科研事業單位基于風險為導向的內部控制體系建設研究

江建明 北方材料科學與工程研究院有限公司 楊赟赟 山東非金屬材料研究所

張宣洪 北方材料科學與工程研究院有限公司 冀方 山東非金屬材料研究所

在改革歷史的發展潮流中，科研事業單位的經營管理理念和風險控制觀念也在不斷變化。整體而言，科研事業單位的屬性決定了其管理的復雜性，兼顧著科研、生產試制等活動，產品的特點是多種類、小批量，提升了管理的難度。科研事業單位固有的特殊性、固有的管控模式，對科研事業單位構建內部控制體系和完善內控管理提出了更高挑戰。隨著改革開放的深入，科研事業單位的改革發展已經迫在眉睫，同時隨著各種監督考核體制的推進和落實，內控和風險管理顯得尤為重要。

一、科研事業單位風險導向內控管理現狀

科研事業單位實施以風險為導向的內控管理，目前還面臨著一系列問題，表現較為突出的問題有以下幾個方面：

（一）固有體制的弊端和思想觀念的固化

科研事業單位經過多年沉淀和積累，已經形成具有自己特色的管控模式、科研體系、生產管理體系以及單位文化。但是伴隨著單位規模的擴大以及市場競爭壓力的提升，科研事業單位的經營風險也不斷增大。因此單位需要注重風險與內控管理體系的建設，重新構建風險管理理念，以期推動單位健康的發展，這也是當前社會環境下單位發展的必要手段。同時內部控制是單位發展中的重要組成部分，基于風險為導向的內部控制體系，能夠從風險預防的角度對單位內部進行管理，有利于單位管理的全面化、科學化、規范化，提升單位的市場競爭力，促進單位的可持續和高質量發展，實現單位的發展戰略目標。

（二）風險管理理念認識不足，依然是“溫室里的花朵”

在當前國家改革轉型及事業單位改革的背景下，各項改革不斷深入和深化，“大鍋飯”“溫室里的花朵”已經一去不復返。受單位性質、業務性質等行業因素影響，與具有市場化、現代化經營管理理念的企業相比，科研事業單位經營及管理觀念較為保守，市場競爭意識薄弱，應對風險管理的意識相對較弱，對潛在風險的發生缺乏足夠的敏感度。風險管理理念陳舊，甚至缺乏統一的風險管理意識，風險管理組織機構不完善。伴著各種改革模式的深入，宏觀環境的復雜性、多變性，之前的管理模式和思想已經不能適應未來單位高質量發展的內在需要。

（三）各部門職責界限不清、業務流程不暢

科研事業單位固有的管理職能和模式，以及組織架構不適應改革發展的步伐，各部門之間存在部分職責界限不清、制度缺失、業務流程不暢的問題，存在各種風險點，甚至有各種不同層次的漏洞，內部控制存在薄弱環節。因此需要優化管理模式、優化組織架構和完善管控模式、創新管理機制，從而全面提升全面風險管理和內控管理水平。

（四）信息化水平較低，存在信息孤島

科研事業單位整體信息化水平較低，一方面，各部門分管了單位的各項業務，無形之中分割了單位內原本統一的信息數據，相關業務流程之間同樣也存在信息不通暢、信息不共享互換、信息與業務流程及應用脫節，存在較為嚴重的信息孤島。另一方面，各業務流程之間的信息傳遞仍然采用基本的excel電子表格、word及基礎的辦公軟件設備及OA系統。大量的基礎數據需要人工輸入和操作，業務流、信息流和數據流均存在不暢通、不連貫的特點，單位內部控制管理存在一定的人為操作出差錯的風險。

（五）監督評價、改進落實不到位

科研事業單位監督評價和改進落實不到位，缺乏有效的閉環管理，缺少回頭看、查落實、查整改不到位。內部控制管理是一個動態、連續的管理體系，是一項系統工程，優越的內控制度體系建設能做到事前防范、事中控制、事后監督，實現整個過程的閉環管理和有效完善。構建自我評價的有效體系，并對自評價結果和改進情況及時跟進和落實，是最終實現內控管理有效落地的重要步驟，是檢驗監督評價內控是否取得成效的必需步驟。

