摘 要：風險評估是內部控制的關鍵環(huán)節(jié)和切入點，對內部控制的有效性起到決定性作用。通過排查單位內部管理過程中存在風險隱患和薄弱環(huán)節(jié)，評估風險的等級，才能展開控制活動，達到規(guī)避廉政風險和運營風險的目的。近年來事業(yè)單位內部控制制度逐年細化，內部控制體系逐步建立，但是內部控制風險評估的程序和方法還需要深入的研究和探討。文章從理論與實踐的角度，分析并探討了風險評估的程序及方法。

關鍵詞：事業(yè)單位 內部控制 風險評估

中圖分類號：F233 文獻標識碼：A

文章編號：1004-4914（2024）07-097-03

事業(yè)單位是社會公共組織，為改善社會福利及服務于社會生產做出了突出的貢獻。近年來，事業(yè)單位的內部控制備受關注，財政部自2014年起陸續(xù)頒布了事業(yè)單位內部控制管理的相關文件，各行業(yè)事業(yè)單位也制定了行業(yè)管理規(guī)定。本文重點對內部控制風險評估程序與方法進行研究，提出事業(yè)單位風險評估程序與方法。

一、風險評估理論概述

（一）風險評估的概念

風險評估是指以現(xiàn)有的事項為基礎，預測未來發(fā)生事件及可能帶來的影響。風險評估的過程分為三個階段：一是風險識別，二是風險分析，三是風險評價。風險評估的最主要目標是判斷風險發(fā)生的可能性和衡量風險的影響程度。

（二）風險的種類

識別風險是進行風險管理的前提和必要條件。事業(yè)單位風險因素主要為兩大類：一是內部風險，二是外部風險。內部風險具體為：管理風險、運營風險、財務風險和廉政風險等。外部風險具體為：政策風險、環(huán)境風險和市場風險等。風險識別應當高度重視行政部門對事業(yè)單位的管理要求、面臨著市場化的外部環(huán)境、內部運行的經濟活動及可能存在的利益問題帶來的廉政風險。

二、事業(yè)單位內部控制風險評估存在的問題

（一）重視程度不夠

部分單位認為財政部頒布了行政事業(yè)單位內部控制相關的文件，內部控制工作只是財務部門的工作。在具體工作中，沒有將內部控制及風險評估作為單位健康運行和體檢的工具，更沒有意識到單位所面臨的風險。同時，由于單位管理層面對于風險評估工作的重視程度不夠，導致宣傳力度不足，單位職工對于本崗位的內部控制管理和風險的識別也缺乏深度的認識。

（二）無法識別潛在風險

一是部分需要靠經驗去判斷可能潛在風險的崗位專業(yè)化不夠。二是對政策法規(guī)理解不到位，導致沒有敏銳的意識，無法第一時間察覺變化與風險。三是缺乏整體和競爭意識，部分事業(yè)單位已經受到了民營資本的沖擊，部分單位忽略了宏觀經濟、行業(yè)壁壘的變化，對于外部環(huán)境的風險點無法識別。四是對單位、崗位的風險識別，缺乏中立性，不能客觀的識別出風險。

（三）評估工作以點帶面

部分單位未實現(xiàn)全面、全員、全過程的風險評估，僅選擇部分科室或者選擇部分崗位進行風險評估。未將風險評估作為一項常態(tài)化工作。各部門僅進行本部門風險評估，未將工作鏈條化，沒有形成組織、部門、部門間、員工、員工間的一種全鏈條的內部控制風險評估，忽略了銜接中潛在的風險點。

（四）風險評估方式簡單、不全面

風險管理理論常用的風險識別方法有事故樹法、風險清單法、因果圖法、流程圖、財務報表分析法等，部分單位由于風險管理能力有限，較少應用專業(yè)方法，沒有做系統(tǒng)的、科學的評估，會出現(xiàn)風險識別的灰犀牛事件。風險評估需要日常評估與專項評估結合、內部評估與外部評估結合，部分單位僅開展了內部專項風險評估，不開展日常風險評估與外部風險評估，會導致評估體系不健全、無法全方位識別出風險點、客觀程度難以保障。

