事業單位內控風險評估工作機制探析

李攀勤

（作者單位：云南省農業科學院國際農業研究所）

目前我國的內控框架借鑒的是COSO內控整體框架，基于COSO內控整體框架，風險評估是內部控制活動的起點，也是內控管理的關鍵環節。隨著我國經濟發展邁入新階段，作為管理和無償使用著國家大量資金與資產的事業單位，其在經濟運行中會面臨更多不確定性風險，因此，探討建立風險評估工作機制，有效防范、化解風險很有必要。

一、事業單位風險評估工作現狀

多數事業單位作為不以營利為目的的社會公益性服務組織，中心工作會單純放在完成國家賦予的特定職責使命上，如科研單位做科研、教育單位搞教學等，很容易忽視對經濟活動的管控，建立健全內控制度的主動性不足。目前內控工作推進的有效方式是依賴內控報告的編報。雖然按照《行政事業單位內部控制規范（試行）》（以下簡稱《規范》）規定，單位應當建立定期的經濟活動風險評估機制。但風險評估是否開展并沒有作為事業單位內部控制報告定性分析是否合格的核心評價指標，再加上多數事業單位領導及職工不清楚風險評估的關鍵作用，缺乏相關專業知識，因此從近幾年的內控管理上看，普遍未開展一年一次的風險評估，重大決策程序缺少風險評估環節，評估頻次不符合《規范》規定?？傮w來看，多數事業單位的風險評估工作要么停滯不前，要么流程不規范，要么評估方法運用不適當，風險評估未實現常態化的動態管理，風險評估工作機制普遍未建立。

二、事業單位風險評估的重要作用

風險評估是單位自我內控管理的動態化管理過程，是內部控制活動的起點和重要環節。事業單位資金的主要來源是財政撥款及完成特定任務的無償性資金。雖然事業單位不是為了營利，但要履行好國家賦予的職能職責，服務好社會，確保事業可持續健康發展，風險評估在防范廉政風險和業務風險方面起著非常關鍵的作用。

一方面，被曝光出來的貪污挪用公款、私設“小金庫”、超標超范圍報銷費用、侵吞濫用國有資產等違紀違法現象屢見不鮮，也暴露出事業單位正面臨著公信力喪失、權力失控、行為不當、貪污舞弊等風險。事業單位通過風險評估，對關鍵業務的關鍵風險點采取有效措施進行事前防范，確保每一個關鍵環節處于有效的控制和監督之下，極大有助于防范舞弊和預防腐敗，是保證干部清正、單位清廉、政治清明的有效手段。

另一方面，風險管理目標與內部控制目標一致。風險評估不單純在規避舞弊、腐敗等“負面”風險上起作用，同時也在防止工作效率和資金使用效益低下、經濟活動不注重績效、影響單位戰略目標實現等方面發揮著積極的作用。

三、事業單位風險評估工作機制構建思路

（一）風險評估工作組的設立

從獨立性、專業性和內控管理經驗上考慮，優先選擇借助第三方社會中介力量開展風險評估，其次選擇不直接接觸經濟業務的紀檢監察審計部門兼任。但多數事業單位機構設置較為簡單，無獨立的紀檢監察審計部門，又因預算資金有限，常年委托社會中介力量介入不太現實，因此，風險評估工作組可以由關鍵業務歸口部門的關鍵人員及紀檢監察人員等組成。但這些成員來自平級部門，難免相互“放水”、繞道而行，為確保風險評估質量，單位負責人應作為風險評估領導小組組長主持全面工作，親自主抓建立工作聯動機制，上級主管部門應當加強對下級部門風險評估工作的指導及監督檢查。

（二）風險管控目標的設立

單位是按照“自上而下”的過程設定控制目標的。首先根據單位自身的職能定位，合理設置事業發展規劃和年度計劃，通過與內控總體目標緊密結合，從單位層面和業務層面對總體目標進行具體化設置。通過目標設定，單位就可以識別出關鍵因素進行控制，使之按既定目標運行。

