事業(yè)單位內(nèi)部控制風險評估的程序與方法

摘 要：風險評估是內(nèi)部控制的關(guān)鍵環(huán)節(jié)和切入點，對內(nèi)部控制的有效性起到?jīng)Q定性作用。通過排查單位內(nèi)部管理過程中存在風險隱患和薄弱環(huán)節(jié)，評估風險的等級，才能展開控制活動，達到規(guī)避廉政風險和運營風險的目的。近年來事業(yè)單位內(nèi)部控制制度逐年細化，內(nèi)部控制體系逐步建立，但是內(nèi)部控制風險評估的程序和方法還需要深入的研究和探討。文章從理論與實踐的角度，分析并探討了風險評估的程序及方法。

關(guān)鍵詞：事業(yè)單位 內(nèi)部控制 風險評估

中圖分類號：F233 文獻標識碼：A

文章編號：1004-4914（2024）07-097-03

事業(yè)單位是社會公共組織，為改善社會福利及服務(wù)于社會生產(chǎn)做出了突出的貢獻。近年來，事業(yè)單位的內(nèi)部控制備受關(guān)注，財政部自2014年起陸續(xù)頒布了事業(yè)單位內(nèi)部控制管理的相關(guān)文件，各行業(yè)事業(yè)單位也制定了行業(yè)管理規(guī)定。本文重點對內(nèi)部控制風險評估程序與方法進行研究，提出事業(yè)單位風險評估程序與方法。

一、風險評估理論概述

（一）風險評估的概念

風險評估是指以現(xiàn)有的事項為基礎(chǔ)，預(yù)測未來發(fā)生事件及可能帶來的影響。風險評估的過程分為三個階段：一是風險識別，二是風險分析，三是風險評價。風險評估的最主要目標是判斷風險發(fā)生的可能性和衡量風險的影響程度。

（二）風險的種類

識別風險是進行風險管理的前提和必要條件。事業(yè)單位風險因素主要為兩大類：一是內(nèi)部風險，二是外部風險。內(nèi)部風險具體為：管理風險、運營風險、財務(wù)風險和廉政風險等。外部風險具體為：政策風險、環(huán)境風險和市場風險等。風險識別應(yīng)當高度重視行政部門對事業(yè)單位的管理要求、面臨著市場化的外部環(huán)境、內(nèi)部運行的經(jīng)濟活動及可能存在的利益問題帶來的廉政風險。

二、事業(yè)單位內(nèi)部控制風險評估存在的問題

（一）重視程度不夠

部分單位認為財政部頒布了行政事業(yè)單位內(nèi)部控制相關(guān)的文件，內(nèi)部控制工作只是財務(wù)部門的工作。在具體工作中，沒有將內(nèi)部控制及風險評估作為單位健康運行和體檢的工具，更沒有意識到單位所面臨的風險。同時，由于單位管理層面對于風險評估工作的重視程度不夠，導(dǎo)致宣傳力度不足，單位職工對于本崗位的內(nèi)部控制管理和風險的識別也缺乏深度的認識。

（二）無法識別潛在風險

一是部分需要靠經(jīng)驗去判斷可能潛在風險的崗位專業(yè)化不夠。二是對政策法規(guī)理解不到位，導(dǎo)致沒有敏銳的意識，無法第一時間察覺變化與風險。三是缺乏整體和競爭意識，部分事業(yè)單位已經(jīng)受到了民營資本的沖擊，部分單位忽略了宏觀經(jīng)濟、行業(yè)壁壘的變化，對于外部環(huán)境的風險點無法識別。四是對單位、崗位的風險識別，缺乏中立性，不能客觀的識別出風險。

（三）評估工作以點帶面

部分單位未實現(xiàn)全面、全員、全過程的風險評估，僅選擇部分科室或者選擇部分崗位進行風險評估。未將風險評估作為一項常態(tài)化工作。各部門僅進行本部門風險評估，未將工作鏈條化，沒有形成組織、部門、部門間、員工、員工間的一種全鏈條的內(nèi)部控制風險評估，忽略了銜接中潛在的風險點。

（四）風險評估方式簡單、不全面

風險管理理論常用的風險識別方法有事故樹法、風險清單法、因果圖法、流程圖、財務(wù)報表分析法等，部分單位由于風險管理能力有限，較少應(yīng)用專業(yè)方法，沒有做系統(tǒng)的、科學(xué)的評估，會出現(xiàn)風險識別的灰犀牛事件。風險評估需要日常評估與專項評估結(jié)合、內(nèi)部評估與外部評估結(jié)合，部分單位僅開展了內(nèi)部專項風險評估，不開展日常風險評估與外部風險評估，會導(dǎo)致評估體系不健全、無法全方位識別出風險點、客觀程度難以保障。

