在内部控制中,风险通常是指未来的不确定性对企业实现其经营目标的影响。或者说,风险是指某项事件发生将并对组织实现其目标产生负面影响的可能性。 如天灾、市场竞争激烈化、外汇和资源行情的变动等外部因素,信息系统故障及不合理、会计处理发生错误和不当行为、个人信息及与重要的商业信息流失或泄漏等内部因素等。这些因素都属于风险范畴。对于 “风险”概念应主要把握以下几个方面:
首先,企业风险与企业战略相关。企业风险是阻碍企业实现战略目标的各种因素和事项,企业经营中战略目标不同,其面临的风险也就不同。
其次,风险是一系列可能发生的结果,不能简单地理解为*有可能的结果。因为风险的可能结果不是单一的,而是一系列的,所以理解和评估风险时, “范围”这个概念对应了众多的不确定性。同时,风险既具有客观性,又具有主观性。风险是事件本身的不确定性,但却是在一定具体情况下发生的,可以��人的主观判断来决定如何应对不同的风险。
再次,风险总是与机会并存的。事件发生的可能性,包括不利影响的事件发生的可能性,也包括有利影响的事件发生的可能性,即机会。这些机会对围绕企业战略设定适当目标具有重要的意义。但是,机会的识别与评估并不是企业内部控制的主要职能,它们的发现更多依赖于企业的外部因素。
*后,风险有别于危险。危险是可能产生潜在损失的征兆,它是风险的前提,没有危险就无所谓风险。风险由两部分组成:一是危险事件出现的概率;二是一旦危险出现,其造成后果的严重程度和损失的大小。如果将这两部分的量化指标综合,就是风险的表征,或称风险系数。
尽管风险与损失没有直接的联系,但毕竟现实生活中大量的风险都会导致损失的后果。在企业日常经营活动中,加强对风险的认识,积极主动地采取措施应对风险的挑战,具有重要的意义。需要说明的是,一系列风险管理的实质不是避免或消除风险,而是判断哪些风险可以利用,哪些风险可以转嫁给投资者,哪些风险应该避免。