8 行政事业单位内部控制风险评估 2
风险评估(2)
二、风险识别
风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。
风险识别作为风险评估过程的重要环节,主要回答的问题是:
存在哪些风险?哪些风险应予以考虑?引起风险的主要因素是什么?这些风险所引起的后果及严重程度如何?风险识别的方法有哪些等。
行政事业单位在识别风险时,必须明确:
1. 风险识别必须与目标联系。
2. 风险识别是一个持续性、反复的过程。
3. 进行风险识别时应当关注单位各个层面的风险。
单位在风险评估过程中,应当更关注引起风险的主要因素,应当准确识别与实现控制目标有关的内部风险和外部风险。
1. 行政事业单位在识别内部风险时,应当关注和考虑的因素包括:
(1)管理层的职业操守、员工专业胜任能力等人力资源因素;
(2)组织机构、经营方式、资产管理、业务流程等管理因素;
(3)研究开发、技术投入、信息技术运用等自主创新因素;
(4)财务状况、经营成果、现金流量等财务因素;
(5)营运安全、员工健康、环境保护等安全环保因素;
(6)其他有关内部风险因素。
上述因素的现状往往是风险存在的基础,上述因素的变动则往往会诱发新风险的产生。
2. 行政事业单位在识别外部风险,应当关注和考虑的因素包括:
(1)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;
(2)法律法规、监管要求等法律因素;
(3)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;
(4)技术进步、工艺改进等科学技术因素;
(5)自然灾害、环境状况等自然环境因素;
(6)其他有关外部风险因素。
上述因素实际上是行政事业单位履行管理职责和提供公共服务的外部环境,外部环境的变动必然会影响到行政事业单位的各项管理和经营活动,有可能给单位带来新的风险。
行政事业单位应选择适当的风险识别方法,保证风险识别的规范性和科学性,具体措施有:
1. 建立科学的风险识别方法体系。
2. 对风险识别方法进行规范化和制度化。
3. 利用历史事件。
4. 建立损失事件数据库。
行政事业单位进行风险评估时,既要考虑预期事项也要考虑非预期事项,对可能对组织存在重大影响的非预期的潜在事项和预期事项的风险都要进行评估;同时,既要考虑固有风险,也要考虑剩余风险。
三、风险分析
风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断,并确定风险重要性水平的过程,是风险评估的独立环节。
风险分析的程序主要包括:分析风险因素、风险事故,捕捉风险征兆,确定风险的存在;分析风险可能性即风险发生的概率;分析风险发生的可能影响。
风险分析的方法多种多样,主要有:
1. 定性分析法。
2. 定量分析法。
定量分析法大部分是建立在数学模型基础上的,其步骤一般是:
(1)列出构成风险的所有要素(风险因子);
(2)对所有风险要素确定其发生的概率和损失的水平;
课堂练习 [多选]
风险分析的方法多种多样,主要有()。
A.定性分析法
B.定量分析法
C.评分法
D.打分法
显示本题答案
答案:ABCD
【答案】ABCD
(3)计算累计各风险要素的数值或货币金额。
对定量分析来说,有两个指标是最为关键,一个是风险事件发生的可能性,另一个就是风险事件对目标影响的程度。
风险事件发生的可能性用概率来表示,风险事件对目标影响程度一般用损失金额来表示。
3. 评分法。
4. 打分法。
5. 风险问题清单法。
风险问题清单的制定必须经过四个步骤:
(1)识别可以接受的最高风险;
(2)合并和组织风险;
(3)制定一个标准的风险清单和风险术语表;
(4)精简风险问题清单。
风险问题清单由两个基本部分组成。①外部风险包括:环境、灾难、金融市场、风险评级;②内部风险包括:人力资源、诚信正直、信息和技术、会计和财务报告。
以上方法中,最常用的是定性分析法和定量分析法。
四、风险评价
风险评价是在风险识别、风险分析的基础上,评估风险对单位可能产生的影响以及确定风险的重要性水平的过程。
风险评价的关键点有:
1. 对于重要事项面临的重要风险可能带来的重大影响。
2. 应当按照风险可能带来的影响程度的大小。
3. 应当对重要风险予以特别的关注。
五、风险应对
风险应对是根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略,使剩余风险处于期
望的风险容限范围之内的应对策略。
风险应对策略一般有四种基本类型:风险回避、风险降低、风险分担、风险承受。单位应当综合运用风险应对
