《行政事业单位内部风险评估与控制手册.doc》由会员分享,可在线阅读,更多相关《行政事业单位内部风险评估与控制手册.doc(13页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、行政事业单位内部风险评估与控制手册第一节 风险评估风险评估是单位及时识别、系统分析经营活动中与实现管理目标相关的风险,合理确定风险应对策略的过程,是风险管理的基础与核心。在风险评估中,既要识别和分析对实现目标具有阻碍作用的风险,也要发现对实现目标具有积极影响的机遇。风险评估的基本流程包括风险初始信息收集、风险的识别、分析与评价、风险管理策略与选择等。单位在日常经营中充分、连续搜集风险管理信息,根据自身业务特点,选用具备可兼容性的风险分析技术,对风险管理信息进行辨识、计量、评估、分析,采用适当的风险控制技术方法,并形成相关记录,为应对风险提供相应控制策略依据。一、评估部门风险评估由内部控制主管处
2、室负责计划、组织和安排具体工作;组织财会、资产管理、采购、基本建设、内部审计、纪检监察等处室或岗位工作人员成立风险评估小组,进行风险评估工作。评估人员在梳理各类经济活动的业务流程、明确业务环节的基础上,系统分析经济活动风险,确定风险点,并据此选择控制方法和应对措施。二、评估周期及方法1.评估周期:单位对内部经济活动的风险评估至少每年进行一次,在全面、系统、准确分析单位各经济业务活动风险的基础上,绘制各业务事项的流程图,确定经济活动的风险点,剖析风险存在的原因,以及导致风险发生的可能性,以确保新的风险得到及时有效的控制。同时,对预算、收支等高风险经济活动业务,开展不定期评估,建立风险预警系统,有
3、效地防范和管控风险。2.评估方法:单位内部控制的风险分析,采用以定性、定量相结合的方式,从风险可能性、风险影响度等方面进行评估。(1)可能性定性的测度很可能:即在多数情况下预期可能发生。可能:在某些时候可能发生。不太可能:在多数情况下都不太可能发生。表 1 风险评估的五级评分(示例)评分可能性12345可能性定量分析10%以下10%30%30%70%70%90%90%100%风险可能性测度不太可能可能很可能风险可能性测度的描述极低较低中等较高极高一般情况下不会发生在极少情况下才会发生会在某些情况下发生会在较多情况下发生经常会发生在之后10年发生的可能少于1次在之后5至10年内可能发生1次在之后
4、2至5年内可能发生1次在之后1年内可能发生1次在之后1年内至少发生1次(2)影响程度分析的测度重大:对目标实现有重大影响,如发生,将造成极大的损失。次重要:对目标实现有中等程度的影响,如发生,将造成一定的损失。不重要:目标实现不受影响,如发生,将造成较低的损失。单位应当基于自身的定位和特色,利用专业的评估工具对内外部风险进行量化的分析,对风险可能发生的频率和后果赋值,计量风险的严重程度,同时设定本单位对风险的容忍限度,对诊断出的所有风险进行排序,随后建立相应的风险数据库和风险分析排序表,制定正确的风险应对策略。表 2 风险评估的影响程度(示例)评分影响程度12345风险影响程度定量分析损失低于
5、100元造成损失100元2000元造成损失2,000元10,000元造成损失10,000元1000,000元造成损失1,000,000元以上风险影响程度测度极低较低中等较高极高财务影响极低的财务损失 较低的财务损失 中等的财务损失 重大的财务损失 极大的财务损失 声誉影响负面消息未使单位声誉受损 负面消息造成单位声誉轻微受损负面消息造成单位声誉中等受损负面消息造成单位声誉重大受损负面消息造成单位声誉灾难性受损风险影响程度测度描述不会影响单位的日常活动对单位日常活动有轻度影响, 对单位日常活动有中度影响 对单位日常活动造成重大影响对单位日常活动造成灾难性性影响(3)风险识别矩阵单位风险评估小组(
