#360行闪光时刻#

内审干货——内审对风险的理解和量化，几个公式的介绍和运用！

ID：内审师修行与实战

作为内审从业者，经常会谈论企业运营中的各类风险，审计的核心职能其实就是风控。

个人认为，“内部审计”的定义可以如此修订：对影响和阻碍企业目标完成过程中的各类不确定性因素，进行的识别、确认、评估、鉴证和咨询服务的一系列行动。

虽然我们内审人员天天讲风险，但是，除了“风险”概念的本身外，对其他方面的解析和运用不甚理想，

尤其是对风险的量化处理，很少！

也几乎没有运用到数学工具来量化。

最多是：根据经验来对风险进行分级评估，比如：高、中、低风险等级。

一、风险该如何量化？

风险的量化真的很复杂，也很难做，目前也没有统一的量化工具和标准，因为不同行业，不同业务口，不同人员所面的风险各种各样，会涉及到各种评估方式。

目前来说，对风险量化运用的最好的应该是“金融投资行业”，对投资风险有很多风险评估的数学模型。

但是，在企业运营或内部控制过程中，几乎见不到相关的量化处理。

就算有，大多也是人为的赋值：比如对可能性进行赋值，1%-100%；对影响或后果进行货币化赋值，比如：1万损失或100万损失。

这是最初级的量化！

更难的是：很多风险是难以量化的，比如：不涉及损失的违规行为、道德氛围、效率管理、复杂的工程质量、品牌形象等等。

对于我们内部审计来说，想要量化风险，同样是一件困难和艰巨的任务。

关键的问题：缺少需求！

比如：我们把风险涉及的各因素，如风险容忍度、置信水平、风险量等等都量化出来后，有几人会用？或者可用？

二、常用的量化模式

1.绝对值的货币式量化

虽然很多风险无法进行货币计量，但是，货币式的量化是对于风险的最直接、最易理解的形式！

比如一个“方便员工”的管理动作：在公司前台放置一支可随意取用的圆珠笔（10元）。

你会发现，不到一天时间，这支笔就会消失不见。

那么这项“放笔”行为的风险量，那就是一支笔的损失：10元/天。

这是绝对值的量化。

2.相对值的量化

相对值多见于“方差、标准差”等此类的“变化性”数据。

也会有一些诸如财务杠杆式的弹性数据：经营杠杆、财务杠杆、相关系数等。

但这些都是放在特定情形下，才可使用的量化数据。

为了直接理解，很多人更愿意用“百分比”的指标来量化风险，如：违规发生的概率为10%。

如果想要获取更加客观的量化数据，就需要通过大量的真实数据来检验和推导，最终提取出有用的量化指标。

3.评级量化

对于一些难以用数据计量的，或者欲将“定性化”的语言转化为“定量”的数据来处理时，会用此法。

这也是在企业内审工作或风控管理中最常用的方式。

比如，给风险评为1、2、3、4、5级或ABCDE等级别。

不同的级别代表一个量级。

可以将等级量化为数值（第一级是10，也可以是1-10的范围），也可以量化为一个比率（第1级为10%的概率，也可以是1%-10%的范围值）等。

虽然是量化了，但是这样的量化主观性比较强，准确性自然也会差一些。

这其中的数值和比率，大多时间只代表一个程度化的数字处理，而不能真实值。

但这并不代表它没有意义！

管理学本身就是一门艺术，而不是技术，有时过于量化也并不见的是好事，因为你不可能将“所有因素”都量化，因为涉及到的变量太多、太杂。

只能少数值进行量化反而会以偏概全！

评级式的量化，其评估质量的不确定性比较大，它和评估人的经验有关，和企业的风险偏好有关，也和业务类型也有关。

最大的问题是：不同业务类型，很难统一评级标准！

4.模型化

对一些非金融领域的内部审计，很难会运用到一些风险评估模型。

作为内审人员，除了我们常用的简单的、半量化的“风险矩阵”外，很少会用其他的模型来分析和量化风险。

三、介绍几个风险管理中常用的公式

1.风险=可能性（概率）X后果（损失额）

这是设计风险矩阵的基础逻辑。

仍以丢圆珠笔为例，如果放在前台的圆珠笔，丢失的可能性为50%，圆珠笔的价格为10元。

那么它的丢失风险就为=50%X10=5元/天的风险（天数并无实际意义，只是为了严谨）。

2.剩余风险=固有风险X控制风险=可能性X后果X控制风险

剩余风险是啥？是指那些运用了所有的控制和风险管理技术以后而留下来，未被管理的风险。

即：业务流程不受企业控制的战略风险和流程风险。

这也是最能体现内部审计价值的一个点儿。

这是一个可以衡量企业生命力、职位生命力的指标，也是潜在舞弊风险的聚焦点。

剩余风险=概率X后果X控制风险（控制缺口）。

以圆珠笔为例，如果丢失的固有风险为50%X10%，再乘以控制风险，即控制措施（安装摄像头，定期检查等）之下，控制失效的概率为30%。

剩余风险=50%*10%*30%=1.5（元/天）。

3.审计风险=固有风险X控制风险X检查风险=可能性X后果X控制风险X检查风险

实务中，这个公式里的几个风险量，是很难量化出来的，我们大多时间也只是把这个公式当作逻辑关系来理解。

比如：审计风险与后几个风险变量是正相关的关系；

固定风险、控制风险和检查风险之间是反向关系，即：在可接受的审计风险的前提下，固定有风险越大，控制风险和检查风险就得越小。

固有风险（丢失）是5，控制风险（管控失效的）是3，检查风险（检查不出来的风险）是1，那审计风险是多少呢？

（1）如果非要用量化的“数值”来套用公式，这个公式就会出现问题，比如：用“绝对值”来计算。

审计风险=5X3X1=15元，审计风险远远大于固有风险5，肯定是不合理的。

可见，全用数值的话，套用公式肯定不行（用减法也不行，因为基数不一致）。

（2）如果全部用比率来计算，倒也可以，固定有风险50%，控制风险30%，检查风险10%。

那么审计风险=50%X30%X10%=1.5%。

也就是说，一支笔丢的审计风险是1.5%，然后可以再乘以10元，就可以量化为0.15元/天的审计风险。

（3）如果固有风险用绝对值，而控制风险和检查风险用比率来计算是不是更合理呢？

审计风险=5*30%*10%=0.15（元）的风险量。

（4）这个公式也可以反过来用，用以确定审计力度或审计效果（抽样比例、证据充足性）。

检查风险=可接受的审计风险÷固有风险÷控制风险

可接受的审计风险：你可容忍的、允许出现的错误结论。

结语

这些公式对实际业务的帮助并不是很大，除非你的审计对象全部是可量化的数据。

如果，你想到进行更细化的数据计算，还会涉及很多其它变量：容忍度、置信区别、误差、随机变量等等因素。

就说这么多吧！

亲，多关注转发！