（企业管理专业论文）COSO框架下的风险评估研究.pdf

中文摘要 2 0 0 2 年7 月美国出台萨班颠一奥克斯剥法案( s a t b a n c s - o x l e y a c 0 ，其4 0 4 条款要求上市企业管理层在年报中对企业内部控制制度及其实施的有效性做出报 告。美国证券交易委员会( s e c ) 推荐c o s o 委员会1 9 9 2 年发布的内部控制一 一整体框架报告作为管理当局和注册会计师进行内部控制评价的标准。该框架 纳入了风险评估要素，指出控制是和风险紧密相连的概念。企业要实施有效的内 部控制，就要识别和分析它所面临的风险。基于此背景如何识别和分析风险就成 为企业内部控制的主要内容之一，即c o s o 框架下的风险评估研究具有重要的意 义。 本文吸取前人研究的成果，运用了财务管理、会计学及统计学知识，在对c o s o 框架下昏勺风险评估相关理论研究分析的基础上，以c o s o 框架和萨班斯一奥克 斯利法案为指导，选取该框架下的风险评估要素作为突破点，着眼于企业业务 层面的风险评估，构建风险评估的实施过程，旨在实现风险评估作为内部控制整 体框架的关键及基础要素的作用，增强风险防范的意识和能力。 本文构建的风险评估具体实施过程为：首先。制定企业的各个目标；其次， 主要针对业务层面进行风险识别，即根据财务报表确定重要会计科目和披露事项， 确定业务流程和子流程，并使其与重要会计科目和披露事项之间相对应后，确定 和记录相关的财务报表认定，识别出子流程相关的风险；然后，按照失效模式及 影响分析法( f m e a ) 的评点法对所识别的风险进行分析确定风险等级；最后，建 立风险数据库，构建起科学的风险评估制度体系。另外，为对评估过程进行解释， 选取中石油西北销售公司作为研究对象构建风险评估的实施过程。 关键词：c o s o 框架，风险评估，实施过程 a b s t r a c t i nj u l y2 0 0 2 ，t h eu n i t e ds t a t e sf e d e r a lg o v e r n m e n te n a c t e dt h es a r b a n e s o x l e y a c t t h es e c t i o n4 0 4o ft h i sa c tr e q u i r e dp u b l i c l yr e g i s t e r e dc o m p a n i e st or e p o r to nt h e e f f e c t i v e n e s so ft h e c o m p a n y s i n t e r n a lc o n t r o lo v e rf i n a n c i a l r e p o r t i n g s e c r e c o m m e n d e du s i n gt h ec o m m i t t e eo fs p o n s o r i n go r g a n i z a t i o n s ( c o s o ) i n t e r n a l c o n t r o l - i n t e g r a t e df r a m e w o r kw h i c hi st h em o s tw i d e l ya p p l i e dm o d e li nt h eu n i t e d s t a t e sa st h ec i t e r i o no fi n t e r n a lc o n t r o la s s e s s m e n tf o rt h em a n a g e r sa n dc p a i nt h i s f r a m e w o r k ，r i s ka s s e s s m e n tw a sp u ti n t oa sab a s i ce l e m e n t , a n dt h i sf r a m e w o r ka l s o p o i n t e do u tt h ec o n c e p t i o nt h a tc o n t r o li sc l o s e l yr e l a t e dt or i s k f o r 姐e n t i t yt oe x e r c i s e e f f e c t i v ec o n t r o l , i tm u s ti d e n t i f ya n da n a l y z ei t sr i s k s u n d e rt h i sb a c k g r o u n d ，h o wt o i d e n t i f ya n da n a l y z er i s kh a sb e c o m eo n eo ft h em a i nc o n t e n to ft h ei n t e r n a lc o n t r o l ，s o t h er e s e a r c ho nr i s ka s s e s s m e n to fc o s of r a m e w o r kh a si m p o r t a n tm e a n i n g s t h i sp a p