。《企业风险管理框架》中的目标包括战略目标和相关目标,战略目标是最高层次的目标,而相关目标则是建立在战略目标基础上的企业层面等的目标,企业层面的目标与更为具体的目标相关联,贯穿于整个企业,并具体为各项业务和各项职能的次级目标。《企业风险管理框架》要求设定的目标应当是可计量的,并要求企业各个层次人员根据各自所影响的范围了解企业设定的目标。设定的目标分为经营目标、报告目标、合规目标等三项。作为风险管理的一部分,企业在选择目标时要确保其目标与企业的风险容量相协调。风险容量是企业管理当局在董事会的监督下确定的,反映着企业的风险管理理念,并影响企业的文化和经营风格,是制定战略目标的风向标。战略目标应当选择与其风险容量一致的目标,并使风险反映于战略目标之中。
《企业风险管理框架》中的事项识别要求管理当局对源于内部或外部的影响战略实施或目标实现的事故或事件进行识别,对企业目标实现将带来负面影响的确定为风险,并对其进行评估和应对;将存在正面影响的确定为机会,将其反馈到战略或目标的制定过程之中。在对事项进行识别时,必须考虑企业整体范围内可能带来风险和机会的所有内部和外部因素。外部因素需要考虑的通常包括经济因素、自然环境因素、政治因素、社会因素、技术因素等;而内部因素需要考虑的通常包括人员、流程、技术等因素。
《企业风险管理框架》中的风险评估(即风险分析)要求进行风险评估时,既要考虑预期事项也要考虑非预期事项,对可能对企业存在重大影响的非预期的潜在事项和预期事项的风险进行评估;既要考虑固有风险,也要考虑剩余风险。固有风险是指管理当局未采取任何措施的情况下企业所面临的风险;而剩余风险则是在管理当局进行风险应对之后所残余的风险。确定相应的风险应对后,则集中考虑剩余风险的管理。
《企业风险管理框架》中的风险应对要求企业管理当局评估风险的可能性和影响,并在成本效益比较的基础上,选择能够使剩余风险处于期望的风险容限范围之内的应对策略。风险应对策略包括风险回避、风险降低、风险分担和风险承受。管理当局应当在企业范围内识别风险并确定企业总体剩余风险处于企业风险容量之内。
三、我国《企业内部控制基本规范》中的风险评估
我国《企业内部控制基本规范》中的风险评估使用的是广义上的风险评估概念,包括目标设定、风险识别、风险分析和风险应对。《基本规范》要求企业应当根据设定的控制目标,全面、系统、持续地收集相关信息,结合实际情况,及时进行风险评估。根据《基本规范》。风险评估的具体过程包括:
(一)控制目标的设定
设定控制目标是进行内部控制,特别是风险评估的前提。企业应当根据自身的实际情况,按照本身的发展规划合理确定战略目标。设定的目标应当尽可能量化,并细化为各业务活动和各职能部门的具体目标。内部控制目标的设定要切实可行,与内部控制发展的不同阶段相适应,设定不同要求的内部控制目标,并随着内部控制的发展,逐步提升内部控制目标。
(二)风险识别
《基本规范》要求企业进行风险评估时,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度即风险容量,是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
企业在识别内部风险时,应当关注和考虑的因素包括:1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;2.组织机构、经营方式、资产管理、业务流程等管理因素;3.研究开发、技术投入、信息技术运用等自主创新因素;4.财务状况、经营成果、现金流量等财务因素;5.营运安全、员工健康、环境保护等安全环保因素;6.其他有关内部风险因素。上述因素的现状往往是风险存在的基础,上述因素的变动则往往会诱发新风险的产生。
企业识别外部风险,应当关注和考虑的因素包括:1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;2.法律法规、监管要求等法律因素;3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;4.技术进步、工艺改进等科学技术因素;5.自然灾害、环境状况等自然环境因素;6.其他有关外部风险因素。上述因素实际上是企业经营活动所处的外部环境,外部环境的变动必然会影响到企业的经营活动,有可能给企业带来新的风险,如一项新的技术被其他同行所采用,有可能导致企业所占有的市场份额发生变化而带来风险。再如政府颁布实施较过去更为严格的监管法律,由此可能导致本企业传统加工方法无法继续使用,从而导致风险的产生。
