3.3 未雨绸缪,使内控更有效――风险评估
“在别人大胆的时候,你谨慎;在别人谨慎的时候,你大胆。”
――沃伦?巴菲特
每一起严重事故的背后,必然有29次轻微事故和300个未遂先兆以及1000个事故隐患。
――海恩法则
你是否准备好了,站在风口浪尖上,应对所有难题?是否已经将一切可能发生的情况都预计在内?是否有十足的把握不会跌倒?
或许我们都很清楚,这个世界上没有什么是绝对的。面对“所有”可能,我们只能力争防范危机,面对发生的风险,重在安然无恙地渡过难关。
●跳出“框框”看风险
先不从内部控制的框架理论来看风险评估,从这个“框架”跳出来,而是以一种很普通的眼光,运用最平常的知识,按照自己的理解跟风险“握个手”。
一个公司对于风险的关注表现在公司渴望或要求规避风险。通常对于风险只能是估测,那么认为哪些流程或领域可能是最大的风险敞口?发现内部控制缺陷后,怎样识别这些发生重大影响的领域?如果还没有进行任何的研究或者调查,那么你将计划怎样把资源分配给相关的领域?什么样的水平的风险需要一个应对的策略来缓解潜在的危机?或许下面的可以揭示一二。
共享:与其他人(比如客户、厂商或者供应商等)共同分享风险,也就是共同承担风险,这样的方案一般是对于大的风险能够起到一定的保护自身公司的作用。
接受:很显然,这样的策略便是将其保留在业务结构中并提供一定的资源对其监控和跟踪。
规避:这就是指采取这样的策略,也就是选择将风险消除,从根本上拒绝接受这样的风险。
缓解和控制:建立一定的控制制度,审时度势。静观其变,如果可行,那么就实施监控和跟踪;倘若不可行,就再建议一个过渡计划将其从公司相关业务中消除。
●风险评估面面观
一般地,风险评估是指在风险事件发生之前或之后(但还没有结束),对该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
运用到企业中,风险评估则可以具体认为是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。当今社会经济环境变幻莫测,企业之间竞争也是激烈异常,企业经营风险不断提高,运用内部控制,目的就是帮助企业降低风险。首先就需要对风险有准确的认识和评估,这是前提条件。只有正确适当地评估了风险,才能够有的放矢的防范风险。从内部环境到监督,每一个环节都少不了对风险的评估这一项。
风险评估涉及确定风险度、识别风险(包括内部风险和外部风险)、风险分析和风险应对四个方面。在对这些细节内容介绍之前,让我们先一起回顾下面这个“软饮料”世界里的经典案例风波吧!
案例链接
芬达、美年达的“致癌”危机
2006.2.22日,新西兰一家网站刊登消息,声称包括可口可乐旗下的芬达汽水、百事可乐公司旗下的美年达橙汁等软饮料,都含有防腐剂和抗氧化剂,可能构成致癌危险。而美国食品和药物管理局(FDA)早在1990年公布的测试报告就显示,软饮料中包含的维生素C和******钠相互作用,可形成苯。1991年,法国“巴黎水”饮料因苯含量超标,不得不在全球召回上亿瓶。另据英国媒体报道,美国FDA一个月前曾发出警告,并开始关注软饮料中的苯物质对人体健康的长期影响。在FDA宣布在美国软饮料市场就苯问题开展全方位调查之后,德国食品安全监督机构和英国食品标准局也展开了相应的调查。
数则消息接二连三曝出,各大媒体竞相报道着一场食品安全风波又要刮起。两大国际饮料巨头同时遭遇此棘手问题,在对这起事件本身高度关注的同时,消费者们以及众多媒体也在密切关注着这两大巨头将会采取怎样的行动。
“说我们的产品有致癌危险,太没有根据了。我觉得这一消息的来源有问题。”
――一名可口可乐中国公共事务部负责人
同样,百事可乐相关负责人也认为,公司经过综合评估和产品测试,所有产品都是安全的,完全符合有关苯的所有规定。
显然这样的自我辩解并不能起到立竿见影的效果,众多消费者在得知这一消息之后,不少比例的人群选择了不再购买这类饮料。局面依然没有稳定下来,自身的解释很难被公众接受采纳,说服力的不足使得两大巨头一时之间也懊恼不已。但是,它们很快意识到,如果能够有权威部门或者政府部门的证明,那效果将会是与众不同的。果然,当国家质检总局对进口及国内生产销售的170多批次软饮料产品完成检验后发现,所有样品苯含量均没有超过相关规定。这一宣布使得众消费者悬挂着的心稍微安定不少。同时,英国食品标准局在网站上发布的一份最新声明称,该局审查数据后认为,“检测到的苯含量非常低,不会对公众健康造成威胁”。中国饮料工业协会对此进行公开声明,大部分样品中苯含量都极低,是在世界卫生组织限制的安全饮用范围之内,不会对公众健康造成威胁。
除了相关部门的出面澄清,还有一些专家也针对这一事件发表看法,认为消费者还是可以继续引用这些饮料,并没有所描述的那样夸张。这一系列的公告或者言论及重要的部门和专家的声音终于让人们浮动的心定了下来,关于饮料的“致癌”风波在一周以后便销声匿迹了。
这个案例虽然讲的是“两乐”巨头面对了一场巨大的危机,但是看这个经过,可以发现“两乐”巨头公司在应对风险方面的态度及策略,以及处理风险的手段等等方面,都反映出了这两家公司各部门处理危机的风险控制能力极强,一系列的应对措施和从容的态度,对其内部控制能力可见一斑。
确定风险度、风险识别
风险承受度是指企业能够承担的风险程度,包括整体风险承受能力和业务层面的可接受风险水平。要进行风险评估,首先应当准确识别与实现控制目标相关的内部风险和外部风险,进而确定相应的风险承受度。
风险应对是指在确定了决策的主体经营活动中存在的风险,并分析出风险概率及其风险影响程度的基础上,根据风险性质和决策主体对风险的承受能力而制定的回避、承受、降低或者分担风险等相应防范计划。制定风险应对策略主要考虑四个方面的因素:可规避性、可转移性、可缓解性、可接受性。
根据《企业内部控制规范》,认为企业应对风险的策略一般包括风险回避、风险承担、风险降低和风险分担等。企业应当综合运用这四个风险应对策略,以实现对风险的有效控制。