e ru s e dt h et h e o r yo ff i n a n c i a lm a n a g e m e n t ，a c c o u n t i n g , a n ds t a t i s t i c s b a s e do nt h et h e o r ya n a l y s i s ，g u i d e db yt h ec o s of r a m e w o r ka n dt h es a r b a n e s - o x l e y a c t , t h i sp a p e rc o n c e n t r a t e so nt h eb a s i ce l e m e n to ft h ei n t e r n a lc o n t r o ls y s t e m - - r i s k a s s e s s m e n t f o c u s i n go nr i s ka s s e s s m e n to ft h ea c t i v i t y l e v e l ，t h i sp a p e rd e s i g n sa p r a c t i c a lp r o c e s so fr i s ka s s e s s m e n ti no r d e rt or e a l i z et h ef u n c t i o no fd s ka s s e s s m e n ta s t h ek e ya n db a s i ce l e m e n to fi n t e r n a l c o n t r o ls y s t e m ，a n de n h a n c et h ec o n s c i o u s n e s so f r i s kd e f e n c e t h ep r a c t i c a l p r o c e s s o fr i s ka s s e s s m e n t i n c l u d e s ：f i r s t l y , i t m u s te s t a b l i s h o b j e c t i v e s s e c o n d l y , i ts h o u l di n d e n t i f yt h er i s ko fa c t i v i t y l e v e l ，w h i c hm e a u si n d e n t i f y s i g n i f i c a n ta c c o u n t sa n dd i s c l o s u r e sb yt h ec o n s o l i d a t e df m a n c i a ls t a t e m e n t ，i d e n t i f y b u s i n e s sp r o c e s s e s c y c l e sa n ds u b - p r o c e s s e s c y c l e sa n dm a pt os i g n i f i c a n ta c c o u n t sa n d d i s c l o s u r e s ，i d e n t i f yt h er e l e v a n tf i n a n c i a ls t a t e m e n ta s s e r t i o n sf o re a c hs i g n i f i c a n t a c c o u n ta n d d i s c l o s u r e ，i no r d e rt o p e r f o r m ar i s ka s s e s s m e n to ft h eb u s i n e s s s u b - p r o c e s s e s c y c l e s t h i r d l y , i no r d e rt oc o n f i r mt h e r i s k sg r a d e ，w eu s et h ef m e a m e t h o dt oa n a l y z et h er i s k f i n a l l y , i td e s i g n sar i s kd a t a b a s ea n dc o n s t i t u t e ss c i e n t i f i c s y s t e mo fr i s ka s s e s s ，m e n t i na d d i t i o n ，t h i sp a p e rd e s i g n sap r a c t i c a lp r o c e s so fr i s k a s s e s s m e n to ft h ep e t r o c h i n an o r t h w e s tm a r k e t i n gc o m p a n yt oe x p l a i nt h ep r o c e s so f i i k e yw o r d s ：c o s of r a m e w o r k ，r i s ka s s e s s m e n t ，p r a c t i c a lp r o c e s s 兰州理工大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取 得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其 他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个 人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果 由本人承担。 