事業(yè)單位內部控制風險評估和控制問題及優(yōu)化策略

陳愛坤 福州市公路事業(yè)發(fā)展中心

引言

事業(yè)單位加強內控風險評估及控制，可有效提升單位管理水平，增強抗風險能力，推進事業(yè)單位穩(wěn)定、健康的發(fā)展。對此，需要事業(yè)單位相關管理人員對內控風險評估工作有正確認識，明確評估內容，掌握評估方法，認真梳理內控風險評估及控制中所存在的問題，并探索具體的解決及優(yōu)化對策，有效提升內控風險防控能力。

一、事業(yè)單位內部控制風險評估內容

行政事業(yè)單位在進行內控風險評估中，主要涉及單位層面、業(yè)務層面和評價監(jiān)督層面這三方面的風險。首先，單位層面的風險涵蓋了組織架構風險（比如未科學地設置管理機構、未合理劃分部門職責、未完善地制定內控管理機制等）、崗位職責風險（比如未清晰地劃分崗位職責或者關鍵崗位人員缺乏良好的業(yè)務能力等）、經濟活動決策風險（比如所制定的決策程序缺乏合理性或者所設置的決策機制不夠科學）、三重一大風險（包括重要干部任免、重大決策制定、重要投資還有大額費用動用等方面涉及的風險）；其次，業(yè)務層面的風險，涵蓋了資金管理風險、收支管理風險、預決算管理風險、采購管理風險、合同管理風險、招投標管理風險、財政專項資金管理風險、資產管理風險和其他風險；最后，評價監(jiān)督層面所面臨的風險，主要有內控評價風險以及監(jiān)督風險[1]。

二、事業(yè)單位內部控制風險評估和控制中存在的問題

（一）缺乏合理的風險評估機制

根據有關規(guī)定，事業(yè)單位要圍繞經濟活動制定并落實定期評價機制，至少要每年進行一次經濟活動評估工作。而實際上，很多事業(yè)單位在內控管理期間并未制定與落實定期風險評估機制，而且鮮少有單位會結合經濟環(huán)境的改變適當調整風險評估頻次。因為事業(yè)單位具有公益屬性，財政撥款屬于主要的收入來源，所以這類單位通常缺乏創(chuàng)收壓力刺激，也不會像經營性企業(yè)一般比較看重風險評估及管控，大多單位所開展的風險評估工作主要是為滿足相關規(guī)定或應付上級檢查。雖然根據相關文件要求，有關機構會對事業(yè)單位其內控工作開展基礎性評價，但是評分表當中沒有涉及定期風險評估機制建立情況等的考核內容，在缺乏制度約束和考評激勵情況下，很多事業(yè)單位都未能建立起健全的風險評估機制，而且單位也不積極完善及優(yōu)化內控風險評估機制。雖然也有部分事業(yè)單位已構建定期風險評估機制，但實際運行管理中相關機制執(zhí)行力度偏低，很多單位的風險評估工作都浮于表面，很少結合單位實際情況及未來發(fā)展需求靈活運用評估機制，而且一旦發(fā)生重大風險，無法及時、科學地進行風險評估，落實相關機制，導致風險識別、管控及分析等工作都有一定欠缺。

（二）風險評估及控制意識有待增強

近年來，雖然國家越來越重視加強事業(yè)單位的內控建設，并且很多單位已開始落實風險評估工作，但實際評估效果及效率卻不盡如人意，主要原因就是單位缺乏強烈的內控風險評估及控制意識。具體有兩方面表現(xiàn)，其一，單位因為對內控風險評估及管控缺乏正確認識，所以未專門針對這項工作設置負責部門及專業(yè)的管理人員，大多直接由財務部門開展內控風險評估工作，而財務人員本就具有較大的工作壓力，而且其更加熟悉本職工作相關的經濟活動，這就使得在內控風險評估期間很難對具有全局性特征的經濟活動風險以及和外部環(huán)境相關的風險作出客觀、系統(tǒng)且全面的評價，也無法對單位所面臨的風險作出合理預測，難以預估相關風險可造成的影響。其二，一些單位員工缺乏強烈的風險意識，難以在實際業(yè)務開展中及時發(fā)現(xiàn)其中存在的風險因素，特別是部分關鍵崗位員工因缺乏風險意識，導致不能及時消除風險源，并會對風險評估效果產生負面影響。還有部分員工雖然在業(yè)務工作中發(fā)現(xiàn)有風險存在，但因為缺乏良好的專業(yè)素養(yǎng)，很難有效分析相關風險，無法為風險評估提供可靠信息，影響風險評估效果及效率，并導致錯失最佳的風險控制時機。

