【正文】 關注的是管理層風險評估的過程，評估風險會決定審計證據(jù)的收集。沒有信息和資料，風險評價無從談起，所以，必須收集必要的信息和資料（證據(jù)），以支持自己的風險評價結論并據(jù)以做出決策。風險的最初評估是從有限的信息開始的，隨著獲取更多的信息，必須對風險進行重新評估和比較。辨識和分析風險的過程是一種持續(xù)及反復的過程，也是有效風險管理的關鍵組成要素，管理階層須謹慎注意各部門的風險，并采取必要的管理措施。因此，實務中，兩種方法的結合時很必要的，兩者可以互補其不足，企業(yè)也可以根據(jù)自身的特征決定采用具體的結合形式。壓力測試一般被用作概率度量方法的補充，用來分析那些通過與概率技術一起使用的分布假設可能沒有充分捕捉到的低可能性、高影響事件的結果。VaR把對預期的未來損失的大小和該損失發(fā)生的可能性結合起來，不僅讓投資者知道發(fā)生損失的規(guī)模，而且知道其發(fā)生的可能性，是一種數(shù)量化市場風險的重要量度工具。僅僅考慮獨立的因素是不現(xiàn)實的，因為它們往往是相互影響的。這種方法要求每一關鍵變量的變化是相互獨立的。 (b)敏感性分析敏感性分析是通過分析，預測項目主要因素發(fā)生變化時對經(jīng)濟評價指標的影響，從中找出敏感因素，并確定其影響程度。 ③比較常用的定量分析法有情景分析、敏感性分析、VaR、壓力測試等. （a）情景分析法情景分析法是通過假設、預測、模擬等手段生成未來情景，并分析其對目標產(chǎn)生影響的一種分析方法。 ②風險的定量分析和測量一般要考慮的兩個關鍵因素（a）當前有多少潛在的損失？（b）損失實際發(fā)生的可能性有多大？風險是這兩個因素的組合。在風險難以量化、定量評價所需數(shù)據(jù)難以獲取時，一般應采用定性方法。就是對構成風險的各個要素和潛在損失的水平賦予數(shù)值或貨幣計量的金額，從而量化風險分析的結果。（2）定量方法。最常見的定性分析方法是風險評估圖法。定性分析方法是目前風險分析中采用比較多的方法，它具有很強的主觀性，往往需要憑借分析者的經(jīng)驗和直覺，或者世界的標準和慣例，對風險因素的大小或高低程度進行定性描述，譬如高、中、低三級。（1）定性方法。按照影響的結果（通常是量化成數(shù)值），一般將風險劃分為“不重要”、“次要”、“中等”、“主要”和“災難性”五級。 風險可能性分析的結果一般有“很少”、“不太可能”、“可能”、“很可能”和“幾乎確定”五種情況。（1）風險發(fā)生的可能性分析可能性分析是指假定企業(yè)不采取任何措施去影響經(jīng)營管理過程，將會發(fā)生風險的概率。管理者應從兩個方面對風險進行評估——風險發(fā)生的可能性和影響。風險評估中最基本的部分，就是如何辨認風險因素中已發(fā)生的改變，并采取必要的行動。管理者為了建立和完善風險管理，要評價風險；內部審計人員為了評價風險管理，也要連續(xù)評價風險；注冊會計師為了制定財務審計的審計策略，也要依賴于評價風險管理的評價結果。風險分析是風險應對的基礎，并為制定合理的風險應對策略提供依據(jù)，沒有客觀、充分、合理的風險分析，風險應對將是無的放矢、效率低下的。風險分析是結合企業(yè)特定條件在風險識別的基礎上，運用定量或定性方法進一步分析風險發(fā)生的可能性和對企業(yè)目標實現(xiàn)的影響程度，并對風險的狀況進行綜合評價，為制定風險管理策略與選擇應對方案提供依據(jù)。 （四）風險評價（Risk Appraisal） 含義在確定了組織的內外部環(huán)境和目標，識別了風險因素的前提下，可以對影響目標實現(xiàn)的風險因素逐項進行風險評價。事項識別是一個連續(xù)不斷的、系統(tǒng)的過程，事項識別方法既關注過去，也著眼未來，僅憑一兩次有限的分析不能解決所有的問題，許多復雜的和潛在的事項要經(jīng)過多次識別才能獲得最佳效果。 （6）其他方法u 經(jīng)常性的檢查關鍵文檔u 面談企業(yè)風險事項識別的方法很多，各有其優(yōu)缺點和使用條件，沒有絕對的使用所有事項識別的方法。