事業單位內部控制與風險管理存在問題及建議

吳彥秋

摘 要：近年來，國內外許多知名企事業單位頻頻發生經營不當問題，其中內部控制不足是重要誘因之一。隨著市場經濟的不斷發展，識別單位運營層面的風險并且通過合理的規劃加以控制已經變得越來越重要。事業單位作為公共職能的履行主體，其內部控制與風險管理對于公共資源配置具有重要意義。然而，當前許多事業單位對內部控制以及風險管理的重要性缺乏正確認識，更難以有效地進行執行和監督。基于此，本文通過對內部控制和風險管理框架進行探討，指出了事業單位內部控制和風險管理存在的問題并提出了相關的建議，以為事業單位更好地履行公共職能提供參考與依據。

關鍵詞：事業單位；內部控制；風險管理；問題及建議

內部控制是管理的重要手段，可以幫助事業單位實現經營目標。有效的內部控制可以提高事業單位運營的經濟效率，有利于可以保護單位財產，防止國有資產流失。風險管理與內部控制相輔相成，共同服務于事業單位的健康發展。本文將就事業單位的內部控制以及風險管理進行相關探討。

一、內部控制和風險管理概述

（1）內部控制的含義

內部控制是指行政事業單位為了實現控制目標而制定的制度、措施和程序。美國COSO委員會在1992頒布的《內部控制–整合框架》中提到了內部控制的五大要素：即內部控制環境、風險評估、內部控制活動、信息與溝通、內部監督。內部環境包括了單位的誠信及道德價值觀、管理層的經營理念和風格、組織結構和職責權限的分配，是內部控制的基礎；風險評估是指識別并分析與實現內控目標有關的風險，依據風險評估的結果決定如何采取措施應對風險；信息與溝通是指單位員工能否準確及時的識別、收集和傳遞內部控制有關的信息；而內部監督是在建立并實施了內部控制活動后的監督和評價。

（2）風險管理的含義

風險管理是指識別可能會影響單位的潛在風險事件，使不利因素控制在可以承受的范圍之內。 2004年，COSO為了更詳細地幫助企業實施風險評估及管理的目的而頒布了《企業風險管理-整合框架》，其中提到的主要流程包括“目標設定—事件識別—風險評估—風險應對—風險監控”。合理的目標設定是單位運營的前提，也是風險管理的基礎。在識別了可能影響單位達到目標的事件后，就要對事件發生的可能性和影響度進行分析和評估，決定是要規避、接受、減少還是分攤此風險，然后制定并實施應對方案，方案實施后也需要通過監督來評估方案的有效性以及發現新的潛在風險。

（3）內部控制和風險管理的關系

內部控制和風險管理都是為了識別并控制可能影響單位運營，報表可靠性以及對法律法規遵守的風險。從COSO所提供的框架中也能看出，風險管理是內部控制的主要內容。當前越來越多的單位已經認識到了內部控制和風險管理的重要性，建立有效完善的內部控制和風險管理體系對單位的發展有著重要的作用。

二、事業單位內部控制和風險管理存在的問題

（1）內控認識不足，風險管理意識淡薄

內部控制和風險控制的核心是員工和管理層對風險的識別、評估和方案實施。一方面，事業單位管理層對某事件錯誤的判斷或者員工使用錯誤的方法實施方案都可以誘發風險問題；另一方面，有些事業單位管理層對內部控制的重視程度不夠，認為合理的內控體系成本較高，只關心眼前利益，不考慮內控以及風險管理缺陷所帶來的長期影響，不去合理地發現潛在問題、評估問題并制定切實可行的方案。內控和風險管理意識的缺失是制約事業單位發展的重要障礙。

（2）內控制度不健全，執行力度較差

內部控制機制是一個系統，貫穿到事業單位各項經濟和業務活動中。內控制度如果存在缺陷，如資產管理不到位、沒有分離不相容崗位、各項收入支出沒有統一核算等問題都會影響內部控制體系的有效運營。此外，不同事業單位的規模亦會對內控執行產生影響，如同樣是職責分工與權限的問題，規模大的單位可以通過聘請專業化員工來解決，但對于規模小的單位而言難以實現。而事業單位內控和風險管理專業化人才的缺失，更是對內部控制的執行帶來了困難。