（三）風險控制措施落實不到位

事業(yè)單位在內控風險評估及控制期間要以準確的預測風險為基礎，采取有效且精準的風險控制措施，及時化解風險。而實際上，目前很多事業(yè)單位在內控風險評估中沒有及時結合評估結果制定并落實有效的風險控制措施，導致風險評估與控制相脫節(jié)，而所實施的很多風控措施都存在形式化問題，而且很多風控措施因缺乏匹配性以及實用性，導致風控措施落實效果不佳，或者措施實施中受阻等，從而不能及時糾正與原目標相偏離的經濟活動。另外，部分事業(yè)單位在選擇內控風險控制措施期間不能科學明確風險優(yōu)先管控順序，所以無法保證所選擇的風險控制對策是最佳的，容易造成風險管控混亂，降低控制效果。部分單位可能對風險承受度所做出的預估偏低，導致內控風險管控過度，并可能由此使事業(yè)單位錯失發(fā)展良機；或者部分單位對自身內控風險承受度所做出的預估偏高，而在制定與落實風險解決措施過程中又欠缺針對性，進而不能有效、及時地控制風險。

（四）缺乏有力的內部監(jiān)督

按照有關規(guī)定，事業(yè)單位需要建立健全的內部監(jiān)督機制，雖然近年來事業(yè)單位越來越重視內部控制，并不斷提升著內控水平，大部分單位都已制定內部監(jiān)督制度，但仍有很多單位所制定的相關制度不夠完善，也未針對內控風險評估及控制建立起系統(tǒng)化、科學化的內部監(jiān)督機制，在缺乏有效的機制約束和激勵情況下，容易影響內控風險評估及控制效果。此外，雖然部分事業(yè)單位會針對內控風險評估及控制進行內部監(jiān)督，但所開展的監(jiān)督工作普遍存在形式化問題，監(jiān)督力度薄弱，范圍有限，很多單位的監(jiān)督檢查是以留痕、走過場、出報告等為目的，未進行深入、針對性且有規(guī)劃的調查研究與分析[2]。很多事業(yè)單位還缺乏穩(wěn)定的內部監(jiān)督隊伍，監(jiān)督人員嚴重不足，單位對內控風險監(jiān)督所投入的精力及資金也較少。

（五）缺乏信息化技術支撐

近年來，事業(yè)單位越來越重視信息化建設，但很多單位都更加關注圍繞財務管理、資產管理、重要業(yè)務等建立信息化管理系統(tǒng)，而對合同、采購、預算等內控業(yè)務流程還未建立起相對完善且功能強大的信息化系統(tǒng)。事業(yè)單位推進內控信息化建設進程，可利用信息化手段將內控流程理念及方法等嵌入信息系統(tǒng)當中，利用技術優(yōu)勢提升內控效果，減少人為干預。而事業(yè)單位在未針對內部控制業(yè)務流程建立可靠、完善的信息化系統(tǒng)情況下，就會使內控風險評估及控制缺乏有力的信息化技術支持，并且在相關工作開展中會較大程度受到人為因素影響，不利于常態(tài)化、系統(tǒng)化的建立與落實內控體系，并會使部門之間和相關工作人員之間的交流溝通效率下降，影響內控風險評估及管控。

三、事業(yè)單位內部控制風險評估和控制優(yōu)化對策

（一）完善風險評估機制

事業(yè)單位要更有力地加強內控風險評估及控制，首先要不斷完善及優(yōu)化內控風險評估機制，并要專門建立內控風險評估機構，由單位主要領導負責統(tǒng)籌規(guī)劃定期風險評估工作，由風險評估機構執(zhí)行。事業(yè)單位所建立的內控風險評估機制要具備可操作性，且應具體細化，主要需包含內控風險評估頻次、評估機構成員、內部監(jiān)督評估范圍等內容，而且要由單位的財務部、審計部、采購部、基建部、人事部、資產部等關鍵崗位人員作為風險評估機構成員，在有條件的情況下，還可聘請專家共同參與內控風險評估工作，并要合理安排內控風險評估頻次，至少但不限于一年一次[3]。在事業(yè)單位制度政策或組織架構出現(xiàn)重大變化或外部環(huán)境發(fā)生巨大改變等情況下，需及時展開風險評估工作，并要結合重大風險變更頻次確定風險評估頻次。另外，在風險評估中，具體范圍要涉及單位層風險、業(yè)務層風險、各項經濟活動風險還有各類外部風險。