三、風險評估工作思路

事業(yè)單位內(nèi)部控制風險評估工作應(yīng)以單位的發(fā)展戰(zhàn)略、目標定位、重點工作、管理現(xiàn)狀以及目前單位面臨的外部環(huán)境為基礎(chǔ)，開展工作前應(yīng)明確以下三方面內(nèi)容：

（一）風險評估工作原則

1.主觀性與客觀性相結(jié)合。要求事業(yè)單位在風險評估體系建構(gòu)過程中，對自身在內(nèi)部控制方面存在的問題進行明確，構(gòu)建科學(xué)化的風險評估體系。

2.全面性與重要性相結(jié)合。一是對本單位自身的風險現(xiàn)狀進行全面反映。二是根據(jù)單位的實際情況，選取重點指標。同時，重點指標要與單位全面工作有效結(jié)合，提升內(nèi)部控制風險評估體系的可靠性。

3.定性與定量相結(jié)合。在內(nèi)部控制風險評估體系建構(gòu)過程中遵循定性與定量相結(jié)合的原則，有助于單位內(nèi)部風險評估的實效性提升。

（二）工作基礎(chǔ)及關(guān)注重點

1.筑牢風險管理工作基礎(chǔ)。事業(yè)單位應(yīng)深入了解和掌握風險管理工作的理論基礎(chǔ)、工作方法，把日常工作與風險管理充分融合，全員強化風險管理意識，全方位推行風險管理工作方法，全面開展單位風險管理。

2.統(tǒng)籌業(yè)務(wù)重點與風險狀況。重點關(guān)注事業(yè)單位整體風險狀況的識別和控制，將單位層面面臨的風險與業(yè)務(wù)層面風險進行關(guān)聯(lián)分析，并進行全面識別與研究，統(tǒng)籌權(quán)衡風險與影響。

（三）風險評估具體思路

1.明確控制目標范圍。開展風險評估工作要根據(jù)單位各項活動的特點及關(guān)系，分級設(shè)立各項活動內(nèi)控管理的目標。分級包括按照管理層級區(qū)分及按照內(nèi)外部區(qū)分，避免工作的重復(fù)和風險點的遺漏。

2.全面開展風險識別。根據(jù)內(nèi)部控制目標，采用科學(xué)的風險識別方法，分級進行風險識別。分級包括內(nèi)部的日常風險識別和外部的定期風險識別。

3.科學(xué)進行風險分析。對于識別出的風險進行科學(xué)的分析，以理論為基礎(chǔ)，通過定性和定量的研究，分析風險發(fā)生的概率及可能帶來的不良影響。

4.開展有效風險應(yīng)對。根據(jù)風險分析的結(jié)果對風險進行排序，制定控制的優(yōu)先等級。合理設(shè)計風險應(yīng)對的策略，選擇適當?shù)娘L險應(yīng)對策略。

四、風險評估程序及方法

風險評估需要持續(xù)反復(fù)修正，事業(yè)單位應(yīng)當將風險評估與單位業(yè)務(wù)范圍和發(fā)展階段進行結(jié)合，動態(tài)了解單位的風險現(xiàn)狀，科學(xué)進行風險分析，采取適宜的風險應(yīng)對策略，規(guī)避由于風險識別的滯后影響業(yè)務(wù)的發(fā)展；應(yīng)當時刻保持風險敏感度，尤其是在內(nèi)外部環(huán)境發(fā)生重大變化時，應(yīng)及時針對變化開展風險評估，保障各項工作穩(wěn)步、有序開展，運營平穩(wěn)有效。

（一）評估目標

風險評估工作具有全面性、客觀性、系統(tǒng)性、持續(xù)性、影響范圍大、涉及面廣、注重系統(tǒng)性等特點。風險評估工作一般包括兩個方面的目標：

1.直接目標。（1）根據(jù)財政部對事業(yè)單位內(nèi)部控制管理的要求，事業(yè)單位的風險管理工作應(yīng)符合上級主管部門監(jiān)管和審計的相關(guān)要求。（2）建立規(guī)范、統(tǒng)一、便于執(zhí)行的風險評價標準，將風險評價標準分為定性和定量兩個方面。根據(jù)評價和分析結(jié)果進行風險排序，確保事業(yè)單位應(yīng)對重大風險的策略更加合理。（3）通過日常和定期評估建立單位風險數(shù)據(jù)庫，完善單位風險管理體系，降低風險發(fā)生的概率。

