审计学原理：一定的风险与风险管理的基本含义

第一节　风险与风险管理

一、风险及相关概念

企业管理者管理企业的动机，主要在于追求最大的长期利润。企业在追求利润的存续期中，随时会有风险，如果对风险处理不当，则将导致企业经营的失败。

任何组织的营运，均可能因为未预期的不利事件发生而影响其绩效品质及目标达成。企业经营与风险，如影随形，可努力减轻，却无法消除。因此，最高经营者均应建立风险管理机制，对风险加以有效控管，以确保下列三项目标的达成：

（1）营运活动的效率及效果；

（2）财务报告的可靠性；

（3）相关法令的遵循。

风险是指一项行动或事件发生，对组织造成不利影响的或然率。简单地说，对组织目标未能达成的可能性，也即是使价值受损的不确定性，就叫做风险。

风险的基本含义有以下几个方面：

（1）风险是以一定的发生概率的潜在危机形式存在的可能性，而不是已经存在的客观结果或既定事实。

（2）风险中计算其可能的损失，不计算其可能的附带收益，所以从直接意义上说，风险的效果是净负面的，为风险的承担者、相关者所不需要的，它具有程度不等的危害性，即可能给当事人造成损失，这种威胁是现实的。

（3）风险具有一定的可度量性，测定风险立足于风险转化为现实的危害和损失之前，而不是在其之后；也就是风险是损失的机会和概率，风险会在一定范围、一定时期、以一定形式出现。风险出现的概率总是在0—1之间波动，概率越接近于0，表明发生的可能性越小；概率越接近于1，说明发生的可能性越大。

（4）由以上三点可以引申出：研究和控制风险的目标应是设法压缩风险出现的概率值，阻止风险的潜在性转变为现实性，阻止可能的危机转化为现实的损失。

由以上风险的定义可能引出一些新的概念，这些概念有些是近义，有些可以补充或支撑风险的基本定义，从不同的角度、不同的侧面解释和说明风险的内涵。

“风险事件”：有时也称为风险事故。风险之所以导致损失，是因为风险事故的作用，即风险事故的发生引起潜在的危险转化为现实的损失，因此，风险事故是损失的媒介。

“风险因素”：是指增加或引起风险事故发生的机会或增加损失后果程度的因素。风险因素从不同的角度理解有许多类型。

（1）实质性风险因素。这一因素主要针对物资条件、设施等客观方面，故也称物质因素、有形因素，它主要指能够引起或增加风险事件发生和发展的现实客观因素，如建筑物的新旧程度、气象条件、交通设计、机器的性能等。

（2）道德风险因素。这是一种无形因素，指个人和社会基本成员的品德、行为规范、修养、素质等，这些因素在一定条件下能引发或增加风险事件的发生和发展。

（3）心理风险因素。这也是一种潜在的无形因素，指人们的心态、思维、对事物的看法等因素所可能引起或增加风险事件的发生和发展的程度。

“损失”：风险及管理中所说的损失不等同于一般损失，如进行正常的生产经营活动，为取得生产成果必须作出一定的投入，造成一定的损失，这种损失是有计划、有目的的放弃或换取，这是一种自愿的或临时性的损失。风险中的损失不同于此，它是指风险的结果，是风险承担人不愿看到的后果，是指非计划（无目标）的、非故意的和无回报的经济价值的减少。这种损失既包括直接损失也包括间接损失。直接损失又称为实质损失，是风险结果的直接产物，是可以观察、计量和测定的经济价值的丧失；间接损失是由于风险导致的直接损失以外的损失，一般指额外的费用损失、收入的减少和责任的追究。

二、风险特征

将以上三个概念联系起来正好构成我们所给出的风险的概念；风险因素增加而引发风险事故，风险事故导致损失的可能，而这种具有不确定性的损失就是风险。风险具有如下特点。

1．风险的客观性

风险的存在独立于人们的主观意识之外，风险的发生，无论其范围、程度、频率，还是形式、时间等都可能表现各异，但它总会以各自独特的方式表现自己的存在，是一种必然会出现的事件，风险的客观性是风险的第一大特征。