三、風險評估工作思路

事業(yè)單位內部控制風險評估工作應以單位的發(fā)展戰(zhàn)略、目標定位、重點工作、管理現(xiàn)狀以及目前單位面臨的外部環(huán)境為基礎，開展工作前應明確以下三方面內容：

（一）風險評估工作原則

1.主觀性與客觀性相結合。要求事業(yè)單位在風險評估體系建構過程中，對自身在內部控制方面存在的問題進行明確，構建科學化的風險評估體系。

2.全面性與重要性相結合。一是對本單位自身的風險現(xiàn)狀進行全面反映。二是根據(jù)單位的實際情況，選取重點指標。同時，重點指標要與單位全面工作有效結合，提升內部控制風險評估體系的可靠性。

3.定性與定量相結合。在內部控制風險評估體系建構過程中遵循定性與定量相結合的原則，有助于單位內部風險評估的實效性提升。

（二）工作基礎及關注重點

1.筑牢風險管理工作基礎。事業(yè)單位應深入了解和掌握風險管理工作的理論基礎、工作方法，把日常工作與風險管理充分融合，全員強化風險管理意識，全方位推行風險管理工作方法，全面開展單位風險管理。

2.統(tǒng)籌業(yè)務重點與風險狀況。重點關注事業(yè)單位整體風險狀況的識別和控制，將單位層面面臨的風險與業(yè)務層面風險進行關聯(lián)分析，并進行全面識別與研究，統(tǒng)籌權衡風險與影響。

（三）風險評估具體思路

1.明確控制目標范圍。開展風險評估工作要根據(jù)單位各項活動的特點及關系，分級設立各項活動內控管理的目標。分級包括按照管理層級區(qū)分及按照內外部區(qū)分，避免工作的重復和風險點的遺漏。

2.全面開展風險識別。根據(jù)內部控制目標，采用科學的風險識別方法，分級進行風險識別。分級包括內部的日常風險識別和外部的定期風險識別。

3.科學進行風險分析。對于識別出的風險進行科學的分析，以理論為基礎，通過定性和定量的研究，分析風險發(fā)生的概率及可能帶來的不良影響。

4.開展有效風險應對。根據(jù)風險分析的結果對風險進行排序，制定控制的優(yōu)先等級。合理設計風險應對的策略，選擇適當?shù)娘L險應對策略。

四、風險評估程序及方法

風險評估需要持續(xù)反復修正，事業(yè)單位應當將風險評估與單位業(yè)務范圍和發(fā)展階段進行結合，動態(tài)了解單位的風險現(xiàn)狀，科學進行風險分析，采取適宜的風險應對策略，規(guī)避由于風險識別的滯后影響業(yè)務的發(fā)展；應當時刻保持風險敏感度，尤其是在內外部環(huán)境發(fā)生重大變化時，應及時針對變化開展風險評估，保障各項工作穩(wěn)步、有序開展，運營平穩(wěn)有效。

（一）評估目標

風險評估工作具有全面性、客觀性、系統(tǒng)性、持續(xù)性、影響范圍大、涉及面廣、注重系統(tǒng)性等特點。風險評估工作一般包括兩個方面的目標：

1.直接目標。（1）根據(jù)財政部對事業(yè)單位內部控制管理的要求，事業(yè)單位的風險管理工作應符合上級主管部門監(jiān)管和審計的相關要求。（2）建立規(guī)范、統(tǒng)一、便于執(zhí)行的風險評價標準，將風險評價標準分為定性和定量兩個方面。根據(jù)評價和分析結果進行風險排序，確保事業(yè)單位應對重大風險的策略更加合理。（3）通過日常和定期評估建立單位風險數(shù)據(jù)庫，完善單位風險管理體系，降低風險發(fā)生的概率。