2.間接目標。（1）全面、分級開展風險管理培訓(xùn)，增強職工的風險管理意識，為建立和完善風險管理體系奠定基礎(chǔ)。（2）全面開展風險調(diào)查和摸底，統(tǒng)一風險管理標準，提升全體人員對風險防控的重視程度。

（二）工作范圍

1.主體范圍：事業(yè)單位全部職能，包括行政管理、財務(wù)管理、各項業(yè)務(wù)。

2.客體范圍：控制環(huán)境和業(yè)務(wù)管理（根據(jù)政策要求確定）。

（1）控制環(huán)境。一是組織情況。確立牽頭部門，建立溝通協(xié)調(diào)機制的情況。二是控制機制的建設(shè)情況。不相容崗位的分離；議事決策機制；崗位責任制；工作流程；內(nèi)部監(jiān)督等。三是制度的完善情況。管理制度的建立及是否有效執(zhí)行情況。四是關(guān)鍵崗位工作人員的管控情況。崗位人員與能力的匹配程度；輪崗、培訓(xùn)和評價等。五是財務(wù)信息的編報情況。按照政府會計制度等進行賬務(wù)處理及報表編制的情況。

（2）業(yè)務(wù)管理。一是預(yù)算管理。在預(yù)算編制過程中是否與執(zhí)行部門進行充分的溝通，資源的配置是否與預(yù)算編制結(jié)合。按照預(yù)算批復(fù)執(zhí)行預(yù)算的情況，預(yù)算執(zhí)行是否合規(guī)，是否存在無預(yù)算、超預(yù)算支出。預(yù)決算的編制是否符合上級部門的要求。二是收支管理。收入的歸口管理情況，及時入賬情況，印章和票據(jù)的管理是否合規(guī)。支出事項是否符合有關(guān)法律法規(guī)的要求。三是采購管理。是否嚴格執(zhí)行采購有關(guān)的法律法規(guī)。是否按照預(yù)算執(zhí)行采購，按規(guī)定招標，按要求入庫并進行必要的存檔。四是資產(chǎn)管理。定期進行資產(chǎn)清查，按規(guī)定進行資產(chǎn)處置，明確管理部門和使用責任，是否存在賬實不符的情況。五是合同管理。合同是否進行歸口管理；明確合同訂立的流程、權(quán)限及職責；有效監(jiān)督合同履行；建立合同糾紛處理機制。

（三）風險識別

風險識別是風險評估的基本工作和關(guān)鍵環(huán)節(jié)，有助于統(tǒng)一單位的風險語言、全面識別風險事件，進而為風險防范和風險應(yīng)對打下基礎(chǔ)。

1.資料收集。收集日常的工作資料是風險識別的基礎(chǔ)，收集的資料主要包括：與單位運營相關(guān)的國家法律法規(guī)、上級部門的工作要求、行業(yè)的規(guī)章制度、單位的管理制度、制度落實的佐證資料。

2.現(xiàn)狀分析。通過對資料的研究和實地的調(diào)研，充分總結(jié)單位的組織架構(gòu)、制度設(shè)計、工作流程等，重點分析行政管理、預(yù)算管理、收支管理、資產(chǎn)管理、采購管理、合同管理等現(xiàn)狀，結(jié)合單位當前所面臨的政策風險、環(huán)境風險、市場風險、管理風險等內(nèi)外部風險，綜合判斷單位的內(nèi)控管理現(xiàn)狀和內(nèi)控管理重點。

3.識別風險。結(jié)合現(xiàn)狀分析的情況，對照行業(yè)風險數(shù)據(jù)，識別單位可能存在的風險，編制單位自身的風險清單并納入單位風險數(shù)據(jù)庫。在識別過程中可以采用科學(xué)、合適的分析法等。

（四）風險分析

風險分析是風險評估的重要組成部分，將明細的風險事件進行逐一的整理與分析，刪除冗余風險，將同類風險合并，從而形成形式較為統(tǒng)一、語言較為規(guī)范、符合單位實際情況的風險列表。

1.整理與分析。將識別出的風險按照管理層級、業(yè)務(wù)層級等風險屬性進行整理和分類。按照不同的業(yè)務(wù)內(nèi)容、風險類別、風險內(nèi)容等進行數(shù)據(jù)清洗，建立風險臺賬，做到客觀事實清楚、風險可預(yù)測或可衡量、格式語言統(tǒng)一、風險分析內(nèi)容全面，建立風險評估指標體系，方便下一步歸集與分類。