作者签名： 锄。7 沭 日期：珊6 月够日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学 校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查 阅和借阅。本人授权兰州理工大学可以将本学位论文的全部或部分内容编入 有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本 学位论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密团。 ( 请在以上相应方框内打“”) 日期：喜唧年g 月牛日 日期：年，月je t 第1 章绪论 1 1 研究背景及意义 1 1 1 研究背景 第1 章绪论 2 0 0 2 年，一场大范围的会计丑闻波及美国上市企业。安然、施乐、世通等 大企业财务造假案的相继揭露，表明美国企业内部控制体系存在严重隐患，引 起了会计职业界、政府和全世界公众的关注，也促使政府机构加大了对企业内 部控制建设的推动和监管力度，2 0 0 2 年7 月美国国会出台萨班斯一奥克斯利 法案( s a r b a n e s 0 x i e y a c t ) ，该法案是继( 1 9 3 3 年证券法和1 1 9 3 4 年证券 交易法颁布以来给美国金融市场带来的最深远的改革法案。它要求上市企业 管理层要在年报中对企业内部控制制度及其实施的有效性做出报告。所有在美 国证券交易委员会( s e c ) 备案的企业，包括在美国注册的上市企业和在外国注 册而在美国上市的企业，都必须符合 萨班斯一奥克斯利法案的要求。显而 易见，在经历了企业洗礼后，内部控制正在被人们重新审视，不难看出，内部 控制的重要性正在人们的不断反思中以制度的形式凸显。s e c 推荐c o s o ( t h e c o m m i t t e eo fs p o n s o r i n go r g a n i z a t i o n so ft h et r e a d w a yc o m m i t i o n ) 委员会1 9 9 2 年发布的内部控制一整体框架( 以下简称c o s o 框架) 报告作为管理当局 和注册会计师进行内部控制评价的标准1 1 1 。c o s o 框架是内部控制理论发展史上 最为重要的里程碑，实现了三要素到五要素的突破。c 0 s o 委员会将风险评估作 为个新的要素纳入到内部控制整体框架之中，指出控制是和风险紧密相连的 概念。 1 1 2 研究意义 市场经济从微观角度来说是一种风险经济，企业作为市场的基本单位时刻 置身于风险之中，越是开放发达的市场经济，其中蕴藏的风险和不确定性就越 大随着国际经济和信息技术的发展，企业所面临的经济环境日趋复杂多变， 第1 章绪论 随着机会的增多，各种各样的风险与危机也随时发生或出现。风险己成为影响 企业目标实现的重要因素，如何管理和控制风险成为企业内部控制的重要内容 之一。把风险评估作为一项基础要素纳入到内部控制框架之中，这一发展是理 论顺应客观实际发展的必然结果。可以看到进行c o s o 框架下的风险评估研究 具有重要的现实意义： ( 1 ) 进行有效的风险评估是降低风险的基础和核心。随着信息化、高科技 化进程的加快，风险因素增加，风险发生的概率增大，企业所面临的风险也加 大，风险损失和收益的规模增大。市场竞争激烈，企业的各种经济活动、经济 关系日趋复杂；投机活动越来越多，投机风险因素剧增，并渗透到社会生产和 生活的方方面面。风险增加了企业决策难度；增加了企业的经营成本；增加了 企业收益波动的可能，所以进行有效的风险评估是势在必行的。 ( 2 ) 对风险的忽视和内部控制的极度缺失是造成企业“短寿”的根本原因。 荷兰皇家壳牌集团企业曾组建了专门机构来研究企业的生命周期问题，其研究 表明：大型企业的平均寿命周期不到4 0 年。我国企业的短命现象更是严重，调 查研究表明：我国企业的平均寿命只有2 3 岁【2 l 。像巨人、亚细亚、三株、秦 池等一批批明星企业在良好政策环境下脱颖而出，但仅仅数年之间，这些企业 又一个个衰落下去，变成流星企业。我国学者对亚细亚集团倒闭的分析 3 1 充分说 明了这个事实。 ( 3 ) 风险评估是整个内部控制制度的基础和关键。风险评估是内部控制系 统的基础组成部分，要使控制制度发挥其应有的作用。企业必须清楚所面临的 风险，并对整个企业的风险进行定性或定量的评估，然后针对风险评估的结果 采取相应的控制活动。其实内部控制也就是风险的管理与控制活动，如果毫无 风险，我们根本不需耗费大量的人财物力去搞什么内部控制。既然风险的存在 是控制的原因所在，所以进行风险评估就成为整个内部控制制度的基础和关键。 ( 4 ) 风险评估是所有中国在美国注册的上市公司必备的主要内容之一。对 于所有中国在美国注册的上市企业，都必须符合萨班斯一奥克斯利法案4 0 4 条款的要求，管理层应负责设立和维持一套有效的内部控制制度( 推荐c o s o 框架) ，其中就包括了风险评估，并在年报中提供内部控制报告和内部控制评价 报告，评价结果还需要经过审计师的审计。对于非美国上市的中国企业，可以 吸取经验，加强内部控制、完善风险评估的相关思想，将原有的风险评估提高 到科学化的水平。 第1 章绪论 1 2 文献综述 1 2 1 国外研究综述 ( 1 ) 关于风险的研究 在远古时代，人类的祖先就表现出对风险的困惑，著名史诗 摩诃婆罗多 描述了公元前1 4 0 0 年掷骰子的故事，大英百科全书【4 l 中提到骰子的发明告诉 我们，风险的刺激带来人类心理上的冒险与避险，在远古时代已经鲜明的显露 出来。马克思曾说1 5 j ：“风险是商品的惊险的跳跃。这个跳跃如果不成功，摔坏 的不是商品，但一定是商品所有者。”即风险对所有的企业和商品生产经营者 来说都是存在的。随着历史的发展，步入了现代社会后，由于科技空前的提高， 风险也越来越大。 美国学者海恩斯( h a y n e s ) 在其1 8 9 5 年所著的 作为经济因素的风险一 书中最早提出了风险的概念：“风险一词在经济学中和其他学术领域中，并无 任何技术上的内容，它意味着损害或损失的可能性。”对于风险的基本因素，日 本学者武井勋于1 9 8 3 年在其著作 风险理论中作了很好地概括嘲，风险与不确 定性有所差异，风险是客观存在的，风险可以被测算。 对风险有开拓性研究的是美国经济学家弗兰克奈特，他在1 9 2 1 年出版的风 险，不确定性和利润中对风险作了经典的定义。奈特认为，风险( r i s k ) 是“可 测定的不确定性”，是指经济主体的信息虽然不充分，但却难以对未来可能出 现的各种情况给定一个概率值。与风险相对应，奈特把“不可测定的不确定性” 定义为不确定性( u n c e r t a i n t y ) 。奈特进一步指出，企业的利润主要是企业家处 理经济环境状态中各种不确定性的经济结果。对一个经济主体而言，无论是可 测定的不确定性还是不可测定的不确定性，都是与企业的损失可能性相关联的， 都会引起经营决策者们的风险的管理动机。 1 9 9 2 年，y a t e s 和s t o n e 更进一步提出了风险结构的三因素模型，透彻地分析 了风险的内涵。他们认为，风险是由三种因素构成的：潜在的损失，损失的大 小，潜在损失发生的不确定性。这一模型从本质上反映了风险的基本内涵。 m i c h a l ep o w e r l 7 】指出风险一直存在我们周围，而且很明显，不仅仅在企业、 在学校等其他一些公共组织，包括高层的政府部门，也受到不同程度风险的威 胁。一切事物皆有风险。内部控制系统的作用随着未来风险的加大而增强，能 第1 章绪论 使原始风险和固有风险转化为系统风险，因此风险可以被控制。 ( 2 ) 关于风险评估的研究 随着风险的逐渐显露，人类就开始想办法化解并控制，识别和分析所面临 的风险，这是采取有效控制活动的前提，这里的识别和分析风险就是风险评估 因此，风险评估伴随着风险相应而生。 t h e e c o n o m i s t i n t e l l i g e n c e u n i t ( 1 9 9 8 ) 1 8 1 指出高层管理者要实施完整的商业 风险评估就如同有效降低每一层级风险一样，企业认为必须要坚持不懈的进行 商业风险评估和控制，再评价、再更新，才能保证风险降低到与组织整体风险 管理策略要求的水平商业风险评估实施应从组织层和基层，所有重要的商业 层级开始，评估出的风险，再由管理者决定是否对整个组织有影响。实现风险 评估需要管理者( 包括高级管理人员) 和员工共同参与并且要有统一的商业风 险代码；要遵循成本效益原则。风险评估实施过程包括：第一，识别风险，该 过程还要了解识别的风险是可控还是不可控，通用风险代码帮助这一过程的实 现；第二，寻找风险的来源；第三，测量风险，确定重要风险和可能发生的风 险带来的影响。 m a l o n e 和m a t t ( 2 0 0 5 ) 9 1 立法者建议实施安全风险评估来保证信息技术的控 制。大多情况下评估将根据安全系统实施的情况规定系统的漏洞，但当系统正 确完成时，风险评估可以联合不同种类的威胁来实现整体风险暴露。通过风险 评估过程可以暴露出内部和外部弱点，可以使不正确的控制和密谋曝光。 信用风险研究专家a l t m a n ( 1 9 6 8 ) 1 1 川率先将多元判别分析法应用于财务危 机、企业破产及违约风险分析，该技术通过分析一组变量，使其在组内差异最 小化的同时实现组间差异最大化。他在2 0 0 3 年【1 1 j 指出，全面分析贷款和( 或) 债券信贷资产组合的基础是在独立基础之上对组合中每一资产风险做出的最初 评估。评估方法包括多因素回归分析、区别分析和对数统计模型、基于随机要 求和市场价格代理的模型，以及预测违约或复制既有债券评级机构评级结果的 人工智能程序。 