(三)风险分析
《基本规范》要求企业采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。鉴于风险分析的专业性和复杂性,要求企业进行风险分析时充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。风险分析的目的在于为企业风险应对提供依据。由于企业董事、经理和其他高级管理人员在企业经营活动中的特殊地位,其个人风险偏好对经营活动等具有重大影响,企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,并予以特别关注,避免因个人风险偏好给企业经营带来重大损失。
(四)风险应对
【摘要】随着企业规模的不断扩 大、企业组织方式和经营方式复杂化,企业面临的税务风险日益显著。特别是“安然”、“世界通讯公司财务欺诈案”事件之后,更加推动了西方发达国家对企业税务风险的高度重视,纷纷开始探索解决企业税务风险的方法。本文分析了我国税务风险管理存在的问题,并对如何构建我国企业税务风险识别、评估体系做了阐述。
【关键词】税务风险 企业税务风险管理 税务风险控制
识别、评估税务风险是企业税务风险管理的核心内容的一部分,是企业制定税务风险应对措施的基础。对企业税务风险进行识别,可以通过风险损失清单、财务报表、风险因素预先分析和因果分析等方法建立企业税务风险识别指标,以此来识别风险。对于企业税务风险评估,可以通过风险坐标图法、详细评估法、风险度评价法、SWOT 分析法等方法构建企业税务风险评估模型,对风险进行评估。
一、企业税务风险的识别
(一)税务风险识别的概念
税务风险识别是指税务管理人员利用有关的知识和一定的方法就企业面临的风险加以判断、发现风险因素的过程。税务风险识别实际上就是收集税务风险事故、风险因素等方面的信息,发现引发潜在损失的因素。
(二)税务风险识别的方法
(1)风险损失清单法。目前最普遍采用的方法是风险清单法,即运用类似于备忘录的方式,将可能面临的各类风险一一列举出来,并联系企业自身运营情况对这些风险进行综合分析考察。企业的决策者和风险管理者依据所列举的风险清单,对风险及其可能产生的后果作出合理的评估,并探究防止风险的发生和蔓延的对策。税务风险事项有的特征较为明显,有的则较为隐晦,所产生的影有的微不足道,有的影响十分重大。为避免忽略相关风险事项,企业可以根据自身情况或聘请税务顾问编制税务风险一览表,把税务管理活动中可能发生的风险事项一一列举出来,企业可以对照该表,这样能够比较简单的识别风险。
(2)财务报表分析法。财务报表分析法,以利润表、资产负债表、现金流量表等为依据,对企业的收入、利润、负债等进行风险分析。通过财务报表上的相关数据,计算税收负担率指标、利润率指标等各项指标,进而采用比较分析法来分析数据。还可以将企业的财务指标与同行业、同类企业的指标做对比,若某项目指标差异较大,则说明存在税务风险;也可以以企业以前年度平均水平作为基期,将当期变动指标与其作对比,分析发展的趋势,确定分析项目是否存在异常,以此来识别企业是否存在税务风险。
(3)风险因素预先分析法。风险因素预先分析法是指在开始某项活动之前,对整个系统中存在的风险因素及其类型进行分析,估计可能发生的后果的一种方法。这个方法通常有四个步骤:首先,区分系统出现的风险的类型,广泛收集国内外企业与本企业曾出现类似事故的资料。与专家磋商,深入了解企业外部环境,以及外部环境可能带来的事故,分析企业内部各项工作流程,了解可能出现的风险属于哪一类型。其次,调查风险源,明确风险因素存在之处,从而确定风险源头。然后,将已经识别的风险源转变为风险事故的触发条件。最后,对已发现的风险因素按照造成后果的严重程度划分等级,然后依据等级的轻重程度对风险进行有计划的管理。
(4)因果分析法。因果分析法是从导致税务风险的原因出发,推导出可能发生的结果的一种识别税务风险的方法。在税务风险管理实践中,引发税务风险的因素多种多样,而这些因素往往又错综复杂地交织在一起。企业想要从根本上解决问题就必须准确无误地找出产生问题的根源,进而避免税务风险的发生。因果分析图就是寻求问题产生原因的一种有效方式,它能够清晰、有效地整理出税务风险和各个因素之间的关系并对其进行分析。
二、企业税务风险评估
(一)税务风险评估的概念
税务风险评估是指在税务风险识别的基础上,通过对收集到的大量详细损失资料加以分析,采用概率论和数理统计方法估计各项风险发生的可能性和损失程度,并对风险的严重程度作出判断和评估的过程。主要包括两个方面的内容:一是评估风险发生的可能性;二是评估风险产生的影响后果。税务风险发生的可能性越大,税务风险就越高。