2.間接目標。（1）全面、分級開展風險管理培訓，增強職工的風險管理意識，為建立和完善風險管理體系奠定基礎。（2）全面開展風險調查和摸底，統(tǒng)一風險管理標準，提升全體人員對風險防控的重視程度。

（二）工作范圍

1.主體范圍：事業(yè)單位全部職能，包括行政管理、財務管理、各項業(yè)務。

2.客體范圍：控制環(huán)境和業(yè)務管理（根據(jù)政策要求確定）。

（1）控制環(huán)境。一是組織情況。確立牽頭部門，建立溝通協(xié)調機制的情況。二是控制機制的建設情況。不相容崗位的分離；議事決策機制；崗位責任制；工作流程；內部監(jiān)督等。三是制度的完善情況。管理制度的建立及是否有效執(zhí)行情況。四是關鍵崗位工作人員的管控情況。崗位人員與能力的匹配程度；輪崗、培訓和評價等。五是財務信息的編報情況。按照政府會計制度等進行賬務處理及報表編制的情況。

（2）業(yè)務管理。一是預算管理。在預算編制過程中是否與執(zhí)行部門進行充分的溝通，資源的配置是否與預算編制結合。按照預算批復執(zhí)行預算的情況，預算執(zhí)行是否合規(guī)，是否存在無預算、超預算支出。預決算的編制是否符合上級部門的要求。二是收支管理。收入的歸口管理情況，及時入賬情況，印章和票據(jù)的管理是否合規(guī)。支出事項是否符合有關法律法規(guī)的要求。三是采購管理。是否嚴格執(zhí)行采購有關的法律法規(guī)。是否按照預算執(zhí)行采購，按規(guī)定招標，按要求入庫并進行必要的存檔。四是資產管理。定期進行資產清查，按規(guī)定進行資產處置，明確管理部門和使用責任，是否存在賬實不符的情況。五是合同管理。合同是否進行歸口管理；明確合同訂立的流程、權限及職責；有效監(jiān)督合同履行；建立合同糾紛處理機制。

（三）風險識別

風險識別是風險評估的基本工作和關鍵環(huán)節(jié)，有助于統(tǒng)一單位的風險語言、全面識別風險事件，進而為風險防范和風險應對打下基礎。

1.資料收集。收集日常的工作資料是風險識別的基礎，收集的資料主要包括：與單位運營相關的國家法律法規(guī)、上級部門的工作要求、行業(yè)的規(guī)章制度、單位的管理制度、制度落實的佐證資料。

2.現(xiàn)狀分析。通過對資料的研究和實地的調研，充分總結單位的組織架構、制度設計、工作流程等，重點分析行政管理、預算管理、收支管理、資產管理、采購管理、合同管理等現(xiàn)狀，結合單位當前所面臨的政策風險、環(huán)境風險、市場風險、管理風險等內外部風險，綜合判斷單位的內控管理現(xiàn)狀和內控管理重點。

3.識別風險。結合現(xiàn)狀分析的情況，對照行業(yè)風險數(shù)據(jù)，識別單位可能存在的風險，編制單位自身的風險清單并納入單位風險數(shù)據(jù)庫。在識別過程中可以采用科學、合適的分析法等。

（四）風險分析

風險分析是風險評估的重要組成部分，將明細的風險事件進行逐一的整理與分析，刪除冗余風險，將同類風險合并，從而形成形式較為統(tǒng)一、語言較為規(guī)范、符合單位實際情況的風險列表。

1.整理與分析。將識別出的風險按照管理層級、業(yè)務層級等風險屬性進行整理和分類。按照不同的業(yè)務內容、風險類別、風險內容等進行數(shù)據(jù)清洗，建立風險臺賬，做到客觀事實清楚、風險可預測或可衡量、格式語言統(tǒng)一、風險分析內容全面，建立風險評估指標體系，方便下一步歸集與分類。