事件樹分析法的特點：l 事件樹分析是一個動態(tài)過程 l 可以指出防止事故發(fā)生的途徑 l 能夠找出消除事故的根本措施 （4）現(xiàn)場調查法獲知主體經(jīng)營情況的最佳途徑就是現(xiàn)場調查。：（2）流程圖分析法流程圖分析法是將風險主體的全部生產(chǎn)經(jīng)營過程，按其內在的邏輯聯(lián)系繪成作業(yè)流程圖，針對流程中的關鍵環(huán)節(jié)和薄弱環(huán)節(jié)調查和分析風險。比率因素分解法，是指把一個財務比率分解為若干個影響因素的方法。比率分析法可以分析財務報表所列項目與項目之間的相互關系，運用的比較廣泛。趨勢分析法通常包括橫向分析法和縱向分析法。財務報表分析法具體分為：趨勢分析法、比率分析法、因素分析法、杜邦分析法。為了事項識別的方便，一般把風險暴露分為：實物資產(chǎn)風險暴露、金融資產(chǎn)風險暴露、客戶資產(chǎn)風險暴露、雇員或供應商資產(chǎn)風險暴露和組織資產(chǎn)風險暴露。（4）重視風險暴露這是事項識別的重要組成部分，可能面臨損失的物體都有風險暴露的可能性，必須重視風險的暴漏。 企業(yè)的風險因素應該包括但不限于以下內容：、行業(yè)經(jīng)驗環(huán)境的變化、商業(yè)周期或產(chǎn)品生命周期的影響、市場飽和等；，經(jīng)營業(yè)績不穩(wěn)定，主產(chǎn)品或主要原材料價格波動，產(chǎn)品或服務過度集中或分散等；、技術尚未產(chǎn)業(yè)化、技術缺乏有效保護或保護期限短、缺乏核心技術或產(chǎn)品技術面臨被淘汰等；、技術保障、產(chǎn)業(yè)政策、環(huán)境保護、融資安排等方面存在的問題，因營業(yè)規(guī)模、營業(yè)范圍擴大或者業(yè)務轉型而導致的管理風險、業(yè)務轉型風險。外部風險因素包括：科技發(fā)展；顧客的需求或預期改變；競爭；新的法律和行政命令；自然災害；經(jīng)濟環(huán)境改變等。組織的風險一般是由外部因素和內部因素所產(chǎn)生的。感知到風險事項的存在才能進一步有意識有目的的分析風險，進而掌握風險的存在及導致風險事項發(fā)生的原因和條件。風險識別的內容風險識別主要內容包括兩方面：一是感知風險事項，二是分析風險事項。風險識別的含義風險識別是對企業(yè)面臨的各種潛在事項進行確認?？赡軡撛诘氐窒L險的負面影響的事項則應在風險的評估和反應階段予以考慮。對組織有正面影響的事項，或者是組織的機遇，或者是可以抵消風險對組織的負面影響的事項。不確定性的存在，使得組織的管理者需要對這些事項進行識別。因此，確定風險因素的先決條件是設定目標，組織的目標，通常是由組織的理念及其所追求的價值所決定的，而與之相配合的是組織下一級各部門的具體目標。 風險、風險因素的定義風險是指某一對組織目標的實現(xiàn)可能造成負面影響的事項發(fā)生的可能性。設定的業(yè)務目標應該具體并具有可衡量性，并且與重要業(yè)務流程密切相關。在具體設定戰(zhàn)略目標時，常用的方法有時間序列分析法、相關分析法、盈虧平衡分析法、決策矩陣法、決策樹法、基準分析法、博弈論法、模型模擬法等分析方法。（3）戰(zhàn)略目標設定的原則戰(zhàn)略目標設定的原則，通常使用SMART原則，它是以下五個英文單詞首字母的縮寫：S（Specific）代表具體，不能籠統(tǒng)；M（Measurable）代表可計量，可以量化并可被驗證；A（Attainable）代表可行，可以達到；R（Relevant）代表相關性，實實在在，可以證明和觀察；T（Timebased）代表時限，具有明確的截止期限。這樣的群體主要有顧客、企業(yè)職工、股東、所有社區(qū)及企業(yè)社會群體。業(yè)績目標主要包括收益性、成長性和安全性指標等三類定量目標；能力目標主要包括企業(yè)綜合能力指標、研究開發(fā)能力指標、生產(chǎn)能力指標、人事組織能力指標和財務管理能力指標等一些定性和定量指標。