h e h n u te l s i n g e r 和a l f r e dl e h a r ( 2 0 0 3 ) 1 1 2 】介绍了用v a r 模型对银行系统 进行风险评估，只有联合所有方面才能对银行整个系统进行有效的风险评估 二者在2 0 0 5 年【”】使用市场信息对银行系统进行风险评估，依靠市场数据来测定 银行系统的稳定性确定重要风险，通过网络模拟内部银行市场，然后在模仿一 些严重情节对银行系统施加压力来检查漏洞。该模型用系统透视图法测量系统 第1 章绪论 风险 d e l o i t t e i l 4 l 认为，关键的风险评估活动一般包括风险识别会议，面试，风险 调查问卷和简便风险工作表活动是根据每个企业的需要和企业文化所决定的， 已经证明风险评估的方法应与企业的框架和现实的风险评估经验相结合，这将 会确保风险评估在识别和划分风险等级中成功实施。 ( 3 ) 关于c o s 0 框架及其风险评估的研究 随着市场经济的发展成熟和市场开放程度的加大。风险成为企业关注和管 理的焦点，作为企业管理核心的内部控制要想发挥其应有的作用，必须不断充 实和发展，以求跟上市场发展的步伐，正是基于这个基础，风险的概念逐步进 入了内部控制的范围减轻或避免风险是内部控制活动的目标，各种风险因素 是内部控制的对象。 1 9 9 2 年美国国会。反对虚假财务报告委员会”下属的专业团体组织参与的 由“发起组织委员会( c o s o ) ”提出内部控制整体框架的报告l ”l ，它 认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通和 监督五项要素构成。白此风险评估被纳入内部控制系统之中。1 9 9 6 年美国注册 会计师协会发布审计准则公告第7 8 号( & 峪7 8 ) ，全面接受c o s 0 报告的内容。 增加风险评估以有效管理企业面临的各项风险成为了c o s o 控制模式的特色之 一【1 6 l 。 全球性审计方法守则指出风险评估是辨别和分析风险的一项持续的过 程，是组成有效内部控制的关键要素。管理当局需要认真关注实体在各层次的 风险，并采取必要管理措施。实体的风险评估过程，一如在财务报告的内部控 制要素中所述，与实体为实现财务报告目标有关，并由管理当局负责执行。就 财务报告的目的来说，实体的风险评估过程包括管理当局如何辨别与按适用的 公认会计准则而编制的财务报表相关的风险，及如何制定措施以管理有关风险。 实体的风险评估过程与在审计过程中所执行的风险评估程序并不相同。 p r i c e w a t e r h o u s e c o o p e r s 发布的萨班斯一奥克斯利法案4 0 4 条款管理层实 务指南( 2 0 0 4 年7 月) 以企业采用c o s o 框架为前提假设。指出界定与计划是 项目有效进行的开端。界定包括确定必需的记录以及针对各重要会计科目和披 露事项的业务流程的内控情况所进行的控制测试的性质、时间和范围。在风险 评估中，管理层应明确并分析对实现企业目标具有阻碍作用的风险所产生的影 响，并提供管理这些风险的基础。识别和分析风险的过程是一个循环往复的过 第1 章绪论 程。 d e l o i t t e 在实体层次的内部控制要素中指出实体风险评估过程的目标是 要建立和保持一个有效的过程以辨别、分析和管理编制可靠财务报表相关的风 险。首先，实体要具备有效的内部控制，就必须设定目标其次，实体的风险 评估过程应包括专为辨别和考虑相关风险影响而设的过程最后，实体需要不 同的机制以辨别环境的变化。 另外能够检索到的对于“c o s o 框架下的风险评估研究”的大部分文章都是 根据c o s 0 框架的说明进行概念性的解释 d e n n i sa p p l e g a t e 和t e dw i l l s ( 1 9 9 9 ) 【1 7 】指出有效的风险评估实施步骤如 下：目标的重新定义，目标的重叠，识别风险来完成目标，重要风险的判断， 采取行动来降低风险。 c l a p p e r j o r d a n ( 2 0 0 3 ) l 埔j 指出风险评估的实施过程为意识到风险，风险的 来源，衡量风险。对于以上过程，最好把重点集中在高风险对其实施的影响上。 m a t t h e ws e l v e d g e ( 2 0 0 4 ) t g l 指出，按照c o s o 框架，风险评估指辨认并分 析影响目标所达成的各种不确定因素，是对风险进行管理的基础。目标的设定 是风险评估的先决条件。通过单位整体层级目标和作业层级目标的设定，可以 确定关键影响因素，从而确定重要风险。风险评估通常包括，重要风险的评估、 风险发生可能性的评估及考虑如何来进行风险管理。有很多方法来对风险进行 评估，定性和定量的方法来划分风险的等级和高级管理人员商业计划会议等。 1 2 2 国内研究综述 ( 1 ) 关于风险的研究 早在公元前4 0 0 0 年左右，我国长江上游的商人，为了避免沿江贩运的货物 遭受损失，采取将一批货物分装的策略。新华词典对风险的解释为“喻指 可能发生的危险和灾祸” 郑洪涛l 刎指出风险发生是可能的，风险发生后会造成不利的后果，风险发 生的可能性及其后果的严重程度都与其发生的条件相关；风险可能会带来损失， 所以风险的存在对人的活动具有约束作用；人们在经营管理中，不能不考虑风 险的威胁，以免受到不必要的损失或受到过重的打击。风险不确定性的来源有 环境，过程风险，决策所需信息风险。