二、科研事業單位風險導向內控管理體系建設

單位以發展戰略為目標、以風險為導向、以制度為基礎、以流程為主線、以管理與業務流程管控為方法、以檢查與考核為抓手，將風險管理與內部控制的理念和實施嵌入單位經營管理的全過程，并落實到日常合法、合規內部控制管理工作中，做到單位以風險為導向的內部控制文化的閉環控制體系。具體做法如下：

（一）建立健全以風險為導向的內部控制體系

1.加強內控體系建設，落實主體責任

成立內控與風險管理組織機構，落實單位最高領導組織，落實相關主體責任，完善內控風險治理結構，明確內控風險組織工作機構，劃清內控風險管理工作權力與責任，明確各部門的職責，科學設置管理流程，確立各崗位權限，分離不相容的崗位。以內部控制手冊建設為抓手，尋找內部控制與風險管理的重點業務活動，五大風險管理框架，二級風險管理庫，三級流程關鍵控制點和風險點等重要事項，完善業務流程歸口管理和專人負責的基礎工作，確保內控和風險管理工作履職到位。成立內部控制評價工作機構，完善相關工作領導小組，具體實施內部控制評價工作。

2.健全風險評估管理體系

風險評估是單位及時識別、系統分析經營活動中與實現內部控制目標相關的內外部風險，確定與單位相應的風險承受度，從而合理確定風險應對策略，包括目標設定、風險識別、風險分析與評價、風險應對。

風險評估是個動態過程，隨著單位經營活動的因素，包括國內環境、國際環境、市場因素以及單位內部的控制環境因素等不斷變化，因此需要對單位的風險進行動態評估，以重點識別和處理與變化因素相關的風險；風險評估是貫穿整個單位經營活動的始末，單位每個經營環節都有面臨風險的可能；風險評估需要單位全員的參與，每個部門、相關機構和分支機構都是風險評估控制活動的重要組成。單位需要構建適合本單位的動態風險評估體系，實現風險的動態管理。

3.以COSO框架為標準，建立單位內部控制體系

從風險管理視角確定單位內部控制的關鍵點，根據單位經營管理的特點，從戰略、運營、市場、財務、法律及其他角度分別進行風險識別，建立單位統一的風險識別模型，統一風險的概念和類別。

根據風險識別模型，對各類風險進行分類和細化，找出各風險的關鍵影響因素，揭示影響風險發生的內外部因素、風險承擔的程度，明確牽頭責任部門，找出風險相關的有關制度和關鍵業務流程。

針對辨識出的典型風險因素，從風險發生的可能性和風險發生對單位經營目標的影響程度兩個緯度進行風險評估，確定其風險水平，評估單位面臨的風險等級，確定對各項風險的重要性排序和管理重點，繪制單位的風險坐標圖。

制定內部控制自評價模板，定期或者不定期開展內部控制活動評價及改善落地活動。設置關鍵控制活動及相關要素，包括但不限于組織架構、發展戰略、人力資源、社會責任、單位文化、資金活動、采購業務、資產管理、銷售業務、研究與開發業務、工程項目、擔保業務、業務外包、財務報告、全面預算、合同管理、內部信息傳遞、信息系統、內部監督等要素，確立評價的內容、發生的頻次、實施的證據、缺陷分析和缺陷情況，并提出缺陷整改措施等。

（二）加強內部培訓，增強員工風險意識

內部培訓同樣是確保單位內部控制規范有效實施的關鍵環節，尤其在推動單位新的管理方法和管理理念之前，培訓和宣貫能有效地轉變墨守成規的處事態度和方法，有效地減少在執行內控管理過程中的阻力。單位內部控制工作涵蓋了單位全體員工、各業務流程、涉及面廣泛、錯綜復雜，是一項系統工程，需要綜合素質較高的員工參與。一方面，利用網絡培訓平臺、單位培訓宣貫等各種方式加強對全體員工的培訓，增強全體員工的風險管控意識，更新管理理念、掌握內部控制管理方法。另一方面，構建本單位內控風險管理專家庫建設，解決員工風險內控管理意識淡薄、觀念意識不強的問題，統一風險意識，促進內控風險管理水平整體提高。

（三）整合業務流程，持續梳理和完善內控制度

以風險評估結果為導向，繪制風險矩陣，打通信息渠道，以業務流程為單位梳理內控制度，尋找關鍵環節和風險控制的關鍵點，實現流程再造、信息暢通，優化原有的業務流程、優化制度體系建設、優化評價管理，實現內控的閉環管理，進而推動單位高效和可持續發展。

