擬上市財務培訓系列第2篇：風險評估

風險評估是內部控制五要素之一，對于風險評估的具體內容，如果你還不太了解，建議可以先去看下《內部控制基本規范》，本文對文件內容不重復贅述。

本文主要解答實務中關于風險評估的3個問題，幫助大家更好的開展風險評估工作。

第1個方面：風險評估應該什么時候做？

文件原文是：

企業應當根據設定的控制目標，全面系統持續地收集相關信息，結合實際情況，及時進行風險評估。

實際操作中，很多企業每年只進行一次風險評估，且是在年底的時候，經常給人的感覺是在為了評估而評估，為了交一份評估報告而做的評估。

實際上，風險評估并不僅僅是在年底做一次完整的風險評估工作，而應該滲透到公司的管理活動中。

通讀風險評估章節，你會發現，風險評估的內在邏輯是：

控制目標–識別風險–分析風險–確定風險應對策略

本質上，風險評估是為了達到控制目標而服務的，控制目標是什么？內控五目標就是控制目標，控制目標的本質是為了達成管理目標。

所以在管理目標的制定階段、執行階段，風險評估都應該有所作為。

比如說，公司在制定未來3年規劃或者年度目標的時候，是不是可以對目標進行一個風險識別，看可能會有什么事項會阻礙目標的發生，分析后制定出相應的應對策略。

第2個方面：執行風險評估時識別風險的方法

這里建議區分兩種類型的企業來確定方法，第一種企業，是沒有系統地進行過內控建設，也沒有系統做過風險評估的企業。

建議主要采用風險清單法+流程圖法，輔之以財務報表分析法。

風險清單法，是事項確定好風險清單，制作成調查問卷的形式，發放給企業全體人員或部分人員進行填寫，由此初步發現企業突出的風險問題。

這個方法有個弊端，就是風險清單沒有針對性，為此，最好能找到同行業企業的風險數據庫作為底表來設計，如果實在找不到，則用通用版本代替也行，同時增加一個自由填寫的頁面，由填寫人自行填寫他認為調查問卷沒有提到但是本企業存在或者發生過的風險。

流程圖法，是根據企業的管理流程、業務流程來識別每個環節可能存在的風險，該方法需要企業首先要梳理、了解清楚自身的流程，將流程圖畫出來，所需要的時間較多。

財務報表分析法，則是利用財務數據來識別企業可能存在的風險，該方法可以作為以上兩個主要方法的輔助手段，補充完善風險。

第3個問題：如何更好的展現風險評估結果？

一般做完風險評估后，會形成一份評估報告，在內控發展多年后，隨著數據可視化的發展，風險評估也朝著可視化的方向在發展，有些公司已經嘗試開發出一種叫做“風險地圖”的工具，來改變傳統報告紙張化、靜態化的特點。

那么風險地圖是什么樣的？公開資料顯示有3種形式，供大家參考。

第一種，以地圖形式展現

可以看到，這種方式就跟我們平時見到的地圖一樣，有3點需要注意：

第1點：這是以部門（職能中心）為維度繪制

第2點：各部門顏色不同，應該代表部門的風險大小

第3點：該地圖可以向下做穿透，也就是可以點擊某一個部門后，向下一級展開，形成該部門內的風險地圖。

第二種形式：以流程維度展現

圖片來源：網絡文件《以風險地圖為指引的內部審計監控模式的探索與實踐》

從圖片可以看到，這個形式就是以流程為主線，按流程節點梳理，同樣標注不同顏色，也可以進行穿透，查看單個環節風險情況。

第三種形式：以坐標圖形式展現

圖片來源：網絡文件《集團公司風險地圖匯編》

可以看到，這種展現類型，以后果作為y軸，以頻次作為x軸，將企業各個業務流程風險按此兩個維度評估后畫圖。

同時按照標注的顏色，可以清晰看到哪些活動是頻次高后果嚴重的，也可以達到一目了然獲得整個公司風險情況的效果。

這3種展現形式都是為了直觀地將公司風險情況展現出來，并且都能進行進一步穿透，直至底層風險。

我們在做風險評估結果展示時，也可以借鑒以上形式