企业内部风险有经营风险、资产风险、 第1 章绪论 财务风险和行为风险。企业外部风险有行业风险、市场风险、项目风险、政策 风险和股市风险 崔毅教授( 2 0 0 5 ) 1 2 1 1 在企业动态风险管理中详细介绍了企业风险及其分类， 提出企业风险是企业生产经营过程中由于各种事先无法预料的不确定性因素而 产生的影响，这种影响会使企业的实际财务结果和状况与预期发生一定的偏差， 从而有蒙受损失或获取额外收益的机会或可能性。按照风险导致的后果，企业 风险分为纯粹风险和投机风险；按照风险波动的主体，企业风险分为收支性风 险和现金流风险 ( 2 ) 关于风险评估的研究 近年来我国理论界和实务界对风险评估研究较多，在核心期刊中以风险评 估为关键字检索一共有1 9 3 篇文章，主要是从商业银行风险、信用风险、项目 风险、信息安全( 包括电子商务) 、风险投资风险、外向型经济、风险管理( 包 括财务风险) 、审计风险、生态环境风险和概率风险这些角度进行研究 关于风险评估方法的研究 李长智( 2 0 0 2 ) 1 2 2 1 介绍了五种对风险投资的风险评估方法，分别是方差法； 8 系数与资本资产定价模型；“a 计分法”；风险价值评估模型法；综合风险指数 模型评估法。 卢鸿( 2 0 0 2 ) 1 2 3 1 指出西方商业银行风险评估方法从定性分析发展到运用v a r 等定量模型方法评估风险，目前已有的风险评估模型有a x i o m 软件公司建立的 “风险监测( r i s km o n i t o r ) ”模型，它将多种方法进行了一体化的整合；j p 摩 根银行发展的信用计量法c r e d i tm e t r i c s ：c s f i 发展的信用风险加( c r e d i tr i s k + ) k m v 公司的k m v 模型；麦肯锡公司的信用证券组合模型c r e d i tp o r t f o l i ov i e w 方法等。 刘国靖，张蕾( 2 0 0 4 ) 1 2 4 1 指出基于风险矩阵的商业银行信贷项目风险评估 方法体系具有程序性强、定量与定性相结合以及简单易行的特点。风险评估方 法体系由风险矩阵设计、风险重要性拌序、总体风险等级和预期违约概率e d f 的确定所构成。其风险评估经过风险识别、风险量化分析、风险应对计划制定 和风险评估结论确定4 个阶段 崔毅教授( 2 0 0 5 ) 1 2 1 j 提出企业风险识别的方法。对于纯粹的风险，利用保 险业及有关风险和保险管理学会设计好的风险管理分析表格；针对企业关键内 部控制点存在性及有效性设计问卷调查，包括财务和非财务的内部控制点。对 第1 章绪论 于投机风险，依据企业的特点自行设计表格，经济风险因素可以从下述表格着 手，分析宏观和行业环境有哪些风险因素影响企业的销售收入；进而分析企业 的成本结构和财务结构如何影响企业销售收入的波动幅度形成企业总收支性风 险，它们之间是否配比文中还介绍了风险度量的方法有风险图法，风险指标 法，敏感性分析法和概率分析法，微观经济杠杆法。 关于风险评估实施过程的研究 高建明，杨建安( 2 0 0 1 ) 瞄】指出技术风险评估是指对风险的发生概率、发 生时间、持续状况，风险后果，风险不可探程度做出评估在技术风险的综合 评价中采用模糊层次综合评价它是将模糊评价与层次分析法相结合，用以处 理多指标评价，最终将建立一套百分体系，其中定性指标采用专家调查与模糊 统计相结合的方法，定量分析指标的处理则运用模糊数学的方法。 杨艳萍( 2 0 0 3 ) 闭认为投资风险评估包括风险评价和风险估计。正确地估 计和评价风险是进行风险控制的重要前提和组成部分 罗璎珞和李晓勇( 2 0 0 4 ) 【2 7 l 指出，在信息安全工作风险评估实旌过程中， 要考虑实施描述评估对象的特征和这两个影响因素。描述评估对象是风险评估 的第一个环节，对具体操作有十分明显的影响；现有评估方式会影响风险评估 过程中对实施各部分的展开程度和输出结果。 李杨等( 2 0 0 5 ) i 捌提出数据库是风险评估工具的核心部分，在风险评估中 起到重要的基础作用。由于风险评估是动态发展的，相应的评估数据库也应该 体现动态、更新的原则。 潘春光等( 2 0 0 5 ) 1 2 9 l 指出用现代统计分析技术中的主成分分析法在基于度 量的软件风险评估中的应用，并对面向对象开发的软件产品给出了算例，从而 能帮助软件开发者或管理人员在项目管理过程中识别软件产品的高风险模块， 便于有效地开展风险管理。 傅少川( 2 0 0 5 ) 刚指出企业电子商务风险评估的步骤包括，确定范围，找 出风险，风险评估，风险分析结果。文中还介绍了综合风险分析法，首先组织 头脑风暴专家小组，然后对提出的思想进行组合及分类，通过网络专家组成德 尔菲专家小组，进行评估，最后，不断反复利用德尔菲方法，来预测企业未来 状态。 曹长宁( 2 0 0 5 ) 1 3 1 l 认为风险评估过程对银行来说是一个有明确目标的过程， 即风险暴露是什么，银行如何监测和控制风险；潜在缺陷是什么，应在什么地 第1 章绪论 方进行改善；每项行动的负责人是谁，以及如何实现目标可见他们认为评估 是一个对风险定性的过程 郑洪涛【刎指出风险评估过程包括风险辨识、风险分析和风险评价三个步骤， 其中风险辨识是识别企业面临的风险，并将风险归类；风险分折是将辨识出的 风险放迸统一的模型中进行分析处理，进一步做出定性和定量的分析，包括风 险对企业目标实现的可能影响、这些风险物化的多重情境分析和统计特性、可 能的影响因素和方式；风险评价是评价风险对企业目标的影响，企业影响最大 的风险将成为企业风险管理的重点。 ( 3 ) 关于c o s 0 框架下的风险评估的研究 通过对中国期刊网核心期刊的检索，以内部控制为关键字( 1 9 9 4 2 0 0 5 年) 检索出5 2 1 篇文章( 不包括关于特殊行业、会计法) ，本文按照c o s o 框架的五要 素进行了分类，如表1 - 1 。 表卜1 国内近十年核心期刊关于内部控制内容分类袭 研究内容控制环境风险评估控制活动信息和沟通监督。台计 文章数量 9 2 1 42 2 3 1 8 95 2 1 比例1 8 2 6 3 9 4 4 3 6 1 从上表中看出。国内理论界对内部控制研究的较多，但对c o s o 框架下的 风险评估深入研究的较少，主要分为两类：第一类，理论界的研究主要集中在 研究c o s o 框架时，对风险评估进行了简单的介绍说明，这一类占的数量较多； 第二类，对c o s o 框架下风险评估进行相对较为深入的研究，这一类占的数量 较少。 第一类，理论界在研究c o s o 框架时，对风险评估简单介绍。 该类文章对风险评估介绍一般描述为1 3 2 l ：“目标的设定是风险评估的先决条 件；要对企业风险进行全面的辨识，它是一个反复的过程；企业进行风险评估 一般须经历风险辨别、分析、管理、控制等过程。”这方面的文章较多，其中具 有代表性的观点有； 吴水澎等( 2 0 0 0 ) 1 3 3 l 研究了c o s o 报告出台的背景、具体内容及创新特点， o 监督包括内部审计和企业治理。 第1 章绪论 提出该报告对构建我国企业内部控制综合框架的启发和借鉴意义体现在五个方 面，其中就是要进行全面的风险评估论文简单介绍了用s w o t 法进行分析， 当企业内外部环境发生变化时，风险最容易发生，因此企业应加强对环境改变 时的事务管理。 朱荣恩( 2 0 0 1 ) 1 3 4 】运用业务循环法来设计企业内部控制( 介绍了十种企业的 内部控制方法) ，其中一种方法就是企业应建立风险评估机制，常有的评估内容 有：筹资风险评估、投资风险评估、信用风险评估和合同风险评估。 陈继云( 2 0 0 2 ) 3 5 1 也对c o s o 报告作了比较详细的介绍。风险评估是确认 和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、 行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。 李风鸣( 2 0 0 2 ) i t 6 1 较全面的介绍了c o s o 报告对风险评估的要求。其中谈 到辨认已发生的改变及分析相关的机会或风险，即为风险评估过程。这些改变 包括：改变的作业环境；新员工：资讯系统的改变；业务迅速拓展；新科技； 新业务，产品和作业；公司重组；国外经营。 第二类，针对c o s o 框架下的风险评估有较深入的研究 杨有红在企业内部控制框架构建与运行一书l 蚓中，较系统地讨论 了内部控制五要素，其中对风险评估进行了较详细的介绍，首先指出了企业风 险的种类，然后提出要从企业战略角度对风险进行评估。对企业战略的分析与 评价实际上就是对企业未来所面临的风险，尤其是整体风险的评估。其次，从 财务角度对风险进行风险评估，并介绍了风险评估与分析的方法。这些研究对 本课题有一定的借鉴作用，但是主要是从企业经营财务状况角度进行的分析。 王立勇、张秋生( 2 0 0 2 ) 0 7 1 提出风险评估信息需要披露，应该制订风险评 估标准( 其中提到应该明确企业风险的内容，但没有全面研究企业风险的内容) ， 而且应该制订风险评估评价规范，以便于审计人员对企业风险评估进行评价， 应该建立企业风险预警指标体系。论文对企业风险评估及评价主体做了界定， 提出关于构建企业风险防范体系的建议。 刘治宇( 2 0 0 5 ) 闭指出健全和完善我国的内部控制制度要进行全面的风险 评估企业的风险评估管理应从以下三个方面着手：第一，要以预防为主，即 研究企业整体目标和各个管理层次目标存在的风险以及发生的概率，针对风险 通过采取增加、补充或规范内部控制环节等措施来减轻可能面临的风险，并将 这些防范措施作为内部控制的内容。第二，要建立内部监督机制，强化对企业 第1 章绪论 存在的高风险区域进行经常性检查的工作，及时发现已存在的或潜在的风险并 迅速加以解决。第三，要善于转嫁风险，减少企业的损失。因此企业风险评估 管理工作一定要贯穿于企业控制的全过程。 综上所述，国内外学者分别从多个角度探讨了风险评估，无论是从方法上 还是从实施过程上做出了很大的贡献( 主要在金融领域和计算机领域) 但是， 这些研究大多存在两方面的不足： 第一，以上文献对风险评估的研究多数仅局限于银行、信息系统风险和项 目风险等领域； 第二，针对c o s o 框架下的风险评估的研究只局限在介绍框架的简单层面 上，并没有指出如何完整地、具体地实施风险评估的方法与过程 1 3 论文结构及研究方法 1 3 1 论文结构 论文的主要内容共分为五部分： 第一部分是绪论，主要介绍了论文的选题背景、论文的意义；国内外风险、 风险评估以及c o s o 框架下的风险评估的文献综述；论文的结构及研究方法。 