- 新編行政事業單位內部控制建設原理與操作實務
- 張慶龍
- 2258字
- 2019-01-05 02:43:30
五、開展風險評估
雖然內部控制基礎性評價貫穿于單位的各個層級,對單位層面和業務層面各類經濟業務活動實施全面覆蓋,以綜合反映單位的內部控制基礎水平。但是,全面并不是沒有重點,它應當在全面基礎性評價的基礎上,重點關注重要業務事項和高風險領域,特別是涉及內部權力集中的重點領域和關鍵崗位,著力防范可能產生的重大風險。例如,涉及內部權力集中的財政資金分配使用、國有資產監管、政府投資、政府采購、公共資源轉讓、公共工程建設等重點領域和關鍵崗位。這項工作主要通過單位開展風險評估來完成。
一般來說,單位層面開展風險評估工作可能面臨的主要風險包括:沒有明確的經濟活動目標以及工作計劃,無法通過管理控制措施保證目標的實現;未建立風險識別機制,無法準確識別風險因素;未形成合理的風險分析方法,風險分析不到位,無法真正掌握風險發生的原因和影響;未建立有效的經濟活動風險防范機制,不能及時對識別的風險采取適當應對措施。為防范這些風險點,行政事業單位應從目標設定、風險識別、風險分析及風險應對等方面,明確風險評估的控制目標,設計關鍵控制措施,確保單位風險評估工作有效開展。
(一)目標設定
目標設定旨在明確單位各項經濟活動的控制重點和原則,也是業務風險識別和控制措施設計的主要依據。在目標設定階段,單位應通過收集單位層面和具體業務流程層面的各類初始信息,包括預算業務、收支業務、政府采購業務、資產管理、建設項目、合同管理等主要業務,涉及從計劃編制、業務執行過程以及總結評估等方面的資料信息。在初始信息收集的基礎上,單位應根據業務實際需要設定經濟活動相關目標,明確單位各項業務的控制目標。
(二)風險識別
在風險識別階段,單位應根據前期內部控制基礎性評價與現狀調研獲得的業務信息建立風險分類框架,通過風險識別矩陣(見圖3-1)識別每一經濟活動風險對應的風險事件,對風險事件的類別、成因、影響以及責任部門等進行描述,形成單位風險事件庫。在此基礎上,根據單位當前經濟活動現狀編制風險評估問卷,對單位面臨的各類風險進行問卷調查,確定單位重大風險排序。
圖3-1 行政事業單位經濟活動風險識別矩陣
具體示例如表3-4所示:
表3-4 行政事業單位經濟活動風險識別矩陣
(三)風險分析
在風險分析階段,單位應根據風險評估問卷調查結果,對各經濟活動風險事件發生的可能性和影響程度進行分析,確定單位經濟活動風險管理的優先順序。單位可綜合采用蒙特卡羅分析、壓力測試、概率分析、情景分析以及關鍵風險指標分析等方法,對風險發生的原因、風險發生后可能導致的損失、風險的管理難度以及與其他風險之間的關系進行分析,確定單位經濟活動風險等級排序,為單位風險應對奠定基礎。
一般來說,行政事業單位風險分析包括兩大核心內容:①風險事項發生的可能性(頻率、概率);②風險事項產生的影響。行政事業單位在具體開展風險分析時,應從單位經濟活動的具體情況出發,運用適當的風險分析技術,定量或定性地評估相關事項,為風險應對提供依據。
1.風險發生的可能性分析
對風險發生的可能性進行分析可以根據風險的具體情況,采用定性及定量評估方法。定性方法主要從日常管理中可能發生的潛在風險、大型災難或事故的風險兩個層面進行分析并確定不同的可能性尺度;定量方法主要是以通過歷史數據統計出一定時期內風險發生的概率作為標準進行評估。按照定性與定量的分析方法將風險發生的可能性劃分為五個級別,分別是極低、低、中等、高、極高,依次對應1~5分。具體的劃分標準如表3-5所示。
表3-5 風險發生的可能性評估標準
2.風險的影響程度分析
風險影響程度是指風險事件的發生對單位所造成的影響的廣度與深度。對于風險影響程度也可劃分為五個級次,分別為極低、低、中等、高、極高,依次對應1~5分。對風險事件所造成的影響主要從財務收支、日常管理、法律法規的遵循三個方面考慮。考慮財務損失時采用定量的方法,以造成的損失金額大小為參照指標,確定風險影響程度的級別;考慮日常管理與法律法規的遵循時采用定性的方法,確定風險影響程度的級別。具體的劃分標準如表3-6所示。
表3-6 風險影響程度評估標準
3.風險坐標圖
風險坐標圖是指把風險發生可能性的高低、風險發生后對控制目標的影響程度作為兩個維度繪制在同一個平面上(繪制成直角坐標系),如圖3-2所示。
圖3-2 風險的影響程度
繪制風險坐標圖的目的在于對多項風險進行直觀的比較,從而確定風險管理的優先順序和策略。
風險發生的可能性與風險的影響程度兩個維度,在風險坐標圖可將識別的風險劃分為極低、低、中、高、極高五個區域。針對相關風險在風險坐標圖中的坐標,選擇相應的風險應對策略。
(四)風險應對
在風險應對階段,單位應根據自身條件和外部環境,圍繞經濟活動目標、風險偏好和風險可接受程度、風險發生的原因和風險重要性水平,制定風險應對策略和風險解決方案。風險應對的目的在于將剩余風險控制在風險承受度以內。單位可以綜合運用風險規避、風險降低、風險轉移和風險承受等策略應對經濟活動風險。具體來看,針對風險評估后的大小,采取不同的策略。例如,①針對極低及低風險區域:承擔該區域中的各項風險且不再增加控制措施;②針對中風險區域:嚴格控制該區域中的各項風險且專門補充制定各項控制措施;③針對高風險區域:確保規避和轉移該區域中的各項風險且優先安排實施各項防范措施;④針對極高風險區域:積極規避和轉移該風險區域中的各項風險且首要安排實施各項防范措施。
風險評估工作完成后,應根據風險評估結果編制風險評估報告,并及時提交單位領導班子,以提請單位領導關注重要風險,及時采取針對性的應對策略和控制措施。