2．风险的或然性

风险的另一个重要特性是或然性。风险及所致损失的后果往往是以偶然和不定的形式呈现在人们面前的。也就是说，何时、何处、发生何种风险及程度如何完全是一种或然的、杂乱无章的组合和不定的结果。

风险的或然性包含两层意义：其一是风险存在的可能性，其二是风险存在的不确定性。就风险的可能性而言，风险的存在作为一种随机现象具有发生和不发生这两种可能，它表明风险存在的趋向性。无论人们认识与否，风险的存在或不存在都是一种客观状态，在一定条件下人们可以根据经济数据的统计发现，某一风险的存在或发生的可能性存在较规则的变化趋势。这种变化趋势为人们预测风险提供了可能。

风险存在的或然性的另一表现是风险存在的不确定性，亦即人们对风险事件发生的时间、地点、规模、后果难以确定，无法作出正确的判断与估计，风险发生的时间无法确定，往往带有突发性，风险的程度及后果，事先也难以估计，有时甚至是灾难性的后果和全局性的损失，风险存在与发生的不确定性，往往比风险存在与发生本身对人们的影响更大，因为它不仅对社会物质财产和人身安全直接构成威胁，而且在人们的精神和心理上构成很大的忧虑和痛苦。因而，风险的或然性是风险的第二大特征。

3．风险的普遍性

人类的文明是在与风险的斗争中得以发展的。随着科学技术的发展、社会的进步，风险不是减少了，而是增加了，风险事故造成的损失也是越来越大。在今天的社会，无论是单位或个人都面临着各种各样的风险，如企业面临着自然风险、市场风险、技术风险、破产风险；个人则面临着疾病、失业、意外事故等风险。可以说，风险渗入到社会、个人生活的方方面面，风险真可谓无时不在、无时不有。风险的普遍性是风险的第三大特征。

4．风险的可变性

风险的可变性是指风险在一定条件下可转化的特征。一方面，由于人们识别风险、认识风险、抗御风险能力的增加，就能在一定程度上降低风险所致损失的范围和程度及风险的不确定性，减少风险存在与发生的可能性和不定性，从而使某些风险不再存在，或风险即使存在，也已为人们所控制。另一方面，随着社会进步和生产发展，现代科学技术的迅猛发展及其应用，无疑也给人们带来了新的风险和新的损失机会，新的风险事件与风险因素也会增加。而且，这些新的风险可能导致的损失往往是惊人的巨大，远远超越于一般意义上的自然灾害和意外事故所引起的风险损失。

三、企业风险来源

企业风险来源一般可分为组织层级（Corporate　Level）及作业层级（Operation　Level）。组织层级的风险又可分为外来因素造成及内在因素造成。

（一）组织层级风险

依照COSO的研究报告，属于组织层级的风险，外来因素造成者：

（1）科技发展可能影响公司研究的性质及时机，或导致原料采购的改变。

（2）顾客需要与期望改变，可能影响公司产品的开发、生产过程、顾客服务、定价及售后保证。

（3）同业竞争可能改变公司营销服务的作业。

（4）新的法令规定，例如环保、税务及劳工等法令，可能迫使公司改变营运政策及策略。

（5）自然灾害的发生可能改变公司的作业或资讯系统，可能须采取应变措施。

（6）经济情况的改变，可能影响公司有关融资、资本支出及扩充的决策。

内在因素造成者：

（1）资讯处理系统的故障或中断，可能影响组织的营运活动。

（2）新雇用的员工的品质及训练与考核方式，可能影响员工士气，进而影响组织内部的控管意识。

（3）管理阶层人员或职责的变动，可能影响某些控管的执行成效。

（4）组织个体的活动性及员工接近资产的机会，可能导致公司资源遭受挪用或侵占。

（5）董事会由少数一两个人把持或监察人未发挥监督功能，可能使决策草率，或孤注一掷；或对公司的不佳业绩及重大的控管缺失，未给予适当的关注及监督。

（二）作业层级风险

作业层级风险乃组织内各单位事业部在其日常例行的营运活动过程，所遭受不利事件或行动影响的可能性。一般均依企业管理机能，评估其可能的风险，例如生产风险和营销及销售风险。