（二）增強風險評估意識

近年來，雖然事業(yè)單位大部分員工的風險意識都在不斷增強，但目前上難以達到全員防風險、全員懂內控的效果，所以內控環(huán)境還有待優(yōu)化。為有效提升內控風險評估效果及效率，在單位范圍內營造良好的風險評估氛圍，需要事業(yè)單位對風險評估有正確認識，不斷增強風險評估意識，立足戰(zhàn)略層面看待這項工作。事業(yè)單位在制定管理制度過程中，要同步制定與完善內部控制管理制度，并要編制內控手冊，安排全體員工深入學習，組織專業(yè)人士進行宣講，多措并舉地提升單位全員風險評估意識、能力及水平。事業(yè)單位各業(yè)務部要在明確其工作職責過程中融入風險評估內容，在部門負責人帶領下關注在崗位工作開展中貫穿風險識別、分析及控制等工作，并要合理確定各方權責，確保內控風險能夠有人負責、有人評估。此外，事業(yè)單位要積極培養(yǎng)內控風險評估人才，尤其要對關鍵崗位人員加強職業(yè)技能培訓，使其不斷提升職業(yè)素養(yǎng)，并要按照適應性、制衡性、重要性等原則，更高效、高質量地進行內控風險評估工作。

（三）貫徹落實多項風險控制措施

事業(yè)單位在得出內控風險評估結果后，要建立單位層面的風險清單，并在業(yè)務層面建立風險事件庫，經技術咨詢、專家認證以及集體研究，在辦公會審批并通過之后分發(fā)給各個部門，有關部門需要限期制定并落實具體的風險控制措施，盡量用最短的時間最大程度地控制風險。事業(yè)單位還要科學應用風險評估結果，選擇恰當的風險控制方法，盡量提升控制效果。此外，單位要合理明確風險偏好還有具體的風險承受度，綜合考慮多項因素設置風險上下限，針對性地采取應對策略，促進效益與風險平衡。單位還要結合實際業(yè)務流程，科學設置風險控制矩陣，明確風險控制先后順序，結合業(yè)務活動相關主要風險確定關鍵控制點，采取有效的控制措施，并要把相關措施落實到具體的責任崗位當中。此外，要落實激勵制度以及追責機制，在獎罰分明情況下促進風險控制措施順利落地。

（四）加大內控風險監(jiān)督力度

事業(yè)單位要注意持續(xù)加強內控風險監(jiān)督工作，不斷完善內控風險監(jiān)督機制，并要督促有關工作人員認真履責，更規(guī)范、科學地進行內控風險評估及控制工作，在此基礎上加強源頭預防。單位在加強內控風險監(jiān)督過程中，首先，要配備高水平、高素質的監(jiān)督人員，保證其善于發(fā)現(xiàn)問題并敢于問責。其次，要建立內控風險監(jiān)督長效機制，將紀監(jiān)審部門視作主要負責部門，在不斷完善監(jiān)督體系、合理創(chuàng)新監(jiān)督方法、促進上下級監(jiān)督融合并聯(lián)合運用監(jiān)督及考核等方法基礎上，合理拓寬監(jiān)督范圍，充分提升監(jiān)督實效[4]。

（五）加強內控管理信息化建設

其一，事業(yè)單位要結合業(yè)務經營特征以及管理模式特點，打造網絡化、一體化的信息管理系統(tǒng)，著重整合信息管理和內部控制工作，利用信息系統(tǒng)對單位運營全過程實現(xiàn)全面的內部控制，一體化地進行業(yè)務處理與信息管理以及內部控制，構建起一個科學有效、順暢運行的內控體系。

其二，要加大信息系統(tǒng)管控力度，在建立業(yè)務中臺以及數據中臺基礎上，將各業(yè)務信息系統(tǒng)打通，建立內部信息傳遞閉環(huán)，防止出現(xiàn)信息孤島問題。一方面，事業(yè)單位要在統(tǒng)一數據標準基礎上，積極建設及推廣數據中臺，對各類數據實現(xiàn)集中化管理，保證各業(yè)務數據能夠統(tǒng)一輸出，為內部控制工作提供更有利的數據基礎。同時，要合理設置數據中臺訪問權限，使內控人員根據權限設置規(guī)范、靈活的查詢及應用相關數據。另一方面，要在信息化系統(tǒng)當中增加內控報告、缺陷整合管理、自我評價管理、風險管理、流程管理、控制點管理等模塊與功能，同時要集成化的整合內控管理系統(tǒng)和業(yè)務系統(tǒng)以及辦公系統(tǒng)、ERP 系統(tǒng)等管理系統(tǒng)，促進各類系統(tǒng)信息共享。

結語

《行政事業(yè)單位內部控制規(guī)范（試行）》指出要對事業(yè)單位所有業(yè)務活動展開風險評估，以此識別單位管理風險，分析實際內控工作和內控目標之間的差距，針對性地制定風險控制對策，提升內控水平。而實際上，目前很多事業(yè)單位在內控風險評估以及控制工作開展中還存在諸多問題，尚難以滿足相關文件要求。對此，需要相關單位認真分析內控風險評估及控制問題，針對性地探索解決對策，有效加大內控風險管控力度。