“咱們剛才講完了COSO魔方的第一個要素——內控環境,接著來講第二個要素——風險評估。若COSO魔方您要是忘記了的話,咱們翻回去看一次。”小熊征詢地看了熊媽媽一眼,把手裏的筆記本往回翻了翻。
“媽,咱們先回憶一下什麽是風險。總體而言,風險是未來可能發生的導致損害的可能性。風險是如何產生的呢?企業運營有三個總體目標:有效率的運營、有質量的財務報告,還有對法律的合規性。為了滿足上述的目標,企業需要采取一定的行動和策略,那麽不可避免地,風險就產生了。”
“媽,我說了這麽多您怎麽一直深情地看著我啊?全忘啦?”
“我明明是沉浸在對知識點的回憶中。”
“那您沉浸得夠透徹的,估計快沉底兒了。”
“你看你又跑題,你不是要講風險評估嗎?我看你最好也評估一下自己的風險。”
“風險評估其實是個比較專業的工作,大企業可能還有這樣的專業力量自己做,如果是中小型企業,一般都是聘請中介機構來進行的。很多專業書籍喜歡建議企業先進行風險評估,但是我個人覺得,這樣的要求有一個前提——整個內控體係的建設均是由企業內部人員進行的。企業內部人員本身已經對企業的流程很熟悉了,因此風險評估會更加準確和全麵。對於中介機構而言,如果對企業的運營和業務流程毫不知情,或者不熟悉,上來就做風險評估,那便是膠柱鼓瑟了。這一點乃是我個人的一點兒想法,在這裏也做個交代。關於這一點,我們在後麵講到具體項目的實施時還會再談。”
“通常的風險評估是按照下麵的順序來進行的。”小熊說著又掏出了筆。
“咱們在前麵講過風險是由於企業設定了經營目標,根據經營目標製定了相應的策略,實施策略就是做事,做了事,自然就有了風險。因此,風險評估的第一步是把企業的大目標根據不同的運營流程,比如采購、銷售、存貨管理等,再細化地拆分成小的目標。這樣講太抽象,我給您舉個例子說吧。”