1．生产风险

（1）合格供应商数量不足的风险。

（2）产品品质未能符合市场需求的风险。

（3）产能调整需求时间太长的风险。

（4）设备损坏后高维修成本的风险。

（5）人工短缺的风险。

2．营销及销售风险

（1）客户取消订单的风险。

（2）应收账款呆账的风险。

（3）销售目标未能达成的风险。

（4）销售策略失败的风险。

（5）价格高度竞争的风险。

任何风险对企业财务损失的影响，最后都会显示在财务及会计资讯上。但是并不是所有风险的不利影响都能够予以量化，而且有些影响也非短期内就会浮现。

每一种风险对企业的财务影响（包括收入、成本、盈余）的敏感性及程度，很难一概而论。例如丧失商机、成本提高、产品售价下滑、意外灾害损失及营业中断等等。

四、风险种类

风险可以分为静态风险与动态风险。静态风险，是指由于自然力量的非常变动或人类行动的错误导致损失发生的风险。例如水灾、旱灾、地震、瘟疫、雷电等自然原因发生的风险；火灾、爆炸、员工伤害、破产等由疏忽意外责任发生的风险；放火、破坏、欺诈等由于不道德、违法违纪造成的风险。静态风险是导致企业成败安危的主要风险，风险管理重心应是对静态风险的管理。动态风险是指以社会经济结构变动为直接原因的风险。起因于经济变动、战争、技术改进、市场变化、法令变更等，如流行款式和消费者需求变化引起的风险，生产方式、生产技术变化带来的风险。

（一）企业的动态风险

动态风险是由于人类需要的改变和机器或制度的改造所引起的，它的损失非常普遍。动态风险大致分为以下三类。

1．管理上的风险

企业在执行管理上虽然是由人来管理、由人来决定，但实际上企业的决定是在“可能”、“或然率”以及“是”与“不是”的选择。一个企业由于错误的决策会导致损失；相反地，正确的决策让企业获取利润。遗憾的是企业在作决定前不可能获得确定的信息，以选择对的决定。因此，管理决策上的不确定性，即构成了管理上的风险。管理上风险有市场风险、财务风险、生产风险及人事风险等。

（1）市场风险。产品在市场上能否获得合理的利润与收益是不确定的，因此导致了市场风险的产生。产品市场大小和性质的改变，消费者偏好，市场总供需的变化及同业竞争策略的改变等，均属于市场风险来源。

（2）财务风险。财务上的风险与企业资金的筹措、管理及安全息息相关，主要来源于财务管理的不确定性，如财务控制的优劣与否，在于财务管理机构组织是否得当、方案的设计是否确定、预测制度和成本是否运用得当、费用分配方法是否合理，等等。

企业财务风险是企业经营中最重要的风险，它可以决定企业的生死存亡。企业财务风险包括狭义的财务风险和影响财务的一些风险。

狭义的财务风险，是指运用财务杠杆不当可能带来的风险。财务杠杆是指企业全部负债对全部资产的比率。

当企业全部负债为零时，这就意味着财务杠杆比率为零，企业完全用自有资本经营，不存在狭义的财务风险。在市场经济的体制下，企业一般都要举债经营，否则会影响其发展速度和盈利能力。举债经营虽然能碰到成功的机会，但也有失败的风险。因为债务人不仅要到期支付本金，还要支付利息，以补偿债权人资金的时间价值和风险价值，同时还要支付一定的手续费用。由利息和手续费用构成的债务成本，必须由企业用这笔债务资金去创利润进行补偿。企业如果能在预定的时间内，正确运用这笔债务资金多创利润超过这笔债务成本，那么企业就成功地运用了财务杠杆；反之，企业将会亏损，构成举债风险。值得注意的是，举债经营，必须在“预先规定的时间内”及时还债，否则债务人就必须承担法律责任。市场经济是契约经济，债权债务关系复杂，为了保证正常的经济秩序，按时偿还债务是每个企业应尽的责任，否则就要承担法律后果。

