行政事业单位应当在全面基础性评价的基础上,重点关注重要业务事项产生的重大风险。例如,涉及内部权力集中的财政资金分配使用、国有资产监管、政府投资、政府采购、公共资源转让、公共工程建设等重点领域和关键岗位,应从目标设定、风险识别、风险分析及风险应对等方面开展单位风险评估工作。
1.风险概念及分类
(1)风险指未来的不确定性对单位实现其目标的影响,行政事业单位关注的风险是对单位合理保证单位经济活动合法合规,资产安全和使用有效,财务信息真实完整,有效防范舞弊和预防腐败,提高公共服务的效率和效果等五个控制目标具有影响的风险。
(2)单位面临的风险可以分为单位层面风险和业务活动层面风险。单位层面风险是指单位面临的对单位经济活动具有综合影响的所有重大的不利因素和有利因素;业务层面风险是单位进行经济活动时所面临的不确定因素。
2.风险评估部门职责分工
内部控制实施机构在风险评估流程中的主要职责如下:收集与风险评估相关的信息、资料,并进行分析研究;拟定风险评估工作方案,报风险评估工作小组批准;负责具体实施单位的风险评估工作,协调各相关部门在风险评估工作中的关系;负责指导和监督各部门开展风险评估工作;汇总整理风险评估结果,拟定整改方案,形成风险评估工作报告并向风险评估工作小组汇报。
其他各部门在风险评估工作中,应接受内部控制实施机构的组织、协调、指导和监督,主要履行以下职责:按照风险评估方案的要求,开展本部门的风险评估工作;研究提出针对本部门的风险评估结果的整改措施;做好本部门风险管理信息收集及传递工作。
风险评估工作小组是本单位风险评估工作的决策机构,由单位负责人任组长,成员包括分管主责部门与配合部门的负责人。日常工作由内部控制实施机构负责,其职责主要包括:批准风险评估工作方案;批准风险评估整改方案;决定单位风险管理工作中的重大事项;指导、监督风险评估各部门工作。
3.目标设定阶段
《单位内控规范》中专门设立风险评估和控制方法,要求单位对各类经济活动的业务流程进行梳理,明确业务环节,系统分析经济活动风险,确定风险点,选择风险应对策略,在此基础上建立健全单位各项内部管理制度并督促相关工作人员认真执行。风险评估管理目标的设定,主要是行政事业单位依靠科学有效的管理程序对风险管理控制目标进行设定,确保控制对象选择的科学性,同时能够实现对目标的合理认定,在此基础上有效履行管理职责,强化风险识别能力。风险目标设定是风险管理的重要环节,也是内部控制活动实施的主要依据,单位广泛、持续不断地收集与本单位风险和风险管理相关的内外部初始信息,包括历史数据和未来预测。风险信息的收集主要包括以下方面:广泛收集国内外企事业、行政单位因财务风险失控导致危机的案例,重点收集预算管理、财务收支、政府采购、资产管理、建设项目管理以及合同管理等方面的信息。
在初始信息搜集的基础上,设定业务活动相关目标,明确控制目标。控制目标包括识别与单位控制目标相关的风险;根据风险分析的结果,制订风险应对策略,将风险控制在可控的范围内;提升单位整体对风险的承受能力以及业务层面的可接受风险水平。应当使每个具体的控制对象的控制目标跟行政事业单位内部控制的整体目标保持一致,根据控制对象的具体情况,对控制目标进行有所侧重的设置。如针对支出业务,其风险评估目标应当是支出业务符合行政事业单位开支范围和标准,并且经济活动应当获得相应的授权和审批。
4.风险识别阶段
风险识别是指查找单位各项重要经济活动及其重要业务流程中存在的影响控制目标实现的风险和机遇的过程。具有负面影响的因素代表风险,需要对其进行分析并提出应对措施;具有积极影响的因素代表机遇,在制定目标和政策实施过程中对其加以考虑并合理利用。应当分别从单位层面、业务活动层面,动态识别影响单位目标实现的各种不确定性因素。重点关注单位经济活动的决策、执行、监督是否有效分离;内部监督机制、岗位责任制以及议事决策机制是否建立和健全;部门之间权责是否对等;收支情况、预算管理情况、资产管理情况、政府采购情况、合同管理情况、建设项目管理情况等是否符合相关的规定和要求。
行政事业单位要依据经济风险识别的要求,进一步梳理单位经济活动中的主要风险点和不确定因素,通过梳理流程,把握控制关键环节,进一步强化行政事业单位经济风险识别能力,通过提升风险识别效率和质量,切实提升管理者对单位经济风险的把控能力。
5.风险评估阶段
识别风险后,需要对风险进行分析,分析的内容主要有:风险发生的可能性(或频率、概率),风险可能产生的影响,确定风险的重要性水平。风险评估采用定性与定量相结合的方法。定性方法包括问卷调查、集体讨论、专家咨询、情景分析、政策分析、由专人主持的工作访谈和调查研究等;定量方法包括统计推论、计算机模拟、失效模式与影响分析、事件树分析等。