策略,实现对风险的有效控制。
1. 风险回避。
风险回避是单位对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。
单位在选择风险回避策略时必须考虑以下三个方面的因素:
①某些风险即使能够规避,但从单位管理绩效角度而言也许不可行;
②某些风险可以规避,但其潜在利益将大大超过潜在损失;
③规避某些风险的同时产生了新的风险。
2. 风险降低。
风险降低是指单位在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,是把不利风险事件
的概率和影响单独或一起降低到可以接受的限度的策略。
3. 风险转移。
风险转移是行政事业单位就是借助他人力量,将风险的所有权转移给最有能力抓住对项目有利的机会的第三方,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。
4. 风险承受。
风险承受是单位对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失
的策略。
第四节行政事业单位风险评估的监督和评价
风险评估的监督和评价过程,包括:监督和评价风险识别的充分性;风险分析的合理性;风险评价的准确性以
及针对这些风险所采取风险应对策略的恰当性。
风险评估的监督和评价应主要考虑:
(一)单位是否已建立、沟通整体目标,并辅以具体策略和具体管理服务活动的开展计划:
(二)单位是否已建立风险评估制度并保证运行,包括识别风险、估计风险的重大性、评估风险发生的可能性
以及确定需要采取的应对措施;
(三)单位是否建立一套广泛适应的风险决策判断标准,即根据风险严重程度和单位的风险承受程度确定不同
的决策。
(四)单位是否已建立某种机制,识别和应对可能对单位产生重大且普遍影响的变化,如在学校建立学生人身安全风险管理组织等;
(五)风险控制管理部门是否建立了某种流程,以识别外部环境、内部环境发生的重大变化。风险应对措施的调整机制是否运行有效。
(六)单位是否持续获得风险变化信息,有效地控制、管理风险,对重要风险进行实时监控,防范新风险的产生。
行政事业单位风险评估是一个持续的反复的过程,风险评估一次并不能一劳永逸。
第五节风险评估实务案例
【案例】xx市政府完整的政府采购制度
不同方式下的采购业务流程有所差别的,以招标采购方式下的政府采购内部控制制度为例,其采购流程如下:
第一步,接受委托。
第二步,供需调查。
第三步,发布招标公告或招标邀请函。
第四步,发售招标文件。
第五步,接标。
第六步,开标。
第七步,评标。
第八步,签订合同。
第九步,提供货物、工程、服务。
第十步,验收。
第十一步,结算。
第十二步,归档。
【案例分析】这一采购程序在应用初期取得了很大的成效,但经过了7个年头后,在实际工作中也出现了一些问题,如不及时采取措施,可能成为今后政府采购工作的障碍。
下面主要从几个易失控的环节(如上述第一步、第三步、第四步、第五步)进行简要分析。
1. 风险评估
①预算管理失效。
②由于其只在本市的报纸和电台发布招标公告,这在一定程度上限制了竞争的范围,属于地方保护主义行为,也违反了政府采购公开、公平的原则。
其次政府采购法将保护民族产业作为自己的一个目标,这虽然在短期内扶持了我国企业,但从长远来说,对于民族产业的发展有害而无益。
③由于未对标书费规定一个相应的标准,使得采购中心可以自己定价。
④聘请的专家多年来一直是少数几个人,各方面的专家供应商都很清楚,这也就使得评标的效果大打折扣。尤其是在评标过程中,采购实体的意见是主要的,也使得采购活动的公平性受到影响。
2. 关键控制点的确定
第一,要从源头上制止预算管理失效。
第二,要在政府采购报上刊登采购招标信息,以保证政府采购工作公开、公平、公正原则的实现。
第三,要由制度来规定标书费的收取。
第四,要规范评标方式。
3. 案例对构建行政事业单位内部控制制度的启示
从上述案例我们可知,行政事业单位内部控制体系的构建应在全面、深入了解行政事业单位管理和业务活动的基础上,画出每个业务的流程图,评估每一个控制点可能存在的风险,从中寻找出每个关键控制点,并结合行政事业单位的管理和职能特点,制定出符合该单位的内部控制体系,减少可能造成的损失和浪费,防止犯罪分子有机可乘、发生违法乱纪的犯罪行为。
行政事业单位内部控制体系的构建并不是一劳永逸的事情。
内部控制体系建立以后需要不断地进行评价,不断地完善。这一方面是由于内部控制体系本身可能有缺陷;另一方面是环境和单位的职能也可能发生变化。
因此,要定期对可能出现的问题进行检查,防患于未然,这样才能使行政事业单位的内部控制体系更好地服务于其社会管理的目标。