广义的财务风险，包括企业财务风险、企业员工的人身风险、企业责任风险、企业筹资风险、企业投资风险、流动资金运作风险、市场经营风险等。广义的财务风险，主要是指对于企业财务核算有重大影响的上述一些风险。

（3）生产风险。生产上的风险与人员、制造技术和原料的取得有密切关系，同样来源于生产管理上的不确定性。如生产产品利用何种不同的原料和劳动力资本、存货政策是否应发生变动、原材料能否以其他的替代品取代、劳动合同的磋商、罢工的排除能否圆满解决、机器设备提早陈旧废弃以及制造技术亟待改进等等。

2．政治上的风险

由于战争、内乱、暴动、产业竞争、关税及税率或税法的改变所引起的政治上及社会上的风险。政府的力量或政治情况的变动，既可以帮助企业，也可能危害企业。如新税的增设、税率的提高，无疑会使企业收入减少，费用提高。

3．创新的风险

新产品尚未占领市场、新技术的推广应用，同样存在风险。

从总体上看，动态的风险，不常导致企业家的损失，因为一个企业家遭受了损失，可能使其他的企业家获利。如企业家能进行正确的决策和计划的话，均可能获利。正因为动态风险存在有相反性质，所以又称为投机风险。

（二）企业的静态风险

企业在经济稳定情况下，虽然拥有忠实的顾客、忠诚的员工、稳定的政策环境及供需市场，仍免不了会遭遇到许多不可预料、不可抗拒的风险，这些风险称为静态风险或纯粹危险，大多数静态风险是具有好恶相克的性质，仅有损失而无获利的机会。

（1）资产实质上的损害。由于天灾或由于人员的疏忽行为或故意行为，如洪涝、干旱、爆炸、暴行、暴力、战争及盗窃等，造成实质财产、个人有形财产和不可转让的请求权等直接或间接损失。

（2）欺诈或犯罪暴行所致的所有权损失。可能由于本身不懂法律和别人的非法行为，以致丧失对财产的控制和所有权；或由于不正确的判决，造成了财产损失。

（3）因法律责任所造成的财产损失。由于疏忽行为，而造成他人经济上或精神上的损失，企业应负赔偿责任。如顾客接受服务时遭到伤害、顾客使用企业产品受到了伤害，或企业司机肇事等。

（4）财货遭受损害致使所得能力减低。企业遭受实质损害时，可能也会遭受到净收益损失。净收益损失，还会因火灾使材料损失，而导致停产、倒闭等。

（5）重要员工或所有权者的死亡或伤残所致收益减少的损失。员工生存与健康状况是不确定的，过早的死亡或伤残会导致企业损失，这些损失必须以增加营业费用或减少收入净额来补偿。

无论是狭义的财务风险，还是广义的财务风险，从其成因看，可以分为利率风险、汇率风险、购买力风险、经营风险、市场风险、流动性风险、政治风险、违约风险、道德风险等。

五、风险管理含义

企业风险管理是指对影响企业策略和目标实现的各种风险进行辨识、分析、衡量和评估，然后提出管理风险的措施和决定接受风险的程度。

不确定性有两种可能：一是可能产生风险使价值受损，二是可能产生机会使价值增加。企业风险管理的理想架构，可以有效地管理不确定性，对风险做出有效的回应，并且在机会产生时能充分加以利用。

成功的管理风险可以使企业达成其绩效和利润目标，防止资源的损失并确保财务报告及法令遵循的有效性。就短期而言，企业风险管理可以协助企业在追求目标实现的同时避免隐藏的危险及意外事件的发生。

COSO所提出的企业风险管理架构有利于强化风险辨识能力，降低营运相关损失。其特点是：

（1）将风险承受度及策略加以联结；

（2）将企业成长、风险及报酬加以联结；

（3）加强对风险回应的判断；

（4）降低营运上的意外事件及相关损失；

（5）管理整个企业所有相互关联的风险；

（6）快速掌握机会；

（7）合理降低资本需求及做到最佳资源配置。

六、风险管理要素

企业风险管理并非限于特定的事件或情况，它是一个持续不断进行的过程，而且会牵涉整个企业各方面的资源及营运作业。企业风险管理关系到每个层级的人员，并且应用全面性的观点来检视风险。