(1)风险发生的可能性。
风险发生可能性分析可以根据风险的具体情况,采用定性及定量的评估方法,定性方法主要从日常管理中可能发生的潜在风险、大型灾难或事故的风险两个层面进行分析,并确定不同的可能性尺度;定量方法主要是以通过历史数据统计出一定时期内风险发生的概率作为标准进行评估。按照定性与定量的分析方法将风险发生的可能性划分为五个级别,分别是极低、低、中等、高、极高,依次对应1至5分。如表3-1所示。
表3-1 风险发生的可能性评估标准表
(2)风险影响程度。(www.xing528.com)
风险影响程度是指风险事件的发生对单位所造成的影响的广度与深度,对于风险影响程度也可划分为五个级次,分别为极低、低、中等、高、极高,依次对应1至5分。对风险事件所造成的影响主要从财务收支、日常管理、法律法规的遵循三个方面考虑。考虑财务损失时采用定量的方法,以造成的损失金额大小为参照指标,确定风险影响程度的级别;考虑日常管理与法律法规的遵循时采用定性的方法,确定风险影响程度的级别。如表3-2所示。
表3-2 风险影响程度评估标准表
(3)风险坐标图。
风险坐标图是把风险发生可能性的高低、风险发生后对控制目标的影响程度作为两个维度绘制在同一个平面上,用直角坐标系显示。
绘制风险坐标图的目的在于对多项风险进行直观的比较,从而确定风险管理的优先顺序和策略。风险发生的可能性与风险的影响程度两个维度,在风险坐标图可将识别的风险划分为极低、低、中、高、极高五个区域。针对相关风险在风险坐标图中的坐标,选择相应的风险应对策略。如图3-1所示。
图3-1 风险坐标图
6.风险应对阶段
确定风险等级后,采取相应的风险应对策略。
(1)风险承担:在整体风险承受能力和具体业务层面上的可接受风险水平之内的风险,在权衡成本效益之后无意采取进一步控制措施的风险。
风险承担的方式包括无计划的单独保留,主要是指对未预测的风险所造成的损失的承担方式。有计划的自发保险:对预测的损失的承担方式,如资产减值准备的提取、坏账准备的提取、对待处理的市场价值很小的一些设备可不采取保管措施等。
风险承担的优点是成本较低,能提高警惕性,有利于货币资金的运用。缺点是存在可能的巨额亏损、可能更高的成本费用,利用服务种类的质量的限制,可能造成员工关系紧张。
(2)风险降低:在整体风险承受能力和具体业务层面上的可接受风险水平之内的风险,在权衡成本效益之后愿意单独采取进一步的控制措施以降低风险或者减轻损失的风险。控制风险要素,降低风险发生的概率;控制风险发生的频率(准确的预测)和降低风险的损害程度。
(3)风险分担:在整体风险承受能力和具体业务层面上的可接受风险水平之内的风险,在权衡成本效益之后愿意借助他人力量,采取包括业务分包、购买保险等进一步的控制措施以降低风险或者减轻损失的风险。风险分担与风险降低类似,也是要将剩余风险降低到与期望的风险相协调的水平。主要措施:包括业务分包、保险、出售以及合同中的转移责任条款。
(4)风险规避:超过整体风险承受能力或者具体业务层面上的可接受风险水平的风险。通过评估后,单位直接拒绝某种风险。当风险造成的损失不能由该项目可能获得的利润予以抵消时,避免风险是最可行、最简单的办法。优点是有效避免了可能遭受的风险损失,单位可以将优先的资源应用于风险效益比更佳的项目上。缺点是只有风险可以避免的情况下,避免风险才有效果,有些风险无法避免,如市场风险、政治影响等;有些风险虽然可以避免,但成本过大。风险规避措施采用过多可能对单位产生安于现状、不求进取的风气。
7.风险评估注意事项
(1)单位每年应进行一次经济活动风险评估,对单位层面和业务层面存在的风险进行全面、系统和客观的评估。外部环境、经济活动或管理要求等发生重大变化的,应及时对单位层面和业务层面进行重估。
(2)内部控制实施机构牵头负责风险评估工作,内部控制实施机构制定全面风险评估工作计划,报单位领导批准后执行;各部门按照评估方法进行风险信息搜集、风险识别和部门内部评估并提出相应的风险应对策略建议;内控工作小组对风险评估过程中出现的各类问题进行解释与指导。风险评估结果汇总形成单位风险评估工作报告草案,报风险评估工作小组审议。风险评估小组对草案认真分析研究,提出审议意见。将审议通过的意见出具会议决议,作为完善内部控制的依据。
(3)定期对风险管理实施情况和有效性进行监督和检查,提出调整或改进建议,出具《风险监控分析报告》。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。