（三）風險識別

風險識別就是運用一定的方法，判明事業單位面臨或隱含的各類風險的過程，是風險評估的重要環節?！兑幏丁凡捎们鍐畏ǚ謩e列示了單位層面和預算管理、收支管理、政府采購管理、資產管理、建設項目管理及合同管理等6個主要業務層面的重要風險關注點。鑒于各個事業單位職責定位大相徑庭，不同階段業務開展各有側重，風險識別時可根據單位風險管控實際需要，適當調整重點關注內容。在持續開展業務層面的風險識別時，還應關注業務流程圖的更新、制度之間的銜接、經濟業務活動管控的連貫性等。風險識別方法其實就是完成基礎風險信息采集的方法。事業單位風險管理缺乏經驗，在風險識別方法的運用上可借鑒企業風險評估經驗，以內控風險問卷為主要載體開展內控風險的評估，這樣會更直觀和可靠。在問卷調查表設計上，鑒于多數事業單位在內控建設初期，編制內控手冊時曾開展過風險評估，在以后的常態化管理中，設計問卷調查表時應考慮工作時間、人員精力及財力等工作成本，在風險顆粒度選擇上，應適當剔除過于枝節的風險，但對于剩余風險可適當降低風險顆粒度，便于后期具體控制措施的制定。不要太關注問卷得分，主要看特殊反映出的極少選項，挖掘出苗頭性問題。

（四）風險分析

風險評估工作組采用適當的定量和定性方法，進一步分析風險發生的可能性及其對實現單位目標的影響，確定內部控制需要注意的風險點和優先級，并提交各責任部門。在分析方法運用方面，定量分析主要運用在有歷史財務數據、行業參考標準等可量化的分析上；定性方法主要憑個人的豐富工作經驗或者較高的專業素質進行判斷。但為了克服分析的主觀性，無論是定性還是定量都要有客觀的標準參考。在標準描述方面，定性直接用文字描述，定量用數量描述。

風險可能性和影響程度的檔次設定要根據單位的需求。精準并不是評估的目的，重點是對風險水平的排序，運用風險矩陣表或風險地形圖都可得到風險排序結果。風險水平排序應從風險發生的概率和帶來的后果兩個方面進行綜合考量，重點在剩余風險上。風險影響程度和發生概率兩項都是居高的風險水平排最前，其次是一高一中的，接著是兩項都是中度的，再接著是一高一低的，然后是一中一低的，最后是兩項都低的。風險分析出來的結果有適用期，要警惕風險趨勢的變化。

（五）風險應對

通過風險分析篩出了需要關注和優先管理的風險，各風險管理負責部門應提出風險應對策略和切實有效的內控措施。單位應組織有關專家對風險防控方法進行論證，盡量少選擇風險規避，多想方設法從降低風險方面考慮，因為事業單位在履職的過程難免會遇到不可回避的風險。比如，科技創新驅動經濟發展是科研單位履職奮斗的方向，面對無數次科學試驗失敗，短期內可能表現是國家資源無效耗費，但從長遠看，也許科研成果對國家的貢獻不可小覷。所以，風險策略選擇應從單位風險承受能力出發，結合內部控制措施有效范圍綜合考慮，對于選用風險降低策略的風險應進一步細化控制措施。

（六）風險評估成果輸出及跟蹤管理

通過定期或適時地對風險進行收集、分析及處理，“自下而上”匯總出風險評估信息結果是領導班子系統了解和改善單位風險管控現狀的重要參考依據。風險評估報告主要包括結論和風險應對建議等。單位內控評價部門或評價組應將檢查跟蹤風險管理工作的落實情況上報領導班子，并對風險管理工作進行績效考評。

風險評估流程是一個循環的動態化管理過程。隨著事業單位外部環境的變化、戰略目標的轉變、業務的調整和風險承受能力的不同等，在上一輪風險評估結果得到有效運用后，還需持續開展日常風險信息的采集，不斷更新風險信息，調整風險應對方案，才能提升風險信息的準確性和及時性，以便管理決策層調整內控管理。同時，為了提高風險評估工作效率，搭建信息共享平臺，要善于利用數字信息化的技術優勢改變傳統的工作模式，逐步實現風險識別、分析及處理的內控管理信息化。

為了從容預防和化解各類風險，事業單位應從講政治的高度的高度，加強內控建設，以勇于實踐和敢于探索的精神，主動補齊風險評估工作機制建設這項短板。通過增強風險識別和預警能力，提高風險評估與控制水平，為事業單位健康快速發展保駕護航。