在企業(yè)使命基礎上設定戰(zhàn)略目標，但為了其實現(xiàn)，還必須將其分解成職能戰(zhàn)略目標，也就是，總戰(zhàn)略目標是企業(yè)的主體目標，職能型目標是保證性目標。戰(zhàn)略目標可以進行縱向分解和橫向分解，還可以運用平衡計分卡進行分解。盡管企業(yè)戰(zhàn)略目標是多元化的，但各個企業(yè)需要設定目標的內容卻是大致相同，通常戰(zhàn)略目標的內容可從以下幾個方面來考慮：不是每個企業(yè)在以上每個區(qū)域都要規(guī)定目標，并且戰(zhàn)略目標也不僅局限于以上9個方面。企業(yè)戰(zhàn)略目標的設定和分解在設定企業(yè)風險管理目標的過程中，企業(yè)要根據(jù)自己的風險偏好和風險承受能力首先設定企業(yè)層面的目標，即戰(zhàn)略目標，然后再設定業(yè)務層面目標。（4）企業(yè)應以風險組合的觀點看待風險。（3）風險承受度風險承受度是指在企業(yè)目標實現(xiàn)的過程中對差異的可承受風險限度，是企業(yè)在風險偏好的基礎上設定的對相關目標實現(xiàn)過程中所出現(xiàn)的差異的可接受水平，也被稱作風險承受能力?？梢詮亩ㄐ院投績蓚€角度對風險偏好加以度量。企業(yè)要經(jīng)常對設定的目標進行審閱，以保證這些目標和企業(yè)的偏好、風險承受能力一致。其中，戰(zhàn)略目標是最高目標，是與企業(yè)使命相聯(lián)系的終極目標；其他四個是建立在戰(zhàn)略目標基礎上的業(yè)務層次目標，其中經(jīng)營目標是戰(zhàn)略目標的細化、分解與落實，是戰(zhàn)略目標的短期化與具體化，是風險管理的核心目標；資產(chǎn)目標是實現(xiàn)經(jīng)營目標的物質前提；報告目標是經(jīng)營目標的成果體現(xiàn)與反映；合規(guī)目標是實現(xiàn)經(jīng)營目標的有效保證。貴重資產(chǎn)需要有多重保護措施。為保護組織的資產(chǎn)安全所設計的風險管理的基本思想在于制衡，因為有了制衡，兩個人同時犯同一錯誤的概率大大減少，從而加大了不法分子實施犯罪計劃、進行貪污舞弊行為的難度，從而保護企業(yè)的資產(chǎn)被非法侵蝕或占用，保障企業(yè)正常經(jīng)營活動的順利開展。保護資產(chǎn)通常理解為對現(xiàn)金、有價證券和存貨等資產(chǎn)的保護，以防止出現(xiàn)舞弊性錯誤，如顧客通過盜竊或篡改記錄、多拿傭金、紅利或索取使用費等；也防止非故意性的錯誤，如偶然性少收貨、多付購貨款或財產(chǎn)損壞等。資產(chǎn)安全目標有兩個層次： ①確保資產(chǎn)在使用價值上的完整性，主要是指防止貨幣資金和實物資產(chǎn)被挪用、轉移、侵占、盜竊以及對無形資產(chǎn)控制權的旁落。（5）資產(chǎn)得到保護（保護資產(chǎn)的安全）資產(chǎn)安全目標主要是為了防止資產(chǎn)流失。政策、計劃和程序是由組織制定的，法律和法規(guī)來源于組織外部，內部審計人員要審查規(guī)章制度的遵循情況，評價政策、計劃和程序的適當性。（4）組織的經(jīng)營管理行為和決定遵守相關的法律、法規(guī)和合同（保證遵循政策、計劃、程序、法律、法規(guī)和合同）經(jīng)營管理合法合規(guī)目標是指風險管理要合理保證企業(yè)在國家法律和法規(guī)允許的范圍內開展經(jīng)營活動，嚴禁違法經(jīng)營。③建立良好的信息和溝通體系，提高管理層的經(jīng)濟決策和反應的效率。良好的風險管理可以從以下四個方面來提高企業(yè)的經(jīng)營效率和效果：①組織精簡、權責劃分明確，各部門之間、工作環(huán)節(jié)之間要密切配合，協(xié)調一致，充分發(fā)揮資源潛力，充分有效的使用資源，提高經(jīng)營績效。（3）保證運營的效率和效果（高效率、有成效（結果））提高經(jīng)營的效率和效果是風險管理要達到的最直接也是最根本的目標。管理部門需要可靠的財務信息以便在組織的經(jīng)營活動中做出正確的經(jīng)營決策；股東、貸款者和其他各方，需要可靠的財務信息以便進行正確的投資、貸款和其他決策。