1.打破部門局限，以流程為單位梳理業務

局限于部門職能的條塊式管理模式，而內控的關鍵環節是要實現業務流程整體適合和實現單位戰略管理的目標，也就是要打破部門間的壁壘，向跨部門聯動管控模式轉變。而當下部門職能化條塊式的管理，極易造成管控與業務流程目標相背離，部門職能管理過強或過弱均會對業務流程造成一定程度的損害。單位打破部門局限，以流程為單位梳理業務，使各部門間協同配合，各管理體系、管理工具之間的相互融合，提高效率。

從橫向看，內部控制涵蓋單位內部的各個部門、各項業務；從縱向看，涉及各個部門的各個崗位、每個員工及業務的每個環節。通過梳理業務流程，識別流程中的風險和控制活動，并通過流程描述、風險控制矩陣等文檔對控制活動和控制點進行記錄；執行穿行測試和控制測試，實施控制評價活動，獲取關于控制設計有效性和執行有效性的證據；對發現的問題及時向領導層報告和提出改進建議。層層壓實責任，實現左右協調、上下貫通、橫向到邊、縱向到底的風險防范體系和內部控制制度。

2.健全規章制度體系，完善流程再造

建立健全的規章制度對單位的防風險能力至關重要，健全的規章制度能有效避免由于員工的能力差異及個人特點的差異，導致單位管理經營的風險。讓每個員工做到有章可循、統一工作標準。以風險為導向的內部控制體系建設，需要建立健全單位規章制度體系，堵塞制度漏洞，堵塞管理漏洞，細化業務流程，梳理管理流程，規范經濟活動和管理活動行為。通過單位規章制度體系的建設，實現各項工作目標明確、責任到位、流程規范、管理有序。確保每個崗位、關鍵業務環節均有章可徇、有規可依，不相容崗位相分離，實現自身建設嚴實化。

（四）實施內控自評價與檢查機制，加強重點風險防控

1.強化過程管理，抓住重點業務風險控制點

強化以單位發展戰略為管理目標和指引，以市場和顧客為導向的經營管理理念，以防范和化解重大風險為導向，著力開展關鍵流程和重點業務的內部控制，查找本單位關鍵業務的關鍵風險控制點，形成關鍵業務控制流程圖。聚焦重點業務，細化管理控制措施，強化風險管理識別，完善風險管理預警機制，最大強度降低單位的各項風險，實現風險可控。

2.建立日常檢查改進工作長效機制

圍繞單位管理的重點業務，及時發現業務薄弱環節并采取相應的改進措施，發揮管控效用，將一般風險管理納入日常的管理過程當中，將流程層面的內部控制評價穿行測試與管理緊密結合，將審計、督導檢查與內控管理工作結合起來，對于審計、督導發現的問題進行通報，限期整改，并對整改事項進行核查，實現閉環管理。對于制度執行不到位的情況，屬于內部控制的運行缺陷；對于反復出現的問題，視為內部控制的設計缺陷，需要修訂、完善制度和流程，并納入新的檢查標準中，對已發現的問題進行跟蹤，并將相關問題進行固化，以備后續監督檢查，建立常態化管理長效機制持續改進，促進管理效益的逐步提升。

3.優化評價體系機制

將內部控制評價工作融入日常的管理過程當中，定期或者不定期組織開展檢查、考核、評價工作，完善考核評價標準，使其更具時效性和可操作性。實施以風險控制為導向的內控評價機制，根據風險評估結果，確定評價重點，優化資源配置，抓住關注重點業務和關鍵控制環節，提高內控工作的效率和效果。全面評價內控和風險管理體系的設計與運行情況，準確查找各類控制缺陷，揭示和防范各類風險，及時落實整改，彌補缺陷，豐富內控管理方法與工作方式，促進內控與風險體系的有效運行。

（五）推動信息化建設，打通信息渠道

建立有效的信息與溝通渠道，打通信息壁壘，梳理單位的信息流、數據流、業務流，實現對財務流、業務流、物質流、客戶關系管理及供應鏈管理等各個環節的科學管理。打通各職能部門在內部控制與風險評估方面進行內部信息交流、溝通和傳遞的通道，為以風險為導向的內控管理的有效運行，提供了可靠的信息渠道和保障。通過推動信息化建設，將各項業務融入信息化系統中，實現各項業務流程、審批流程的規范化、細致化，減少人為錯誤操作的風險。