(二)税务风险评估的方法
税务风险评估既有定性分析,又有定量分析,它需要一定的专业技术知识。税务风险评估可以由企业的税务风险管理部门或岗位、聘请的税务专家进行操作。影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应该与企业的环境和安全要求相符合。企业应该针对不同的情况来选择恰当的税务风险评估方法。
(1)风险坐标图法。风险坐标图是将风险发生的可能性作为自变量,风险发生后产生的影响程度作为因变量绘制在直角坐标系上,旨在对多项风险进行直观比较,从而明确风险管理的优先顺序和策略。
(2)详细评估法。详细风险评估是对企业税务风险进行详细的识别、评价,评估可能引发风险的威胁和弱点,根据评估结果来选择可行的应对措施。这种识别集中体现了税务风险管理的思想,即识别企业税务风险并将风险降低到可以接受的水平,以此证明企业管理者所采取的风险控制措施是恰当的。此时企业管理部门可以通过税务研讨会、问卷调查或咨询专家等具体方法来评估风险。
(3)SWOT分析法。SWOT(Strengths、Weaknesses、Opportunities和Treats的首字母缩写)分析法,是将企业的内部环境的优劣和外部环境的机会、威胁列在一张“十”字形图中加以对照。企业通过SWOT对企业目前的内部和外部环境进行初步评估,明确本企业在市场中的地位,从而制定最优战略,实现企业的目标。
参考文献:
[关键词]重大错报风险,识别;评估,模糊综合评价
近年来,企业外部环境的急剧变化直接影响到企业管理层的制度设计和业务开拓,致使会计师事务所客户的业务活动越发复杂、管理层的舞弊越发隐蔽,审计风险明显增加。国际审计委员会和我国已分别于2003年和2006年重新进行了审计准则的修订,显著加强了对审计风险的管理。
风险管理是对风险的事前预测和控制,是一种减小风险损失的管理工作,包括风险识别、风险评估、风险控制和风险转移等4个环节。其中:风险识别是确定可能发生的风险类型或风险所在领域;风险评估是对识别出的各种类型风险进行定量描述;风险控制是采取降低风险发生概率和风险损失的行为;而风险转移则是通过一些正当的手段将风险转移给保险公司,也可通过合作的方式将部分风险转移给合作伙伴。在风险管理中以风险识别最为重要,是风险管理的第一步,也是风险管理的基础,直接影响着风险评估、风险控制、风险转移的准确性和有效性。
审计风险是被审计客户财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。相对于其他类别、行业的风险来说,审计风险的存在不仅给直接从事审计业务的会计师事务所带来损失,而且还会给依赖于注册会计师审计意见的投资者带来损失。审计风险如果存在转移,要么转移给被审计客户,要么转移给拟信赖审计报告的投资者,但不管如何转移,最大的受害者最终还是投资者,这是违背注册会计师职业要求和资本市场发展需要的。所以,审计风险的管理工作应只包含风险识别、风险评估和风险应对,不再包含风险转移。
我国2006年审计准则的修订对传统的审计风险模型也进行了整合,将审计风险模型转变为:审计风险=重大错报风险×检查风险,其中重大错报风险是指财务报表在审计前存在重大错报的可能性。审计人员在具体应用和实施该模型时,首先是确定审计业务所达到的可信赖程度;其次是审计人员据此深入地了解被审计单位及其环境,始终对公司管理层的诚信、有无舞弊造假动机等保持一种合理的职业警觉,捕捉潜在的风险,谨慎进行重大错报风险的识别、评估;最后在重大错报风险评估的基础上采取相应的风险应对的措施,以控制检查风险至可接受的水平。由此可见,新风险模型的应用更加注重的是对重大错报风险的识别和评估,且自始至终贯穿于整个审计业务过程中,直接影响注册会计师所发表审计意见的准确性。而本文所探讨的就是在重大错报风险识别基础上关于审计识别、评估的衔接、评估方法的选择和应用的问题。
一、重大错报风险识别和评估的侧重点
重大错报风险的识别是注册会计师审计业务小组用感知、判断或归类的方式对大量和审计业务有关的信息资料进行系统了解和分析,认清被审计客户业务活动中潜在的各种风险和可能发生的各种损失,进而判断和鉴别审计业务所面临的重大错报风险及其性质,并把握其发展趋势的行为,即从错综复杂的环境中找出目标体所面临的主要风险。重大错报风险的识别一方面可以通过审计师对被审计客户的感性认识和根据多年积累的审计经验结合被审计客户自身内外部环境的变化等因素来判断;另一方面也可通过对各种客观的资料和风险事故的记录,在定性分析的基础上结合一定的定量分析技术来分析、归纳和整理。