如果其他各方面都能做到準確無誤，會計記錄就可以按照設計要求提供可靠信息。為提供可靠的財務報告，必須保證具有可靠的會計記錄。為確保財務報告及相關信息真實完整應做到：（1）應按照企業(yè)會計準則的有關會計制度如實地核算經(jīng)濟業(yè)務、編制財務報告，滿足會計信息的一般質量要求。（2）保證財務和運營信息的可靠性與完整性財務報告及相關信息的真實完整目標是指風險管理要合理保證企業(yè)提供了真實可靠的財務信息及其他信息。企業(yè)的五類目標不同的目標對風險管理的制定、實施、要求各不相同，但不管怎樣，風險管理都要實現(xiàn)如下五類目標：（1）促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略目標促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略是風險管理的最高目標，也是終極目標。需要注意的是，企業(yè)風險管理的利益相關者和公司治理的利益相關者不能直接劃等號，但二者會互相影響。確定風險管理的目標需要關注企業(yè)的利益相關者企業(yè)的利益相關者就是和企業(yè)的發(fā)展、變化直接相關的那些組織和人員，他們會因企業(yè)的變化收益或者受害，企業(yè)目標（導向）的確定直接影響利益相關者的利益；反過來講，企業(yè)利益相關者的訴求也會影響企業(yè)目標的確定以及企業(yè)風險管理目標的確定，因此要確定合理的企業(yè)目標就需要首先確定企業(yè)的利益相關者，根據(jù)利益相關者的訴求確定企業(yè)的目標。循環(huán)應與機構的組織和職責分工相一致，應與機構的總體目標相配合，以促成總體目標的實現(xiàn)。管理思想和經(jīng)營方針既受經(jīng)濟環(huán)境的影響，又受決策階層的基本觀念影響。風險管理要達到的目的稱為風險管理目標，任何組織的控制目標，總是源于管理目標，總是和其管理目標相一致的，它是管理目標的具體化，風險管理為組織目標的實現(xiàn)服務。管理者必須首先確定組織的目標，才能夠確定對目標的實現(xiàn)有潛在影響的事項。目標設定是企業(yè)風險評估的起點，是風險識別、風險分析和風險應對的前提。 (9)外部影響 外部機構的監(jiān)管可能導致管理當局采用更多特定的風險管理政策和程序。具體包括：有完善的招聘與選拔方針及操作性程序；對新員工進行組織文化和道德價值觀的導向培訓；對違反行為準則的任何事項，制定紀律約束與處罰措施；對業(yè)績良好的員工，制定具有獎勵和激勵作用的報酬計劃，并避免誘發(fā)不道德行為；根據(jù)階段性的業(yè)績評估結果，對員工予以晉升、指導以及獎罰。好的人事政策和實務，能確保執(zhí)行組織政策和程序的人員具有正直品行和勝任能力，組織必須雇傭足夠的人員并給予適當?shù)呐嘤柡妥銐虻馁Y源，使其能完成所分配的任務。(7)人力資源政策及實務風險管理是由人來進行并受人的因素影響，風險管理中最重要的因素是人，如果員工具有足夠的勝任能力和誠心度，將大大有助于風險管理目標的實現(xiàn)。內部審計與其權限、人員的資格以及可使用的資源密切相關。組織規(guī)模越大，這些方法越重要。(5)管理控制方法管理控制方法是管理當局對其他人的授權使用情況直接控制和對整個公司的活動實行監(jiān)督的方法的總稱，包括經(jīng)營計劃、預算、預測、利潤計劃、責任會計等。（4）授權和分配責任的方法如果管理當局建立了授權和分配責任的方法，就會大大增強機構的控制意識。組成這兩個機構所要考慮的因素主要包括：成員的經(jīng)驗；相對于管理層的獨立性；外部董事的比例；其成員參與管理的程度；所采取措施的適宜性；對管理層提出問題的深度和廣度；它們與內部、外部審計人員的關系實質。因為董事會和管理層對風險的態(tài)度將影響組織對業(yè)務活動的選擇和為使風險被控制在可以接受的水平而采取的措施。（3）董事會和審計委員會董事會是內部環(huán)境的重要組成部分，對其他內部環(huán)境要素有重要的影響。組織結構常用組織結構