第二部分是c o s o 框架下的风险评估理论研究，在对企业风险及风险评估 定义的基础上，重点介绍了c o s o 框架、萨班斯一奥克斯利法案及上市公 司会计监管委员会2 号审计准则对风险评估的界定及要求，最后介绍了风险评 估的方法，为下章的分析做了一些技术性的铺垫。 第三部分是c o s o 框架下风险评估实施过程的构建在上一章对风险评估 理论研究的基础上，构建出具体的实施过程。首先，制定企业的目标；其次， 针对企业层面和业务层面进行风险识别( 针对业务活动层面的风险，一共采取 六个步骤进行识别) ；然后，按照失效模式及影响分析法( n 征a ) 的评点法对 所识别的风险进行分析；最后，建立风险数据库，构建科学的风险评估制度体 系。 第四部分是风险评估实例分析。选取中国石油西北销售公司作为研究对象， 构建风险评估的实施过程。由于该过程较繁杂，所以仅选取业务活动层面下的 产品销售流程，进行风险评估实施过程的构建。 第1 章绪论 第五部分是结论对整篇论文进行了概括，并阐述了论文的贡献和局限性。 本文研究的框架如下图1 - 1 1 3 2 论文研究方法 第一，理论研究。对c o s o 框架、萨班斯一奥克斯利法案、风险评估 理论进行综合全面的研究与分析，为构建风险评估实施过程打好理论基础。 第二，案例研究方法。本文的主旨是构建风险评估实施过程，因此采用案 例的研究方法，能进一步诠释风险评估的实施过程，使其更加直观化、具体化。 同时也是本文的研究工作得以持续下去的一大支柱。 第三，设计简单的风险分析方法。对失效模式及影响分析技术( n 慢a ) 的 评点法进行一定的改进，来对企业的风险进行量化。 球萤妖摩窖仪错i【匾 秘姆褂_ 躲 第2 章c o s o 框架下的风险评估理论研究 第2 章c o s o 框架下的风险评估理论研究 2 1 风险及风险评估的概念 2 1 1 风险的概念 学术界对风险众说纷纭，没有定论，归纳起来主要有以下观点；风险是结 果的不确定性，而不是已经存在的客观结果或既定事实，其信息是不可知、不 确定的；风险是损失发生的可能性，或可能发生的损失；风险是结果对期望的 偏离；风险是导致损失的变化；风险是受伤害或损失的危险；风险是损失的不 确定性，排除了损失不可能存在和必然发生的情况。 ( 1 ) 风险的特征 风险的一般性质是风险本质的外延表现形式，正确认识风险的表现特征， 有助于对风险的深入理解，有助于根据风险的特征点建立和完善风险评估机制。 风险具有以下一般特征 3 9 1 ： 不确定性不确定性是风险产生的前提条件，是风险最重要的外在表现 形式。由于不确定性是风险产生的前提条件，控制不确定性也就成为了控制风 险的入口和关键 客观性。客观性来源于产生风险原因是客观存在的，产生风险前提条件 在完全消除之前，风险的发生具有必然性。但是人们在风险面前是具有主观能 动性的，主观能动性的效果取决于主观判断和选择是否与客观变化规律相符合。 可度量性。风险源于不确定性，又有别于不确定性，风险强调未来结果 发生的可能性，表现为可测定发生可能性程度的不确定性，风险可以根据以往 类似事件的统计资料，对各种结果发生的机率做出主观估计和判断，并在此基 础之上采取相应的措施加以弥补，使人们在客观风险面前变被动为主动。 时间性事件的风险与未来的时间是正向变化的，未来的时间越长，事 件的风险越大从这一点来看，风险价值在性质上也属于时间价值的范畴。 潜在性。风险是客观存在的，但也只是可能发生的。认识风险的潜在性 特征，有助于管理者通过一定的方式和措施来控制引发风险的客观条件，阻止 第2 章c 0 $ 0 框架下的风险评估理论研究 或促进风险的潜在性转化为现实性，避免风险损失或谋取风险收益。 转移性随着诱发风险的客观条件的变化和风险管理措施的采取，风险 的形态、后果、性质在一定条件下会发生变化。 综合以上学术界对风险的定义和风险的特征，再结合论文的研究目的，本 文对风险傲如下定义：风险是潜在的，可以预期和度量的不确定事件，且该不 确定事件是不利事件，可能给企业带来损失或损害。即风险是任何可能影响目 标实现的负面因素，所有企业，无论规模，结构和行业性质，都面临着诸多来 自内部和外部的风险，影响企业既定目标的实现。 ( 2 ) 风险的分类 对企业风险进行分类是基于风险评估的需要，各种各样的风险在性质、形 态、成因及损失状况上都会表现出不同的特点。进行分类不仅是对风险的研究， 也便于确定采取的对策。企业可通过风险的类别明确哪些风险可以预测和控制， 哪些风险则不定或难以控制，并根据企业自身对损失降至最低程度。在综合分 析现有分类方法的基础上，本文对企业风险进行如下分类。按照风险对应的目 标类别不同，分为相应目标的风险。按照风险的内容不同，分为企业层面风险 和业务活动层面风险。 企业层面风险 导致企业层面风险的因素包括外部和内部两个方面。如表2 - 1 外部因素影 响表，2 2 内部因素影响表。 表2 - l 外部因素影响表 外部因素产生的影响 技术发展影响研发的性质和时机 不断变化的客户需求和期望 影响产品开发和定价 竞争影响营销和服务活动 新的法律和法规影响经营政策和策略 自然灾害可能造成的损失 经济形势的变化等影响融资，资本支出和扩张决策 第2 章c