（3）缺乏有效的內部審計

內部審計工作可以對內部控制有效性進行監督評價，是確保內部控制有效執行的必要手段。在實際工作中，有些事業單位對內部審計不夠重視，認為這樣只會增加成本，所以沒有設立內部審計部門，有些事業單位雖然設立了內部審計部門卻因缺乏獨立性，或者內部審計人員專業水平缺失而形同虛設。

（4）缺乏有效的信息溝通

COSO所頒布的內部審計框架也提到了信息與溝通的重要性，好的溝通可以使內部控制工作有效地實施。然而，部分事業單位員工之間缺乏有效地溝通，部門與部門之間的溝通也不足，這樣就導致了內控信息不能及時準確的傳達，提高了事業單位的經營風險，降低了運營效率和效果。

三、提升事業單位內部控制與風險管理的建議

（1）加強對內部控制的認識，建立良好的風險管理觀念

道德價值觀以及對內部控制的理念是內部控制與風險管理的基礎。事業單位管理層應該深入理解內部控制對單位經營目標實現的重要作用，并且建立統一的風險管理理念，確保個人價值觀、團隊價值觀、行為態度和處事方式都符合這個理念；此外，不同級別的員工也要有內部控制和風險管理的觀念，面對風險要有協同應對的信念和態度。在目標明確的前提下，全體單位員工通過不斷學習、實施、監督與反饋來確保事業單位內部控制和風險管理有序專業地得以實施。

（2）建立完善的內部控制制度，加強執行力度

事業單位應該根據實際情況和特點而設計合理的內部控制制度，其中包括每個部門的職責與部門之間的配合、合理的崗位設計、職責權限與分工、以及健全的審核批準制度。除此之外，每個單位的結構、財務、經營等狀況各不相同，因此針對內部控制和風險管理的問題往往存在一定的靈活性，管理層在評估風險和制定計劃時需要結合自身的情況，制定出適合本單位的、具有可操作性的方案，在遵守國家相關法律法規、制度規范的同時，建立合理有效的內部控制制度，加大事業單位管理水平和風險防范能力。

（3）建立內部審計機制，加強內部控制監督

為了確保內部控制能夠得到及時有效地實施與監督，事業單位應當加強內部審計工作。一方面，獨立性對內部審計部門來說至關重要，在工作中內部審計部門為了保持其工作的獨立和公正性，避免受到其他部門的影響，應獨立成立相關部門并與財務等相關人員有明確劃分。另一方面，需要重視內部審計人員的專業水平和道德素質培養，確保內部審計人員具有良好的職業操守及專業能力。內部審計的目標是為事業單位資產管理提供保障，通過監督、管理、評估工作幫助單位合理配置和使用國有資產，提升公共職責的履行效率。

（4）強化信息系統建設，提高內部溝通效率

在信息化背景下，事業單位應當重視信息系統的建設，以確保信息在各部門、各層次員工之間有效及時地傳遞。部門內部需要制定完善的交流制度，增加交流次數，并且鼓勵員工發現問題及時給出反饋。各部門要有明確的業務與責任分工，部門與部門之間需要制定定期和非定期的溝通計劃，確保事業單位內部人員之間溝通順暢，信息交流及時有效。建立健全內部信息系統可以使各部門和員工能夠更好地匯總信息、完善風險管理體系、更好地提升內部控制質量。

四、結語

事業單位開展業務活動主要是為服務于社會公眾，因此內部控制和風險管理對于事業單位的公共職責履行至關重要。我國大部分事業單位在實施內部控制過程中還存在諸多問題，為此，事業單位管理者一定要認識到內部控制和風險管理的重要性，做好內控和風險管理工作，提高管理水平；員工要有風險防范的觀念，共同努力加強內控和風險管理工作。建立嚴格、規范、有序合理的內控與風險管理機制，強化執行與監督力度，以實現事業單位的長久發展。

參考文獻

[1]杜文清.淺談事業單位內部控制與風險管理[J].中國農業會計，2017（12）：62-63

[2]張瑋明.基于內部控制的事業單位管理探討[J].會計師，2017（06）：43-44

[3]葉萍.淺談事業單位資金內部控制與風險防范[J].中外企業家，2018（28）：66-67

[4]趙琳.淺談行政事業單位的內部控制現狀及對策[J].中國集體經濟，2018（33）：54-55