以程序而言，企业风险管理有八个相互关联的要素，这八个要素形成了一个全面性的行动架构。

（一）内部环境

企业的内部环境是风险管理的基础，内部环境不仅会影响到策略及目标的设定、活动的建置，而且影响到对风险的辨认、评估及回应。内部控制环境由多种因素组成，如道德观、人员、管理者的经营理念及风险管理的态度和文化。

（二）目标设定

即规定设定目标的程序，并确认目标、策略及风险承受之间的一致性。企业目标可以从以下几个方面确定：

（1）策略：有关企业整体的目标及使命；

（2）营运：有关效率、绩效及获利能力；

（3）通报：有关内部及对外部的报告；

（4）遵循：有关法令及规章的遵循。

（三）事件辨认

企业经营环境充满不确定性，没有任何企业可以百分之百地确定特定事项是否或何时发生，及其结果将会如何。通过事项辨认的程序，管理者将思考所有会影响其策略及目标达成的内部及外部因素，并将潜在事项加以分类。其分类方式可按事项是否横跨整个企业或是否垂直穿越各个作业单位来进行归类。管理者还要对这些事项之间的相关性进行分析和了解，并且获得充足的资讯作为风险评估的基础。

（四）风险评估

风险评估着重于对潜在事项发生的可能性及其影响程度进行分析和评估，并要分析和评估潜在事项对目标实现的影响。虽然一个单一事项的影响可能很小，但是一连串的事件可能使影响程度增大。

风险评估同时使用定性与定量的方法，来评估潜在事项的不确定性程度。

（五）风险回应

当风险被辨认及评估之后，管理者必须思考可能采取的风险回应方式及其影响，同时考量风险承受度及成本效益。为了达到有效的风险管理，所选择的风险回应方式不能超出企业所能承受的风险范围。

风险回应方式，主要有回避、降低、分摊及接受，当然还有转移、集中等其他方式。管理者决定了管理风险的方式之后，必须将其转化为有效的行动，制订执行计划，并且评估计划执行后的剩余风险。

（六）控制活动

内部控制的政策及程序是为了确保风险回应方式的有效执行。每个企业的目标及达到目标的方法不同，所以控制活动也不相同，而且控制活动还反映了企业经营的环境、产业特征、内部组织、内部控制及企业文化等。一般控制通常包括了对IT管理架构、软件的购置及维修，及资料存取的安全等控制；而应用控制的目的则在确保资讯处理的完整、正确及有效。

（七）资讯及沟通

组织的每个层级在辨认、评估及回应风险时都需要取得来自内部及外部的适当的资讯。资讯取得后，应帮助组织快速而有效地执行任务。有效的沟通既包括内部从上至下或从下至上的沟通，也包括对客户、供应商、政府单位及股东等外部团体的资讯沟通。

有效的企业风险管理必须依赖于历史资讯及现时资讯。从历史资讯中可追踪实际经营结果与目标的差异并找出趋势，同时也能提前察觉到与风险相关的潜在事项。而现时资讯则能够反映已存在于作业程序或作业单位风险的及时资讯，使企业能够依据风险承受度改变其所进行的营运活动。

（八）监督

监督的作用在于确保企业风险管理的各个构成要素在组织的每个层级系一致执行。监督进行的方式包括持续监督及个别监督。持续监督是建立在营运活动之中，并且随时不断进行；个别监督是在事实发生之后才进行。相比之下，持续监督的机制更能够迅速地发现问题。

企业风险管理是一个相互关联的程序，只有八个要素同时存在并能顺利地运作，才能发挥其作用。当然，任何一种风险管理程序，不论其设计及执行多少，都不能对结果加以保证，但一定有助于管理阶层增加实现目标的信心。

COSO风险管理架构，是在内部控制架构基础上发展起来的，虽然企业风险管理的八要素也反映了内部控制与要素的相关内容，但不能替代内部控制要素，因为各要素的目的及具体内容是不相同的。