風險評估與內控評價相互印證持續推動內部控制完善

趙萍

[摘要]本文以某單位財務部門和內審部門的風險評估報告和內部控制評價報告差異為切入點，通過具體分析兩份報告存在的不同及其原因，提出風險評估與內部控制評價相互印證的方法，并明確完善內部控制的具體路徑。

[關鍵詞]內部控制? ?風險管理? ?評估

一、引言

2021年底，某單位財務部按照本單位內部控制管理辦法的規定開展風險評估并形成風險評估報告，而該單位審計部同期聘請了某會計師事務所，協助開展內部控制評價并形成內部控制評價報告。該單位領導在審閱兩份報告時發現，財務部提供的風險評估報告提示，單位2022年的重大風險分別是設備進口風險、安全管理風險、科研成果轉化風險和工程項目管理風險;審計部提供的內部控制評價報告提示，該單位存在的重大和重要缺陷主要涉及財務管理、人力資源管理、工程項目管理、資產管理等方面，而設備進口管理、安全管理和科研成果轉化等方面基本沒有發現缺陷。對此，該單位領導認為，兩份報告相互矛盾，責成財務部和審計部分析原因，加以改進。

本文結合該單位案例，提出風險評估與內部控制評價結果相互印證的理論方法，分析如何運用該方法以發現風險評估報告與內部控制評價報告中存在的問題及其原因，并據此提升風險評估與內部控制評價的質量，推動各單位持續完善內部控制。

二、案例分析

該單位財務部和審計部分析發現，造成風險評估與內部控制評價結論相互矛盾的原因主要包括兩個方面：

一是內部控制設計存在缺陷。公司已有的內部控制手冊中沒有涉及進口設備管理和科研成果轉化管理的內容，因而審計部在內部控制評價時沒有設定這方面的評價內容，自然也沒有發現這方面的缺陷。

二是風險評估本身存在問題。在風險評估中，沒有明確是剩余風險評估，單位領導更多的是站在固有風險的角度來評估的。比如，從固有風險角度看，該單位的某實驗室因為涉及危化品確實存在安全生產風險，但近些年來單位加大安全管理方面的投入，建立并嚴格執行相關的安全管理規范，基本上實現了本質安全，實際剩余風險不大。

三、風險評估與內部控制評價的相互印證

風險評估主要是從風險發生的可能性和風險發生后可能造成的影響嚴重程度等維度，對單位存在的風險進行評價，以確定未來（一般指下一年度）單位面臨的各項風險及等級（一般分為重大風險、重要風險或稱中等風險、一般風險），并在此基礎上對風險進行分類管理，加強對重大風險和中等風險的管控。

內部控制評價則是單位從內部控制的設計健全性、合理性和運行有效性等方面，對內部控制進行評價，以發現內部控制在設計和執行方面存在的缺陷，并通過對這些缺陷的整改，完善內部控制。內部控制缺陷按照其可能帶來的損失大小或者造成的負面影響程度可以區分為重大缺陷、重要缺陷和一般缺陷。

內控缺陷與風險總是相互關聯的。從邏輯上講，如果某領域風險較大，表明該領域存在較大的內控缺陷;反之，如果某領域存在較大的內控缺陷，則表明該領域風險也必然比較大。通過兩者之間的這種關聯關系，風險評估與內控評價的結果可以相互印證。如果通過風險評估確認該風險為重大風險，而內控評價也發現相關控制存在重大缺陷或者重要缺陷;或者風險評估確認該風險為一般風險，內控評價也未發現相關控制存在重大缺陷或者中等缺陷，那么風險評估和內控評價的結果是值得信賴的。如果風險評估確認該風險為重大風險，而內控評價未發現重大缺陷或者重要缺陷;或者內控評價發現相關控制存在重大缺陷或者重要缺陷而風險評估將此風險確認為一般風險，則風險評估或者內控評價的結果值得懷疑。

風險評估與內控評價作為單位內部控制管理的兩項“規定動作”，不管是放在一個部門還是分屬不同部門，也不管是單位相關職能部門自行操作還是委托中介機構實施，兩者都可以相互印證，并據此完善內部控制。

四、運用風險評估和內部控制評價相互印證完善內部控制的實施路徑

第一，在風險評估時應當明確開展的是剩余風險評估，而不是固有風險評估。所謂固有風險是指在沒有控制的前提下，該事項的風險有多大;而剩余風險是指在現有控制有效的前提下，風險還有多大。對行政事業單位來說，大部分業務事項都是有控制的，區別只是控制的程度不同而已。在評估開展前，應當向所有參與評估的人員說明，這是剩余風險評估，以免評估人員以固有風險的視角進行評估，導致評估結果失真。