構建管理信息化平臺，將關鍵環節的內控與風險管理措施嵌入到信息系統中去，通過在各信息系統中規范并固化管理模式、管理流程、風險控制節點，逐步實現對業務和事項的自動控制，打通業務流、信息流和數據流的信息孤島，達到財務與業務過程的信息共享，使業務過程管理可操作化、可視化、可量化，促進財務業務融合發展，強化制度執行的剛性，提升內控風險管理的信息化水平。

（六）加強人才培養，實現“自我免疫”

目前，已經進入全面內控的時代，必須重視并加強風險管理與內部控制的專家及人才培養。加強人才的培養，是實現風險導向的內控管理體系建設的基本前提條件。需要鑄造一支具有國際、國內視野、具備宏觀戰略思維、精通風險識別、風險評估、風險應對的工具和方法的人才隊伍，提升單位“自我免疫力”，增強單位抗風險的能力，提高風險與內控管理工作水平，從而確保內控風險管理水平整體提高和保證單位發展的可持續性。

三、科研事業單位風險導向內控管理的關鍵點

科研事業單位風險導向的內控管理在實施過程中，如何有效地實施以風險為導向的內部控制體系，促進內控及各項管理有效落地，存在幾個關鍵控制點，主要有：

（一）與日常業務與管理體系融合，全面提升內控管理

將內控風險管理嵌入日常業務管理工作中，充分利用單位日常管理的組織體系、責任體系和考核評價體系，在相互結合提高工作效率的基礎上，充分借鑒專項工作和成熟管理工具的成果，對日常管控業務進行梳理與總結，將有效的管理方式、方法進行提煉與固化。全面評價內控和風險體系的設計與運行情況，準確查找各類控制缺陷，揭示和防范風險，及時采取適宜的整改和防范措施，豐富內控方法與手段，規范管理，有效地堵塞漏洞，促進內控與風險管理體系的有效運行和持續改進，提升管理水平與內控建設質量。

（二）通過完善制度與流程建設，提高防風險能力

以制度建設為抓手，借助管理流程再造，進一步梳理、優化、規范各項管理流程，通過完善制度、流程優化等方式規避風險，逐步實現制度流程化、流程表單化，不斷完善有關內部控制與風險管理制度和工作流程，新制定或修訂相關配套制度，有效防范風險。同時加強對制度執行情況的考核和評價，使管理水平呈階梯形式逐步上升，持續改進、逐步完善、全面提高風險防范能力，使單位在高效、合理、低風險的狀態上運行，助推單位持續健康發展。

（三）風險導向的內控動態管理，實現閉環管控

以風險為導向的內部控制，隨著內外部環境的變化，風險隨時都在變化，與內部控制環境、單位經營規模、業務范圍、競爭狀況和風險水平等相適應，與單位的戰略管理相關聯，并根據動態風險評估結果，及時轉化內部控制的關鍵控制點，持續優化內部控制體系，揭示風險。開展內部控制檢查評估機制，及時跟蹤內部控制檢查結果和落實情況，完善獎懲措施，強化內部控制機制的實效，形成閉環管控，實現過程中的再控制。

四、結論

綜上所述，不同的科研事業單位可以借鑒內控與風險管理的方式、方法，以風險為導向的內部控制在不同單位會有不同的具體體現。單位需要結合本單位的戰略管理目標，找到自我的薄弱環節，有針對性地實施內控管理，進而打通業務、打通信息渠道，使運營效率與運營風險得到有效平衡，為單位戰略目標的實現起到保駕護航的作用，有效地控制風險。但是，有效的風險導向內控管理體系并不是故步自封，并不是不鼓勵創新，恰恰相反，卓越的內部體系建設應該是保障創新活動規范發展，鼓勵科研開發，促進改革創新，同時也是確保風險可測、可控、可承受、不外溢的手段。優秀的內部控制，切不可片面地強調內部控制的合規性，而忽略了推動單位的管理與創新。內部控制規范的目的不是限制創新，而是支持、推動創新走得更穩健、更快捷、更長遠，進而帶動單位整體的可持續、高質量發展。