2.歸集與分類。對已經整理分析好的風險，進行系統(tǒng)的辨識和篩選，匯總同質風險，刪除冗余數(shù)據(jù)，確定單位的風險清單。

（五）風險評價

風險評價是對事業(yè)單位存在的各種風險發(fā)生可能性進行預判，并對其可能產生的影響進行評估，最終形成風險排序。風險評價為下一步風險的應對提供準確、科學的支持。

1.評價標準。一是紀檢監(jiān)察、內外部審計及巡查巡視監(jiān)督檢查發(fā)現(xiàn)問題的整改情況；二是同行業(yè)單位的高頻風險點；三是內部控制制度、流程、機制的規(guī)定；四是集體決策，“三重一大”文件落實，黨、政會議紀要；五是內部控制有效性測試及充分性評價；六是內部控制風險調查統(tǒng)計結果。

2.評價結果整理。通過設定的評價標準，結合風險分析的情況，形成最終的風險清單及風險發(fā)生的概率表，為下一步有針對的制定風險應對的策略提供依據(jù)。

（六）風險應對

1.樹立全員風險防控意識。事業(yè)單位通過培訓、會議、辦公平臺、微信公眾號等途徑廣泛宣傳單位內部風險防控的意義，營造單位重視、員工熟悉的風險防控氛圍。

2.健全內部控制體系框架。健全內部控制制度體系、流程體系、權責體系，并組織充分的落實，防范由于制度、流程、權責不清等帶來的風險。成立內部控制工作領導小組和工作小組，建立溝通協(xié)調和聯(lián)動機制，抓好制度和工作流程的落實，形成日常的內部控制風險防控機制。

3.建立風險預警系統(tǒng)。加強信息化手段，將風險點的控制植入信息操作系統(tǒng)，利用技術手段進行控制，同時建立風險監(jiān)控機制，對于可能出現(xiàn)風險的業(yè)務提前預警提示。

4.建立風險應對機制。通過風險評價的結果，運用科學的預估模型，按照風險類別和等級歸類，制定相對標準、規(guī)范的風險應對策略。風險應對的策略包括：規(guī)避風險、降低風險、轉移風險和接受風險。事業(yè)單位需結合風險的實際情況建立風險應對機制。

結語

風險評估是事業(yè)單位長期平穩(wěn)運行的基本要求。隨著政府會計制度的改革及事業(yè)單位的改革，其收支項目向多元化、復雜化、市場化發(fā)展，事業(yè)單位的風險也急劇加大。事業(yè)單位為公益性單位，為提高人民社會福利服務，一旦發(fā)生重大風險，將直接影響人民生活。因此，事業(yè)單位采用科學、合理的風險評估程序和方法，為事業(yè)單位進行定期的、專項的“體檢”，有助于合理控制事業(yè)單位存在的各類風險，有助于事業(yè)單位長遠和可持續(xù)發(fā)展。

參考文獻：

[1] 成江萍.單位內部控制風險評估程序設計及方法探究[J].財會學習，2019（14）：248-249.

[2] 呂寧.事業(yè)單位內部控制風險評估和控制存在的問題及優(yōu)化路徑[J].中國產經，2021（09）：178-179.

[3] 張明華.淺議行政事業(yè)單位內部控制風險評估框架的構建[J].時代金融，2017（27）：265.

[4] 徐鋒，周守亮.高校后勤業(yè)務內部控制風險評估與優(yōu)化建議[J].財會學習，2021（09）：197-198.

[5] 楊旭婷.內蒙古K大學內部控制風險評估研究[D].內蒙古科技大學，2022.

[6] 劉一衡.Q公司內部控制風險評估研究[D].燕山大學，2021.

[7] 朱穎.淺析上市公司的內部控制風險評估及防范[J].市場研究，2015（04）：21-22.

（作者單位：吉林大學第一醫(yī)院 吉林長春 130000）

（責編：若佳）