2011年注会《公司战略与风险管理》精讲笔记(33)

　　第三节 风险管理程序

　　风险管理程序可分为四个步骤:第一步是风险识别;第二步是对主要风险进行评估;第三步是确定风险评级和应对计划;第四步是风险监察。

　　风险管理程序要求识别和了解企业面临的各种风险，以评估风险的成本、影响及发生的可能性，并针对出现的风险制定应对办法，制定文件记录程序以描述发生的情况以及实施的纠正举措。

　　风险管理程序应覆盖整个企业，包括各级人员和各个部门。大型企业可能会组建一个由风险管理专业人员构成的专门小组，而小型企业亦会安排一些人员负责管理整个企业内部的风险管理程序。无论是设立了正规的风险管理部门或是指定了专门的管理者，企业风险管理均涉及众多人员。上述风险管理程序中的四个步骤应在企业的各层面得以执行，并且不同工种的人员均应参与。无论是设在小地方且各种设施不完善的小型企业还是大型企业，均应制定常见的风险管理方法。这对于当今普遍出现的全球机构来说尤为重要。全球机构可能设立了多个经营单位，开展不同的商业经营活动，并在不同国家建立多种设施。一个单位内的风险可能直接对另一单位的风险产生影响或与之相关，但是对其他风险的考虑却可能实际上是独立的。这些常见风险可能在多种情况下出现，比如财务决策失误、客户口昧的变化以及新的政府监管规定。以下将对风险识别、评级及分析作出详解。

　　一、风险识别

　　管理层需要充分了解企业所面临的风险。风险管理中最大的问题是没有认识到潜在的障碍威胁。企业需要知道损失来自何处并能够找出受益于损失控制程序的问题领域。然而，风险管理人员不能对未能识别和计量的风险因素采取行动。作为起点，企业应通过正式的检查程序来全面分析风险和损失。这种风险审查允许企业评估真正的成本驱动因素，以便设计适当的损失控制和预防计划，来减少高风险的活动和高成本的损失事件。

　　因此，管理层应尽力识别所有可能对企业取得成功产生影响的风险，包括整个业务面临的较大或重大的风险，以及与每个项目或较小的业务单位关联的不太主要的风险。风险识别程序要求采用一种有计划的、经过深思熟虑的方法，来识别业务的每个方面存在的潜在风险，并识别可能在合理的时间段内影响每项业务的较为重大的风险。目的并不只是罗列每个可能的风险，而是识别那些可能对运营产生影响的风险。即在合理的时间段内，发生风险的可能性的大小。如果企业不得不面对某种风险，而又不知道发生风险的可能性或后果，则对风险进行识别可能比较困难。

　　风险识别程序应在企业内的多个层级得以执行。对每个业务单位或项目有影响的风险，可能不会对整个企业产生同样大甚至更大的影响。因此，对整个经济体产生影响的主要风险会分流到各个企业及其独立的业务单位。某些主要风险发生时会产生很大的影响，但发生的频率不高，所以这种风险较难认定。

　　风险识别的方法之一是集体讨论可能的风险领域。通过这种方法动员知悉情况的人员迅速给予答复，把他们脑子里第一个想到的事情说出来。指定的主持人向每个小组提出一个与风险有关的问题，然后要求小组成员依次说出他们的想法。之后由风险管理小组对集体讨论后识别的所有风险进行复核，并且认定核心风险。由于风险识别程序一直伴随着讨论和分析活动进行，最后认定的风险与最初识别的一组风险相比，可能会有所改变。企业及具体的经营单位最后认定的组织风险，应提供给负责经营和财务管理的人员，以及参与集体讨论的小组。在开始风险评估前，可恰当地对认定结果进行更改。

　　之后，为识别风险进行的集体讨论的结果，应提供给未参与讨论的其他单位。应按照来自整个企业的评论和讨论，增加己识别风险。风险识别并非详尽的分析和讨论活动，但是每个人在短时间内产生的想法或评论，会对其他人的想法和评论起到抛砖引玉的作用。

　　启动风险识别程序的一种不错的方法是，找出列明属于企业层面的重要设施及经营单位的高层级的组织结构图。每个重要的经营单位都可能在全球许多地方建立了设施，也可能开展丁多种不同的业务。每个单独的设施也会有其自己的部门或职能，其中一些部门相互之间是密切关联的，而另外一些部门与企业投资几无差别。应在整个企业范围内实施风险识别程序以识别各独立领域的所有风险。诚然，这很困难，有时甚至是比较复杂的任务。而且，企业内处于不同级别的不同成员将从不同的角度考虑某些相同的风险。更高级的管理层一般会注意与经营相关的一组风险，但这些风险的水平不尽相同。但是，所有这些风险至少应被识别出来，并分别按照每一个经营单位及整个企业层面考虑这些风险。

　　要使风险识别程序生效，就要求不只是简单地向所有经营单位发出邮件，还应要求列出其单位面对的主要风险。对这种要求的一般反应将是给出的答复不一致且涉及范围广泛，并且没有通用的方法。更好的方式是，弄清楚企业内各级别的人员，要求他们担任风险评估人。对每个重大的经营单位，应识别负责运营、财务、会计、信息技术和单位管理的各类主要人员。这些人员将以识别及帮助评估其所在单位的风险为目标，而这些单位应该是被包括在风险识别模型架构之内的。这样的方式可由企业风险管理小组或类似的部门来牵头，比如内部审计部。

　　2011注会《公司战略与风险管理》精讲笔记汇总

　　2011年注册会计师考试各科目章节重点汇总

　　2011年注册会计师考试报名时间预测：3月-4月

　　考生必读：2011年注册会计师考试高分技巧汇总