6、或部门)根据风险分析的结果,结合风险承受程度,对各层面的分析进行排序分析,形成风险识别排序表和风险识别矩阵。风险识别排序表根据风险评分自高到低排序。风险识别矩阵对各类风险进行区分(如表 3),其中:风险影响度列为“重大”、可能性为“很可能”的风险列为一级风险,风险影响度列为“重大”或“次重要”、可能性为“可能”或“很可能”的风险列为二级风险,风险影响度列为“不重要”或“次重要”、可能性为“可能”或“不太可能”的风险列为三级风险。单位根据上述风险分析方法,分别确定各管理业务层面的风险点,并确定相应的后续应对策略。表 3 风险分析的识别矩阵(示例)可能性影响程度低中高极低较低中等较高极高01122
7、33445高极高45二级二级一级一级一级较高34三级二级二级一级一级中中等23三级三级二级二级一级低较低12三级三级三级二级二级极低01三级三级三级三级二级三、评估步骤1. 风险初始信息收集(1)内部控制主管处室负责对单位内、外部环境的相关信息进行系统收集、更新及维护。外部环境包括社会、政治、法律、经济环境,以及对组织目标有影响的关键驱动因素和发展趋势等;内部环境包括组织架构、角色和责任、组织文化、管理特色、财务因素、信息系统、信息流和决策过程等。(2)各有关职能处室负责收集与其职能相关的风险管理初始信息,并对收集到的风险管理初始信息进行更新和维护,由内部控制主管处室进行指导和监督。(3)单位
8、通过内部讨论、数据收集、外部沟通等方式对信息进行收集。由于信息的多样性与广泛性,单位通过建立的相应规范流程与标准模板,对信息进行系统筛选、提炼、对比、分类和组合。同时,单位通过风险信息收集的汇报与监督机制,确保风险初始信息的收集充分、有效。2. 风险的识别、分析与评价(1)风险评估小组针对风险分类、风险评估标准、风险模板、应对策略制定原则等内容,对各相关处室开展培训,并组织各处室的风险评估人员进行风险信息的收集以及风险事项的识别,分析风险的原因和后果,评价风险的重要性水平。由风险评估工作小组负责汇总、整理、排序各处室提交的风险评估结果,根据评估分值确定风险等级,汇总、整理出风险评估初步结果。(
9、2)单位采用定性与定量相结合的方法对风险进行识别、分析、评价。定性方法包括问卷调查、集体讨论、管理层访谈、专家咨询、情景分析、政策分析、调查研究等。定量方法包括采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。3. 风险管理策略与选择(1)单位根据自身情况确定风险偏好和风险容忍度,通过正确认识和把握风险与收益的平衡,明确各项风险的管理策略,包括:风险规避、风险承受、风险转移、风险降低。(2)单位在确定优选顺序时,遵循风险与收益相平衡的原则。在风险评估结果的基础上,全面考虑风险与收益,首先解决“颠覆性的”风险问题,保证单位的持续发展。根据风险与收益平
10、衡的原则,单位通过以下因素确定风险管理的优选顺序:风险事件发生的可能性和影响、风险管理的难度、风险的价值,或管理可能带来的收益、合法合规的需要、对单位人力、资金等的需求以及利益相关者的要求。(3)单位基本风险管理策略的制定遵循合规性、全面性、审慎性、适时性原则,以制度为基础、以流程为依托,将风险管理覆盖到单位经营管理的各个环节和岗位中,并形成“事前防范、事中控制、事后评价”的风险管理机制。(4)风险评估小组负责风险应对的总体指导和协调,各处室完成应对策略及应对方案后,汇总报风险评估工作小组。(5)单位对已制定的风险管理策略的有效性和合理性进行定期总结和分析,随着单位经营状况的变化,经营战略、规