2.歸集與分類。對已經(jīng)整理分析好的風險，進行系統(tǒng)的辨識和篩選，匯總同質(zhì)風險，刪除冗余數(shù)據(jù)，確定單位的風險清單。

（五）風險評價

風險評價是對事業(yè)單位存在的各種風險發(fā)生可能性進行預(yù)判，并對其可能產(chǎn)生的影響進行評估，最終形成風險排序。風險評價為下一步風險的應(yīng)對提供準確、科學(xué)的支持。

1.評價標準。一是紀檢監(jiān)察、內(nèi)外部審計及巡查巡視監(jiān)督檢查發(fā)現(xiàn)問題的整改情況；二是同行業(yè)單位的高頻風險點；三是內(nèi)部控制制度、流程、機制的規(guī)定；四是集體決策，“三重一大”文件落實，黨、政會議紀要；五是內(nèi)部控制有效性測試及充分性評價；六是內(nèi)部控制風險調(diào)查統(tǒng)計結(jié)果。

2.評價結(jié)果整理。通過設(shè)定的評價標準，結(jié)合風險分析的情況，形成最終的風險清單及風險發(fā)生的概率表，為下一步有針對的制定風險應(yīng)對的策略提供依據(jù)。

（六）風險應(yīng)對

1.樹立全員風險防控意識。事業(yè)單位通過培訓(xùn)、會議、辦公平臺、微信公眾號等途徑廣泛宣傳單位內(nèi)部風險防控的意義，營造單位重視、員工熟悉的風險防控氛圍。

2.健全內(nèi)部控制體系框架。健全內(nèi)部控制制度體系、流程體系、權(quán)責體系，并組織充分的落實，防范由于制度、流程、權(quán)責不清等帶來的風險。成立內(nèi)部控制工作領(lǐng)導(dǎo)小組和工作小組，建立溝通協(xié)調(diào)和聯(lián)動機制，抓好制度和工作流程的落實，形成日常的內(nèi)部控制風險防控機制。

3.建立風險預(yù)警系統(tǒng)。加強信息化手段，將風險點的控制植入信息操作系統(tǒng)，利用技術(shù)手段進行控制，同時建立風險監(jiān)控機制，對于可能出現(xiàn)風險的業(yè)務(wù)提前預(yù)警提示。

4.建立風險應(yīng)對機制。通過風險評價的結(jié)果，運用科學(xué)的預(yù)估模型，按照風險類別和等級歸類，制定相對標準、規(guī)范的風險應(yīng)對策略。風險應(yīng)對的策略包括：規(guī)避風險、降低風險、轉(zhuǎn)移風險和接受風險。事業(yè)單位需結(jié)合風險的實際情況建立風險應(yīng)對機制。

結(jié)語

風險評估是事業(yè)單位長期平穩(wěn)運行的基本要求。隨著政府會計制度的改革及事業(yè)單位的改革，其收支項目向多元化、復(fù)雜化、市場化發(fā)展，事業(yè)單位的風險也急劇加大。事業(yè)單位為公益性單位，為提高人民社會福利服務(wù)，一旦發(fā)生重大風險，將直接影響人民生活。因此，事業(yè)單位采用科學(xué)、合理的風險評估程序和方法，為事業(yè)單位進行定期的、專項的“體檢”，有助于合理控制事業(yè)單位存在的各類風險，有助于事業(yè)單位長遠和可持續(xù)發(fā)展。

參考文獻：

[1] 成江萍.單位內(nèi)部控制風險評估程序設(shè)計及方法探究[J].財會學(xué)習(xí)，2019（14）：248-249.

[2] 呂寧.事業(yè)單位內(nèi)部控制風險評估和控制存在的問題及優(yōu)化路徑[J].中國產(chǎn)經(jīng)，2021（09）：178-179.

[3] 張明華.淺議行政事業(yè)單位內(nèi)部控制風險評估框架的構(gòu)建[J].時代金融，2017（27）：265.

[4] 徐鋒，周守亮.高校后勤業(yè)務(wù)內(nèi)部控制風險評估與優(yōu)化建議[J].財會學(xué)習(xí)，2021（09）：197-198.

[5] 楊旭婷.內(nèi)蒙古K大學(xué)內(nèi)部控制風險評估研究[D].內(nèi)蒙古科技大學(xué)，2022.

[6] 劉一衡.Q公司內(nèi)部控制風險評估研究[D].燕山大學(xué)，2021.

[7] 朱穎.淺析上市公司的內(nèi)部控制風險評估及防范[J].市場研究，2015（04）：21-22.

（作者單位：吉林大學(xué)第一醫(yī)院 吉林長春 130000）

（責編：若佳）