第二，推進內部控制體系建設，并在此基礎上開展內部控制評價。各單位內部控制體系應當以系統的風險識別為基礎，針對所面臨的風險設計相應的控制，形成《內部控制手冊》等成果，并在此基礎上開展內部控制評價。如果前期沒有進行系統的風險識別和內控設計，并據此開展內控評價，很容易導致相關的設計缺陷未能被發現，導致風險評估結論與內部控制評價結論出現重大偏差。

第三，將風險評估報告確定的風險等級與內部控制評價報告揭示的內控缺陷類型進行關聯性分析，以確定風險評估和內控評價的結果是否值得信賴。

第四，直接根據內控缺陷補充完善內部控制。如果通過關聯性分析，確認風險評估和內控評價的結果是值得信賴的，那么根據風險評估的結果，針對重大風險和重要風險，依據內控評價發現的內控缺陷，重點進行整改。具體來說，如果存在設計缺陷，則通過補充相關措施、完善相關業務流程和制度等加以整改;如果存在執行缺陷，則通過嚴格流程執行、強化監督等加以整改。

第五，重新評估與補充完善。如果通過關聯性分析，發現風險評估和內控評價的結果是不值得信賴的，則需要針對存在矛盾的重大和重要風險以及相關控制進行重新評估。通常做法是：首先針對相關風險，評估現有控制是否充分，是否存在設計缺陷;其次復核相關的評價底稿，評估內控執行測試是否到位。如果經過評估，現有控制是充分的且得到有效執行，風險處于受控和可控狀態，則說明風險評估的結論是不準確的，就不需要補充控制;如果經過評估，發現現有控制不足以控制風險，或者設計的控制本身是充分的，只是執行存在較大偏差，則說明風險評估的結論是準確的，需要對現有控制進行補充完善。單位應當根據重新評估發現的缺陷進行整改，以補充控制，確保該風險受控、可控。

第六，在補充控制的基礎上，進行再評估。即評估如果前述補充控制得到有效執行，是否足以有效控制風險，使風險等級從重大風險、中等風險降為一般風險;如果仍然無法控制風險，則需要進一步補充控制，或者加強對該風險的持續監控。

五、運用風險評估與內部控制評價相互印證完善內部控制的實際操作案例

針對風險評估和內部控制評價中存在的問題，該單位財務部和審計部經過協商，開展補充評估與評價，對風險評估報告和內部控制評價報告進行了修正。其中：風險評估報告中對重大風險進行了調整，將安全管理風險移出重大風險，并針對內部控制評價中發現的缺陷，將預算管理風險和人員晉升風險列入重大風險;在財務部的配合下，審計部對設備進口風險、科研成果轉化風險的管控措施進行了梳理，開展了補充評價，發現了設備進口管理、科研成果轉化管理中存在的缺陷，并據此對內部控制評價報告進行了完善。修訂后的風險評估報告和內部控制評價報告報單位領導批準。

在總結經驗教訓的基礎上，該單位財務部和審計部經過協商，明確未來將在分工負責的基礎上，充分運用內部控制與風險評估結果相互印證的方法，持續推動單位內部控制的完善。

（一）財務部門應做到的事項

1.針對近兩年國家相關政策和法規變化、單位業務和管理變化、內外部檢查發現的本單位管理中存在的問題以及本單位和其他單位發生的風險案例等，進行補充風險識別工作，完善風險清單。

2.在風險識別的基礎上，針對識別出的每一項風險明確應對策略，并在此基礎上，制訂風險解決方案，形成風險管理地圖。

3.根據風險管理地圖，對《內部控制手冊》進行修訂與完善，特別是對進口設備管理和科研成果轉化管理相關內容進行了補充，在單位層面和業務層面上明確各項風險的控制點與控制措施，確保所有風險均處于受控和可控狀態。

4.根據《內部控制手冊》的修訂情況，對單位的管理制度、業務流程、部門崗位職責、授權手冊進行相應的修訂，以保證內部控制真正落地，并得到有效的執行。其中，需要對《內部控制管理辦法》進行相應的修訂，特別是要明確年度風險評估是對剩余風險的評估。

5.根據2021年風險評估中存在的對風險評估理解有差異的問題，未來每年開展年度風險評估前，應當對參與評估人員進行相關的培訓，以保證對風險評估的理解一致、標準一致。

（二）內部審計部門應做到的事項

1.內部控制評價不僅要關注內部控制執行，更要關注內部控制設計的健全性與合理性。要結合本單位業務和管理實際，以風險識別和應對為基礎，對相關風險所應當設置的控制進行評價，以發現內部控制設計方面的缺陷。

2.與財務部建立順暢的溝通機制，針對內部控制評價以及內部審計中發現的內控設計缺陷，特別是重大缺陷和重要缺陷，及時向財務部進行反饋，監督財務部完善內部控制設計，以保證相關風險得到有效的控制。

（作者單位：連云港急救中心財務科，郵政編碼：222000，電子郵箱：2432362005@qq.com）