11、划的变化,外部环境风险的变化,定期对风险管理策略进行调整,不断修订和完善。第二节 风险控制一、风险类别风险类别反映了单位在进行风险分析时考虑的主要方向,根据单位的实际情况,本单位应对的常见风险分为以下几类:1. 规划风险:因单位在规划决策的制订和实施上出现错误,或因未能随环境的改变而做出适当的调整,从而导致单位损失。2. 监管风险:指因管理和制度上的原因,造成对单位各项活动的监督不到位,可能存在营私舞弊和腐败等方面的风险。3. 业务管理风险:单位在业务管理过程中,由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性,而导致的业务管理失败或使业务管理活动达不到预期的目标的可能性
12、及其损失。4. 财务风险:因单位财务结构不合理、资金使用不当,导致单位可能丧失偿债能力(丧失资金支付能力)而导致陷入财务困境的风险。5. 法律风险:单位在经营过程中违反法律法规,签订合同的内容在法律上有缺陷或不完善而发生法律纠纷甚至无法履约,以及法律的不完善或修订产生的不确定性等面临的风险。二、控制环节(一)组织控制确立本单位内部控制的职能部门和牵头管理部门,明确此项工作的分管领导。明确本事业单位各职能处室在内部控制工作中的职能、定位。明确与业务活动有关的各业务归口部门职责。(二)工作机制控制1决策建立健全本单位内部重大经济活动议事决策机制,经济活动的决策、执行、监督相分离的工作机制。明确划分
13、职责范围、审批程序和相关职责。单位经济活动的决策过程为授权审批过程。在办理经济活动的业务和事项之前,应当经过适当的授权审批,重大事项还需要经过集体决策和会签(会审)制度。任何个人不得单独进行决策或擅自改变决策的意见。2执行重大经济活动事项的决议经审定后由分管局领导负责实施,由会议确定的责任部门具体执行。各责任部门按照“谁主管、谁负责”的原则,对决策执行实施责任分解,将责任落实到人。3监督涉及单位经济活动事项应按规定接受内外监督。内部监督包括分管局领导定期检查、办公室督办、监督处开展执行质量检查、监察室效能检查、内部审计等方面;外部监督包括接受审计监督、省监察部门监察监督、信息公开与社会监督等。
14、三、控制方法单位根据风险评估情况,形成风险数据库,并整理重大风险应对方案或应急计划。同时,单位针对各项风险制定了全面系统、科学合理的控制措施。单位对风险的控制方法归纳为以下几大类:不相容岗位相互分离、内部授权审批控制、归口管理、预算控制、财产保护控制、会计控制、单据控制、信息内部公开等:1. 不相容岗位相互分离:对内部控制关键岗位进行合理设置,明确划分职责权限,实施相应的分离措施,形成相互制约、相互监督的工作机制。2. 内部授权审批控制:明确各岗位办理业务和事项的权限范围、审批程序和相关责任,建立重大事项集体决策和会签制度。相关工作人员在授权范围内行使职权、办理业务。3. 归口管理:根据本单位
15、实际情况,按照权责对等的原则,采取成立联合工作小组并确定牵头处室或牵头人员等方式,对有关经济活动实行统一管理。4. 预算控制:明确各责任单位在预算管理中的职责权限,强化对经济活动的预算约束,使预算管理贯穿于单位经济活动的全过程。5. 财产保护控制:建立资产日常管理制度和定期清查机制,采取资产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。严格限制未经授权的人员接触和处置财产。6. 会计控制:严格执行国家统一的行政事业单位会计制度,建立健全本单位财会管理制度,加强会计机构建设,提高会计人员业务水平,强化会计人员岗位责任制,规范会计基础工作,加强会计档案管理,明确会计凭证、会计账簿和财务会计报告处理程序。7. 单据控制:根据国家有关规定和单位的经济活动业务流程,在内部管理制度中明确界定各项经济活动所涉及的表单和票据,要求相关工作人员按照规定填制、审核、归档、保管单据。8. 信息内部公开:建立健全经济活动相关信息内部公开制度,根据国家有关规定和单位的实际情况,确定信息内部公开的内容、范围、方式和程序。
限制150内