重大错报风险的评估在重大错报风险识别的基础上,分析和评价损失对审计业务既定目标的影响程度,通过对由风险识别获得的资料和数据的处理,得到风险后果发生的概率、严重程度和大小,为选择应对措施进行正确的风险管理决策提供依据。
重大错报风险识别的重点是识别出风险存在的主要领域或公认的具体风险,而评估是进一步确定出关键领域的重大错报风险具体水平,为后期的应对策略提供具体的和较为准确的决策依据来尽量控制审计损失的发生。所以,风险评估也称为风险量化,它主要解决的是识别出关键领域的重大错报风险水平是多少的问题。
二、模糊综合评估方法的选择
审计风险评估的具体方法很多,常用的有风险因素分析法、模糊综合评价法、内部控制评价法、审计风险模型法、定性风险估计法、风险率评估法等。评估方法选择不仅要考虑方法的特点,而且要注意评估目标和评估对象的类型与评估方法的对应问题。从审计角度来看,重大错报风险评估是一个动态的过程,需要建立在对被审计单位的分析和评价的基础上,评价涉及较多因素,包含主观和客观因素,其评价过程表现出较大的模糊性;同时,在重要性水平的确定和审计风险的关系等审计风险评估方面也存在一定的模糊性。因此,本文在识别出被审计客户重大错报风险发生的领域之后,采用模糊综合评判法对识别出的重大错报风险进行评估。
模糊综合评价法是指针对评价对象的多样性、模糊性,采用模糊数学的理论与技术,对受影响评价对象的多种因素进行模糊综合评价,从而得到评价结果的方法。该方法既综合考虑了所有因素,同时又通过权重把各因素的重要程度区分开来,在判定因素影响程度方面更加客观、详细,避免了定性方法的主观随意性和弹性较大的弊端,更有利于风险判断的准确性,并可使用计算机进行计算,克服了其计算烦琐的缺点。
三、模糊综合评判决策的一般步骤
1.确立评价因素集
代表第i个影响因素,n代表因素的个数。如果因素较为复杂,可建立多级因素集。
2.确立权重集
权重是被评价对象的不同重要程度的定量分配,每个指标在整体评价中的相对重要程度即为权重。评价指标的权重应为U上的模糊子集,用A表示,即:A={a1,a2,…,
3.建立评判集
评判集是对各种评价指标做出的评语等级和层次,用V表示,即:V={v1,v
4.单因素评判
对U中所有因素分别进行单因素评价可得到模糊矩阵R,表示为Ri={ri1,业人员对评判对象进行打分,并归属于相应的评语集,按归属某一评语的人数占总人数的百分比作为这一因素的评判结果。
5.综合评判
M(∧,∨)计算,可得综合评判B=A•R,即对两个模糊矩阵各元素之间最小值运算:将权重集A中处于第i列的ai与R矩阵中相对应的第i行中的每一个数值进行比较,取两者中较小的一个作为结果矩阵中的用来比较的R矩阵数值对应位置的新元素,由此组成一个新的矩阵,然后取新矩阵中每一列的最大数值作为模糊矩阵B中的第j个数,得:6.确定因素重大错报风险水平由B和V计算重大错报风险评价水平=BVT。
四、重大错报风险评估的应用实例
1.确立评价因素集、权重集和评语集
重大错报风险的评估是在识别的基础上来进行的,所以,评估阶段的评价因素集、权重集和评语集与识别阶段相对应(见表1所示)。
假定在重大错报风险的识别阶段识别出的关键领域为战略规划变更风险U2,其二级评价指标有:开发新产品或提供新服务、进入新业务领域U21,新的经营场所U实务中量化为V={90%,70%,50%,30%,10%}。
2.进行单因素评判
用M(∧,∨)计算得B=A•R,A=(0.2727,0.2273,0.2273,0.1364,0.0909,0.0454),
B=A•R=(00.27270.22730.13640)=归一化=00.430.360.210。
3.计算战略规划变动风险的重大错报风险水平
BVT=00.430.360.210
(90%70%50%30%10%)=0.544=54.4%。
通过以上对已识别出的该审计客户重大错报风险存在领域的企业战略规划变更风险的模糊评估,说明该类风险可能发生的概率为54.5%,假定审计组所估计的可信赖程度为95%,即审计风险为5%,则根据审计风险=重大错报风险×检查风险,可以计算出该审计组需要将检查风险水平控制在9.19%的范围之内(5%÷54.4%),属于较低水平。由此,审计人员在制订风险应对策略时,考虑在有必要的情况下实施控制测试,否则需要实施较大范围的实质性测试。
主要参考文献
[1]中国注册会计师协会.审计[M].北京:经济科学出版社,2007.